Différences entre les versions de « Émission Libre à vous ! diffusée mardi 30 avril 2024 sur radio Cause Commune »
| Ligne 309 : | Ligne 309 : | ||
===Le rachat de VMware par Broadcom et augmentation des prix de licence=== | ===Le rachat de VMware par Broadcom et augmentation des prix de licence=== | ||
| − | <b>Étienne Gonnu : </b>Un autre sujet un peu complexe. | + | <b>Étienne Gonnu : </b>Un autre sujet un peu complexe. Pierre, tu voulais l’aborder. La dernière fois on n’en a pas parlé, ça ne parle pas directement de logiciel libre, mais ce sont aussi des questions de licence. Finalement, on parle de libertés informatiques, là de dépendance à des licences avec une illustration très précise. Vmware, une boîte qui maintenait un logiciel qu’énormément d’entreprises utilisaient – tu vas nous préciser de quel logiciel il s’agit – a été rachetée par Broadcom, une multinationale américaine, qui a littéralement, parce qu’elle le pouvait, là on parle d’une licence propriétaire, elle avait donc acquis la maîtrise de cette licence, a décidé, de son côté, parce qu’elle en était capable, d’augmenter, je crois fois 10 le prix des licences, en plus tout en modifiant les conditions d’utilisation du logiciel avec des conditions moins favorables. Ça a fait énormément de bruit par les très nombreuses entreprises qui utilisaient ce logiciel, un logiciel très répandu et incontournable. |
| + | |||
| + | <b>Pierre Beyssac : </b>Oui, c’est Vmware, c’est ce qu’on appelle un logiciel de virtualisation, c’est-à-dire que ça permet de faire tourner plusieurs systèmes, plusieurs machines, sur une seule machine physique. On a donc des machines virtuelles et c’est très utilisé notamment dans le <em>cloud</em>, les <em>clouds</em> Amazon sont basés là-dessus, les <em>clouds</em> de Microsoft etc également. C’est un logiciel qui est pas mal utilisé par des entreprises quand elles veulent mettre en commun leurs serveurs, optimiser l’usage de leurs serveurs, la gestion et l’administration de leurs serveurs. C’est un logiciel commercial, je ne connais pas exactement les tarifs, ni les conditions de licence, c’est un logiciel qu’il faut acheter. Je crois qu’il y a eu une version gratuite à une époque.<br/> | ||
| + | Du jour au lendemain, Broadcom, qui a racheté la boîte, était en position de force, pas une position monopolistique mais une position commercialement très favorable parce que son logiciel est très apprécié – ce sont aussi toutes les histoires de l’écosystème : il y a des logiciels équivalents qui permettent de le remplacer, mais il faut tout refaire chez soi, il faut tout réinstaller. En gros, c’est comme quand tu veux refaire ta cuisine avec un autre fabricant, il faut tout virer, tout refaire, même si, à la fin, tu as quand même une cuisine et ça revient au même. En fait, on est pieds et poings liés avec eux et ils ont essayé d’en profiter avec leurs clients en monétisant au mieux leur position de force, c’est-à-dire en augmentant brutalement les prix. Ils ont complètement revu leur offre commerciale pour <em>up saler</em>, comme on dit, c’est-à-dire vendre aux utilisateurs plus que ce qu’ils avaient demandé initialement. Les utilisateurs se plaignent, forcément, parce qu’ils voient leur facture flamber de 10 à 40, j’ai eu des exemples assez hallucinants. En fait, ça change l’équation.<br/> | ||
| + | L’équation, c’est souvent de dire qu’on ne va pas prendre du Libre parce qu’il manque des morceaux, on ne va pas prendre tel fournisseur parce qu’il manque des morceaux. J’ai tout clé en main chez tel autre, ça me coûte moins cher, à la fin, parce que mon activité ce n’est pas d’aller faire des petits bouts de chewing-gum pour relier de l’infrastructure, mon métier c’est aller vendre des taxis ou vendre ceci ou cela, donc je n’ai pas envie de passer du temps, je vais acheter quelque chose clé en main, commercialement adapté à ce que je veux faire, parce que ça me revient moins cher au final. Mais, évidemment, quand la facture est multipliée par 10 du jour au lendemain, ça rebat complètement les cartes et ça peut inciter à réétudier l’équation commerciale qu’on vous propose.<br/> | ||
| + | Sur une durée plus longue, il y a eu le même genre de chose avec les bases de données Oracle. Oracle est un grand de la base de données, c’est un élément qui était longtemps critique, qui est critique dans pas mal de systèmes informatiques, pour lequel il n’avait pas vraiment d’équivalent libre. Au fil du temps, des bases de données libres comme MySQL, PostgreS, se sont améliorées, ont complété en fonctionnalités, ce qui fait que, aujourd’hui, 90 % des usages d’Oracle peuvent être remplacés facilement par du Libre, mais il faut tout refaire. En fait Oracle, à force de pousser le bouchon, a incité les clients, quand ils refont leur système de zéro, au bout de 20 ans, à prendre du Libre plutôt que prendre l’offre commerciale qui coûte très cher, parce que ça convient parfaitement aux besoins. | ||
| + | |||
| + | <b>Étienne Gonnu : </b>Pour préciser. Dans une situation équivalente, si plein de boîtes dépendaient d’un logiciel libre, qu’il y ait eu un rachat – alors on ne peut pas vendre, c’est plus de la prestation de services, on peut donc dépendre de différentes manières –, mais, avec du logiciel libre, structurellement on n’est jamais à ce point enfermé et complètement dépendant. Là, soit ils continuent et ils acceptent de payer ces tronçons, quelque part, soit ils repartent de zéro, ils doivent complètement changer leur infrastructure, leur fonctionnement. | ||
| + | |||
| + | <b>Pierre Beyssac : </b>Là, ça change complètement les équations. Je pense que, selon les cas particuliers, des gens vont décider de payer et des gens vont décider de migrer sur autre chose, sachant que la migration n’est jamais facile non plus. Même si tu décides de remplacer, ce sont facilement des mois de travail. | ||
| + | |||
| + | <b>Étienne Gonnu : </b>C’est pour cela que c’est bien de le faire avant d’avoir des gros problèmes, comme nos amis du land allemand qui ont décidé de sortir de Microsoft avant de se prendre, peut-être, des augmentations du prix des licences, on ne sait pas.<br/> | ||
| + | Merci beaucoup pour cette présentation. Je trouve que c’est une manière intéressante de souligner cet enjeu de la dépendance. Du coup, ça faisait écho à la première actu.<br/> | ||
| + | Est-ce que vous voulez réagir ? En fait, on a sauté l’actu qu’on avait prévue avant, désolé pour mes camarades autour de la table, mais ça nous servira de dessert, ça sera très bien.<br/> | ||
| + | Est-ce que vous voulez réagir ? Pierre, je t’ai interrompu, mais si tu voulais dire encore autre chose. Florence, Isabelle si vous voulez réagir. | ||
| + | |||
