Addictions en série

Gouvernements européens, il est temps de chasser le colon Microsoft

Une enquête réalisée par un consortium de neuf journalistes européens met à jour les risques qui dérivent de la dépendance des gouvernements à Microsoft — aucun n’est indemne…

Même si çà et là des efforts sont notés pour migrer vers des solutions open source voire libres, l’adversaire est impitoyable et utilise un arsenal bien rodé.

Combien faudra-t-il encore de telles enquêtes pour provoquer une prise de conscience et pour que les décisions nécessaires soient prises et mises en œuvre ?

 

Traducteurs : PasDePanique, Paul, dominix, Asta, Luc, MO, lyn., Jérochat, simon, LP, Opsylac, Paul, Hello, Mika + 5 anonymes

L’addiction de l’Europe à Microsoft, un énorme risque pour la sécurité

Nous vous proposons ici une traduction de l’article paru dans Der Tagesspiegel, qui correspond à une partie de l’enquête menée par neuf journalistes européens dans leurs pays respectifs sur les relations entre Microsoft et les institutions publiques, chacun traitant de la situation particulière dans son pays (voir les différents articles déjà publiés ici). L’hebdomadaire Marianne a publié l’article de de Leila Minano dans son édition du 19 mai sur la situation française, intitulé Microsoft : menace sur la sécurité de l’État.

Le 13 mai 2017

par Crina Boros, Wojciech Ciesla, Elisa Simantke, Ingeborg Eliassen, Leila Minano, Nikolas Leontopoulos, Maria Maggiore, Paulo Pena et Harald Schumann

Le Parlement européen de Strasbourg – Photo par Frédéric Chateaux (CC BY-SA 2.0)

 

Le 12 mai 2017, des hackeurs ont frappé plus d’une centaine de pays à l’aide d’un outil volé à la NSA, en ciblant des vulnérabilités des logiciels Microsoft. Les attaques ont infecté uniquement des appareils fonctionnant avec le système d’exploitation Windows. Parmi les victimes, on compte plusieurs organismes publics, par exemple les hôpitaux du NHS (National Health Service, Service national de santé) au Royaume-Uni. Investigate Europe a passé des mois à enquêter sur l’extrême dépendance des pays européens envers Microsoft et les risques que cela implique pour la sécurité. Lisez notre enquête complète.

Nota bene : cet article est une traduction de la version anglaise d’un billet d’Investigate Europe publiée le 13 mai 2017. Pour savoir dans quelles publications de presse, pays et langues le billet est disponible, veuillez consulter cette page.

En général, lorsque le conseil municipal de Munich se réunit, ça n’intéresse pas grand-monde en dehors du périmètre de la ville. Mais en ce jour de février, tout est différent. Dans le grand hall du magnifique hôtel de ville néogothique, tous les sièges réservés à la presse et aux spectateurs sont occupés. Ceux qui n’ont pas trouvé de place se tiennent debout dans les allées. Des membres du conseil rapportent qu’ils ont reçu des courriels et des demandes de médias en provenance de toute l’Allemagne et de toute l’Europe.

Et pourtant l’événement semble purement technique. Pendant dix ans, des experts ont travaillé à migrer le système informatique de la ville vers des logiciels libres et ouverts. Les coûteux logiciels de l’entreprise américaine Microsoft ne sont désormais plus utilisés qu’exceptionnellement. Cela n’a pas seulement permis à la ville d’économiser plusieurs millions d’euros de frais de licences, mais a aussi rendu le système plus sûr – « un franc succès », ainsi que l’annonçaient en 2014 les responsables politiques de la ville. Mais, aujourd’hui, le maire, Dieter Reiter, et sa grande coalition rassemblant le Parti Social-Démocrate (SPD), de centre-gauche, et l’Union Chrétienne Sociale (CSU), de centre-droit, souhaitent ramener chez Microsoft les 24 000 ordinateurs de la ville.

Les débats sont animés. M Reiter et ses sympathisants ne réussissent pas à donner d’arguments convaincants – ni à dire combien pourrait coûter la transition. La décision est donc reportée. Le chef du groupe parlementaire des Verts, Florian Roth, est agacé : « Cela ne semble être rien de plus qu’un jeu de pouvoir politique, dit-il, mais un jeu à haut risque ». Il ajoute en guise d’avertissement : « Voulons-nous vraiment rendre notre administration éternellement dépendante du monopole de l’américain Microsoft ? »

Dans toute l’Europe, les systèmes informatiques des administrations publiques reposent sur les programmes de Microsoft

Le problème n’est absolument pas exagéré et ne se limite pas à Munich. Dans l’Europe entière, de la Finlande au Portugal, de l’Irlande à la Grèce, les technologies informatiques dans les administrations publiques reposent sur les programmes de l’éditeur de logiciels états-unien. Et puisque les systèmes numériques continuent à grandir et à prendre de plus en plus d’importance, les États deviennent de plus en plus dépendants de cette unique entreprise. La Commission européenne a même admis qu’elle était « concrètement captive de Microsoft ».

Quelles sont les conséquences de ce lock-in, comme on l’appelle dans le jargon technique, qui nous attache à un seul fournisseur ? Et comment les gouvernements peuvent-ils gérer cela ? L’équipe de journalistes d’Investigate Europe s’est lancée pendant trois mois dans une mission d’exploration pour établir des faits et interviewer des économistes, des responsables informatiques, des experts en sécurité et des politiciens dans douze pays européens, ainsi qu’à la Commission et au Parlement européens. Les résultats sont inquiétants.

La dépendance des États envers Microsoft :

  • engendre des coûts en hausse constante et bloque le progrès technique au sein des autorités publiques ;
  • contourne systématiquement les lois européennes en matière de passation des marchés et de règles de concurrence ;
  • introduit une influence politique étouffante de la part de cette entreprise ;
  • crée pour les systèmes informatiques étatiques, ainsi que pour les données de leurs citoyens, un grand risque technique et de sécurité politique.

Microsoft n’a souhaité répondre à aucune des questions d’Investigate Europe sur ces sujets. Et les personnels qui travaillent au sein des services informatiques des administrations savent pourquoi.

« De nombreuses administrations publiques sont tellement dépendantes de cet unique fournisseur qu’elles n’ont plus aucune liberté quand il s’agit de choisir un logiciel. Cela signifie que les États européens risquent de perdre le contrôle sur leurs propres infrastructures informatiques », avertit l’ingénieur informaticien et avocat Martin Schallbruch. Jusqu’à 2016, il était directeur du département des nouvelles technologies et de la cybersécurité au ministère de l’Intérieur fédéral allemand. Schallbruch n’est que trop familier de cette situation précaire. Si on voulait écarter ce danger et « basculer vers une architecture numérique indépendante, cela demanderait d’énormes investissements », déclare ce responsable informatique expérimenté, qui mène désormais des recherches au sein de l’école de commerce de Berlin ESMT.

Le problème n’est pas seulement grave, il est aussi complexe. Au cœur des enjeux se trouve le modèle économique de Microsoft. Le géant des logiciels, basé à Redmond dans l’État de Washington aux États-Unis, vend ses logiciels, en particulier le système d’exploitation Windows et les programmes de bureautique tels que Word, Excel, Powerpoint et Outlook, en tant que produits sous licence. Dans le métier, on qualifie ce type de logiciel de « propriétaire », ce qui signifie qu’il interdit à tout concurrent d’utiliser ses propres logiciels pour interpréter correctement les données encodées par les programmes de Microsoft. Concrètement, ce seront, par exemple, des titres, des tableaux ou des dates dont les données de mise en forme ou en page seront modifiées ou perdues.

C’est là la clé du monopole global de Microsoft – un business de rêve aussi ! Année après année, ce sont ainsi quelques 50 milliards de dollars que la multinationale empoche sous la forme de redevances de licences qui ne couvrent rien d’autre que la distribution de copies de ses programmes. Et parce que vos collègues, vos relations commerciales ou personnelles utilisent des fichiers Microsoft, cela paraît logique de faire de même, même si cela engage des frais, encore et toujours. La plupart des utilisateurs d’ordinateurs Apple, eux aussi, continuent d’acheter la suite Microsoft Office.

Les autorités administratives à la merci de Microsoft

Les administrateurs des services informatiques de l’État sont parfaitement avertis de cet état de fait. Cette monoculture présente de sérieux désavantages. Dans d’autres secteurs, le développement logiciel adhère depuis longtemps à un principe complètement différent. Google ou Siemens, par exemple, travaillent en priorité avec des programmes dits open source, en d’autres termes des programmes dont le code est partagé librement. Dans ce cadre, n’importe quel programmeur ou entreprise peut utiliser le code, à la condition que le dernier arrivé mette chaque amélioration qu’il apporte au code à la disposition de tous. Cela signifie que les entreprises ne peuvent pas gagner d’argent en vendant ce genre de logiciel. Mais, dans le même temps, elles bénéficient du travail des programmeurs du monde entier sans avoir à les rémunérer.

Quels que soient les produits, de la centrale électrique à l’appareil de radiographie, Siemens a besoin d’un ensemble étendu de logiciels. « Or, 90 % d’entre eux réalisent des tâches de pure routine », explique Karsten Gerloff, informaticien du service concerné au sein de l’entreprise. « Pour cela, nous utilisons bien sûr des solutions open source ». L’entreprise utilise du « code propriétaire » uniquement pour des fonctionnalités précises, propres aux machines de Siemens. Si tous les logiciels devaient être mis au point par des équipes de l’entreprise, « ce sont 1 000 programmeurs de plus que nous devrions employer et nous ne serions plus compétitifs », indique M. Gerloff.

Le recours à la créativité d’une masse de cerveaux de par le monde engendre une dynamique bien plus forte que celui qui serait restreint aux seuls cerveaux d’une entreprise. C’est pourquoi « l’open source est maintenant la norme dans le domaine scientifique et économique » pour Matthias Kirschner, président de la Free Software Foundation Europe (FSFE), qui plaide pour une plus grande autonomie dans l’usage des technologies de l’information. Cela s’applique autant aux smartphones qu’aux superordinateurs, systèmes de commande des machines ou serveurs web. L’ancien modèle du monopole ne concerne plus que les logiciels d’ordinateurs de bureau et les suites bureautiques.

Il n’en reste pas moins que les administrations publiques s’appuient toujours sur ce vieux monopole, et pas uniquement pour la bureautique. Il existe des milliers d’applications dont seules les autorités ont l’usage. Qu’il s’agisse d’augmenter les impôts, de payer les retraites ou de calculer le coût de la collecte des déchets, que ce soit dans la police, à la sécurité sociale ou dans les services de l’urbanisme, pour quasiment chaque service que rend l’État, il existe un logiciel opérationnel spécifiquement conçu pour cette tâche. Or, parce que le système d’exploitation Windows est utilisé partout, la plupart de ces « applications spécifiques » reposent sur ce système, mettant les autorités à la merci de son éditeur.

