Publier le code source ne suffit pas…

Un court billet où Nicolas Kayser-Bril opère une mise au point : la loi européenne et les grandes entreprises du Web peuvent donner accès au code source, mais ce n’est qu’un facteur parmi d’autres qui s’avère souvent inutile à lui seul…

Article original : The ideology behind publishing Twitter’s source code publié dans le bulletin d’information (en anglais ou allemand)  d’Algorithmwatch auquel on peut s’abonner sur cette page.

Traduction Framalang relue et révisée par l’auteur : Squeeek, goofy, audionuma

L’idéologie derrière la publication du code source de Twitter

par Nicolas Kayser-Bril

Photo noir/blanc de l'auteur, jeune homme brun souriant.
Photo par Julia Bornkessel licence CC-BY 4.0

Une fuite

Le 31 mars, Twitter a publié une partie du code source qui alimente son fil d’actualité. Cette décision a été prise quelques jours après qu’il a été rendu public que de grandes parties de ce code avaient déjà été divulguées sur Github [Gizmodo, 31 mars].

Les 85 797 lignes de code ne nous apprennent pas grand-chose. Les tweets ne contenant pas de liens sont mis en avant. Ceux rédigés dans une langue que le système ne peut pas reconnaître sont rétrogradés – discriminant clairement les personnes qui parlent une langue qui n’est pas reconnue par les ingénieurs californiens. Les Spaces (la fonction de podcasting en direct de Twitter) sur l’Ukraine semblent également être cachés [Aakash Gupta, 2 avril].

Le plus intéressant dans cette affaire reste le billet de blog rédigé par ce qu’il reste de l’équipe d’ingénieurs de Twitter. Il explique bien comment fonctionne un fil d’actualité d’un point de vue technique.

Comment (ne pas) ouvrir le code source

Une entreprise a été pionnière pour rendre son code source public : Twitter. Il y a deux ans, son équipe « Éthique, Transparence et Responsabilité » a publié le code d’un algorithme de recadrage d’images et a organisé une compétition permettant à quiconque d’y trouver d’éventuels biais [AlgorithmWatch, 2021]. Cette équipe a été l’une des premières à être licenciée l’année dernière.

Il ne suffit pas de lire un code source pour l’auditer. Il faut le faire fonctionner (l’exécuter) sur un ordinateur. En ce qui concerne l’Ukraine, par exemple, nous savons seulement que les Spaces Twitter étiquetés « UkraineCrisisTopic » subissent le même traitement que les articles étiquetés « violence » ou « porno ». Mais nous ne savons pas comment cette étiquette est attribuée, ni quels en sont les effets. Il semble que le code de ces fonctionnalités n’ait même pas été rendu public.

Dissimulation

Publier du code informatique sans expliquer comment le faire fonctionner peut être pire qu’inutile. Cela permet de prétendre à la transparence tout en empêchant tout réel audit. Twitter n’est pas la première organisation à suivre cette stratégie.

La Caisse Nationale des Allocations Familiales a publié les 7 millions de lignes du code de son calculateur d’allocations suite à une demande d’informations publiques (demande CADA) [NextINpact, 2018]. On ne pouvait rien en tirer. J’ai fait une demande de communication des « documents d’architecture fonctionnelle », qui sont mentionnés dans des commentaires du code. La CNAF a répondu qu’ils n’existaient pas.

La loi européenne sur les services numériques prévoit que les « chercheurs agréés » pourront accéder aux « données » des très grandes plateformes, y compris éventuellement au code source [AlgorithmWatch, 2022]. Pour que la loi sur les services numériques fonctionne, il est essentiel que les entreprises traitent ces demandes comme le Twitter de 2021, et non comme le Twitter de 2023.

L’idéologie technologiste

Enfin, la focalisation sur le code source est au service d’un projet politique. J’entends souvent dire que le code est le cœur d’une entreprise, que c’est un secret commercial précieusement gardé. C’est faux. Si c’était le cas, les fuites de code source nuiraient aux entreprises. Suite à des intrusions ou des fuites, le code source de Yandex et de Twitch a été publié récemment [ArsTechnica, 2021 et 2023]. À ma connaissance, ces entreprises n’en ont pas souffert.

Le code source n’est qu’un facteur parmi d’autres pour une entreprise du Web. Parmi les autres facteurs, citons les employés, les relations avec des politiques, les procédures internes, la position sur le marché, l’environnement juridique et bien d’autres encore. Mettre le code sur un piédestal implique que les autres facteurs sont sans importance. Les propriétaires de Twitter et de Meta (et ils sont loin d’être les seuls) ont dit très clairement que les ingénieurs étaient beaucoup plus importants que le reste de leurs employé·e·s. Pour eux, tout problème est fondamentalement technique et peut être résolu par du code.

Je suis certain que la publication du code source de Twitter conduira certains technologues à prétendre que le harcèlement en ligne, les agressions et la désinformation peuvent désormais être « corrigés » par une pull request (lorsqu’un contributeur à un projet open source propose une modification du code). Ce serait un pas dans la mauvaise direction.




Modifier aujourd’hui la structure d’Internet : une mauvaise idée ?

La guerre en cours met le monde entier face à des décisions cruciales, et il est compréhensible que l’Ukraine appelle à utiliser tous les moyens pour lutter contre son agresseur russe. Cependant, dans cet article que Framalang a traduit pour vous, l’Electronic Frontier Foundation, ardent défenseur des libertés numériques, souligne qu’il y aurait beaucoup d’inconvénients à instrumentaliser Internet en modifiant ses règles de fonctionnement à des fins politico-militaires, comme le demande l’Ukraine.

