Le 14 mai dernier certains services de Google, comme GMail, étaient
indisponibles pendant plusieurs heures (en fin d'après-midi et début
de soirée à l'heure de Paris). Twitter, quant à lui, fonctionnait à
plein régime et le curieux pouvait suivre en temps réel la progression
de la découverte de la coupure de services au fur et à mesure que les
USA se connectaient ainsi que déterminer les autres pays affectés
simplement en suivant « Google » sur Twitter. Urs Hoezle, Senior VP
Operations à Google, s'empressait de publier un communiqué laconique
fidèle à son équanimité toute helvétique (d'origine) : à la suite
d'une erreur, laissée indéfinie, Google aurait détourné son trafic
entrant vers l'Asie, destination laissée également vaguement indéfinie
mais fleurant un exotisme suffisamment explicatif semblerait-il,
provoquant ainsi une sorte de bouchon majeur sur les autoroutes de
l'information. Ironique retour de la géographie du monde dans
l'univers virtuel que Google se propose de lui substituer !
Ce n'est pas la première coupure de services de Google. En
février dernier déjà, GMail avait connu quelques hoquets. En juin
2008, les utilisateurs d'Amazon avait connu une coupure générale d'une
durée de quelques heures. En 1999 et en 2002, eBay avait également
plongé ses utilisateurs dans les affres de l'incertitude sur la bonne
fin de leurs enchères. Ces événements, heureusement rares, viennent
nous rappeler que dans l'esprit du temps qui est à la virtualisation
généralisée l'ancrage réel du « *cloud computing* » reste de prime
importance.
Le débat actuel tourne autour de la définition du cloud computing et
du défi éventuel qu'il représenterait aux yeux des praticiens du
développement logiciel (commerciaux et Open Source, après
les prises de positions singulièrement radicales de leurs prophètes
incarnés comme rms.) Aujourd'hui déjà, nombreux sont les internautes
individuels qui ont recours à des services exécutés sur un composant
de l'architecture cloud computing (infrastructure, plateforme ou
application) : ce sont ceux-là mêmes qui furent les victimes des
coupures de services de ces dernières années — services de courrier
électronique, de gestion de photos et de vidéos, et bureautique en
ligne, etc. D'autres services cloud computing sont déjà accessibles
aux entreprises — citons Google, Amazon, Yahoo!, Salesforce,
DesktopTwo, Ultéo, Sun Secure Global Desktop, etc. Il y a également
des projets d'utilisation du cloud computing dans
l'enseignement et la formation.
Ce débat, pour légitime qu'il soit, occulte commodément me semble-t-il
la question plus importante suivante : où est le cloud computing ?
La question est est évidemment moins innocente qu'elle y paraît : elle
découle naturellement des grandes classes d'usages imaginées ou
pratiquées du cloud computing :
- dans le mode Service Web, pour simplifier, le cloud héberge
l'application du ou des utilisateurs qui y accèdent via une
connexion à Internet. - dans un deuxième mode, comparable aux travaux par lots,
l'utilisateur transfère un grand volume de données et l'application
qui doit les traiter à un service cloud. La plateforme de cloud
computing exécute ces traitements et renvoie les résultats à
l'utilisateur. (Un exemple récent : la translitération par le New
York Times de ses archives historiques grâce aux services combinés
d'Amazon et de Hadoop.) - enfin, on voit également certaines entreprises utiliser
temporairement des services cloud computing pour compléter leurs
propres ressources informatiques ou bien faire face à un pic de
trafic ou un afflux de données momentané.
Dans tous ces cas, cependant, les données et parfois les applications
mêmes de l'utilisateur résident, peut-être seulement temporairement,
dans un datacenter opéré par le fournisseur de services cloud
computing.
Le premier indice que tout cela na va pas de soi, est bien dans
l'attitude contradictoire des utilisateurs individuels du cloud
computing. Une étude du Pew Internet and American Life Project montre
en effet que malgré l'usage intensif et quotidien de tels services,
90% des internautes se défieraient de leur opérateur de cloud
computing s'il vendait leurs données individuelles à d'autres
sociétés, 80% si elles étaient utilisées pour des campagnes de
marketing et 68% si elles étaient utilisées pour cibler des publicités
d'après leurs contenus. Or c'est exactement le business model de la
plupart de ces mêmes services, ceux que l'on pleure amèrement sur
Twitter dès qu'une coupure inopinée se produit !
