Luc : Décryptualité. Semaine 2 de l’année 2022. Salut Manu.
Manu : Salut Luc. Bonne année.
Luc : Qu’a-t-on sommaire ?
Manu : Petite revue de presse mais assez dense, avec pas mal d’articles secondaires parce qu’il y a deux sujets qui reviennent.
Luc : EurActiv, « L’utilisation de Google Analytics viole le droit européen, selon l’autorité autrichienne de protection des données », un article de la rédaction.
Manu : Si ça, ça a vraiment des conséquences sur Google et Google Analytics, ça va être intéressant, parce que le business modèle de Google dépend largement de l’analyse du trafic web, c’est ce que fait Google Analytics. Si jamais ils doivent changer de façon de travailler, je ne sais pas comment ils vont se débrouiller pour récupérer toutes les informations qu’ils ont sur tout le monde.
Luc : Ça souligne le fait que les GAFAM, qui ont pignon sur rue et avec qui l’État aime bien contractualiser, sont hors-la-loi et ce n’est pas la première fois. En tout cas, c’est ce que considère l’équivalent de la CNIL en Autriche.
ZDNet France, « Des projets open source à partager pour les services publics européens », un article de Thierry Noisette.
Manu : C’est tout un truc sur la DINUM. Il y a des mises en avant sur les marchés publics, il y a aussi toute une discussion sur le fait de récupérer des logiciels libres et de choisir, parmi tous les logiciels libres qui sont proposés par différents pays et, on va dire, développés par différentes administrations pour voir si on ne peut pas les adapter pour les administrations françaises. C’est plutôt sympa. Il y a d’autres articles en secondaire, allez jeter un œil, ce n’est pas mal.
Luc : Le Monde Informatique, « Le Gouvernement met le Health Data Hub en pause », un article de Jacques Cheminat.
Manu : Là aussi gros sujet. Il y a pas mal d’articles secondaires. Le Health Data Hub c’est, en gros, on stocke les données de la Sécurité sociale aux États-Unis sur le cloud, le nuage de Microsoft et on a confiance !
Luc : Un petit peu moins puisque ça a été mis en pause, on en a parlé la semaine dernière et même, je crois, la semaine d’avant. La semaine d’avant non, c’étaient les vacances, mais c’est un sujet qu’on a sous le coude depuis un petit moment.
Dernier article qui va faire notre sujet de la semaine : Le Monde Informatique, « Open source : les développeurs se rebiffent, la Maison-Blanche consulte », un article de Jacques Cheminat également.
Manu : « Se rebiffent » est un terme que je trouve assez gentil parce qu’il y a plein de manières de qualifier ce qui se passe et ce qui s’est passé. Exactement, il y a UN développeur qui a vraiment jeté un pavé dans la mare. Il a saboté, c’est le terme qu’on peut utiliser, même si c’est compliqué, deux de ses projets ; de ses deux projets dépendent quelque 20 000 autres projets. On est dans une sorte de pyramide de dépendances et, en retirant sa petite pierre de l’édifice, il y a 20 000 projets qui ont galéré.
Luc : C’est ce qu’on appelle, avec un anglicisme, une librairie, c’est à-dire que ce sont des logiciels qui sont des briques techniques, le grand public ne les connaît pas, mais ils peuvent être massivement utilisés, qui s’appellent colors.js [1] et faker.js [2]. As-tu une idée de ce à quoi ça sert ?
Manu : Il y en a une qui est pour coloriser, c’est son nom, et faker.js c’est pour faire de fausses données de tests. Je crois que c’est colors.js dont dépendent 19 000 projets ou quelque 19 000 projets. En les retirant de GitHub, en les sabotant exactement, il y en a un des deux qui écrivait, je crois, « liberté liberté et un drapeau américain », quelque chose comme ça, en sabotant ses projets, tous les projets qui en dépendaient mais qui n’avaient pas indiqué la version précise dont ils dépendaient – d’habitude on fait ça, on va bloquer, on va dire « je dépends de telle librairie à telle version » – eh bien il avait publié une version mineure de ses deux librairies, donc les gens qui n’avaient pas bloqué leur version dépendance, se sont retrouvés avec leurs propres projets qui ne fonctionnaient plus, qui écrivaient « liberté, liberté » en permanence, donc ça a cassé leur truc.
Luc : Il faisait également la promotion de sa propre théorie du complot en lien avec des animaux de compagnie. Je ne suis pas allé voir le détail.
Manu : Il y a avait aussi des trucs sur Aaron Swartz, mais je crois que c’était plutôt sur GitHub que c’était mis en avant, effectivement des trucs un peu étranges. En tout cas le gardien du logiciel libre est intervenu. Tu sais de qui je parle !
