Luc : Décryptualité. Semaine 9. Salut Manu.
Manu : Salut Luc.
Luc : Au sommaire, directement.
Manu : Oui. Quatre petits articles, pas beaucoup de volume cette semaine.
Luc : Silicon, « Open source d’entreprise : d’abord une affaire d’infrastructure ? », un article de Clément Bohic.
Manu : Sachant qu’il y a d’autres sujets de la semaine qui ont été remontés sur les entreprises qui s’intéressent toujours au logiciel libre ; ça reste pas mal. Il y a notamment Red Hat et IBM qui sont sur les starting-blocks sur le sujet, qui essayent de pousser, qui montrent que oui, dans les entreprises c’est bien d’utiliser ça, c’est bien pour vos infrastructures. Il y a bien de bonnes qualités, c’est très positif. On aime bien malgré le fait que ce n’est pas forcément dénué d’intérêt derrière.
Luc : Et puis ça ne sert pas nécessairement la liberté des utilisateurs finaux.
Manu : Non, effectivement.
Luc : Acteurs Publics, « Pas de révolution pour le numérique public, mais une volonté d’accélération d’ici 2022 », un article d’Émile Marzolf.
Manu : C’est la ministre de la Transformation et de la Fonction publiques [Amélie de Montchalin], transformation, je ne sais pas ce qu’elle veut transformer exactement, en tout cas il y a des choses qui évoluent. Les administrations françaises utilisent beaucoup de logiciels libres, font aussi de l’open data, mais il faut continuer. Il y a encore des évolutions, toujours des évolutions. À partir de Microsoft, notamment, et des logiciels privateurs, ça ne va pas être facile.
Luc : LeMagIT, « Changement de licence open source : comment s’en prémunir », un article de Gaétan Raoul.
Manu : Je ne sais pas si on peut vraiment s’en prémunir. Oui, des logiciels libres peuvent arrêter d’être libres du jour au lendemain si leur auteur le décide. En tout cas les nouvelles versions ne seront plus libres.
Luc : C’était sorti sous licence libre et ce n’est plus sous licence libre
Manu : Exactement. On peut toujours se reporter à ça. Il faut avoir gardé le code source de la dernière version publiée, autant que possible. Il y a plein d’endroits sur Internet où on peut retrouver ces choses-là et faire un fork. On « fourchette » un logiciel libre et on fait sa propre version.
Luc : On en a parlé il n’y a pas très longtemps.
Manu : Avec ElasticSearch et MongoDB qui avaient fait ça, à l’encontre d’Amazon.
Luc : Oui, malheureusement, le fork vient d’Amazon qui fait ça dans son coin, ce qui pose des questions sur la gouvernance. C’était le sujet d’il y a quinze jours, on ne va pas revenir dessus.
l’Humanité.fr, « Sécurité. Les cyberattaques, une menace tout sauf virtuelle », un article de Pierric Marissal.
Manu : Qui est un gros article, il y a plein de citations et de références à différentes personnes dont François.
Luc : François Poulain, un des administrateurs de l’April.
Manu : Ça parle de sécurité. Ce n’est pas un nouveau sujet. On a parlé de ça il n’y a pas si longtemps.
Luc : Effectivement. On parlait notamment des attaques sur des hôpitaux.
Manu : Avec des rançongiciels.
Luc : Voilà, il en est question dans l’article. Depuis il s’est passé encore d’autres choses dans le domaine de la sécurité, puisque la solution de mail de Microsoft, qui s’appelle Exchange, s’est fait pirater à priori par des Chinois, en tout cas c’est ce que dit le gouvernement américain. Très officiellement les États-Unis accusent un groupe chinois proche du gouvernement d’avoir piraté la solution pour pouvoir espionner tous les gens qui utilisent Exchange et il y a pas de boîtes qui utilisent ça.
Manu : Je sais que tu as ricané quand tu as appris la nouvelle. Oui Monsieur, ce n’est pas gentil de ta part !
Luc : Ce n’est pas mon genre !
Manu : Parce que c’est un logiciel privateur bien centralisé, qui est utilisé dans plein d’entreprises et d’administrations dans le monde entier. Tout de suite c’est une sorte de faille béante dans laquelle se ruent les hackers chinois qui veulent des informations, qui veulent rançonner ou simplement creuser un petit peu sur ce qui se passe chez leurs ennemis potentiels.
Luc : L’article de L’Humanité n’en parle pas. C’est un dossier qui avait été fait, mais il y a plein de choses hyper-intéressantes dans cet article, notamment des références à l’aviation.
Manu : Ah !