On a vu jusqu’où cela pouvait aller quand, à la fin de l’année 2014, Microsoft a cessé de fournir des mises à jour de sécurité pour Windows XP. Du jour au lendemain, des services publics partout en Europe se sont vus contraints de souscrire des contrats de service onéreux avec Microsoft afin de s’assurer que l’entreprise continuerait de colmater les failles de sécurité de son vieux système d’exploitation. Le gouvernement britannique a ainsi déboursé 6,5 millions de livres afin de disposer d’une année supplémentaire pour migrer ses ordinateurs vers Windows 7. Les Pays-Bas, ainsi que les länder allemands de Basse-Saxe et de Berlin, ont, eux aussi, payé plusieurs millions d’euros pour disposer d’un délai. « Il s’est passé la même chose dans toute l’Europe », confirme un expert de la Commission européenne. Et cela risque de se reproduire, vu que dans trois ans, c’en sera terminé des mises à jour de Windows 7.

La Commission européenne n’écoute pas ses propres experts

Dans le même temps, les États prennent du retard à cause du verrouillage de Microsoft. « Il n’existe pas de preuves formelles de ceci actuellement, mais il est logique de supposer que la dépendance envers un fournisseur unique ralentit le progrès technique dans le secteur public », prévient Dietmar Harhoff, directeur de l’institut Max-Planck pour l’innovation et la concurrence à Munich. Par exemple, si les municipalités pouvaient développer leurs centaines d’applications dédiées sur la base de programmes open source, chaque innovation pourrait être immédiatement utilisée par les services d’autres villes sans coût supplémentaire. « Ce potentiel est énorme pour le secteur public », selon D. Harhoff.

Dès 2012, la Commission européenne avait, par conséquent, lancé un programme au nom évocateur : « Contre le verrouillage ». L’idée était que les futurs appels d’offres publics portant sur l’achat de technologies informatiques et de logiciels ne comporteraient plus la mention explicite de noms d’entreprises et de technologies « propriétaires » de ces dernières. À la place, les administrations publiques devaient s’astreindre à demander le recours à des « normes ouvertes » accessibles à l’ensemble des fabricants et éditeurs logiciels. Ce faisant, le monopole de Microsoft disparaîtrait au fil du temps dans la mesure où les problèmes de compatibilité ne se poseraient plus : les fichiers pourraient être lus par des logiciels concurrents, et cela sans perte de données. Si tous les services administratifs publics utilisaient les mêmes formats ouverts, on économiserait le prix des licences. « Les normes ouvertes créent de la concurrence, mènent à l’innovation et font économiser de l’argent », expliquait la commissaire à la Concurrence d’alors, Nellie Kroes. Selon ses experts, « le manque de concurrence » dans le secteur informatique et télécoms « coûte à lui seul 1,1 milliards d’euros par an au secteur public ».

Mais l’inertie des bureaucrates de l’État a eu raison des bonnes intentions, et l’initiative n’a abouti à rien. Pourtant, la législation européenne définit désormais des règles précises. Les administrations publiques nationales sont tenues de passer par des appels d’offres européens pour toute commande dont le montant excède 135 000 euros. Pour les autres organismes publics, cette règle s’applique pour des montants supérieurs à 209 000 euros. Quand ils achètent des logiciels standards pour leurs administrations, les gouvernements des États membres, comme un seul homme, passent outre la loi en vigueur et privilégient le fournisseur habituel Microsoft.

La mise en concurrence remplacée par de curieuses procédures

Une curieuse façon de procéder. Sans passer d’appel d’offres publics, les administrations négocient des réductions avec l’entreprise états-unienne et concluent des contrats-cadres sur cette base. Tous les groupements publics peuvent ensuite en profiter. Dans les offres ultérieures, ils cherchent uniquement des revendeurs qui leur vendront des licences Microsoft selon ces conditions. Il n’y a de facto aucune concurrence pour ces contrats publics.

En Allemagne aussi. En 2015, le ministère de l’Intérieur a convenu de nouvelles « conditions contractuelles » avec la filiale irlandaise de Microsoft, d’où la firme conduit ses affaires européennes pour optimiser ses impôts. Les rabais identifiés dans le nouvel accord peuvent être utilisés par tous les pouvoirs publics, du ministère fédéral jusqu’à la petite municipalité. La ville de Dortmund a ainsi passé un appel d’offres, par exemple pour trouver un « distributeur pour le contrat BMI de licences Microsoft en volume ».

« C’est comme si l’État publiait une offre pour acheter des voitures, mais uniquement de revendeurs Volkswagen », se moque l’avocat néerlandais Matthieu Paapst, dont le doctorat à l’Université de Groningen a porté sur l’achat de logiciels dans le secteur public. Sa conclusion : « Se fournir en produits Microsoft, pour une administration publique, sans passer d’appel d’offres ouverts, viole la législation européenne en vigueur ». En vérité, selon l’avocat, la Commission européenne devrait engager des poursuites contre ce phénomène. L’unique raison pour laquelle elle s’en garde bien, c’est qu’elle n’applique pas elle-même les recommandations.

En effet, la Commission européenne a un contrat exclusif avec Microsoft, valable pour toutes les institutions de l’UE – elle ignore de ce fait les recommandations de ses propres experts. C’est aussi « parfaitement légal » se défend Gertrud Ingestad, qui est responsable de la Direction générale pour l’Informatique (DG Digit), dans une interview à Investigate Europe. Il n’y aurait « pas d’autres possibilités » de garantir la continuité du travail de l’Union européenne. Et, dans ce cas, la législation permet explicitement le recours à une « procédure de négociation » non publique. Mais ce n’est pas exact : cette exception est explicitement valable « seulement quand il n’existe pas d’alternative raisonnable ou de solution de remplacement », selon l’article 32 du livret de recommandations de l’UE. Et c’est justement ce que la Directrice générale G. Ingestad et ses collègues ne peuvent pas prouver. Il existe des alternatives viables.

Le général italien Camillo Sileo, par exemple, a beaucoup à dire sur ce sujet. Ce militaire, qui travaille au ministère de la Défense, à Rome, reçoit dans une petite bibliothèque. Là, un sourire aux lèvres, d’une voix douce, il parle de son projet comme d’une affaire mineure. Pourtant, il est à la tête d’une opération peu commune, voire révolutionnaire, l’opération «Libre Défense ». Son objectif est de migrer les quelques 100 000 ordinateurs de l’armée italienne vers des logiciels open source. « Nous avons constaté que les deux types de logiciels sont capables de satisfaire de la même façon nos besoins », explique le général. « Voyez par vous-même », dit-il en montrant à l’écran la première page d’une étude récente du ministère. « Ici, vous avez un fichier Microsoft Word », dit-il avant de cliquer, « Et, ici, la version open source LibreOffice. Le logo, le titre, la structure, tout est là. Aucune différence, » dit-il, radieux. «La migration permettra une économie de 28 millions d’euros d’ici 2020 », a prévu le général. Par temps de crise en Italie, l’armée, elle aussi, doit faire des économies.

Le fait est que si la migration s’est déroulée sans accroc jusqu’ici, c’est grâce à une solide planification, selon le général. Le logiciel libre de remplacement peut satisfaire tous les besoins, mais il se manipule différemment et les utilisateurs doivent donc être formés. Pour cela, des volontaires de l’association « LibreItalia » ont formé des personnels de tous les services de l’armée devenus à leur tour formateurs et conseillers pour former leurs collègues. Ainsi, il y aura bientôt assez d’experts dans tous les services de l’armée. « Bien communiquer est un préalable à la réussite du projet », précise le général Sileo. « Si les gens comprennent l’objectif du changement, ils sont capables de surmonter toutes leurs résistances mentales ». Il n’a pas encore été décidé si l’armée migrera aussi son système d’exploitation un jour,  pour être totalement indépendante de Microsoft, mais la question sera examinée de très près », accorde le général Sileo.

La gendarmerie nationale française, l’une des deux forces de police nationales, a déjà mené à bien une opération de migration démarrée dès 2005. Aujourd’hui, 72 000 ordinateurs de la gendarmerie nationale sont équipés d’une version particularisée du système d’exploitation Linux, avec LibreOffice comme application principale. La gendarmerie affirme que l’économie réalisée depuis le début du projet s’élevait en 2014 à quelques 20 millions d’euros. Précisons que jusqu’à cette année-là, la migration s’était déroulée pratiquement dans le secret. « La migration vers Linux pourrait  être vue par Microsoft comme une menace de son monopole », peut-on lire dans une note interne obtenue par Investigate Europe. Cela aurait pu « déclencher des actions visant à discréditer cette politique de la gendarmerie ». C’est pour cette raison que la migration s’est effectuée « sans publicité » jusqu’au moment où le processus est devenu irréversible.

Les institutions mettent la pression sur ceux qui se désengagent

Ces précautions étaient fondées. Encore aujourd’hui, 12 ans après le lancement du projet, la direction de la gendarmerie est sous « pression permanente » pour faire marche arrière, rapporte un membre de l’équipe du département Informatique et Télécom du ministère de l’Intérieur à Paris, qui ne souhaite pas être nommé de peur de représailles. « Chaque jour de fonctionnement du système est une gifle pour notre administration qui maintient que seul Microsoft fonctionne correctement » dit-il.

Le bras de fer entre le ministère de tutelle et les partisans de Linux au sein de la gendarmerie est confirmé par une lettre du ministre, d’avril 2016, qu’Investigate Europe a eue entre les mains. Dans cette lettre, le ministre demande aux fonctionnaires responsables de la gendarmerie un retour définitif et intégral à Windows – prescription dont la direction de la police n’a pas tenu compte jusqu’à présent. Interrogé sur la question, un porte-parole faisait savoir « avec regret » qu’il était dans « l’incapacité de fournir une explication ». En parallèle, cependant, il écrivait de façon clairement subversive que la migration vers le logiciel libre « se passait en douceur et pour longtemps ». « Nous avons choisi Linux parce que le rapport coût/bénéfice est meilleur et, au final, nous gagnons en indépendance».

Ce conflit est caractéristique de ce que vivent partout les pionniers d’une émancipation vis-à-vis du monopole. Partout en Europe, il y a eu et il y a des centaines d’administrations et de municipalités qui ont migré ou tentent de migrer vers des logiciels open source : que ce soit l’administration des retraites de l’État en Suède, les écoles de Jaworzno en Pologne, les services municipaux de la ville de Rome, l’arrondissement de Camden à Londres, la grande ville de Nantes en France, le gouvernement de la communauté autonome d’Estrémadure en Espagne ou encore la ville de Vieira do Minho au Portugal. Ces projets sont à ce jour autant d’îlots perdus dans l’océan Microsoft. Pour cette raison, nombreux sont ceux qui subissent régulièrement des pressions pour rentrer dans le rang, parce que les produits et les lobbyistes de Microsoft sont omniprésents et peuvent créer de nouveaux ennuis.

Des lobbyistes à l’œuvre au sein des ministères

Dans le différend concernant l’administration municipale de Munich, ce qui se passe en coulisses est aussi un élément à prendre en considération. Dans cette ville, le maire centre-gauche SPD a besoin des voix du centre-droit CSU. Or, ce dernier est étroitement lié à l’entreprise étasunienne. Dorothee Belz, par exemple, vice-présidente chez Microsoft Europe jusqu’en 2015, fait partie du comité exécutif du conseil économique du parti conservateur.

