Le ministère de la Recherche veut sécuriser données et logiciels face au protectionnisme de Trump

Étienne Gonnu : Un premier sujet sur lequel l’April a pu prendre position très récemment, en lien également avec l’actualité américaine : le directeur général de la recherche et de l’Innovation du ministère chargé de l’Enseignement supérieur et de la Recherche a adressé, mardi 15 avril 2025, un courrier à ce qu’on appelle les AMDAC, les Administrateurs et Administratrices Ministériels des Données, des Algorithmes et des Codes sources, afin qu’ils et elles dressent un état des lieux des risques de perte ou d’accès aux données des logiciels basés aux États-Unis, dans le but d’élaborer des solutions nationales. L’occasion pour l’April, dans un communiqué, de rappeler une de ses propositions qui est la création et le maintien par l’État, par les pouvoirs publics, d’une forge publique où seront partagés les codes développés par l’administration. Je rappelle qu’en France les codes développés par l’administration doivent être publiés sous licence libre, ça veut dire qu’il s’agit de logiciels libres.
Une réaction ? Nous allons peut-être nous concentrer sur la partie forge et son importance. Est-ce que quelqu’un se sent en mesure de rappeler ce qu’est une forge, parce qu’après on va pas mal parler du contexte géopolitique, on pourra se pencher sur ce sujet. Qui se lance pour l’explication de ce qu’est une forge ? Vas-y Florence.

Florence Chabanois : D’un point de vue vulgarisé, c’est un endroit, on peut dire un entrepôt où on met le code source. C’est déjà trop technique, là, où ça va ?

Étienne Gonnu : J’ai mes biais, parce que c’est vrai que ce sont des langages, mais ça me paraît accessible.

Emmanuel Charpentier : On pourrait presque parler du magasin, dans le village, avec la forge, l’endroit où on fabrique des choses.

Florence Chabanois : Oui, complètement. La forge, ce sont justement des outils qui permettent de produire de nouveaux outils, on va dire, qui, du coup, garde tout l’historique des recettes de ces outils pour pouvoir assurer la continuité de tout ça.
D’un point de vue public, service public, c’est important, c’est ce qui assure la pérennité de tous nos logiciels, du coup la continuité du service public.

Étienne Gonnu : Tu rappelles que la continuité du service public est un des principes fondateurs. Il y a plein de principes structurants de ce qu’est un service public et cette notion de continuité d’accès aux services publics et de continuité de fonctionnement est un principe très important. Tu fais bien de le rappeler.

Emmanuel Charpentier : On peut notamment parler de l’ADULLACT [Association des Développeurs et des Utilisateurs de Logiciels Libres pour les Administrations et les Collectivités Territoriales]. L’ADULLACT, c’est un regroupement qui essaye d’aider les administrations, les collectivités territoriales, et ils proposent une forge. Ils essayent donc déjà de se placer un petit peu sur ce type de mise en place, ce type de besoin, mais ce n’est pas forcément reconnu par l’État et par les administrations de manière globale. C’est vraiment un outil à côté, qui a des financements et qui ne fonctionne pas trop mal, il me semble, depuis des années déjà.

Benjamin Bellamy : Peut-être qu’on peut dire le mot interdit, parce qu’on tourne autour du pot depuis tout à l’heure, mais ce qui est visé très clairement ici c’est GitHub. GitHub est l’endroit communautaire où on peut déposer n’importe quel code source et qui a été racheté par Microsoft il n’y a pas si longtemps et ça pose problème aujourd’hui, puisque ça veut dire qu’une énorme partie des logiciels libres ont leur code source chez Microsoft.

Emmanuel Charpentier : Parce que c’est la forge la plus importante de toutes, historiquement la plus grosse et la plus ancienne, qui a été rachetée pour quelques milliards quand même, à l’époque.

Benjamin Bellamy : À la limite, peu importe le montant, le problème n’est pas là ! Ils l’auraient payé trois sous, ça ne changerait pas le problème qu’on a aujourd’hui.

Emmanuel Charpentier : Ça montrait peut-être l’importance de la forge.

Benjamin Bellamy : Ça montre l’importance, oui, tout à fait.

Emmanuel Charpentier : Il y a quand même une forge libre, en concurrence on va dire, qui est souvent recommandée et mise en avant.

Benjamin Bellamy : Il y en a plein !

Emmanuel Charpentier : Il y en a une qui sort peut-être du lot.

Étienne Gonnu : GitLab.

Benjamin Bellamy : Il y a GitLab, mais il y a aussi Codeberg avec Forgejo. En fait, il y en a quand même plusieurs et GitLab étant libre, il y a plusieurs instances de GitLab. Il y a l’instance principale de GitLab qui vend ses services moyennant finance, ce qui pose un problème d’ailleurs. GitHub a été payant à une époque, en tout cas était payant pour les logiciels qui n’étaient pas sous licence libre, aujourd’hui GitHub est complètement gratuit ce qui fait qu’on y va tous par flemme.

Florence Chabanois : Pour les particuliers tu veux dire, parce que c’est quand même payant pour les entreprises.

Emmanuel Charpentier : Plus ou moins.

Benjamin Bellamy : Plutôt moins que plus maintenant.

Florence Chabanois : Non...

Emmanuel Charpentier : Donc certains services sont payants, mais, de base ils essayent d’accueillir tout le monde, c’est toujours le pied dans la porte, c’est la stratégie du pied dans la porte.

Benjamin Bellamy : Moi je dis « vendeurs de crack ».

Étienne Gonnu : Je vois deux enjeux, mais une difficulté de GhiHub, de ce que j’ai compris, notamment pour les développeurs et les développeuses, c’est que ça fait presque office aussi d’une forme de réseau social de développement où on échange les pratiques, on échange plein de choses, pas seulement du code à proprement parler ça, ce sont toutes les couches de services, on pourra se pencher dessus au besoin, ce qui fait qu’il est aussi très difficile de ne pas passer par cette plateforme. Cela durcit encore plus les effets de dépendance et rend peut-être d’autant plus pertinente la nécessité de maintenir des forges qui soient en dehors de ces systèmes-là. Benjamin.

Benjamin Bellamy : Je ne suis pas un grand adorateur de Microsoft. Typiquement, pour illustrer ton propos, pour le développement de Castopod, notre plateforme d’hébergement du podcast, qui est libre, nous avons décidé d’avoir notre propre instance GitLab auto-hébergée, parce que nous voulions être souverains sur notre code source. Sauf que quand on a commencé à chercher des financements, des choses à droite, à gauche, en particulier chez Open Collective qui est une plateforme de financement de logiciels libres, ils demandent un certain nombre d’étoiles sur GitHub. Si vous n’avez pas d’étoiles sur GitHub, donc si vous n’êtes pas sur GitHub, eh bien vous n’existez pas. C’est un peu le biais de la plateforme : comme tout le monde y est, c’est là qu’il faut aller ! Et il y a une espèce de cercle vicieux à se dire « on ne va pas s’embêter, on sait que tout le monde est là. » C’est un peu comme on était, jadis, tous sur Facebook parce que c’est là qu’il y avait tout le monde. C’est un peu comme WhatsApp, comme toutes ces plateformes-là privatives. Pourquoi ça marche ? Parce que c’est gratuit, parce que c’est facile et parce que c’est là que tout le monde est.

Florence Chabanois : Le rachat de GitHub par Microsoft a été un très bon move. Avant le rachat, on poussait les entreprises et les particuliers à y aller, à justement partager le code source. Et, une fois qu’on a tout poussé dessus, on se retrouve à se dire « ah ! ». On ne sait pas ce qu’ils vont en faire. Du coup, il y a des va-et-vient justement entre GitLab et GitHub d’un point de vue entreprises, notamment aussi par rapport au fil de données, il y a tout un écosystème sur GitHub, maintenant il y a un éditeur de code. Il y a plein de hooks [Traitements automatisés, Note de l’intervenante], de choses qui font que ça facilite énormément le travail de développement.
GitLab ça marche, en local et tout, mais, du coup, ça a un surcoût, quand même important, de la gratuité ou pas, pour pouvoir maintenir ça. Et, comme on l’a dit tout à l’heure, le code source c’est vraiment le nerf de la guerre d’une entreprise d’un point de vue logiciel, dans le sens où c’est vraiment la recette de tous nos plats. Du coup, s’il n’y a pas de garantie d’intégrité de ces données-là, c’est un risque. On doit donc vraiment déployer des moyens pour garantir que tout est bien fait, du coup ça nécessite plus de ressources en termes de maintenance d’avoir du GitLab, alors que GitHub c’est tout clé en main.

