Des services en lignes peuvent-ils vraiment être éthiques ? Pas Sage en Seine 2024

À l’ère du capitalisme de surveillance, et grâce à l’émergence de structures et collectifs tels que CHATONS, les personnes qui font le pas peuvent échapper aux GAFAM pour leurs services en ligne. Mais est-ce pour autant la panacée ? Ces services hors GAFAM sont-ils pour autant éthiques ? Quelles seraient les conditions pour que les personnes qui font confiance à un serveur pour les servir ne soient pas asservies ?

Bonjour à toutes et tous. Je vais commencer.

Qui suis-je ?

Je me présente. Je m’appelle Adrien, on m’appelle neox sur les réseaux. Je vais vous parler de beaucoup de choses aujourd’hui. Je me présente un peu rapidement.
Je suis responsable de l’infrastructure informatique de Libre en Communs [1], une association à but non lucratif, d’intérêt général, qui s’occupe d’action et de défense du logiciel libre par le développement, la communication et, en partie aussi, d’ateliers philosophiques. Je suis trésorier de cette association. Je suis également mainteneur GNU Boot [2], on va en parler un peu après. Je suis membre de la Free Software Foundation [3] et de la XMP Standards Foundation [4]. Ça fait beaucoup de choses, mais, en fait, tout est un peu lié. En général, je tourne autour du matériel et des protocoles de communication.

Plan

Aujourd’hui, je vais vous parler de services libres. Je vais commencer par introduire un peu les enjeux. Je vais vous parler aussi du logiciel libre, de ce qu’il a apporté au sujet et de la confiance. On va comprendre pourquoi je parle de confiance après.

Introduction aux enjeux

Capitalisme de surveillance

Le capitalisme de surveillance, c’est un peu l’enjeu qu’on a aujourd’hui en 2024.
La notion de surveillance apparaît en 1078 dans les écrits L’Art de la guerre de Sun Tzu. Au départ, c’est un système qui est réservé surtout aux États, à l’époque il n’y a pas encore de notion de modèle économique. En fait, la surveillance est un outil pour le prince afin d’asseoir son pouvoir.
La notion de profilage apparaît à la fin du 20e siècle, c’est le capitalisme et le libéralisme qui apportent ça parce que, puisqu’on vend des choses, puisqu’on a besoin d’avoir une cible de marché, on a besoin de connaître la cible, donc, on se met à vouloir étudier les données des personnes qui vont potentiellement acheter des choses, c’est donc un outil qui nécessaire et demandé.

De 1990 à 2013 c’est Internet, c’est l’apparition d’Internet et du Web.
Il y a une démocratisation des techniques et des méthodes de surveillance, une surveillance généralisée de plus en plus catégorisée : on va cibler des personnes spécifiques, des catégories de personnes spécifiques, et puis il y a un abaissement des coûts parce que la technologie devient accessible, donc des petits acteurs, des petites entreprises deviennent capables d’avoir accès à ce genre d’outil de profilage.
Il y a aussi une nécessité de spécialisation : en général les entreprises, etc., ont beaucoup besoin de ces outils, il devient alors nécessaire d’avoir un marché à part qui va proposer ces services. Il y a donc création d’un véritable secteur de la surveillance, bien diffusé, avec beaucoup de demandes, impliquant aussi des coûts faibles : comme il y a beaucoup de demandes et beaucoup de technologie, la rentabilité du secteur n’est plus à démontrer.
C’est donc un modèle économique qui est considéré, de façon un peu étrange, comme respectable. Évidemment, on n’aime pas le terme « capitalisme de surveillance » dans le secteur, on n’appelle pas ça comme ça. Il y a donc plusieurs catégories :

  • d’abord les publicités en ligne, c’est le truc que la plupart des gens connaissent, Google, Yahoo, Allociné et d’autres font ça, ils mettent en avant des publicités et ça rapporte de l’argent ;
  • il y a des infomédiaires. Les infomédiaires, c’est une autre catégorie. Ce sont des personnes qui vont, en gros, cibler pour les autres acteurs, notamment pour ceux qui proposent des publicités. La plus grosse qu’on connaît c’est Doubleclick qui va, en gros, utiliser les publicités pour mieux comprendre les comportements de consommateurs et consommatrices ;
  • il y a les distributeurs comme Amazon, La Redoute, Leclerc aussi fait ça, Carrefour fait ça. Ils vont s’adresser aux infomédiaires qui analysent l’exploration de publicité afin de comprendre le marché ;
  • et puis il y a les régies communautaires. C’est une catégorie un peu à part, elles ne font pas forcément appel aux infomédiaires. Facebook, X, Tinder et d’autres comme ça collectent leurs données elles-mêmes, dans leurs propres outils, et vont les utiliser soit pour les revendre à des infomédiaires soit pour les exploiter elles-mêmes ;
  • ensuite, il y a les hard data, un truc un peu plus sous-marin parce que c’est un peu scandaleux. Par exemple, Axa va vous proposer un respirateur artificiel contre l’apnée du sommeil et va vous demander de signer un petit truc dans le contrat qui l’autorise à récolter vos données de sommeil et, si vous ne le faites pas, vous n’avez pas droit au respirateur artificiel gratuitement pendant je sais pas combien de mois. C’est moins avouable, mais ils le font, c’est tout à fait respectable ;
  • ensuite, il y a les producteurs, on n’en parle pas souvent quand on parle de sécurité et de données, mais en fait, les gens qui fournissent des outils de protection de la vie privée en profitent. Vous avez des sociétés qui vont vendre des clés de chiffrement, qui vont vendre des VPN, des choses comme ça, et elles font partie du même marché, d’ailleurs, parfois, elles font double jeu : d’un côté, elles vont aider les infomédiaires en les finançant un peu et puis, de l’autre côté, elles font des solutions pour se protéger des infomédiaires.

Évidemment, tout cela pose la question de l’enclosure, de l’enfermement et de la captation des données personnelles.

On va parler de vieux souvenirs : 2013 l’affaire Snowden [5].
Si vous avez oublié, je rappelle qu’en 2013 on a appris que la surveillance généralisée existait vraiment, qu’elle était globale, qu’elle utilisait tous les moyens techniques possibles et imaginables, que les industries et les services de renseignement des États participaient toutes et tous activement à cette surveillance et que même certains producteurs de solutions sécurisées faisaient ça. On se souvient qu’à l’époque Lavabit faisait du mail chiffré et, en fait, transmettait en même temps les mails en clair à la NSA. C’est sympa !