Des épisodes identiques « d’allers-retours » se constatent partout en Europe. En Italie, un ancien directeur chez Microsoft pilote aujourd’hui la « transformation numérique » des affaires de la ville de Milan. Au Portugal, c’est un cadre de Microsoft qui a organisé la campagne pour l’élection du président conservateur. Plus de six cadres et directeurs ont des liens étroits avec des ministres et des politiciens. Dans le même temps, des techniciens de Microsoft travaillent directement dans les services informatiques des administrations. Au moins cinq d’entre eux possèdent une adresse électronique qui les identifie comme s’ils faisaient partie du personnel administratif, ce qui leur permet de « faire leur travail de lobbying pour Microsoft à l’intérieur de l’administration », affirme un fonctionnaire à Investigate Europe. En Allemagne aussi, l’accès aux ordinateurs du gouvernement est largement ouvert. Il existe plusieurs milliers d’experts dans les centres informatiques du gouvernement, y compris des personnels de Microsoft et ses partenaires, indique l’ex-responsable informatique du gouvernement fédéral, Martin Schallbruch.

Microsoft peut également instrumentaliser sans restriction les écoles et les universités à des fins marketing. Les écoliers et les enseignants reçoivent en général les produits Microsoft gratuitement, de sorte que les enfants grandissent sans rien connaître d’autre. La stratégie veut qu’après leurs études ils payeront des frais de licence pendant le reste de leur existence. « Une telle méthode est un classique du modèle « crack », utilisé dans le trafic de drogue », explique Rufus Pollock du Centre pour la propriété Intellectuelle et les lois de l’information (CIPIL) à l’Université de Cambridge. Les produits sont gratuits jusqu’à ce que les utilisateurs soient rendus accros.
Cela démontre que les gouvernements européens approuvent tacitement leur propre dépendance envers Microsoft. Ainsi que le formule Anna Strezynska, ministre polonaise du numérique : « Oui, nous sommes dépendants, mais je pense que c’est raisonnable ».
Cela signifie aussi que ces décideurs exposent leurs pays et leurs citoyens à d’innombrables risques de sécurité, tant techniques que politiques.

Ce n’est pas un hasard si les attaques informatiques majeures qui, ces dernières années, ont pris pour cible des institutions de l’État comme le Bundestag allemand ou encore la Commission et le Parlement européens, ont systématiquement exploité des failles de sécurité des logiciels Microsoft. La suite bureautique de Microsoft, notamment, et les fichiers qu’elle permet de créer, sont une des portes d’entrée privilégiée par les hackeurs, selon le rapport 2011 du Bureau fédéral allemand pour la Sécurité des technologies de l’information (BSI). D’après ce rapport, la moitié des attaques ciblées avait pour origine des documents infectés de type Microsoft, tels les fichiers « .docx », dans lesquels les hackeurs avaient dissimulé leur logiciel malveillant. « La particulière complexité de ces fichiers facilite la tâche des hackeurs », affirment les experts du BSI. Ces fichiers contiennent bien plus de code que nécessaire, ne serait-ce que pour empêcher d’autres logiciels de les lire facilement. « Ce constat est toujours d’actualité, confirme Joachim Wagner, porte-parole du BSI. Le format des fichiers Microsoft est bien plus complexe que celui des logiciels open source, ce qui augmente d’autant la « surface d’attaque» de la cible pour les hackeurs ».

Italo Vignoli, un des experts qui travaillent sur le logiciel libre LibreOffice, l’a testé pour Investigate Europe avec un simple texte de 5 500 caractères. Sous la version courante de Microsoft Word, le code du fichier couvre 390 pages. Par comparaison, le format libre OpenDocumentText ne fait que onze pages.

Les programmes de Microsoft sont confus et vulnérables

La particulière vulnérabilité des logiciels de bureautique de Microsoft se voit au nombre de failles de sécurité. « Aux États-Unis, le National Institute for Standards and Technology (NIST, Institut national des normes et de la technologie) a repéré 188 nouvelles failles dans la suite Microsoft Office au cours des trois années précédant le mois d’avril 2017. Les trois quarts de ces failles font partie de la catégorie des failles les plus graves. Sur la même période, on n’a découvert que onze failles dans LibreOffice. D’après M. Vignoli, cela n’a rien à voir avec le fait que LibreOffice est moins répandu. Simplement, malgré tous leurs efforts, même les meilleurs experts n’ont pu dénicher d’autres failles dans LibreOffice.

Cela n’a rien de surprenant. N’importe quel utilisateur chevronné peut contrôler le code source de LibreOffice. Pour l’un des meilleurs experts européens, Michael Waidner, directeur de l’institut Fraunhofer pour la sécurité des technologies de l’information, c’est la clef de voûte : « Si l’Union européenne ou un État entend vraiment préserver sa souveraineté, il doit être en mesure de vérifier que ses matériels informatiques et ses logiciels font bien ce qu’ils sont censés faire et rien d’autre, explique-t-il. Cela ne revient pas à dire que l’Europe doit devenir autonome. « Mais nous devons faire en sorte que nos experts aient accès à toute l’information requise pour tester les logiciels là où la sécurité est en jeu. Il est essentiel d’avoir accès au code source », exige l’expert. Sans cela, affirme-t-il, il ne peut y avoir de « souveraineté numérique ».

Or, c’est précisément ce que Microsoft refuse de fournir. L’entreprise a créé un « centre de la transparence», à Bruxelles, où les représentants gouvernementaux sont invités à inspecter le code source. Mais le BSI allemand juge la proposition insuffisante. « Microsoft doit satisfaire à un éventail complet de prérequis techniques pour créer un climat de confiance », a expliqué le BSI au magazine spécialisé C’t. Or Microsoft n’autorise même pas les experts à conserver leurs notes écrites et exige la signature d’un accord de non-divulgation, a confirmé un expert de la BSI à Investigate Europe.
Même si une inspection du code était possible, les conclusions en seraient probablement obsolètes dès la mise à jour suivante. En outre, le risque que représentent les produits Microsoft n’est pas seulement technique, il est aussi politique.

Déclasser l’Europe au rang de colonie numérique

L’entreprise est soumise aux lois des États-Unis. Cela signifie qu’à tout moment l’administration de ce pays peut la forcer à collaborer afin d’accéder aux données des citoyens et des pouvoirs publics d’autres pays. Pour satisfaire cet objectif, il existe ce qu’on appelle « la lettre du renseignement » dans la loi américaine, autorisant des tribunaux secrets à délivrer de telles instructions, avec obligation de se taire sous peine de poursuites légales. Les révélations de l’ancien agent Edward Snowden ont montré que les services de renseignement américain font un usage démesuré de leurs pouvoirs. Les documents qu’il a publiés révèlent que Microsoft coopère étroitement avec les services secrets de la NSA.

Un document de la NSA du 8 mars 2013 explique avec force détails que Microsoft a ouvert aux autorités américaines l’accès à ses services dans le nuage (cloud), autrement dit aux dispositifs de stockage de données auxquels recourent un nombre grandissant d’organisations privées, mais aussi publiques, qui confient ainsi à un prestataire externe leurs données informatiques par souci d’économiser sur les coûts de leur informatique interne. Les documents de Snowden ont aussi révélé que la NSA utilise une cyber-arme, Regin, en collaboration avec ses partenaires britanniques pour espionner la Commission et le Parlement européens via une faille de sécurité du programme Windows.

Wikileaks a publié des documents secrets qui prouvent que ce n’était pas un cas isolé. Ils montrent que la CIA a même développé un véritable arsenal de logiciels malveillants (malwares) ciblant exclusivement les logiciels de Windows. La NSA n’est pas en reste, un de ses outils exploitant, ainsi que l’a révélé récemment le groupe de hackeurs Shadow Brokers, quatre failles de sécurité du système d’exploitation Windows inconnues jusqu’alors (vulnérabilités Jour Zéro).

De fait, l’utilisation de produits Microsoft par les institutions de l’État « n’est plus compatible avec un État de droit », affirme le juriste et député Vert du Parlement européen Jan Philipp Albrecht. Beaucoup le considèrent comme le père de la loi européenne sur la protection des données. Albrecht précise qu’il y a pléthore de données individuelles stockées dans des ordinateurs appartenant à l’État, tels les montants acquittés pour les impôts, l’état de santé, les fichiers de police et les données sociales. « Cependant, les institutions ne peuvent garantir la confidentialité de ces données tant qu’elles travaillent avec des logiciels dont elles n’ont pas le contrôle », prévient Albrecht. Il va falloir changer cela, sous peine de « transformer l’Europe en une colonie numérique ».

M. Albrecht n’est pas le seul à exprimer ce genre d’opinion. En 2014, après les révélations d’E. Snowden, une grande majorité du Parlement européen appelait les États membres de l’UE à s’unir pour « développer des compétences-clés autonomes dans le domaine des technologies de l’information », qui devraient « être basées sur des standards ouverts et des logiciels open source », de manière à pouvoir « être testées ».

Un an plus tard, le Parlement nouvellement élu appelait à nouveau à l’adoption d’« une stratégie européenne pour l’indépendance du secteur des technologies de l’information ». Il indiquait aussi comment cela pouvait être acté : il est important d’établir « un code source publiquement accessible comme critère de sélection obligatoire dans toutes les procédures d’attribution des technologies de l’information du secteur public », ainsi que le préconisait l’expert en sécurité Michael Waidner.

 

Si l’open source devenait la norme obligatoire pour le développement logiciel, « les acteurs européens deviendraient immédiatement compétitifs ».

Si cela se faisait, M. Albrecht pense qu’il y aurait un effet sur les technologies de l’information « semblable à celui du projet Airbus ». De la même manière que l’Europe s’est autrefois affranchie de Boeing, elle pourrait s’affranchir aujourd’hui de sa dépendance à Microsoft, et cela pour un coût bien moindre, pense-t-il ; si l’open source devenait la norme obligatoire pour le développement logiciel, « les acteurs européens deviendraient immédiatement compétitifs, affirme Albrecht. Après tout, ajoute-t-il, les solutions alternatives sont développées depuis longtemps ».

Pourtant, aujourd’hui encore, les gouvernements européens s’avèrent incapables de chiffrer le montant du tribut versé au « seigneur » des licences de Redmond, aux États-Unis. De la Norvège au Portugal, la réponse des administrations compétentes aux demandes d’information d’Investigate Europe a invariablement été qu’il n’existe pas de statistiques en la matière. En Allemagne, le bureau des achats du ministère fédéral de l’Intérieur a précisé ne pouvoir fournir qu’une « estimation » des dépenses en licences Microsoft des autorités fédérales. Dix semaines après la demande, le bureau n’était toujours pas en mesure de fournir ces données.

Pierre Audoin Consultants, société spécialisée dans l’analyse des marchés IT, estime que, globalement, en Europe, Microsoft a tiré près de 2 milliards d’euros de revenus de ses opérations avec le secteur public pour l’exercice fiscal 2015-16. Cela voudrait dire que ce sont au moins 20 milliards d’euros de recettes fiscales européennes qui partent vers l’entreprise étasunienne tous les dix ans,  assurément assez pour que l’Europe développe sa propre industrie du logiciel.