| + | <b>Florence Chabanois : </b>Quand on fait un choix de logiciel ou d’architecture, on aura tendance à se renseigner autour de soi et plutôt à suivre un mouvement de foule, en tout cas se dire « vu que mes pairs font ça », il y a un facteur rassurant. On a vu avec Vmware et Oracle qu’on peut, en réalité, être dans la mouise tous ensemble. Quand il y a des arguments qui pèsent dans ce sens, mais auxquels on ne fait pas attention au moment de faire le choix : se demander à quel point on est libre, à quel point on pourra quitter cette solution si ça pose problème, le fait qu’on soit nombreux ou nombreuses permet de se dire que c’est le bon choix. Parfois, j’ai l’impression qu’on préfère se tromper tous ensemble que prendre le risque d’être à l’écart et de gérer, au cas où il y aurait un problème, par contre je serais toute seule ou tout seul. Je pense que dans nos décisions de gouvernance c’est quelque chose qui est très dur, parce que, en plus, on passe peut-être pour quelqu’un d’anxiogène « oui, on ne peut pas gérer tous les cas, oui, s’il y a une bombe atomique, s’il y a la guerre, s’il y a un rachat », mais ce sont des choses qui arrivent réellement sur des postures monopolistiques, pour le coup.<br/> | ||
| + | Je trouve super intéressant que ce soit arrivé.<br/> | ||
| + | Le point que ça soulève en moi, c’est le changement de modèle. Tu l’as dit, les prix ont flambé et c’est aussi un changement de consommation. Jusqu’ici c’était un paiement <em>one shot</em>, en une fois, et ils basculent dans un modèle qui se fait de plus en plus sur l’usage, sur l’abonnement, en disant tous les mois on va payer et c’est là où c’est l’enfer pour les personnes qui souscrivent, parce que, forcément c’est plus et ça veut dire qu’on perd un peu du contrôle. Ça paraît fou et pas possible ! Même sans rachat, en fait, ce n’est nous qui décidons de la tarification donc tout peut changer du jour au lendemain. Je faisais le parallèle avec la brique de tout à l’heure et c’est presque drôle. Je me disais que si, aujourd’hui, j’achète une brique, je fais mon mur, le mur est à moi. Là on arrive quand même dans un modèle où j’achète la brique et chaque année ou chaque mois qui passe je paye un abonnement, ça paraît effectivement inconcevable.<br/> | ||
| + | Je trouve qu’il n’y a vraiment que dans le logiciel qu’on se permet quand même de faire ce genre de changement de modèle, comme si c’était tout à fait normal, alors qu’à la base, ce ne sont pas des services, ce sont des produits pour le coup. | ||
| + | |||
| + | <b>Étienne Gonnu : </b>Je trouve que ça ferait un lien très intéressant avec le dessert qu’on a prévu. Je ne veux pas interrompre s’il y a un dernier mot à dire, très court Pierre. | ||
| + | |||
| + | <b>Pierre Beyssac : </b>Jusque-là, les éditeurs de logiciels vendent logiciel à l’unité, donc on est sensé, entre guillemets, « le posséder » et ça va effectivement tout à fait faire la transition avec la suite. Mais ils ont envie d’un modèle avec un revenu récurrent garanti sur la durée, donc tu ne payes plus, tu n’es plus client, tu n’as plus de logiciel. Ça met donc les clients en position de vulnérabilité avec la nécessité de payer la maintenance, l’évolution du logiciel sur la durée. | ||
| + | |||
| + | <b>Étienne Gonnu : </b>Dans un cas, ces propriétaires rançonnent, ils font du bénéfice sur le fait qu’on soit dépendant du logiciel, là où sur du logiciel libre, c’est par la qualité du service, en général, qu’on va plutôt s’assurer. Rien n’est magique non plus, pour mettre un avis tout à fait biaisé sur la question.<br/> | ||
| + | Je vous propose donc de passer à notre dessert. | ||
| + | |||
| + | [Clochette] | ||
| + | |||
| + | ===Suppression du jeu The Crew par Ubisoft=== | ||
| + | |||
| + | <b>Étienne Gonnu : </b>Il nous reste un peu moins de dix minutes, | ||
Version du 1 mai 2024 à 16:02
Titre : Émission Libre à vous ! diffusée mardi 30 avril 2024 sur radio Cause Commune
Intervenant·e·s :
Lieu : Radio Cause Commune
Date : 16 avril 2024
Durée : 1 h 30 min
[URL Podcast PROVISOIRE]
[URL Page de présentation de l'émission]
Licence de la transcription : Verbatim
Illustration : Déjà prévue
NB : Transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Transcription
Voix off : Libre à vous !, l’émission pour comprendre et agir avec l’April, l’association de promotion et de défense du logiciel libre.
Étienne Gonnu : Bonjour à toutes. Bonjour à tous. C’est le moment que vous avez choisi pour vous offrir une heure trente d’informations et d’échanges sur les libertés informatiques et également de la musique libre.
Nous vous convions ce mardi Au café libre pour débattre autour de l’actualité du logiciel libre et des libertés informatiques, c’est le sujet principal de l’émission du jour. Également au programme, « Après la répet’ du 29 mars 2024, la JDLÉ rejouée », une nouvelle chronique des Costy père et fille. Et enfin, l’insécurité informatique par l’incroyable Luk.
Soyez les bienvenus pour cette nouvelle édition de Libre à vous !, l’émission qui vous raconte les libertés informatiques, proposée par l’April, l’association de promotion et de défense du logiciel libre.
Je suis Étienne Gonnu, chargé de mission affaires publiques pour l’April.
Le site web de l’émission est libreavous.org. Vous pouvez y trouver une page consacrée à l’émission du jour avec tous les liens et références utiles et également les moyens de nous contacter. N’hésitez pas à nous faire tout retour ou à nous poser toute question.
Nous sommes mardi 30 avril, nous diffusons en direct, mais vous écoutez peut-être une rediffusion ou un podcast.
À la réalisation de l’émission, Julie Chaumard. Salut Julie.
Julie Chaumard : Bonjour. Bonjour Étienne.
Étienne Gonnu : Nous vous souhaitons une excellente écoute.
[Jingle]
Chronique « À cœur vaillant, la voie est libre », de Laurent et Lorette Costy, sur le thème : « Après la répet’ du 29 mars 2024, la JDLÉ rejouée »
Étienne Gonnu : « À cœur vaillant, la voie est libre », de Laurent et Lorette Costy
Au café libre (actualités chaudes, ton relax) : débat autour de l’actualité du logiciel libre et des libertés informatiques
Étienne Gonnu : Nous vous souhaitons la bienvenue au Café libre où on vient papoter sur l’actualité du logiciel libre dans un moment convivial. Un temps de débat avec notre équipe de libristes de choc, issus d’une rigoureuse sélection, pour discuter avec elles et eux et débattre des sujets d’actualités autour du Libre et des libertés informatiques.
Aujourd’hui avec moi, autour de la table, Isabelle Carrère membre d’Antanak, qui fait notamment des chroniques régulièrement dans Libre à vous !
Isabelle Carrère : Bonjour.
Étienne Gonnu : Florence Chabanois, responsable ingénierie, fondatrice de La Place des Grenouilles et membre co de Tech. Rocks.
Florence Chabanois : Bonjour tout le monde.
Étienne Gonnu : Et enfin Pierre Beyssac, informaticien libriste de longue date et fondateur de erionem.net.
Pierre Beyssac : Bonjour tout le monde.
Étienne Gonnu : N’hésitez pas à participer à notre conversation au 09 72 51 55 46 ou sur le salon web dédié à l’émission, sur le site causecommune.fm, bouton « chat ». Je précise également que, comme nous en avons pris l’habitude, vous pouvez aussi nous retrouver au Café libre sur PeerTube, l’émission étant exceptionnellement diffusée en vidéo, en direct. Je précise qu’Isabelle préfère ne pas apparaitre sur la vidéo, donc vous l’entendrez, mais vous ne la verrez pas. Merci à mon collègue Fred d’assurer cette diffusion depuis le studio de la régie.