Emmanuel Charpentier : On peut noter le petit paradoxe. GitHub héberge vraisemblablement une très grande majorité des logiciels libres aujourd’hui, de ce que je sais, de ce que je vois, mais GitHub n’est pas un logiciel libre, ce qui est toujours amusant à rappeler. À l’April, on s’en était offusqué à une époque, on avait un peu bataillé sur le sujet. Il y a effectivement pas mal d’associations qui essayent de se battre contre ça. Il y a donc GitLab qui a des instances un peu partout. Framasoft était connue pour en héberger une grosse, en France, et puis l’April héberge, alors ce sont des Git KISS, encore un autre outil, de moindre importance en termes de fonctionnalités, on va dire, mais plus facile à maintenir, peut-être un peu moins coûteux aussi.

Étienne Gonnu : Vous pourrez me corriger ou me compléter. J’ai l’impression, pour les personnes qui n’ont pas forcément le recul pour connaître la différence, qu’est-ce que ça change que ce soit libre ou pas ? De ce que je comprends, un des problèmes c’est qu’il y a la forge, certes on stocke les codes, mais il y a tous les outils autour, comme dans une vraie forge, pour travailler, qui sont mis à disposition, et ces outils-là, pour le coup, ne sont pas forcément libres. Si on veut reprendre son code pour aller faire autre chose, ça va être difficile, on va perdre certains outils qui avaient été développés pour ça, là où je peux imaginer qu’avec des outils libres ce sera plus facile : l’interopérabilité, la capacité à utiliser les codes ou les services sur d’autres plateformes sera peut-être plus simple. C’est peut-être un peu naïf comme vision, mais il me semble que c’est un des enjeux. Vas-y Benjamin.

Benjamin Bellamy : Je pense qu’une bonne métaphore c’est comme quand on veut changer de mail. Si on a tout chez Gmail et qu’on décide d’aller ailleurs, ça va être compliqué. C’est pareil. Si on a tout son code source sur GitHub et qu’on veut changer, typiquement on va perdre ses étoiles et puis on va perdre tous les gens qui suivent le repository ; on va perdre des trucs de configuration qui sont un peu touchy. Évidemment, on va pouvoir récupérer son code source puisque tout le monde peut le récupérer, mais, au-delà, il y a tout l’environnement et l’écosystème. Ça va être compliqué : si on a du CI/CD [Continuous Integration/Continuous Delivery], ça va être compliqué.

Emmanuel Charpentier : C’est le système de build, on va dire de construction, qui permet notamment de déployer.

Étienne Gonnu : On parle beaucoup et c’est intéressant de faire un plaidoyer pour les forges libres et contre GitHub pour tous les problèmes d’adhérence que ça amène et qui sont vrais pour tout le monde en fait. Mais, comme on disait, et c’est pour cela que je veux revenir sur le côté forge publique et sur la question des codes développés par l’administration qui sont des documents administratifs communicables, d’ailleurs c’est financé par de l’argent public, ces codes doivent rester librement accessibles, librement réutilisables par l’ensemble de la population, par qui veut, en fait. Il y a donc aussi tout cet enjeu de maintenir un accès simple, continu, à ces codes en tant que service public. Tu parlais de l’ADULLACT qui propose effectivement le Comptoir du Libre, je ne sais pas si le Comptoir du Libre est une forge, peut-être que je confonds deux choses.

Emmanuel Charpentier : Je ne sais pas, mais l’ADULLACT a une forge.

Étienne Gonnu : Ils ont une forge. L’ADULLACT fait un très bon boulot, c’est un acteur très important. Ils sont très concentrés pour la promotion des logiciels libres et la mutualisation auprès des collectivités avant tout.
Le problème, c’est aussi ce qu’on cherche aussi à dire à l’April et dans notre communiqué, c’est que quel que soit l’acteur, il n’y a pas de jugement moral, que ce soit GitHub ou quelqu’un d’autre – même s’il y a des problèmes en plus quand c’est GitHub –, la difficulté c’est que, quand on dépend d’une personne extérieure, qu’elle soit une association et quelles que soient ses intentions, elle peut changer de politique interne, elle peut mettre la clé sous la porte pour une raison ou une autre. En fait, c’est là où on va perdre ce côté que tu rappelais Florence, à juste titre, de continuité de service public. On a une dépendance et en fait, là-dessus, il ne faut pas de dépendance, il faut garantir dans le temps cette continuité. Surtout qu’on peut aussi naïvement se dire que l’État, quand même, a sans doute les connaissances, les capacités techniques et financières pour pouvoir héberger sa propre forge.

Emmanuel Charpentier : L’État héberge plein de forges, il y en a des dizaines, probablement des centaines, peut-être même plus parce que c’est tentaculaire. J’ai travaillé dans des administrations, il y avait des forges, plusieurs, dans différents environnements, des environnements sécurisés, des environnements non sécurisés, en général du GitLab qui est plutôt apprécié, connu, bien utilisé par les administrateurs système, ceux qui mettent en place et ils ont du mal à centraliser autour d’une forge. Je crois que la DINUM, la Direction interministérielle du numérique, avait essayé d’aller dans ce sens-là. Ils avaient fait des propositions pour essayer d’organiser un petit peu, pour essayer de proposer un peu de centralisation, ça a des avantages, ça a des inconvénients, et essayer d’éviter de redéployer à chaque fois des outils qui vont parfois être mis dans un coin et plus maintenus. Ça fait aussi partie des problèmes : il faut maintenir les forges, il faut des gens qui ont une expertise et qui vont les faire évoluer, les corriger et garantir, par exemple, leur sécurité.

Étienne Gonnu : Ça demande une volonté politique pour le faire.

Benjamin Bellamy : Et ça demande du temps et de l’argent. Maintenir un GitLab, j’en sais quelque chose, il faut s’en occuper toutes les semaines, c’est comme un petit animal.

Étienne Gonnu : C’est un choix politique que de maintenir un temps dédié d’agents publics là-dessus. Visiblement vu les enjeux, c’est un choix qu’il faut faire et qui n’est pas non plus complètement déraisonnable, me semble-t-il.

Benjamin Bellamy : On voit qu’il y a aussi une grosse dimension marketing. Le fait qu’il y ait plein de forges, ça ne facilite pas : quand on cherche quelque chose, on ne sait pas où on va le trouver. Pourquoi, aujourd’hui, tout le monde va sur GitHub ? C’est aussi parce qu’on sait que c’est là qu’on va aller chercher, c’est là qu’on va trouver. De la même manière que, s’il y a une vidéo, elle est sur YouTube. C’est triste, mais c’est ce qui fait qu’on centralise parce que ça facilite le boulot de tout le monde après.

Étienne Gonnu : On va saluer une partie des agents de la DINUM qui ont fait un travail important. Ce n’est pas au niveau d’avoir une forge. C’est un catalogue qui référence où trouver les différents codes développés, c’est là qu’on peut se rendre compte qu’une grande quantité de code des administrations est chez GitHub, mais il y a ce travail de recensement.
Je vais conclure sur ce point, sauf si vous aviez d’autres remarques.

Florence Chabanois : J’appuie juste Emmanuel, Manu ou Echarp : l’Inria a effectivement mis en place un archivage, Software Heritage, que je ne connaissais pas. Mais la problématique est effectivement celle que tu as évoquée, dans le sens où ça préserve le code, ça le stocke, mais il n’y a pas la continuité des services et c’est vraiment là tout l’enjeu.
Comme tu disais, Benjamin, aujourd’hui chaque organisation endosse ce coût quand on est sur GitLab, qui est américain aussi ou pas ? parce que là j’ai quand même un doute.

Emmanuel Charpentier : Bonne question. Il faudrait qu’on vérifie. [Gitlab a été créé par deux personnes ukrainiennes, en 2011. Maintenant c’est une entreprise américaine avec son siège à San Francisco, NdT].

Florence Chabanois : Franchement, je suis pas si sûre que ça, des alternatives sont mortes.

Emmanuel Charpentier : Après, c’est international.

Étienne Gonnu : Si c’est du logiciel libre, c’est moins gênant.

