Voix off : Libre à vous !, l’émission pour comprendre et agir avec l’April, l’association de promotion et de défense du logiciel libre.
Étienne Gonnu : Bonjour à toutes. Bonjour à tous. C’est le moment que vous avez choisi pour vous offrir une heure trente d’informations et d’échanges sur les libertés informatiques et également de la musique libre.
Nous vous convions, ce mardi, Au café libre pour débattre autour de l’actualité du logiciel libre et des libertés informatiques, c’est le sujet principal de l’émission du jour. Également au programme, « Après la répet’ du 29 mars 2024, la JDLÉ rejouée », une nouvelle chronique des Costy père et fille. Et enfin, « L’insécurité informatique » par l’incroyable Luk.
Soyez les bienvenus pour cette nouvelle édition de Libre à vous !, l’émission qui vous raconte les libertés informatiques, proposée par l’April, l’association de promotion et de défense du logiciel libre.
Je suis Étienne Gonnu, chargé de mission affaires publiques pour l’April.
Le site web de l’émission est libreavous.org. Vous pouvez y trouver une page consacrée à l’émission du jour avec tous les liens et références utiles et également les moyens de nous contacter. N’hésitez pas à nous faire des retours ou à nous poser toute question.
Nous sommes mardi 30 avril, nous diffusons en direct, mais vous écoutez peut-être une rediffusion ou un podcast.
À la réalisation de l’émission, Julie Chaumard. Salut Julie.
Julie Chaumard : Bonjour. Bonjour Étienne.
Étienne Gonnu : Nous vous souhaitons une excellente écoute.
[Jingle]
Chronique « À cœur vaillant, la voie est libre », de Laurent et Lorette Costy - « Après la répet’ du 29 mars 2024, la JDLÉ rejouée »
Étienne Gonnu : « À cœur vaillant, la voie est libre », de Laurent et Lorette Costy.
Comprendre Internet et ses techniques pour mieux l’utiliser, en particulier avec des logiciels libres et des services respectueux des utilisatrices et utilisateurs pour son propre bien-être en particulier et celui de la société en général.
Laurent Costy est administrateur de l’April, il fait cette chronique avec sa fille Lorette.
Au programme aujourd’hui : « Après la répet’ du 29 mars 2024, la JDLÉ rejouée ».
[Virgule sonore]
Laurent Costy : Lorette, ma bibiche, on est dans la sauce gribiche : il faut rendre une chronique très vite sinon ça va faire un trou dans la prochaine émission, mais surtout, je risque de perdre toutes les actions capitalistiques que j’ai investies dans l’April ! C’est la punition quand on ne fait pas ce pourquoi on s’est engagé !
Lorette Costy : Juste par pure curiosité, combien as-tu d’actions de l’April, sans indiscrétion ?
Laurent Costy : Quarante-deux, c’est le plafond autorisé. À raison de 30 centimes l’action, ça nous fait quand même pratiquement le prix d’un carnet de timbres, en lettre verte.
Lorette Costy : Hou, là ! Oui, ce serait vraiment dommage de perdre un tel patrimoine ! On va trouver une solution !
Laurent Costy : Oui, ce serait bien. On pourrait parler de choses et d’autres, comme la cucurbitacine et le concombre d’âne, même si ça n’a pas grand-chose à voir avec le logiciel libre. De toute façon, à part ton pote Alexis, il n’y a pas grand-monde qui nous écoute !
Lorette Costy : Pas facile de savoir mais, on l’a déjà fait : parler d’un truc super intéressant, mais pas du tout en lien avec le logiciel libre. Ça va finir par se voir !
Laurent Costy : Tu as raison. Comme dirait Bohort dans Kaamelott, « je suis un misérable », et je m’apprête donc à rendre mon carnet de timbres.
Lorette Costy : Attends, attends ! On ne pourrait pas tout simplement, avec notre expertise désormais incontestable, pomper la chronique de la Journée du Logiciel Libre Éducatif et faire semblant qu’elle est en direct ?
Laurent Costy : Oh ! Mais c’est excellente idée que je t’ai soufflée là ! En plus, ce serait, 1, rendre hommage à cette chouette journée qui montre la belle effervescence autour des communs numériques dans l’éducation et, 2, rajouter artificiellement quelques applaudissements supplémentaires à ceux déjà bien nourris que nous avons eus le jour J ! Go, c’est parti, fermez les yeux, imaginez un amphi à Créteil, plein à craquer d’enseignants et d’enseignantes survoltés, je dirais, comme ça, à vue de nez, 40 000 à 50 000 spécimens venus des quatre coins de la France pour communier, dans une ferveur pittoresque, autour des communs numériques et du logiciel libre.
Lorette Costy : C’est parti ! Vous pouvez également jouer chez vous.
Bonjour à toutes et à tous. Fermez vos cahiers et vos ordinateurs. Prenez une feuille et un crayon. Vous, vous savez encore ce que c’est, normalement ! Celles et ceux qui ont caché leur téléphone portable dans leur trousse, sachez que mon papa, ici présent, a fait acheter à l’organisation, un appareil sur je-brouille-l-ecoute.com et que, par conséquent, le wifi, la 5G, la 4G et inférieurs ne vont pas être accessibles dans les huit minutes à venir.
Laurent Costy : Boudiou ! Déjà une contrepèterie dans ton propos liminaire d’accueil ! On ne respecte plus rien ! Bon, je profite que j’ai la parole pour préciser à l’intention des profs de physique dans la salle que le 9,81 g reste actif, c’est beaucoup plus compliqué à brouiller. Et c’est aussi, surtout, pour montrer que j’écoutais attentivement leurs cours quand j’étais jeune.
Lorette Costy : Je crois qu’on utilisait le terme « fayoter », à ton époque, pour qualifier ce que tu viens de faire !
Laurent Costy : Je ne vois pas de quoi tu parles. Sinon, on dit comment maintenant ?
Lorette Costy : On dit simplement « celui ou celle qui, à force de zèle, cherche à se faire bien voir de ses supérieurs », mais ne nous éparpillons pas. Je donne le sujet, écoutez attentivement : Valérie Peugeot distingue trois postures de la puissance publique vis-à-vis des communs. D’abord, il vous est demandé de rappeler ces trois postures – question sur 5 points. Ensuite, après avoir rappelé pourquoi la 3e posture, dite « posture de coopération », est bien plus intelligente que les deux autres postures, vous détaillerez ses bien-faits pour l’Éducation nationale en particulier, et pour notre société en général.
Laurent Costy : Excellent sujet ! Je converge ! La posture de confrontation et la posture d’indifférence, c’est quand même tout pourri. D’ailleurs, à propos de la posture d’indifférence – je ne suis pas tout à fait sûr qu’il parlait de la puissance publique vis-à-vis des communs mais bon ! –, Anton Tchekhov ne disait-il pas justement : « L’indifférence est une paralysie de l’âme, une mort prématurée. »
Lorette Costy : « Et la confrontation est l’arme des faibles », disait aussi un grand penseur russe dont j’ai oublié le nom. Bref, on vous laisse composer pendant qu’on finit cette chronique et Alexis Kauffmann passera dans les rangs dans cinq minutes pour ramasser les copies. Vous êtes donc priés d’écouter et de composer en même temps, bien évidemment. D’un autre côté, en tant que profs, vous êtes habitués à devoir en faire toujours plus et à mettre en application des réformes dont l’encre n’est pas encore sèche mais, ce n’est pas grave puisqu’on passe à la suivante !
Laurent Costy : Si on était complotiste, on pourrait penser que des personnes voudraient démantibuler le truc juste pour avoir le plaisir de dire, après : « Si l’Éducation nationale devenait privée, c’est sûr, ce serait beaucoup plus efficace ! »
Laurent et Lorette Costy, ensemble : Mais on n’est pas complotiste !
Laurent Costy : Et, comme disait Robert Orben : « Si vous trouvez que l’éducation coûte cher, essayez l’ignorance. »
[Sonnerie de téléphone portable]
Lorette Costy : Ah, excuse-moi papa, je te coupe, j’ai un appel, c’est mon boss qui a décidé d’engager une démarche de migration vers le logiciel libre dans l’asso…
Oui, Nicolas. Oui, c’est ça, quatre libertés pour définir le logiciel libre. Non, pas la gratuité en effet. Et trois piliers pour les communs numériques : la ressource, la communauté et la gouvernance également. C’est ça. Je dois te laisser, je suis de surveillance.
Laurent Costy : Lorette, je t’avais dit de couper ton portable. Les gens, dans la salle, vont se rendre compte que le brouilleur ne fonctionne pas ! [Prononcé en chuchotant, NdT]
Lorette Costy : Et toi, tu n’as pas coupé ton micro. [Prononcé en chuchotant, NdT]
Laurent Costy : Sans transition, une page de réclame : Vends calculatrice HP 28S, polonaise inverse, très peu servi. Contacter le ministère de l’Éducation nationale qui fera suivre.
Lorette Costy : Attention, bip, bip ! Il vous reste trois minutes. On se dépêche, je vous rappelle qu’on doit aussi finir le programme ! D’ailleurs, quelque part, vous avez de la chance, ce programme a été écrit pour vous, uniquement. Vous êtes les premiers à en bénéficier et… vous serez les derniers, puisqu’il y en aura un nouveau l’année prochaine ! Bref !, une exclusivité rien que pour vous !
Laurent Costy : On l’a déjà dit Lorette que les programmes étaient trop souvent renouvelés. « Lourdeur, lourdeur… nom féminin, impression de pesanteur pénible » et aussi « manque de finesse, de vivacité, de délicatesse. Lourdeur d’esprit ». Eh oui, tu es lourde ! En plus, si ça se trouve, il y a des inspecteurs et inspectrices hors classe dans la salle. Jamais, je ne trouverai un boulot dans l’Éducation nationale moi.
Lorette Costy : On avait dit qu’on n’avait pas le droit de se venger d’une chronique à l’autre, ce n’est pas juste !
Laurent Costy : Je ne me souviens pas. Mais OK, on commence maintenant. C’est comme quand on joue à Tic-Tic dans la cour, on n’a pas le droit de retoucher son père !
Lorette Costy : Bon, sérieusement, comment on fait pour que toutes les belles initiatives que l’on a pu voir ce matin volent au vent, essaiment et fertilisent toujours plus le monde de l’éducation face à des machines sans âme qui ont des budgets en marketing et en lobbying plus importants que le PIB de certains pays ?
Laurent Costy : La question est belle, la réponse pas facile. Déjà, venir aux Journées du Logiciel Libre Éducatif, ça permet de se rendre compte que l’on n’est pas seul·e à se battre dans son établissement et que le nombre grandit.
Lorette Costy : Et peut-être aussi faut-il éviter le logiciel libre punitif et anticiper un peu ?
Laurent Costy : Je vois à quoi tu fais allusion : ce lycée de ma connaissance qui, recevant sa facture de fluides largement explosée par rapport à l’année précédente a, entre autres, décidé d’arrêter du jour au lendemain les licences Office 365. Résultat : les enseignants et enseignantes qui avaient préparé leurs cours avec cet outil de masse, 1, devaient retravailler la forme, 2, ont vécu le basculement vers LibreOffice comme une punition !
Lorette Costy : Alors que, fondamentalement, c’est une émancipation ! Multiplier les espaces et les lieux où des personnes comme celles, ici présentes, ou issues de structures associatives travaillant ces questions, pourraient aider à expliquer pourquoi c’est important de migrer et d’anticiper. Ceci, pour éviter de se retrouver au pied du mur, qui tombe sur la tête !
