mercredi, novembre 30, 2011

Colloque Computing


Il fut donc fréquemment question de cloud computing sous nos cieux ce mois de novembre, comme si le brumeux automne qui installait un ciel nuageux inspirait directement les débats techniques. Au début du mois, par exemple, le Centre d'analyse stratégique organisait un colloque hors des sentiers battus et rebattus sur un sujet que l'on se réjouissait à l'avance de voir polémique : « Nouveaux usages d'Internet, nouvelle gouvernance pour l'Etat ». Il est déjà tout à fait remarquable que l'Etat prenne soudainement note de l'influence d'Internet en 2011, quarante ans et quelques après sa naissance et un peu plus de vingt ans seulement après celle du Web, mais comble de ce saisissement stupéfiant provoqué par la modernité en marche, il conviait là à en débattre la figure mythique de Richard Stallman, le démiurge de l'Open Source.

 



Il est notoire que rms — comme toute production du projet GNU — est lui-même assorti d'une licence libre et d'un manuel d'utilisation précis auquel on est aimablement prié de se conformer. (En particulier sur l'usage des sachets de thé avec ou sans les add-ons de lait et de sucre.) Peut-être cela explique-t-il que l'homme se fasse rare en notre doux pays, bien qu'il parle parfaitement français et nous ait, en l'occurrence, brillamment régalé de la dernière mise à jour du Prêche du Libre dans son illustration par l'Open Data. Dans ce panel au ton de la casuistique, rms était flanqué, d'une part, de Nigel Shadbolt, Professeur de Sciences informatiques à l'Université de Southampton et, surtout, co-fondateur de data.gov.uk avec Sir Tim Berners-Lee rien moins, et, d'autre part, d'Augustin Landier, Professeur à Toulouse School of Economics, Économiste au Conseil d'analyse économique, dont on recommande chaudement les deux ouvrages « Le Grand méchant marché : décryptage d'un fantasme français », avec David Thesmar, et « La Société translucide : Pour en finir avec le mythe de l'Etat bienveillant », avec le même, où les auteurs explorent une régulation en architecture ouverte de la politique publique que permettrait, notamment, l'initiative Open Data dans laquelle la production de données statistiques est considérée comme une nouvelle fonction régalienne de l'Etat. Ces idées du vibrionnant chercheur de l'IDEI ont un certain cours en haut lieu puisque Etalab, créé en février 2011, commence à se faire entendre et promet « la mise à disposition de données brutes dans des formats exploitables ».

 



Ce subtil glissement du champ d'application des principes du Libre du code source aux données, introduit par rms dans ce débat sur les données publiques de l'Open Data, est certainement à l'origine, pour ce qui concerne maintenant les données personnelles et privées, de sa prise de position tonitruante sur le cloud computing dans une interview accordée au Guardian en 2008. « C'est un piège ! », admonestait-il, lançant ses foudres des sommets de l'Olympe du Libre : « C'est stupide ! C'est pire que stupide. C'est une campagne marketing ! ». (On lit bien dans la crudité du langage du Prophète les dernières extrémités où il se voit retranché !) L'aporie du consommateur pris, pieds et poings liés, dans les rets de ses fournisseurs cloud computing est réitérée dans un commentaire ciselé à la tronçonneuse du même rms dans la version en ligne du Spiegel. Il y vitupère en particulier Facebook qui, d'après lui, considère ses utilisateurs « non pas comme des clients, mais comme une marchandise » dont le réseau social peut à son gré valoriser les données personnelles à son plus grand profit. (Voyez aussi «  The Future of the Internet and How to Stop It  » de Jonathan Zittrain). Déjà soupçonné des pires exactions d'une Nouvelle surveillance foucaldienne digne du sinistre Panoptikon de Jeremy Bentham, ayant aujourd'hui transigé sur ce sujet avec la FTC qui avait lancé une enquête contre le réseau social, Facebook n'en prévoit pas moins ces jours-ci une fantastique IPO pour 2012 — une levée de 10 milliards de dollars sur une inimaginable valorisation de 100 milliards de dollars !

