Luc : Décryptualité. Semaine 6 de l’année 2022. Salut Manu.

Manu : Salut Luc.

Luc : J’entame directement avec le sommaire.
Le Monde Informatique, « Faille Log4j : l’open source n’est pas le problème », un article de Michael Cooney.

Manu : Quelque chose de presque positif sur un champ de ruines parce que Log4j est une faille qui est gigantesque et qui a des impacts un peu partout dans le monde Java. C’est là où je travaille professionnellement, je vois un peu ce qui se passe. Au Sénat américain de grosses boîtes sont venues discuter de tout ça et pas que, Apache notamment qui est une association. Le bilan qui en ressort est que ce n’est pas la faute, fondamentalement, du logiciel libre et du modèle du logiciel libre, ce qui est plutôt positif. Il y a des gens qui soutiennent tout ça, mais il faut faire attention, ça peut arriver à tout le monde, ce sont les problèmes de ce qu’ils appellent la Supply Chain, la chaîne des fournisseurs. Les logiciels qu’on utilise contiennent des briques, qui peuvent elles-mêmes contenir des outils, qui peuvent eux-mêmes contenir des logiciels ou des librairies qui viennent d’ailleurs. Il faut maîtriser tout ça, c’est difficile, il y a des efforts à faire.

Luc : ZDNet France, « Google et Microsoft financent la sécurité de logiciels open source », un article de Thierry Noisette.

Manu : Voilà les efforts ! Malheureusement il semblerait que ça vient des gros, en même temps il faut prendre le fric là où il est, on pourrait le dire. L’OpenSSF, l’Open Source Security Foundation a l’air de travailler avec ces gros acteurs-là pour essayer d’analyser, de creuser, chercher les failles, faire des tests automatisés, je ne pense pas l’avoir vu passer avant, vraiment essayer de circonscrire les problématiques de sécurité des logiciels libres les plus importants et les plus utilisés. Ça va justement dans le sens de précédemment et on sent que cette faille Log4j a vraiment remué du monde, c’est, quelque part, un tremblement de terre, on peut le voir comme ça, qui a des effets secondaires intéressants. Économiquement on va voir tomber de l’argent, de la thune va arriver !

Luc : C‘est vraiment le sujet du moment, on en a parlé la semaine dernière, on en avait parlé la semaine d’avant, donc ça bouge beaucoup.
Next INpact, « Pour la CNIL aussi, les transferts internationaux de Google Analytics sont illégaux (€) », un article de Marc Rees.

Manu : On était vraiment trop précurseurs la semaine dernière. Il y avait déjà d’autres articles sur le sujet, le RGPD [Réglement général sur la protection des données], l’Europe, globalement, se rend compte que transférer des données aux États-Unis dans des entreprises peut-être sympathiques, qui peut-être font de leur mieux, c’est faire en sorte que ces données soient utilisables à volonté par les services secrets américains, c’est dans la loi américaine, donc il n’y a rien à y faire. La seule solution c’est de ne pas transférer les données, c’est le Privacy Shield, mi-2020, on en parlait, qui était tout un système qui permettait de considérer légalement que les données transférées aux États-Unis étaient aussi bien protégées qu’en Europe. En 2020 on a considéré que non, le Privacy Shield ne tenait plus, il n‘y avait plus lieu de faire cette considération forte. Maintenant, un an et demi plus tard, enfin !, il y a des conséquences dans les tribunaux. Là c’est Google Analytics.

Luc : On en a parlé la semaine dernière.

Manu : Mais là c’est la France. Je pense que d’autres pays vont faire des choses là-dessus.

Luc : Oui bien sûr. La semaine dernière on parlait de l’Autriche. En fait il y a une série de procédures qui ont été menées partout en Europe par une association qui s’appelle My privacy is None of your business, menée par Max Schrems [1], un Autrichien qui s’était distingué il y a des années de ça, alors qu’il était tout jeune, en allant extraire ses données personnelles de Facebook. Il avait été le premier à le faire, il avait récupéré trois tonnes de papier. En tout cas une très belle opération parce que les conséquences sont vraiment très sérieuses. On attend la suite.
Silicon, « Logiciels libres : 5 outils made in France en observation au SILL », un article de Clément Bohic.

Manu : Le SILL [2] c’est le socle interministériel de logiciels libres, une liste.