Laurent Costy : À 20 ans, tu as la « mûritude » d’une personne bien plus âgée et une grande sagesse. Comme on est un peu à la bourre dans l’écriture, j’emploie la technique du copier-coller d’une chronique précédente, en l’occurrence la chronique 21 intitulée fort justement « Coupe-frites, rétro-ingénierie et transition associative », donc, je m’auto-cite, et en plus, c’est en CC By SA, je ne suis pas obligé de me demander l’autorisation : « Boudiou, dire que j’ai mis 20 ans pour arriver à cette conclusion ! »
Lorette Costy : C’est ça ! Le partage est aussi une voie qu’il faut continuer à développer et promouvoir ! C’est juste extraordinaire de voir tous ces endroits où les enseignants et enseignantes partagent leurs contenus.
Laurent Costy : Pour ne prendre qu’un exemple, Sésamath est emblématique d’un partage cohérent avec l’esprit initial de l’Éducation nationale de partage de connaissances et d’émancipation !
Lorette Costy : Je crois qu’il va falloir qu’on s’arrête là, hélas ! Dommage, on avait vraiment plein d’idées pour continuer à promouvoir le Libre dans l’Éducation nationale et appuyer toutes celles et ceux qui œuvrent déjà chaque jour pour ça !
Laurent Costy : Ah oui, c’est vraiment dommage ce manque de temps ! Alors qu’on avait des solutions clé en main pour résoudre tous les problèmes, exactement comme des gourous de la Silicon Valley. Dommage !
Lorette Costy : Bip, bip, bip ! Levez vos stylos au-dessus de la tête, on arrête d’écrire ! Alexis, on fait comme on a dit, tu arraches les copies des mains. Bon, mais ne vous inquiétez pas trop pour les notes ! Après harmonisation bienveillante à l’échelle de l’équipe pédagogique, puis de l’établissement et, enfin, de l’académie, vous devriez avoir tous 19 plus ou moins 1.
Laurent Costy : Sur ce, Lorette va donc vous donner le mot de la fin.
Lorette Costy : Le mot de la fin, c’est que l’évaluation sommative individuelle, c’est bien. Mais l’évaluation formative collective, c’est mieux. Ici, comme ailleurs, l’important, c’est de participer, de préférence sous licence libre. Bon goûter à toutes et tous. Faites-vous des tartines d’Ecballium et surtout, merci de témoigner par votre engagement quotidien et votre présence à cet événement qu’un autre numérique, dans l’éducation, est possible !
[Applaudissements]
[Virgule sonore]
Étienne Gonnu : Oui. Bravo ! Bravo ! C’était « À cœur vaillant la voie est libre » de Laurent et Lorette Costy, dans laquelle ils reproduisent une chronique donnée dans le cadre de la Journée du Logiciel Libre Éducatif du 29 mars, chronique dans laquelle ils avaient déjà copié-collé un morceau d’une autre chronique précédente. Une très belle mise en œuvre de la liberté de réutilisation.
Nous allons à présent faire une pause musicale.
[Virgule musicale]
Étienne Gonnu : Après la pause musicale nous vous invitons à nous retrouver Au café libre pour parler de l’actualité du logiciel libre et des libertés informatiques.
Avant cela, nous allons écouter Les bretons de l’est par Les bretons de l’est. On se retrouve juste après. Belle journée à l’écoute de Cause Commune, la voix des possibles.
Pause musicale : Les bretons de l’est par Les bretons de l’est.
Voix off : Cause Commune, 93.1.
Étienne Gonnu : Nous venons d’écouter Les bretons de l’est par Les bretons de l’est, disponible sous licence Art Libre, une nouvelle preuve qu’il y a plein de super morceaux de musique sous licence libre.
[Jingle]
Étienne Gonnu : Passons maintenant à notre sujet principal.
[Virgule musicale]
Au café libre (actualités chaudes, ton relax) : débats autour de l’actualité du logiciel libre et des libertés informatiques
Étienne Gonnu : Nous vous souhaitons la bienvenue Au café libre où on vient papoter sur l’actualité du logiciel libre dans un moment convivial. Un temps de débats avec notre équipe de libristes de choc, issus d’une rigoureuse sélection, pour discuter avec elles et eux et débattre des sujets d’actualité autour du Libre et des libertés informatiques.
Aujourd’hui avec moi, autour de la table, Isabelle Carrère membre d’Antanak, qui, notamment, fait régulièrement des chroniques dans Libre à vous !.
Isabelle Carrère : Bonjour.
Étienne Gonnu : Florence Chabanois, responsable ingénierie, fondatrice de La Place Des Grenouilles et membre core de Tech.Rocks.
Florence Chabanois : Bonjour tout le monde.
Étienne Gonnu : Et enfin Pierre Beyssac, informaticien libriste de longue date et fondateur d’eriomem.net.
Pierre Beyssac : Bonjour tout le monde.
Étienne Gonnu : N’hésitez pas à participer à notre conversation au 09 72 51 55 46 ou sur le salon web dédié à l’émission, sur le site causecommune.fm, bouton « chat ». Je précise également que, comme nous en avons pris l’habitude, vous pouvez aussi retrouver Au café libre sur PeerTube, l’émission étant exceptionnellement diffusée en vidéo, en direct. Je précise qu’Isabelle préfère ne pas apparaître sur la vidéo, donc vous l’entendrez, mais vous ne la verrez pas. Merci à mon collègue Fred d’assurer cette diffusion depuis le studio de la régie.
L’État allemand de Schleswig-Holstein fait le choix de migrer vers GNU/Linux
Étienne Gonnu : Pour commencer, je vous propose de démarrer par une nouvelle que je trouve assez réjouissante : l’État allemand du Schleswig-Holstein – mes excuses aux germanophones –, ce land allemand du nord de l’Allemagne va abandonner Windows et Microsoft Office. Les 30 000 employés vont progressivement travailler sur un environnement purement logiciel libre. Un land allemand qui couvre quand même une population de trois millions d’habitants, pour donner un peu l’échelle, qui se situe dans le nord de l’Allemagne. Que pensez-vous de cette nouvelle ? Qui veut se lancer ? Vas-y Isabelle.
Isabelle Carrère : Je vais commencer par dire deux/trois choses, même si je ne suis peut-être pas la mieux placée. Je trouve ça intéressant parce que ce n’est qu’un premier pas qui est fait là et qu’il y a d’autres pas qui vont continuer, si j’ai bien compris, notamment jusqu’en 2026 et ça va donc commencer par la libération du traitement de texte et de tout ce qui est bureautique. Ça commence simplement, ce qui est déjà bien, par LibreOffice. Bon ! C’est super. Le sujet, lui-même, est bien, je le trouve très intéressant, on ne peut que se réjouir, évidemment, de voir des gens qui passent au Libre où que ce soit dans le monde. D’ailleurs, je rappelle qu’à cette occasion il y avait eu d’autres éléments, j’ai trouvé des articles qui ont peut-être fait moins de bruit que l’Allemagne, j’ai trouvé ça rigolo : en fait, il y a eu, précédemment, en Turquie la même chose. Un morceau de la Turquie, une institution, a fait la même opération : la municipalité turque de Eyüpsultan est passée également au Libre ; j’ai cité ce cas-là et je pense qu’il doit y en avoir d’autres ailleurs, dans le monde, que la petite ville turque. Je trouve très intéressant qu’on fasse un grand bruit, un grand barouf, pour l’Allemagne ! Bref !, c’est drôle.
En tout cas, on espère qu’ils ne vont pas lâcher. Ce que disent beaucoup les médias, je ne sais pas si vous avez un peu regardé plusieurs articles là-dessus, ce que j’ai vu dans les différents médias qui en parlent, c’est que, d’une part, on cite évidemment la question de la gratuité comme étant le sujet central de la raison de ce choix ; c’est quand même un peu dommage que ce soit présenté comme ça, je ne dis pas que c’est cela qui est voulu par les Allemands, en tout cas c’est comme ça que c’est présenté. L’autre grand axe, qui n’est pas très bien présenté, je trouve, c’est la raison pour laquelle on commence par cet outil-là de la bureautique, et c’est hyper discret sur la façon dont la suite va se faire. Je n’ai trouvé que dans un ou deux articles le fait qu’il y avait un choix : quelle distribution, quel OS GNU/Linux allait être pris, etc. C’est intéressant comme biais.
Étienne Gonnu : Oui, tu l’as dit. Cinq étapes sont prévues, de ce que j’ai pu lire. J’ai l’impression que c’est effectivement souvent le cas, dans les migrations réussies, d’agir étape par étape, de ne pas faire tout d’un coup. Ce qui est intéressant, tu l’as dit, c’est que dans ces étapes, il y a aussi le système d’exploitation pour avoir vraiment un vrai poste de travail libre et c’est une ambition qui n’est pas toujours là, souvent on s’arrête peut-être à des logiciels métiers. Les logiciels bureautiques, c’est déjà très bien, mais vraiment penser l’intégralité du poste de travail, c’est une ambition qui est quand même aussi à souligner, qui est intéressante.
Pierre.
Pierre Beyssac : L’expérience est super intéressante parce qu’il y a eu des précédents, il y a peut-être 10/15 ans en Bavière, notamment à Munich, où il y a eu un retour en arrière : un déploiement de logiciels libres a été dû être annulé.
Étienne Gonnu : Pour redonner le contexte, Munich c’était plus qu’une parenthèse. En 2003/2004, ils ont fait une migration vers le logiciel libre qui était plutôt saluée comme étant une vraie réussite, qui a duré une quinzaine d’années, jusqu’en 2017, donc un peu moins de 15 ans. Il y a eu un retour en arrière à ce moment-là. Ce n’est pas seulement un échec, c’est qu’il y a eu un retour en arrière à l’occasion d’un changement de majorité.
Pierre Beyssac : Tout à fait. Les choses n’ont pas toujours avancé dans le bon sens, ou va dire. Cette expérience montre qu’il y a une évolution en maturité des offres libres, ce qui permet, quand même, d’arriver à des choses. Je sais que je me suis mis à la bureautique sur le tard parce que ça me cassait les pieds d’utiliser du Windows, mais, maintenant, il y a des outils bureautiques tout à fait corrects en Libre, depuis des années. C’est une preuve qu’il faut un petit peu laisser mûrir le Libre pour arriver à des offres tout à fait pertinentes.
Après, il y a aussi le côté plat de spaghettis d’un environnement tel que Windows où, comme tu le disais, il peut avoir des logiciels métiers qui ne tournent que sous Windows, donc ce n’est pas forcément facile de sortir d’un écosystème une fois qu’on est complètement dedans. Ça peut être pas mal de commencer par remplacer les outils de bureautique et puis, au fur et à mesure, voir ce qu’on peut remplacer, ou pas, mais c’est plutôt positif.
Ça pose aussi la question de la souveraineté. J’avais vu un article, sur The Register je crois, une pièce d’opinion, une chronique dans The Register qui est un journal britannique en ligne consacré aux technologies de l’information et au Libre et qui expliquait que, aujourd’hui, avec les nouvelles législations américaines, type FISA [Foreign Intelligence Surveillance Act], qui obligent les sociétés américaines, pas juste les hébergeurs, maintenant ça peut être aussi les éditeurs de logiciels, les gestionnaires de centres de données, à collaborer avec les renseignements américains, on ne sait pas exactement à quelle sauce on va être mangé en termes de renseignement américain et on n’a aucune parade législative possible en Europe, puisque ce sont des lois qui, par définition, sont des lois américaines extraterritoriales où l’État américain peut demander à des prestataires, des sociétés américaines, de violer la loi européenne. La protection législative européenne n’est donc pas suffisante. Ça met en valeur l’utilité du logiciel libre pour se protéger d’ingérences potentielles. Les Américains ne ciblent peut-être pas particulièrement l’Europe, ils ciblent peut-être d’autres régions, mais voilà ! Il y a quand même des problèmes d’intelligence économique qui peuvent se poser derrière. Ça pose donc tout un tas de questions autour de l’adoption du Libre sur la durée.
