Luc : Décryptualité. Semaine 4 de l’année 2022. Salut Manu.
Manu : Salut Luc.
Luc : Qu’est-ce que tu nous as trouvé pour le sommaire ?
Manu : Un petit sommaire, mais aux oignons, avec quelques sujets qui reviennent. La semaine dernière on n’a pas fait mais là on va essayer de couvrir un petit peu tout ça.
Luc : Nouvelle République, « Logiciels libres : Solix fête ses vingt ans à Romorantin », un article de la rédaction.
Manu : Solix c’est Linux en Sologne. Ça met en avant une association locale qui travaille à du logiciel libre, des formations et à essayer de sortir un petit peu des GAFAM, donc des gens plutôt sympathiques. Allez jeter un œil si vous êtes du coin.
Luc : Bon anniversaire Solix.
Next INpact, « Une sénatrice veut étendre le contrôle parental à la française aux éditeurs d’OS », un article de la rédaction.
Manu : C’est un sujet compliqué. Ça parle de porno parce que, finalement, c’est un petit de ça dont il s’agit. En fait, bizarrement, à cause du porno, on pourrait ne plus avoir de logiciels libres, en tout cas avoir des blocages sur les ordinateurs pré-installés avec du logiciel libre, parce qu’on imposerait, dans la loi, à avoir des outils de contrôle de ce qu’on fait avec un ordinateur pour ne pas permettre aux enfants d’aller notamment sur des sites pornos. Au nom de ce genre de loi-là et de ce genre de mécanisme-là, on empêcherait d’avoir un ordinateur avec du Libre
Luc : Porno ou autre chose, les parents galèrent pour contrôler le temps sur les écrans de leurs enfants. Il y a les réseaux sociaux où on peut voir à peu près tout et n’importe quoi.
Archimag, « La science ouverte en France : chiffres et état des lieux de l’open access (€) », un article de Bruno Texier.
Manu : Plutôt intéressant. Je ne me rendais pas compte, mais il semblerait qu’en France on soit un peu à la pointe des publications des articles scientifiques. La moitié des articles scientifiques sont diffusés de manière ouverte sans passer par les grands éditeurs de journaux, ces choses-là. Je ne connais pas bien le détail, en plus l’article est payant donc on ne peut voir que le début. N’empêche, c’est plutôt sympa, il met en avant le côté proche du Libre parce qu’on veut vraiment permettre à tout le monde de mettre les mains dans la science. C’est plutôt intéressant. « Aaron Swartz avec nous », il y a quelque chose de motivant.
Luc : Numerama, « LibreOffice, Mastodon : l’UE offre 200 000 € pour sécuriser certains logiciels libres », un article de Julien Lausson.
Manu : C’est plutôt la grosse nouvelle, qui nous est déjà tombée la semaine dernière, qui parle de logiciels comme LibreOffice [1], Mastodon [2], Odoo [3], CryptPad [4], LEOS [5], dont on n’avait pas forcément entendu parler à l’autre bout du fil. Nous connaissons un petit peu ces logiciels, par exemple Mastodon est un réseau social libre. Il semblerait que ces logiciels sont utilisés par l’Union européenne.
Luc : Et par nous ! Nous sommes aussi sur Mastodon.
Manu : L’Union européenne s’est rendu compte, quelque part, qu’elle utilisait ces logiciels-là et qu’il y avait plein de failles potentielles qui pouvaient exister, qui existent, qui sont diffusées et utilisées par exemple par d’autres pays ou par des hackers pour attaquer des institutions, des entreprises ou n’importe qui utilisant ces logiciels-là. Ça peut poser des problèmes. Pour essayer de remédier à ces problèmes, ils ont proposé une sorte de bourse aux failles.
Luc : Des primes ? En anglais c’est bug bounty, bounty comme bounty hunter en anglais, le chasseur de primes. Ce n’est pas la première qu’ils le font, ils ont déjà mené des campagnes pour d’autres logiciels. Ce qui est d’ailleurs intéressant c’est de voir que le montant maximum qui est donné pour cette campagne-là est plus faible que pour la campagne d’avant.
Manu : Il semblerait que là ils peuvent monter jusqu’à 5 000 euros.
Luc : C‘est ça, voilà. Et avec 20 % de bonus si la personne arrive avec un patch donc une correction pour celui qui a été trouvé. C’est sympa ! 200 000 euros ce n’est pas une somme colossale, à l’échelle de l’Union européenne ça va, mais ça a le mérite d’exister et ce sont quand même des aides utiles.