Luc : Du coup, ça nous a donné quelques idées. On s’est dit qu’on pouvait peut-être faire des liens en allant sur des terrains qui sont un peu loin du logiciel libre. Pour l’aviation, par exemple, ils disent qu’aux États-Unis il y a des études qui estiment que 40 % des composants informatiques utilisés dans l’aviation étaient corrompus d’une façon ou d’une autre.
Manu : Ou corruptibles, parce que ça reste des choses un peu compliquées et floues et ça empire. Nous, en Europe, on est probablement encore plus touchés par ce genre de problématique. Les Américains sont des amis, certes, mais des amis qui, notamment en théorie, peuvent tout à fait utiliser leurs chaînes d’approvisionnement pour nous espionner.
Luc : Pas en théorie !
Manu : Tu es négatif ! Tu es dur ! Que veux-tu dire ?
Luc : C’est prouvé !
Manu : Les Allemands se seraient fait espionner par les Américains. C’est possible ?
Luc : PRISM [1] ce n’est pas de la théorie, c’est de la pratique. Ils le font.
Luc : Et on a vu des choses hyper-sophistiquées se faire. On suppose que Stuxnet [2] a été fabriqué par les Américains et les Israéliens en commun.
Luc : Une première grosse affaire de piratage.
Manu : Honnêtement de cyberguerre dans ce domaine-là.
Luc : De cyberguerre dont on a entendu parler, il y en a peut-être eu plein d’autres, qui était très sophistiquée.
Manu : Qui attaquait le nucléaire iranien.
Luc : Des choses très intéressantes sont dites dans l’article : les attaques informatiques c’est inévitable, il y a de la mafia qui est là pour gagner de l’argent d’une façon ou d’une autre. Les malades et les gens qui bossent dans les hôpitaux en ont fait les frais, malheureusement. On le voit avec cette attaque de la Chine, mais les Russes sont également très fort là-dedans, il y a des vraies activités de déstabilisation, de cyberguerre.
Manu : De pénétration des systèmes. Il y a en eu contre SolarWinds [3] aux États-Unis, dont on a parlé.
Luc : Il souligne la nécessité d’être autonome.
Par rapport à l’aviation, ce à quoi nous pensions c’est que dans un domaine totalement différent, pas tant que ça finalement, il y a une nouvelle qui nous a intéressés qui est le F-35. Manu, c’est quoi le F-35 ?
Manu : F-35. Freedom Spotify du 35e siècle. Je ne sais pas ! Non ?
Luc : Absolument pas. C’est un avion militaire [4], américain, qui est en projet depuis très longtemps.
Manu : Quasiment une trentaine d’années.
Luc : Qui se distingue pour être le projet le plus cher de toute l’histoire de l’humanité. On n’a jamais rien fait d’aussi cher.
Manu : C’est de l’ordre du trilliard de dollars sur des années et des années.
Luc : Effectivement. Le projet initial c’était de dire que tous les alliés des États-Unis vont s’entendre pour acheter un avion et, en fait, en en produisant un grand nombre, ça baissera les coûts et tout le monde pourra avoir un avion performant, pas cher. L’idée était quand même d’avoir un avion léger, qui soit un peu l’avion qu’on produise en grand nombre, qui soit le plus répandu.
On passe les détails. Ça a dérivé, dérivé, les coûts ont explosés, des gens ont dit que l’avion marche très mal, il est à priori très compliqué, sophistiqué mais compliqué, et récemment un haut responsable de l’armée de l’air américaine a déclaré qu’en fait cet avion est en échec, non pas qu’il soit techniquement à la ramasse, bien que des gens le prétendent, mais qu’il devait être pas cher et, au final, il est cher.
Manu : Et il ne remplit pas le rôle prévu.
Luc : Voilà. Quel rapport avec le logiciel libre, va-t-on dire ? Il y a déjà cette idée d’avoir des gros projets, on en a parlé à l’occasion, dans l’informatique, d’avoir ces énormes projets bien lourds, avec des acteurs énormes qui sont super bourrins et on va mettre des dizaines de millions, des centaines de millions sur la table pour faire avancer des trucs qui n’avancent pas, coûtent une fortune, sont extrêmement difficiles à piloter. Là où dans le Libre, en général, on va plutôt favoriser du partage de code et des plus petites unités qui vont être dans l’innovation, etc.
Manu : Moi je les mettrais en opposition classique, dire qu’un c’est du top-down, de haut en bas, alors que l’autre c’est plutôt du bottom-up, de bas en haut. Effectivement, faire des petites choses, des petits projets qu’on rassemble ensuite derrière, certes il va y avoir plein d’échecs, il ne faut pas rêver, il y a beaucoup de choses à jeter, mais on peut reconstruire quelque chose plus facilement que quand on part d’en haut. Si on s’est trompé, si on a travaillé par comités, si on a travaillé avec, peut-être pas du sabotage, mais des gens qui se tirent dans les pattes régulièrement pour différentes raisons, on tire la couverture à soi ou on veut tous les honneurs, ça marche mal.