2013, c’est aussi l’émergence des sociétés spécialisées dans la surveillance. On commence à voir des sociétés dont le seul but est de surveiller, ce n’est même pas du renseignement, ce ne sont pas des sociétés privées de renseignement, ce sont des sociétés de surveillance, ça s’appelle comme ça, c’est même écrit sur leur site « nous surveillons », basiquement ; c’est écrit en anglais, c’est donc forcément moins clair pour nous, mais vrai.

Et puis, en 2018, vous avez Cambridge Analytica<ref<Scandale Facebook-Cambridge Analytica]]. Après un petit moment où on n’entend plus parler de rien, on apprend qu’une société avait comme but très clair, dans ses statuts de société, de faire de la manipulation politique et qu’elle utilise des données personnelles pour le faire. Là aussi, secteurs privé et public étaient impliqués, on se souvient notamment de l’implication d’une agence de renseignement intérieure américaine qui envoyait des données à Cambridge, histoire de voir ce que ça allait faire. Eux voyaient ça comme une expérience ! C’est intéressant !

Pour vous rappeler encore un souvenir un peu plus ancien, qui est qui est apparu à peu près en même temps que les révélations de Snowden pour le grand public, c’est PRISM [6]. PRISM c’était un grand programme, d’ailleurs c’est probablement toujours un grand programme de la NSA. Vous avez, ici, les différents fournisseurs de données pour la NSA. Ce n’est pas que j’aime faire du name shaming, mais c’est quand même vachement intéressant de savoir que Microsoft, Yahoo, Google Facebook, PalTalk, YouTube, Skype, AOL et Apple ont participé et participent toujours probablement.
Je rappelle que c’est un programme qui permettait, et qui permet toujours à la NSA, de récupérer des données qui, en échange, donne à ces sociétés de l’argent. C’est du commerce, évidemment, donc c’est respectable !

Là, ce sont les pays qui sont touchés par la surveillance, la France se porte plutôt bien, on ne va pas se mentir, elle pourrait faire mieux, c’est sûr. Cette carte provient des données que Snowden avait donné au Guardian. Normalement gris, ça veut dire qu’il y a pas de surveillance. Vous voyez du gris ? Non, il n’y en a pas ! Par contre, vous avez du vert clair, ça veut dire qu’il y a un peu de surveillance ; si c’est rouge, c’est qu’il y en a beaucoup et ça ne concerne que la NSA ; rouge, c’est très surveillé et vert c’est peu surveillé.

Problèmes de logiciel ?

On va donc regarder ce qu’on peut faire avec le logiciel libre.

Freedom ladder

Avant de commencer, je rappelle que la Freedom Ladder existe, l’échelle de la liberté. Pourquoi je dis ça ? Parce que je parle dans un contexte particulier, je vais vous parler de services, c’est-à-dire de choses qui sont proposées par des serveurs pour être utilisées par des personnes. Je ne parle pas de ce que vous allez installer sur votre machine, je ne parle pas de ce dont vous avez besoin sur votre machine, parce que ce serait un peu comme mettre en opposition la liberté individuelle et la responsabilité collective, ce n’est pas la même chose. Je parle de responsabilité d’associations ou de structures pour des personnes et pas de ce que vous, vous allez faire comme choix. Donc, si je vous parle de logiciel 100 % libre, ça ne veut pas dire que je vous dis qu’il faut installer du logiciel 100 % libre, c’est que je pense, et on est plusieurs dans Libre en Communs à le penser, qu’une structure qui propose des services devrait utiliser du 100 % libre parce qu’elle est responsable.

Le logiciel en tant que service

Je vais commencer par vous parler du logiciel en tant que service.
Vous connaissez peut-être Alexandre Oliva [7] qui est le cofondateur de la FSFLA Software Foundation Latin America et de Linux-libre [8], qui, il y a quelque temps, dans un article qui sera dans les sources de ces slides, présentait le logiciel en tant que service. Il faisait ça avec une analogie intéressante : imaginez, par exemple, un magasin et vous voulez aller acheter des choses, mais, tout ce que vous allez acheter doit rester dans le magasin ; et puis, si le magasin ferme, vous ne pouvez pas y aller ; et puis, si le magasin disparaît, vous ne pouvez plus récupérer ; si jamais vous avez envie d’entrer dans le magasin et que le videur, à l’entrée, dit « non », vous ne pouvez pas. Eh bien, le logiciel en tant que service ressemble beaucoup à ça.
En fait, c’est une réalité bien réelle, qui, d’ailleurs, s’applique à beaucoup d’OS. Par exemple Android de Google, avec son magasin d’applications, fait exactement ça : Google a la capacité de supprimer une application de notre téléphone, à distance, donc l’utilisateurice ne contrôle pas le fonctionnement du logiciel, ne contrôle pas l’accès aux logiciels et ne contrôle pas non plus les données personnelles associées à ces logiciels.
C’est ce qu’on appelle le logiciel en tant que service ou, en anglais, le SaaSS. Ça a été beaucoup théorisé par la FSF [Free Software Foundation], il y a maintenant beaucoup d’articles sur le sujet et je vous renverrai, dans les sources, à ces articles.
Il y a exemple magnifique : Amazon avait décidé de supprimer le livre 1984 sur toutes les Kindle ; c’est arrivé il n’y a pas très longtemps, il y a un an ou deux [2009, NdT]. Ils ont supprimé à distance 1984, d’Orwell, sur tout toutes les Kindle.

Public : Inaudible.

Adrien Bourmault : Plus que deux ans, ça paraît récent pour moi, c’était il y a cinq ans minimum, ça date, mais ils l’ont fait et ils le referont !

Le logiciel libre est-il pertinent ?

Parlons de logiciel libre.
Pour rappel, normalement on sait à peu près tous ce qu’est que le logiciel libre, mais bon, rappelons qu’il y a quatre libertés dans le logiciel libre que sont :

  • utiliser,
  • étudier et modifier,
  • partager,
  • partager les modifications et améliorations.