Luc : Oui. Qui liste des logiciels libres. Là aussi on avait conclu notre podcast de la semaine dernière en disant qu’avoir une liste de logiciels qui feraient partie des communs serait quelque chose d’utile. Eh bien on a eu le nez creux puisqu’on en parle cette semaine dans la presse. Si ça trouve le gouvernement nous écoute !

[Rires]

Luc : Le Monde Informatique, « Souveraineté numérique : L’UE se cherche un socle technologique commun », un article de Célia Seramour. Encore une fois pile dans ce qu’on disait la semaine dernière.

Manu : Ça correspond à la présidence de l’Union européenne par la France et la France, depuis déjà quelque temps, est leader mondial sur l’open data, les communs, le partage de l’information avec les citoyens, des choses très positives qu’on aime bien, qu’on apprécie. Là il y a quelque chose qui continue, qui se poursuit au niveau au-dessus, ce n’est pas juste la nation, c’est le continent qui va peut-être se bouger sur ce sujet-là. C’est quelque chose de vraiment très intéressant et qu’on va regarder de près.

Luc : Tout à fait dans cette logique dont on parlait. Ce qui est hyper-intéressant c’est qu’on parle de communs, je ne sais pas si c’est « communs » juste l’adjectif, je ne suis pas sûr qu’ils aillent jusqu’à la notion de biens communs ou de biens publics.

Manu : Il faut que tu rappelles. Rappelle rapidement.

Luc : Elinor Ostrom [3], le prix quasi-Nobel d’économie, avait travaillé sur les communs et montré qu’il existe des systèmes de gens qui sont capables de gérer des communs, donc, dans son cas, des biens qui sont limités en nombre, comme des ressources d’eau par exemple. Évidemment cette démonstration allait contre tout ce que l’économie orthodoxe pensait en disant que ce n’est pas possible de s’entendre. Il y a plein de gens qui parlent de communs à la fois sur des biens qui sont rares et, évidemment, dans le domaine de l’informatique le logiciel libre est très bien placé dans ces sujets-là. J’aime bien dire de temps en temps « bien publics » puisque c’est une définition qu’elle utilise dans son livre sur les biens qui ne sont pas rares et qui sont reproductibles comme les informations et comme le code informatique.

Manu : On pourrait faire une remarque, que je trouve intéressante, c’est que les États-Unis, les administrations américaines sont plutôt en pointe sur certains aspects là-dessus : dès qu’il y a le moindre document avec la moindre information automatiquement tout tombe dans le domaine public, donc les discours, les photos de la NASA, toutes ces informations sont partagées à tout le monde. Malheureusement ce n’est pas tout à fait le cas en France. Bien qu’il y ait des efforts qui vont dans le bon sens, je pense à la CADA. Est-ce que tu rappelles ce que veut dire l’acronyme CADA ?

Luc : Commission d’accès aux documents administratifs. C’est une sorte d’organisme public qui va donner son avis – qui n’est pas une décision, c’est juste un avis – pour savoir si tel ou tel document administratif peut être communiqué au grand public.

Manu : Généralement à la demande du grand public.

Luc : À la demande du grand public, oui bien sûr.
Tu fais référence à un article [4] de Next INpact de cette semaine qui parle du combat engagé par Cosmo Wenman, un artiste et entrepreneur qui veut récupérer les scans des statues de Rodin. Le musée Rodin a fait des scans de très bonne qualité et il veut les récupérer pour pouvoir faire des copies et les vendre. C’est un petit peu la foire d’empoigne parce que le musée ne veut pas partager ces scans. La CADA a dit « si, les statues sont dans le domaine public, ce sont des données administratives, le musée est une institution administrative ». Ils ont fait passer des scans qui sont manifestement des scans plus basse qualité, sans couleur, ils ont rajouté ou modifié les statues pour mettre le nom du musée en disant « c’est le musée Rodin », genre c’est à nous, directement dans la statue, donc ils ont modifié l’apparence dans le modèle 3D. Ils le savent parce qu’on connaît les dates auxquelles les scans ont été faits et la date du fichier qui a été fourni n’est pas la bonne et, en plus de ça, c’est un format propriétaire.

Manu : Oui, mais je vais me faire l’avocat du diable. Je les comprends les pauvres gars parce qu’une bonne partie du business du musée Rodin c’est de vendre des copies qui sont en très petit nombre, basées sur les moules originaux, en plus ils ont les œuvres sous les yeux, sous les mains, donc ils peuvent vraiment faire des produits de très haute qualité qui sont vendus des fortunes. Rodin c’est quelque chose d’assez inestimable, c’est un bien mondialement reconnu, donc ils ont un peu une poule aux œufs d’or avec toutes ces données.