L’État allemand de Schleswig-Holstein fait le choix de migrer vers GNU/Linux
Étienne Gonnu : Pour commencer, je vous propose de démarrer par une nouvelle que je trouve assez réjouissante : l’État allemand du Schleswig-Holstein – mes excuses aux germanophones – donc ce land allemand du nord de l’Allemagne, va abandonner Windows et Microsoft Office. Les 30 000 employés vont progressivement travailler sur un environnement purement logiciel libre. Un land allemand qui couvre quand même une population de trois millions d’habitants, pour donner un peu l’échelle, qui se situe dans le nord de l’Allemagne. Que pensez-vous de cette de cette nouvelle’ Qui veut se lancer ? Vas-y isabelle
Isabelle Carrère : Je vais commencer par dire deux/trois choses, même si je ne suis peut-être pas le mieux placée. Je trouve ça intéressant parce que ce n’est qu’un premier pas qui est fait là et qu’il y a d’autres pas qui vont continuer, si j’ai bien compris, notamment jusqu’en 2026 et ça va donc commencer par la libération du traitement de texte et de tout ce qui est bureautique. Ça commence simplement, ce qui est déjà bien, par LibreOffice. Bon ! C’est super. Le sujet lui-même est bien fait, je le trouve très intéressant, on ne peut que se réjouir, évidemment, de voir des gens qui passent au Libre où que ce soit dans le monde. D’ailleurs, je rappelle qu’à cette occasion il y avait eu d’autres éléments, j’ai trouvé des articles qui ont peut-être fait moins de bruit que l’Allemagne, j’ai trouvé ça rigolo parce que, en fait, il y a eu précédemment la même chose en Turquie. Il y a eu un morceau de la Turquie, une institution, qui a fait la même opération, c’est la municipalité turque de Eyüpsultan qui est passée également au Libre. J’ai cité ce cas-là et je pense qu’il doit y en avoir d’autres ailleurs, dans le monde, que la petite ville turque, je trouve très intéressant qu’on fasse un grand bruit, un grand barouf pour l’Allemagne ! Bref !, c’est drôle.
En tout cas, on espère qu’ils ne vont pas lâcher. Ce que disent beaucoup les médias, je ne sais pas si vous avez un peu regardé plusieurs articles là-dessus, ce que j’ai vu dans les médias différents qui en parlent, c’est que, d’une part, on cite évidemment la question de la gratuité comme étant le sujet central de la raison de ce choix, ce qui est quand même un peu dommage que ce soit présenté comme ça, je ne dis pas que c’est cela qui est voulu par les Allemands, en tout cas c’est comme ça que c’est présenté. L’autre grand axe, qui n’est pas très bien présenté, je trouve, c’est la raison pour laquelle on commence par cet outil-là de la bureautique, et c’est hyper discret sur la façon dont la suite va se faire. Je n’ai trouvé que dans un ou deux articles le fait qu’il y avait un choix : quelle distribution, quel OS, GNU/Linux allait être pris, etc. C’est intéressant comme biais.
Étienne Gonnu : Oui, tu l’as dit. Cinq étapes sont prévues, de ce que j’ai pu lire. J’ai l’impression que c’est effectivement souvent le cas, dans les migrations réussies, d’agir étape par étape, de ne pas faire tout d’un coup. Ce qui est intéressant, tu l’as dit, c’est que dans ces étapes, il y a aussi le système d’exploitation pour avoir vraiment un vrai poste de travail libre et c’est une ambition qui n’est pas toujours là, souvent on s’arrête peut-être à des logiciels métiers. Les logiciels bureautiques, c’est déjà très bien, mais vraiment penser l’intégralité du poste de travail, c’est une ambition qui est quand même aussi à souligner, qui intéressante.
Pierre.
Pierre Beyssac : L’expérience est super intéressante parce qu’il y a eu des précédents, il y a peut-être 10/15 ans en Bavière, notamment à Munich, où il y a eu un retour en arrière, en fait : un déploiement de logiciels libres a été dû être annulé, en fait.
Étienne Gonnu : Pour redonner le contexte, Munich c’était plus qu’une parenthèse. En 2003/2004, ils ont fait une migration vers le logiciel libre qui était plutôt saluée comme étant une vraie réussite, qui a duré une quinzaine d’années, jusqu’en 2017, donc un peu moins de 15 ans. Il y a eu un retour en arrière à ce moment-là. Ce n’est seulement un échec, c’est qu’il y a eu un retour en arrière à l’occasion d’un changement de majorité.
Pierre Beyssac : Tout à fait. Les choses n’ont pas toujours avancè dans le bon sens, ou va dire. Cette expérience montre qu’il y a quand même une évolution en maturité des offres libres ce qui permet quand même d’arriver à des choses. Je sais que je me suis mis à la bureautique sur le tard parce que ça me cassait les pieds d’utiliser du Windows, mais maintenant il y a des outils bureautiques tout à fait corrects en Libre, depuis des années. C’est une preuve qu’il faut un petit peu laisser mûrir le Libre pour arriver à des offres tout à fait pertinentes.
Après, il y a aussi le côté plat de spaghettis d’un environnement tel que Windows où, comme tu le disais, il peut avoir des logiciels métiers qui ne tournent que sous Windows, donc ce n’est pas forcément facile de sortir d’un écosystème une fois qu’on est complètement dedans. Ça peut donc être pas mal de commencer par remplacer les outils de bureautique et puis voir, au fur et à mesure, ce qu’on peut remplacer, ou pas, mais c’est plutôt positif.
Ça pose aussi la question de la souveraineté. J’avais vu un article, sur The Register je crois, une pièce d’opinion, une chronique dans The Register qui est un journal britannique en ligne consacré aux technologies de l’information et au Libre et qui expliquait que, aujourd’hui, avec les nouvelles législations américaines, type FISA, qui obligent les sociétés américaines, pas juste les hébergeurs, maintenant ça peut être aussi les éditeurs de logiciels, les gestionnaires de centres de données, à collaborer avec les renseignements américains, on ne sait pas exactement à quelle sauce on va être mangés en termes de renseignement américain et on n’a aucune parade législative possible en Europe, puisque ce sont des lois qui, par définition, sont des lois américaines extraterritoriales où l’État américain peut demander à des prestataires, des sociétés américaines, de violer la loi européenne. Donc, la protection législative européenne n’est pas suffisante. Ça met en valeur l’utilité du logiciel libre pour se protéger d’ingérences potentielles. Les Américains ne ciblent peut-être pas particulièrement l’Europe, ce sont peut-être d’autres régions qu’ils ciblent, mais voilà. Il y a quand même des problèmes d’intelligence économique qui peuvent se poser derrière. Ça pose donc tout un tas de questions autour de l’adoption du Libre sur la durée.
Étienne Gonnu : Tout à fait, et c’est peut-être une nouveauté relative que cette place de la question de la protection des données personnelles qui était peut-être moins présente et qui l’est notamment par l’application extraterritoriale du droit américain, qui est, du coup, une des motivations, de ce que j’ai compris, de ce land allemand.
Florence, quelle est ta lecture de cet évènement ? Après, on pourra peut-être rentrer plus en détail sur les points que vous souhaitez.
Florence Chabanois : Beaucoup de choses ont été dites. J’ai aussi vu la partie souveraineté numérique, le côté « nos administrés nous font confiance, du coup, on a une responsabilité de protection et de sécurité de ces données-là ». C’est quelque chose qui est relativement récent, pour le coup, dans les choix de ces migrations, alors que la gratuité arrivait beaucoup plus souvent. Personnellement, en lisant cet article, j’étais quand même un peu surprise. Je voulais dire que migrer vers LibreOffice, c’est facile comme migration ! Je suis étonnée qu’il y ait un article, parce qu’il me semble qu’il y a des écoles, ça me semblait quand même assez courant comme type de migration. Après, par contre, j’ai compris que le fait de migrer aussi des OS, c’est effectivement plus rare que ce soit global, et surtout qu’on fasse un bilan, qu’on se dise « on ne va pas juste faire la migration sans se demander, au bout d’un moment, ce que ça a apporté, ou détruit, par rapport au fait que tout changement est douloureux ». Je pense que l’interopérabilité, par rapport au reste du monde, va énormément peser dans le sentiment de réussite ou pas.