Luc : Un des trucs critiqués avec le programme du F-35, avec le Pentagone en général, c’est le pantouflage que j’aime bien critiquer en France, mais ce n’est pas une spécialité de chez nous. Aux États-Unis, les budgets du Pentagone sont colossaux, énormes. Il y a des quantités monstrueuses de thune qui sont là-dedans et, pour ce projet F-35, une des choses qui a été pointée par les gens qui le critiquent, c’était de dire que les responsables des administrations américaines, qui devaient piloter le projet et être du côté du donneur d’ordres, ont eu la flacheuse tendance à aller faire carrière chez le constructeur, juste après. En gros, personne ne voulait se fâcher. Il y en a un qui a mis un coup de pied dans la fourmilière, mais il était à deux doigts de la retraite, à priori c’était celui qui n’avait pas d’avenir chez le constructeur.
On voit donc comment cette espèce d’énorme machin est finalement complètement sorti des rails. Si on met de côté les problèmes techniques ou ses insuffisances potentielles – c’est dur de savoir, de toute façon il y a tellement d’enjeux et c’est tellement secret que c’est difficile –, mais on voit comment, au final, on arrive à corrompre et à se perdre de vue.
Ça fait penser, côté logiciel, à Louvois [Logiciel unique à vocation interarmées de la solde] qu’on aime citer comme exemple, qui était le système de paye de l’armée française, où pareil, je crois qu’il y a à près de 100 millions qui ont été balancés pour un résultat nul, tout a été jeté à la fin.
Manu : On n’est pas au même niveau de perte financière, mais effectivement ça reste des gros trucs pharaoniques. Dans l’article c’est un petit peu abordé. J’aime beaucoup cet aspect-là c’est que quand on est dans des choses hyper-lourdes, hyper-complexes les acteurs du système eux-mêmes s’y perdent. Les utilisateurs du système ne peuvent pas naviguer à l’intérieur, ils ne savent pas comment ça marche et finalement les attaquants éventuels, eux, ont plus de facilités à aller cartographier ce qui s’y passe et en retirer une connaissance qui va dépasser celle des acteurs du système.
Luc : Une des critiques apportée à cet avion c’est qu’il ne communique qu’avec lui-même, or il est censé opérer au sein de l’Otan. C’est aussi une chose qui est citée dans l’article comme exemple. L’exemple militaire est intéressant : par rapport aux communications, dans les exercices, les systèmes sont faits de telle façon que, pour l’exercice, une armée d’un pays de l’Otan pourra donner des ordres à une autre unité, par exemple de l’artillerie, juste pour la durée de l’exercice. Pourtant on sait faire des systèmes interopérables, localement, plutôt que d’avoir une espèce de gros machin qui est complètement fermé et qui, du coup, devient vulnérable parce qu’il y a aura toujours des failles. Si tout le monde a exactement le même système qui marche tout pareil, le système peut s’effondrer très vite si on trouve une grosse faille.
Manu : Ce que je trouve intéressant c’est ce côté militaire, attaque-défense, et j’ai l’impression, largement, que dans la défense le partage est très utile : mettre en commun des choses, des connaissances, étudier les failles qui arrivent au fur et à mesure où elles arrivent pour essayer de les patcher, les corriger rapidement. Quand on met en commun, même si on peut rajouter des délais, on n’est pas obligé de publier une vulnérabilité tout de suite et il vaut mieux éviter, c’est un peu comme si on était tous dans un château-fort commun à tout le monde et on patche en même temps les portes, on s’assure en même temps que les douves soient profondes, on vérifie en même temps que les murs sont solides et on met vraiment en commun des compétences et des capacités. C’est quelque chose d’assez fort et qu’on peut retrouver dans la lutte anti-terroriste. Dans la lutte antiterroriste, il y a un avantage à ce que les différentes administrations qui combattent ce fléau mettent en commun des données.
Quand des administrations françaises vont, par exemple, travailler avec des allemandes, elles ont avantage à partager plutôt qu’à garder pour elles. Ce qui ne se fait pas du tout dans l’attaque. Quand on est dans l’attaque et l’agression, on veut des données précises qu’on va garder très secrètes parce que sinon quelqu’un d’autre va les exploiter et les corriger.
Luc : Là encore, il y a un exemple dans l’article qui cite des failles, ce qu’on appelle les failles zero-day, les failles que personne n’a connues.