 



Quelle meilleure introduction aux débats de la semaine suivante sur la thématique du cloud computing, retenue pour l'édition 2011 de la conférence générale du consortium OW2 ? Les panelistes de la première table ronde (Bull, OW2, Microsoft, Open Nebula, Ubuntu, Orange Business Service, Université de Pékin) s'y interrogeaient sur l'avenir de l'Open Source et du cloud. Il est notable que les projets Open Source ne manquent pas dans l'empilement des couches que l'on convient de distinguer dans le mille-feuilles cloud computing. Pour les infrastructures et les plates-formes, — avec les excuses de rigueur pour le manque certain d'exhaustivité, mais comme disait Pierre de Fermat : hanc marginis exiguitas non caperet — citons le projet Nimbus, CloudForms de RedHat (pour les « nuages » privés ou hybrides), Ubuntu Cloud et Juju, Eucalyptus, Cloud.com maintenant chez Citrix, Open Nebula pour la gestion des « nuages », CompatibleOne OpenStack, CloudFoundry de VMWare ou encore OpenCompute de... Facebook ! Par ailleurs les associations professionnelles et consortiums fleurissent et prolifèrent par temps couvert : Free Cloud Alliance, Open Cloud Manifesto, Open Cloud Consortium, Cloud Standards, et bien d'autres sur les datacenters, la virtualisation ou le grid computing : tous fédérés mais chacun sous sa bannière ! Pour autant, toute cette agitation organisationnelle est-elle garante du succès des principes oecuméniques des libres clodoaldiens ?

 



Quant aux applications, elles étaient abondamment illustrées pour l'édification des masses au Colloque sur l'ingéniérie numérique (« Entre ruptures technologiques et progrès économique et social ») organisé à l'initiative de l'Académie des technologies, du Conseil économique, social et environnemental, du Minefi et du Conseil général de l'industrie, de l'énergie et des technologies. Au Palais d'Iena, sous la monumentale coupole d'Auguste et Gustave Perret, véritables architectes-entrepreneurs militants du génie civil français du début du XXe siècle — un modèle d'entrepreneur dont on a depuis en France, hélas, bien perdu la recette  ! —, le lustre de Serge Macel et les fresques de Jean Souverbie répandaient une componction solennelle dans le public. Les sujets abordés n'inspiraient pourtant pas à la somnolence : virtualisation et immersion 3D, modélisation et simulation, masses de données. Et il faut savoir gré à Henri Verdier, Président du pôle Cap Digital, d'avoir secoué l'assemblée par la vivacité et l'intelligence de son propos. Il était déjà intervenu au colloque du Centre d'analyse stratégique, après Stallman. Comme François Bancilhon, de Data Publica qui, antérieur à Etalab, se présente comme le portail français des données publiques et de l'Open Data, à ses côtés, Henri Verdier rappelait opportunément que la réflexion — et peut-être l'engouement — pour l'Open Data est jusqu'à présent principalement portée par sa représentation en termes politiques, dominée par les grands mots de démocratie, de transparence et de citoyenneté, beaucoup plus que par son impact industriel et économique qui sera peut-être plus sensible encore.

 



À l'âge du cloud les statisticiens ont de beaux jours devant eux !

 



dimanche, novembre 06, 2011

L'identitaire numérique


Le Sénat a adopté en deuxième lecture la proposition de loi relative à la protection de l'identité, néanmoins avec des modifications. Comme l'expliquait jeudi soir dernier, dans un amphithéâtre souterrain de Telecom ParisTech menacé à tout moment de submersion soudaine par les pluies torrentielles qui s'abattaient alors sur les contreforts de la Butte-aux-Cailles, Fabrice Matatia, qui avait largement contribué au dossier de cette carte d'identité électronique dès 2004 lorsqu'il était conseiller technique à l'éphémère Secrétariat d'Etat chargé de la prospective et du développement de l'économie numérique de NKM, le recours à la biométrie pour les données stockées dans la « puce » électronique de la nouvelle carte d'identité avait causé un émoi général et provoqué de houleux débats laissant, en 2005, le projet inabouti.