Jusqu’à présent, les dirigeants européens ne veulent rien entendre d’un « projet Airbus » pour le secteur des technologies de l’information. Andrus Ansip, commissaire européen au marché unique du numérique ne veut même pas en parler. Son directeur de cabinet, Roberto Viola, botte en touche en déclarant que ce n’est pas là leur principal souci

Les entreprises américaines de l’Internet, de leur côté, n’ont pas besoin d’un dessin. Que se soit Facebook, Google ou Amazon, leurs infrastructures informatiques fonctionnent exclusivement avec des logiciels libres à en croire leurs porte-paroles. C’est le seul moyen qu’elles ont de se protéger. C’est bien aussi l’intention des dirigeants chinois, qui ont commencé à se libérer du monopole de Microsoft après le scandale de la NSA.

Sous l’égide de l’Académie nationale d’ingénierie chinoise, un système d’exploitation ouvert, Neokylin, a été développé, accompagné de sa suite bureautique. L’opération de « déwindowsisation », comme l’appelle le professeur Ni Guangang, chef du projet, concernera au premier chef les secteurs les plus sensibles en termes de sécurité. C’est pourquoi l’usage de programmes libres/ouverts est en train de devenir obligatoire pour les militaires, l’administration d’État et le secteur financier. L’opération devrait se terminer en 2020.
La Chine prend le chemin de l’indépendance. Que fait l’Europe pendant ce temps-là ?

photo par Leonid Mamachenkov (CC BY 2.0)

Cet article est une traduction de la version anglaise d’un billet d’Investigate Europe publiée le 13 mai 2017. Pour savoir dans quelles publications de presse, pays et langues le billet est disponible, veuillez consulter la page suivante.

 




Demain, les développeurs… ?

En quelques années à peine s’est élevée dans une grande partie de la population la conscience diffuse des menaces que font peser la surveillance et le pistage sur la vie privée.

Mais une fois identifiée avec toujours plus de précision la nature de ces menaces, nous sommes bien en peine le plus souvent pour y échapper. Nous avons tendance surtout à chercher qui accuser… Certes les coupables sont clairement identifiables : les GAFAM et leur hégémonie bien sûr, mais aussi les gouvernements qui abdiquent leur pouvoir politique et se gardent bien de réguler ce qui satisfait leur pulsion sécuritaire. Trop souvent aussi, nous avons tendance à culpabiliser les Dupuis-Morizeau en les accusant d’imprudence et de manque d’hygiène numérique. C’est sur les utilisateurs finaux que l’on fait porter la responsabilité : « problème entre la chaise et le clavier », « si au moins ils utilisaient des mots de passe compliqués ! », « ils ont qu’à chiffrer leur mails », etc. et d’enchaîner sur les 12 mesures qu’ils doivent prendre pour assurer leur sécurité, etc.

L’originalité du billet qui suit consiste à impliquer une autre cible : les développeurs. Par leurs compétences et leur position privilégiée dans le grand bain numérique, ils sont à même selon l’auteur de changer le cours de choses et doivent y œuvrer.
Les pistes qu’expose Mo Bitar, lui-même développeur (il travaille sur StandardNotes, une application open source de notes qui met l’accent sur la longévité et la vie privée) paraîtront peut-être un peu vagues et idéalistes. Il n’en pointe pas moins une question intéressante : la communauté des codeurs est-elle consciente de ses responsabilités ?

Qu’en pensent les spécialistes de la cybersécurité, les adminsys, la communauté du développement ? — les commentaires sont ouverts, comme d’habitude.

Article original : The Privacy Revolution that never came
Traduction Framalang : tripou, david, goofy, audionuma, MO, lyn., Luc et un anonyme.

La révolution de la vie privée n’a jamais eu lieu

Voici pourquoi les développeurs de logiciels détiennent la clef d’un nouveau monde

par Mo Bitar


Actuellement, c’est la guerre sur les réseaux, et ça tire de tous les côtés. Vous remportez une bataille, ils en gagnent d’autres. Qui l’emporte ? Ceux qui se donnent le plus de mal, forcément. Dans cette campagne guerrière qui oppose des méga-structures surdimensionnées et des technophiles, nous sommes nettement moins armés.

Des informations. C’est ce que tout le monde a toujours voulu. Pour un gouvernement, c’est un fluide vital. Autrefois, les informations étaient relativement faciles à contrôler et à vérifier. Aujourd’hui, les informations sont totalement incontrôlables.

Les informations circulent à la vitesse de la lumière, la vitesse la plus rapide de l’univers. Comment pourrait-on arrêter une chose pareille ? Impossible. Nos problèmes commencent quand une structure trop avide pense qu’elle peut le faire.

Telle est la partie d’échecs pour la confidentialité que nous jouons tous aujourd’hui. Depuis le contrôle de l’accès à nos profils jusqu’au chiffrement de nos données en passant par un VPN (réseau privé virtuel) pour les rediriger, nous ne sommes que des joueurs de deuxième zone sur le grand échiquier des informations. Quel est l’enjeu ? Notre avenir. Le contrôle de la vie privée c’est le pouvoir, et les actions que nous menons aujourd’hui déterminent l’équilibre des pouvoirs pour les générations et sociétés à venir. Quand ce pouvoir est entre les mains de ceux qui ont le monopole de la police et des forces armées, les massacres de masse en sont le résultat inévitable.

Alors, où se trouve la révolution sur la confidentialité de nos informations que nous attendons tous ? Ce jour d’apothéose où nous déciderons tous de vraiment prendre au sérieux la question de la confidentialité ? Nous disons : « Je garde un œil dessus, mais pour le moment je ne vais pas non plus me déranger outre mesure pour la confidentialité. Quand il le faudra vraiment, je m’y mettrai ». Ce jour, soit n’arrivera  jamais, soit sous une forme qui emportera notre pays avec lui. Je parle des États-Unis, mais ceci est valable pour tout pays qui a été construit sur des principes solides et de bonnes intentions. Bâtir un nouveau pays n’est pas facile : des vies sont perdues et du sang est inutilement versé dans le processus. Gardons plutôt notre pays et agissons pour l’améliorer.

Les gouvernements peuvent être envahissants, mais ni eux ni les gens ne sont mauvais par nature : c’est l’échelle qui est problématique. Plus une chose grandit, moins on distingue les actions et les individus qui la composent, jusqu’à ce qu’elle devienne d’elle-même une entité autonome, capable de définir sa propre direction par la seule force de son envergure.

Alors, où est notre révolution ?
Du côté des développeurs de logiciels.

Les développeurs de logiciels et ceux qui sont profondément immergés dans la technologie numérique sont les seuls actuellement aptes à déjouer les manœuvres des sur-puissants, des sans-limites. Il est devenu trop difficile, ou n’a jamais vraiment été assez facile pour le consommateur moyen de suivre l’évolution des meilleurs moyens de garder le contrôle sur ses informations et sa vie privée. La partie a été facile pour le Joueur 1 à tel point que le recueil des données s’est effectué à l’échelle de milliards d’enregistrements par jour. Ensuite sont arrivés les technophiles, des adversaires à la hauteur, qui sont entrés dans la danse et sont devenus de véritables entraves pour le Joueur 1. Des technologies telles que Tor, les VPN, le protocole Torrent et les crypto-monnaies rendent la tâche extrêmement difficile pour les sur-puissants, les sans-limites. Mais comme dans tous les bons jeux, chaque joueur riposte plus violemment à chaque tour. Et notre équipe perd douloureusement.

Même moi qui suis développeur de logiciels, je dois admettre qu’il n’est pas facile de suivre la cadence des dernières technologies sur la confidentialité. Et si ce n’est pas facile pour nous, ce ne sera jamais facile pour l’utilisateur lambda des technologies informatiques. Alors, quand la révolution des données aura-t-elle lieu ? Jamais, à ce rythme.

Tandis que nous jouissons du luxe procuré par la société moderne, sans cesse lubrifiée par des technologies qui nous libèrent de toutes les corvées et satisfont tous les besoins, nous ne devons pas oublier d’où nous venons. Les révolutions de l’histoire n’ont pas eu lieu en 140 caractères ; elles se sont passées dans le sang, de la sueur et des larmes, et un désir cannibale pour un nouveau monde. Notre guerre est moins tangible, n’existant que dans les impulsions électriques qui voyagent par câble. « Où se trouve l’urgence si je ne peux pas la voir ? » s’exclame aujourd’hui l’être humain imprudent, qui fonctionne avec un système d’exploitation biologique dépassé, incapable de pleinement comprendre le monde numérique.

Mais pour beaucoup d’entre nous, nos vies  numériques sont plus réelles que nos vies biologiques. Dans ce cas, quel est l’enjeu ? La manière dont nous parcourons le monde dans nos vies numériques. Imaginez que vous viviez dans un monde où, dès que vous sortez de chez vous pour aller faire des courses, des hommes en costume noir, avec des lunettes de soleil et une oreillette, surveillent votre comportement, notent chacun de vos mouvements et autres détails, la couleur de vos chaussures ce jour-là, votre humeur, le temps que vous passez dans le magasin, ce que vous avez acheté, à quelle vitesse vous êtes rentré·e chez vous, avec qui vous vous déplaciez ou parliez au téléphone – toutes ces métadonnées. Comment vous sentiriez-vous si ces informations étaient recueillies sur votre vie, dans la vraie vie ? Menacé·e, certainement. Biologiquement menacé·e.

Nos vies sont numériques. Bienvenue à l’évolution. Parcourons un peu notre nouveau monde. Il n’est pas encore familier, et ne le sera probablement jamais. Comment devrions-nous entamer nos nouvelles vies dans notre nouveau pays, notre nouveau monde ? Dans un monde où règnent contrôle secret et surveillance de nos mouvements comme de nos métadonnées ? Ou comme dans une nouvelle vieille Amérique, un lieu où être libre, un lieu  où  on peut voyager sur des milliers de kilomètres : la terre promise.

Construisons notre nouveau monde sur de bonnes bases. Il existe actuellement des applications iPad qui apprennent aux enfants à coder – pensez-vous que cela restera sans conséquences ? Ce qui est aujourd’hui à la pointe de la technologie, compréhensible seulement par quelques rares initiés, sera connu et assimilé demain par des enfants avant leurs dix ans. Nous prétendons que la confidentialité ne sera jamais généralisée parce qu’elle est trop difficile à cerner. C’est vrai. Mais où commence-t-elle ?

Elle commence lorsque ceux qui ont le pouvoir de changer les choses se lèvent et remplissent leur rôle. Heureusement pour nous, cela n’implique pas de se lancer dans une bataille sanglante. Mais cela implique de sortir de notre zone de confort pour faire ce qui est juste, afin de protéger le monde pour nous-mêmes et les générations futures. Nous devons accomplir aujourd’hui ce qui est difficile pour le rendre facile aux autres demain.

Jeune nerd à qui on vient de demander de sauver le monde, dessin de Simon « Dr Gee » Giraudot, Licence Creative Commons BY SA

Développeur ou développeuse, technophile… vous êtes le personnage principal de ce jeu et tout dépend de vos décisions et actions présentes. Il est trop fastidieux de gérer un petit serveur personnel ? Les générations futures ne seront jamais propriétaires de leurs données. Il est trop gênant d’utiliser une application de messagerie instantanée chiffrée, parce qu’elle est légèrement moins belle ? Les générations futures ne connaîtront jamais la confidentialité de leurs données. Vous trouvez qu’il est trop pénible d’installer une application open source sur votre propre serveur ? Alors les générations à venir ne profiteront jamais de la maîtrise libre de leurs données.