Étienne Gonnu : Tout à fait, et c’est peut-être une nouveauté relative que cette place de la question de la protection des données personnelles, qui était peut-être moins présente et qui l’est notamment par l’application extraterritoriale du droit américain, qui est, du coup, une des motivations, de ce que j’ai compris, de ce land allemand.
Florence, quelle est ta lecture de cet évènement ? Après, on pourra peut-être rentrer plus en détail sur les points que vous souhaitez.
Florence Chabanois : Beaucoup de choses ont été dites. J’ai aussi vu la partie souveraineté numérique, le côté « nos administré·es nous font confiance, du coup, on a une responsabilité de protection et de sécurité de ces données-là ». C’est quelque chose qui est relativement récent, pour le coup, dans les choix de migration, alors que la gratuité arrivait beaucoup plus souvent.
Personnellement, en lisant cet article, j’étais quand même un peu surprise : je me disais que migrer vers LibreOffice, c’est facile comme migration ! Je suis étonnée qu’il y ait un article, parce qu’il me semble qu’il y a des écoles qui l’ont fait. Ça me semblait quand même assez courant comme type de migration. Après, par contre, j’ai compris que le fait de migrer aussi des OS, que ce soit global, c’est effectivement plus rare, et surtout qu’on fasse un bilan, qu’on se dise « on ne va pas juste faire la migration sans se demander, au bout d’un moment, ce que ça a apporté, ou détruit, par rapport au fait que tout changement est douloureux . » Je pense que l’interopérabilité, par rapport au reste du monde, va énormément peser dans le sentiment de réussite ou pas.
Du coup, j’espère que d’autres lands vont les rejoindre, parce que, même ça l’interopérabilité a été posée comme un des critères de base, si on apparaît juste comme des gens qui font différent des autres, c’est vrai que c’est un peu compliqué sur la durée.
Pierre Beyssac : C’est vrai que l’existence de formats libres, comme les formats de LibreOffice et la possibilité de relire les formats des suites Windows, aide vraiment beaucoup à ce genre de migration, parce que ça n’a pas toujours été aussi facile qu’aujourd’hui.
Étienne Gonnu : Pour rebondir sur ce que tu disais, dans ce que mettait en avant l’article de The Register que tu as mentionné, on voit que ce ne sont pas seulement des questions techniques, en réalité, qu’il y a de vrais enjeux géopolitiques derrière, des rapports de forces politiques et que Microsoft en l’occurrence, mais ce n’est pas le seul quand on parle des géants du numérique, pour reprendre ce vocable, a un poids politique énorme. On voit qu’il y a tout un enjeu et c’est ce que disait cet article de The Register : sur ce cas-là, ça ne se joue pas qu’au niveau de ce land ; Microsoft a peur d’un effet boule de neige qui ferait que, finalement, une région va se libérer, va en entraîner d’autres, il y a donc de très forts efforts de lobbying.
En France aussi, Nancy était un exemple de municipalité, de collectivité, qui avait fait du Libre ; changement de majorité ! C’est aussi la fragilité de ces choses-là, d’où l’importance de bien les ancrer, de les penser dans le temps. On espère donc que ce land allemand va bénéficier des « erreurs », entre guillemets, du moins des échecs relatifs du passé pour toujours mieux réfléchir et mieux avancer. En tout cas, il y a un enjeu important.
Vas-y Isabelle.
Isabelle Carrère : Juste un truc à rajouter, quand même. Ça m’étonne beaucoup. Quand j’ai lu, j’ai effectivement eu la même réflexion que Florence, je me suis dit « LibreOffice ça va, c’est bon ! ». Il y a 30 ans, je faisais des formations sur LibreOffice au ministère de l’Environnement en France ! Ce n’est quand même pas le grand choc ! En plus, LibreOffice c’est quand même une communauté qui a fait les choses super bien, c’est-à-dire qu’elle les a faites pour que ça ressemble… Je défie quiconque, là maintenant, d’aller me trouver des trucs qui marcheraient dans les documents.doc de Word versus les documents de LibreOffice Writer. De gros efforts ont vraiment été faits là-dessus ! LibreOffice fonctionne sur des plateformes GNU/Linux, mais aussi sous Windows et ils ont même fait des versions pour Mac. Ils ont vraiment travaillé là-dessus, sur ce champ-là. Et là, maintenant, encore en 2024, on dit « faisons un accompagnement du changement pour aller sur LibreOffice » ! Ça me fait trop marrer, ce n’est vraiment pas sérieux ! Qu’on fasse travailler les informaticiens/informaticiennes sur des choses, j’allais dire un peu plus « sérieuses », entre guillemets : oui, la sécurité, les données, les plateformes, les annuaires, tous ces machins-là, dans des entreprises, dans un État ou dans une municipalité, etc., dont acte ! Mais LibreOffice, ça va !
Étienne Gonnu : Est-ce qu’on n’a pas un biais, là, de personnes qui ont des compétences informatiques, qui ont une vision. C’est facile, mais, en même temps, il y a les usages. On sait combien les usages peuvent être très ancrés. Il peut y avoir des résistances. Je suis d’accord que ce n’est pas le plus difficile, mais, en fait, je n’en sais rien ! Pour moi, c’est une évidence, mais quand il y a des services entiers, qui ont des habitudes, avec le chef ou la cheffe qui utilise Microsoft et qui n’a pas conscience qu’il y a des enjeux derrière. N’est-ce pas le premier cran à enclencher qui n’est pas si anodin que ça ! C’est justement parce que c’est peut-être plus facile, que les formations sont accessibles, qu’il y a plein de compétences qui existent autour ?
Isabelle Carrère : Je ne sais pas.
Florence Chabanois : Je pense que tout seul, cela ne joue pas tellement. Ce changement est en effet fragile s’il est tout seul. Je pense que là où il y a quand même un tournant, c’est le fait que ce soit tout un écosystème et aujourd’hui, avec LibreOffice, SharePoint va aussi migrer dans le cadre de ce land-là. Du coup, dans tous les usages qu’on a en entreprise ou dans une administration, à quel point tout va bien communiquer facilement, dans le sens « je peux sauvegarder facilement, je peux échanger facilement ». Je pense que c’est là où, peut-être, il y a une nuance : le fait de dire « je suis sur Google, toi tu es sur Microsoft », du coup on galère un peu avec des partenaires parce qu’on ne parle pas la même langue, ça peut être un frein. J’espère qu’on ira plus loin que LibreOffice.
Étienne Gonnu : Comme première étape, mais pas comme étape exclusive.
Pierre Beyssac : Il y a quand même encore une forte présence de Microsoft dans les esprits. Encore beaucoup de gens, même la plupart des gens parlent de feuille Excel, ils ne parlent pas de feuille de tableur, ou de document Word. Je ne sais pas, je ne me rends pas bien compte par rapport à ce que dit Florence : est-ce qu’il y a vraiment des gens qui sont collés à Word ou à Excel au point de ne pas pouvoir changer d’outil ? Il y a des fonctions assez particulières dans Excel, je ne connais pas Word, ça peut donc être un frein au changement. Après, c’est vrai que pour 95 % des usages, LibreOffice peut remplacer sans soucis pour pratiquement tout le monde.
Isabelle Carrère : Cette habitude-là, l’accompagnement au changement, c’est un truc de consultant, ce n’est pas une chose dont on a besoin obligatoirement !
Pierre Beyssac : Ça donne du service à vendre.
Isabelle Carrère : Voilà ! Ça fait du service à vendre avant, pendant, après, bref ! C’est très bien ! Il y a ça et, surtout, ça permet de ne pas parler des vrais sujets. Par exemple, comme tu le dis, les espaces collaboratifs : où pouvoir partager des documents, où pouvoir avoir une plateforme libre, ce seraient des vrais sujets sur lesquels on pourrait mettre en avant les choses, plutôt que juste un tableur, un traitement de texte et puis un diaporama. Oui, c’est vrai que les gens disent « tu vas faire un Powerpoint » au lieu de dire « tu vas faire un diaporama ». Oui c’est vrai, je le vois tous les jours à Antanak, tous les jours des gens me demandent : « Est-ce que je vais avoir Word et Excel sur l’ordinateur que vous me donnez ? ». OK ! Mais ça va ! Ce que je veux dire c’est que des individus, des particuliers, viennent, des gens qui sont éloignés de, pour qui cet ordinateur va être le premier, qu’eux réagissent comme ça, je peux le comprendre. Après, que des gens, des informaticiens, des informaticiens, ce que je ne suis pas, pour un État allemand, peu importe où il est, le présentent comme ça, ce n’est pas sérieux ! Ne peut-on pas, plutôt, aller sur le fond : c’est quoi d’utiliser du logiciel libre ? C’est quoi d’avoir des systèmes d’exploitation libres ? Quelles sont les valeurs qu’on veut mettre en avant, là, ou pas ? Où est-ce qu’on va ? Si ça n’est qu’une question économique ! Certes, la souveraineté numérique est importante, mais, pour moi, elle n’est pas suffisante, parce que cette souveraineté numérique est juste la façade de ce dont il est question derrière en termes capitalistes. Donc, que veut-on ?
Étienne Gonnu : Florence.
Florence Chabanois : Ce que tu dis soulève une autre question. Pour moi, aujourd’hui, Microsoft est quand même en perte de vitesse, même sur les outils bureautiques, au profit de la suite Google. En effet, je dis encore Excel, c’est spreadsheet donc je m’embrouille, après je dis tableur. Mais on n’a pas ces sujets-là pour une migration de Microsoft vers Google, on ne parle pas de transition, alors que les outils sont complètement différents. Et c’est parce qu’on parle de Libre qu’on a une perception, qu’on garde des à priori négatifs, que c’est quelque chose qu’il va falloir accompagner, que ce sera douloureux, alors que c’est complètement différent sur Google par rapport à Microsoft et là, comme on parle entre GAFAM, pas de problèmes ! Ce sera instinctif !
Étienne Gonnu : Ce sont des imaginaires, on y revient souvent, je pense que c’est une bataille culturelle. C’est difficile de sortir de ce qui nous est imposé comme étant des normes informatiques, celles de Microsoft ou de Google pour ne citer qu’eux.
Il y a une citation, dans un des articles, qui dit, je cite cet article : « Le land n’a pas non plus caché le fait que les budgets publics, donc l’argent des contribuables – on y revient –, seraient mieux investis dans de véritables services de programmation de l’économie numérique nationale plutôt que dans le paiement de droits de licence ». Je trouve que c’est toujours intéressant de voir, et c’est cela qu’on distingue, qu’on loue un service, finalement, qu’on ne maîtrise pas du tout, une location par licence, ou alors on investit et on devient aussi propriétaire et pas tout seul, puisque ce qui est investi au niveau de land-là peut bénéficier à n’importe qui d’autre puisque c’est du logiciel libre. Je trouve toujours intéressant quand cette approche est prise en compte par les décisionnaires, parce que j’ai l’impression que ce n’est pas toujours le cas ; j’ai trouvé que ça montrait une certaine maturité sur la question. Je suis sans doute très optimiste, mais je trouvais intéressant que cet aspect de la question ressorte.
Avez-vous encore des choses à dire sur ce sujet ou on passe au suivant ? C’était l’entrée ou le plat principal, il n’y a pas forcément de hiérarchie dans notre café. On avance.
Je n’ai pas la clochette, je ferai un petit « ding ».
Fred, je pensais que tu voulais interagir, excuse-moi. Il ne s’est rien passé. Je vous invite à nous retrouver sur PeerTube si vous voulez voir les coulisses de l’émission. D’ailleurs, si vous voulez nous suivre sur PeerTube, vous trouvez le lien sur le site de la radio.
La porte dérobée dans l’outil XZ
Étienne Gonnu : Sujet suivant, qui est moins réjouissant, que je trouve néanmoins intéressant. Une vague de compromissions a touché le cœur de nombreuses distributions GNU/Linux via du code malveillant et a débouché sur une porte dérobée dans les bibliothèques XZ, je vais être complet, XZ version 5.6.0 et 5.6.1, XZ étant un format de compression de données à usage général, présent dans presque toutes les distributions GNU/Linux.