L'enfer (numérique) étant pavé (à très haut débit) de bonnes intentions, rappelons que, destinée, selon ses auteurs, à lutter contre la multiplication du nombre d'usurpations d'identité — ici dans la vie réelle pas dans la vie numérique —, estimé en France à 200 000 par an, la proposition de loi prévoit une série de dispositions visant à garantir une fiabilité maximale — je souligne — des passeports et cartes nationales d'identité. Il s'agit ainsi d'équiper les cartes nationales d'identité de puces électroniques sécurisées qui, non seulement contiendront des données biométriques numérisées (état civil, adresse, taille et couleur des yeux, empreintes digitales — les doigts pour le digital world —
, photographie, bientôt peut-être l'ADN), mais pourront également — peut-être pour faire passer la pilule, ou plutôt la puce — offrir à leurs titulaires de nouveaux services tel que l'authentification à distance et la signature électronique. Or, paradoxalement, en France l'usurpation d'identité ne constituait pas, avant cette année, un délit, sauf bien sûr, si l'usurpation se fait dans des circonstances qualifiables de délit pénal. Cela ne pouvait durer par les temps de sourde bienveillance sécuritaire actuels. Dans une rédaction fort imprécise, la loi LOPPSI, du 14 mars 2011, crée deux nouvelles infractions pénales concernant l'usurpation d'identité, numérique inclus cette fois : « Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 Euros d'amende. Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne. ». Le champ d'interprétation semble donc heureusement assez vaste aux esprits byzantins qui professeront sans doute l'exégèse du texte dans le contexte de la loi Hadopi, par exemple — contre qui prononcer l'ostracisme de la cité numérique en lui coupant tout accès à la manne Internet, lorsque le voisin, sous votre identité numérique, utilise le WiFi d'un troisième voisin pour télécharger «  Born this way  » de Lady Gaga ? Délit pénal plus infraction ? Quelle est l'identité, réelle et numérique, du ou, peut-être, des coupables ? L'exception culturelle française s'en porte-t-elle vraiment mieux ?

 



La doxa traitera-t-elle de cette moderne déclinaison de la controverse de Valladolid : les individus qui bloguent collectivement sous un pseudo partagé — comme on l'a supposé parfois de Maître Eolas ou de Robert X. Cringely — ont-ils légalement une identité numérique ? Faut-il les poursuivre au pénal ou les admettre au grand concert de l'humanité virtuelle ? Symétriquement, l'internaute qui multiplie les pseudos d'un réseau social à l'autre, d'un serveur de courrier électronique à l'autre, utilisant l'un pour ouvrir un nouveau compte auprès du suivant est-il un usurpateur compulsif qu'il convient de réprimer avec la dernière sévérité ? Ce ne sont plus là des échafaudages d'une casuistique spéculative au moment où, à la conférence ACM SIGCOMM/USENIX IMC'11 tenue la semaine dernière à Berlin, les brillants esprits de l'INRIA dévoilent comment retourner les algorithmes mêmes des réseaux P2P pour identifier, localiser et analyser le comportement en ligne des internautes individuels. De la carte nationale d'identité (CNI) numérique à la carte d'identité nationale (CIN) numérique il n'y a plus que quelques octets !

 



Lors de sa première lecture, le 1er juin, le Sénat avait modifié le texte d'origine afin d'apporter une garantie matérielle rendant impossible l'identification d'une personne à partir de ses seules empreintes biométriques enregistrées dans la base de données pour réconciliation avec celles figurant dans la smartcard. Il s'agit du système des fichiers dits à « liens faibles ». Les députés, lors de l'examen du texte, le 7 juillet dernier, ont supprimé cette garantie, revenant au projet d'origine qui prévoyait l'identification sur la base de l'empreinte biométrique. La commission des Lois du Sénat, saisie pour la deuxième lecture, a rétabli cette technique du « lien faible » pour le fichier. La commission a également interdit l'utilisation d'un dispositif de reconnaissance faciale à partir des images numérisées des visages qui sont enregistrés dans ce fichier — cf., cette fois, la controverse de Facebook dans cette même tribune.

 



Si vous n'êtes ni Giscard Reventlov, ni Daneel Olivaw, tout ceci peut vous sembler confus et bien peu cartésien. C'est peut-être parce que dans l'esprit (bien peu positronique) du législateur et de sa clientèle, trois notions d'identité numérique s'amalgament :

 




  • celle que l'on emploie pour publier et pour se présenter sur Internet, l'avatar ;

  • celle que l'on exhibe à première demande sur son passeport et sa CNI numérique, le titre d'identité numérique, qui vise à prouver sa nationalité ;

  • celle que vous utilisez dans vos transactions sur le Web et qui permet au fournisseur de service de vous authentifier comme étant le client véridique du service rendu.