Du coup, j’espère que d’autres lands i vont les rejoindre, parce que, même ça l’interopérabilité a été posée comme un des critères de base, si on apparaît juste comme des gents qui font différent des autres, c’est vrai que c’est un peu compliqué sur la durée.
Pierre Beyssac : C’est vrai que l’existence de formats libres, comme les formats de LibreOffice et la possibilité de relire les formats des suites Windows aide vraiment beaucoup à ce genre de migration, parce que ça n’a pas toujours été aussi facile qu’aujourd’hui.
Étienne Gonnu : Pour rebondir sur ce que tu disais, dans ce que mettait en avant l’article de The Register que tu as mentionné, on voit que ce ne sont pas seulement des questions techniques, en réalité, qu’il y a de vrais enjeux géopolitiques derrière, des rapports de force politiques et que Microsoft en l’occurrence, mais ce n’est pas le seul, quand on parle des géants du numérique, pour reprendre ce vocable, a un poids politique énorme. On voit qu’il y a tout un enjeu et c’est ce que disait cet article de The Register : sur ce cas-là, ça ne se joue pas qu’au niveau de ce land ; Microsoft a peur de cet effet boule de neige qui fait que, finalement, une région va se libérer, va en entraîner d’autres, il y a donc de très forts efforts de lobbying.
En France aussi, Nancy était un exemple de municipalité, de collectivité qui avait fait du Libre ; changement de majorité ! C’est aussi de la fragilité de ces choses-là, d’où l’importance de bien les ancrer, les penser dans le temps. On espère donc que ce land allemand va bénéficier des « erreurs », entre guillemets, du moins des échecs relatifs du passé pour toujours mieux réfléchir et mieux avancer. En tout cas, il y a un enjeu important.
Vas-y Isabelle.
Isabelle Carrère : Juste un truc à rajouter, quand même. Ça m’étonne beaucoup. Quand j’ai lu, j’ai eu effectivement la même réflexion que Florence, je me suis dit « LibreOffice ça va, c’est bon ! ». Il y a 30 ans, je faisais des formations sur LibreOffice au ministère de l’Environnement en France ! Ce n’est quand même pas le grand choc ! En plus, LibreOffice c’est quand même une communauté qui a fait les choses super bien, c’est-à-dire qu’elle les a faites pour que ça ressemble… Je défie quiconque, là maintenant, d’aller me trouver des trucs qui marcheraient dans les documents.doc de Word versus les documents de LibreOffice Writer. De gros efforts ont vraiment été faits là-dessus, parce que LibreOffice fonctionne sur des plateformes Linux, mais aussi sous Windows et ils ont même fait des versions pour Mac. Ils ont vraiment travaillé là-dessus, sur ce champ-là. Et là, maintenant, encore en 2024, on dit « faisons un accompagnement du changement pour aller sur LibreOffice » ! Ça me fait trop marrer, ce n’est vraiment pas sérieux ! Qu’on fasse travailler les informaticiens/informaticiennes sur des choses, j’allais dire un peu plus « sérieuses », entre guillemets : oui, la sécurité, les données, les plateformes, les annuaires, tous ces machins-là, dans des entreprises, dans un État ou dans une municipalité, etc., dont acte ! Mais LibreOffice, ça va !
Étienne Gonnu : Est-ce qu’on a pas un biais, là, de personnes qui ont des compétences informatiques, qui ont une vision. C’est facile, mais, en même temps, il y a les usages. On sait combien les usages peuvent être très ancrés. Il peut y avoir des résistances. Je suis d’accord que ce n’est pas le plus difficile, mais, en fait, je n’en sais rien ; pour moi c’est une évidence, mais quand il y a des services entiers, qui ont des habitudes, avec le chef ou la cheffe qui utilise Microsoft et qui n’a pas conscience qu’il y a des enjeux derrière. N’est-ce pas le premier cran à enclencher qui n’est pas si anodin que ça ! C’est justement parce que c’est peut-être plus facile, que les formations sont accessibles, qu’il y a plein de compétences qui existent autour ?
Isabelle Carrère : Je ne sais pas.
Florence Chabanois : Je pense que tout seul, cela ne joue pas tellement. Ce changement est en effet fragile s’il est tout seul. Je pense que là où il y a quand même un tournant, c’est le fait que ce soit tout un écosystème et aujourd’hui, avec LibreOffice, SharePoint va aussi migrer dans le cadre de ce land-là. Du coup, dans tous les usages qu’on a en entreprise ou dans une administration, à quel point tout va bien se communiquer facilement, dans le sens « je peux sauvegarder facilement, je peux échanger facilement ». Je pense que c’est là où, peut-être, il y a une nuance : le fait de dire je suis sur Google, toi tu es sur Microsoft, du coup on galère un peu avec des partenaires parce qu’on ne parle pas la même langue, ça peut être un frein. J’espère qu’on ira plus loin que LibreOffice.
Étienne Gonnu : Comme première étape, mais pas comme étape exclusive.
Pierre Beyssac : Il y a quand même encore une forte présence de Microsoft dans les esprits. Encore beaucoup de gens, même la plupart des gens parlent de feuille Excel, ils ne parlent pas de feuille de tableur, ou document word. Je ne sais pas, je ne me rends pas bien compte par rapport à ce que dit Florence : est-ce qu’il y a vraiment des gens qui sont collés à Word ou à Excel au point de ne pas pouvoir changer d’outil ? Il y a des fonctions assez particulières dans Excel, je ne connais pas Word, ça peut donc être un frein au changement. Après, c’est vrai que pour 95 % des usages, LibreOffice peut remplacer sans soucis pour pratiquement tout le monde.
Isabelle Carrère : Cette habitude-là, l’accompagnement du changement, c’est un truc de consultant, ce n’est pas une chose dont on a besoin obligatoirement !
Pierre Beyssac : Ça fait du service à vendre.
Isabelle Carrère : Voilà ! Ça fait du service à vendre avant, pendant, après, bref ! C’est très bien ! Il y a ça et surtout, du coup, ça permet de ne pas parler des vrais sujets. Par exemple, comme tu le dis, les espaces collaboratifs : où pouvoir partager des documents, où pouvoir avoir une plateforme libre, ce seraient des vrais sujets sur lesquels on pourrait mettre en avant les choses, plutôt que juste un tableur, un traitement de texte et puis un diaporama. Oui, c’est vrai que les gens disent « tu vas faire un powerpoint » au lieu de dire « tu vas faire un diaporama ». Oui c’est vrai, je le vois tous les jours à Antanak, tous les jours des gens me demandent « est-ce que je vais avoir Word et Excel sur l’ordinateur que vous me donnez ? ». OK ! Mais ça va ! Ce que je veux dire c’est que des individus, des particuliers, viennent, des gens qui sont éloignés, pour qui cet ordinateur va être le premier, qu’eux réagissent comme ça, je peux le comprendre. Après que des gens, des informaticiens, des informaticiens, ce que je ne suis pas, pour un État allemand, peu importe où il est, le présentent comme ça, ce n’est pas sérieux ! Ne peut-on pas, plutôt, aller sur le sur le fond : c’est quoi d’utiliser du logiciel libre ? C’est quoi d’avoir des systèmes d’exploitation libres ? Quelles sont les valeurs qu’on veut mettre en avant, là, ou pas ? Où est-ce qu’on va ? Si ça n’est qu’une question économique ! Certes la souveraineté numérique est importante, mais, pour moi, elle n’est pas suffisante, parce que cette souveraineté numérique est juste la façade de ce dont il est question derrière en termes capitalistes. Donc, que veut-on ?
Étienne Gonnu : Florence.