Manu : On sait que c’est un mécanisme qui est utilisé par pas mal d’entreprises, que parfois ça peut rapporter de l’argent. Il semblerait que dans certains contextes on puisse gagner jusqu’à un million d’euros pour une faille qui est transmise à l’éditeur, au fabricant on va dire. On sait aussi que les failles ont des grosses valeurs potentielles sur le marché noir pour les mafias, pour certains pays. On appelle ça les failles zero-day [6], jour zéro, ce sont les failles que personne ne connaît encore. Quand on en connaît une, qu’on l’utilise, le moment où on l’utilise, c’est le moment où, en quelque sorte, on la révèle, on révèle sa carte. Et puisque personne ne la connaît, il n’y a pas encore de protection, on peut outrepasser des firewalls, des protections usuelles et on peut rentrer dans des systèmes de manière assez profonde, assez forte. On sait que les failles zero-day ont une valeur assez phénoménale, ce sont quasiment des armes de guerre. Ça a été utilisé, par exemple, par les Américains dans Stuxnet [7]. Ils avaient attaqué l’Iran avec plusieurs failles zero-day en même temps.
Il y a des laboratoires de sécurité en général qui s’intéressent à cela et qui vont travailler vraiment à trouver des failles, c’est leur boulot, leur passion j’espère. Au moins ils sont payés, ils ont un revenu grâce à ce travail. C’est un travail qui est assez ardu. J’ai un peu fait d’audit de sécurité, je peux te dire qu’on ne s’amuse pas toujours. On est parfois mis dans un petit bureau au noir, à l’écart de tout le monde, parce qu’on est là pour juger. Être capable, être payé pour remonter ça c’est très positif, ça permet de mettre en avant les white hats, contrairement au black hats, donc les « chapeaux blancs », les hackers qui sont un petit peu des chevaliers blancs qui sont là pour vous aider et pas pour vous enfoncer.
Luc : Ça fait écho au sujet qu’on a évoqué il y a 15 jours et un peu avant, il y a pas mal d’éléments qui pointent dans cette direction qui est la question des financements des projets libres. Même si c’est bien, effectivement, d’avoir ce pécule pour aller chercher des failles, ça veut dire aussi que ce n’est pas un financement pour les développeurs – ils sont peut-être aidés par l’Union européenne par ailleurs, on l’espère. En termes de financement de développement, on en a parlé depuis un mois assez régulièrement, on sait que c’est très inégal : certains projets sont bien financés et d’autres où ça va être une poignée d’individus, souvent un développeur tout seul qui ne gagne rien. Il y a 15 jours on avait parlé de cet individu [8] qui avait saboté ses logiciels parce qu’il en avait marre. C’est donc une question de fonds. On a beaucoup posé ce sujet en se disant qu’il y a peut-être une faille dans le Libre parce que le logiciel libre, comme projet, c’est un projet très libertarien, d’origine américaine, on parle beaucoup de liberté, on autorise à faire les choses. La partie argent n’est pas vraiment abordée, on a le droit d’en vendre, mais on a effectivement cette idée que si le logiciel libre est un commun, vu qu’on a de très gros acteurs dans l’informatique, ça ne permettrait pas de s’y retrouver et même s’ils gagnent beaucoup d’argent avec toute une série de librairies et d’outils ils ne vont pas nécessairement les financer.
Manu : On pourrait même rappeler l’origine. Dans les années 70 c’était des hippies dans les universités américaines, largement, et effectivement l’argent ce n’était pas un but pour ces gars-là. Ils voulaient faire évoluer la technique, s’entraider, réparer une imprimante, la faire mieux fonctionner, c’est un petit peu un des points de départ.
Luc : C’étaient des universitaires.
Manu : C’étaient largement des universitaires et l’argent ! Vous vous débrouillez, vous allez trouver quelque chose, vous ferez ça dans des entreprises, vous allez rendre des services, on va vous payer pour faire des logiciels, des logiciels à façon. Et puis, finalement, on s’attendait à ce que la plupart des informaticiens travaillent dans des entreprises et que ça fasse partie de leur boulot usuel, pour répondre à des problématiques d’entreprise, que de développer des logiciels et de les libérer ensuite.