Florence Chabanois : Avant il y avait GitBucket, je crois que SourceForge existe encore, mais si ça se trouve tout ce que je dis est aussi américain. C’est là où avant c’était vraiment très à la mode, c’étaient des gens qui avaient une vision à très long terme de pérennité, qui encourageaient les entreprises à aller sur GitHub et là on se retrouve un peu pris à son propre piège en se disant « ça marche tant que ce n’est pas un autre système – en l’occurrence Microsoft – qui risque de retourner ça contre nous, au fil des années, suite à un, entre guillemets, "bête rachat" ».
Effectivement, le fait que ça fasse référence aujourd’hui est très problématique, en tout cas un très gros frein au changement.

Étienne Gonnu : Tu as mentionné Software Heritage qui est effectivement un gros projet, absolument génial, de conservation de l’ensemble des codes libres, ou pas, de l’ensemble de la production informatique depuis que l’informatique existe. C’est une sorte de bibliothèque d’Alexandrie du code. C’est un projet génial. On les avait reçus en 2022, donc, si vous voulez retrouvez cette émission, on la partagera, c’est l’émission 134, libreavous.org/134.
Et puis juste pour mentionner, puisqu’on parlait du ministère de l’Enseignement supérieur et de la Recherche, on peut aussi nommer, plutôt au ministère de l’Éducation, la Forge des communs numériques éducatifs, par exemple, qui est une des forges qui existent, qui est à destination de la communauté enseignante pour partager des ressources éducatives libres, notamment des logiciels. C’est un très bel exemple de ce qu’il faut faire, mais il faudrait passer à une échelle supérieure et on attend. Je parlais d’une lettre qui a déclenché ça, une lettre du directeur général de la recherche et de l’Innovation qui demande un état des lieux. On appelle également à ce que cet état des lieux, cet audit, soit communiqué et s’il ne l’est pas de lui-même, on fera une demande CADA, une demande d’accès aux documents administratifs pour l’obtenir et faire la lumière. Ça aidera à mieux avancer et je vous propose de passer au sujet suivant.

[Clochette]

Les droits de douane Trump relancent l’hypothèse d’une taxe GAFAM européenne

Étienne Gonnu : Comme je le disais en introduction, et il y avait un lien avec le premier sujet, un sujet auquel il est difficile d’échapper, un peu comme l’IA, c’est le contexte géopolitique avec la présidence de Trump aux États-Unis, entre sa guerre commerciale et son détricotage en règle des contre-pouvoirs. Dans un monde globalisé, ça a forcément un impact global, qui impacte évidemment aussi les sujets qui nous intéressent, les sujets numériques.
C’est vraiment un gros plat de résistance sur ce Café libre, il y a plein de plus petits plats à l’intérieur, peut-être qu’ils se recroiseront, on ne va pas forcément faire actu par actu à l’intérieur, on nommera les plus importantes et on essaiera quand même que ce plat reste aussi cohérent et digeste que possible, mais c’est vrai que c’est foisonnant. C’est foisonnant et c’est difficile à suivre parce que ça va très vite.

Je vous propose de commencer par une idée qui, en fait, est ancienne, mais qui est revenue avec cette idée guerre commerciale, c’est ce qu’on appelle la taxe GAFAM. Je vais remettre juste un peu de contexte, je dis les choses dans le désordre, je suis désolé. Pour mettre un peu contexte dans cette guerre commerciale : le calcul des droits de douane de Trump, qui lui permet de justifier des taxes absolument déraisonnables à beaucoup d’États du monde, est un calcul absurde, basé sur le rapport entre importations et exportations, ce qu’on appelle la balance commerciale et, dans son calcul, il s’est focalisé sur la balance commerciale des produits physiques. Or, s’il y a un domaine où la balance commerciale entre États-Unis et Union européenne est largement en faveur des États-Unis, ce sont les services numériques. C’est notamment Next qui le résume ainsi : « En 2023, l’Europe exportait par exemple 503 milliards d’euros de marchandises vers les États-Unis, et importait 347 milliards d’euros – on voit déjà les ordres de grandeur. Or, la situation s’inverse quand on regarde les services : l’Union européenne exportait l’équivalent de 319 milliards d’euros vers les États-Unis, alors que ces derniers généraient 427 milliards d’euros à partir du marché européen. En matière de services, les États-Unis bénéficient donc d’un excédent commercial significatif vis-à-vis de l’Europe. » C’est donc dans ce contexte-là qu’est revenue sur la table d’une taxe GAFAM pour taxer les flux financiers des géants du numérique.
Qu’est-ce que vous inspire cette idée de taxe GAFAM ? Elle réapparaît là, mais elle est ancienne. Que pensez-vous déjà de cette idée de taxe et, plus globalement, de cette situation ? Echarp.

Emmanuel Charpentier : Perso, globalement je ne suis pas fan des taxes, mais si, au moins, on pouvait déjà appliquer les taxes existantes ! Il faut le rappeler : les GAFAM existent, les entreprises gigantesques du numérique existent en grande partie parce qu’elles arrivent à contourner les règles déjà en place, en passant par différents pays, l’Irlande, par exemple, est un des moyens les plus simples, et puis en s’arrangeant pour que tout ce qui correspond à des droits d’auteur soit démesuré dans un sens, minimisé dans un autre ; que les emplois ne soient pas forcément répertoriés, catalogués comme dans certains pays ou dans d’autres ; que le marché des consommateurs ne soit pas indiqué comme étant là où on veut payer les taxes, mais on va les payer ailleurs. Et, en bidouillant à chaque fois, comme cela, les grosses entreprises arrivent à ne pas payer les taxes déjà existantes. C’est très problématique. On se rend compte, avec les années, qu’il y a probablement des milliards et des milliards qui ont échappé à tout ce qu’on pouvait organiser.
L’Irlande a eu des problèmes, je crois que c’étaient des droits, des taxes que l’Irlande avait décidé de ne pas faire payer aux grosses multinationales américaines pour encourager leur implantation en Irlande, ce qui a plutôt fonctionné. L’Europe était venue derrière, avait un peu tapé du pied et demandé à ce que l’on paye les arriérés, comme les règles européennes normalement l’imposent. L’Irlande avait un petit peu bataillé là-dessus. C’étaient des arriérés vraiment considérables. Donc, si on pouvait déjà faire payer ça, ce ne serait pas mal.
Ensuite la taxe GAFAM, pourquoi pas ! Après tout on est souverain, on a le droit de faire payer des taxes, si on a des bonnes règles qui s’appliquent à tout le monde et qui ne sont pas des règles arbitraires.

Étienne Gonnu : Merci pour ce récapitulatif, je te donne tout de suite la parole, Florence. Juste pour rappeler que l’idée de cette taxe GAFAM serait une taxe au niveau de l’Union européenne.

Florence Chabanois : En parlant d’Union européenne, les GAFAM ont quand même régulièrement des amendes sur lesquelles ils font des recours, qu’ils contestent, sans parler du fait que c’est assez anecdotique au regard de leur chiffre d’affaires.
Justement, là, Apple a eu 800 millions d’euros pour clauses abusives et c’est la même raison pour laquelle Meta a des amendes encore et encore, je ne sais pas s’ils les payent vraiment ou si un recours bloque tout. Là, le motif c’était un manque de recueil du consentement, sur le fait de recueillir des données personnelles et de les croiser. C’est quand même vraiment la base du RGPD. Du coup, je te rejoins Emmanuel, sur le fait de l’efficacité des textes, néanmoins je trouve ça quand même pas mal, en vrai. Le fait que ça existe envoie quand même un signal dans le sens où on se fait quand même malmener, en particulier les gouvernements européens, pas que nous d’ailleurs, tout le monde se fait malmener. On a tous et toutes une épée de Damoclès et ça permettrait au moins de proposer un contre-pouvoir. Je suis plutôt positive, en fait, sur ce sujet.

Benjamin Bellamy : Tu es plutôt pour instaurer une taxe GAFAM ?

Florence Chabanois : Oui, favorable, on va dire.