D’accord, c’est bien, il y a quatre libertés, mais ça ne protège pas contre le logiciel en tant que service. Les quatre libertés, c’est sympa quand on a un logiciel installé sur sa machine, mais si le logiciel est à distance, ça ne protège pas.
On peut améliorer, on peut utiliser une licence qui oblige à publier les sources de son serveur, par exemple la AGPL [9] : elle considère que le fait de mettre en ligne, sur un serveur, constitue une distribution, donc oblige à publier les sources, mais ça ne sauve pas non plus.
On peut aussi limiter les actions réalisées à distance, par exemple proposer un service et dire « on vous encourage à utiliser ça hors-ligne », on fait de la communication, mais ça n’empêche pas non plus que les gens qui continuent d’utiliser en ligne restent soumis au danger du Service as a Software Substitute.
Donc, le logiciel libre est complètement insuffisant, par contre il reste nécessaire parce que si le service n’est pas libre, c’est encore pire, notamment si c’est un service qui transmet des données personnelles à distance. Imaginez que j’installe un service pas libre sur un serveur et que je dise « allez-y, c’est accessible », qu’en plus ce serveur se permet de transférer des données à Google ou Amazon, eh bien là, j’ai enfermé l’utilisateur dans un service qu’il ne contrôle pas et, en même temps, en plus, je transmets ses données aux infomédiaires. C’est donc une double perte, une double défaite.

Rendre un SaaSS plus éthique ?

Peut-on rendre un service plus éthique ?
On peut, par exemple, permettre aux utilisateurices de contrôler le service ; ça peut se faire avec une approche locale. Par exemple, ce qu’avait permis au départ CHATONS [10], qui avait créé ce concept d’AMAP [Association pour le Maintien d’une Agriculture Paysanne] de l’informatique : on connaît effectivement son fournisseur de services, on peut aller le voir, on peut venir lui poser des questions directement.
En plus de ça, on peut mettre en place tout ce qui est liant humain. Des CGU [Conditions Générales d’Utilisation] qui respectent les personnes, ça donne/ref>] des garanties ; par exemple, si les CGU sont lisibles par des humains, c’est déjà pas mal ! On peut se dire que les avocats, les juristes ne sont pas forcément des humains ! Parfois, on peut se poser la question : regardez les CGU de WhatsApp, parfois j’ai du mal à comprendre qui a écrit ça et qui a traduit, parce que la traduction est pire que la version originale ! Et plus, c’est très long.
Donc des CGU courtes, faciles à comprendre et faciles à lire et qui, en plus, vous donnent des droits ça aide, ça aide beaucoup.
Il faut aussi permettre de donner des garanties sur le traitement des données. Par exemple, un service qui vous dit « si on ferme, vos données sont perdues. » Ouais ! D’accord ! Donc là, vraiment on est complètement enfermé. Alors que si on a des CGU qui disent « si on ferme, on vous laisse un mois pour les récupérer, vous pouvez même venir nous voir en personne pour les récupérer », là, c’est déjà plus humain et les données sont moins enfermées. Par contre, si la personne meurt, se fait écraser par un bus et qu’elle était la seule personne disponible, on a toujours au même problème ! En tout cas, on peut limiter.
Ne pas oublier que le Libre ça veut dire, souvent, interopérabilité, pas toujours, il y a plein de contre-exemples, mais souvent ça aide, parce que si le logiciel du serveur du service qu’on utilise à distance est libre, je peux récupérer mes données et les mettre sur le service de quelqu’un d’autre et ça marche pareil, donc j’ai gagné un peu.
Et puis, il faut favoriser des services clients/serveur ou des services clients seuls, par exemple du pair-à-pair, ce n’est pas mal, ça reste en réseau, mais on peut toujours l’utiliser seul et on ne dépend pas d’un serveur. C’est de moins en moins vrai parce que de plus en plus de services pair-à-pair dépendent de plus en plus de serveurs. Par exemple Jami [11], avant, était complètement pair-à-pair et maintenant dépend d’un serveur, une sorte de blockchain, pour simplifier, donc on en a besoin. Ils ont dit qu’un jour on pourrait décentraliser ça, mais un jour, c’est loin. Il y en a de moins en moins, mais il faut les mettre en avant.

Le matériel est-il fiable ?

Donc PRISM existe, je le disais tout à l’heure, ça existe probablement encore et ça a laissé des traces.
J’adore vraiment, c’est un vrai logo d’Intel [Intel Delivers], ce n’est pas une parodie, c’est très rigolo parce qu’ils ont énormément fait partie, ils font partie intégrante du programme, leur nom n’était pas marqué dans PRISM. Le matériel est une source de surveillance, Intel en fait partie et la complexité du matériel n’aide pas parce que c’est vraiment exponentiel. C’est-à-dire que, je vais en parler après, depuis les années 90, votre matériel fait de plus en plus de choses, et vraiment de plus en plus.
On a une segmentation de l’environnement logiciel. Sachez que votre système d’exploitation a de moins en moins la main sur votre matériel, parce que, en fait, il y a d’autres choses entre, notamment une augmentation de la part des logiciels de bas niveau comme les microprogrammes, le BIOS, par exemple, fait de plus en plus de choses, les micro-codes pour le CPU, pour la wifi, pour le Bluetooth et de plus en plus de pilotes de périphériques qui sont soit de plus en plus complexes soit plus en plus opaques.
Une petite révélation, parce que j’aime bien faire des révélations, il y a un processeur dans le processeur, depuis 2008. Dans un processeur Intel, il y a un processeur ARM qui sert à exécuter un sous-système et qui a tous les droits sur votre machine, ça s’appelle Intel Management Engine. Ce truc est sympa, il permet même l’accès à distance, c’est cool !, avec toute la mémoire, tous les périphériques, tout ! C’est la petite révélation, j’aime bien, c’est toujours croustillant !

