jeudi, octobre 08, 2009

Le difficile équilibre entre personnalisation et transparence à l'heure du cloud computing


Les Assises de la Sécurité et des Systèmes d'information, discrètement tenues à Monaco du 7 au 10 octobre — mais la principauté ne s'est elle pas déclarée, en mars dernier, « prête à accroître sa coopération dans le domaine de la lutte contre la fraude fiscale » ?— fournissent à nouveau l'occasion de s'interroger sur le discours sécuritaire qui prévaut aujourd'hui dans la réflexion sur l'évolution des systèmes d'information.



Dans la droite ligne des « partenariats public-privé » qui font actuellement, et dans tous les secteurs, figure de panacée miraculeuse dans notre France impécunieuse, Patrick Pailloux, directeur de la toute récente Agence Nationale de la Sécurité des Systèmes d'Information et Webmaster de securite-informatique.gouv.fr lancé l'année dernière pour « protéger » les PME et les particuliers (une sorte de « la sécurité informatique pour les nuls » républicain, laïc et citoyen), en appelait, dans une allocution qualifiée de « musclée » à la collaboration — terme, ô combien, élégamment choisi — des RSSI des entreprises, petites et grandes. Cet appel aux échanges vise notamment à affiner une approche opérationnelle des nouvelles missions de l'Anssi (250 personnes quand même !), à commencer par la communication et la sensibilisation aux problématiques de sécurité informatique, une chose « qui n'est pas dans notre culture, mais on se soigne », concède Patrick Pailloux.



La cure menacerait-elle d'être pire que le mal ?



On peut se poser la question en ces temps, orageux en fin de journée, d'Hadopi 2, de paquet Telecom, de filtrage du Net pour la « protection des joueurs » (mineurs et victimes de l'assuétude aux jeux d'argent) dans le cadre du projet de loi « Jeux en ligne » (Article 20), et de la bienveillante Lopsi 2 ?



Il est difficile de résister à l'illustration le plus pur style Stasi du projet de texte en citant in extenso quelques articles choisis dans la section 6bis :



« Lorsque les nécessités de l'information concernant un crime ou un délit entrant dans le champs de l'article 706-73 l'exigent, le juge d'instruction peut, après avis du procureur de la République, autoriser par ordonnance motivée les officiers et agents de police judiciaire commis sur commission rogatoire à mettre en place un dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder, en tous lieux, à des données informatiques, de la enregistrer, les conserver et les transmettre, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données ou telles qu'il les y introduit par saisie de caractères. Ces opérations sont effectuées sous l'autorité et le contrôle du juge d'instruction. »



Rappelons — pour rire — que dans le même temps Nicolas Sarkozy souhaite précisément la disparition du juge d'instruction. Notons néanmoins qu'il s'agit, tout d'abord, d'un cadre judiciaire et non pas administratif — ce qui avait, à l'époque provoqué une bronca à la lecture du premier texte Hadopi 1 : inspiré du texte de Denis Olivennes, le contrôle judiciaire y était inexistant, en fait, entièrement sous-traité à des officines privées. Dans le cadre d'une information judiciaire, l'installation du dispositif de surveillance suppose naturellement l'ordre du juge. Et dans le cas où elle supposerait l'introduction (sans consentement des intéressés !) dans un lieu d'habitation ou un véhicule, l'autorisation du juge des libertés est (heureusement) requise. Autrement dit, ici, la mesure vise exclusivement à la découverte et non à la prévention d'infractions. Ceci, probablement, pour éviter les tentations gouvernementales de contrôle de la population... Voire ! Car si le dispositif est limité à la recherche d'infractions spécifiques, il peut également servir à la poursuite d'autres infractions lorsqu'il a permis de les découvrir. (Exemple : Un juge autorise captation de données informatiques pour actes de terrorisme. S'il apparaît à cette occasion que la personne a procédé au téléchargement illicite de fichiers soumis à droits d'auteurs, elle pourra être poursuivie pour contrefaçon, alors même que l'information en matière terroriste n'aurait pas eu de suite. Pourquoi aller au Palais de justice, alors que vous pouvez faire votre propre Clearstream à domicile ?)



