Le logiciel libre a-t-il de beaux jours devant lui - Denis Germain - PSES2019

Titre :
Le logiciel libre a-t-il de beaux jours devant lui ?
Intervenant :
Denis Germain alias zwindler
Lieu :
Pas Sage en Seine - Choisy-le-Roi
Date :
juin 2019
Durée :
30 min
Visualiser ou télécharger la vidéo

Diaporama support de la conférence

Licence de la transcription :
Verbatim
Illustration :
capture d’éécran de la vidéo

Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l’April, qui ne sera en aucun cas tenue responsable de leurs propos.

Description

De barbus dans un garage jusqu’à l’ère du « tout sur Github », comment sommes-nous passés de « Linux est un cancer » à « Microsoft <3 Linux » ?

Aujourd’hui, peut-on encore maintenir du code individuellement sans « Mettre en danger des millions d’innocents » ?

Faire de l’open source fait-il de vous un ZADiste ?

Tant de sujets d’actualité (et d’autres) qui seront traités avec un regard, bien entendu, totalement objectif et impartial (ou pas !).

Transcription

Bonjour à tous. Je suis hyper-content d’être ici ; ça fait plusieurs années que je voulais venir, mais je n’avais jamais eu l’occasion. Je pense que PSES [Pas sage en seine] est un super festival qui ramène pas mal de gens que j’avais envie de rencontrer en vrai. Ce sera l’occasion de leur faire un petit coucou.
Aujourd’hui on va parler logiciels libres. Le ton est peut-être un petit acide. Ça représente un petit peu mon caractère, pour autant je ne suis pas aussi pessimiste que la présentation le laisse croire.
La moindre des choses c’est d’abord que je me présente. Je m’appelle Denis Germain. Peut-être que certains d’entre vous me connaissent plus sous le pseudo zwindler que j’utilise pas mal sur Internet, sur Twitter et j’ai un blog [1] éponyme que je tiens depuis une dizaine d’années à peu près où je traite de pas mal de sujets techniques, sys-admin, geeks, un petit peu de droit aussi ça m’arrive, ça m’intéresse.

Je suis aussi ingénieur cloud chez LECTRA. LECTRA, je vais en parler un tout petit peu, c’est mon employeur qui me permet aujourd’hui d’être ici, qui m’encourage à venir à ces festivals. LECTRA c’est le leader mondial des solutions technologiques intégrées pour les entreprises utilisatrices de cuir ou de textile. Hou ! En gros qu’est-ce que ça veut dire ? Ça veut dire qu’on fabrique ces gros bidules-là qui découpent du cuir ou du textile et on est les meilleurs dans le monde pour le faire.

Vous vous en doutez, moi, en tant qu’ingénieur cloud, je ne fais pas des machines de découpe, je crée des services informatiques et, comme je suis ingénieur cloud, je travaille sur l’ordinateur de quelqu’un d’autre, en l’occurrence Azur. Je vous ai mis quelques petits logos des technos que j’utilise, [quotidiennement et qui représentent un petit peu ce que je fais dans mon travail de tous les jours, ajout de l’orateur] ; on peut en parler toute la journée, mais on n’est pas obligé.
Le sujet du jour, « Le logiciel libre a-t-il de beaux jours devant lui ? »

Déjà, dans la salle, est-ce qu’on pourrait avoir des mains levées pour savoir ceux qui savent ce q’est qu’un logiciel libre ? Quel public génial ! Je m’attendais un petit peu à ça vu la conférence.