Benjamin Bellamy : Je rejoins ce que disait Echarp, sur le fait qu’il faudrait commencer par résoudre cette distorsion de concurrence. Au-delà de « est-on pour ou contre les taxes », peu importe, il y a une vraie distorsion de concurrence qui pose un véritable problème.
Sur la taxe GAFAM en elle-même, moi, à titre personnel, je n’y crois pas du tout. Je pense que c’est un épouvantail qu’on agite, on dit « attention, attention, taxe GAFAM, taxe GAFAM ! ». Je pense que les enjeux sont tels, aujourd’hui la dépendance des sociétés européennes, en particulier françaises et multinationales, aux GAFAM, est telle que si demain on leur imposait une taxe GAFAM – parce que ce sont bien nos sociétés qui vont payer les taxes, c’est le principe des taxes –, il y aurait une telle levée de boucliers que ça n’avancerait pas. Donc, je ne crois pas une seconde qu’on va arriver à mettre en place une taxe GAFAM.
Maintenant qu’on l’agite et que ça revienne régulièrement pourquoi pas ! Si ça peut faire réfléchir quelques DSI qui vont se demander « est-ce que j’ai vraiment besoin de tout mettre chez Outlook ou Gmail ? », c’est une bonne chose, d’autant que le contexte géopolitique actuel, mais là on n’est plus vraiment dans l’économie, on est vraiment dans la politique, nous incite à être précautionneux, à dire « est-ce que j’ai vraiment envie que tous mes secrets de fabrication soient chez Microsoft, chez Google ou chez Amazon ? ». Mais, à mon avis, la réflexion va plus venir d’une crainte d’espionnage industriel, parce que ce n’est pas de la science-fiction, ce n’est pas que dans les films, que d’une possible taxe GAFAM, sachant qu’en France, au niveau des taxes, on est déjà correctement loti, ça se discute. En tout cas, je ne crois pas qu’on y arrivera un jour.

Étienne Gonnu : Ce que je trouve intéressant dans ce que tu soulèves, c’est difficile à percevoir tout de suite, mais je trouve que dans certains discours ça commence à faire surface. Pendant longtemps on disait « ça pose quand même problème que tout soit chez Microsoft, etc. », pour plein de raisons évidentes, mais, en même temps, c’était « oui, mais les Américains sont nos alliés », l’enjeu, par rapport aux Chinois, c’était un peu plus compliqué. » Là, on est un peu moins sûr que les États-Unis soient nos alliés sur le long terme et je trouve que ça rend d’autant plus palpable et évidente, peut-être, la nécessité d’un petit peu plus d’autonomie vis-à-vis des solutions américaines. Je trouve, notamment dans la bouche de certains politiques, que ça commence à émerger.

Benjamin Bellamy : Ça fait plus de 15 ans que je me bats pour qu’on arrête de mettre sa messagerie, qui est un point clé parce qu’on a tous besoin d’une messagerie d’entreprise, chez Google ou chez Microsoft et ça fait 15 ans qu’on me traite de parano, qu’on me rigole au nez, qu’on me dit « avec ta messagerie libre ou auto-hébergée ou souveraine, c’est nul ! Comment tu gères ton agenda, etc. ». Eh bien aujourd’hui on ne rigole plus ! Le sujet n’est plus tabou, on peut en parler, et il y a une vraie prise de conscience de fond qui est en train de se faire chez tous les acteurs. Chez les politiciens et les politiciennes oui, on peut penser à Philippe Latombe qui a toujours été très actif là-dessus, mais il était un peu tout seul, il l’est de moins en moins et c’est un discours qui commence à passer, c’est-à-dire que les gens commencent à écouter nos explications. Il y a vraiment un changement que je note depuis plusieurs mois. Je trouve très triste qu’il faille l’arrivée d’un Trump au pouvoir pour que les gens nous écoutent. Au final, est-ce qu’on doit s’en réjouir ?, je ne pense pas. En tout cas, ce discours-là passe aujourd’hui.

Florence Chabanois : Je suis d’accord. C’est le seul point positif de l’histoire. Les gens avaient du mal à vraiment palper la menace. Comme on disait pour GitHub, personne n’y croit en fait, on a l’impression que ce sont des Cassandre dans le sens où c’est un risque, mais bon, il y a des risques partout. Du coup, ce sont plus des arbitrages entre un tel risque par rapport à un autre. Là, en fait, il y a de plus en plus de menaces, encore plus depuis la Covid, avec tout ce qui est cybersécurité, avec des risques géopolitiques, là on commence vraiment à avoir peur parce qu’on commence à sentir des effets. Là, au moins, l’avantage de cette situation, qui n’est effectivement pas du tout souhaitable, incite un peu plus au mouvement.

Emmanuel Charpentier : Je pense que quelqu’un a été Cassandre avant nous, c’est De Gaulle. De Gaulle se méfiait beaucoup des Américains pour plein de raisons, notamment suite à ce qu’il avait vécu, et il s’en méfiait largement dans un côté géopolitique, bien sûr pas pour l’informatique et les serveurs de données. Et son héritier, au moins sur cette ligne-là, c’est Macron. Macron avait beaucoup claironné auprès de l’Europe qu’il fallait se méfier des Américains, qu’il fallait être autonomes, qu’il fallait garantir un petit peu que nous puissions fonctionner de notre côté. Là, bizarrement, on a une sorte de néonazi qui arrive au pouvoir américain, nous nous sommes un peu réveillés, bien sûr pas suffisamment, nous en sommes encore loin. Les Allemands ont un petit peu changé leur ton, ils se rendent effectivement compte, peut-être, « oui, nous avons des missiles nucléaires américains, on ne peut pas les utiliser comme on veut, nous ne sommes vraiment pas maîtres chez nous des outils que nous avons ». Ce sont complètement les arguments qu’on utilise aussi pour le logiciel et pour les données. Eh bien, il faut retravailler ça, il faut retravailler aussi le fait que nos données européennes soient protégées.
Il y a des clauses, dans les conventions européennes, qui disent qu’on ne doit pas pouvoir exporter les données des Européens sur d’autres serveurs, en anglais c’est le Safe Harbor, je ne sais pas comment on le traduit en français. En fait, les serveurs qui hébergent par exemple les données de santé des Français doivent être en France ou en Europe, parce que maintenant la règle est communautaire. Malheureusement ces clauses-là, qui étaient surveillées par les juges, ont sauté encore récemment et ont permis aux données de santé des Français d’être hébergées en Amérique, dans le cloud Microsoft et il y a des allers-retours. Là, on est en train de se dire « c’est peut-être une connerie, quand même, d’héberger tout ça là-bas, est-ce qu’il ne faudrait pas garantir que ce soit hébergé en Europe ? Même si c’est chez Azure, donc Microsoft, au moins c’est en Europe on peut appliquer nos lois localement. » Eh bien non !, si ce sont des entreprises américaines, de toute façon le droit américain s’appliquera et, surtout, ils auront accès aux données sensibles, il n’y a aucun doute là-dessus.

Étienne Gonnu : Je voulais juste préciser quelque chose. On parlait du RGPD, c’est un des aspects importants. Je ne sais pas à quel point Emmanuel Macron, je n’ai pas suivi son discours.

Florence Chabanois : Oui, je ne peux pas laisser passer ça !

Étienne Gonnu : S’il a eu un discours très critique, je n’en sais rien, je n’ai pas suffisamment suivi.

Emmanuel Charpentier : Très souverainiste, on va dire.

Étienne Gonnu : D’accord, en tout cas ça ne s’est pas matériellement traduit dans des décisions, par exemple sur les sujets de la dépendance aux services numériques américains et à Microsoft, ça ne s’est pas du tout traduit.

Emmanuel Charpentier : Là, je parle plutôt côté miliaire. C’est vraiment à un autre niveau, militairement, économiquement, vraiment sur les Armées, la dépendance aux Américains. Mais je remarque que c’est la même chose pour le logiciel, à un autre niveau, bien sûr, on n’a pas les mêmes enjeux sur les vies, le matériel n’est pas le même, tout à fait, mais il y a ces mêmes enjeux qui s’appliquent, de mon point de vue.

Étienne Gonnu : D’accord, si ce n’est que le ministère des Armées est très dépendant, lui aussi, de Microsoft, mais c’est un autre sujet.

Emmanuel Charpentier : Alors là, oui, effectivement.