Je passerai la parole à Florence ou à Pierre, pour poser, déjà, quelques éléments de compréhension : c’est quoi une bibliothèque ? Je pense que tout le monde voit un peu une distribution, mais peut-être remettre deux/trois mots, qu’on ait un peu ces éléments partagés.
Isabelle Carrère : C’est quoi une compromission ? C’est quoi une chaîne d’approvisionnement ? Plein de termes à expliquer pour que les gens comprennent.
Étienne Gonnu : Le sujet est complexe pour cela. On sait que les sujets de sécurité informatique, c’est pour cela que je pensais que c’était important d’en parler, sont des sujets récurrents dans l’actualité, récurrents aussi dans les craintes. Dans certains imaginaires, le logiciel libre peut être perçu comme quelque chose de plus fragile, alors qu’en réalité, on sait que, techniquement, c’est même plutôt plus robuste du fait de cette transparence partagée, on pourra y revenir dans notre conversation. Je veux bien quelques éléments de compréhension, de définition. Vas-y Florence. Déjà, qu’est-ce que c’est qu’une bibliothèque et une faille de sécurité sur une bibliothèque XZ.
Florence Chabanois : Une bibliothèque, c’est un utilitaire, c’est donc un bout de code, un outil qu’on va utiliser dans d’autres logiciels, qu’on incorpore dans notre code pour pouvoir fournir un autre service.
Étienne Gonnu : Est-ce que c’est comme une brique pour construire une maison ?
Florence Chabanois : C’est bien ça, c’est comme une brique pour construire une maison, c’est comme le ciment utilisé pour faire un mur, c’est quelque chose qu’on utilise indirectement. Du coup, s’il y a une faille justement dans le ciment ou la brique pour construire le mur, ce qui est le cas ici dans le cadre de cette librairie, tout le mur est compromis. Au niveau de la compression, c’est quelque chose qui est utilisé dans énormément de logiciels, comme tu l’as souligné, la quasi-totalité, pour moi c’était même la totalité des systèmes d’exploitation, parce que, sinon, ça veut dire que tout prend la place maximale.
Isabelle Carrère : La compression, c’est vraiment une question de diminution d’espace, c’est comme le .zip dans le monde qui est le nôtre ? C’est ça ?
Florence Chabanois : C’est ça. On ne voit pas la compression, c’est transparent pour les utilisatrices et utilisateurs, mais c’est quelque chose qu’on a partout, dans tous les échanges sur Internet, même à l’intérieur, parce qu’en termes de stockage ça peut jouer.
Il y a d’autres termes à clarifier ?
Étienne Gonnu : Distribution. Juste parler de distributions GNU/Linux.
Florence Chabanois : C’est un système d’exploitation, ce n’est pas vraiment une version, on va dire que c’est comme une marque.
Pierre Beyssac : C’est un ensemble d’outils avec le centre du système, le noyau, clé en main, pour avoir quelque chose utilisable.
Étienne Gonnu : Super. Il y a eu une émission sur le sujet, je n’ai pas son numéro en tête, vous allez sur le site libreavous.org, vous tapez « distribution », si la question vous intéresse [Émission 10 : www.libreavous.org/10].
Je pense qu’on a balisé les principaux éléments techniques de compréhension.
Isabelle Carrère : Dans l’article sur lequel on est, on parle de la question de la compromission. Que veut dire « compromission » dans un système informatique ?
Florence Chabanois : C’est un peu comme une faille. Là, ça s’assimile facilement à un cheval de Troie, j’entends dans le sens mythologique, même si ce n’est pas, à proprement parler, un cheval de Troie en termes de compromission, mais c’est quelque chose qu’on fait, la façon dont c’est censé interagir ; quelqu’un d’autre, ou un autre système, est venu corrompre ça, et fait en sorte que ça ne marche pas comme c’est prévu.
Isabelle Carrère : D’accord. C’est vraiment une action humaine d’un développeur, une développeuse, quelque part ailleurs qui est venue sur cet outil-là.
Pierre Beyssac : C’est comme une sorte de pot-de-vin en version logicielle : tu détournes quelque chose de son usage premier.
Florence Chabanois : Quand on dit compromission, il y a vraiment quelque chose de malveillant. Ce n’est pas juste oups !, j’ai un accident.
Étienne Gonnu : On sait qu’il peut y avoir des failles de sécurité dans tout logiciel, libre ou pas, et, la plupart du temps, c’est parce qu’il y a eu une erreur ou parce qu’un lien entre deux bouts de code ne va pas fonctionner comme prévu et que des personnes pourront en profiter. Compromission, comme c’est le cas, il y a eu une action : ces failles-là ont été mises volontairement, ce qui est très rare, me semble-t-il, dans le logiciel libre.
Florence Chabanois : C’est une attaque.
Étienne Gonnu : Une attaque organisée.
Pierre Beyssac : Ce qui est intéressant c’est de voir comment ça a été monté parce que c’est une attaque extrêmement sophistiquée, sur la durée.
XZ est un format de compression particulier, ce sont des fichiers qui ont l’extension.xz, on n’en voit pas tous les jours, ce n’est pas le format le plus répandu.
Les attaquants qui, manifestement, sont plusieurs — le truc est trop bien organisé pour que ça vienne d’une seule personne —, se sont attaqués à ce logiciel-là, qui était, en gros, mono-auteur, avec un auteur qui, à la fois, avait des soucis personnels, il a dit qu’il avait des problèmes d’ordre psychologique, il était un peu épuisé, il n’avait pas beaucoup de temps à consacrer au logiciel, parce que c’est quelque chose de bénévole de sa part. Des bons samaritains sont arrivés en lui disant « ne t’inquiète pas, on va t’aider. » En gros, pendant deux ans, ils l’ont aidé à faire évoluer le logiciel, à faire de nouvelles versions, à ajouter des fonctionnalités et puis, un jour, discrètement, ils ont rajouté la faille. En fait, petit à petit, ils ont acquis sa confiance sur la durée, notamment l’un d’eux a acquis sa confiance sur la durée, donc c’était assez vicieux.
Il a fait des modifications complètement anodines, des évolutions logicielles normales, et puis un jour, une fois qu’il a acquis les droits suffisants au fil du temps sur le logiciel pour pouvoir faire les modifications lui-même, sans vérification par l’auteur initial, il a fini par introduire la faille qui est assez subtile : elle n’est pas dans le code principal, celui que tout le monde regarde, tout le monde inspecte, elle était dans les jeux de tests, elle était planquée dans des jeux de tests qui servent à vérifier que le logiciel une fois compilé, une fois assemblé, fonctionne correctement. C’était donc caché là et ça n’était activé que lors de la préparation du logiciel pour le mettre dans une distribution GNU/Linux ou autre, donc, ce n’était pas visible dans le code source habituel.
Ensuite, une fois que le truc a été validé, ils ont poussé côté distribution pour le faire avancer le plus vite possible dans la distribution. Par ailleurs, ils se sont aussi débrouillés pour le faire intégrer dans un outil qui s’appelle SSH, un outil de connexion à distance, qui n’a pas besoin de ce XZ en fait, ou très peu. Ils ont donc réussi à le faire entrer là-dedans pour introduire une vulnérabilité, la vulnérabilité recherchée qui était d’avoir une porte dérobée dans les connexions à distance des administrateurs système.
C’est donc vraiment un truc en plusieurs étapes et ça a été découvert quasiment par hasard par quelqu’un qui venait d’installer le logiciel.
Étienne Gonnu : J’ai son nom : Andres Freund, un développeur PostgreS.
Pierre Beyssac : Un développeur PostgreS ? D’accord ! Et je crois que le monsieur bossait chez Microsoft, j’ai cru voir ça quelque part.
Étienne Gonnu : Je ne saurais pas dire.
Pierre Beyssac : Il se servait de SSH. Un jour, il a vu que SSH mettait un petit peu de temps, plus de temps que le temps normal pour établir une connexion, ça mettait quelque chose comme une demi-seconde au lieu d’être instantané. Il a donc creusé, ce qu’on ne fait pas forcément ; quand un logiciel se traîne, on se dit qu’il y a un problème réseau ! Il a donc creusé, il a découvert le pot aux roses. Après, il y a eu un une sorte d’audit de toute la communauté libre pour comprendre, donc remonter tous les éléments dont je vous ai fait part, pour voir que l’attaque avait été préparée de longue date.
C’est assez flippant, parce qu’on l’a découvert un peu par accident. Le truc était très subtil mais pas assez subtil parce que, à la fin, ça a quand même été découvert relativement vite, avant que ça soit diffusé dans tous les systèmes, mais ça fait un peu froid dans le dos de se dire qu’il pourrait y avoir d’autres attaques plus réussies, d’ailleurs il y en a peut-être eues, on ne sait pas trop. Ce qui est rassurant c’est de se dire qu’il y a quand même des gens vigilants et qu’on a pu remonter. Évidemment, on ne sait toujours pas d’où ça vient. Les personnes qui ont introduit la faille avaient des noms asiatiques, mais, si ça vient d’un service secret asiatique, ils ne vont peut-être pas mettre des noms asiatiques, donc ça ne veut absolument rien dire.
Ça a mis en garde toute la communauté, notamment logiciel libre, sur comment éviter ça à l’avenir.
Ça ne met pas spécialement en cause plus particulièrement le logiciel libre. On n’aurait sans doute pas découvert, on n’aurait sans doute pas fait l’audit, on n’aurait pas pu remonter les traces aussi facilement si ça avait été dans un logiciel propriétaire, on ne l’aurait peut-être même pas encore découvert ; il y a eu des cas similaires dans les logiciels propriétaires, des intrus, des insertions de code malveillant par des employés ou par des gens, pareil, qui venaient aider.
Ça pose donc tout un tas de questions sur le développement logiciel, la vérification de qualité, la protection contre les attaques, tout un tas de choses.
Daniel Stenberge, le développeur de cURL, une autre bibliothèque très connue, un outil également utilisé énormément dans le Web, c’est un des outils de référence pour faire des automates, notamment pour récupérer des pages web, un outil très connu, a publié, en réponse, la liste des mesures qu’il prenait de son côté, qu’il avait d’ailleurs déjà prises pour certaines, pour éviter qu’un cas similaire se produise dans cURL.
Isabelle Carrère : Ce que je comprends dans ce sujet XZ, c’est que c’est dans une version de développement. En fait, c’est pendant des tests et des resets, c’est ça ? Ce n’était pas sur une version stable des distributions ?
Pierre Beyssac : Oui et non, parce que c’était dans l’étape de compilation et c’était planqué dans les jeux de tests, mais c’était quand même utilisé à la compilation.
Isabelle Carrère : Mais pour une version en cours de mise à jour.
Pierre Beyssac : Non. Ça a été poussé dans des versions de production.
Isabelle Carrère : Des versions stables ?
Étienne Gonnu : Là, vous parlez de versions de production, de versions stables, de distributions…
Isabelle Carrère : Là, on a dit que ça n’avait pas attaqué toutes les distributions, c’est ce que je comprends, ça a attaqué notamment Debian, Fedora, Arch Linux. Est-ce que ça veut dire que toutes les dérivées de Debian sont également concernées ? MX Linux, Mint, Ubuntu ?
Pierre Beyssac : Pas vraiment, ça dépend à quelle vitesse ça percole dans les différentes mises à jour.
Isabelle Carrère : D’où ma question. Alors stable, pas stable, même moi je sais répondre. Il y a des versions long terme.
Étienne Gonnu : Il y a des versions faites pour le grand public et des versions faites pour les personnes qui ont des compétences plus poussées, il y a donc des fonctionnalités qui ne sont pas encore validées, qui leur sont uniquement accessibles.