En fait, je vais présenter un petit peu des petites situations de l’actualité de l’open source et du logiciel libre qui sont, je pense, symptomatiques d’une partie des problèmes que rencontrent ces deux communautés.
Le terme logiciel libre a été inventé, en tout cas grandement popularisé, par Richard Stallman dans les années 80, et la définition d’un logiciel libre c’est : un logiciel qui respecte la liberté de ses utilisateurs. Le terme pour logiciel libre en anglais c’est free software et le problème c’est que c’est un terme ambigu puisque free software, en anglais, ça pourrait à la fois vouloir dire que c’est un logiciel qui est gratuit ou un logiciel qui respecte la liberté, notamment la liberté d’expression de ses utilisateurs. C’est pour ça que vous rencontrerez souvent, associé au logiciel libre, la phrase free as in free speech, not free beer, qui dit bien ce que ça veut dire : un logiciel libre n’est pas forcément gratuit, mais, en revanche, il respecte toujours la liberté de ses utilisateurs de l’exécuter, de le lire, de l’améliorer et de faire profiter la communauté des améliorations qui ont été faites. Ce qu’il est important de comprendre c’est que c’est bien une approche idéologique du développement logiciel.
Parallèlement à ça, fin des années 90, il y a un groupe d’utilisateurs du logiciel libre qui était un petit peu embêté par cette notion idéologique qui empêchait le logiciel libre d’avoir une plus forte pénétration notamment dans les entreprises, du coup une partie de cette communauté s’est un petit peu scindée, a retiré toute la partie idéologique du mouvement du logiciel libre et s’est concentrée sur le développement de logiciels avec des sources librement accessibles. Du coup, une des critiques que font les partisans du logiciel libre aux partisans de l’open source, c’est que, justement, toute cette partie idéologique a été retirée et, finalement, ils développent des logiciels uniquement pour faire du profit, ce qui est parfois vrai, parfois pas vrai.
Dans la pratique, en fait, même parfois dans la communauté IT il y a des gens qui ne savent pas du tout la distinction entre les deux et qui ne comprennent absolument pas ces querelles internes. En plus de ça, il y a même des entreprises ou des personnes qui développent des logiciels qu’ils disent open source et qui, en termes de philosophie, finalement, sont aussi des logiciels libres. Donc les gens ne comprennent pas trop la différence.

Du coup, pendant que les partisans du logiciel libre cassent du sucre sur le dos des partisans de l’open source et inversement, il y a tout le reste de la société qui nous regarde et qui ne comprend pas trop ce qui nous arrive. Et, au même titre que j’entends des gens s’insurger du plastique bashing, du Mélenchon bashing ou même du Benzema bashing, je pense qu’il y a des gens qui font de l’open source bashing.
On arrive à des situations où sur une radio généraliste qui est France Inter, on se retrouve avec l’humoriste Guillaume Meurice qui n’aime pas trop la start-up nation, je crois qu’on peut le dire sans trop de difficultés, qui va donc au Paris Open Source Summit qui est un festival open source et logiciels libres à Paris et qui pense trouver la start-up nation et pouvoir rigoler. Là c’est le moment où on va voir si l’extrait vidéo fonctionne.
[Extrait de la vidéo]
Guillaume Meurice au Paris Open Source Summit : Il y avait de la trottinette électrique partout. Ça puait le quinoa, ça transpirait de la conf call asap. Il y avait donc ce monsieur qui milite pour un logiciel libre, il me l’a bien dit également, donc il résout les problèmes d’égalité :
« On apporte des solutions gratuites, qui permettent d’utiliser le logiciel sans dépenser un seul euro. Ça déjà, je pense que c’est un premier pas.

— Quelque part ouais ! Quelque part vous êtes un gilet jaune.

— Merci pour cette comparaison.

— Voire un zadiste.

— Je pense que vous allez trop loin là.

— Voire un punk à chien. »

Attendez, il faut faire étape par étape on ne peut passer de startupeur à « punk à chien » du jour au lendemain.
[Fin de l’extrait de la vidéo]
Denis Germain : Cette dernière phrase, je pense, résume pas mal la façon dont les gens pensent quand ils pensent au logiciel libre ou à l’open source : « On ne peut pas passer de startupeur à "punk à chien". » Soit on est un « punk à chien », un barbu dans un garage, un hippy qui développe du logiciel libre et qui se fait plumer par le reste du monde, soit on fait partie de la startup nation et on aide le grand capital. Guillaume Meurice est un caricaturiste, vous allez forcément me dire que c’est son métier. C’est vrai que, finalement, vu de l’extérieur pour des gens qui ne font pas de l’IT, c’est assez drôle notre métier, ça peut être un peu absurde des fois.
Du coup je me pose la question : que pense le reste de la communauté IT de l’open source. Si je vous dis ennemi de Linux, à qui pensez-vous ?
Public : Microsoft.
Denis Germain : Merci. Microsoft. Les gens qui se dandinaient sur scène, que j’ai passés brièvement, dedans il y avait Steve Ballmer et Bill Gates qui sont deux anciens PDG de Microsoft et voila ce que ces gens-là pensent de Linux, de l’open source et du logiciel libre.