La réponse lapidaire du technologiste, levant les yeux au ciel à la
question « où est le cloud computing », est évidemment que cela n'a
aucune importance, précisément parce que l'on s'affranchit enfin ainsi
des dernières attaches aux lourdeurs archaïques du monde réel. En
fait, c'est l'inverse : loin de représenter le zénith de la
virtualisation, le cloud computing est une (re)centralisation massive
de l'information et des ressources de calcul qui, malgré la dialectique
libératoire et New Age dont elle aime à se draper, permet un contrôle
et une surveillance — par les entreprises et les gouvernements —
d'une bien meilleure efficacité.
La puissance de calcul et les capacités inédites de stockage des
données du cloud computing sont le résultat des économies d'échelle
qui conduisent à la création de datacenters monumentaux. En 2008,
The Economist estimait à 7.000 le nombre de ces bunkers de l'ère
post-moderne répartis sur le territoire des Etats-Unis. Et là, la
géographie reprend ses droit, le naturel revient au galop ! Car
quelles considérations prévalent dans le choix de la localisation de
ces pyramides modernes :
- suffisamment d'espace pour élever des hangars surdimensionnés — ce
qui peut exclure certaines zones urbaines, malgré les idées
innovantes de packaging des serveurs (Internet in a Box de Sun,
Rackable Systems qui vient de reprendre le nom glorieux de sa
récente acquisition, Silicon Graphics, etc.) ; - proximité de noeuds de connexion Internet à très haut débit ;
- abondance de source d'énergie à bas coût pour alimenter le
datacenter vorace et le refroidir — d'où des centres souvent au
voisinage de centrales nucléaires ou de barrages ; - les lois, réglementations et le climat politique et sécuritaire de
la région ou du pays d'implantation — point, rarement mentionné,
mais dont on verra l'importance un peu plus loin.
Pendant la Bulle Internet, un datacenter typique consommait en moyenne
1 à 2 mégawatts. Heureuse époque ! Aujourd'hui c'est plutôt
10 fois plus et le datacenter de Microsoft près de Chicago dévore 200
mégawatts à lui seul. On estime que la consommation des 7 et quelques
milliers de datacenters aux Etats-Unis est comparable à celle d'une
ville comme Las Vegas ; à l'échelle planétaire, les datacenters auraient
consommés en 2005 environ 1% de l'électricité mondiale. On comprend
que la réglementation du prix de l'électricité et les conditions
d'accès, qui varient d'une région à l'autre du globe, puisse jouer un
rôle important.
Pain bénit pour les zélateurs du développement durable et les
prosélytes du Green IT, 8% à 9% de cette énergie est perdue dans le
seul transfert vers les serveurs eux-mêmes. Il y a donc largement de
quoi proposer des améliorations dans la gestion et le transport de
l'énergie et les innovations dans ce secteur seront les bienvenues.
La localisation vous dis-je ! Car l'autre facteur majeur du
développement du cloud computing, l'environnement réglementaire et
légal, est aussi — et pour longtemps — lié au lieu(x)
d'implantation.