Étienne Gonnu : On parlait du RGPD. Je pense que dans le bras de fer géopolitique entre États-Unis et Union européenne, les grandes réglementations européennes sur les services du numérique sont vraiment, il me semble, un des grands leviers ou des grands sujets de tension, notamment la réglementation générale sur la protection des données qui est bien plus protectrice dans l’Union européenne, même si on pourrait toujours souhaiter davantage de protection, qu’elle ne l’est aux États-Unis.
Il me semble que le Safe Harbor était un accord bilatéral entre Union européenne et États-Unis pour dire que le droit américain était conforme à la réglementation européenne, qui a été cassé, d’ailleurs à deux reprises, pour dire, finalement, qu’il n’était pas si protecteur que ça.

Benjamin Bellamy : Par Max Schrems.

Étienne Gonnu : Effectivement par Max Schrems et son association NOYB. Il a agi avant l’existence de cette association. Benjamin, tu suis de près les sujets RGPD, tu fais un podcast qui est dédié à ces questions-là, je sais que tu voulais évoquer cette grande question.

Benjamin Bellamy : Je ne les suis pas particulièrement de près. Par rapport à tout ce qu’on vient de dire, beaucoup de gens, en Europe, se sont plaints du RGPD. Je pense qu’on l’a très très mal expliqué, que globalement personne ne sait à quoi ça sert, comment ça marche, personne ! Là, on va avoir un premier cas d’usage, on va voir à quoi ça sert, ça va nous permettre de nous protéger de Donald Trump, ce qui n’est déjà pas mal ! Ça permet de faire plein d’autres choses.
Après, je ne suis pas un expert du RGPD, je ne suis pas avocat ou autre, c’est juste un peu ma passion. Je trouve que c’est un texte vraiment chouette parce qu’il remplit un objectif, qui est vraiment très vertueux et très noble, qui est de protéger nos données pour que n’importe qui ne puisse pas faire n’importe quoi avec, c’est donc très chouette. Et à l’heure du scraping avec l’IA qui va devenir de plus en plus important.

Étienne Gonnu : Explique ce qu’est le scraping.

Emmanuel Charpentier : Le mot français m’échappe aussi.

Benjamin Bellamy : Le scraping, c’est le fait d’aller sur des sites, récupérer de manière systématique des données, donc télécharger l’intégralité du contenu d’un site. Pas mal d’articles parlent de cette pratique en ce moment, parce que la plupart des entreprises qui font de l’IA aujourd’hui ont recours au scraping pour aller chercher des données, de manière légitime ou pas. Aujourd’hui, la moitié du trafic internet est consommée par des robots qui récupèrent des données pour pouvoir entraîner des intelligences artificielles derrière.

Emmanuel Charpentier : Oui. Ça a explosé et ça met en cause même les serveurs, notamment les serveurs de la communauté du Libre, qui sont quasiment attaqués par ces outils qui sont en train d’essayer de tout regarder, de tout voir, d’aller partout, d’aller dans les coins et plusieurs fois par jour parce qu’ils n’ont pas vraiment de limites, pas les mêmes limites que les moteurs de recherche qui, traditionnellement, faisaient un peu la même chose. Là, c’est par grosses quantités et c’est très difficile de se battre contre ça. Il y a même des administrateurs système qui sont obligés de mettre en place des politiques de labyrinthe : dès qu’ils chopent une IA ou qu’ils pensent avoir chopé une IA, ils lui proposent des enchaînements de pages idiotes, qui vont boucler les unes sur les autres, pour lui faire perdre du temps et faire en sorte que le reste du site ne soit pas touché. C’est quasiment une guerre en ce moment !

Étienne Gonnu : Aux utilisateurs de services numériques, si vous trouvez que ça rame en ce moment, c’est sans doute de la faute des IA.

Emmanuel Charpentier : En tout cas, c’est une bonne excuse et on ne va pas la rater !

Florence Chabanois : C’est vrai que la charge est importante, même au-delà de la légitimité, du fait de se sentir volé par rapport à ces robots. Tu parles de stratégie pour tromper ces petits filous. Il y a toujours eu ces problèmes-là. Parfois, ce n’est pas gênant pour nous, mais ça nous coûte en tant que système, organisation, pour faire en sorte que le site ne tombe pas. Je pense que c’est à cela que tu faisais référence, Étienne, et ça génère un surcoût pour tout le monde, en fait.

Benjamin Bellamy : Par exemple, dans le domaine du podcast, il y a PodFriends, un service d’écoute de podcasts que j’aimais beaucoup, qui était super novateur, qui était sous licence libre, open source, qui a dû fermer son site. Comme il référence de nombreux podcasts, sa consommation de bande passante atteignait des sommets et, comme ce sont des robots, il ne peut même pas se dire « j’ai du trafic, c’est bien ! ». Non, c’est du trafic qui n’a aucune valeur, c’est du trafic qui coûte de l’argent, mais qui ne rapporte rien.
Je pense que Wikipédia a aussi beaucoup de problèmes en ce moment. Je ne sais pas si vous savez qu’on peut télécharger l’intégralité de la base Wikipédia, c’est complètement libre, donc, quand on fait de l’intelligence artificielle, c’est super pratique, c’est vraiment un outil incroyable. Sauf que si énormément de gens téléchargent et le font plusieurs fois par jour, ça finit par représenter des données colossales. Même indépendamment du coût écologique que ça représente, ça a un coût économique pour l’entreprise qui héberge le site.

Florence Chabanois : Il faut plus de serveurs, augmenter la bande passante.

Emmanuel Charpentier : Oui, c’est perturbateur, c’est très perturbateur !

Étienne Gonnu : J’ai vu les chiffres : c’est un peu plus de 50 %, on est peut-être à 51 % ou 52 % du trafic internet mondial qui est de l’IA.

Emmanuel Charpentier : Ça a dépassé le porno et le spam ! C’est fou, franchement !

Étienne Gonnu : Tout fout le camp !

Benjamin Bellamy : Je ne sais pas trop comment sont calculés ces pourcentages parce que la problématique de ces moteurs, c’est que, très souvent, ils le font de manière illégitime, au mépris du droit d’auteur et du RGPD et au mépris de ce qu’on a mentionné tout à l’heure, le robot.txt, qui est un petit fichier qu’on met sur son site pour dire ce qu’on a le droit d’indexer ou pas. C’est donc une norme qui est très vieille, je pense qu’elle a au moins 20 ans, qui est celle qu’on utilise aujourd’hui dans le cadre de l’IA.

Emmanuel Charpentier : Tu veux dire qu’on aimerait bien faire utiliser dans le cadre de l’IA !

Benjamin Bellamy : Justement parce qu’énormément de ces moteurs de scraping se font passer pour des internautes pour ne pas être bloqués. Si on arrive sur un site en disant « salut, je suis un moteur d’IA et je vais faire n’importe quoi », on peut deviner que le serveur va bloquer assez rapidement. Ils se font donc passer pour des utilisateurs classiques, du coup, mesurer le nombre de ces robots, ça peut être compliqué. On a une petite idée, surtout quand on voit des grosses différences de trafic d’un jour à l’autre ou qu’on voit un utilisateur qui télécharge l’intégralité des pages.

Emmanuel Charpentier : Je crois qu’il y a aussi les origines : quand on voit que c’est un site qui vient du Brésil pour indexer tout un site web en France et qu’il le fait plusieurs fois, on commence à se douter qu’il y a un problème.

Benjamin Bellamy : On peut se douter.

Florence Chabanois : Ça a toujours existé, mais maintenant, avec l’IA, c’est encore plus facile de créer des robots pour aller scraper Internet. C’est aussi pour cela qu’il y en a de plus en plus.

Étienne Gonnu : On va faire une pause.
Nous sommes arrivés assez vite sur ce sujet, presque tout d’un coup. En fait, il y a un vrai lien avec le sujet de départ, ce contexte de tensions géopolitiques. On a une situation qui est extrêmement compliquée ; des outils comme le RGPD pourraient essayer de limiter un peu ces effets de consommation, ces effets de tension sur les réseaux, etc. On voit à quel point le fait qu’il y ait une tension entre deux gros piliers, on va dire, l’Union européenne et les États-Unis qui, du coup, ne sont pas du tout capables de travailler en intelligence sur ces sujets-là, on peut voir et se dire que ça a un impact assez considérable sur nos capacités collectives à essayer d’intégrer et de gérer ces situations. En plus, ce sont même des éléments qui font partie de la guerre économique, puisque c’est le terme consacré.