Isabelle Carrère : Et qui ne seront pas embêtées s’il y a des choses qui ne sont pas tout à fait comme elles l’attendent, contrairement aux gens qui, comme moi, ont besoin de stabilité pour les choses, donc qui ne prennent que du long terme, comme à Antanak. Du coup, ce que vous dites tous les deux, c’est que ça a attaqué aussi les versions stables.
Pierre Beyssac : Oui, certaines versions. Les attaquants ont quand même poussé aux côtés d’au moins une distribution GNU/Linux. Je crois que c’est Red Hat, sous réserve, où ils sont quand même intervenu pour dire « regardez, il faudrait mettre à jour la nouvelle version de XZ dans votre distribution parce qu’elle a des fonctionnalités super intéressantes. »
Étienne Gonnu : Je vais laisser Florence réagir. Une question à laquelle tu pourras peut-être répondre. Les personnes qui nous écoutent et qui peut-être, en écoutant Libre à vous ! ou, pour une autre raison, ont installé chez elles une Debian, Arch Linux, Ubuntu, faut-il qu’elles s’inquiètent ou est-ce que les correctifs ont été installés dans les mises à jour ? Est-ce que, justement, il faut très vite mettre à jour ?
Florence Chabanois : Ça a été supprimé. Pour répondre à ta question, dès que ça a été su, une nouvelle mise à jour a été mise en place pour qu’on retire la version défaillante, qui pose problème.
Après, par rapport à ta question, Isabelle, sur les versions majeures, c’est une version majeure de XZ qui a intégré le problème et ça a impacté beaucoup de distributions ; j’avais noté Red Hat, Fedora, Debian, openSUSE. Maintenant, là où je ne suis pas sûre, c’est si ça a touché une version stable de ces distributions ; par contre, même si c’étaient des versions officielles, c’étaient peut-être des versions mineures. En fonction de à quel point on met souvent à jour ses distributions, on peut être impacté ou pas.
Étienne Gonnu : De ce que disait Pierre, je vois deux choses : effectivement la réaction de la communauté du logiciel libre, la capacité, la robustesse aussi du fonctionnement de la communauté parce qu’il y avait énormément d’utilisateurs et d’utilisatrices de XZ. mais il y a un autre point, ça me fait penser à une autre faille qui était extrêmement connue, qui a fait beaucoup de bruit, Heartbleed, il y a maintenant quelques années et j’ai l’impression qu’il y a un point commun, je ne sais pas si c’était aussi une bibliothèque, bref ! On a un logiciel libre critique, utilisé par énormément de monde, mais maintenu par une seule personne, ou très peu de personnes, et c’est là où vient l’affaire de la faille.
Quand il s’agit de réagir, la communauté est capable de se relever les manches et d’agir collectivement, mais on voit aussi toute l’importance et je repense à l’actu d’avant : le land qui, peut être, va mettre du temps de travail concret de personnes qui vont pouvoir contribuer à des logiciels critiques ; je sais que la Commission européenne, par certains financements soutient, peut-être en réaction à Heartbleed, met des financements pour soutenir. Il y a quand même aussi un enjeu pour les pouvoirs publics, les entreprises, à éviter ces situations où un logiciel, une brique logicielle, est soutenue par une seule personne, maintenue par une seule personne. J’ai l’impression que c’est aussi un des nerfs de la guerre
Pierre Beyssac : Pour Heartbleed, c’était sur OpenSSL, c’était lié à une bibliothèque de sécurité, également utilisée partout et effectivement maintenue par très peu de gens ; c’est un élément critique.
Étienne Gonnu : C’est donc un problème récurrent. De mon regard de néophyte sur la question, j’ai l’impression que c’est souvent une des questions, un des aspects.
Florence Chabanois : Je pense qu’on est bien content quand il y a une personne qui passe sa vie, sacrifie sa vie justement à faire quelque chose qui sert à tout le monde. Je voyais ce souci aussi comme un signal d’alarme.
J’ai vu quelque part, je ne sais pas si vous avez vu la même chose, Pierre ou Isabelle, que la personne, dont j’ai oublié le nom, l’auteur, le commiter principal, avait aussi beaucoup de pression pour lâcher des rennes et qu’il a fini par craquer sous la pression de la communauté qui lui disait « évite d’être un bus factor, partage ! »
Étienne Gonnu : Le bus factor, c’est le seul à conduire le camion, le bus, et s’il a un accident, plus personne n’est là pour le conduire. Donc, il n’y a pas qu’un problème de personnes qui veulent contribuer, c’est aussi une question de pouvoir sur un logiciel.
Florence Chabanois : C’est aussi une question de pouvoir. Disons que, chez soi, on a sa façon de faire et ça rajoute aussi du travail, dans un premier temps, de partager, de former, de faire confiance. C’est là où il y avait un peu d’amertume et d’ironie dans cette histoire, c’est que la personne ne faisait pas confiance. Et parce que c’est devenu une librairie cruciale, on veut diminuer le risque de bus factor, lisser sur plusieurs personnes, pour faire en sorte que s’il arrive quelque chose ou que la personne gagne au loto, par exemple, et s’en va, ne travaille plus dessus, que les systèmes qu’ils utilisent puissent continuer à vivre. Du coup, il a craqué, il a laissé ça.
Après, ce qu’on entend un peu en sous-titre, c’est que les personnes qui font de l’open source le font sur leur temps libre, sont adulées et détestées à la fois, ne sont pas tellement protégées, on ne prend pas tellement soin d’elles et eux. Ces personnes travaillent gratuitement. La gloire, c’est cool, mais il n’y a pas que la gloire, il y a aussi des haters qui viennent avec dès que ça ne marche pas aussi bien partout ou qu’une fonctionnalité n’arrive pas assez vite. Je pense que c’est quelque chose dont il faut avoir quand même assez conscience.
Étienne Gonnu : Haters, c’est un anglicisme, ce sont les personnes qui s’énervent en ligne.
Pierre Beyssac : Des harceleurs.
Étienne Gonnu : Littéralement des harceleurs.
Pierre Beyssac : En fait, il y a les deux facettes. Il y a quand même des grosses boîtes qui utilisent le Libre, qui ont des développeurs, typiquement, par exemple, Red Hat, mais Google aussi, qui font de la contribution par des gens qui sont payés pour faire du Libre et ça peut être pas mal, même s’il y a d’autres points d’intérêt.
Florence Chabanois : Il y a d’autres problèmes.
Pierre Beyssac : Mais inversement, il y a aussi des boîtes qui utilisent des logiciels contributifs, comme ça, avec très peu de développeurs, des développeurs bénévoles. J’ai déjà vu des développeurs bénévoles qui « sonnaient l’alarme », entre guillemets, en public, qui montraient le genre de messages qu’ils se prenaient de sociétés pour qui tel bout de logiciel libre était crucial pour leur business. Il y avait un bug dedans et elles leur disaient, en gros, « attention, on est en train de perdre beaucoup d’argent à cause des bugs, si vous vous pouviez vous dépêcher, parce que ça va bien, mais il faudrait corriger ça vite fait ! ». Les mecs même pas aimables !
Il y a un peu des tensions là-dessus entre les intérêts commerciaux et la capacité des développeurs qui ne sont pas forcément payés pour ça, qui sont gratifiés par leur contribution et son utilité, et sur qui des gens, qui eux, sont payés pour ça, tombent pour les faire avancer plus vite.
Isabelle Carrère : Il y a ce que disait Étienne, ce que tu soulevais tout à l’heure, le lien avec notre sujet précédent, c’est-à-dire qu’a-t-on envie de faire, qu’a-ton envie de pousser comme fonctionnement des pouvoirs publics, des institutions, etc., comme étant garants de quelque chose là-dessus ? Est-ce qu’il faut qu’ils mettent de l’argent, du financement pour que... ? Oui mais pourquoi, comment ? Je trouve que ce n’est pas évident comme sujet.
Pierre Beyssac : Ce sont tous les sujets de financement du Libre qu’il faut faire évoluer.
Étienne Gonnu : Au-delà du financement, c’est aussi une question de gouvernance. Ce que disait Florence : en fait, la personne qui détenait les droits d’auteur, le créateur du logiciel qui avait cette maitrise-là du logiciel qu’il ne voulait pas lâcher, il n’y avait donc pas un vrai fonctionnement communautaire à la base et puis, finalement, il a cédé à des pressions. Du coup, quelque part, il a mal cédé, sans lui jeter de pierre. Ce sont, bien sûr des questions compliquées.
Pierre Beyssac : Il n’a pas cédé sur la bonne personne. C’est très difficile.
Étienne Gonnu : Peut-être une question intéressante, les réactions des communautés libristes, celles qui ont participé à corriger le bug, je n’ai pas de détails, notamment, et je pense qu’elle n’était pas la seule, je sais que la Fondation Eclipse, une grande fondation autour du logiciel libre a réagi. Quitte à avoir des failles, autant que ça produise du positif derrière, pour répondre à toutes les questions qu’on se pose. Avez-vous lu des réactions, que ce soit celle d’Eclipse ou d’autres, qui vous ont paru poser des bases intéressantes d’évolution ?
Pierre Beyssac : Je n’en ai pas vu beaucoup, à part celle que j’ai citée, de la communauté cURL, qui expliquait ce qu’ils avaient fait de leur côté pour limiter ce genre de risque.
Florence Chabanois : Par rapport à Eclipse, ils ont fait des spécifications communes de sécurité, des règles de bonnes pratiques de sécurité. Il y a plusieurs signataires : Apache Software, Blender, PHP, Python, OpenSSL. C’est déjà un bon signal dans la mesure où ces technologies sont assez répandues.
Maintenant, dans les deux cas, que ce soit cURL ou Eclipse, je trouve que c’est intéressant mais, en vrai, léger, dans le sens où on passe un peu à côté du problème. En rajoutant plus de règles, on a quelqu’un, on a un système qui a besoin de soutien et, du coup, qui s’est laissé berner, mais c’est difficile à voir. Est-ce qu’au bout de cinq ans, on s’en serait rendu compte, s’ils avaient mis plus de temps à insérer la faille ? Je trouve qu’on passe un peu à côté du débat et de la problématique d’origine.
Du coup, par rapport à ce qu’on disait tout à l’heure, je pense vraiment qu’il faut vraiment des moyens institutionnels pour l’open source, je ne sais pas si c’est une taxe, en tout cas qu’il y ait une contribution obligatoire quand on profite de l’open source. C’est ça qui assurera la pérennité et fera en sorte que plus de sécurité soit possible.
Par rapport à cet événement, quelque chose m’a marqué par rapport à un mythe qu’on peut avoir : on peut entendre que le Libre est le plus sécuritaire possible dans la mesure où tout le monde voit ce qu’il se passe et je trouve ça super intéressant. Maintenant, je me dis qu’il y a des failles partout, c’est juste qu’on ne les connaît pas encore. En réalité, c’est comme une entreprise, ce n’est ni mieux, ni moins, ou moins risqué : l’erreur est humaine, la confiance s’acquiert et il n’y a pas de système parfait.
C’est donc un sujet qu’il faut continuer à creuser à l’avenir et toujours mettre en place des garde-fous, d’une façon ou d’une autre.
Étienne Gonnu : Là, on parle d’une bibliothèque logicielle que 99 % de la population ne connaît pas et c’est normal, je ne connaissais pas avant d’avoir lu cette info, mais, en fait, dont nous dépendons quasiment toutes et tous, parce que beaucoup de parts de nos vies dépendent des réseaux informatiques ; ça faisait visiblement partie de ces éléments quand même présents qui font tourner quasiment tous les réseaux informatiques dont on dépend assez largement. On voit donc l’intérêt, presque comme un service public quelque part, de s’assurer que ce réseau informatique dont dépend l’exercice de nos libertés, nos interactions avec les administrations, nos interactions aussi entre nous, soit aussi fiable et aussi sûr que possible. On voit peut-être qu’il y a une certaine légitimité à se dire que notre contribution par l’impôt ou par d’autres choses, par nos organisations collectives, serve à s’assurer que ce réseau partagé fonctionne à peu près bien, qu’il ne repose pas sur un bénévole tout seul dans son coin, qu’on a les correctifs à temps, comment on gère tout ça. En fait, il faut du logiciel libre partout !