D’un côté on a Steve Ballmer qui pense que Linux est un cancer et que, du coup, toutes les licences open source ou libres sont contaminantes, c’est-à-dire que le moindre développeur qui utilise la moindre ligne de code source libre va être obligé de libérer tout son code.

De l’autre côté on a Bill Gates qui pense que les gens qui font de l’open source en fait ce sont des communistes d’un genre nouveau qui souhaitent abolir les droits d’auteur et le salaire pour les développeurs de logiciels.

Dans la salle, peut-être que le terme « communiste » ne vous choque pas, mais il faut se remettre un petit peu dans le contexte des États-Unis où, quand on dit que quelqu’un est communiste, même quand on dit que quelqu’un est socialiste, c’est quasiment un gros mot, ils n’aiment pas ça du tout. Donc ça donne une belle idée de ce que pensent ces gens-là de l’open source.
Si on revient à l’open source bashing dont je vous parle depuis tout à l’heure, dans le top dix des éditeurs de logiciels du monde, si on retire les SSII [Société de services en ingénierie informatique], on se retrouve avec quatre sociétés, Microsoft, IBM, Oracle et SAP qui sont, en fait, archiconnues pour leurs logiciels propriétaires, leur catalogue de logiciels propriétaires et sont aussi archiconnues pour de l’open source bashing pour dire à quel point les solutions alternatives à leurs logiciels sont pourries.
Peut-être que dans la salle il y en a qui se disent « mais ça c’était il y a longtemps ». Les exemples que j’ai cités, effectivement, c’était début des années 2000, mais en fait pas du tout, ça continue encore massivement aujourd’hui. Je vous ai pris quelques exemples : la petite BD que vous ne pouvez certainement pas lire depuis ici mais que vous pourrez relire sur mon blog parce que j’avais fait un article là-dessus.[Ça c’est une campagne sur Twitter, une petite BD marrante - en fait c’est une suite de plusieurs BD marrantes - qui a pour but, via SAP France, de mettre en avant les logiciels de SAP. À grand renforts de préjugés sur l’open source et le logiciel libre, on va expliquer à quel point ce n’est pas stable, c’est anarchique, ça ne marche pas et c’est complexe.

Au final, la chute de cette petite BD, c’est qu’il suffit simplement de prendre SAP, c’est hyper simple : on collecte les données, on connecte et ça marche. Hyper simple !
Ça, ça a été diffusé en 2018, fin 2018. Vous voyez que les préjugés sont encore tenaces. Et franchement, moi je n’ai pas pu m’empêcher d’éclater de rire quand j’ai lu la dernière vignette. Parce que quand SAP nous parle de simplicité, on nous parle de ça. Donc ça, c’est une vue d’architecture simplifiée de tous les composants qui sont nécessaires pour faire marcher le logiciel de SAP. Vous pouvez voir que c’est extrêmement simple.

Je vous parle de SAP, mais il n’y a pas que SAP, il y a aussi Oracle. Et la palme de l’entreprise schizophrène, Ajout de l’orateur, NdT] entre logiciel propriétaire et logiciel open source revient probablement à Oracle.

Pour ceux qui ne connaissent pas, Oracle est une entreprise qui a créé un logiciel de base de données qui est très répandu et, par le jeu des rachats, ils ont racheté une autre boîte qui s’appelle Sun qui avait aussi une base de données mais open source qui s’appelle MySQL [2]. Donc on se retrouve dans une situation où, sur le site web de Oracle, on a MySQL qui est mis en avant comme étant la base de données open source la plus populaire au monde parce qu’elle est fiable, parce qu’elle est facile d’utilisation et parce qu’elle a des performances avérées et en même temps, je parle encore de 2018, on a le PDG d’Oracle qui explique que si jamais vous utilisez MySQL plutôt que Oracle, eh bien vous allez perdre énormément en stabilité, en sécurité et en performance parce que c’est un très vieux système, sachant qu’Oracle est plus vieux que MySQL. J’aime beaucoup l’ironie de la situation !
Je pourrais continuer pendant un moment sur les exemples d’open source bashing que ces quatre-là ou d’autres font régulièrement, mais il va falloir qu’on passe à autre chose. Parfois les critiques viennent de la communauté elle-même, le cœur de la communauté c’est-à-dire les utilisateurs.
Je vais vous raconter un petit incident qui s’est passé fin 2018, une fois de plus, et qui est représentatif de ce qu’attend la communauté, en tout cas les utilisateurs, des mainteneurs de logiciels open source. Pour ça, je suis obligé de revenir un tout petit peu en arrière et vous expliquer, si jamais vous n’êtes pas développeur, que dans les langages de programmation populaires aujourd’hui on a la possibilité d’avoir des modules, c’est-à-dire qu’on ajoute des briques à un logiciel et on ne sélectionne que les briques qu’on veut, comme ça on a un logiciel qui est plus souple, plus simple à utiliser que si on avait été obligé de tout charger, etc.