C’est à nous de nous lever et de faire ce qui est difficile pour le bien commun. Ce ne sera pas toujours aussi dur. C’est dur parce que c’est nouveau. Mais lorsque vous et vos ami⋅e⋅s, vos collègues et des dizaines de millions de développeurs et développeuses auront tous ensemble fait ce qui est difficile, cela restera difficile pendant combien de temps, à votre avis ? Pas bien longtemps. Car comme c’est le cas avec les économies de marché, ces dizaines de millions de développeurs et développeuses deviendront un marché, aux besoins desquels il faudra répondre et à qui on vendra des produits. Ainsi pourra s’étendre et s’intensifier dans les consciences le combat pour la confidentialité.

Pas besoin d’attendre 10 ans pour que ça se produise. Pas besoin d’avoir dix millions de développeurs. C’est de vous qu’on a besoin.

 

  • Vous pouvez faire un premier pas en utilisant et soutenant les services  qui assurent la confidentialité et la propriété des données par défaut. Vous pouvez aussi en faire profiter tout le monde : rendez-vous sur Framalibre, et ajoutez les outils libres et respectueux que vous connaissez, avec une brève notice informative.



Des routes et des ponts (11) – Les défis de la maintenance

Dans ce onzième chapitre de son ouvrage Des routes et des ponts que l’équipe Framalang vous traduit semaine après semaine (si vous avez raté le début), Nadia Eghbal aborde le problème endémique des infrastructures numériques open source, leur manque de ressources humaines pérennes : entre ceux qui s’y consacrent à corps perdu et s’arrêtent au bord du burnout, les entreprises qui profitent des ressources sans jamais contribuer en retour, ceux qui se lancent ingénument dans le développement sans notion bien nette de sécurité, ceux qui ne peuvent contribuer que sur un temps libre limité… Des témoignages sur ces situations et d’autres encore ont été recueillis dans ce chapitre.

Comme le souligne l’autrice, cette situation bancale a pour conséquence un coût important en termes d’argent et de sécurité pour l’ensemble de l’industrie numérique qui puise abondamment dans l’infrastructure numérique open source.

 

Négliger les infrastructures a un coût caché

Traduction Framalang : Piup, jums, Penguin, serici, xi, Asta, Diane, glissière de sécurité, Luc, goofy, lyn

Comme nous l’avons vu, l’infrastructure numérique est un constituant essentiel du monde actuel. Notre société repose sur les logiciels, et ces logiciels s’appuient de plus en plus sur une infrastructure qui utilise des méthodologies open source. Dans la mesure où nous prenons peu d’initiatives pour comprendre et pérenniser notre infrastructure numérique, que mettons-nous en péril ?
Ne pas réinvestir dans l’infrastructure numérique présente des dangers que l’on peut classer en deux catégories : les coûts directs et les coûts indirects.

Les coûts directs

Les coûts directs sont les bogues non détectés et les vulnérabilités de sécurité qui peuvent être exploitées à des fins malveillantes, ou qui mènent à des interruptions imprévues dans le fonctionnement des logiciels. Ces coûts sont fortement ressentis et causent des problèmes qui doivent être résolus immédiatement.

Les coûts indirects

Les coûts indirects se traduisent par exemple par la perte de main-d’œuvre qualifiée, ainsi qu’une croissance faible et peu d’innovation. Même si ces coûts ne sont pas immédiatement perceptibles, ils représentent une valeur sociale difficile à évaluer.

Bogues, failles de sécurité et interruptions du service

L’introduction de ce rapport relatait les détails de la faille de sécurité Heartbleed, qui a été découverte en avril 2014 dans une bibliothèque logicielle appelée OpenSSL. Du fait de son usage généralisé, notamment pour le fonctionnement de nombreux sites web majeurs, Heartbleed a largement attiré l’attention du public sur le problème des failles de sécurité des logiciels.

En septembre 2014, une autre faille majeure a été découverte dans un autre outil essentiel appelé Bash. Bash est inclus dans des systèmes d’exploitation populaires tels que Linux et Mac OS, ce qui fait qu’il est installé sur 70 % des machines connectées à internet.

L’ensemble de bugs de sécurité, surnommés « ShellShock », peuvent être exploités pour permettre un accès non autorisé à un système informatique. Les vulnérabilités étaient restées non-détectées pendant au moins une décennie. Bash a été créé à l’origine par un développeur appelé Brian Fox en 1987, mais depuis 1992 il est maintenu par un seul développeur, Chet Ramey, qui travaille comme architecte technique senior à la Case Western University dans l’Ohio.

Un autre projet, OpenSSH, fournit une suite d’outils de sécurité dont l’usage est largement répandu sur internet. Des développeurs ont trouvé de multiples failles dans son code qui ont pu être prises en charge et corrigées, y compris celle de juillet 2015, qui permettait aux attaquants de dépasser le nombre maximal d’essais sur les mots de passe, et celle de janvier 2016, qui laissait fuiter les clefs de sécurité privées.

L’un des aspects du problème est que beaucoup de projets sont des outils anciens, développés au départ par un ou plusieurs développeurs passionnés, qui ont par la suite manqué de ressources pour gérer le succès de leur projet. Avec le temps, les contributions diminuent et les acteurs restants se lassent et s’en vont, mais pour autant le projet est toujours activement utilisé, avec seulement une ou deux personnes tâchant de le maintenir en vie.

Un autre problème croissant dans le paysage des logiciels actuel, où l’on voit tant de jeunes développeurs inexpérimentés, c’est que les concepts de sécurisation ne sont pas enseignés ou pas considérés comme prioritaires. Les nouveaux développeurs veulent simplement écrire du code qui marche. Ils ne savent pas faire un logiciel sécurisé, ou pensent à tort que le code public qu’ils utilisent dans la sécurité de leurs programmes a été vérifiée. Même les bonnes pratiques de divulgation sécurisée ou de gestion des failles ne sont généralement pas enseignées ni comprises. La sécurité ne devient un enjeu que lorsque le code d’un développeur a été compromis.

Christopher Allen a coécrit la première version du protocole de transfert sécurisé TLS (Transport Layer Security), dont les versions successives sont devenues un standard utilisé quasiment universellement en ligne, y compris sur des sites comme Google, Facebook ou YouTube. Bien que le protocole soit devenu un standard, Christophe parle ainsi de ses origines :

« En tant que co-auteur de TLS, je n’aurais pas prédit que 15 ans plus tard la moitié d’Internet utiliserait une implémentation de TLS maintenue par un ingénieur à quart-temps. C’est ce manque de maintenance qui a conduit au bug tristement célèbre de Heartbleed. Je raconte aujourd’hui cette anecdote à mes collègues qui travaillent sur les crypto-monnaies pour les avertir que leur chiffrage, ultra moderne aujourd’hui, pourrait  être ’dépassé’ dans 10 ans et subir le même sort, le projet n’étant plus aussi passionnant, et leur travail acharné risquerait d’être compromis. »

En définitive, la stabilité de nos logiciels repose sur la bonne volonté et la coopération de centaines de développeurs, ce qui représente un risque significatif. La fragilité de notre infrastructure numérique a récemment été démontrée par un développeur nommé Azer Koçulu.
Azer, un développeur Node.js, hébergeait un certain nombre de bibliothèques sur un gestionnaire de paquets nommé npm. Après un conflit avec npm sur la propriété intellectuelle d’un de ses projets, Azer, mécontent de l’issue du conflit, décida de supprimer toutes les publications qu’il avait pu faire sur npm.

L’une de ces bibliothèques, left-pad, avait été réutilisée dans des centaines d’autres projets. Même s’il ne s’agissait que de quelques lignes de code, en supprimant le projet left-pad, Azer a « cassé » les algorithmes d’innombrables protocoles logiciels développés par d’autres. La décision d’Azer a provoqué tant de problèmes que npm a pris la décision sans précédent de republier sa bibliothèque, contre la volonté d’Azer, afin de restaurer les fonctionnalités offertes par le reste de l’écosystème.

Npm a aussi revu sa politique pour qu’il soit plus difficile pour les développeurs de retirer leurs bibliothèques sans avertissement, reconnaissant ainsi que les actions d’un individu peuvent en affecter négativement beaucoup d’autres.

Les logiciels ne reçoivent pas la maintenance nécessaire dont ils ont besoin

Construire une infrastructure numérique de façon désorganisée implique que tout logiciel sera construit plus lentement et moins efficacement. L’histoire de l’infrastructure Python en fournit un bon exemple.

L’un des importants projets d’infrastructure pour les développeurs Python se nomme Setuptools. Setuptools fournit un ensemble d’outils qui rendent le développement en Python plus simple et plus standardisé.
Setuptools a été écrit en 2004, par le développeur PJ Eby. Pendant les quatre années qui ont suivi, l’outil a été largement adopté. Néanmoins, Setuptools était difficile à installer et à utiliser, et Eby était très peu réceptif aux contributions et aux corrections apportées par d’autres, car il voulait, en tant que concepteur, avoir le dernier mot sur Setuptools. En 2008, un groupe de développeurs conduits par Tarek Ziade a décidé de forker le projet pour obliger Eby à faire des améliorations. Ils ont appelé le nouveau projet « Distribute ». En 2013, les deux projets ont fusionné dans Setuptools.
Ce long désaccord a néanmoins souligné à la fois l’état douteux des outils de l’infrastructure de Python, et la difficulté de mettre en œuvre des améliorations, notamment parce que personne ne se consacrait aux problèmes de la communauté ni ne désirait s’en occuper.

Les outils de Python ont commencé à s’améliorer quand le groupe de travail Python Packaging Authority (PyPA) s’est formé pour se consacrer spécifiquement à définir de meilleurs standards pour le paquetage. Un développeur, Donald Stufft, fit des outils de paquetage Python le cœur de son travail et fut engagé par HP (devenu HPE) en mai 2015 pour poursuivre son travail (son parcours sera évoqué plus tard dans ce rapport).

Un autre exemple intéressant est celui de RubyGems.org, un site web utilisé par la plupart des développeurs Ruby pour héberger leurs bibliothèques Ruby. Ruby a été utilisé pour bâtir des sites web majeurs comme Twitter, AirBnB, YellowPages et GitHub lui-même. En 2013, une faille de sécurité de RubyGems.org a été découverte, mais elle ne fut pas réparée avant plusieurs jours, parce que RubyGems.org était entièrement maintenue par des bénévoles. Les bénévoles pensaient régler le problème le week-end, mais pendant ce temps, quelqu’un d’autre a découvert la faille et a piraté le serveur de RubyGems.org. Après l’attaque, les serveurs ont dû être entièrement reconfigurés. Plusieurs bénévoles ont pris sur leur temps de travail, et certains ont même pris des jours de congé, afin de remettre RubyGems.org en état de marche le plus vite possible.

Comme RubyGems.org est un élément d’infrastructure critique, la faille de sécurité affectait par rebond beaucoup de développeurs et d’entreprises. L’incident a mis en lumière le fait qu’un travail fondé uniquement sur la base du volontariat limitait les garanties de sécurité et de fiabilité que l’on pouvait offrir sur une infrastructure logicielle importante. Des dizaines de développeurs se mobilisèrent de façon « bénévole » pendant l’incident parce que le problème affectait directement leur emploi salarié.