Luc : C’est Microsoft ! Tu me forces à dire ça, tu es vraiment un enfoiré !
Manu : C’est vache ! Effectivement, la plateforme qui héberge ces briques c’est GitHub et, comme on en a beaucoup parlé, à coup de milliards, GitHub a été rachetée par Microsoft qui la contrôle maintenant. Donc très rapidement ils sont intervenus, ils ont bloqué le compte du gars et ils ont remis les librairies dans leurs versions juste antérieures pour faire en sorte que ça continue à fonctionner. Ça reste compliqué d’un point de vue du droit d’auteur.
Luc : Est-ce que c’est vraiment défendre le logiciel libre que de faire ça ?
Manu : Les deux mon commandant ! C’est-à-dire que un, il a saboté son logiciel parce que c’est un logiciel libre, il a le droit de faire ce qu’il veut avec, il n’y a pas de garantie. Quand on fait du logiciel libre il y a bien marqué dans les licences « attention, nous n’assurons de rien » et Microsoft, en retirant les librairies et en faisant un retour en arrière, effectivement…
Luc : Ne respecte pas le droit d’auteur.
Manu : Oui. Mais dans les conditions d’utilisation de GitHub – il faudrait jeter un œil dans ces longs documents hyper-illisibles – il y a probablement des clauses qui indiquent « attention, si ce que vous faites nuit à va savoir quoi, dans ce cas-là on a le droit de retirer l’accès ». En tout cas ils ne se sont pas gênés, ils l’ont fait. On sait qu’ils ont plein d’avocats derrière eux donc on n’a pas trop peur. Et puis ils ont quand même institué à nouveau son compte au bout de quelques jours.
Luc : Ça démontre deux choses qu’on répète souvent, d’une part quand on est dépendant d’un service hébergé tel que l’est GitHub, eh bien Code is law, ce que fait GitHub fait s’impose à soi. Si cet individu voulait conserver ce logiciel saboté, que c’est ça qu’il voulait faire, de fait sa liberté est limitée par la volonté de son hébergeur. En hébergeant chez GitHub il s’est mis, de facto, sous la coupe de Microsoft.
L’autre point c’est que le droit d’auteur est secondaire, les principes sont secondaires pour une boîte comme Microsoft qui fait de l’open source et qui veut des logiciels qui tournent. Ce que ce type a fait ne convient pas et Microsoft s’assoit un peu sur les principes. On aurait pu dire « en tant qu’auteur tu décides de saborder ton projet, c’est ton droit, dans ce cas-là je supprime tout puisque tu n’es plus dans les conditions d’utilisation ». Mais non, ils ont remis la version antérieure, donc ils ont dit « on doit un service à tous les utilisateurs qui sont derrière » et la volonté de l’auteur de saborder son propre projet, ce qui est sa liberté, passe au second plan.
Manu : Petit détail, moi en tant que développeur je fais un peu la tête, parce qu’il a publié une nouvelle version de ses librairies sabotées, mais en changeant juste, de manière mineure, les numéros, ce qui indique généralement que ce ne sont pas des gros changements, donc il a un petit trahi ce contrat-là, on va dire. Je suis devenu un peu blanc quand j’ai vu ce genre de chose et de situation.
Luc : Il y a eu des antécédents de librairies sur lesquelles il y a eu des problèmes. Il y a en une qui est assez connue, qui est la première qui avait scandale, qui était liée au nouvel an.
Manu : Tu te réfères non pas à un sabotage, mais à une petite erreur.
Luc : Je parle de problèmes en général, je pense que c’est le premier cas de sabotage aussi spectaculaire dont j’entends parler. Le premier problème, qui avait beaucoup de bruit, sur des librairies logiciel libre, c’était la faille qu’on avait nommée Heartbleed [3], qui n’est pas le nom du logiciel, qui est ce même type de petit projet porté par des individus, dans leurs coins, qui ne sont pas vraiment payés pour ça – c’était aussi le profil de ce développeur-là. Quelqu’un avait fait une mise à jour juste avant le nouvel an, il voulait faire le dernier commit de l’année et il avait introduit dedans une faille de vulnérabilité considérable sur un logiciel qui est un logiciel de sécurité, donc c’était vraiment un gros problème. À l’époque ça avait vraiment fait peur. De fait les GAFAM avaient mis de l’argent sur la table en disant « peut-être que, pour ce logiciel-là, il faut quand même qu’on mette un peu d’argent pour s’assurer que les choses soient faites plus professionnellement ». Ça démontrait que ces problèmes-là étaient déjà en place. L’année dernière on a parlé régulièrement de toute une série de demandes d’éditeurs de solutions libres pour être mieux rémunérés.