Le deuxième point, c’est que ces logiciels-là mettent aussi en avant la possibilité aux utilisateurs de créer leurs propres modules ; ça permet d’étendre les fonctionnalités natives du logiciel, d’avoir ainsi un langage de plus en plus riche et d’éviter de recoder 15 fois les mêmes choses.

Du coup, pour permettre aux utilisateurs de trouver facilement les modules, on a ce qu’on appelle des gestionnaires de modules. Arrive alors Node.js qui est un logiciel qui a remis un gros coup de boost au langage de programmation JavaScript, qui a son propre gestionnaire de paquets qui s’appelle npm [Node Package Manager]. Le problème c’est que Node.js a tellement pris d’ampleur tellement vite que la croissance des modules créés par les utilisateurs s’est faite un peu de manière anarchique et, par des jeux de dépendance, des modules utilisant des modules qui utilisent eux-mêmes des modules, quand on installe un module npm, souvent ce qui se passe quand on fait la commande « npm install », voilà une métaphore de ce qui se passe sur votre environnement. Vous vous retrouvez, en fait, à télécharger des centaines de modules, comme ça [projection d’une courte vidéo mettant en scène des oies qui courent, NdT] et arrive alors le protagoniste principal de notre histoire, Dominic Tarr.

[C’est un développeur chevronné, qui a développé plein de choses dont des paquets NPM, un en particulier qui est très populaire, parce qu’il est présent dans d’autres packages populaires, eux-mêmes dans des packages populaires, et ainsi de suite. Il se trouve que cette personne a développé ce petit bout de module NPM qui s’appelle event-stream. Eh bien son package NPM, sans que personne ne le sache, il est téléchargé des millions de fois par jour. Personne ne connait ce module, à tel point que personne ne s’est rendu compte que ça fait des années que Dominic Tarr ne l’utilise plus et même, ne le maintien plus.

Vient donc le drame. Un jour, Dominic Tarr qui ne s’occupe plus de ce logiciel, est contacté par un inconnu (@right9ctrl) qui lui propose gentiment de reprendre le développement du module à son compte pour le pérénniser. Dominic Tarr lui donne l’accès au module. Sauf que patatra, pas de bol, @right9ctrl est probablement quelqu’un de malintentionné. Cette personne-là a injecté du code, a priori on ne sait pas encore ce qu’il fait, mais il est probablement malicieux. Ce qu’il y a de bien avec Internet, c’est que le, Ajout de l’orateur, NdT] moindre incident, prend des proportions astronomiques et en fait on s’est retrouvés avec des milliers de projets informatiques infectés et la réaction des développeurs, la première réaction des développeurs, ce n’est pas de se poser des questions sur [leurs méthodes de développement. Pour des centaines, voire des milliers de développeurs, Dominic Tarr, en fait, pour vous résumer un peu ce qui s’est dit dans les commentaires GitHub, c’est qu’il a carrément mis en danger la vie de millions de personnes. Je ne sais pas si vous vous rendez bien compte : quand vous développez des modules open source sur GitHub, si vous arrêtez de les maintenir, vous allez mettre en danger des millions de personnes ! C’est peut être pour ça d’ailleurs que Microsoft et SAP nous disent à quel point l’open source est dangereux. C’est rude pour l’instant. Heureusement rassurez vous, il y a des gens qui sont là pour promouvoir l’open source. On va enfin avoir un peu de positif dans cette histoire. Est ce que quelqu’un connait cette citation ?
First they ignore you,

Then they laugh at you,

Then they fight you,

Then you win.