Mais, après tout, est-ce si grave que ça ?



Faut-il en effet se soucier de ces Clearstream 2.0 au petit pied, tout compris, dans le bouquet de votre fournisseur d'accès favori en ces temps de Facebook, et autres Twitter, où circulent déjà informations personnelles, privées, confidentielles ou diffamatoires dans une joyeuse et bruyante parade ?



Où en est le fameux « droit à l'oubli » que la secrétaire d'État à l'Économie numérique était venue, la main sur le coeur présenter à la CNIL en juillet dernier ? Google lui-même avait lâché un peu de lest sur la durée de conservation et le caractère anonyme des données personnelles que le moteur de recherches collectait. Sur nos rives, Viviane Reding, commissaire européenne chargée de la société de l'information et des médias, reste très vigilante sur ce sujet.



Deux événements récents viennent cependant tempérer les effets espérés de ces vertueuses invocations. À la grande surprise de ses concepteurs, à l'Université de Washington, le système de protection des données privées, Vanish, fondé sur l'utilisation de clés d'encryption à durée limitée (qui s'auto-détruisent, comme dans Mission Impossible), dans un réseau pair-à-pair de surcroît, a été cassé avant même d'être publié à la conférence Usenix Security à Montreal ! Le butineur spécialisé mis au point par l'Université du Texas, à Austin, est en effet capable de traquer ces clés cryptographique dans un flot de bittorrents comptant un million de noeuds avant leur autodestruction. (On ne saurait trop engager l'Anssi à se rapprocher d'Austin.) Si même les hashtables massivement distribuées sont vulnérables...



Sur un autre sujet en apparence plus anodin, l'échec de l'anonymisation semble également démontré. Quand Netflix, le loueur de films par internet américain, a rendu disponible sa base de données de recommandations de films — soigneusement anonymisée là encore — pour lancer son concours d'amélioration de son moteur de recommandation, gagné en août dernier par un équipe de ATT, des scientifiques ont combiné ces données avec d'autres données de recommandation sur le Web, leur permettant de réidentifier un grand nombre d'utilisateurs. Le fait de poster de simples avis sur des films peut donc aussi permettre de vous identifier, expliquent ainsi Arvind Narayanan et Vitaly Shmatikov.



Paul Ohm, de la Law School de l'Université du Colorado, essaye de tirer les conclusions de ce qu'il qualifie « d'échec de l'anonymisation » dans un papier fondateur. Le prix à payer pour les avantages indéniables de la personnalisation des produits et des services — quel que soit le secteur: commercial, santé (Google Health, Microsoft Health Vault, etc.), culturel... — est une transparence absolue : toute donnée devient personnelle et toute personne devient donnée (23andMe).



Netflix s'apprêterait d'ailleurs à relancer son concours en élargissant encore l'éventail des données mises en ligne (Netflix Prize 2) : les voix s'élèvent déjà contre les dangers de cette divulgation, même anonyme, d'information privée.



Alors, pour sauver la planète et protéger vos données privées, faîtes comme le recommande l'Ademe (« un ordinateur éteint a une durée de vie plus longue qu'un ordinateur mis en veille et consomme moins d'énergie » sic), éteignez maintenant votre ordinateur !



samedi, octobre 03, 2009

L'Open Source dans tous ses éclats.


Pourrait on dire qu'un certain degré de maturité d'une industrie devient reconnaissable lorsque qu'apparaissent les premiers appels à la consolidation et à l'unité ? La conférence LinuxCon, organisée à Portland du 21 au 23 septembre dernier, et l'Open World Forum à Paris, le 1er et 2 octobre, présentaient un fascinant panorama du statut actuel de la variété foisonnante de l'Open Source.