Manu : Dans les trucs plus récents il y a Log4j [4] qui était dans le même cas que Heartbleed. Une librairie utilisée par plein de gens mais en douce, sans qu’on le sache vraiment, qui a pété, il y avait un problème de sécurité.
Un autre développeur s’est révélé récemment et se plaint effectivement de ne pas être rémunéré pour son travail. Comme le cas du premier développeur dont on parle, il se plaint que les grosses boîtes, les GAFAM notamment, utilisent ses logiciels sans le rémunérer, un peu comme l’ont fait MongoDB [5] ou Elasticsearch [6] à leur époque. Effectivement, ils se sont plaints que Amazon notamment utilisait leurs logiciels comme briques de leurs systèmes et que ce n’était pas mis en avant, surtout que ce n’était pas rémunéré, donc ils n’étaient pas contents. Dans tous les cas ils ont changé leurs licences, ils ne développent plus du logiciel libre. Mais Amazon a sa force de frappe donc qu’a-t-elle fait ?
Luc : Elle a forké. Elle a utilisé ses moyens, elle a pris la dernière version qui était sous licence libre et a dit « on continue sous licence libre avec cette version-là », ce qui est vraiment rageant parce que l’éditeur faisait ça sous licence libre. Ils ne lui ont pas donné un sou et, au moment où les autres ont dit « on arrête » et ont claqué la porte, ils ont dit « maintenant on va mettre des sous, mais on ne va pas t’en donner, on va le faire dans notre coin ». C’est effectivement très rageant, on en avait parlé, on avait d’ailleurs fait un podcast [7] là-dessus en se posant la question : est-ce qu’il n’y a pas une faille dans le modèle du Libre en général avec cette question de l’économie ? Souvent on fait le parallèle avec les biens communs, le bouquin d’Elinor Ostrom, même si le code n’est pas un bien rare. Dans le bouquin d’Elinor Ostrom [8] il y a un point qui est intéressant. Elle dit que dans tous les modèles de partage de communs qu’elle a pu observer, s’il y a un acteur beaucoup plus gros que les autres ça ne marche pas, que ça déséquilibre les ententes et ce genre de choses. On est typiquement dans ce genre de domaine dans l’informatique où on a quelques très gros acteurs. On peut tout à fait voir un certain nombre de GAFAM d’aujourd’hui qui offrent des services hébergés soit pour les professionnels, par exemple Azure pour Microsoft ou AWS, qui s’appuient massivement sur du logiciel libre, il y a aussi des couches propriétaires, mais, en gros, le cœur du truc c’est du logiciel libre qu’ils ont pu prendre sans avoir besoin de mettre des milliards sur la table pour tout développer et des années de développement. Ils donnent accès à des tas d’autres sociétés, etc., qui n’ont pas de compétences dans le Libre et qui achètent ces produits tout packagés. D’une certaine façon l’argent, le développement et le business ont été accaparés par ces sociétés. On pourrait avoir cette vision disant que par l’économie, par l’argent, par la concentration du capital, le Libre s’est fait bouffer la laine sur le dos.
Manu : J’ai tendance à qualifier ces acteurs-là de parasites. Ils utilisent effectivement le système, mais un parasite c’est souvent quelque chose qui est petit par rapport à un hôte ; là ça va être compliqué de les qualifier de petits, encore qu’on pourrait les qualifier de petits par rapport à Internet et à la communauté, en général, de l’informatique. Peut-être que dans ce contexte-là les GAFAM sont comparables, je ne sais pas.
Luc : Je ne suis pas trop sûr. Quand le DNS de Facebook est tombé, que plein de sites s’appuyaient sur les services d’identification par Facebook, ça a fait un mal terrible. Je pense que si aujourd’hui AWS se casse la gueule ça va avoir des répercussions énormes, AWS étant un service de location de serveurs mis en place par Amazon, qui est très couramment utilisé aujourd’hui.
Manu : On pourrait clamer, je ne sais pas si tu as suivi, mais il y a quelque chose qui va solutionner tout le problème, qui a été mis en avant parce que je crois qu’Elon Musk en a parlé. Ah ! Ah ! Tu me regardes bizarrement c’est le Web 3.0. Oui Monsieur ! On avait le Web 2.0, on a sûrement eu le Web 1.0 pour le coup, là on a le web 3.0 qui revendique notamment la décentralisation et le fait de rapprocher la brique informatique et les données informatiques liées de l’utilisateur. C’est ce que font les chatons [9] depuis des années, décentraliser le Web. Le Web 3.0 [10] c’est un buzzword, on pourrait dire du marketing, comme le Web 2.0 qui était, on va dire, le Web interactif où on pouvait notamment commenter sur des forums. Peut-être que le Web 3.0 est un moyen de casser les genoux des GAFAM conceptuellement, mais on n’y est pas rendu. En attendant je remarque que les développeurs qui ne veulent pas que leurs briques soient utilisées à tout-va, doivent faire attention à la licence qu’ils utilisent parce que ce n’est pas une garantie, bien sûr, mais il y a une petite arme qui différencie souvent l’open source et le logiciel libre, un petit mécanisme qui ne différencie pas à 100 % mais quand même, c’est le copyleft, la gauche d’auteur.