Florence Chabanois : Ce que tu dis soulève une autre question. Pour moi, aujourd’hui, Microsoft est quand même en perte de vitesse, même sur les outils bureautiques, au profit de la suite Google. En effet, je dis encore Excel, c’est ??? [32 min 54], donc je m’embrouille, après je dis tableur. Mais on n’a pas ces sujets-là pour une migration de Microsoft vers Google, on ne parle pas de transition, alors que les outils sont complètement différents. Et c’est parce qu’on parle de Libre qu’on a une perception, qu’on garde des à priori négatifs, que c’est quelque chose qu’il va falloir accompagner, que ce sera douloureux, alors que c’est complètement différent sur Google par rapport à Microsoft et là, comme on parle entre GAFAM, pas de problèmes ! Ce sera instinctif !
Étienne Gonnu : Ce sont des imaginaires, on y revient souvent. Je pense que c’est une bataille culturelle. C’est difficile de sortir de ce qui nous est imposé comme étant des normes informatiques, celles de Microsoft ou de Google pour ne citer qu’eux. Il y a une citation dans un des articles qui dit, je cite cet article : « Le land n’a pas non plus caché le fait que les budgets publics, donc l’argent des contribuables – on y revient – serait mieux investi dans de véritables services de programmation de l’économie numérique nationale plutôt que dans le paiement de droits de licence ». Je trouve que c’est toujours intéressant de voir, et c’est cela qu’on distingue, qu’on loue un service, finalement, qu’on ne maîtrise pas du tout, une location par licence, ou alors on investit et on devient aussi propriétaire et pas tout seul, puisque ce qui est investi au niveau de land-là peut bénéficier à n’importe qui d’autre puisque c’est du logiciel libre. Je trouve toujours intéressant quand cette approche est prise en compte par les décisionnaires, parce que j’ai l’impression que ce n’est pas toujours le cas ; je trouve que ça montre une certaine maturité sur la question. Je suis sans doute très optimiste, mais je trouvais intéressant que cet aspect de la question ressorte.
Avez-vous encore des choses à dire sur ce sujet ou on passe au suivant ? C’était l’entrée ou le plat principal, il n’y a pas forcément de hiérarchie dans notre café. On avance.
Je n’ai pas la clochette, je ferai un petit « ding ».
Fred, je pensais que tu voulais interagir excuse-moi. Il ne s’est rien passé. Je vous invite à nous retrouver sur PeerTube si vous voulez voir les coulisses de l’émission. D’ailleurs, si vous voulez nous suivre sur PeerTube, vous trouvez le lien sur le site de la radio.
La porte dérobée dans l’outil XZ
Étienne Gonnu : Sujet suivant, qui est moins réjouissant, que je trouve néanmoins intéressant. Une vague de compromission a touché le cœur de nombreuses distributions GNU/Linux via du code malveillant et qui a débouché sur une porte dérobée dans les bibliothèques XZ, je vais être complet, XZ version 5.6.0 et 5.6.1, XZ étant un format de compression de données à usage général, présent dans presque toutes les distributions GNU/Linux.
Je passerai la parole à Florence ou à Pierre, pour poser, déjà, quelques éléments de compréhension : c’est quoi une bibliothèque ? Une distribution, je pense que tout le monde voit un peu, mais peut-être remettre deux/trois mots, qu’on ait un peu ces éléments partagés.
Isabelle Carrère : C’est quoi une compromission ? C’est quoi une chaîne d’approvisionnement ? Plein de termes à expliquer pour que les gens comprennent.
Étienne Gonnu : Le sujet est complexe et on sait que les sujets de sécurité informatique, c’est pour cela que je pensais que c’était important d’en parler, sont des sujets récurrents dans l’actualité, récurrents aussi dans les craintes. Dans certains imaginaires, le logiciel libre peut être perçu comme quelque chose de plus fragile, alors qu’en réalité, on sait que, techniquement, c’est même plutôt plus robuste du fait de cette transparence partagée, on pourra y revenir dans notre conversation. Je veux bien quelques éléments de compréhension, de définition. Vas-y Florence. Déjà qu’est-ce que c’est qu’une bibliothèque et qu’il y ait une faille de sécurité sur une bibliothèque XZ.
Florence Chabanois : Une bibliothèque, c’est un utilitaire, c’est donc un bout de code, un outil qu’on va utiliser dans d’autres logiciels, qu’on incorpore dans notre code qui va servir dans un autre service.
Étienne Gonnu : Est-ce que c’est comme une brique pour construire une maison ?
Florence Chabanois : C’est bien ça, c’est comme une brique pour construire une maison, c’est comme le ciment utilisé pour faire un mur, c’est quelque chose qu’on utilise indirectement. Du coup, s’il y a une faille justement dans le ciment ou la brique pour construire le mur, ce qui est le cas ici dans le cadre de cette librairie, tout le mur est compromis. Au niveau de la compression, c’est quelque chose qui est utilisé dans énormément de logiciels et, comme tu l’as souligné, la quasi-totalité, pour moi c’était même la totalité des systèmes d’exploitation, parce que, sinon, ça veut dire que tout prend la place maximale.
Isabelle Carrère : La compression, c’est vraiment une question de diminution d’espace, c’est comme le.zip dans le monde qui est le nôtre ? C’est ça ?
Florence Chabanois : C’est ça. On ne voit pas la compression, c’est transparent pour les utilisatrices et utilisateurs, mais c’est quelque chose qu’on a partout, dans tous les échanges sur Internet, même à l’intérieur, parce qu’en termes de stockage ça peut jouer.
Il y a d’autres termes à clarifier ?
Étienne Gonnu : Distribution. Je vais juste parler de distribution GNU/Linux.
Florence Chabanois : C’est un système d’exploitation, ce n’est pas vraiment une version, on va dire que c’est comme une marque.
Pierre Beyssac : Un ensemble d’outils avec le centre du système qui est le noyau, clé en main, pour avoir quelque chose utilisable.
Étienne Gonnu : Super. Il y a eu une émission sur le sujet, je n’ai pas son numéro en tête, sur le site libreavous.org, vous tapez « distribution », si la question vous intéresse.
Je pense qu’on a balisé les principaux éléments techniques de compréhension.
Isabelle Carrère : Dans l’article sur lequel on est, on parle de la question de la compromission. Que veut dire « compromission » dans un système informatique ?
Florence Chabanois : C’est un peu comme une faille. Là, ça s’assimile facilement à un cheval de Troie, j’entends dans le sens mythologique, même si ce n’est pas, à proprement parler, un cheval de Troie en termes de compromission, mais c’est quelque chose qu’on fait et la façon dont c’est censé interagir : quelqu’un d’autre ou un autre système est venu corrompre ça et faire en sorte que ça ne marche pas comme c’est prévu.
Isabelle Carrère : D’accord. C’est vraiment une action une action humaine d’un développeur, une développeuse, quelque part ailleurs qui est venue sur cet outil-là.
Pierre Beyssac : C’est comme une sorte de pot-de-vin en version logicielle : tu détournes quelque chose de son usage premier.
Florence Chabanois : Il y a vraiment quelque chose de malveillant, quand on dit compromission. Ce n’est pas juste oups !, j’ai un accident.
Étienne Gonnu : On sait qu’il peut y avoir des failles de sécurité dans tout logiciel, libre ou pas, et la plupart du temps c’est parce qu’il y a eu une erreur ou parce qu’un lien entre deux bouts de code ne va pas fonctionner comme prévu et que des personnes pourront en profiter. Compromission, comme c’est le cas, il y a eu une action : ces failles-là ont été mises volontairement, ce qui est très rare, me semble-t-il, dans le logiciel libre.
Florence Chabanois : C’est une attaque.
Étienne Gonnu : Une attaque organisée.