Le législateur et les régulateurs peuvent en effet promouvoir ou, au
contraire, obérer voire interdire le développement du cloud computing
dans les secteurs sous leurs juridictions. Beaucoup de questions se
posent immédiatement, mais du point de vue des utilisateurs les
attentes d'un service cloud computing seraient :
- l'accès : au gré des utilisateurs sans empêchement d'un tiers ;
- la fiabilité : d'autant plus importante que l'opérateur du cloud
computing peut, comme on l'a vu, être amené à prendre la
responsabilité d'exécuter des traitements applicatifs et de gérer des
données critiques des usagers ; - la sécurité : point n'est besoin de s'appesantir sur ce sujet,
présent à tous les esprits par les temps qui courent ; - le respect de la confidentialité des données et de leur caractère
privé : là-aussi, il y a aujourd'hui expression visible d'une
tension entre complet laissez-faire et contrôle totalitaire avec
des attitudes variées suivant les politiques (Patriot Act prévalent
aux USA, « Nouvelle surveillance » en Chine et certains pays
satellites, durcissement tout-répressif mal informé en Suède et en
France, etc.) - une définition précise des risques et responsabilités des diverses
parties contractant au service de cloud computing ; - le respect et la défense des droits de propriété intellectuelle et
industrielle des utilisateurs ; - la propriété des données : dont les utilisateurs — en particulier
professionnels — attendent qu'elle reste sous leur contrôle ; - la fongibilité des ressources : les utilisateurs, confiants dans le
message technologique incarné par le cloud computing, s'attendent
en conséquence à ce que leurs données puissent passer d'un
datacenter à l'autre en fonction des besoins et des événements sans
obstacle ni empêchement ; - la traçabilité et le droit d'audit : les utilisateurs,
particulièrement les professionnels, attendent de l'opérateur
cloud computing qu'il leur fournisse les éléments nécessaire à leur
propre mise en conformité au droit et aux réglementations auxquels
ils sont soumis en tant qu'usager du service ; - plus généralement, les considérations habituelles de droit du
travail et de droit des entreprises, de coûts juridiques et légaux
d'opération, d'attractivité du territoire et d'interventionnisme du
gouvernement joueront également un rôle essentiel.
La liste est longue des lois et réglementations qui, dans chaque pays
ou région, peuvent influer sur chacun des points précédents. Aux
Etats-Unis même, l'entrelacs de l'USA Patriot Act, de HIPAA (Health
Insurance Portability and Accountability Act), de la loi
Sarbanes-Oxley, du Stored Communications Act, des dispositions
fédérales rend déjà l'usage du cloud computing pavé de bombes à
retardement dans certains secteurs — celui de la Santé en
particulier.
Le maquis réglementaire américain provoque un effet de bord sensible
dans les autres pays. D'une part, les positions réglementaires et
légales des USA ont souvent valeur exemplaire — ou de repoussoir ! —
pour les autres législateurs. (En France on pousse le raffinement
jusqu'à inventer la « riposte graduée » — que le monde ne tardera
certainement pas à nous envier — et à se passer de la justice là où
RIAA et MPIAA vont encore devant les tribunaux défendre leurs
monopoles ébranlés.) Mais ces réglementations américaines peuvent,
d'autre part, être perçues comme un obstacle aux opérations d'une
entreprise étrangère : SWIFT, l'organisation bancaire internationale,
cherche à faire bâtir un datacenter sous les bienveillants auspices de
la neutralité helvétique plutôt qu'aux USA pour cette raison
précise. Il n'est que temps que le G20 se penche aussi sur les
paradis fiscaux virtuels...
À l'inverse peut-on faire plier un Amazon, un Yahoo!, un eBay ou un
Google lorsqu'ils hébergent des données ou offrent des services qui
tombent sous le coup d'une législation nationale différente de celle
qui s'applique dans les pays où leurs datacenters sont physiquement
implantés ? Comment juger l'attitude de ces mêmes opérateurs
lorsqu'ils se font l'instrument servile de la police en révélant les
adresses de blogueurs dissidents aux autorités de certains pays
asiatiques mais en refusant, aux Etats-Unis, de céder aux injonctions
du gouvernement au titre de la protection des droits civils ? Quelles
lois sont-elles applicables lorsque Google bâtit des datacenters dans
différents pays ? Faut-il mettre en oeuvre des incitations financières
ou des subsides pour attirer l'implantation de datacenters générateurs
de revenus et d'emplois et renforcer patriotiquement
l'attractivité de la France ? Ou alors, au contraire, faut-il taxer
les utilisateurs de services Web implantés hors du territoire, voire
les mettre en demeure (« graduellement »), sous peine de sanction —
déconnexion d'office d'Internet sans suppression de paiement de
l'abonnement ? —, de ne transmettre leurs données et applications
que sur un nuage de calcul français, ou tout au moins situé dans
l'Union européenne ?
Google n'a donc pas forcément versé dans la science-fiction en
déposant l'année dernière un brevet pour des datacenters flottants en
haute mer, hors des eaux territoriales — et donc des législations
nationales correspondantes — utilisant astucieusement les mouvements
de l'océan pour alimenter et refroidir ses serveurs.