À propos du microprogramme…

À propos du microprogramme dont je parlais à l’instant, vous vous rappelez peut-être que le BIOS, dans les années 80, si vous étiez là, moi je n’y étais pas, c’était vraiment basique. Il y avait simplement un comptage de la RAM, peut-être une vérification que les bus fonctionnaient à peu près, puis pouf !, ça y est, on donne la main à l’OS. Ça c’était avant.
Aujourd’hui, le BIOS fait bien plus que ça : il initialise tous les bus, il entraîne la mémoire, la mémoire a besoin d’être entraînée, il faut lui donner les bonnes tensions, il faut régler les impédances par un peu d’électronique, il faut lui montrer comment fonctionner et c’est le BIOS qui fait ça et ça prend un temps considérable.
En plus de ça, maintenant, il y a des BIOS qui font encore plus de choses avec un système d’exploitation complet, ça s’appelle UEFI [Unified Extensible Firmware Interface]. Il y a un noyau, ça répond à des appels système du système. En fait, le noyau Linux fonctionne, le noyau Linux traite des appels système, par exemple une demande d’écrire à l’écran ou je ne sais quoi, et le BIOS, en fait, va faire une partie de cela, donc Linux, sans le faire exprès, va faire appel au BIOS. Il ne le sait pas, il accède à une zone mémoire, mais, en fait, accéder à cette zone déclenche une interruption qui fait que c’est l’UEFI qui s’exécute. Ce truc est présent tout le temps en mémoire, a accès à tout, quasiment, a même une pile réseau, c’est-à-dire que ce truc peut accéder à Internet, peut se mettre à jour tout seul, en silence, comme il veut, et on appelle toujours ça microprogramme, c’est toujours le nom officiel.
Et puis, depuis 2006, on a UEFI 2.1 qui fait du Secure Boot. Vous vous souvenez, c’est le truc qui vous empêche d’installer une distribution libre, en plus c’est immense, le truc fait 15 mégas au minimum, c’est beaucoup ! En plus, il y a de la GUI [Graphical User Interface], les gens sont contents, ils peuvent manipuler la souris dans l’interface de configuration.
Imaginez si ce n’était pas libre ! En fait, ce n’est déjà pas libre ! Bon, d’accord.

Comment lutter contre ça ?

Comment lutter contre ça, parce que c’est un peu pour ça qu’on parle, je ne suis pas là pour vous dire que tout va mal et qu’on va mourir, enfin si, on va mourir, mais pas maintenant.
Donc, aujourd’hui, c’est impossible de lutter contre le matériel. On a un matériel complètement verrouillé quand il est récent, des microprogrammes qui s’auto-protègent. Je vous parlais de Management Engine tout à l’heure, il vous empêche de les installer, si vous le désinstaller l’ordinateur s’éteint au bout de 30 minutes, c’est comme ça. On a tous testé ! Beaucoup de gens travaillent sur le sujet, essaient de faire des contre-mesures, par exemple effacer une partie d’Intel Management Engine pour que ça marche quand même, mais c’est de la galère et, à chaque nouvelle version d’un processeur, il faut changer toutes les techniques. La dernière version, la douzième génération et la treizième, c’est impossible, on ne peut pas supprimer Intel Management Engine pour le moment, on peut supprimer des morceaux, mais pas les morceaux les plus importants, donc l’accès à distance est toujours possible.
Et la rétro-ingénierie de tout ça est super coûteuse, parce qu’il faut passer des temps infinis. Si on voulait vraiment réussir à remplacer Intel Management Engine par un truc libre, il faudrait dix ans de travail humain, il faudrait que ce soit financé pour que ça ait le lieu et, en plus, on n’est pas sûr que la génération d’après correspondra. C’est ultra coûteux ! Alors que faire ?
À Libre en Communs, on propose dans nos documentations, et c’est ce qu’on fait dans notre infrastructure, d’utiliser du matériel plus ancien, un peu plus ancien, du matériel de 2011 par exemple et viser 100 % de logiciels libres y compris pour les logiciels bas niveau : utiliser des BIOS libres, n’utiliser que des pilotes libres et jamais de micro-code non libre. Évidemment, c’est un peu un peu contraignant, mais pour des serveurs c’est acceptable, on ne parle pas des ordinateurs des gens.
II existe aussi du matériel libre, mais c’est une notion ultra floue. Quand on dit matériel libre, d’accord, mais libre en quoi ? Je peux copier le matériel ? Je prends du matériel, je le copie, je partage les modifs ?, c’est un peu compliqué. En fait, il faudrait parler de matériel « à design libre » ou à « fichiers de conception libre », c’est déjà un peu plus précis, mais, même là, les licences ne sont pas très claires, on a donc des soucis à vraiment définir ce que c’est : pour le matériel, il y a des licences libres qui autorisent à utiliser des trucs pas libres dedans, du coup ce n’est pas récursif, et, parfois, il y a des licences qui disent « non, c’est complètement libre, y compris les dernières dépendances ». Oui, mais est-ce qu’on peut vraiment parler d’un transistor libre ou de silicium libre ? Est-ce qu’un atome c’est libre ? On a du mal, des fois, donc ça demande encore du travail.
En plus, le matériel libre c’est bien, mais sans logiciel libre qui tourne dessus, on a tout perdu. Super, j’ai un matériel libre, mais il exécute un BIOS pas libre ! Là, on peut se demander quelle est la logique, parce que le logiciel, du coup, fait ce qu’il veut sur du matériel qu’on connaît, et ça ne change pas le problème.

Donc un microprogramme libre existe-t-il ? Oui. Spoiler, il y en a un qui s’appelait GNU Boot [2].

L’expérience d’un matériel éthique ?

À Libre en Communs, nous avons fait l’expérience de matériel un peu plus éthique, une infrastructure conçue autour de la carte mère Asus KGPE-D16. C’est une carte mère de Asus, on ne s’attendrait pas à ce que ce soit spécialement libre, mais, en fait, si.
C’est aussi pour deux raisons :
la première c’est que c’est fait pour les serveurs et, à l’époque, Asus pensait que pour que ça se vende mieux, il fallait que ce soit bien connu par les gens qui l’utilisent. Quand ce sont des serveurs d’Amazon, par exemple, ils ont envie de savoir ce qu’il y a vraiment dans la carte mère parce qu’ils veulent l’optimiser pour le refroidissement ;
ensuite, la rétro-ingénierie a été faite par des gens de Raptor Engineering qui se sont dit « tiens, si on portait cette carte mère pour un BIOS entièrement libre ». En fait, ça a été finalement facile, ils ont cassé beaucoup de cartes mères entre-temps, d’ailleurs à la ponceuse, c’est vraiment du lourd, mais ils ont réussi et ils ont réussi à sortir, en 2014, une version d’un BIOS quasiment entièrement libre et qui a, ensuite, été amélioré. Cette carte mère est géniale parce qu’il y a zéro micro-code non libre installé, pas d’Intel ME, pas d’AMD PSP, pas de possibilité d’accéder à distance et pas besoin d’UEFI non plus. Donc, on peut avoir un BIOS ultra-simple qui fonctionne, qui fait ce qu’il faut.