Dans cette dernière catégorie on peut également classer la « signature électronique » qui, en miroir, permet à l'utilisateur d'authentifier ses messages sortants. Les questions de signature électronique sont, eles-aussi, empreintes de certaines circonvolutions, ainsi que le rappelait l'éminent représentant de l'ANSSI à cette même réunion par temps de mousson rue Barrault. Nous vivions jusque là, innocents et naïfs, depuis Napoléon. Les questions relatives à la signature font partie de ce que les juristes appellent le « droit de la preuve » et le texte fondamental est le Livre III, Titre III, Chapitre VI du Code Civil intitulé « De la preuve des obligations et de celles du paiement ». Ce texte, remontant à 1804, a été mis à jour par la loi du 13 mars 2000 (2000-230), suite à une directive européenne de 1999. Cette véritable révolution juridique vise à reconnaître l'équivalence juridique entre une signature manuscrite et une signature électronique. Dans le décret qui suivit, sont introduites deux types de signatures :

 




  • La signature électronique simple, qui ne pourra être refusée en justice au titre de preuve (principe de l'équivalence avec l'écrit), mais dont il faudra démontrer la fiabilité au tribunal en cas de litige — c'est strictement celle à laquelle vous êtes habitués dans la vraie vie, une signature à l'encre sur du papier.

  • La signature électronique présumée fiable (ou signature électronique avancée, dans la terminologie européenne), pour laquelle la charge de la preuve pourra être renversée : il faudra démontrer une défaillance du système de création de la signature pour pouvoir la contester devant les tribunaux : c'est celle enfouie dans les puces de nos cartes bancaires de crédit, par exemple, mais dans le cadre d'une convention spécifique puisqu'elles sont antérieures aux décrets.



Pour être présumée fiable au sens de la loi, une signature devra satisfaire trois conditions:

 




  • être « sécurisée » (non-répudiation, indissociabilité du document, intégrité du document signé),

  • avoir été produite par un « dispositif sécurisé de création de signature électronique », ce qui signifie que le dispositif doit avoir été certifié par l'ANSSI (en France),
    - la vérification de la signature repose sur l'utilisation d'un certificat électronique qualifié. Ces certificats devront avoir été émis par des prestataires de services dûment accrédités par les pouvoirs publics.



Le coût de cette signature présumée fiable, autrement dit de l'authentification forte, est évidemment très élevé dans ce cadre législatif pour la signature électronique. Comme il n'y a, par ailleurs, aucun encadrement législatif de l'authentification forte pour l'instant, l'habitude prise dans la vie réelle de se satisfaire de signatures (non électroniques) simples persiste dans la vie numérique et, combinée au coût, retarde l'implémentation et la généralisation de la signature électronique présumée fiable. Malgré des initiatives du secteur privé cherchant à offrir des solutions commerciales tous azimuts, la France reste cependant en retard — ou en avance, c'est selon votre sensibilité à la Nouvelle Surveillance — sur d'autres pays européens qui ont rendu la CNI électronique obligatoire.

 



Au regard de ces perspectives encourageantes, trois types d'objets physiques se distinguent aujourd'hui comme supports de signatures fortes : les puces des cartes bancaires, les cartes SIM des téléphones cellulaires et, dans la mesure où il serait connecté en permanence au Net, un terminal lié à un service de stockage cloud décentralisée. Dans la première catégorie, les banques et leurs groupements type Visa et Mastercard sont les acteurs (privés), nationaux et étrangers, prévalents ; dans la seconde dominent les opérateurs de télécommunications, nationaux et étrangers, publics ou privés ; la troisième est ouverte, où se positionnent également des acteurs techniques, par exemple autour des certificats pour PKI (Verisign, Keynectis...), et des startups prometteuses comme MassiveRand, en France.

 



La bataille pour le contrôle de l'identité numérique est en cours d'initialisation. Loading...

 



ShareThis