Comme 95% des citations qu’on peut trouver sur Internet, cette phrase est attribuée à Gandhi, mais il ne l’a probablement jamais prononcée. Mais ce n’est pas grave, c’est une très belle phrase, et d’autant plus intéressante qu’elle représente pas mal le combat de l’open source contre le logiciel propriétaire. D’ailleurs, cette phrase est tellement représentative que Red Hat se l’est un peu appropriée. Red Hat est une société connue pour avoir développé les distributions Redhat Entreprise Linux, CentOS et Fedora surtout, mais pas que. Tous les magasines IT et les sites web qui parlent de la communauté IT citent très souvent REd Hat comme l’exemple, du fait qu’on peut faire de l’open source et être un business florissant. Clairement, ils font du chiffre avec de l’open source : 2,4 milliard de dollar de chiffres d’affaire en 2018, c’est quand même colossal ! Et c’est tellement colossal qu’en 2018, encore, on a eu droit à ça. Le then you win s’est transformé en then, they buy you, puisque Red Hat a été rachetée. Et le plus drôle dans cette histoire, c’est qu’ils ont été rachetés par qui ? Par IBM !
Vous vous souvenez, IBM c’est une des quatre entreprises que je vous citais qui était surtout connue pour mettre en avant ses logiciels propriétaires, quitte à dénigrer les solutions alternatives open source. Moi je trouve ça assez ironique.
OK, Red Hat a été rachetée par IBM, mais pour l’instant Red Hat existe toujours, fait toujours de l’open source. Red Hat est toujours un business florissant autour de l’open source. Donc il y a bien des gens qui font de l’open source et qui réussissent, Ajout de l’orateur, NdT] dans le monde. Bien sûr ça dépend de la métrique qu’on va choisir, mais si on part du principe que ceux qui contribuent le plus à l’open source ce sont ceux qui ont le plus d’employés qui contribuent à des projets open source, eh bien les champions de l’open source ce n’est pas Red Hat ; je ne sais plus, ils sont troisième ou quatrième si on prend le rapport de GitHub October’s, ce n’est pas mal non plus mais ce ne sont pas du tout les premiers.

On pourrait se dire « OK ! Les géants du cloud utilisent massivement les technologies open source pour faire tourner leurs services, pour faire de l’argent, pour faire du software as a service ou du PaaS [platform as a service ], du coup peut-être que ce sont les géants de l’open source ». En géants de l’open source on pourrait penser à Amazon, mais ce n’est pas eux du tout non plus. En fait ils sont même plutôt très décriés pour ça. Amazon, ils ne sont même pas dans le top 10 des entreprises contributrices aux logiciels open source, eux la philosophie de la maison c’est plutôt « on récupère l’open source, on fait de l’argent avec mais surtout on ne reverse rien ». Ce ne sont pas eux non plus.

Du coup on pense à un autre cloud provider, on se dit que c’est peut-être, pour ceux qui ne l’ont pas, Google. Ce n’est pas eux non plus, je crois qu’ils sont bons deuxième, mais ce n’est pas eux.

En fait, le contributeur numéro un de l’em>open source

en termes de nombre d’employés, aujourd’hui et depuis quelques années, c’est ?
Public : Microsoft ?
Denis Germain : Microsoft ! Eh Oui ! Donc on est passé de Microsoft qui disait que Linux était cancer à une société qui dit We are all in on open source, qui contribue avec quand même 7700 employés en 2018, ce qui est relativement colossal, aussi bien sur des projets maison qu’ils ont open sourcé que des projets tiers pour, entre guillemets, « soutenir leur cloud » qui est loin des deux premiers, AWS et GCP. Donc là, on voit clairement un virage à 180 degrés de Microsoft qui se met à soutenir l’open source et qui a complètement arrêté de faire de l’open source bashing, quitte même à se faire traiter un petit peu d’open washing. Au même titre que certaine entreprises qui, comme Total, font du green washing, Microsoft, des fois, fait un peu de l’open washing.