Malheureusement, aucun d’entre eux n’avait l’expérience requise pour être utile, et aucun d’entre eux n’a continué à offrir son aide une fois les serveurs réparés. En 2015, une organisation nommée Ruby Together a été formée pour aider à financer la maintenance et le développement de l’infrastructure Ruby, entre autres RubyGems.org, en sollicitant des entreprises comme sponsors.

La perte de main-d’œuvre qualifiée

Comme dans beaucoup de communautés de bénévoles, le « burnout » est commun parmi les contributeurs open source, qui se retrouvent à répondre aux requêtes d’utilisateurs individuels ou d’entreprises, pour un travail sans compensation. Beaucoup de développeurs ont des anecdotes où des entreprises les sollicitaient pour du travail gratuit. Daniel Roy Greenfield, développeur Django et Python, a écrit :

« J’ai personnellement eu des demandes pour du travail non-payé (les discussions pour payer le travail n’aboutissent jamais) par des entreprises à haut profit, grandes ou petites, pour [mes projets]. Si je ne réponds pas dans les temps convenus, si je n’accepte pas une pull request merdique, on va me mettre une étiquette de connard. Il n’y a rien de pire que d’être face à des développeurs du noyau Python/PyPA travaillant pour Redhat [sic], qui exigent de toi un travail non payé tout en critiquant ce qu’ils considèrent comme les insuffisances de ton projet, pour te pourrir ta journée et plomber ta foi en l’open source. »

(Red Hat est une multinationale du logiciel avec un revenu annuel excédant les 2 milliards d’euros, qui vend des logiciels open source à des clients d’entreprise. Du fait de la nature de leur entreprise, les employés de Red Hat utilisent et contribuent à de nombreux projets open source : en un sens, Red Hat est devenu la tête d’affiche de l’open source dans le monde de l’entreprise. Nous reparlerons de son succès financier plus tard dans ce rapport).

Read the Docs, service d’hébergement de documentation technique précédemment mentionné, annonce explicitement sur son site qu’il ne s’occupe pas de l’installation personnalisée dans les entreprises ou chez les particuliers.

L’un des mainteneurs, Eric Holscher, va jusqu’à faire ce commentaire :
« Je suis à peu près sûr que Read the Docs n’a aucun intérêt à être open source, vu que les utilisateurs privés ne contribuent jamais en retour, et se contentent de demander une assistance gratuite. »
Maquess, le contributeur OpenSSL, a tenu un discours acerbe à propos des requêtes récurrentes sur ses posts qui parlent de financement :

« C’est à vous que je pense, entreprises du Fortune 1000. Vous qui incluez OpenSSL dans vos firewall/dispositifs/cloud/produits financiers ou de sécurité, tous ces produits que vous vendez à profit, ou que vous utilisez pour vos infrastructures et communications internes. Vous qui n’avez pas besoin de financer une équipe interne de programmeurs pour se débattre avec du code crypté, puis qui nous harcelez pour obtenir une assistance gratuite quand vous réalisez que vous êtes incapables de l’utiliser. Vous qui n’avez jamais levé le petit doigt pour contribuer à la communauté open source qui vous a fait ce cadeau. Les concernés se reconnaîtront. Certains développeurs choisissent d’arrêter de maintenir leurs projets parce qu’ils n’ont plus assez de temps à y consacrer, et espèrent que quelqu’un d’autre prendra le relais. Pendant ce temps, les entreprises, les gouvernements et les individus dépendent de ces bibliothèques pour leur bon fonctionnement, inconscients des enjeux sous-jacents. »

David Michael Ross, ingénieur manager dans une agence web, a écrit au sujet de son expérience :

« Pour moi, c’est là que le bât blesse.  […] On sait qu’on a créé quelque chose gratuitement, par passion, et on voit ce flux infini de personnes qui crient « plus ! encore plus ! » et qui se mettent en colère quand on ne traite pas leur cas particulier.
Il y avait mon numéro de téléphone sur l’un de mes sites personnels pour que mes amis puissent me joindre. Je l’ai enlevé au bout d’une semaine parce que des gens m’appelaient à toute heure de la journée pour de l’assistance sur les plugins, alors qu’il y a un forum consacré à ça. Il n’y a rien de fondamentalement méchant là-dedans, c’est juste que c’est usant. On se met à avoir peur de vérifier ses mails ou de répondre au téléphone. »

Ryan Bigg, qui écrit de la documentation technique pour le framework Ruby on Rails, a annoncé en novembre 2015 qu’il renonçait à tout travail open source :

« Je n’ai plus le temps ni l’énergie de m’investir dans l’open source. Je ne retire strictement aucun revenu de mon travail open source, ce qui veut dire que le travail que je fais là, c’est du temps que je pourrais consacrer à des activités perso, ou à écrire. Ce n’est pas justifié d’attendre de moi que je travaille encore, en dehors de mon emploi salarié, sans que je sois honnêtement rétribué pour ça (en temps ou en argent). C’est aussi une recette qui a de bonnes chances de me conduire au burnout ou de me rendre juste globalement aigri.

Par ailleurs, la perte de main-d’œuvre qualifiée dans l’open source, ce n’est pas seulement les contributeurs qui démissionnent, c’est aussi ceux qui n’ont jamais contribué du tout. »

Il existe très peu de statistiques sur la démographie des contributeurs open source, ce qui est déjà révélateur en soi. Une analyse récente de GitHub a révélé que seulement 5,4% des contributeurs open source étaient des femmes, qui occupent pourtant environ 15 à 20% des postes techniques dans l’ensemble des entreprises de logiciels.

L’une des raisons qui font que les contributeurs open source sont un groupe remarquablement plus homogène que le secteur de la technologie dans son ensemble, c’est qu’ils ont besoin de temps et d’argent pour apporter dans un premier temps des contributions significatives. Ces contraintes empêchent des contributeurs par ailleurs qualifiés d’entrer dans cet espace.
David Maclver, créateur de Hypothésis, une bibliothèque Python qui sert à tester des applications logicielles, explique pourquoi il a pu passer autant de temps sur le projet :

« J’ai pu le faire seulement parce que j’avais le temps et l’argent pour le faire. J’avais le temps parce que j’étais obsessionnel, je n’avais personne à charge, et je n’avais pas d’emploi. Je pouvais me permettre de ne pas avoir d’emploi parce que j’avais de l’argent. J’avais de l’argent parce que pendant la dernière moitié de l’année passée, je touchais un salaire deux fois plus élevé que d’habitude, en dépensant deux fois moins que d’habitude, et je traversais une dépression qui me rendait trop borderline pour avoir envie de dépenser mon argent dans quoi que ce soit d’intéressant. Ce ne sont pas des conditions qu’on peut raisonnablement exiger de quelqu’un. […] Est-ce qu’on pourrait produire un logiciel de qualité en moins de temps que ça, en ne travaillant que sur du temps libre ? J’en doute. »

6196938171_447ee71493_z
Photo par hiroo yamagata (CC BY 2.0)

Cory Benfield, un développeur pour les fonctions de base de Python, écrit :

« De manière générale, les personnes qui ne sont pas des hommes cisgenres, hétérosexuels, blancs, de classe moyenne, et anglophones sont moins susceptibles de pouvoir assumer les risques financiers accrus associés à l’absence d’emploi stable. Cela signifie que ces personnes ont vraiment besoin d’un salaire régulier pour pouvoir contribuer le plus efficacement possible. Et nous avons besoin de leur contribution : des équipes diversifiées font un meilleur travail que des équipes homogènes. »

Charlotte Spencer, qui contribue au framework logiciel Hoodie et au système de bases de données PouchDB, fait écho à cette opinion :

« Toutes mes contributions sont purement bénévoles. Je n’en retire pas d’argent, même si j’aimerais beaucoup pouvoir. J’ai demandé à des vétérans de l’open source s’ils étaient payés et ce n’est pas le cas, ce qui m’a découragé d’essayer quoi que ce soit (si ces gens-là ne sont pas payés, pourquoi le serais-je ?). J’y consacre la plus grande partie de mon temps libre, mais j’essaie d’en faire moins parce que ça envahissait trop ma vie. »

Jessica Lord, développeuse, a contribué activement à l’open source tout en travaillant à Code for America, une organisation à but non-lucratif qui soutient la technologie dans le secteur public. Urbaniste de formation, elle insiste sur le fait qu’elle n’avait « pas de diplôme en informatique, pas d’expérience formelle en programmation, mais un portfolio GitHub ».

Ses contributions régulières attirèrent l’attention de la plate-forme GitHub elle-même, pour qui elle travaille désormais. Cependant, Jessica note qu’elle a pu contribuer à l’open source grâce à un concours de circonstances « particulier » : elle a accepté une baisse de salaire pour travailler à Code for America, utilisé toutes ses économies, travaillé « presque non-stop » sur des projets open source, et bénéficié d’une communauté de soutiens.

À propos du manque de diversité dans l’open source, Jessica écrit:

« La valeur des savoirs communs ne peut être surestimée. Nous devons faire mieux. Nous avons besoin des idées de tout le monde. C’est le but que nous devrions chercher à atteindre. Il est nécessaire que l’open source soit ouvert à tous. Pas seulement aux privilégiés ou même aux seuls développeurs. »

Ce dernier point soulevé par Jessica Lord est révélateur : permettre à des profils plus divers de participer à l’open source peut aider à pérenniser l’open source en elle-même. D’un point de vue fonctionnel, la grande majorité des contributeurs open source sont des développeurs, mais beaucoup d’autres rôles sont nécessaires pour gérer les projets d’ampleur, comme la rédaction, la gestion de projet ou la communication. Les projets open source ne sont pas différents des autres types d’organisations, y compris les startups où l’on a besoin de personnes se chargeant de l’administration, du marketing, du design, etc., qui sont autant de fonctions nécessaires au fonctionnement de base d’une structure. C’est en partie parce que la culture open source repose principalement sur les développeurs que la pérennité financière est si rarement l’objet de discussions et d’actions concrètes.

Enfin, l’homogénéité des contributeurs open source impacte les efforts en faveur de la diversité dans le monde de la technologie au sens large, puisque l’open source est étroitement lié à l’embauche. En effet, comme nous l’avons remarqué plus haut, beaucoup d’employeurs utilisent les contributions open source, notamment les profils GitHub, pour découvrir leurs futurs employés potentiels ou pour vérifier les qualifications d’un candidat. Les employeurs qui se fient ainsi essentiellement aux preuves de contributions open source ne recrutent que parmi un vivier de candidats extrêmement restreint.

Ashe Dryden, dans un essai important intitulé L’Éthique du travail non payé et la Communauté OSS, expliquait :

« Juger que quelqu’un est un bon programmeur en se basant uniquement sur le code qu’il rend disponible publiquement, c’est exclure bien plus que les gens marginaux. C’est aussi exclure quiconque n’est pas autorisé à publier son code publiquement pour des raisons de licence ou de sécurité. Cela concerne également un grand nombre de travailleurs freelance ou de contractuels qui, pour des raisons légales, n’ont pas le droit de revendiquer publiquement leur participation à un projet (par exemple s’ils ont signé un accord de confidentialité). Dans une industrie où on lutte pour dénicher assez de talents, pourquoi limitons-nous artificiellement le spectre des candidats ? » (source)

Comment atténuer ou éviter certains des coûts qui s’imposent aux personnes qui participent à l’élaboration d’infrastructures numériques aujourd’hui ? Pour commencer, nous analyserons comment les projets d’infrastructure sont actuellement financés.