Isabelle Carrère : oui. Tout en faisant attention à ce que, s’il y avait une taxe ou s’il y avait des fonctionnements, des financements ou des choses qui soient décidées ailleurs, ça ne tue pas des pratiques, des principes ou des façons de faire du logiciel libre au sens générique. Ce que tu disais, Pierre tout à l’heure : OK, c’est une faille qui a été finalement vite vue par rapport à ce qu’on aurait pu imaginer, peut-être qu’il y en a d’autres qu’on n’a pas vues, ailleurs, dans d’autres mondes, propriétaires, il ne faut quand même pas l’oublier, et elle a été relativement vite réparée. C’est quand même le bon côté de l’information, de la nouvelle. C’est touchy, il ne faudrait pas que des fonctionnements qui seraient soit une taxe, soit une obligation de quelque chose, parce que si un État ou une institution donne des moyens, généralement, derrière, il faut une vérification de ce qui est fait avec ces moyens, des procédures, etc., et que ça n’alourdisse pas ou que ça ne tue pas, tout simplement, la liberté qu’on souhaite.
Pierre Beyssac : Tu as tout à fait raison. À fortiori, des gens qui sont bénévoles n’ont pas forcément envie de se casser la tête avec des procédures compliquées.
Étienne Gonnu : C’est aussi une des forces du Libre que le fork : se dire que si on n’est pas très content, le code reste accessible et on peut vraiment sortir d’une manière de faire et on peut toujours proposer autre chose. C’est pour cela que c’est une liberté absolument fondamentale, comme dans nos démocraties.
Isabelle Carrère : Tant qu’elles restent libres.
Étienne Gonnu : J’aime bien prendre ce parallèle : la liberté et le droit à l’insurrection. À parir du moment où on juge que c’est tyrannique, on repart et on refait comme cela nous semble plus juste.
D’autres mots, ou on avance. Je pense que c’étaient les deux actus principales.
Pierre Beyssac : On a toujours le problème de la sécurité logicielle, on n’a pas trouvé de solution encore à ce jour, on n’est pas capable d’assurer qu’un logiciel n’a pas de failles et, à fortiori, n’a pas de bugs.
Isabelle Carrère : tant mieux !J’ai envie de dire heureusement, il reste quelque chose d’humain. Nous ne sommes pas parfaits, youpi !
Pierre Beyssac : Oui, encore le côté magique.
Il peut y avoir des failles introduites volontairement, mais il y a aussi des failles introduites involontairement avec les trous de sécurité. C’est pour cela qu’on a des mises à jour des systèmes, etc. Il faut savoir qu’il y a des attaquants très malins, qui attendent, qui n’essayent pas d’introduire des failles parce que ça permettrait peut-être de remonter jusqu’à eux, mais qui se contentent d’utiliser les failles existantes. Ils se débrouillent pour les connaître avant nous et pour les garder secrètes. Il y a tout un marché gris de consultants en sécurité qui découvrent des failles et qui ne les publient pas, qui les vendent au plus offrant, souvent des États d’ailleurs, qui s’en servent pour attaquer des systèmes sur des failles que personne d’autre qu’eux ne connaît.
Étienne Gonnu : Tout peut être transformé en marchandise !
Pierre Beyssac : C’est assez particulier comme activité !
Florence Chabanois : Ils peuvent aussi les vendre à l’entreprise qui a commis la faille.
Pierre Beyssac : Ça doit se faire, c’est vrai, c’est assez complexe. Il y a un exemple célèbre avec la NSA qui avait accumulé dans ce qu’ils appelaient le coffre au trésor de failles il y a peut-être 15 ans. Ils avaient toute une série de failles, dans Windows notamment, qu’ils étaient obligés de dévoiler à Microsoft ou aux éditeurs, en l’occurrence Microsoft, au bout de trois mois, la loi américaine les obligeait à les dévoiler au bout de trois mois, mais ils les ont gardés pendant des années pour s’en servir, en fait. Un jour ça a fuité de chez eux, ça a donné lieu à toute une série de virus, il y a une quinzaine d’années, qui ont été attribués aux Chinois, aux Russes et je ne sais qui d’autre.
Il y a donc tout un monde obscur en sécurité informatique, derrière tout ça, qui est assez passionnant et très compliqué.
Étienne Gonnu : Un sujet complexe.
On a passé beaucoup de temps sur ces deux premières actus mais, à mon sens, c’étaient vraiment deux gros morceaux qui méritaient qu’on y passe du temps. Je propose d’avancer.
Juste peut-être redire que si vous utilisez du logiciel libre, une distribution Debian, à priori c’est corrigé. Et, de manière générale, que vous utilisiez du Libre ou pas, maintenez vos systèmes à jour, je pense que c’est une bonne pratique d’hygiène.
Je vous propose d’avancer à notre plat suivant.
[Clochette]
Le rachat de VMware par Broadcom et augmentation des prix de licence
Étienne Gonnu : Un autre sujet un peu complexe. Pierre, tu voulais l’aborder la dernière fois, on n’en a pas parlé, ça ne parle pas directement de logiciel libre, mais ce sont aussi des questions de licence. Finalement, on parle de libertés informatiques, là de dépendance à des licences avec une illustration très précise. Vmware, une boîte qui maintenait un logiciel qu’énormément d’entreprises utilisaient – tu vas nous préciser de quel logiciel il s’agit –, a été rachetée par Broadcom, une multinationale américaine, qui a littéralement, parce qu’elle le pouvait, là, on parle d’une licence propriétaire, elle avait donc acquis la maîtrise de cette licence, a décidé de son côté, parce qu’elle en était capable, d’augmenter, je crois fois 10 le prix des licences, en plus tout en modifiant les conditions d’utilisation du logiciel avec des conditions moins favorables. Ça a fait énormément de bruit dans les très nombreuses entreprises qui utilisaient ce logiciel, un logiciel très répandu et incontournable.
Pierre Beyssac : C’est Vmware, c’est ce qu’on appelle un logiciel de virtualisation, c’est-à-dire que ça permet de faire tourner plusieurs systèmes, plusieurs machines, sur une seule machine physique. On a donc des machines virtuelles et c’est très utilisé notamment dans le cloud, les clouds Amazon sont basés là-dessus, les clouds de Microsoft également. C’est un logiciel qui est pas mal utilisé par des entreprises quand elles veulent mettre en commun leurs serveurs, optimiser l’usage de leurs serveurs, la gestion et l’administration de leurs serveurs. C’est un logiciel commercial, je ne connais pas exactement les tarifs, ni les conditions de licence, c’est un logiciel qu’il faut acheter. Je crois qu’il y a eu une version gratuite à une époque.
Du jour au lendemain, Broadcom, qui a racheté la boîte, était en position de force, pas une position monopolistique, mais une position commercialement très favorable parce que son logiciel est très apprécié. Ce sont aussi toutes les histoires de l’écosystème : il y a des logiciels équivalents qui permettent de le remplacer, mais il faut tout refaire chez soi, il faut tout réinstaller. En gros, c’est comme quand tu veux refaire ta cuisine avec un autre fabricant, il faut tout virer et tout refaire, même si, à la fin, tu as quand même une cuisine et ça revient au même.
En fait, on est pieds et poings liés avec eux et ils ont essayé d’en profiter avec leurs clients en monétisant au mieux leur position de force, c’est-à-dire en augmentant brutalement les prix. Ils ont complètement revu leur offre commerciale pour up saler, comme on dit, c’est-à-dire vendre aux utilisateurs plus que ce qu’ils avaient demandé initialement. Les utilisateurs se plaignent, forcément, parce qu’ils voient leur facture flamber de 10 à 40, j’ai eu des exemples assez hallucinants. En fait, ça change l’équation.
L’équation, c’est souvent de dire qu’on ne va pas prendre du Libre parce qu’il manque des morceaux, on ne va pas prendre tel fournisseur parce qu’il manque des morceaux. Là, j’ai tout clé en main chez tel autre, ça me coûte moins cher à la fin, parce que mon activité ce n’est pas d’aller faire des petits bouts de chewing-gum pour relier de l’infrastructure, mon métier c’est aller vendre des taxis ou vendre ceci ou cela, donc je n’ai pas envie de passer du temps, je vais acheter quelque chose clé en main, commercialement adapté à ce que je veux faire, parce que ça me revient moins cher au final. Mais, évidemment, quand la facture est multipliée par 10 du jour au lendemain, ça rebat complètement les cartes et ça peut inciter à réétudier l’équation commerciale qu’on vous a proposée.
Sur une durée plus longue, il y a eu le même genre de chose avec les bases de données Oracle. Oracle est un grand de la base de données, c’est un élément qui était longtemps critique, qui est critique dans pas mal de systèmes informatiques, pour lequel il n’avait pas vraiment d’équivalent libre. Au fil du temps, des bases de données libres comme MySQL, PostgreS, se sont améliorées, ont complété en fonctionnalités, ce qui fait que, aujourd’hui, 90 % des usages d’Oracle peuvent être remplacés facilement par du Libre, mais il faut tout refaire. En fait, Oracle, à force de pousser le bouchon, a incité les clients, quand ils refont leur système de zéro, au bout de 20 ans, à prendre du Libre plutôt que prendre l’offre commerciale qui coûte très cher, parce que ça convient parfaitement aux besoins.
Étienne Gonnu : Pour préciser. Dans une situation équivalente, si plein de boîtes dépendaient d’un logiciel libre, qu’il y ait eu un rachat – alors, on ne peut pas vendre, c’est plus de la prestation de services, on peut donc dépendre de différentes manières –, mais, avec du logiciel libre, structurellement, on n’est jamais à ce point enfermé et complètement dépendant. Là, soit ils continuent et ils acceptent de payer ces tronçons, quelque part, soit ils repartent de zéro, ils doivent complètement changer leur infrastructure, leur fonctionnement.
Pierre Beyssac : Là, ça change complètement les équations. Je pense que, selon les cas particuliers, des gens vont décider de payer et des gens vont décider de migrer sur autre chose, sachant que la migration n’est jamais facile non plus. Même si tu décides de remplacer, ce sont facilement des mois de travail.
Étienne Gonnu : C’est pour cela que c’est bien de le faire avant d’avoir des gros problèmes, comme nos amis du land allemand qui ont décidé de sortir de Microsoft avant de se prendre, peut-être, des augmentations du prix des licences, on ne sait pas.
Merci beaucoup pour cette présentation. Je trouve que c’est une manière intéressante de souligner cet enjeu de la dépendance. Du coup, ça faisait écho à la première actu.
Est-ce que vous voulez réagir ? En fait, on a sauté l’actu qu’on avait prévue avant, désolé pour mes camarades autour de la table, mais ça nous servira de dessert, ça sera très bien.
Est-ce que vous voulez réagir ? Pierre, je t’ai interrompu, mais si tu voulais dire encore autre chose. Florence, Isabelle si vous voulez réagir.