Manu : Les vulnérabilités du jour zéro [5].
Luc : La NSA en avait sous le coude pour pouvoir espionner des tas de gens. Elles ont été exploitées un petit peu plus tard ; WannaCry [6], notamment, était une des attaques, une des grosses attaques informatiques de ces dernières années. Au lieu de se les garder sous le coude pour espionner les gens, si la NSA avait dit « attention, là il y a des vulnérabilités », on se serait épargné bien des misères.
On voit comment le secret, alors il en faut, nos données personnelles doivent être secrètes !
Manu : Le numéro de carte bancaire, les mots de passe sont secrets.
Luc : C’est ça. On voit comment sur certaines informations, sur cette question du partage, le secret est finalement plutôt le signe de l’hostilité et une forme de vulnérabilité.
Pour rester dans le domaine de l’aviation, il y a actuellement des discussions qui se mènent au niveau européen pour le futur avion de combat européen. La France, l’Allemagne et je crois également l’Espagne, peut-être l’Italie je ne sais plus, en tout cas la France et l’Allemagne étaient partenaires disant « c’est bon, on y va, on va faire cet avion — pour dans 20 ans — tous ensemble ». Actuellement c’est en train de se renégocier parce que l’Allemagne veut du transfert de technologie et Dassault, puisque c’est eux qui le font, disent « nous on ne transfère rien du tout, c’est notre technologie, on ne la partage pas. Si on la file aux Allemands – disent des gens – ils vont la filer aux Américains et on va se retrouver à poil, etc. »
Du coup on voit comment le manque de confiance au sein de cette communauté européenne et des constructeurs fait qu’ils n’arrivent pas, finalement, à partager ces informations-là. Si c’était une vraie communauté avec vraiment de la confiance, des gens qui ont envie de travailler ensemble et où on se dit qu’on fait réellement communauté, que oui, on partage avec ses pairs, eh bien on serait plus forts. Or on n’en est pas là, on est incapables de le faire.
Manu : Je pense que c’est cette dichotomie attaque-défense et là on est plus dans une optique d’attaque. On veut garder nos différences, nos particularités.
Luc : Les Allemands sont censés être nos alliés !
Manu : Oui, mais non, pas tant que ça en tout cas.
Effectivement, il faut éviter de partager, même avec nos alliés. C’est comme un secret, dès qu’on est deux, même un, c’est compliqué à garder. Donc ça va être compliqué de garder des secrets militaires dès qu’on les sort un petit peu de leur cadre initial et, même comme ça d’ailleurs, on sait que ça se répand à un moment donné. Non, il faut les garder. Par contre les mécanismes de défense, les informations de défense ont pertinence, au contraire, à être partagées, elles vont encore prendre de la valeur. Si on sait qu’il y a des réseaux d’intelligence qui essayent de pénétrer l’Europe, on peut donner l’information aux Américains. Si on sait qu’il y a des espions qui sont en train d’aller surveiller des bases ou quoi que ce soit, on peut essayer de le partager. Ça a fonctionné dans le passé, on sait que la France a transféré des informations aux Américains et que ça a été assez utile dans le combat de l’époque, ce qu’on appelle la guerre froide.
Luc : En tout cas, si on refait un parallèle avec le Libre, on a beaucoup parlé des licences. Il y a deux semaines on avait parlé de la gouvernance, notamment avec le long article qu’on a beaucoup critiqué, en tout cas il y avait plein d’éléments intéressants. Pour moi, on peut faire ce parallèle. Aujourd’hui on a cette volonté affichée de faire communauté au niveau européen et, manifestement, cette incapacité à le faire. Au-delà des licences, au-delà des principes, il y a quand même cette dimension humaine, cette question de la confiance sans laquelle il est difficile de travailler. Si on se dit que les gens avec qui on est en interaction sont constamment en train d’essayer de nous avoir, même avec des licences, même avec des choses comme ça, c’est difficile, on va essayer de garder des trucs pour soi, faire des petites clauses, faire des petits coups pourris. L’objectif est déjà suffisamment compliqué et, avec ce genre de priorité parasite, on arrive à des gros fails comme le F-35.
Manu : Il faut des licences libres. Voilà ! S’ils avaient mis le F-35 sous licence libre, je suis sûr qu’il n’y aurait pas ces problèmes.
Luc : En tout cas, je trouvais que c’était une bonne illustration de l’importance de la confiance et de la communauté si on veut avancer au-delà de la pure question juridique.
Manu : Je te fais confiance. Je te dis à la semaine prochaine Luc.
Luc : À la semaine prochaine.
Manu : Peut-être.
Luc : Peut-être, si on ne se fait pas bombarder d’ici là.