Luc : Peut-être pas puisque le bien est effectivement inestimable et dans le domaine public, donc ça n’est pas à eux. C’est quelque chose qu’on a depuis des années. Isabelle Attard [5] , une ancienne députée, l’ancienne conservatrice du musée de la Tapisserie de Bayeux avait expliqué que pendant des années l’État a dit au musée, en gros, « vous devez faire du pognon avec vos fonds, etc., parce qu’on ne veut pas vous financer », en en faisant des sortes d’entrepreneurs de ces œuvres qui sont dans le domaine public. Elle expliquait que des scans de très haute qualité avaient été faits de la Tapisserie de Bayeux, que jamais personne ne les avait achetés ou presque, mais, en revanche, on avait une pléthore de photos de super mauvaise qualité de la Tapisserie partout sur Internet. Résultat des courses, le musée n’avait pas engrangé d’argent et, en plus, ce patrimoine de la culture était finalement très mal partagé. Je ne sais pas si le musée Rodin fait plus d’argent, en tout cas on est bien dans cette logique-là de dire qu’il faut exploiter le patrimoine. Ça va vraiment à l’encontre, justement, de cette logique de communs, de dire qu’il y a des choses qui sont à tout le monde et le logiciel libre en fait partie. C’est justement parce qu’on va avoir des communs, avoir des choses en partage, que tout le monde va pouvoir utiliser, tout le monde va pouvoir améliorer, en faire des œuvres dérivées ou des choses comme ça, qu’on va accélérer notre fonctionnement, qu’on va être plus efficaces, pouvoir créer des nouvelles choses, alors que si on est en train de se raccrocher à son petit bout de propriété, on n’avance pas.

Manu : On sent que le modèle français et probablement européen est à la traîne. Clairement les administrations américaines ont quelque chose d’intéressant qu’on doit suivre et on doit réfléchir au bien commun, donc partager avec les citoyens. Les institutions, les administrations sont là au service et doivent permettre le partage de la culture. Bloquer le partage de la culture c’est empêcher que la Tapisserie de Bayeux soit bien reproduite, bien utilisée, bien connue de tout le monde ; c’est dommage !

Luc : Je ne sais pas si aux États-Unis il y a une vraie réflexion sur les biens communs. Je pense que comme c’est de l’argent public ils disent ça doit être à tout le monde et c’est vraiment une question bête et méchante qui a ses vertus. Si le contribuable paye c’est à lui, point barre ! De fait ça va même bien plus loin puisque c’est le domaine public pour le monde entier, mais je ne suis pas sûr qu’il y a cette logique de bien commun. Ce qui est intéressant, on l’a vu dans la revue de presse, aujourd’hui on a le SILL qui veut voir des logiciels, sur la France, au niveau de l’Union européenne, qui veut avoir un socle commun et où, évidemment, le Libre a toute sa place. Du coup ça pose un peu la question de jusqu’où va un commun numérique ? Il y a le code informatique, il y a ces briques qui sont utilisées pour faire du développement, mais est-ce qu’il faut intégrer les œuvres et les numérisations d’œuvres qui sont dans le domaine public ? Je pense qu’on sera d’accord tous les deux pour dire que oui, mais jusqu’où peut-on aller ?

Manu : On peut aller très loin, en tout cas on peut aller jusqu’à faire des listes parce que les listes c’est bien. Les entreprises aussi s’y attellent, sont en train de regarder ce qu’elles utilisent et ce dont elles ont besoin. On peut aller encore plus loin que ça, on peut réfléchir à l’utilisation de nos données personnelles ; il y a peut-être des choses qu’on devrait savoir connaître, qu’on devrait connaître, et il y a peut-être quelque chose à creuser aussi dans ce sens-là ; les institutions pourraient peut-être nous aider.

Luc : C’est problématique. Est-ce que tes données personnelles doivent être privées ou est-ce que ça doit être un bien commun ? Est-ce qu’on va rendre toutes les données personnelles publiques à n’importe qui ? Peut-être en les anonymisant ? C’est peut-être, finalement, une façon de casser les GAFAM de dire que cette masse de données qu’ils vont privatiser et exploiter, c’est finalement ça qui fait leur force et leur richesse ; on l’a vu la semaine dernière, Facebook s’est plaint de ne plus pouvoir faire des milliards à cause de ça, mais ça me parait quand même un petit peu compliqué. En tout cas, il faudrait trouver comment on peut rendre publiques des données personnelles tout en respectant la vie privée des gens, ça va être un peu compliqué !