Luc : Le logiciel libre a été pensé à une époque où un type comme Stallman [9], et d’autres avec lui, pratiquaient l’informatique. C’était aussi beaucoup un truc d’universitaires et il n’y avait pas encore un marché colossal dans le domaine professionnel ; c’est quelque chose qui est apparu dans les années 80 et qui n’a fait que s’amplifier. Le milieu n’était pas le même.
Manu : Mais le sujet reste d’actualité et on en a toujours parlé depuis des années et des années. Il y a eu des livres blancs, il y a eu beaucoup d’articles et de discussions autour de comment peut-on vivre en faisant du logiciel libre ?
Luc : Exactement. En marge de ces sujets avec ces primes et ces questions de financements, il y a également la faille sur Log4j [10] qu’on avait évoquée il y a 15 jours. J’ai vu passer un petit article [11] sur developpez.com qui parle du tweet d’un développeur, qui s’appelle Daniel Stenberg, qui développe un truc qui s’appelle cURL, qui rigole un petit peu. Il a reçu un mail d’une très grosse boîte américaine qu’il ne mentionne pas parce qu’il dit qu’il lui a proposé un contrat. En gros il fait un logiciel libre, il n’y a aucune garantie, il le file gratuitement, il n’a signé de contrat avec personne. Suite à la faille de Log4j il reçoit un mail de cette boîte qui dit « vous êtes un fournisseur — puisqu’elle utilise son logiciel sans le payer, sans contrat — merci de nous dire si... », et là il y a un questionnaire pour savoir s’il utilise Log4j, s’il a fait les mises à jour, etc. Il a répondu « on n’a jamais signé de contrat, je ne vous dois rien. Si vous voulez, envoyez-moi des sous, je vous répondrai. » Avec ce constat un peu amer de dire ils sont nuls, ils ne comprennent rien. Son logiciel n’utilise absolument Log4j. Si les gens savaient un peu ce qu’ils utilisent et ce qu’ils font, ils devraient être au courant qu’il n’y a aucune chance qu’il l’utilise.
Manu : Ça a bien fait marrer tout le monde de voir cette discussion autour de cURL. Imaginer qu’il y avait Log4j dedans ça fait bien sourire.
Luc : Moi qui ai bossé un temps chez un éditeur américain, le gros machin très corporate.
Manu : Très financier.
Luc : Très orienté sur le profit et le juridique. En fait, ces boîtes américaines qui marchent beaucoup face aux risques juridiques, on connaît toutes les histoires de procès délirants. Pour une réaction de ce type-là, je n’ai aucun doute sur le fait qu’il y a eu un mailing automatique. Ils ont pris tous les gens à qui ils prennent des éléments et ils leur ont posé la question en se disant « si jamais il y a un problème, on pourra dire qu’on leur a posé la question, qu’ils ne nous ont jamais répondu, donc que ce n’est pas de notre faute. »
Ça démontre que dès que ce système commence à foirer, on est dans des histoires de responsabilité. Ces boîtes-là ne veulent pas payer, mais elles aimeraient bien avoir la garantie de… On se disait, en toute modestie, qu’est-ce qu’on pourrait mettre en place comme système pour mieux financer le Libre ?
Manu : Notamment dans un système où il y a des gros parasites. À ce niveau-là ce ne sont plus des parasites, ce sont des éléphants, les GAFAM. Tu as une piste que tu aimes bien mettre en avant.
Luc : Pour moi il y a cette question de la régulation publique. Effectivement ça va un peu contre le principe du Libre qui est quand même très libertarien, comme on le disait tout à l’heure, limite libéral et certains libéraux aiment beaucoup le logiciel libre. Mais, dans l’action publique, il y a cette idée d’aller compenser les faiblesses du privé. Aujourd’hui il n’y a aucun doute sur le fait que toutes ces bibliothèques, tous ces outils, toutes ces briques logicielles ont un effet très bénéfique sur l’économie en général. Ça permet à ces boîtes de faire beaucoup de bénéfices, comme ça a été rappelé, ça leur permet aussi de se développer. Ça permet à plein de boîtes, y compris des PME, à tout le monde, de se développer rapidement, simplement et à coût plus réduit. On pourrait avoir cette démarche en disant que c’est un bien commun, c’est un bien public, donc on veut que ça perdure, on veut que ce soit solide, on veut que ce soit fiable, on en veut peut-être plus pour qu’on puisse accélérer tout ça et que nos pays soient plus forts, plus réactifs, plus agiles, donc on met en place des moyens pour financer ça. On se dit qu’on veut un budget non pas pour devenir riche ou avoir des gens qui deviennent millionnaires, mais disant si j’ai une brique logicielle pour laquelle j’ai deux développeurs, je veux 200 000 euros par an. Ça couvrira les frais généraux plus les salaires de ces gens-là au prix du marché des développeurs. L’objectif c’est qu’ils soient payés pour leur boulot. Je peux faire la liste de tous les éditeurs, de tous les gens qui vont utiliser ces bibliothèques. Surtout, comme on l’a expliqué, qu’il y a souvent des liens automatiques, donc on peut les lister. Il y a des outils qui permettent de suivre tout ça et on dit « vous êtes dans telle tranche de revenus, alors merci de payer tant ». Tu n’as pas besoin de leur demander des fortunes, mais dire que c’est obligatoire de contribuer au bien public puisque, manifestement, la bonne volonté ne suffit pas.