Benjamin Bellamy : Il ne faut pas oublier la Chine. On se retrouve, même géographiquement, vraiment pris en sandwich entre les deux. Donc, s’il y a une troisième voie à construire, c’est ici qu’il faut le faire.

Étienne Gonnu : Je vous propose de faire une pause musicale et après nous continuerons nos échanges, il y a encore beaucoup à dire et pas énormément de temps, mais on va y arriver.
Nous allons écouter Revel par Shelby Merry. On se retrouve juste après. Belle journée à l’écoute de Cause Commune, la voix des possibles.

Pause musicale : Revel par Shelby Merry.

Voix off : Cause Commune, 93.1.

Étienne Gonnu : Nous venons d’écouter Revel par Shelby Merry, disponible sous licence libre Creative Commons Partage dans les mêmes conditions, CC By SA.

[Jingle]

Étienne Gonnu : Je suis Étienne Gonnu de l’April et nous discutons avec Florence Chabanois, Benjamin Bellamy et Echarp des actualités du logiciel libre et des libertés informatiques dans Au café libre.
N’hésitez pas à participer à notre conversation au 09 72 51 55 46 ou sur le salon web dédié à l’émission, sur le site causecommune.fm, bouton « chat ».

Avant la pause, nous étions en train de parler des tensions géopolitiques entre États-Unis sous la présidence de Donald Trump et l’Union européenne et puis des impacts sur les sujets numériques au sens large, on va dire. On a notamment parlé du RGPD, de ces grands outils, ces grandes législations européennes qui sont, je pense, un point important dans les tensions, dans cette guerre économique, c’est le terme consacré.

La Commission européenne inflige d’importantes amendes à Meta et Apple, les premières dans le cadre du règlement visant à limiter le pouvoir des géants du numérique

Étienne Gonnu : Florence, tu as mentionné une amende récente. Cette amende est intéressante, c’est la première qui ait été prise sous sur la base du Digital Services Act, un grand règlement européen qui sert à lutter contre les contenus illicites sur les plateformes, qui a été voté avec le Digital Markets Act, qui est plus une réglementation sur les plateformes, qui est en vigueur depuis février 2024. Donc deux réglementations très récentes mais assez ambitieuses dans leur portée et qui sont aussi un point important dans la diplomatie, dans la géopolitique actuelle. C’est donc sur cette base-là qu’Apple s’est vu infliger 500 millions d’euros d’amende pour les clauses abusives dans ses boutiques applicatives et puis Meta devait payer 200 millions d’euros pour avoir enfreint des règles concernant l’usage des données personnelles. Des gros montants dans l’absolu, mais, en fait, assez faibles par rapport aux chiffres d’affaires de ces entreprises, notamment si on considère le niveau d’évitement fiscal qu’elles opèrent.

La base de données de vulnérabilités CVE a failli perdre son financement américain

Étienne Gonnu : À moins que vous ayez envie de dire un mot sur ces amendes en particulier, un autre sujet intéressant sur l’impact de cette situation concerne la cybersécurité. Un article que Florence a partagé. Tu vas pouvoir nous en donner les détails.
CVE [Common Vulnerabilities and Exposure], un acteur vraiment important de la cybersécurité, a failli perdre son financement et cela aurait pu avoir des impacts importants en termes de cybersécurité globale.

Florence Chabanois : Complètement. La CVE n’est pas quelque chose de très connu auprès du grand public, mais c’est quelque chose qui touche tout le monde parce qu’elle recense toutes les vulnérabilités de sécurité en termes de systèmes informatiques. Du coup, c’est ce qui fait référence et qui est normatif, dans le sens où quand la CVE dit qu’il y a telle faille de sécurité dans tel logiciel open source, ou des choses comme ça, tous les systèmes informatiques des entreprises se fient à cet organisme pour mettre à jour, ou pas, le patch, pour faire en sorte que l’on n’ait pas de soucis, qu’on ne soit pas vulnérables.
La CVE est financée essentiellement, ou exclusivement, je ne sais pas, en tout cas de façon assez importante par l’Agence de cybersécurité américaine, le CISA, qui, jusqu’au dernier moment, n’a pas renouvelé son contrat, a fini par le faire mais vraiment à J-1 ou J-2. Du coup, la MITRE, l’organisation qui gère la CVE, a failli se retrouver sans sous.
C’est super grave parce que c’est quelque chose de communautaire qui fait que si on n’a pas ce type de référence, honnêtement c’est la jungle. On ne parle plus le même langage, on n’a pas d’alerte commune.
Un des premiers effets de l’administration américaine, par rapport à ça, la bonne nouvelle c’est qu’une fondation a été créée en urgence pour palier à ça et préparer l’avenir. À voir si ça va être suffisant, ou pas, pour pouvoir recueillir d’autres fonds.
En même temps on a déjà des impacts de l’administration dans la mesure où presque 500 employés de la MITRE, donc l’ONG qui gère ça, ont été licenciés suite à l’arrêt des contrats par le DOGE [Department of Government Efficiency], ce qui correspondait à 28 millions de dollars de budget.

Étienne Gonnu : Je ne sais pas si le DOGE est une agence gouvernementale, en tout cas c’est une sorte de mission gouvernementale conduite par Elon Musk pour faire des coupes budgétaires drastiques et complètement aléatoires, ou presque, on a cette l’impression, en tout cas très importantes, ce qui a des impacts très sévères sur un niveau international.

Florence Chabanois : Pour tout ce qui ne paraît pas important. De toute façon, sa mission c’est de réduire les coûts, donc, si on regarde tout le monde, ça marche. Après, il s’agit d’arbitrer sur ce qui a de l’intérêt ou pas, et, pour lui, cela. Encore une fois, je suis très étonnée, il ne comprend vraiment rien, mais c’est mon avis ! Pour un mec qui travaille dans la tech, supprimer ça ! En fait, c’est quand même intelligent parce que, du coup, ça met un peu plus en péril les entreprises qui n’ont pas les moyens de se protéger.

Étienne Gonnu : Par rapport à quel objectif ? Son objectif n’est pas forcément celui de l’intérêt général !

Florence Chabanois : Effectivement. Ça dépend comment on pense.

Étienne Gonnu : J’ai vu, c’est un aparté, un article intéressant qui n’était pas réjouissant en tant que tel, qui comparait ce qu’avait fait le DOGE – ils allaient dans les administrations, ils pillaient les données, ils faisaient un peu n’importe quoi – à une forme d’attaque informatique interne, la pire de l’histoire. Ils ont ouvert toutes les portes, ils ont tout saccagé, ils n’ont pas du tout respecté les règles très strictes, pour de bonnes raisons, qui s’appliquent à la cybersécurité, que je ne connais pas du tout, mais bon, et avec des impacts. C’est assez affligeant et consternant.

Florence Chabanois : En tout cas, c’est dramatique. Si la CVE n’a plus les moyens, ça veut dire que chaque pays gère son propre référentiel et va se retrouver tout seul. C’est vraiment renoncer. On parlait d’utilité publique tout à l’heure, ça rentre complètement dans ce type de mission.

Emmanuel Charpentier : J’aime bien partir en diagonale et j’aurais tendance à me poser la question : la CVE donne peut-être trop de pouvoir, en termes d’organisation, au système américain. La NSA et les différentes organisations américaines de sécurité et d’intelligence aiment bien héberger ce genre d’organisme en général ; elles aiment bien avoir les bugs et les remontées de failles en premier ; elles sont très contentes, elles sont très friandes d’avoir ce genre d’outil parce qu’en plus, quand on remonte une faille plus ou moins importante, il y a généralement une période de blocus où on ne la révèle pas à tout le monde parce qu’on veut d’abord répandre un petit peu l’antivirus, répandre les défenses avant que l’attaque soit connue de tous. Or la NSA, la National Security Agency, qui est un employeur de mathématiciens et d’informaticiens par grand nombre qui ont, en théorie, accès à ces failles en premier et on peut supposer qu’ils peuvent en faire un usage pour différentes raisons. Quand on était leurs alliés objectifs ou leurs vassaux, à voir, peut-être que dans une certaine mesure ça nous arrangeait, mais, aujourd’hui, on se rend effectivement compte que ça peut nous retomber dessus. On ne sait pas ce qui peut se passer avec l’Ukraine, ce qui peut se passer avec l’armée française. En théorie, ils ont accès à toutes les failles avant que nous les connaissions.