Article original : Wartime Is a Bad Time To Mess With the Internet

Traduction Framalang : Fabrice, goofy, jums, Mannik, mo, tTh, retrodev,

C’est la guerre, pas le moment de toucher à Internet

par Corynne McSherry et Konstantinos Komaitis

À l’EFF, comme beaucoup, nous sommes horrifiés par l’invasion russe de l’Ukraine. Comme beaucoup aussi, nous ne sommes experts ni en stratégie militaire ni en diplomatie internationale. Nous avons cependant une certaine expertise en matière de libertés sur Internet, c’est pourquoi nous sommes extrêmement préoccupés de voir que des gouvernements, partout dans le monde, font pression sur des entreprises liées à Internet pour modifier sa structure fondamentale.
Manipuler Internet à des fins politiques ou militaires risque fort de se retourner contre nous de multiples façons.

Les plateformes de médias sociaux sont déjà sous forte pression. La Russie exige de plusieurs entreprises, comme Facebook, Google ou Netflix, qu’elles diffusent des contenus commandités par l’État. L’Union européenne, dans un geste sans précédent, a décidé d’interdire dans toute l’UE la diffusion de ces contenus par ces canaux sous contrôle étatique, et l’Ukraine demande à la Commission européenne de faire bien plus encore.

Le gouvernement ukrainien a en effet demandé à l’ICANN 1 de déconnecter la Russie d’Internet, en révoquant ses noms de domaine de premier niveau (Top Level Domains, ou TLD) « .ru », « .рф » et « .su », afin de compliquer l’accès aux sites web et aux e-mails russes partout dans le monde. L’Ukraine a aussi contacté le RIPE, l’un des cinq registres régionaux pour l’Europe, le Moyen-Orient et une partie de l’Asie centrale, pour lui demander de révoquer l’attribution d’adresses IP à la Russie.

Concrètement, certaines de ces demandes sont fondamentalement impossibles à satisfaire : l’ICANN n’a pas de bouton magique pour déconnecter un pays, le RIPE ne peut pas simplement révoquer des adresses IP. Mais ce n’est pas le seul problème : modifier les protocoles des structures fondamentales d’Internet pourrait avoir bon nombre de conséquences dangereuses et durables.

En voici quelques-unes :

Cela priverait les gens d’un très puissant moyen de partager les informations juste au moment où ils en ont le plus besoin

Si Internet peut être utilisé pour diffuser de fausses informations, il permet à chacun et chacune, activistes, militantes des droits humains, journalistes ou citoyens ordinaires, de documenter et de partager les faits en temps réel et, ainsi, de résister à la propagande. En effet, il semblerait que la Russie tente depuis des années de se « débrancher » d’Internet, afin de contrôler entièrement les communications du pays. Les fournisseurs d’accès à Internet ne devraient pas aider le gouvernement russe, ou n’importe quel autre gouvernement, à enfermer les gens dans une bulle informationnelle.

Cela créerait un dangereux précédent

De telles interventions, une fois admises, fourniraient aux États et aux acteurs qu’ils soutiennent de nouveaux outils pour contrôler le débat public. Dès que des processus ou des outils qui permettent de limiter l’expression sont développés ou améliorés, les entreprises peuvent s’attendre à un raz-de-marée de demandes pour les appliquer, ce qui finirait inévitablement par cibler des propos pour lesquels ces outils n’étaient pas initialement conçus et que ces entreprises n’avaient pas initialement l’intention de traiter. Au niveau des plateformes, les États et les acteurs qu’ils soutiennent ont depuis longtemps détourné les outils de signalement en véritables armes qui permettent de réduire les opposants au silence.

Cela pourrait compromettre la sécurité et la vie privée de tout le monde

Toute tentative pour altérer l’infrastructure aura un impact sur la sécurité d’Internet et de ses usagers. Par exemple, la révocation d’adresses IP signifie que des dispositifs tels que le Routing Policy Specification Language (RPSL), que les fournisseurs d’accès internet utilisent pour définir leurs politiques de routage, ou la Resource Public Key Infrastructure (RPKI), qui sert à améliorer la sécurité de l’infrastructure de routage BGP d’Internet, seraient sérieusement compromis. Cela exposerait les usagers à des « attaques de l’homme du milieu », compromettrait des activités ordinaires telles que les transactions bancaires, et limiterait la vie privée, car les usagers n’auraient plus d’endroit où se cacher.

Cela saperait la confiance dans le réseau ainsi que dans règles qui le structurent

La confiance est primordiale dans l’auto-organisation et l’interopérabilité des réseaux. C’est elle qui assure la résilience d’une infrastructure de communication globale capable de résister aux pandémies et aux guerres. Cette confiance dépend, à son tour, de processus imparfaits mais minutieux, par lesquels de multiples acteurs développent des politiques, des règles et des mécanismes institutionnels neutres. Court-circuiter ces mécanismes dégraderait irrémédiablement la confiance sur laquelle Internet est fondé.

Nous avons été soulagés de voir que l’ICANN a refusé, tout comme le RIPE, d’obtempérer aux requêtes du gouvernement ukrainien et nous espérons que les autres organisations chargées de l’infrastructure feront de même.
Lors de situations de crises, nous sommes souvent tentés de prendre des décisions auparavant inimaginables. C’est maintenant que nous devons résister à cette tentation et exclure de la négociation toutes ces propositions.

En des temps obscurs, les gens doivent pouvoir aller vers la lumière, rassurer leurs proches, s’informer eux-mêmes et informer les autres, regarder par-dessus les murs de la propagande et de la censure. Internet est un outil crucial pour tout cela : ne jouons pas avec lui.