Dégooglisons Internet : notre (modeste) plan de libération du monde

un billet de l’association Framasoft

Voilà six mois que nous le concoctons activement… mais plusieurs années que cela nous travaille. Nous voyons, tout comme vous, nos internets évoluer. Les logiciels privatifs deviennent des services et des applications web qui captent notre attention et nos données, qui les centralisent pour mieux les exploiter. Le gratuit nous transforme en produits qui engraissent les géants de la Silicon Valley et attisent la convoitise des services d’espionnage…

Face à cela, la communauté du Libre évolue elle aussi, en développant des alternatives logicielles à installer, étudier, améliorer et diffuser. Framasoft s’est inscrit dans cette évolution dès le lancement de Framapad en s’efforçant de faire au mieux : rendre le libre facilement accessible à nos grand-pères, petites sœurs, voisins et collègues. Aujourd’hui, Framapad est notre projet le plus utilisé, avec quatre instances sur nos services et un financement participatif réussi. Framadate et Framindmap sont en plein boom et notre lecteur RSS Framanews tourne à pleine capacité…

La demande pour des alternatives libres est de plus en plus pressante, et il faut y répondre. Ça urge.

<img title="Dégooglisons Internet - par LL de Mars - LAL" style="margin: 0 auto; display: block;" alt="" src="/public/_img/framasoft/framasoft-campagne-2103_ll-de-mars_licence-art-libre.jpg" >=""

Google est un symbole (caution: may be evil)

L’année dernière, nous avons dégooglisé Framasoft. Comme monsieur et madame tout-le-monde, au fil des années, nous nous étions laissé séduire par la facilité immédiate des services proposés par la deuxième capitalisation boursière au monde. Nous avons montré qu’une structure aussi complexe que Framasoft peut se libérer de Gmail[1], Google Groups[2], Analytics[3], ainsi que d’Adsense et les services embarqués[4] ; et ce grâce à vos dons et participations bénévoles.

Mais cela ne suffit pas. Le géant de Mountain View est passé de simple moteur de recherche à un inventaire à la Prévert qui propose suite bureautique, stockage dans le cloud, magasin d’applications, livres, musiques et films, plusieurs OS (systèmes d’exploitation… mais encore des brevets sur les téléphones, l’électronique, la robotique et le vivant… Comme nous le disions lors d’une de nos frama-conférence aux dernières RMLL : « Google, c’est le nouveau Skynet ».

Or Google n’est qu’une lettre des GAFAM (Google Apple Facebook Amazon Microsoft) qui, avec Dropbox, Avaaz, Twitter (et tant d’autres…) ont réussi à nous rendre tellement dépendants de leurs services que nous finissons par travailler pour leur empire sans même nous en indigner.

Les libristes contre-attaquent (et Framasoft allume les LEDS)

On n’est pas les premiers (et merci !). On n’est pas les seuls (et heureusement !). Mais à Framasoft, on a décidé que ça suffisait. Alors on va faire ce que l’on sait faire le mieux : sensibiliser le grand public et lui proposer des services Libres, Éthiques, Décentralisés et Solidaires face à chaque application privatrice, centralisatrice, exploiteuse et enfermante qu’on pourra combattre. Ce « plan de libération du monde »[5] est intitulé : Dégooglisons Internet.

Nous allons améliorer nos services existants, tout en faisant perdurer nos projets-phares. Nous ouvrons officiellement aujourd’hui un pod Diaspora*, une Framasphère pour qui souhaite se libérer de Facebook sans tomber dans le business plan de Ello. Nous allons proposer un moteur de recherche, un service de raccourcissement d’URL, des catalogues d’ebooks libres, de l’hébergement d’images… Et cela c’est juste pour la fin de l’année ! Sur trois ans, nous comptons proposer toute une liste de services libres (stockage cloud, hébergement de fichiers, tube vidéo, listes de diffusion, micro-blogging et blogs), d’alternatives s’opposant comme autant de pieds de nez gaulois à l’envahisseur romain.

Pour réussir ce pari fou, nous avons une potion magique : vous.

Nous avons besoin de sous vous (mais de sous aussi ^^)

Actuellement, notre budget annuel représente 2,27 secondes du chiffre d’affaires annuel de Google. Rien qu’avec cela, on accomplit déjà beaucoup. Mais avec votre aide, nous pouvons aller plus loin. On le sait, la communauté libriste est constamment sollicitée par nos collègues, amis, et nous-même afin de réunir les fonds pour faire vivre leurs projets. Nous, on va vous demander de le défendre. Partagez autour de vous le site Dégooglisons Internet. Utilisez cet outil amusant et pédagogique pour accompagner votre entourage dans la prise de conscience des dangers du web privateur. Montrez-leur la liste des alternatives existantes, et de celles qui peuvent se créer si les geek-friendly viennent grossir nos rangs et nous soutenir par leur argent, leur temps, leur partage de compétences.

Des associations utilisent Framapad pour écrire leurs documents sans avoir à s’inscrire sur GoogleDocs. Des militants et syndicats ont compris que Framadate permet d’avoir un « Doodle » qui ne donne pas les dates de leurs réunions à la NSA ou la DGSE… Des écoles initient en toute sécurité leurs élèves au dessin assisté par informatique grâce à Framavectoriel. Ces projets existent grâce à des volontés bénévoles soutenues par une association qui leur donne les moyens d’éclore, de se développer et de perdurer.

Nous avons besoin d’argent et de volontés pour mettre notre plan en action, et chaque personne que vous convaincrez nous permettra d’avancer dans cette direction.

Framasoft engage son nom

(engagez-vous, qu’ils disaient !).

Nous ne nous engageons pas à réussir, car cela dépend des volontés qui nous rejoindront et des moyens que vous nous donnerez. Mais nous nous engageons à faire de notre mieux dans cette direction, et à le faire en développant des services Libres, Éthiques, Décentralisés et Solidaires. Nous avons élaboré une charte à laquelle nous nous tiendrons, ainsi que toute personne qui souhaite nous apporter son savoir-faire. Nous espérons aussi que d’autres projets nous rejoindront dans cette dynamique de mise à disposition pour le plus grand nombre de tels services (et nous nous évertuerons à en parler).

Maintenant, tout dépend de vous, de ce que vous allez faire après avoir lu cet article. Et vous savez quoi ? — Nous sommes confiants !

Vos outils :

Pour expliquer comment et pourquoi le petit village libriste résiste à l’envahisseur.

Une page pour résumer l’ensemble des projets que nous proposons et voulons proposer, et des moyens qu’il nous faut pour y parvenir.

L’association vit principalement du don, afin d’offrir aux projets l’infrastructure logistique, technique et humaine dont ils ont besoin pour se développer.

Notre engagement pour l’éducation populaire au Libre dans une économie sociale et solidaire.

Tu sais faire des trucs ? Ça tombe bien, on a des trucs à faire !




clibre.eu : un (autre) annuaire de logiciels libres

Selection_006.jpeg

Il existe de nombreux annuaires francophones de logiciels libres. Celui de Framasoft, renommé Framalibre depuis que le réseau s’est diversifié, évidemment. Mais il est loin d’être le seul.

Nous pourrions citer par exemple jesuislibre.org, qui a sensiblement le même âge que Framasoft (c’est-à-dire près de 15 ans !). Et bien entendu, les annuaires spécialisés. Par exemple celui de l’Adullact, celui de l’École Polytechnique Fédérale de Lausanne, le Pack Logiciels Libres de l’entreprise, etc. Sans oublier, bien évidemment, l’article Liste de logiciels libres de l’incontournable encyclopédie libre Wikipédia.

Il faut bien reconnaître, pour citer Cyrille Borne, que l’annuaire logiciel de Framasoft est devenu bien poussiéreux ces dernières années. Nous en sommes bien conscients et travaillons à une refonte totale de Framalibre. Comme ce projet va encore nous prendre quelques mois, nous avons même publié framastart.org, un annuaire simplifié, afin de répondre à la demande des personnes souhaitant n’avoir qu’une sélection réduite à l’indispensable à avoir sur son poste de travail.

Cependant, des initiatives méritent d’être saluées en particulier lorsqu’elles font l’objet d’un travail sérieux et réfléchi. C’est donc avec une curiosité amicale que nous avons posé quelques questions à l’un des sympathiques créateurs d’un nouvel entrant : cLibre.eu

Aux esprits chagrins qui pourraient trouver dommage que les énergies soient réparties sur de multiples sites, et non sur un seul qui pourrait les fédérer[1], nous répondrons qu’il en va sans doute avec les annuaires de logiciels comme avec les logiciels eux-mêmes : la liberté de faire le sien doit être préservée, et même encouragée. Cela afin de préserver l’innovation, d’éviter les projets sclérosés, et d’inviter à la création de nouvelles communautés.

Bonjour Hervé, peux-tu te présenter ?

Rien de spécial. Centre d’intérêt nombreux et variés des activités de montagne à la méditation en passant encore par un fort investissement dans les associations.

Vous venez de publier clibre.eu, un annuaire de logiciel libre “allégé”. Quelles sont ses spécificités, notamment par rapport à Framalibre, l’annuaire de Framasoft ?

En fait cela fait 2 ans qu’il existe, mais nous n’avons jamais pris le temps de communiquer autour.

Nous avons donc mis un certain nombre de critères :

  • Pour le grand public, assos, TPE (pas pour les geek)
  • Support aux débutants (tutoriels, présentation, forums)
  • En français dans le texte
  • Les domaines les plus demandés (bureautique, internet, graphisme…)
  • Un nombre restreint de logiciels (qui ne devraient pas dépasser la centaine)
  • Une fiche (pas de notice ni de commentaires) avec plein de liens (téléchargement, forum…)
  • Mise à jour régulière
  • Facilité le passage final de Windows ou Mac vers Linux
  • Tout éthique (pas de diffusion de violence, discrimination …)
  • Gratuit ou peu cher à l’utilisation

Un premier mini moteur de recherche (http://www.clibre.eu/alternatives/) est mis en place. Il permet de trouver une alternative en saisissant uniquement le mot d’une utilisation (internet, photo…) ou le nom d’un logiciel propriétaire.

Nous avons aussi une approche qui intègre l’évolution libre qui n’est plus seulement de favoriser des distributions Linux ou des logiciels, mais des aussi applications ou services en ligne qui ont des fonctionnalités équivalentes.

Autre approche similaire avec vous, c’est l’indispensable éducation par rapport à la gratuité. C’est souvent l’élément déclencheur pour l’adoption des logiciels libres par le grand public. C’est à nous après de les amener progressivement à s’imprégner du fonctionnement et des valeurs du libre qui dépassent de plus en plus le cadre des logiciels libres.

D’emblée nous n’avions pas voulu faire un doublon de l’annuaire framalibre. Nous n’en avions ni les moyens mais surtout pas l’envie que ce soit à l’extérieur ou à l’intérieur de Framasoft. C’est dans ce sens ou je t’avais rencontré pour bien fixer les différences.