On utilise aussi des routeurs un peu plus libres, notamment les Turris Omnia, mais il y a des micro-codes qu’on a pas réussi à supprimer, sinon ça ne marche pas. On a donc migré vers des Netgear qui fonctionnent avec LibreCMC, OpenWrt plus libre, avec zéro logiciel non libre et ça fonctionne !

Pour parler un peu de GNU Boot, c’est un BIOS, c’est-à-dire un logiciel qui démarre votre matériel, l’initialise, configure votre mémoire et qui, ensuite, passe directement la main au système et ne reste pas en mémoire. Il y a une partie qui reste, c’est ce qu’on appelle l’ACPI [Advanced Configuration and Power Interface], disons que c’est du code qui est exécuté par votre système d’exploitation, qui interprète ça, mais, en gros, il n’y a pas de programmes résidents, il n’y a pas d’appels système faits par le système, quoique le SMM [System Management Mode] existe encore, mais je ne vais pas entrer dans les détails. En gros, c’est un truc qui, tous les certains temps, va exécuter du code sur votre machine, par exemple pour régler des tensions ou des choses comme ça, donc rien qui permette une faille, quoiqu’il y a eu des bugs avant mais quand ce n’était pas libre. Dans ce cas-là, le SMM est libre grâce à Coreboot.

On utilise aussi une connexion internet neutre, un peu plus éthique, qui s’appelle FDN [12]. On dépend toujours bien sûr, avec FDN, des fournisseurs de câbles commerciaux puisque FDN ne possède pas de câbles, c’est un peu compliqué. On ne va pas acheter des câbles partout en France – je suis aussi membre de FDN, c’est pour cela que je dis « on » –, ça va être très cher, donc on dépend effectivement des opérateurs d’infra, mais au moins, le contrôle de la connexion est fait par une structure qui est éthique et il n’y a pas de boîte noire qui enregistre nos communications.

Donc, à Libre en Communs, on arrive à contrôler tout le matériel qui gère les données, y compris, en partie, le matériel du réseau, ce qui est déjà pas mal.

Il n’y a jamais de nuage…

Il n’y a pas de nuage, tout ça ce sont des vraies machines, ce sont les machines de Libre en Communs, une, à gauche, est à Saint-Maur-des-Fossés, l’autre à Fontainebleau, ce sont des baies, il y a des machines réelles qui fonctionnent et vous pouvez venir les voir, ce n’est pas interdit, on est toujours content de recevoir de la visite.

Une question de confiance

De la neutralité

Parlons un peu de neutralité.
On parlait de service et c’est ultra important que le service soit neutre, ça veut donc dire pas de discrimination, pas de clientélisme. Ce n’est pas parce que vous êtes un ami ou une amie de la structure que vous avez plus de droits que les autres : puisqu’il faut que tout le monde soit libre y compris de ce point de vue du service, donc il ne faut pas qu’il y ait de discrimination.
Et, pour s’en assurer, il faut abolir la surveillance. Du coup, si on ne regarde pas les contenus, qu’on ne les altère pas, il n’y a pas de clientélisme ni de discrimination ; ça va dans les deux sens.
Et puis, il y a des exceptions parce qu’on a des obligations par la loi : par exemple, on est obligé de conserver deux semaines de logs ; on doit aussi modérer puisque si un nazi poste un truc, il faut quand même le supprimer vite, on doit éviter de mettre en avant ce genre d’idées, donc on est neutre mais pas envers ce genre de truc.

Chalec [13] est neutre

Chalec est le projet de Libre en Communs pour mettre à disposition des services pour le grand public fait ça :

  • on ne regarde pas les contenus sauf les signalements ;
  • on ne met rien en avant et on ne censure rien sauf obligation légale ;
  • on n’est pas victime de ça, non plus, nous-mêmes parce qu’on utilise FDN qui fait la même chose, qui est neutre ;
  • et on essaye de ne pas être banni ou censuré. Par exemple, si on n’avait pas utilisé FDN pour notre connexion, mais Orange, Chlaec aurait été victime de cette potentielle censure, puisque Orange n’est pas neutre. Quand des Chatons font ça, mais utilisent une connexion internet commerciale, certes le Chaton, par exemple, ne fait pas cette action de censure, mais leur ISP, leur fournisseur d’accès, le fait peut-être, donc ce n’est pas garanti.

Impliquer les utilisateurices ?

Pour aider à ne pas dépendre des services il faut aussi renforcer, comme je disais tout à l’heure, les liens locaux, continuer sur un principe des AMAP et permettre aux utilisateurices de s’impliquer. Par exemple, à Libre en Communs, on encourage les personnes qui ont envie à adhérer, à participer à nos réunions, à venir écouter ce qui se passe, à découvrir et même à venir sur place. Participer à la maintenance matérielle c’est toujours rigolo, on ne change pas tout le temps des processeurs, donc c’est bien de découvrir et de voir que ce petit truc existe vraiment, il a une existence matérielle. On parle souvent de processeurs, mais, souvent, rares sont les personnes qui ont vraiment vu un processeur enlevé, comme ça, dans la main, donc c’est toujours sympa de regarder ça. Donc, vous pouvez venir visiter, je ne l’ai pas encore assez dit, venez !

Certifications en audits

Un truc qui ne serait pas mal, parce qu’aujourd’hui ça manque, ce serait de permettre de certifier de tels services.
Avant, le collectif CHATONS servait un peu à ça, parce que ça avait une image, on disait CHATONS, oui, c’est l’exemple du service éthique. Aujourd’hui ce n’est plus vraiment le cas, déjà parce qu’il y a eu le changement de la charte et aussi parce que, déjà avant, tout le monde, dans CHATONS, ne respectait pas tous les principes que je viens de dire. Pour aller le plus loin possible, il faut qu’on ait une échelle, si on a juste un truc binaire, « un peu éthique ou pas du tout », on ne peut pas faire de grades.
Il faut donc pouvoir faire une échelle, il faut établir une confiance durable, donc certifier et auditer avec un regard extérieur, rationnel, et objectif, c’est un peu l’idée. Avoir des structures qui viendraient dire chez vous il y a ça, ça et ça, ça veut dire que c’est à peu près éthique à tant % ou sur tel sujet ; on ne peut pas dire « c’est éthique » tout court de façon absolue, mais on peut donner des critères qui font que quelque chose est un peu plus éthique qu’autre chose.
Plusieurs regards, ce n’est pas mal aussi. On a plusieurs certifications différentes qui couvrent différents aspects.
S’il y a des certifications ce n’est pas mal. Il y en a, c’est bien.
On a FSDG [Free System Distribution Guidelines ], une certification pour logiciel libre, faite par la FSF, qui permet de dire si un logiciel est entièrement libre ou pas. Le Free Software Directory [14], notamment, fait ça. En gros, il répertorie du logiciel entièrement libre tenu par la FSF, ils ont des réunions tous les vendredis sur IRC, si vous avez envie.
Pour le matériel, il y a RYF [Respects">Your Freedom] [15]. Ce n’est pas une certification parfaite, je vais en parler.
On peut faire des audits internes. Libre en Communs, par exemple, peut s’auditer elle-même, mais l’audit externe c’est quand même mieux.