Pierre Beyssac : Ce qui est intéressant c’est de voir comment ça a été monté parce que c’est une attaque extrêmement sophistiquée, sur la durée.
XZ est un format de compression particulier, ce sont des fichiers qui ont l’extension.xz, on n’en voit pas tous les jours, ce n’est pas le format le plus répandu.
Les attaquants qui, manifestement, sont plusieurs, le truc est trop bien organisé pour que ça ne vienne que d’une seule personne, se sont attaqués à ce logiciel-là, qui était, en gros, mono auteur, un auteur qui, à la fois, avait des soucis personnels, il a dit qu’il avait des problèmes d’ordre psychologique, il était un peu épuisé, il n’avait pas beaucoup de temps à consacrer au logiciel, parce que c’est quelque chose de bénévole de sa part. Des bons samaritains sont arrivés en lui disant « ne t’inquiète pas, on va t’aider. » En gros, pendant deux ans, ils l’ont aidé à faire évoluer le logiciel, à faire de nouvelles versions, à ajouter des fonctionnalités et puis, un jour, discrètement, ils ont rajouté la faille. En fait, petit à petit, ils ont acquis sa confiance sur la durée, notamment une personne a acquis sa confiance sur la durée, donc c’était assez vicieux. L’un d’eux a fait des modifications complètement anodines, des évolutions logicielles normales, et puis un jour, une fois qu’il a eu les droits suffisants sur le logiciel pour pouvoir faire les modifications lui-même, sans vérification par l’auteur initial, il a donc acquis des droits au fil du temps, il a fini par introduire la faille qui est assez subtile : elle n’est pas dans le code principal, celui que tout le monde regarde, tout le monde inspecte, elle était dans les jeux de tests, elle était planquée dans des jeux de tests qui servent à vérifier que le logiciel une fois compilé, une fois assemblé, fonctionne correctement. C’était donc caché là et ça n’était activé que lors de la préparation du logiciel pour le mettre dans une distribution Linux ou autre. Donc, ce n’était pas visible dans le code source habituel.
Ensuite, une fois que le truc a été validé, ils ont poussé côté distribution pour le faire avancer le plus vite possible dans la distribution. Par ailleurs, ils se sont aussi débrouillés pour le faire intégrer dans un outil qui s’appelle SSH, qui est un outil de connexion à distance, qui n’a pas besoin de ce XZ en fait, ou très peu. Ils ont donc réussi à le faire entrer là-dedans pour introduire une vulnérabilité, la vulnérabilité recherchée qui était d’avoir une porte dérobée dans les connexions à distance des administrateurs système.
C’est donc vraiment un truc en plusieurs étapes et ça a été découvert quasiment par hasard par quelqu’un qui venait d’installer le logiciel
Étienne Gonnu : J’ai son nom : Andres Freund, un développeur PostgreS.
Pierre Beyssac : Un développeur PostgreS ? D’accord ! Et je crois que le monsieur bossait chez Microsoft, j’ai cru voir ça quelque part
Étienne Gonnu : Je ne saurais pas dire.
Pierre Beyssac : Il se servait de SSH. Un jour. il a vu que SSH mettait un petit peu de temps, plus de temps que le temps normal pour établir une connexion, ça mettait quelque chose comme une demi-seconde au lieu d’être instantané. Il a donc creusé, ce qu’on ne fait pas forcément ; quand un logiciel se traîne, on se dit qu’il y a un problème réseau ! Il a donc creusé, il a découvert le pot aux roses. Après, il y a eu un une sorte d’audit de toute la communauté libre pour comprendre, donc remonter tous les éléments dont je vous ai fait part, pour voir que l’attaque avait été préparée de longue date.
C’est assez flippant, parce qu’on l’a découvert un peu par accident. Le truc était très subtil mais pas assez subtil parce que, à la fin ça, ça a quand même été découvert relativement vite, avant que ça soit diffusé dans tous les systèmes, mais ça fait un peu froid dans le dos de se dire qu’il pourrait y avoir d’autres attaques plus réussies, d’ailleurs il y en a peut-être eues, on ne sait pas trop. Ce qui est rassurant c’est de se dire qu’il y a quand même des gens vigilants et qu’on a pu remonter. Évidemment, on ne sait toujours pas d’où ça vient. Les personnes qui ont introduit la faille avaient des noms asiatiques, mais, si ça vient d’un service secret asiatique, ils ne vont peut-être pas mettre des noms asiatiques, donc ça ne veut absolument rien dire.
Ça a mis en garde toute la communauté, notamment logiciel libre, sur comment éviter ça à l’avenir. Ça ne met pas spécialement en cause plus particulièrement le logiciel libre. On n’aurait sans doute pas découvert, on n’aurait sans doute pas fait l’audit, on n’aurait pas pu remonter les traces aussi facilement si ça avait été dans un logiciel propriétaire, on ne l’aurait peut-être même pas encore découvert, il y a eu des cas similaires dans les logiciels propriétaires, des intrus, des insertions de code malveillant par des employés ou par des gens, pareil, qui venaient aider.
Ça pose donc tout un tas de questions sur le développement logiciel, la vérification de qualité, la protection contre les attaques, tout un tas de choses.
Le développeur de cURL, qui s’appelle Daniel Stenberg, une autre bibliothèque très connue, également un outil utilisé énormément dans le web, c’est un des outils de référence pour faire des automates, notamment pour récupérer des pages web, c’est un outil très connu, en réponse, a publié la liste des mesures qu’il prenait de son côté, qu’il avait d’ailleurs déjà prises pour certaines, pour éviter qu’un cas similaire se produise dans cURL.
Isabelle Carrère : Ce que je comprends dans ce sujet XZ, c’est que c’est dans une version de développement. En fait, c’est pendant des tests et des resets, c’est ça ? Ce n’était pas sur une version stable des distributions ?
Pierre Beyssac : Oui et non, parce que c’était dans l’étape de compilation et c’était planqué dans les jeux de tests, mais c’était quand même utilisé à la compilation.
Isabelle Carrère : Mais pour une version en cours de mise à jour.
Pierre Beyssac : Non. Ça a été poussé dans des versions de production.
Isabelle Carrère : Des versions stables ?
Étienne Gonnu : Là, vous parlez de production de versions stables, de distributions…
Isabelle Carrère : Là, on a dit que ça n’avait pas attaqué toutes les distributions, c’est ce que je comprends, ça a attaqué notamment Debian, Fedora, Arch Linux. Est-ce que ça veut dire que toutes les dérivées de Debian sont également concernées ?
Pierre Beyssac : Pas vraiment, ça dépend à quelle vitesse ça percole dans les différentes mises à jour.
Isabelle Carrère : D’où ma question. Alors stable, pas stable, même moi je sais répondre. Il y a des versions long terme.
Étienne Gonnu : Il y a des versions faites pour le grand public et des versions faites pour les personnes qui ont des compétences plus poussées, il y a donc des fonctionnalités qui ne sont pas encore validées, qui leur sont uniquement accessibles.
Isabelle Carrère : Et qui ne seront pas embêtées s’il y a des choses qui ne sont tout à fait comme elles l’attendent, contrairement aux gens qui, comme moi, ont besoin de stabilité pour les choses, donc qui ne prennent que du long terme. Du coup là-dessus, ce que vous dites tous les deux, c’est que ça a attaqué aussi les versions stables.
Pierre Beyssac : Oui certaines versions. Les attaquants ont quand même poussé aux côtés d’au moins une distribution Linux et je crois que c’était Red Hat, sous réserve, ils sont quand même intervenus pour dire « regardez, il y a la nouvelle version de XZ qu’il faudrait mettre à jour dans votre distribution parce qu’elle a des fonctionnalités super intéressantes ».