Florence Chabanois : Quand on fait un choix de logiciel ou d’architecture, on aura tendance à se renseigner autour de soi et plutôt à suivre un mouvement de foule, en tout cas se dire « vu que mes pairs font ça », il y a un facteur rassurant. On a vu avec Vmware et Oracle qu’on peut, en réalité, être dans la mouise tous ensemble. Quand il y a des arguments qui pèsent dans ce sens, mais auxquels on ne fait pas attention au moment de faire le choix : se demander à quel point on est libre, à quel point on pourra quitter cette solution si ça pose problème, le fait qu’on soit nombreux ou nombreuses permet de se dire que c’est le bon choix. Parfois, j’ai l’impression qu’on préfère se tromper tous ensemble que prendre le risque d’être à l’écart et de gérer, au cas où il y aurait un problème, car on sera toute seule ou tout seul. Je pense que dans nos décisions de gouvernance, c’est quelque chose qui est très dur, parce que, en plus, on passe peut-être pour quelqu’un d’anxiogène « oui, mais on ne peut pas gérer tous les cas, oui, s’il y a une bombe atomique, s’il y a la guerre, s’il y a un rachat », mais ce sont des choses qui arrivent réellement sur des postures monopolistiques, pour le coup.
Je trouve super intéressant que ce soit arrivé.
Le point que ça soulève, pour moi, c’est le changement de modèle. Tu l’as dit, les prix ont flambé et c’est aussi un changement de consommation. Jusqu’ici, c’était un paiement one shot, en une fois, et ils basculent dans un modèle qui se fait de plus en plus sur l’usage, sur l’abonnement, disant que tous les mois, on va payer. C’est là où c’est l’enfer pour les personnes qui souscrivent, parce que, forcément, c’est plus et ça veut dire qu’on perd un peu du contrôle. Ça paraît fou et pas possible ! Même sans rachat, en fait, ce n’est pas nous qui décidons de la tarification, donc tout peut changer du jour au lendemain.
Je faisais le parallèle avec la brique de tout à l’heure et c’est presque drôle. Je me disais que si, aujourd’hui, j’achète une brique, je fais mon mur, le mur est à moi. Là, on arrive quand même dans un modèle où j’achète la brique et chaque année ou chaque mois qui passe, je paye un abonnement ! Ça paraît effectivement inconcevable.
Je trouve qu’il n’y a vraiment que dans le logiciel qu’on se permet, quand même, de faire ce genre de changement de modèle, comme si c’était tout à fait normal, alors qu’à la base, ce ne sont pas des services, ce sont des produits pour le coup.
Étienne Gonnu : Je trouve que ça fera un lien très intéressant avec le dessert qu’on a prévu. Je ne veux pas interrompre s’il y a un dernier mot à dire, très court, Pierre.
Pierre Beyssac : Jusque-là, les éditeurs de logiciels vendent le logiciel à l’unité, donc on est sensé, entre guillemets, « le posséder » et ça va effectivement tout à fait faire la transition avec la suite. Mais ils ont envie d’un modèle avec un revenu récurrent garanti sur la durée, donc tu ne payes plus, tu n’es plus client, tu n’as plus de logiciel. Ça met donc les clients en position de vulnérabilité avec la nécessité de payer la maintenance, l’évolution du logiciel sur la durée.
Étienne Gonnu : Dans un cas, ces propriétaires rançonnent, ils font du bénéfice sur le fait qu’on soit dépendant du logiciel, là où sur du logiciel libre, c’est par la qualité du service, en général, qu’on va plutôt s’assurer. Rien n’est magique non plus, pour mettre un avis tout à fait biaisé sur la question.
Je vous propose donc de passer à notre dessert.
[Clochette]
Suppression du jeu The Crew par Ubisoft
Étienne Gonnu : Il nous reste un peu moins de dix minutes, je crois que c’est à nouveau Pierre qui nous avait partagé cette actu : le jeu en ligne de courses de voitures, The Crew, de Ubisoft, n’est plus jouable depuis le premier avril. Si certains joueurs ou joueuses qui avaient pu acheter le jeu, ont, visiblement, pu être remboursés, ce n’est pas du tout le cas pour tous, ce jeu à plus de dix ans, autour de dix ans. C’est un jeu auquel on joue en ligne. Je ne connais pas le fonctionnement d’Ubisoft, mais j’imagine sans mal que l’on devait passer par une plateforme où on était inscrit, qui permettait de se connecter au jeu qui tournait sur les serveurs d’Ubisoft. On avait accès au jeu et, tout d’un coup, on ne peut plus y jouer. Peut-être que des gens jouaient depuis des années, ne peuvent, tout simplement, plus y jouer et c’est là où ça fait dire que ce n’est pas vraiment leur jeu. Ils louaient un service qui était la capacité, la possibilité de jouer à ce jeu.
Qui veut donner ouvrir le bal de ce débat ? Isabelle, toi qui as moins parlé sur le sujet précédent.
Isabelle Carrère : Je n’ai même pas du tout parlé, parce je connaissais rien du tout au sujet précédent. Par contre, je croyais que le dessert ce n’était pas celui-là, ou alors j’ai confondu.
Pierre Beyssac : On peut prendre deux desserts.
Isabelle Carrère : Fromage et dessert, je ne sais pas.
Étienne Gonnu : Ce sera soit fromage soit dessert, on verra en fonction du temps.
Isabelle Carrère : Je croyais que le dessert c’était l‘effet DMA [Digital Markets Act], non ce n’est pas lui. On verra si on a le temps d’en parler.
Étienne Gonnu : On a passé plus de temps sur le sujet d’avant. Avançons. Si on peut, on fera DMA.
Isabelle Carrère : Ubisoft. Je ne sais pas si j’ai grand-chose à dire d’Ubisoft parce que je ne joue pas aux jeux vidéo. Je connais cette société et je comprends un peu l’idée, c’est-à-dire, effectivement, qu’il y a des gens qui disent « quand même, j’avais payé pour avoir tel jeu, tel accès à un jeu, et là, soudainement, Ubisoft, de son propre chef, décide tout seul de changer sa façon de faire, donc de m’empêcher de jouer de cette façon parce que je n’ai plus accès à tel et tel truc. » Ce que je comprends, c’est que, de toute façon, dans ces marchés-là, il n’y a pas un contrat dans lequel tu signes, il n’y a pas des choses avec une partie très précise et, quand tu n’as pas de contrat, il y en a effectivement un qui fait ce qu’il veut.
Étienne Gonnu : Il y a un contrat, le contrat d’utilisation.
Pierre Beyssac : Il a un contrat, c’est ce qu’on appelle les DRM, c’est géré avec des mesures techniques permettant au détenteur des droits de faire ce qu’il veut et de t’enlever l’accès s’il le juge bon. Tu as effectivement tout à fait raison, en général c’est prévu dans les contrats que personne ne lit.
Étienne Gonnu : Je précise : les DRM sont, en gros, des mesures de restrictions d’usage.
Pierre Beyssac : C’est ça, Digital Rights Management, gestion des droits. C’est effectivement fait pour empêcher de copier le jeu comme on l’entend, tout un tas de choses. D’ailleurs quelqu’un avait dit « si je ne suis pas propriétaire du jeu quand je l’achète, c’est que je ne suis pas un voleur quand j’en fais une copie illégale. » C’est un peu tiré par les cheveux, mais ça s’entend.
Ça pose aussi le problème des objets connectés dont le fabricant arrête le service qui est derrière, pour des problèmes d’obsolescence – je n’aime pas le terme « obsolescence programmée » –, mais ça pose le problème de la pérennité de ce qu’on achète et notamment, en termes de médias électroniques aujourd’hui, on n’a pas forcément les droits qu’on croit avoir en termes de pérennité sur ce qu’on achète. Pour un jeu vidéo, ça peut être embêtant, en particulier pour des jeux en ligne. À la rigueur, un jeu sur lequel on joue en local, comme on faisait à l’ancienne, mais c’est de moins en moins fréquent, on peut espérer conserver les droits ad vitam æternam, mais sur un jeu en ligne où l’éditeur décide du jour au lendemain d’arrêter ses serveurs, ce qui rend le jeu complètement inutilisable, ça pose quand même des soucis, on est à la limite de la tromperie. Même si c’est certainement prévu dans le contrat, les gens peuvent légitimement s’estimer lésés par l’arrêt du service.
Isabelle Carrère : Ça pose quand même d’abord la question de la dépendance, non ?
Pierre Beyssac : C’est encore autre chose, je ne sais pas.
Isabelle Carrère : La dépendance des gens à cette affaire-là.
Pierre Beyssac : Tu veux dire la dépendance technologique.
Isabelle Carrère : Oui, numérique, globalement, c’est-à-dire de quoi parle-t-on ? Si des gens arrivent à se sentir lésés parce que quelqu’un a fait ce qu’il avait le droit de faire, c’est ce que je voulais dire dans le sens où il n’y avait pas de contrat. Je n’ai pas vu qu’Ubisoft avait dit « je te promets que toute la vie, la tienne pas la mienne, il y aura ce jeu-là pour toi ! ». On sait très bien qu’une société peut disparaître, peut changer de braquet.
Pierre Beyssac : Quand tu achètes un livre, si l’éditeur fait faillite, tu as toujours le livre !
Étienne Gonnu : C’est quoi un objet numérique ?
Isabelle Carrère : Dans le numérique, où vois-tu un endroit sur lequel on peut dire ça ?
Pierre Beyssac : Les jeux, entre guillemets, « à l’ancienne ». Les jeux numériques pour ordinateur, les jeux vidéo d’il y a 30 ans ; il y a des jeux que tu peux encore faire tourner.
Étienne Gonnu : Où est-ce que s’exécute le logiciel ? Je trouve ça intéressant. Il y a effectivement une vraie raison, c’est que ça tournait sur les serveurs d’Ubisoft et on peut légitimement se dire qu’ils font ce qu’ils veulent avec leurs serveurs. Par contre, si on avait accès à la capacité d’installer le jeu chez soi, si on a les compétences ou si on veut trouver des gens qui ont les compétences pour installer son propre serveur et pouvoir se faire son jeu sur ses propres serveurs, localement, ou sur d’autres, là ce n’est possible parce qu’on n’a pas les droits. Ça montre aussi que dans le logiciel, les jeux sont aussi des logiciels, c’est un enjeu de liberté d’usage et les quatre libertés en général restent prépondérantes.
Isabelle Carrère : Je comprends ce que vous voulez dire. Je pousse le bouchon parce que je trouve ça intéressant. Tout à l’heure tu disais « la conclusion à ce qu’on vient de dire c’est qu’il faut absolument faire les mises à jour régulièrement ». OK ! Et si plus personne ne fait les mises à jour régulières, on fait quoi ?
Étienne Gonnu : C’est un enjeu collectif !
Isabelle Carrère : Voilà ! C’est quand même un enjeu collectif dans lequel on a chacun une place et tout joueur ou joueuse qu’on soit, ou pas, on est censé réfléchir à cette place qu’on a.
Pierre Beyssac : C’est vrai. Après, c’est un peu la question de la lecture des contrats quand on s’engage. Quand tu dois lire 30 pages de points juridiques avant d’acheter un jeu, c’est difficile.
Étienne Gonnu : On est seul face à ces contrats. C’est cette question de se réapproprier collectivement nos usages, nos objets culturels, que ce soit de la musique ou des jeux vidéo, puis en discuter.
Isabelle Carrère : En discuter, que ce soit parlé. Où est la transparence dans ces trucs-là ?, en l’occurrence il n’y en a pas.
Pierre Beyssac : En théorie, mais en pratique !
Isabelle Carrère : Il n’y en a pas, on est d’accord.
Étienne Gonnu : C’est le but aussi de parler de ça, de se poser ces questions-là : qu’est-ce qu’on achète vraiment ? Là, on était plutôt dans un système où on a l’impression d’acheter quelque chose, mais, en fait, on le loue, on paye pour un accès tant que l’entreprise le veut bien et il y a des enjeux de droit.