Free Systems Distribution Guidelines [16]

Je disais que la FSDG s’applique aux logiciels et aux distributions logicielles notamment, ça garantit qu’un logiciel est entièrement libre, que tous les logiciels, dans une distribution, sont entièrement libres.
Ça garantit la pérennité, parce que si c’est dans une distribution FSDG, ça veut dire qu’il y a des gens qui auditent souvent, ça veut dire que c’est surveillé, c’est vérifié.
Ça garantie que la distribution ne promeut pas de logiciels privateurs. Par exemple, si une distribution respecte la FSDG, elle n’a pas le droit de mettre en avant un logiciel pas libre ou de faire de la pub sur un logiciel pas libre qu’elle distribuerait.
Libre en Communs met en avant ces distributions. On n’utilise que Trisquel maintenant, on a migré de Debian. On est sorti d’OpenWRT pour utiliser LibreCMC et on utilise GNU Boot. On met vraiment ça en avant et, dans notre documentation, on aide à l’installer, bien sûr. Si vous voulez faire un serveur comme celui de Libre en Communs vous pouvez voir notre documentation.

RYF s’applique surtout au matériel, ça garantit que tous les logiciels sont libres là-dedans ; ça garantit aussi la liberté puisque c’est audité fréquemment, et puis vous avez un droit de réparabilité. C’est important dans RYF, d’ailleurs ce n’est pas connu : pour être certifié RYF, il faut que vous vous donniez un minimum de plans sur le matériel, s’il n’y a pas ça, vous n’aurez pas la certification, même si vous êtes entièrement libre et que c’est garanti ; c’est un truc qui est méconnu.
On met ça en avant, on utilise la KGPE-D16 qui est certifiée, on n’a pas encore fait beaucoup plus que ça, on utilise GNU Boot qui promeut aussi ça.
Il y a des limites parce que RYF, c’est bien, mais ça ne garantit du logiciel libre que sur le CPU principal. S’il y a plusieurs CPU, ça ne garantit pas sur les autres. Par exemple, il y a eu une tentative, il n’y a pas longtemps, de Purism, de faire certifier leur Librem 5, leur téléphone, sauf que le processeur secondaire avait du logiciel pas libre et ce n’est pas passé pour une raison différente, c’est parce qu’ils avaient installé le logiciel pas libre sur le disque. C’est sur le disque, c’est couvert par RYF, donc ils n’ont pas eu la certification. S’ils avaient fait en sorte que le CPU secondaire ne soit pas avec un disque et que le microprogramme soit installé dans une puce, ça aurait fonctionné. C’est donc pour cela qu’il y a quand même des failles à RYF, mais c’est quand même mieux que rien. Si on n’avait pas cette certification, on n’aurait rien du tout. Il faut, effectivement, faire de nouvelles certifications et le matériel lui-même n’est pas libre au sens matériel libre.

Trouver du matériel compatible avec le Libre

Comment trouver du matériel compatible ?
Vous avez trois sites :
ryf.fsf.org, c’est la base ;
h-node.org [17], qui permet de trouver tout le matériel qui est supporté par des pilotes libres ;
et le site libreplanet.org, le groupe hardware [18], qui est vraiment une excellente source d’informations sur le matériel qui supporte le logiciel libre.

Intérêt d’une certification externe

L’intérêt d’une certification externe, j’en parlais tout à l’heure, ce serait pas mal parce que ça permettrait une vue extérieure et, en plus de ça, un plus grand recul, on aurait peut-être même des personnes dédiées pour faire ce genre de travail.
Qui pourrait le faire ? Nous, on peut le faire pour d’autres, par contre on ne peut pas le faire pour nous, sinon ce n’est pas externe, ce n’est pas logique. On a donc besoin de personnes qui viendraient probablement physiquement voir le matériel, parce qu’une certification à distance du matériel, c’est compliqué. Ça nécessite compliqué du temps et des compétences. On attend que des gens aient envie de le faire, je l’ai fait à Toulouse, je le referai. Si des personnes veulent le faire qu’elles nous contactent, nous serions vraiment très intéressés.

Pour conclure

Pour conclure, j’ai dit beaucoup de choses qui étaient vachement pessimistes, mais il y a plein de choses optimistes, on peut faire des trucs.
GNU/Linux, n’a jamais été aussi présent qu’avant, même s’il n’est pas toujours complètement libre.
GNU/Linux libre est beaucoup plus présent qu’avant, il y a plein de machines notamment celle-là, qui n’est pas une machine ultra rare, sur laquelle j’ai pu installer une distribution complètement libre avec un BIOS pas complètement libre.
On peut faire des serveurs entièrement libres avec des cartes mères qui sont super disponibles sur le marché, sur eBay la carte mère doit coûter une centaine d’euros, ce qui n’est pas énorme pour une carte mère de serveur, donc c’est possible, on peut faire ce que fait Libre en Communs sans difficulté. La difficulté, en fait, c’est de trouver comment faire. Maintenant que c’est fait, qu’il y a de la documentation, n’importe qui peut se lancer.

C’est un peu ce que je voulais dire, il y a de l’espoir, on peut faire des services qui sont un peu plus libres, on ne pourra jamais complètement contrer le problème du logiciel en tant que service, maintenant on peut faire mieux.

Références

Voilà les références, il y a pas mal de choses je vous encourage notamment à aller lire Le profilage des populations par Mattelart et Vitalis qui est vraiment très bien.
Vous avez plein de choses super intéressantes ici, allez voir.
L’article de Alexandre Oliva.
Saying non even once est vraiment très bien.
La page de Alexandre Oliva [19] dont le pseudo est Ixo. Pas mal de choses à regarder.
Vous pourrez retrouver cette conférence et les slides sur notre site internet de Libre en Communs.
Merci beaucoup
Si vous avez des questions, c’est maintenant.