Manu : Je ne suis pas tout à fait sur la même longueur d’onde que toi sur le sujet, mais pourquoi pas. J’ai tendance à dire qu’ils ont déjà des taxes sur le dos et ils ont déjà de grosses capacités pour y échapper, ce sont des spécialistes de l’optimisation fiscal et on ne va pas en sortir. Je préférerais qu’on essaye d’éviter d’avoir des géants aussi mastodontes que ça, je trouve absurde que des entreprises valent plusieurs trilliards de dollars ! À mon avis il y aurait d’autres moyens de casser ces mécanismes-là, éviter, notamment par exemple, qu’elles fassent de la prédation sur les petites entreprises très agiles et très innovantes pour compenser leurs faiblesses. Les grosses boîtes deviennent des gros géants, vraiment des patauds, et on leur facilite la vie, on les aide à continuer à exister. À mon avis il y a moyen de les casser à ce niveau-là et, tout simplement, éviter qu’elles fassent de l’évasion fiscale, comme elles le font aujourd’hui, ou de l’optimisation fiscale. Dans tous les cas j’ai peur qu’il nous faille une chose pour faire évoluer le système, qu’on n’a pas aujourd’hui, c’est la volonté politique. Si on n’a pas ça !
Luc : Pour moi c’est cette difficulté — il y a un problème de fond, que tu évoques et sur lequel je suis complètement d’accord — de dire qu’il n’y a qu’à régler le problème de fond et le problème périphérique sera réglé. Du coup tu ne règles jamais le problème périphérique parce que les puissants ne tombent pas ou très rarement. Je pense que ce serait bien, mais aller casser les grosses boîtes, etc., ça va être un peu compliqué. On pourrait imaginer autre chose, par exemple donner un label en disant « telle boîte est vertueuse parce qu’elle finance le Libre et elle a un label ». Et si elle n’a pas ce label alors elle est exclue de tous les appels d’offres publics.
Manu : Si tu l’appuies sur les appels d’offres, effectivement ça donne du mordant à ce label. Je sais que des choses avaient déjà été tentées ; il me semble que l’ADULLACT [Association des Développeurs et Utilisateurs de Logiciels Libres pour les Administrations et les Collectivités Territoriales] avait lancé des labels [12], mais peut-être pas pour les entreprises.
Luc : Si ce n’est pas engageant, si tu n’as pas une contrainte derrière, ces boîtes-là n’en ont rien à foutre, on sait comment ça marche.
Manu : Et pourquoi pas, mais il faut encore de la volonté politique, on n’y coupe pas, appuyer les marchés publics avec un bon effort, une bonne volonté de la part de ceux qui répondent à ces appels d’offres ? Pourquoi pas ? Ça peut être une piste à creuser.
Luc : En tout cas, si on veut faire ça, je pense qu’un outil très utile ce serait d’avoir un catalogue de biens communs informatiques disant voilà la liste. C’est un peu arbitraire, forcément, tout le monde voudra être dedans, mais être capable de dresser un catalogue de ces outils qui sont nécessaires, qui sont profitables et dire voilà déjà la liste minimale de ce qu’on aimerait voir financer.
Manu : Ça existe déjà, la France en a, l’Europe en a mais, effectivement, il faut les faire évoluer et aller dans ce sens-là.
On ne résoudra pas le problème cette fois-ci, j’en ai peur, mais on continuera à creuser le sujet. Je te dis à la semaine prochaine.
Luc : À la semaine prochaine. Salut tout le monde.