Luc : Un logiciel non-copyleft reste totalement libre, mais le copyleft [11] impose à quelqu’un qui va reprendre le logiciel, le rediffuser, de garder la même licence, alors que les licences non-copyleft n’ont pas du tout cette contrainte.
Dans le cas qui a fait grand bruit sur ces deux librairies dont on parlait au début c’était une licence MIT, donc licence non-copyleft qui permettait aux gens de faire ce qu’ils voulaient derrière. Dans le monde de l’entreprise, des grandes entreprises, ils adorent prendre des licences non-copyleft parce qu’ils ont vraiment peur des conséquences. Souvent, en plus, ils utilisent ces libraires pour faire des trucs non libres derrière, donc avec une licence non-copyleft ils savent qu’ils peuvent faire ce qu’ils veulent derrière et ils ne s’embêtent pas. Dès lors qu’il y a du copyleft, ils se disent « hou là, là, ça risque de nous emmener quelque part ».
Manu : Certains disaient que cette notion de transmission du copyleft était virale, dès que tu l’inclus quelque part c’est viral. Ça a un côté un peu négatif, alors qu’en fait non, on en hérite. Ça ne solutionne pas tout, en tout cas on n’a pas bien compris tous les tenants et les aboutissants.
MongoDB était déjà sous une licence copyleft quand elle a été utilisée par Amazon.
Luc : AGPL [GNU Affero General Public License].
Manu : Ils n’étaient pas contents, ils se sont plaints et ils ont modifié la licence, ils ont rajouté une clause qui fait qu’elle n’est plus vraiment libre, en tout cas elle n’est plus considérée libre par les institutions du Libre, on va dire, ce qui fait qu’Amazon s’est effectivement retrouvée à forker. Pour le coup Amazon continue à faire du logiciel libre et du logiciel libre copylefté. Donc ce n’est pas une solution à 100 %, notamment quand il y a un gros acteur.
Luc : C’est en ça que je disais que le poids financier de la surface de communication et de contrôle des infrastructures peut jouer énormément et c’est peut-être une faille, je n’ai pas d’opinion tranchée là-dessus, mais peut-être une limitation dans le modèle du Libre tel qu’on le connaît.
Ce sont des sujets qui traînent depuis longtemps. Depuis deux ans, je pense, on a parlé régulièrement de tous ces éditeurs, de tous ces développeurs individuels qui sont dans un coin, qui travaillent sur des trucs très techniques et où il y a plein de sociétés qui font beaucoup d’argent avec et eux n’en voient jamais la couleur, sans demander à devenir millionnaires, juste être payés raisonnablement, honnêtement pour leur boulot. Aujourd’hui, effectivement, ça ne marche pas. En économie c’est ce qu’on appelle, en anglais, le free rider, le voyageur gratos qui prend le train sans payer. Au final la plupart des gens font ça.
Manu : L’article propose même une solution que j’aime bien mais qui n’est pas très applicable. Je ne sais pas si tu te souviens de la fin de l’article qui parle d’un revenu de base pour les développeurs.
Luc : Oui. Ce serait finalement passer par une régulation publique de ces biens communs. Effectivement, si on considère que dès lors qu’il y a des grosses sociétés, qu’elles ont trop de poids, qu’on n’aura jamais d’équilibrage et de systèmes communautaires comme les régulations de communs étudiés par Elinor Ostrom, l’intervention de la force publique peut-être effectivement intéressante. Ça permettrait de reconnaître qu’on a un commun, qui appartient à tout le monde, que ça permet effectivement à l’ensemble de l’économie de mieux marcher, d’être plus efficace, mais après ça peut remettre en cause les licences et les principes. C’est aussi une des pistes abordées dans l’article qui est de dire « on peut peut-être changer les licences » et ça, c’est un petit peu problématique.
Manu : Bon ! On a déjà beaucoup discuté sur le sujet, mais je pense qu’on en reparlera.
Luc : Très bien.
Manu : Je te dis à la semaine prochaine.
Luc : Réécoute bien le podcast une fois que je l’aurai publié, parce que je vais peut-être le saboter au montage.
Voix off, voix déformée de Manu : Amazon une solution que j’aime bien !
Manu : Salaud !