[Applaudissements]

Place au débat

Public : J’avais regardé Trisquel à un moment et je me suis dit mais la dernière mise à jour date de Mathusalem !

Adrien Bourmault : Je crois que la dernière mise à jour date d’il y a six mois, si je ne me plante pas, la toute dernière version Trisquel Aramo a dû sortir il y a six mois. Après, pour des serveurs, ce n’est pas un problème, là je ne parle pas de système d’exploitation pour les gens, je parle de système d’exploitation pour un serveur qui va proposer des services, c’est un peu mon sujet.
Effectivement, je ne conseille pas Trisquel pour l’installation sur un PC personnel. Personnellement, j’utilise GNU Guix [20], qui est une distribution FSDG, qui est vraiment très à jour parce que les paquets sont assez récents ; tout n’est pas à jour, c’est un peu difficile, pour tout le monde, de faire les mises à jour de tout, surtout que GNU Guix a une contrainte supplémentaire qui est qu’il faut que tout le code soit libre, il n’y a pas de binaires utilisables sur GNU Guix, il faut tout recompiler sur les serveurs de Guix ou recompiler sur nos machines, donc il y a moins de mises à jour, en tout cas c’est plus à jour que Trisquel. C’est vrai que pour les gens qui ont besoin de logiciels très récents, Trisquel ne fait pas le taf.

Public : Comment ça s’écrit ?

Adrien Bourmault : Guix et GNU comme GNU.

Public : Merci pour la présentation. J’aurais une question : quand vous avez fini toutes vos installs, est-ce que vous avez vu une différence peut-être de performance ou de consommation ?

Adrien Bourmault : Une différence entre quoi et quoi ? Entre avant l’installation et après l’installation avec un BIOS libre ?

Public : Oui, ou par rapport à un serveur classique.

Adrien Bourmault : Si on veut comparer un serveur très récent avec un serveur plus ancien, il y a des différences de performance qui ne sont pas dramatiques pour nous. Nous utilisons des processeurs basse consommation sur nos machines, donc, déjà on fait le choix d’avoir moins de performance pour avoir moins de consommation électrique ; ce n’est pas un problème pour nous parce que, finalement, on a quand même 32 cœurs sur chaque carte mère, ça va. Chaque carte mère consomme 40 watts, ça va, on ne souffre pas trop. Maintenant, si on utilisait la dernière carte mère avec un Intel Xeon de 256 cœurs, on n’aurait pas les mêmes performances. Est-ce que c’est un problème ? Non ! En tout cas je ne pense pas.

Public : Ce que je veux dire : est-ce que le sur la même configuration, en virant tout ce qui n’est pas libre, est-ce qu’on gagne en performance ? Ce sont vraiment des choses qui consomment beaucoup ces trucs-là, alors les virer ça permet de…

Adrien Bourmault : Effectivement, ça, pour le coup, ça a été pas mal « benchmarqué » par les gens qui travaillent sur Coreboot : Coreboot est beaucoup plus performant qu’un BIOS privateur, déjà ça démarre beaucoup plus vite. Par exemple, cet ordinateur qui est sous Coreboot, pas entièrement libre, démarre en trois secondes à peu près ; le BIOS privateur dessus démarrait en 10 ou 15 secondes, ça dépendait. Déjà, par le fait qu’il y a beaucoup moins de choses à faire au démarrage, ça prend moins de temps. Ensuite, le fait qu’en runtime il y a moins de choses qui se passent, pendant que l’ordinateur s’exécute et fonctionne, le BIOS ne fonctionne plus, eh bien effectivement ça change un peu, il y a moins de cœur utilisé, il y a moins de latence sur les bus. Donc oui, ça paraît techniquement pertinent de dire qu’un BIOS libre est plus performant qu’un BIOS privateur.

Public : Bonjour. Tu as évoqué le changement de charte du CHATONS et aussi le besoin d’avoir une échelle de conformité. Peux-tu en dire plus ? Pourquoi le changement de charte est-il problématique ?

Adrien Bourmault : Je ne voulais pas me lancer là-dedans !

Public : C’était hier le vendredi.

Adrien Bourmault : Je ne vais pas revenir sur la raison pour laquelle le changement de charte s’est passé, etc. Pour nous, il est problématique, après, on respecte leur décision. On a décidé de quitter le collectif, parce que, ce qui nous pose problème, c’est qu’autoriser des exceptions ça correspond, pour nous, à juste nier le fait qu’il y a une responsabilité collective. C’est-à-dire qu’une structure qui propose des services en ligne pour les personnes devrait considérer que ce qui passe avant tout c’est la sécurité des données et pas la praticité.
Si c’est mon ordinateur, que je décide d’utiliser du logiciel pas libre, c’est mon choix, c’est mon droit. Si j’utilise les services de quelqu’un d’autre, je devrais pouvoir choisir si ce service, qui est à distance, est libre ou pas. Si je n’ai pas le choix et surtout en plus, pire, si ce n’est pas clair, c’est moi qui suis perdant en tant qu’utilisateur. Donc, à Libre en Communs, on a considéré que ce changement de charte posait problème pour ça, parce que ça veut dire que maintenant, dans les Chatons, on ne sait pas qui utilise du logiciel pas libre, ce n’est pas encore clair. J’ai vu qu’il y avait un travail pour rendre ça clair, tant mieux. En tout cas ça veut dire qu’un certain nombre de structures, là-dedans, utilisent des choses pas libres, voire des choses qui espionnent. J’ai découvert récemment que Framasoft utilise Akismet pour gérer le spam sur les courriels, mais ce truc transmet probablement des données à l’extérieur, en plus ce n’est pas libre, donc ça pose problème, ça pose souci. C’est de là que vient le désaccord : pour nous, c’est une négation de la responsabilité collective qu’ont ces structures.
Je ne sais pas si j’ai répondu à la question.

Public : Je voulais revenir sur la certification. Par rapport à ces notions, je m’inquiète sur la notion du coût d’une certification externe. Dans le Libre, c’est vrai que pour l’instant c’est un petit peu foutraque, il y a aussi plein de petits développeurs de Libre, ça veut dire que, de fait, eux ne seront jamais certifiés parce qu’ils n’auront jamais les moyens de se payer une certification. Si la certification du Libre est dans les mêmes tarifs que les tarifs des audits de sécurité ou ce genre de chose, jamais un petit développeur isolé ne va pouvoir se le payer. Est-ce que ça ne va pas entraîner, quand même, une forme de séparation entre les petits bricoleurs et un Libre peut-être plus professionnalisé ?