Manu : Des systèmes sont en train d’être mis en place, ça s’appelle les cohortes, je ne connaissais pas bien, ce sont des concepts de statistique, de démographie. Je sais que Google travaille à ça, il me semble que Firefox souhaite travailler avec Facebook, je crois, pour essayer, pas d’anonymiser complètement parce qu’il ne faut pas rêver, en tout cas d’atténuer la connaissance précise des personnes. Un système de cohorte ça veut dire qu’on va considérer que tu es un parmi 10 000 dans tes catégories. Quand tu vas être vendu à un publicitaire, parce que c’est bien de ça dont il s’agit, ce n’est pas d’autre chose, eh bien quand tu vas visiter un page web, ta visite de page web va être vendue aux enchères, les publicitaires vont savoir que tu fais partie de telle cohorte et ils vont enchérir pour essayer de t’afficher une publicité. Tout ce système-là est un petit peu opaque, j’aimerais bien être un peu mieux au courant. Il y a des évolutions sur la gestion de ces données privées. Les cohortes c’est quand même un mécanisme plutôt intéressant.

Luc : Je préférerais pas de publicité, parce que, dans l’ensemble, c’est quand même bien de la merde pour moi. Ce qui me semble important c’est qu’on a besoin d’avoir confiance dans l’informatique et dans les données. Aujourd’hui plein de gens se posent des questions en disant « je vois des pubs qui correspondent à des trucs dont j’ai parlé à l’oral mais que je n’ai jamais cherché sur Internet. C’est comme si mon téléphone m’écoutait ». Une fois il m’est arrivé de faire un examen médical, d’avoir un résultat et de recevoir une publicité par la poste qui tombait pile-poil sur le problème qu’on m’avait trouvé. Je suis passé en mode parano en me disant « mes données de santé ont fuité, etc. » En passant chez un ami qui a le même âge que moi j’ai vu la même pub. En fait, ils ont juste spammé tous les gens qu’ils avaient dans leurs fichiers et qui étaient dans la bonne tranche d’âge. Sauf que tant que je n’ai pas eu vu ce courrier chez quelqu’un d’autre, qui n’a pas le problème, en fait je ne savais pas, du coup mon imagination est partie dans tous les sens. C’est essentiel que le public puisse avoir confiance là-dedans, ce qui veut dire que dans nos communs numériques, d’une façon ou d’une autre, il faudrait intégrer la façon dont l’information est formée, mise en forme, il y a des moteurs de recherche, il y a la façon dont on va catégoriser les gens. Si on veut piloter un pays ou l’Europe, il y a, malgré tout, de l’intérêt à faire des statistiques et avoir des infos sur la population, ça aide à mieux gouverner, mais tout ça en respectant la vie privée.

Manu : C‘est le sujet des algorithmes qu’on a déjà abordé plusieurs fois, qui est plutôt intéressant, j’apprécie beaucoup. Souvent les entreprises gardent les algorithmes jalousement et, parmi les leviers qu’ils ont, les États pourraient obliger légalement, par des lois, à rendre transparents ces algorithmes, indiquer comment ils fonctionnent, pourquoi on voit une chose à l’écran, qu’est-ce qui a été mis en avant, suivant quel principe, dans quelle cohorte on est placé, combien on est vendu quand on est vendu aux enchères ; il y a des données qui doivent pouvoir être rendues plus visibles. Est-ce que ce sont des communs numériques, je ne sais pas exactement, en tout cas il y a des choses à faire sur ce point-là.

Luc : Oui. Je pense aussi à une forme d’interopérabilité. Aujourd’hui on a des grosses plateformes, on pense à Amazon qui en abuse abondamment pour arnaquer ses vendeurs tiers, etc. Pour moi l’interopérabilité, alors à voir comment parce que je n’ai pas de recette miracle, essayer de casser ces gros acteurs qui maîtrisent complètement leur système pourrait être aussi un bien commun numérique. Ça reste des pistes très floues, bien sûr.

Manu : On va creuser. Je te propose qu’on en discute la semaine prochaine.

Luc : C’est ça. Il faut voir. Salut tout le monde.

Manu : Salut.