Mark Shuttleworth — extraordinaire champion de l'Open Source, tour à tour entrepreneur rendu millionnaire par la bulle Internet en 1999, cosmonaute en 2002 (!), fondateur en 2005 de la distribution Linux Ubuntu et généreux bailleur de fonds de la fondation qui en assure le développement, « parrain » de KDE eV, l'organisation qui assure le développement de KDE —, invité aux deux manifestations condensait cette idée en trois mots: « cadence, quality and design » à propos de Linux pour les postes client.



Les annonces récentes d'Intel autour de Moblin, bien sûr, et la politique de communication de Google autour d'Android et Chrome OS ont en effet relancé un débat « Desktop Linux » qui s'était quelque peu étiolé. Mais Shuttleworth a fustigé les obstacles qui encombrent encore, selon lui, la vision irénique d'un Linux pour tous (for the rest of us, dirions nous si nous ne craignions les foudres juridiques d'Apple — lire plus bas !). Linux souffrirait d'un manque de coordination à grande échelle des livraisons des innombrables applications Open Source que leurs communautés respectives se retrouvent à développer et maintenir pour des distributions diverses et variées au prix de coûteux et laborieux efforts. Cadence dans les livraisons qui, respectée par l'orchestre des développeurs, serait, de plus, source d'une meilleure qualité de code globale. Enfin, d'après le dictateur d'Ubuntu auto-intronisé, il est plus que temps que « l'expérience utilisateur » prenne le pas sur les seules considérations technologiques et que le design des interfaces utilisateurs, par exemple, entre prioritairement en ligne de compte. (Une page, encore, tirée de l'historiographie d'Apple.)



Tout ne serait donc pas si simple dans les communautés ! Impression renforcée par les derniers émois causés par Google autour d'Android. L'année dernière, Google avait entraîné des équipementiers et des opérateurs téléphoniques à former avec elle l'Open Handset Alliance pour développer Android, « la première plateforme ouverte et libre de téléphonie ». Avec l'infrastructure OS issue du libre, Google livre avec les terminaux Android un jeu d'applications essentielles, mais propriétaires, comme, par exemple, la synchronisation des données, ou encore GMail, Market, YouTube, etc. Un groupe de développeurs s'était alors emparé de ce bouquet «  OS + applications » et en avait modifié la partie libre (OS) et ré-inclus les applications Googles intactes : Cyanogen améliorait ainsi la performance de l'ensemble. (D'ailleurs si Cyanogen n'avait pas inclus ces applications, son utilité devenait discutable puisque Google ne fournit apparemment pas de moyen d'installer ses applications sur un terminal ne disposant que de l'OS.) Au fur et à mesure que le succès de Cyanogen croissait, Google s'inquiétait de voir ainsi distribuées ses applications propriétaires et sous copyright. Fin septembre Google passait en mode Microsoft et faisait parvenir les fameuses « cease and desist letters » à Cyanogenmod. La communauté s'en est évidemment émue, mais amenée à réfléchir sur les architectures technique et juridique de ses développements, elle semble aujourd'hui vouloir composer et afficher une attitude réfléchie et raisonnable.



Micro-débat peut-être, mais exemplaire, dans une discussion plus large sur le contrôle effective du terminal téléphonique : peut-il et/ou doit-il être une plateforme ouverte ? En toile de fond : Google et Apple ont maintenant porté leur dispute sur l'(in)disponibilité de l'application Google Voice sur l'AppStore devant la FCC. Histoire d'ajouter à la confusion, AT&T vient de déclarer à la FCC que, selon elle, Google Voice fonctionnerait en violation de la « Neutralité du Net » — ce qui dénote un certain aplomb chez l'ancien monopole des télécommunications, par ailleurs lié à Apple, lui même attaqué sur l'interopérabilité, par des accords d'exclusivité sur l'iPhone. (Google contre-torpille l'attaque d'AT&T dans une réponse rendue publique il y a quelques jours.)