En 2018 ils ont été jusqu’à racheter GitHub qui, sans pour autant être une plateforme libre, hébergeait de très nombreux projets open source. Ça n’a pas trop marché, ils ont pris plus un bad buz qu’autre chose.

Du coup on est en même arrivé à mai 2019, donc le mois dernier, où ils ont indiqué qu’en fait ils allaient carrément intégrer un kernel Linux à l’intérieur de Windows. Donc le cancer est dans Windows !
Je suis allé un petit peu vite. À la base, j’avais prévu de parler au-delà du logiciel libre, de culture libre, notamment les initiatives Creative Commons dans la BD, dans la musique, etc. Finalement j’ai préféré me concentrer sur la partie logiciel libre, mais comme j’ai parlé très vite j’aurais eu un petit peu le temps, c’est dommage !
Pour conclure ce talk, en fait j’aimerais que vous reteniez trois choses de ce que je viens de vous dire :

la première chose c’est que le logiciel libre ce n’est pas la même chose que le logiciel open source mais que, de toute façon tout le monde, s’en fout !

que l’open source c’est le cancer sauf si on peut faire de l’argent avec ;

et que faire de l’open source fera de vous un zadiste néocommuniste, mais que si vous arrêtez de maintenir vos projets open source, vous mettrez probablement la vie de millions d’innocents en danger.
Pour rester sur une note un poil plus sérieuse, j’aimerais résumer cette situation en deux tweets de Nick Craver et Ben Lesh : « Open source isn’t free ; it’s paid for by the maintainers » « …And their families », donc l’open source n’est pas gratuit, ça marche aussi pour le logiciel libre, il est payé par les mainteneurs donc par leur travail et par leurs familles. C’est pour ça qu’aujourd’hui, en fait, on se retrouve avec, d’un côté, des gens qui maintiennent tout seuls du logiciel open source et qui ne récoltent rien d’autre que des critiques de la part de communautés d’utilisateurs quand ils ne font pas exactement ce qu’on attend d’eux et, de l’autre, des sociétés qui ont dénigré pendant des années de l’open source et qui maintenant, pour se racheter une image ou faire de l’argent, soutiennent massivement les projets open source qui leur rapportent de l’argent.
C’est tout pour moi.
[Applaudissements]
Denis Germain : Si vous avez des questions, je pense qu’on a le temps.
Public : Déjà je voudrais te remercier pour la conférence qui était très intéressante avec cette comparaison open source logiciel libre. Pour aller dans la continuité j’ai une question. En tant que vulgarisateur, j’ai l’habitude reprendre les mots habituels de Framasoft qui dit « l’open source c’est le logiciel libre sans l’éthique » et qui compare le logiciel libre au manger bio de l’informatique. Qu’est-ce que tu penses de cette formulation vu que toi tu as bien fait le distinguo logiciel libre versus open source ?
Denis Germain : Je ne suis pas sûr que je voie tout à fait la comparaison. Le manger bio, plus le manger sain ?
Public : En fait, avec tout le collectif CHATONS [3] on parle des AMAP [Association pour le maintien d’une agriculture paysanne] de l’informatique, il y a toute une imagerie, un vocabulaire. Il y a une volonté des gens de manger bio, du coup il y a aussi une volonté d’aller vers des logiciels plus éthiques, plus ouverts, donc vers l’essence même qu’était le logiciel libre, alors que ce qu’on voit à côté, c’est que c’est l’open source qui marche avec toutes les startups, avec tous les produits open source actuels qui marchent surtout dans le cloud, etc., dans le devops, ce sont les startups derrière qui font du support, qui font des modules propriétaires et, en fait, l’open source est un produit d’appel.
Denis Germain : OK ! D’accord. En soi tu as raison. De toute façon, moi je n’ai pas nié du tout cette distinction entre l’open source qui a retiré la partie éthique. Tous les jours je travaille plus, je pense, avec des logiciels open source qu’avec des logiciels libres. Effectivement cette notion de combat du bien contre le mal de Richard Stallman, c’est vrai qu’elle est complètement occultée. Après oui, je pense que le manger bio, comme tu le dis, est une bonne image. Pour autant, là encore je pense que les gens ont du mal à faire le distinguo. Peut-être que c’est un manque d’éducation ! À voir !
Public : Bonjour. Merci aussi, c’était super intéressant. Je voudrais savoir d’après toi est-ce que la communauté des développeurs qui vont dans le bon sens augmente ? A tendance à augmenter ? À diminuer ? Ça va plus dans le sens de, après, se faire confisquer la richesse par ces sociétés privées ? Comment ça évolue d’après toi ?
Denis Germain : Je pense qu’il y a eu un tel essor de l’open source sans pour autant comprendre ce que ça impliquait derrière, le fait, justement, qu’il y ait des anonymes qui font des projets et qui les abandonnent, on allait dans le mauvais sens. À force, au fil du temps, d’un côté cette partie-là, donc les anonymes qui font des logiciels open source, voire libres, tend quand même à être mieux comprise au fil des incidents, au fait qu’on en parle, qu’on en parle de plus en plus ; par contre, parallèlement à ça, les entreprises mettent vraiment le paquet sur l’open source pour faire de l’argent et c’est là où je pense qu’il y a le plus d’efforts.