Étienne Gonnu : Je vais laisser Florence réagir. Une question à laquelle tu pourras peut-être répondre. Les personnes qui nous écoutent et qui peut-être, en écoutant Libre à vous ! ou, pour une autre raison, ont installé chez elles une Debian, Arch Linux, Ubuntu, faut-il qu’elles s’inquiètent ou est-ce que les correctifs ont été mis dans les mises à jour ? Est-ce que, justement, il faut très vite mettre à jour ?
Florence Chabanois : Ça a été supprimé. Pour répondre à ta question, dès que ça a été su, une nouvelle mise à jour a été mise en place pour qu’on retire la version défaillante, qui pose problème.
Après, par rapport à ta question, Isabelle, sur les versions majeures, c’est une version majeure de XZ qui a intégré le problème et ça a impacté beaucoup de distributions, vous avez noté Red Hat, Fedora, Debian, openSUSE. Maintenant, là où je ne suis pas sûre, c’est si ça a touché une version stable de ces distributions. Par contre, si c’était des versions officielles, c’était peut-être des versions mineures. En fonction de à quel point on met souvent à jour ses distributions, être impacté ou pas.
Étienne Gonnu : De ce que disait Pierre, je vois deux choses. Effectivement la réaction de la communauté du logiciel libre, la capacité, la robustesse aussi du fonctionnement de la communauté parce qu’il y avait énormément d’utilisateurs et d’utilisatrices de XZ. Un autre point, ça me fait penser à une autre faille qui était extrêmement connue, qui a fait beaucoup de bruit, Heartbleed, il y a maintenant quelques années et j’ai l’impression qu’il y a un point commun, je ne sais pas si c’était aussi une bibliothèque, bref ! On a un logiciel libre critique utilisé par énormément de monde mais maintenu par une seule personne, ou très peu de personnes, et c’est là où ça vient faire de la faille.
Quand il s’agit de réagir la communauté est capable de se relever les manches et d’agir collectivement, mais on voit aussi toute l’importance. Je repense à l’actu d’avant : le land qui, peut être, va mettre du temps de travail concret de personnes qui vont pouvoir contribuer à des logiciels critiques ; je sais que la Commission européenne, par certains financements soutient, peut-être en réaction à Heartbleed, met des financements pour soutenir. Il y a quand même aussi un enjeu pour les pouvoirs publics, les entreprises, à éviter ces situations où un logiciel, une brique logicielle, est soutenue par une seule personne, maintenue par une seule personne. J’ai l’impression que c’est aussi à un des nerfs de la guerre
Pierre Beyssac : Pour Heartbleed, c’était sur OpenSSL, c’était lié à une bibliothèque de sécurité, également utilisée partout et effectivement maintenue par très peu de gens.
Étienne Gonnu : C’est donc un problème récurrent. De mon regard de néophyte sur la question, j’ai l’impression que c’est souvent une des questions, un des aspects.
Florence Chabanois : Je pense qu’on est bien content quand il y a une personne qui passe sa vie, sacrifie sa vie justement à faire quelque chose qui sert à tout le monde. Je voyais ce souci aussi comme un signal d’alarme.
J’ai vu quelque part, je ne sais pas si vous avez vu la même chose, Pierre ou Isabelle, que la personne dont j’ai oublié le nom de l’auteur, du commiter principal, avait aussi beaucoup de pression pour lâcher des revs et qu’il a fini par craquer sous la pression de la communauté qui lui disait « évite d’être bus factor, partage ! »
Étienne Gonnu : Le bus factor, c’est le seul à conduire le camion, le bus, et s’il a un accident un accident plus personne n’est là pour le conduire. Donc, il n’y a pas qu’un problème de personnes qui veulent contribuer, c’est aussi une question de pouvoir sur un logiciel.
Florence Chabanois : C’est aussi une question de pouvoir. Disons que, chez soi, on a sa façon de faire et ça rajoute aussi du travail, dans un premier temps, de partager, de former, de faire confiance. C’est là où il y avait un peu d’amertume et d’ironie dans cette histoire, c’est que la personne ne faisait pas confiance. Et parce que c’était devenu une librairie qui était cruciale, on veut diminuer le ???, le fait de lisser sur plusieurs personnes, parce que s’il arrive quelque chose ou que la personne gagne au loto, par exemple, elle s’en va, elle ne travaille plus dessus, que les systèmes qu’ils utilisent puissent continuer à vivre. Du coup, il a craqué, il a laissé ça.
Après, ce qu’on entend un peu en sous-titre, c’est que les personnes qui font de l’open source le font sur leur temps libre, sont adulées et détestées à la fois, ne sont pas tellement protégées, on ne prend pas tellement soin d’elles et eux et ces personnes travaillent gratuitement. La gloire, c’est cool, mais il n’y a pas que la gloire, il y a aussi des haters qui viennent avec dès que ça ne marche pas aussi bien partout ou qu’une fonctionnalité n’arrive pas assez vite. Je pense que c’est quelque chose dont il faut avoir quand même assez conscience.
Étienne Gonnu : Haters, c’est un anglicisme, ce sont les personnes qui s’énervent en ligne.
Pierre Beyssac : Des harceleurs.
Étienne Gonnu : Littéralement des harceleurs.
Pierre Beyssac : En fait, il y a les deux les deux facettes. Il y a quand même des grosses boîtes qui utilisent le Libre, qui ont des développeurs, typiquement, par exemple, Red Hat, mais Google aussi, qui font de la contribution par des gens qui sont payés pour faire du Libre et ça peut être pas mal, même s’il y a d’autres points d’intérêt.
Florence Chabanois : Il y a d’autres problèmes.
Pierre Beyssac : Mais inversement, il y a aussi des boîtes qui utilisent des logiciels contributifs, comme ça, avec des très peu de développeurs, des développeurs bénévoles. J’ai déjà vu des développeurs bénévoles qui « sonnaient l’alarme », entre guillemets, en public, qui montraient le genre de messages qu’ils se prenaient de sociétés pour qui tel le bout de logiciel libre était crucial pour leur business, il y avait un bug dedans et elles leur disaient, en gros, « attention, on est en train de perdre beaucoup d’argent à cause des bugs, si vous vous pouviez vous dépêcher, parce que ça va bien, mais il faudrait corriger ça vite fait ! ». Les mecs même pas aimables !
Il y a un peu des tensions là-dessus entre les intérêts commerciaux et la capacité des développeurs qui ne sont pas forcément payés pour ça, qui sont gratifiés par leur contribution et son utilité, et sur qui des gens, qui eux, sont payés pour ça, tombent pour les faire avancer plus vite.
Isabelle Carrère : Il y a ce que disait Étienne, ce que tu soulevais tout à l’heure, le lien avec notre sujet précédent, c’est-à-dire qu’est-ce qu’on a envie de faire, qu’est-ce qu’on a envie de pousser comme fonctionnement des pouvoirs publics, des institutions, etc., comme étant garants de quelque chose là-dessus ? Est-ce qu’il faut qu’ils mettent de l’argent, du financement ? Oui mais pourquoi, comment ? J’ai l’impression que ce n’est pas évident comme sujet.
Pierre Beyssac : Ce sont tous les sujets de financement du Libre qu’il faut faire évoluer.
Étienne Gonnu : Au-delà du financement, c’est aussi une question de gouvernance. Ce que disait Florence : en fait, la personne qui détenait les droits d’auteur et qui avait la maîtrise, le créateur du logiciel, qui avait cette maîtrise-là, qu’il ne voulait pas lâcher, qui n’avait pas un vrai fonctionnement communautaire à la base et puis, finalement, il a cédé à des pressions. Du coup,, quelque part, il a mal cédé, sans lui jeter de pierre. Ce sont, bien sûr des questions compliquées.
Pierre Beyssac : C’est très difficile.