Ce n’est pas un fork et nous espérons bien qu’il y ait un jour un annuaire qui comporte des milliers de référence du Libre. S’il y a un intérêt évident d’avoir un annuaire le plus exhaustif possible, il est aussi intéressant de promouvoir le libre pour un milieu spécifique : association, éducation, entreprise… Chacun à son propre code culturel et des logiciels plus adaptés…

Selection_007.jpeg

Pourquoi avoir créé ce projet ? Et comment vois-tu son évolution dans les mois qui viennent ?

C’est parti d’un besoin personnel (comme souvent ;-)). Je fais partie de nombreuses associations et nous sommes nombreux à avoir été confrontés à un problème d’interopérabilité. Un bien grand mot pour expliquer les pertes de caractères, mises en page entre logiciels parfois de la même société bien connue. Certains adhérents avaient des PC ou des Macs. J’utilisai des mots et des explications qui n’aboutissaient pas souvent aux résultats escomptés. Du côté de l’utilisateur, il était aussi plus simple de continuer à fonctionner avec ses habitudes.

L’intérêt des campagnes précédentes des adeptes du libre, c’est d’avoir permis petit à petit d’acquérir notoriété et crédibilité. Les associations l’ont adopté de plus en plus souvent pour leurs besoins fondamentaux. D’autre part les logiciels libres les plus connus font d’énormes progrès pour intégrer l’expérience utilisateur et s’adapter à celui-ci plutôt que le contraire. J’ai dû faire la même chose dans mes explications en m’adaptant. Avec la généralisation de l’utilisation d’internet, il est devenu de plus en plus facile de faire des liens vers les ressources et quelques tutoriels.

Mais on est encore loin d’un basculement massif vers les systèmes libres en raison de l’intégration des systèmes d’exploitation et de logiciels lors de l’achat d’ordinateurs, tablettes ou autres et du poids du freeware.

Nous faisons le constat qu’il manque encore des outils de promotion et vulgarisation, que ce soit sous forme d’annuaire, vidéos ou autres pour des non-informaticiens.

www.cLibre.eu est un nouvel outil qui va dans ce sens avec notamment le mini moteur de recherche qui permet de trouver plus facilement un équivalent à son logiciel propriétaire.
Gain personnel: je gagne en efficacité et en temps pour faire autre chose, par exemple pour le libre. J’ai juste à mettre un lien dans une phrase et l’envoyer par mail en signature.

Les non informaticiens ont maintenant tous les éléments en main pour basculer petit à petit leur logiciel. La situation est mature maintenant pour aider à un basculement plus massif vers une informatique totalement libre, vers des distributions Linux. C’est l’objectif qui suit une fois que nous avons adopté des logiciels sur notre Windows ou Mac et que l’on retrouve les mêmes sur sa distribution Linux.
C’est le chemin que j’ai pris et nous sommes nombreux à avoir fait.

Personnellement je n’avais jamais contribué au code ou au financement de logiciels libres, c’est une manière pour moi de remercier tout le travail fait par d’autres (promoteur, développeur…)

Peux-t-on y participer ? Comment ?

Pour l’instant c’est encore difficile (toujours ce temps qui nous file entre les doigts), cela fait partie des évolutions du site qui sont programmées dans les prochains mois. Il faut au préalable que l’on réfléchisse sur les besoins, les cadres et les fonctionnalités pour favoriser l’intégration de nouvelles personnes ou tout simplement faire un outil réellement participatif. Cela arrivera d’autant plus vite que nous aurons, après cet interview, un retour positif et un soutien de la part de la communauté du libre aussi bien pour ce site que pour la réalisation d’une vidéo.

Vous pouvez déjà nous aider :

  1. en faisant la promotion de ce site dans votre entourage, sur vos sites et réseaux
  2. en répondant, en se mettant dans la peau d’une personne de votre connaissance sans compétence informatique
  3. si vous avez un peu plus de temps Waouh 🙂 , en suivant le lien nous aider
    1. vérifier le tableau http://www.clibre.eu/alternatives/ (qui est le point d’entrée le plus important) en vérifiant/proposant des noms de catégories ou marques propriétaire susceptibles d’être très recherchées par les non-informaticiens
    2. vérifier chaque fiche logiciel sur les liens, texte de présentation, voir en l’enrichissant. (Nous contacter d’abord pour savoir ceux qui n’ont pas été pris et qui vous intéressent)
    3. tout type de travaux graphiques (logo, picto, bandeau pub…)
    4. animation pédagogique multimédia (vidéo, prezi)

Selection_008.png

Avez-vous d’autres projets en cours ?

Oui. Faire une vidéo pour promouvoir les logiciels libres. L’intérêt a été discuté avec plusieurs interlocuteurs de plusieurs associations, sites du libre et cela fait unanimité.

Le monde du libre a besoin de ressources ludiques, cool, sympa pour amorcer le basculement dans nos milieux spécifiques (assos, éducation, TPE …) ou nos proches non informaticiens. Les critères sont donc à peu près les mêmes que pour le site. L’objectif étant que cette vidéo puisse être réutilisé (librement !) sur tout type de site comme introduction. A chacun ensuite de proposer les outils ou liens spécifiques. Exemple : en dessous de la vidéo, il serait possible d’insérer des liens vers framapack, libreassociation, annuaire grand public …

Là aussi nous avons des besoins urgents car nous souhaiterions lancer une campagne de financement participatif qui doit être terminée courant juin.

Vous pouvez participer comme association ou personnellement avec l’une des options suivantes :
A/ En tant qu’asso nous trouvons le projet sympathique et nous sommes prêts à parrainer cette initiative. Nous autorisons cLibre.Eu à mettre notre beau logo dans cette campagne ;
B/ Personnellement pour être tenu au courant de ce projet, je m’inscris sur la lettre d’infos www.clibre.eu ;
C/ Je relaie la campagne sur ma liste de contacts, lettre d’infos … dès son lancement ;
D/ Je communique des contacts pour la réalisation vidéo, graphisme… ou de structures, sites web… afin de mener à bien ce projet en leur relayant l’infos ;
E/ J’ai des compétences pour faire quelques graphismes (image campagne, logo, bandeau pub …), une animation Prezi, aider pour les relations presse ;
F/ J’ai un peu de temps pour réfléchir au synopsis, contenu de la campagne. Je veux bien recevoir quelques mails par mois et participer à la rédaction du texte de campagne et d’après-campagne.

Merci Hervé ! Un petit mot pour la fin ?

En fait le combat du libre doit rejoindre celui d’un changement beaucoup plus profond de la société.
Sur l’internet cela passe par trouver et mettre en place des alternatives face à l’hégémonie de Google.
Framasoft nous montre le chemin en développant des applications en ligne libre.
Merci à vous, merci à toi.

Le chemin est long, mais que de chemin parcouru déjà 😉

Notes

[1] Et dans les ténèbres les lier ? 😉




Tous ensemble vers l’annuaire Framalibre

Tout au long de cette semaine Framaccueil, nous vous avons présenté une partie des coulisses de notre nouvelle page d’accueil. Cette semaine a été l’occasion pour nous de mieux communiquer sur l’ensemble des services proposés, grâce à vos dons, à vos apports, à notre travail commun.

Tous ces projets sont bien jolis, mais le projet initial, c’est tout de même un annuaire… L’annuaire Framasoft, avec ses dix années au compteur, a mérité une belle retraite… En effet, il se prépare depuis quelque temps déjà un nouveau projet qui, espérons-le, rendra autant de services durant autant de temps… Nom de code : FramaLibre. C’est à Nicolas (aka lamessen) que l’on va essayer de tirer les vers du nez…

— Pouhiou

Framablog : Tu fais partie des plus récentes recrues de Framasoft… Alors, même pas peur d’être de ceux et celles qui s’attellent au projet-phare ?

Nicolas : Une fois surmonté l’horrible bizutage à l’arrivée chez Framasoft, plus rien ne peut faire peur ! Ceux qui ont déjà entendu les grognements traumatisants de Goofy le savent bien. Du coup, c’est un réel plaisir de pouvoir mettre les mains sous le capot, apporter un peu de sang frais et mettre son grain de sel dans un projet qui est véritablement prometteur. Pourvoir participer à ce projet à peine arrivé, c’est vraiment motivant.

Pourquoi passer de Frama « Soft » à Frama « Libre » ? Une lubie ou un changement fondamental ?

Il était nécessaire de donner à l’annuaire son propre nom, pour faciliter la lisibilité pour les visiteurs. Mais c’est plus qu’une simple question d’ergonomie. L’annuaire Frama « soft » était un annuaire regroupant des logiciels libre. FramaLibre a pour vocation d’offrir une expérience beaucoup plus riche. Il contiendra bien entendu toujours les logiciels libres, mais il ne se limitera plus à ça. Il proposera de nombreuses autres choses, toutes en rapport avec la culture libre au sens large, bien sûr ! Il n’y avait pas de meilleure façon de marquer cette ouverture au monde libre en général qu’en lui offrant un nouveau nom, symbole de cette renaissance.

L’oreillette me souffle qu’en ce moment, vous créez des catégories… Alors, c’est facile de classer ce qui est libre ?

Cette oreillette semble fichtrement bien renseignée ! Nous sommes effectivement en train de travailler sur les catégories qui seront proposées dans ce nouvel Annuaire. Et…ce n’est pas facile du tout (laissez moi sortir, au secours !). Sélectionner ce qui doit intégrer ce projet était assez facile. Mais le catégoriser pour rendre son utilisation la plus simple et agréable possible est beaucoup plus compliqué. D’ailleurs, ma poubelle est pleine d’essais qui n’ont pas été jugés suffisamment bon, et nous avons déjà consommé les aspirines de 3 pharmacies pour soulager les migraines provoquées par nos réflexions sur le sujet.

Dans la forme, quelle plateforme a été choisie pour travailler sur ce nouvel annuaire…? Pourquoi ?

Il sera propulsé par Drupal. C’est une plate-forme qui permet facilement l’ajout de contenu par les utilisateurs. C’est un point très important pour ce nouvel annuaire, qui doit être participatif , et facile à utiliser. Y contribuer doit être un plaisir et pas un parcours du combattant. De plus, cette plate-forme est déjà utilisée par Framasoft (notamment pour le site de Veni, Vidi, Libri.) Du coup, ça évite aussi de compliquer la tâche déjà ardue des administrateurs-systèmes et autres équipes qui doivent assurer le support technique et les maintenances. Et ce n’est pas rien, c’est quelque chose qu’il faut prendre en compte dès le lancement, pour assurer le meilleur service possible. Si on se débarrasse des difficultés techniques, autant pour la communauté que pour l’équipe technique, il ne reste plus que le contenu, et le plaisir de partager ensemble autour du libre.

Bon, et si on veut participer, on le peut à partir de quand ? Comment ?

Déjà dans les starting blocks ? C’est parfait, tous ceux qui voudront contribuer à cet annuaire 2.0 seront les bienvenus ! Nous devons d’abord finir de mettre en place la structure de FramaLibre, et faire une première série de tests. Ceux qui le voudront pourront alors participer à une phase bêta, de test de FramaLibre et surtout de remplissage du contenu. Plus ce projet sera participatif et complet plus il sera utile. Préparez-vous, révisez vos raccourcis clavier, on vous fera bientôt signe pour vous donner le top départ !