Bref, le mélange libre/propriétaire, qui constitue l'un des modèles importants de diffusion commerciale de l'Open Source, reste toujours aussi délicat et sujet à effervescence rapide ! Nous n'en avons d'ailleurs pas fini avec le débat sur la bonne position de la frontière entre libre et propriétaire dans les modèles hybrides de commercialisation, nous annonçait Matthew Aslett du 451 Group à l'Open World Forum. Au-delà des vitupérations colériques de Stallman contre le cloud computing, le succès annoncé de cette réincarnation contemporaine du modèle client-serveur posera à nouveau la question des frontière entre Open Source et propriétaire. Les plateformes cloud computing peuvent-elles et/ou doivent-elles être complètement ouvertes ?



L'autre question sous-jacente aux précédentes, qui puisqu'elles pourraient finalement mettre en jeu l'équilibre de pans entiers de l'industrie des technologies de l'information relèvent peut-être à ce titre d'une politique industrielle, est bien alors celle du rôle de l'Etat dans l'orientation vers leurs éventuelles solutions. Au moment où l'ICANN réussissait à redéfinir ses liens d'inféodation au Département du Commerce américain en laissant une plus grande place aux organisation non-lucratives et aux autres pays (lire l' « Affirmation of Commitments » qui s'y substitue), le gouvernement français apparaît plus qu'empêtré dans le lacis qu'il a lui-même tissé de loi Hadopi 2, de défense du patrimoine culturel et de la question de sa numérisation (BNF contre Google ? Le livre numérique français, alternative au démon américain ?), de sa position sur le « paquet Telecom » et la Neutralité du Net à Bruxelles et de l'imminence du couvercle panoptique et carcéral, LOPPSI 2 — opportunément rappelée par la Quadrature du Net à l'Open World Forum — alors qu'en même temps il encourage ses administrations à passer à l'Open Source. (L'Open World Forum est sponsorisé notamment par la Mairie de Paris, la Région Ile-de-France, l’Agence Régionale de Développement de Paris Ile-de-France et la Chambre de Commerce et d’Industrie de Paris, par exemple.) Exception culturelle française sans doute.



Mark Taylor de Sirius nous y expliquait que le gouvernement britannique avait adopté une politique volontariste d'encouragement et d'accompagnement de l'Open Source à tous les niveaux de ses administrations. Quant au Brésil, non content d'obtenir les Jeux Olympiques de 2016 au nez et à la barbe d'un Obama venu à Copenhague défendre les mérites sa ville de Chicago, il était récompensé à l'OWF en la personne de Corinto Meffe, du Ministère du Plan, comme le pays le plus favorable et ouvert à l'écosystème du libre. (Il est temps que je revisite Lua — à défaut de Rio de Janeiro...)



Ici, invité à s'exprimer par les organisateurs de l'OWF, Michel Cosnard, PDG de l'établissement public, a annoncé la création d'un Centre d'innovation et de recherche en informatique sur le logiciel libre (Cirill). Dans son communiqué, l'Inria explique que le logiciel libre a un rôle de plus en plus important à jouer dans le développement de la société numérique, mais qu'il faut l'étudier sous tous ses aspects : « Le logiciel libre est un objet complexe qui recouvre plusieurs dimensions aux logiques éventuellement contradictoires : il peut ainsi être à la fois un vecteur de la diffusion scientifique et un objet de recherche, un vecteur du transfert technologique et un objet industriel ». Eclats de rires : comme quoi on peut être dépositaire de la pensée neutraliste, puisque l'Inria avait antérieurement signé un partenariat mettant en place (et finançant !) un laboratoire commun de recherches avec Microsoft !