Florence Chabanois : Bonne remarque.

Étienne Gonnu : Je vous propose de passer au sujet suivant.

[Clochette]

Le Signalgate offre une visibilité mondiale au logiciel libre de messagerie

Étienne Gonnu : En réalité, on ne change pas tant de sujet que ça, il va toujours être question des enjeux de cybersécurité avec ce qui a été baptisé l’affaire du Signalgate. Cette affaire est à la fois drôle et inquiétante.
Signal est un logiciel libre de messagerie sécurisée, sécurisée parce qu’il chiffre les conversations de bout en bout, c’est-à-dire, en gros, que vous pouvez lire sur votre téléphone, la communication va voyager à travers le réseau, mais elle ne pourra pas être lue parce qu’elle est sous cadenas. Quand elle va arriver chez votre interlocuteur ou interlocutrice, cette personne sera en mesure de déchiffrer, de lire ce message. C’est une pratique de sécurité très importante.
Gate, parce que, aux États-Unis, quand il y a un problème, on met derrière, on peut penser, bien sûr, au Watergate.
En résumé, un journaliste de The Atlantic, un journal américain, Jeffrey Goldberg, a été invité par erreur sur un groupe de conversation Signal où des membres du gouvernement américain échangeaient, notamment le secrétaire de la Défense, Pete Hegseth, et, sans que cette présence d’un journaliste ou d’une personne qu’ils ne connaissaient pas semble déranger, ils ont partagé des informations détaillées sur une opération en cours, une opération de bombardements au Yémen. C’est sorti, parce que ce journaliste a fait son travail de journaliste, il ne s’est pas privé de partager cette information, et ça a fait pas mal de bruit.
Comment réagissez-vous quand vous entendez cela ?

Emmanuel Charpentier : C’est d’un amateurisme abouti, qui va très loin. Sachant, en plus, qu’on a découvert qu’il avait d’autres flux Signal où il se vantait auprès de sa famille de ce qu’il était en train de faire, il était en train de montrer un petit peu en utilisant les outils numériques

Étienne Gonnu : Pete Hegseth, le ministre de la Défense.

Emmanuel Charpentier : Voilà, l’équivalent. Le gars ne comprend rien à rien, il ne connaît pas les bases des pratiques de sécurité. Normalement, ce genre de discussion ne doit même pas se faire sur des systèmes connectés à Internet, ça doit se faire sur des lignes spécialisées, dans des circuits spécialisés, à part, air gap, on dit qu’il y a de l’air entre Internet et ce genre de réseau sécurisé. Et là, que n’importe qui puisse se connecter avec son téléphone portable, y compris avec un des intervenants qui était basé en Russie au moment où il lisait le flux, c’est choquant. Sans oublier qu’on suppose que la Russie a des moyens d’attaquer Signal, qui n’est pas parfait non plus, qui a des difficultés à différents points de son cheminement, notamment les serveurs ne sont pas tout à fait libres, il y a des problématiques, c’est pour ça qu’on n’utilise pas beaucoup Signal à l’April, on préfère d’autres protocoles. Là, les gars ont été vraiment très mauvais et ils ont de la chance que ça ne se révèle que sous cette forme-là, c’est-à-dire un petit scandale dans le milieu médiatique, quelque chose qui montre leurs mauvaises pratiques, parce que ça pourrait vraiment déboucher sur des morts ou des graves problèmes vraiment en profondeur pour les États-Unis.

Étienne Gonnu : Ce n’est pas juste comique, ça peut avoir des impacts. Après, ce sont des militaires et ça fait partie, mais il y a des gens. Ce qui a fait du bruit aux États-Unis c’est qu’on ne plaisante pas avec la vie des militaires et finalement ces personnes dans les avions, qui étaient en train de bombarder…

Emmanuel Charpentier : C’est compliqué !

Étienne Gonnu : Oui. Elles ont été mises en danger par cet amateurisme-là et on ne plaisante pas avec ça aux États-Unis.

Benjamin Bellamy : Ils auraient pu, parce que le journaliste a quand même attendu la fin des opérations avant de révéler. Je pense qu’au départ il ne croyait même pas ce qu’il était en train de lire.

Emmanuel Charpentier : Oui il a vérifié !

Benjamin Bellamy : Il a attendu d’avoir confirmation que ce qui se racontait dans cette boucle, dans ce groupe Signal, était réel et puis, je pense, effectivement pour ne pas mettre en danger la vie des soldats américains et puis, probablement aussi, pour éviter des poursuites judiciaires derrière qui auraient probablement été un peu violentes s’il avait révélé ça avant.

Emmanuel Charpentier : Sachant que les responsables américains ont dit « mais non, ce n’était pas sous le secret défense, il n’y avait pas de problème, on pouvait dire ce qu’on voulait sur Internet. » Le journaliste avait attendu, il n’avait pas encore révélé tout le contenu, et c’est quand les responsables ont dit que ce n’était pas couvert par le secret défense, qu’il a entendu, qu’il a dit « d’accord, dans ce cas-là pas de problème, je peux le révéler à tous. » Et là on s’est rendu compte que, bien sûr, ça aurait dû être couvert par le secret défense, c’était des plans d’attaque avec des horaires précis, des zones précises, c’était complètement dans l’optique militaire. Là, ils se sont planté sur toute la ligne, on peut le dire !

Florence Chabanois : La plupart des failles de sécurité c’est ça, ce sont, en réalité, des erreurs humaines. Je pense que là où le traitement est quand même assez minable, c’est plus la Défense, le Pentagone qui envoie un mémo en disant que c’est lié à un défaut de sécurité de Signal, c’est quand même assez petit, ça fait très cour de récréation, pour le coup.

Benjamin Bellamy : Sachant, en plus, qu’il utilise son téléphone personnel !

Florence Chabanois : Oui, on ne l’a pas dit.

Benjamin Bellamy : C’est Idiocraty. Là, on est vraiment dans l’idiocratie !

Étienne Gonnu : S’il y a des gens qui se demandent, je pense qu’il faut retenir que Signal est un très bon outil. Si vous utilisez WhatsApp, par exemple, qui est une solution propriétaire, on vous invite plutôt à utiliser Signal. Il y a d’autres protocoles XMPP, etc., mais c’est vrai que Signal a une facilité d’utilisation, c’est donc une très bonne alternative, on va parler d’alternatives juste après. C’est très bien pour chiffrer les communications entre vous, pour organiser un repas familial, etc. Pour organiser des opérations militaires classées défense, non ! Il y a des questions. Les bons outils ne sont pas bons pour tout. Si vous hésitez à utiliser Signal, il ne faut pas que ça vous vous disiez que ce n’est pas assez sécurisé, c’est tout à fait sécurisé pour la plupart des usages, pas pour ceux-là.

Benjamin Bellamy : Comme on l’a dit tout à l’heure, la problématique qu’on peut voir dans Signal, parce qu’on est un peu des jusqu’au-boutistes, il faut se l’avouer, c’est que le serveur c’est le serveur de Signal. On peut pas s’installer son propre serveur Signal pour être complètement souverain et s’auto-héberger, même si on a le code source de l’application, si on veut on peut la recompiler, ce que personne ne fait, ce qui est aussi un problème. Souvent on va sur le Play Store de son fabricant de téléphone et on télécharge l’application sans vérifier ce qu’il y a dedans, en tout cas on pourrait la recompiler et se l’installer si on le voulait. Par contre, même si le serveur n’est pas censé voir les messages puisque c’est chiffré de bout en bout, on ne le maîtrise pas. Et puis ça pose des problèmes économiques : il faut payer ces serveurs et c’est la société Signal, qui édite le logiciel, qui paye ces serveurs, du coup elle fait des appels réguliers aux dons parce qu’elle a pas de business modèle. Elle ne fait pas comme WhatsApp, Facebook et Meta : regarder ce qu’on fait, monétiser nos données et nos profils. Le modèle économique se cherche encore.

Étienne Gonnu : Un dernier mot.

Emmanuel Charpentier : On peut supposer qu’ils ont des métadonnées, qu’ils savent qui discute avec qui, même s’ils ne connaissent pas le fond du message ; c’est comme les enveloppes à la poste, ils peuvent peut-être déduire qui a envoyé à qui, ce qui a déjà de la valeur en soi.

Benjamin Bellamy : Énormément !