Adrien Bourmault : C’est une très bonne question. En réalité, je ne parle pas du tout ce genre de certification là. Je parle de la certification telle qu’elle est faite par la FSF sur tous les logiciels, y compris des logiciels de petits développeurs/développeuses, on en a plein. Le free Software Directory, qui est un site internet directory.fsf.org, qui fait d’ailleurs partie du patrimoine de l’Unesco, il faut le savoir, met en avant et liste en fait tous les logiciels ont été audités par la FSF et les développeurs n’ont pas eu à payer ; c’est la FSF qui fait ça, avec ses salariés, grâce aux dons des personnes et ça permet de lister tous les logiciels entièrement libres. Le FSFD est une vraie certification. De même FSDG, ce sont des certifications pour des distributions, là aussi, les distributions n’ont pas eu à payer, d’ailleurs certaines n’existent même pas légalement. Je prends l’exemple de Parabola [21], il n’y a pas d’association Parabola déclarée en préfecture, il n’y a rien, c’est juste un projet qui existe sous l’ombrelle du projet GNU et de la FSF. Ils n’ont pas besoin de payer quelque chose pour avoir cette certification. Je parle plutôt de ce genre de trucs, des certifications communautaires plutôt que des certifications commerciales, type audits de sécurité, d’ailleurs, c’est mon avis personnel, j’appelle ça du bullshit, souvent ! Merci pour la question.

Public : Sur l’aspect humain, on sait que les Émirats arabes unis avaient corrompu un certain nombre d’employés de Twitter pour avoir accès aux données de surveillance, on sait aussi que le Centre culturel kurde à Paris, je ne parle pas du dernier triple meurtre mais celui d’avant, c’était un bénévole, un volontaire qui était venu, qui était resté suffisamment longtemps pour gagner leur confiance jusqu’à buter trois militants. Évidemment Twitter, c’est une infrastructure de surveillance, vous, vous ne l’êtes pas. Si quelqu’un était mal intentionné, qui serait infiltré comme volontaire, quelle capacité aurait-il de nuire ? Avez-vous réfléchi à une solution, que ce soit vous, votre groupe, l’ensemble des Chatons même si vous ne l’êtes plus.

Adrien Bourmault : C’est une bonne question. C’est toujours un problème de l’équilibre entre la liberté qu’on donne aux gens et la surveillance qu’on fait par-dessus, surveillance en termes de sécurité de nos infrastructures et des bénévoles qui y travaillent. Malheureusement, il n’y a pas de solution miracle. À Libre en Communs, on essaye de bien se connaître, de discuter, de parler, de se voir beaucoup, donc on essaye de faire des réunions en présence quand on peut, à distance, on essaye de faire de la visio, des choses comme ça, de l’audio pour moins consommer. En fait, à part en connaissant les gens et même si on connaît les gens on peut tomber sur quelqu’un d’extrêmement entraîné qui va réussir à faire semblant et puis, d’un coup, va exécuter son plan machiavélique. C’est difficile, c’est vraiment difficile, je n’ai vraiment pas de solution et, à Libre en Communs, on n’a pas de solution là-dessus.

Public : S’il n’y a personne d’autre, je vais poser une question. Pour rejoindre un peu, justement, on parlait de CHATONS, on parlait des logiciels libres, des licences libres, etc., et pour faire un peu écho aussi à la conférence qui a eu hier : la notion de Libre n’est-elle pas aussi en soi déjà un problème, parce qu’aujourd’hui dans CHATONS on parle de Akismet, par exemple, pour de l’anti-spam, etc., ou de la question des services bancaires qui avait été aussi beaucoup soulevée où la surveillance n’existe, à priori, pas vraiment, on a relativement confiance en ces logiciels, même si, effectivement, ce n’est pas libre. Du coup, est-ce qu’on ne se coupe pas aussi justement de ces services-là ? Par exemple, une association qui utiliserait un Redis aujourd’hui, qui n’est plus libre au sens de la FSF, alors que la licence est juste pour se protéger au niveau commercial, etc. Du coup, n’y aurait-il pas un besoin de clarifier contre quoi on essaye de se battre et pas juste dire « c’est libre ou pas libre » qui, aujourd’hui, est une notion qui a l’air d’être un peu floue et un peu un peu problématique et qui cache, justement, de la NSA jusqu’à Redis qui veut juste protéger son fonds de commerce.

Adrien Bourmault : C’est très compliqué. Par exemple, pour Akismet, je ne peux pas apporter de la confiance à un logiciel qui n’est pas libre, parce que je ne peux pas vérifier ce qu’il fait vraiment. Donc, je ne peux pas considérer qu’on puisse dire qu’Akismet est de confiance, ça n’a aucun sens pour moi, vraiment aucun. Dire ça, c’est un peu comme dire « je connais cette boîte noire, c’est ma boîte noire préférée ». D’accord, mais il y a quoi dedans, tu ne sais toujours pas et ça n’a rien ajouté au débat. Cet argument-là, déjà, n’a pas de sens pour moi.
Ensuite, pour des licences pas libres au sens de la FSF, je prends l’exemple de la licence Json qui dit qu’il faut faire le bien, la licence anti-capitaliste ou d’autres licences, comme ça, pour se protéger d’actes commerciaux violents, je n’ai pas encore d’opinion parce que je n’ai pas encore assez travaillé sur le sujet. Foncièrement, pour l’instant, je ne suis pas spécialement contre, mais je préfère utiliser des licences libres bien reconnues. Après, c’est mon opinion de développeur. En tant qu’intégrateur système, c’est-à-dire installer des choses sur les serveurs, je préfère utiliser des logiciels de distributions SFDG et ces distributions n’auront pas ce type de logiciel. Ce n’est pas parce que je n’ai pas envie d’avoir ces logiciels, c’est parce que les distributions que j’utilise ne les auront pas et que je préfère utiliser des distributions auditées. Donc, je ne les utilise pas, mais ça ne veut pas dire non plus que je suis contre ; je n’ai vraiment pas d’opinion sur ce sujet-là précis.
Il y a d’autres questions ?

Public : Merci bien pour cette conférence.

Adrien Bourmault : Merci beaucoup.

[Applaudissements]