D’un côté je pense que ça s’améliore puisque ça devient de plus en plus compris, de plus en plus commun de voir de l’open source et du logiciel libre et de comprendre, du coup, quels sont les enjeux. Mais, de l’autre, il y a aussi des enjeux financiers qui poussent très fort. Franchement je ne saurais pas dire qui est en train de gagner.
Public : La question de la maintenance des logiciels libres a déjà été posée plusieurs fois ; là, effectivement, event-stream est un cas typique. Ça permet effectivement des attaques ridicules comme celui qui disait que c’était payé par les familles, comme si les boîtes capitalistes qui font du logiciel privateur libéraient toutes leurs employés à 17 heures pour qu’ils puissent aller rejoindre leurs familles. Maintenant le problème reste quand même un problème énorme et c’est vrai que c’est un peu une faiblesse de la communauté du logiciel libre, pas des développeurs individuels, on comprend très bien leurs problèmes, mais un problème global du monde des développeurs de logiciels libres de ne pas encore avoir trouvé de solutions pour ça. Je ne pense pas qu’il y en ait une facile ou une évidente.
Denis Germain : Sinon on le saurait.
Public : Sinon on l’aurait déjà fait, mais c’est certainement un problème qui mérite qu’on se penche dessus avec des systèmes par exemple plus clairs d’abandon. On parlait de Dominic Tarr, je pense que s’il y avait eu un système d’abandon explicite et que tout d’un coup event-stream était devenu inaccessible bloquant tous les autres logiciels, je pense qu’on l’aurait autant engueulé. Ça aurait été plus correct du point de vue sécurité, mais je pense qu’il aurait reçu autant d’engueulades.
Denis Germain : C’est ce qui s’est passé au final puisque le jour où la faille a été découverte en fait les gens de npm ont coupé l’accès au logiciel, du coup les gens ont découvert la faille de sécurité pas parce qu’ils suivaient les issues sur GitHub ou sur npm, mais parce que le package n’était plus accessible. C’est uniquement pour ça que les gens ont été prévenus. C’est pour ça qu’après il s’est pris derrière le flood comme quoi c’était inadmissible. Il y a beaucoup de gens qui ont été touchés et qui s’en sont rendu compte justement parce que le logiciel était inaccessible. Après, c’est probablement la faute de npm qui, comme tu dis, ne permet pas facilement de dire à tous les autres que les packages ne sont plus maintenus et qu’il faut passer à autre chose.
Public : A contrario, par exemple dans Debian qui a effectivement ce système d’abandon, ça a suscité des problèmes. Un truc non maintenu ayant possiblement des failles de sécurité était retiré et les gens râlaient parce que ce n’était plus accessible.
Denis Germain : Au moins, d’un point de vue sécu, c’est mieux.
Public : Sans doute, oui, mais ce n’est pas évident et je n’ai pas l’impression que les utilisateurs sont vraiment bien là-dessus et de ces problèmes.
Denis Germain : Oui, il y a un défaut d’éducation pour les utilisateurs qui, du coup, nous incombe à tous.

Je vous remercie tous pour vos retours. Merci.
[Applaudissements]

Références

[2MySQL

[3CHATONS

Avertissement : Transcription réalisée par nos soins, fidèle aux propos des intervenant⋅e⋅s mais rendant le discours fluide. Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.