[Clochette]

Quitter les GAFAM en 2025, c’est possible : voici les meilleures alternatives

Étienne Gonnu : Avançons. Il reste très peu de temps.
En ce moment, beaucoup d’articles et on comprend pourquoi, proposent tout un tas d’alternatives aux outils des GAFAM, par exemple un article de Les Numériques, des outils libres ou pas libres. Bien sûr nous vous invitons, pour tout un tas de raisons qu’on a déjà évoquées ici, à utiliser, à préférer les outils libres
Essayez de répondre rapidement, je vous fais confiance : avez-vous un outil, une alternative libre que vous recommandez généralement autour de vous, à laquelle vous pensez ? Si vous n’en avez pas en tête, ce n’est pas grave, on avance. Et est-ce que vous trouvez que c’est un moment propice ? On en a déjà un petit peu parlé, dans ce chaos actuel, on peut parfois faire émerger des choses. Est-ce que c’est un moment propice pour inciter les gens à migrer vers des outils libres ? Une minute chacun, c’est un défi que je vous lance.

Florence Chabanois : D’accord. Firefox, un navigateur web, est mon outil préféré, je pense depuis 20 ans.
Par rapport à ce que tu disais, Emmanuel, sur l’alternative à WhatsApp, ça m’intéresse parce que je n’arrive à faire bouger personne. On a parlé de Signal mais c’est américain. Il y a d’autres alternatives, mais il faut vraiment qu’en termes d’UI, Interface Utilisateur, ça passe ; c’est plus une question qu’un conseil.
Le plugin Firefox, l’extension Firefox que j’utilise, c’est Go European, ou le site european-alternatives.eu ou Framasoft pour chercher des alternatives aux outils américains ou non libres que j’utilise jusqu’ici.

Étienne Gonnu : Je te demanderai la référence qu’on partagera sur la page de l’émission pour les personnes que ça intéresse.
Benjamin, un mot ou on avance. On peut avancer pour parler du cas Ubisoft en une minute aussi.

Benjamin Bellamy : Je voulais juste inciter tout le monde à utiliser Ubuntu parce que c’est génial et c’est plus facile à utiliser que macOS et Windows.

Étienne Gonnu : Ubuntu ou Debian, en tout cas utiliser les systèmes d’exploitation libres, qui sont maintenant tout à fait accessibles, les interfaces graphiques ont effectivement beaucoup évolué.

Benjamin Bellamy : Qui sont plus accessibles ! Il faut arrêter de dire que c’est un truc de geeks ou de barbus, c’est plus accessible, c’est plus facile, c’est moins cher et ça permet de faire fonctionner des ordinateurs plus vieux.

Étienne Gonnu : Tu as tout à fait raison. Très bon choix.

[Sonnette]

L’association NOYB porte plainte contre Ubisoft pour violation du RGPD

Étienne Gonnu : La sonnette fonctionne. On a parlé du RGPD, le Règlement général sur la protection des données. On va rester en France cette fois-ci. C’est une société certes internationale, mais une société française d’édition de jeux vidéo, Ubisoft, qui est dans le viseur de l’association NOYB, une association très importante de protection des données personnelles et de la vie privée. Elle est donc dans son viseur pour son appétit vorace des données des utilisateurs et des utilisatrices.

Benjamin Bellamy : NOYB veut dire None Of Your Business, ce qui veut dire « ce n’est pas vos affaires ». Ils reprochent à Ubisoft d’obliger les utilisateurs à se créer un compte en ligne même si le jeu ne se joue pas en ligne, donc même si on joue tout seul, chez soi, on est obligé de se créer un compte et, à priori, ils récupèrent pas mal de données personnelles pour des motifs probablement inavouables et c’est un vrai problème.
Je suis plutôt content que None Of Your Business s’empare de ce sujet-là parce que le nombre de fois où on veut utiliser un jeu ou autre chose, qu’on est obligé de se créer un compte, qu’on est obligé d’être connecté à Internet, que ce soit pour des questions écologiques, pour des questions de coût, pour des questions d’UI, d’interface utilisateur, ça me rend dingue. Pas plus tard que cette semaine, j’ai reçu un mail de Google qui me disait que mon thermostat Nest, qui date de 2014, peut-être même plus, n’est plus supporté et que plein de fonctionnalités vont sauter.

Emmanuel Charpentier : Obsolescence et là elle est vraiment pratique : l’entreprise qui gère ton produit peut mettre la clé sous la porte ou décider que le produit ne lui plaît plus, pour une résolution x ou y, et tu te retrouves avec un bout de métal sur les bras qui ne sert plus à rien.

Benjamin Bellamy : Et l’appareil fonctionne encore très bien, il n’est pas usé, il n’est pas cassé, il est tout à fait fonctionnel. Ça fait effectivement plus de dix ans que je m’en sers. Il va encore fonctionner, je vais pouvoir régler la température, mais toutes les fonctionnalités, par exemple la détection de présence qui fait que si je m’absente plus de 24 heures, il coupe le chauffage, ne marcheront plus.

Étienne Gonnu : On a fait un pas de côté, mais qui est intéressant, qui est bon à rappeler.

Benjamin Bellamy : Pas tant de côté de ça : est-on vraiment obligé de créer un compte pour accéder à un service ?

Emmanuel Charpentier : Pour le coup, le jeu que tu as peut-être acheté à une époque et pour lequel tu as créé ton compte, si l’entreprise met la clé sous la porte, ce jeu ne sera plus accessible en théorie.

Benjamin Bellamy : Nintendo a beaucoup fait ça. J’ai une Wii qui est assez vieille, et on ne peut plus jouer à des jeux alors que j’ai le CD ! Le jeu devrait être jouable, il n’y a aucune raison qu’il ne le soit plus, mais il ne l’est plus parce qu’ils ont coupé les serveurs.

Emmanuel Charpentier : Une stratégie de fin du monde comme une autre, après tout !

Étienne Gonnu : À l’April, on lutte depuis très longtemps contre ce qu’on appelle les DRM, les mesures de restrictions d’usage qui vous empêchent d’utiliser vos propres produits comme bon vous semble. Vous l’avez acheté, mais, en fait, ce n’est pas vraiment le vôtre. Donc lutte pour le respect de nos données personnelles, lutte contre les DRM, les restrictions d’usage injustes, un petit peu même combat. Il y a une forme d’intersection de ces enjeux.

Benjamin Bellamy : Et on voit que tout est lié, parce que si on a le code source, si le logiciel est libre, il ne peut pas y avoir d’attaque au RGPD, déjà c’est visible et on peut choisir de faire autrement, du coup.

Étienne Gonnu : On arrive vraiment à la fin, il est 16 heures 47.
Je ne vais pas du tout entrer dans les détails, mais si vous avez suivi notre action sur les logiciels de caisse, il y a eu une mise à jour de la doctrine fiscale, l’April s’était impliquée là-dedans, sachez qu’il y a un délai d’application jusqu’au 1^er mars 2026 pour se faire certifier et à partir du 1^er septembre il faudra montrer les démarches de certification. C’est un peu cryptique si vous n’avez pas suivi le sujet. Si le sujet vous intéresse, tout sera référencé sur la page de l’émission, je n’ai pas le temps de rentrer dans plus de détails que ça.
Florence, Echarp, Benjamin, merci beaucoup d’avoir partagé ce moment Au café libre avec moi. Je vous souhaite une très bonne fin de journée et un bel été, le temps s’y prête, en tout cas il fait beau.
Nous allons à présent faire une pause musicale.

[Virgule musicale]

Étienne Gonnu : Après la pause musicale, nous entendrons une nouvelle Pituite de Luk.
Avant cela nous allons écouter C.R.È.M.E par Alaclair Ensemble. On se retrouve juste après. Belle journée à l’écoute de Cause Commune, la voix des possibles.

Pause musicale : C.R.È.M.E par Alaclair Ensemble.

Voix off : Cause Commune, 93.1.

Étienne Gonnu : Nous venons d’écouter un extrait de C.R.È.M.E par Alaclair Ensemble, que la régie a baissé un peu en avance pour qu’on puisse finir tranquillement l’émission. Ce morceau est disponible sous licence libre Creative Commons Partage dans les mêmes conditions, CC By SA.

[Jingle]

Étienne Gonnu : Nous allons passer à notre dernier sujet.

[Virgule musicale]