Là, les consortium OW2 et Open Solutions Alliance annonçaient dans des éclats de joie leur mariage. Ailleurs, Jim Zemlin de la Linux Foundation, appelait les audiences de l'OWF à plus d'interopérabilité pour éloigner la menace de fragmentation et d'éclatement qui pèserait selon lui sur la communauté FOSS. Ailleurs encore, les querelles internes éclataient dans la presse et s'épanchaient au grand jour, le quotidien financier La Tribune reprenant les déclarations, aux Assises du Numérique (tenues le même jour que l'OWF !), de la SSLL Linagora, ostensiblement absente de l'Open World Forum...



Pour conclure, c'étaient plutôt les éclats scintillants des awards pour les plus méritantes startups de l'Open Source dont on préfèrera se souvenir. Cinq furent distinguées mais toutes venues du monde entier méritaient de l'être :




  • Univention pour son serveur applicatif à destination des PME ;

  • Kerlabs pour la mise en cluster de Linux ;

  • Sonar Source (*) pour ses outils de contrôle-qualité du code source ;

  • Ulteo (*) pour son bureau virtuel libre multi-OS ;

  • MindTouch pour ses réseaux sociaux d'entreprise ;

  • PrestaShop pour ses composants libres d'e-commerce ;

  • Avalpa pour ses solutions de TV numérique ;

  • ActiveEon pour sa parallélisation libre ;

  • Kaltura (*) pour sa plateforme vidéo libre ;

  • BonitaSoft (*) pour sa plateforme Business Process Management (BPM) ;

  • Ecocube pour son IPBX virtuel et ouvert ;

  • Agiletec pour sa plateforme de publication de portails/intranets ;

  • XWiki pour sa plateforme de collaboration ;

  • The Learning Machine pour ses certifications et ses programmes d'e-learning ;

  • Sociatom pour ses réseaux sociaux d'entreprise ;

  • Many Designs pour son IDE Model Driven Architecture (MDA) ;

  • Maarch pour sa gestion documentaire ;

  • ScaleDB (*) pour son clustering de MySQL ;

  • Weelya pour son moteur de communication temps réel sur le Web ;

  • Linutop pour ses mini-PC Linux embarqués tout-en-un ;



Félicitons également les nombreux autres projets candidats qui sont parvenus à l'OWF pour cette première édition de l'Open Innovation Summit : rendez-vous l'année prochaine !



Jean-Pierre Laisné de Bull et OW2 inclinait au développement durable et donnait dans la préservation de la biodiversité : dans l'analogie qu'il tirait, le libre est comme la forêt primaire, sa canopée héberge une fantastique diversité de projets Open Source dont l'entrelacs des branches qui se croisent et s'entrecroisent représentent leur processus de développement organique. De ce bois dont l'Open Source serait métaphoriquement fait on distingue déjà les forêts primordiales, comme GCC, Linux ; les forêts cultivées, comme MySQL ; les pépinières et les jardins botaniques comme la fondation Apache ; enfin les IKEA comme Canonical ou Red Hat. Mais, s'interrogeait-il, où sont les grands parcs nationaux encore à constituer pour encore et toujours pousser et diffuser plus largement l'Open Source ?



(Dans l'histoire des National Parks américains, c'est en 1874 que le Congrès établit le Yellowstone après avoir, quelques années avant, fait la donation de la Yosemite Valley à la Californie en 1862, pour la préservation de la nature et de la vise sauvage. La période qui s'étend de 1850 à 1920 vit ainsi, aux Etats-Unis, la sensibilisation progressive de l'opinion publique à la préservation de l'environnement naturel au moment ou l'urbanisation et l'industrialisation rapides du pays changeait irréversiblement le mode de vie. Il y a certainement des leçons sur la gouvernance, individuelle et collective, progressiste et conservatrice, à tirer de l'étude de l'histoire des débuts des National Parks. Comme de celle, disait Jim Bessen, qui intervenait avant Jean-Pierre Laisné, de l'intelligence et l'invention collectives des matériels et processus qui firent naître et accompagnèrent la révolution industrielle. L'éclat du passé illumine toujours l'avenir...)



ShareThis