Ça m’évoquait une histoire très connue parmi les libristes, je ne sais plus en quelle année : pour des questions de droit, Amazon avait supprimé dans les liseuses électroniques d’Amazon, donc en se connectant chez les gens, un livre et et pas n’importe lequel, 1984 de George Orwell, parce qu’il y avait eu un changement de droits. Je crois qu’ils ont reconnu que cette manière de faire était maladroite, quoi qu’il en soit, unilatéralement, ils sont rentrés dans les liseuses électroniques et ils ont supprimé les fichiers parce qu’il n’y avait plus les droits, « vous ne pouvez plus lire, vous avez beau avoir acheté le livre ! X
Pierre Beyssac : Plus récemment, une boutique de musique en ligne, je crois que c’était quelque chose d’une grande major, je ne veux pas dire de bêtises donc je ne donnerai pas de nom, a fermé le service en ligne du jour au lendemain, donc les gens qui avaient acheté tout un tas de morceaux musicaux, qui pensaient les avoir acquis éternellement, ont perdu leur catalogue en fait.
Isabelle Carrère : C’est la question de la dépendance. Je trouve ça très drôle. Pas vous !
Pierre Beyssac : Il va y avoir des lettres d’insultes à la radio !
Isabelle Carrère : Drôle dans le sens aussi où ça pose des questions qui sont pour moi hyper naturelles et normales, qu’il faut se poser, et c’est comme si les gens ne se les étaient pas posées.
Étienne Gonnu : Je vois le temps qui avance, il est 46, on n’aura pas le temps de faire le dernier sujet sur les DMA, j’en suis désolé parce qu’il est intéressant, à savoir qu’on aura visiblement des plus petits navigateurs, parce qu’il y a eu un changement de loi ; ils prennent des parts de marché, parce que notamment Google et Apple sont obligés de leur laisser un peu de place et c’est plutôt positif.
Florence, tu ne t’es pas exprimée sur ce sujet, je voulais te laisser un peu de place.
Florence Chabanois : Je rejoins Isabelle. Étant de l’autre côté, jamais de la vie je ne vais fournir le support d’un logiciel ad vitam æternam, vraiment jamais ! Je me posais même la question inverse : est-ce que c’est possible, avec l’évolution du matériel, de vraiment garantir aujourd’hui des usages avec le cycle de vie de nos ordinateurs ou mobiles ? Je ne crois pas. En même temps, je t’entends quand tu parles du Libre, mais moi, en tant qu’usagère, c’est vrai que je me dis que tout ce qui est connecté à Internet ne m’appartient pas ! En gros, on va venir, on supprime, on met à jour, ou alors il faut refuser toutes les mises jour.
Je suis triste pour les joueuses et joueurs de The Crew qui se sont sentis lésés.
Isabelle Carrère : Moi aussi, je voulais dire ça, je rigole, mais je suis très triste !
Pierre Beyssac : Il y avait un proverbe : « Les vieux ordinateurs ne meurent jamais, ils sont émulés. »
Florence Chabanois : Oui, c’est vrai, mais ce sont des hacks. Je pense que The Crew trouvera une façon ou une autre, peut-être, de rejouer, mais oui c’est vrai, je n’ai pas mieux. En tout cas l’informatique a un coût, on ne peut pas tout le temps se mettre à jour sur tout, sinon ça veut dire qu’on a des équipes sur tous les produits, ça ne fait qu’augmenter.
Pierre Beyssac : Après on a des choses à vie !
Étienne Gonnu : On pourra continuer cette conversation, on a une autre chronique que j’aimerais entendre pleinement et quelques infos.
En tout cas merci à tous les trois, Florence, Isabelle et Pierre de nous avoir rejoints pour ce Café libre. Bien sûr, merci à vous nous avoir écoutés.
Je vous propose une pause musicale avant de passer à notre dernier sujet.
[Virgule musicale]
Étienne Gonnu : Nous allons écouter Balkan Beats par The Freak Fandango Orchestra et on se retrouve juste après pour une nouvelle Pituite de Luk. À tout de suite sur Cause Commune, la voix des possibles.
Pause musicale : Balkan Beats par The Freak Fandango Orchestra.
Voix off : Cause Commune, 93.1.
Étienne Gonnu : Ça swingue aujourd’hui dans Libre à vous !.
Nous venons d’écouter Balkan Beats par The Freak Fandango Orchestra, disponible sous licence libre Creative Commons, Partage dan les mêmes conditions, CC By SA. Mes camarades, autour de la table, sont d’accord avec moi, il y avait un petit côté Manu Chao dans la voix plus aiguë du chanteur ou de la chanteuse.
[Jingle]
Étienne Gonnu : Nous allons passer à présent à notre dernier sujet.
[Virgule musicale]
Chronique « La pituite de Luk » – « L’insécurité informatique »
Étienne Gonnu : Nous allons donc poursuivre avec une nouvelle « Pituite de Luk », une chronique rafraîchissante au bon goût exemplaire qui éveille l’esprit et développe la libido. Aujourd’hui, Luk nous parle d’insécurité informatique.
[Virgule sonore]
Luk : L’expression « sécurité informatique » me semble mal venue. Elle me donne l’impression que les choses sont sous contrôle alors que nous vivons, en réalité, à différents niveaux d’insécurité informatique.
Une grosse source de vulnérabilité sont les utilisateurs eux-mêmes. Par exemple, LastPass et ses utilisateurs ont de gros ennuis en raison de campagnes de phishing très bien montées.
Je me félicite, aujourd’hui, de n’avoir jamais eu assez confiance pour mettre mes mots de passe sur un service hébergé, parce que, vu les manœuvres des escrocs, je pense que je me ferais avoir, comme tout le monde. Par le passé, on se moquait des gens qui notaient leurs mots de passe sur un papier. Aujourd’hui, c’est finalement un moindre risque. Je songe à m’y mettre. J’écris tellement mal qu’un bout de papier et un stylo dans ma main valent bien un chiffrement AES 256 bits.
La faille dans XZ Utils, qui a généré pas mal de remous chez une population pourtant pas naïve en matière de sécurité, est également d’origine humaine. Un contributeur chinois, qui avait consciencieusement contribué au projet au point d’en récupérer la charge, en a profité pour y placer une backdoor. Ce n’est pas la première fois qu’un projet libre essentiel, qui est maintenu avec des moyens dérisoires, devient un problème de sécurité. La différence, cette fois-ci, c’est que ce n’est pas une maladresse mais un acte délibéré. Si le monde du Libre doit désormais se méfier des contributeurs dévoués qui font du bon boulot, les choses vont être compliquées !
Autre faille humaine. Le patron de la NSA israélienne s’est « doxé » tout seul en publiant un livre sur Amazon. Le machin a automatiquement et publiquement lié son livre à son compte Gmail. L’affaire révèle aussi que d’anciens officiers de ce groupe qui, les premiers, ont vu la boulette, discutent dans un groupe WhatsApp. Si on m’avait dit, avant ça, que la crème de l’espionnage informatique a des comptes nominatifs Google et se murmure des trucs secrets sur les réseaux de Zuckerberg, je ne l’aurais pas cru.
Avec la guerre qui menace, l’informatique est devenue une question stratégique et un terrain d’affrontement de faible intensité. La pression monte entre les États-Unis et la Chine. Les premiers ont décidé de forcer la revente de TikTok à des mains américaines. On sait que les réseaux sociaux sont globalement néfastes, nuisent à la santé mentale de leurs utilisateurs et à la démocratie, mais, le vrai problème, c’est que ça puisse être les Chinois qui soient à la manœuvre.
Parce que, franchement, quelle différence, pour nous, que les oreilles qui nous écoutent soient américaines ou chinoises ? Sujet complexe auquel je peux apporter un fait incontestable : ce ne serait pas le même type de cérumen. En effet, selon l’article de Wikipédia sur le sujet, les individus d’origine asiatique et amérindienne ont le plus souvent un type de cérumen sec, à l’inverse des individus d’origine africaine et européenne. On s’en fout ? D’accord. J’ai juste dit que j’apportais un fait incontestable. Quoique… Pour être sûr, envoyez quand même un échantillon de votre cérumen à l’April, avec votre génotype inscrit sur le sachet. Si on en reçoit assez, on pourra valider scientifiquement, ou non, cette information.
En représailles aux manœuvres américaines sur TikTok, le gouvernement chinois vient d’annoncer le boycott des processeurs Intel et AMD et annoncé également qu’il n’utilisera que son OS national qui s’appuie sur Linux. C’est un virage considérable dans un domaine qui, jusqu’à maintenant, était largement sous influence américaine.
Verra-t-on, à l’avenir, deux blocs ennemis utilisant chacun leur propre informatique distincte ? D’un côté du Linux, de l’autre Windows ?
Alors bon… Peut-être devrais-je me payer une panoplie de Jean-Pierre Raffarin et rouler pour Xi-Jinping. L’informatique, côté américain, ce sont des mecs comme Daniel Ek, patron de Spotify, qui se rend compte, après avoir viré 6 % de ses effectifs pour souscrire à la mode de ces derniers mois, que sa boîte marche beaucoup moins bien maintenant, forcément ! Alors que, côté chinois, on a ce fameux pirate de XZ qui s’est quand même montré visionnaire, a travaillé avec abnégation et investi plusieurs années de sa vie pour obtenir le résultat visé. Je pense à la frustration qui a dû être la sienne quand son investissement a été perdu. Et ça, tout le monde s’en fout. Vous êtes vraiment des sans-cœur !
[Virgule sonore]
Étienne Gonnu : De retour en direct dans Libre à vous !, l’émission qui vous raconte les libertés informatiques. C’était « La pituite de Luk ».
Nous allons terminer par quelques menues annonces.
[Virgule musicale]
Quoi de Libre ? Actualités et annonces concernant l’April et le monde du Libre
Étienne Gonnu : D’avance mes excuses, je vais devoir parler très vite, car nous approchons rapidement de la fin de l’émission.
Je rajoute une annonce. Nous avons parlé de jeux vidéo. On m’a fait part d’une alternative qui s’appelle itch.io, une boutique de jeux indés, qui permet souvent de télécharger des copies des jeux sans DRM, ça dépend, bien sûr, des jeux et des choix des créateurs des jeux. Je trouvais important de le souligner.
Cause Commune vous propose un rendez-vous convivial, chaque premier vendredi du mois, à partir de 19 heures 30 dans ses locaux à Paris, au 22 rue Bernard Dimey, dans le 18e arrondissement. Une réunion d’équipe ouverte au public avec apéro participatif à la clé. Occasion de découvrir le studio et de rencontrer les personnes qui animent les émissions. La prochaine soirée-rencontre aura lieu le vendredi 3 mai, donc ce vendredi. À l’occasion de ces soirées mensuelles, l’émission Comm’un vendredi est diffusée de 20 heures à 21 heures. Vendredi 3 mai, cette émission sera dédiée aux émissions de Cause Commune qui parlent d’informatique, c’est-à-dire Libre à vous !, Cyber Culture et Parlez-moi d’IA. Mon collègue Frédéric Couchet animera l’émission et ma collègue Isabella Vanni y participera.
Une nouvelle édition des Journées du Logiciel Libre, les JdLL, aura lieu le week-end des 25 et 26 mai 2024 à Lyon et l’April y tiendra un stand. D’ailleurs, nous avons besoin de bras pour assurer notre présence. Nous aurons également des conférences April.
Notre émission se termine, comme vous pouvez l’entendre au générique.
Je remercie les personnes qui ont participé à l’émission : Laurent et lorette Costy, Florence Chabanois, Pierre Beyssac, ainsi qu’Isabelle Carrère et Luk
Aux manettes de la régie aujourd’hui, Julie Chaumard. J.
Merci à Élodie Déniel-Girodon qui s’occupera du podcast, Quentin Gibeaux ou Frédéric Couchet qui le découperont.
Merci à mon collègue Frédéric d’avoir géré le flux vidéo sur PeerTube.
La prochaine émission aura lieu en direct mardi 7 mai à 15 heures 30. Notre sujet principal portera sur Coopaname, le Libre dans la coopérative.
Nous vous souhaitons de passer une belle fin de journée. On se retrouve en direct mardi 7 mai et d’ici là, portez-vous bien.
Générique de fin d’émission : Wesh Tone par Realaze.