Étienne Gonnu : Peut-être une question intéressante, je ne l’ai pas en détail, notamment et je pense qu’elles n’étaient pas les seules, les réactions des communautés libristes, il y a celles qui ont participé à corriger le bug. Je sais que la Fondation Eclipse, une grande fondation autour du logiciel libre a réagi. Quitte à avoir des failles, autant que ça produise du positif derrière, pour répondre à toutes les questions qu’on se pose. Avez-vous vu des réactions, que ce soit celle d’Eclipse ou d’autres, qui vous ont paru posséder des bases intéressantes d’évolution ?
Pierre Beyssac : Je n’en ai pas vu beaucoup, à part celle que j’ai citée, de la communauté cURL, qui expliquait ce qu’ils avaient fait de leur côté pour limiter ce genre de risque.
Florence Chabanois : Par rapport à Eclipse, ils ont fait des spécifications communes de sécurité, des règles de bonnes pratiques de sécurité. Il y a plusieurs signataires : Apache Software, Blender, PHP, Python. OpenSSL. C’est déjà un bon signal dans la mesure où ces technologies sont assez répandues.
Maintenant dans les deux cas, que ce soit cURL ou Eclipse, je trouve que c’est intéressant mais, en vrai, léger, dans le sens où on passe un peu à côté du problème. En rajoutant plus de règles, en vrai on a quelqu’un, on a un système qui a besoin de soutien et, du coup, qui s’est laissé berner, mais c’est difficile à voir. Est-ce qu’au bout de cinq ans on s’en serait rendu compte, s’ils avaient mis plus de temps à insérer la faille ? Je trouve qu’on passe un peu à côté du débat et la problématique d’origine.
Du coup, par rapport à ce qu’on disait tout à l’heure, je pense qu’il faut vraiment des moyens institutionnels pour l’open source, je ne sais pas si c’est une taxe, en tout cas qu’il y ait une contribution obligatoire quand on profite de l’open source. C’est ça qui assurera la pérennité et fera en sorte que plus de sécurité soit possible.
Par rapport à cet événement, quelque chose m’a marqué par rapport à un mythe qu’on peut avoir : on peut entendre que le Libre est le plus sécuritaire possible dans la mesure où tout le monde voit ce qu’il se passe et je trouve ça super intéressant. Maintenant, je me dis qu’il y a des failles partout, c’est juste qu’on ne les connaît pas encore. En réalité, c’est comme une entreprise, ce n’est ni mieux, ni moins, ou moins risqué : l’erreur est humaine, la confiance s’acquiert et il n’y a pas de système parfait.
C’est donc un sujet qu’il faut continuer à creuser à l’avenir et toujours à mettre en place des garde-fous, d’une façon ou d’une autre.
Étienne Gonnu : Là, on parle d’une bibliothèque logicielle que 99 % de la population ne connaît pas et c’est normal, je ne connaissais pas avant d’avoir lu cette info, mais, en fait, dont nous dépendons quasiment toutes et tous, parce que tant de parts de nos vies dépendent des réseaux informatiques ; ça faisait visiblement partie de ces éléments quand même présents qui font tourner quasiment tous les réseaux informatiques dont on dépend assez largement. On voit donc l’intérêt, presque comme un service public quelque part, de s’assurer que ce réseau informatique dont dépend l’exercice de nos libertés, nos interactions avec les administrations, nos interactions aussi entre nous, soit aussi fiable et aussi sûr que possible. On voit peut-être une certaine légitimité à se dire que notre contribution par l’impôt ou par d’autres choses, par nos organisations collectives, serve à s’assurer que ce réseau partagé fonctionne à peu près bien, qu’il ne repose pas sur un bénévole tout seul dans son coin, qu’on a les correctifs à temps, et comment on gère tout ça. En fait, il faut du logiciel libre partout !
Isabelle Carrère : Tout en faisant attention à ce que, s’il y avait une taxe ou s’il y avait des fonctionnements, des financements ou des choses qui soient décidées ailleurs, que ça ne tue pas des pratiques, des principes ou des façons de faire du logiciel libre au sens générique. Ce que tu disais tout à l’heure, Pierre : OK, c’est une faille qui a été finalement vite vue, par rapport à ce qu’on aurait pu imaginer, peut-être qu’il y en a d’autres qu’on a pas vues, ailleurs, dans d’autres mondes propriétaires, il faut quand même pas l’oublier et relativement vite réparée. C’est quand même le bon côté de l’information, de la nouvelle. C’est touchy, il ne faudrait pas que des fonctionnements qui seraient soit une taxe, soit une obligation de quelque chose : si un État ou une institution donne des moyens, généralement, derrière, il faut une vérification de ce qui est fait avec ces moyens, etc., des procédures et que ça n’alourdisse pas ou que ça ne tue pas, tout simplement, la liberté qu’on souhaite.
Pierre Beyssac : Tu as tout à fait raison. À fortiori, des gens qui sont bénévoles n’ont pas forcément envie de se casser la tête avec des procédures compliquées.
Étienne Gonnu : C’est aussi une des forces du Libre que le fork : se dire que si on n’est pas très content, le code reste accessible et on peut vraiment sortir d’une manière de faire et on peut toujours proposer autre chose. C’est pour cela que c’est une liberté absolument fondamentale, comme dans nos démocraties.
Isabelle Carrère : Tant qu’elles restent libres.
Étienne Gonnu : J’aime bien prendre ce parallèle : la liberté et le droit à l’insurrection : quand on juge que c’est tyrannique, on repart et on refait comme cela nous semble plus juste.
D’autres mots, ou on avance. Je pense que c’étaient les deux actus principales.
Pierre Beyssac : On a toujours le problème de la sécurité logicielle, on n’a pas trouvé de solution encore à ce jour, on n’est pas capable d’assurer qu’un logiciel n’a pas de failles et, à fortiori, n’a pas de bugs.
Isabelle Carrère : J’ai envie de dire heureusement, il reste quelque chose d’humain. Nous ne sommes pas parfaits, youpi !
Pierre Beyssac : Oui, encore le côté de magique. Il peut y avoir des failles introduites volontairement, mais il y a aussi des failles introduites involontairement avec les trous de sécurité. C’est pour cela qu’on a des mises à jour des systèmes, etc. Il faut savoir qu’il y a des attaquants très malins, qui attendent, qui n’essayent pas d’introduire des failles parce que ça permettrait peut-être de remonter jusqu’à eux, mais qui se contentent d’utiliser les failles existantes. Ils se débrouillent pour les connaître avant nous et les garder secrètes. Il y a tout un marché gris de consultants en sécurité qui découvrent des failles et qui ne les publient pas, qui les vendent au plus offrant, souvent des États d’ailleurs, qui s’en servent pour attaquer des systèmes sur des failles que personne d’autre qu’eux ne connaît.
Étienne Gonnu : Tout peut être transformé en marchandise !
Pierre Beyssac : C’est assez particulier comme activité !
Florence Chabanois : Ils peuvent aussi les vendre à l’entreprise qui a commis la faille, pour le coup !
Pierre Beyssac : Ça doit se faire, c’est vrai, c’est assez complexe. Il y a un exemple célèbre avec la NSA qui avait accumulé ce qu’ils appelaient le coffre au trésor de failles il y a peut-être 15 ans. Ils avaient toute une série de failles, dans Windows notamment, qu’ils étaient obligés de dévoiler à Microsoft ou aux éditeurs, en l’occurrence Microsoft, au bout de trois mois ; la loi américaine les obligeait à les dévoiler au bout de trois mois, mais ils les ont gardés pendant des années pour s’en servir, en fait. Un jour ça a fuité de chez eux, ça a donné lieu à toute une série de virus, il y a eu a une quinzaine d’années, qui ont été attribués aux Chinois, aux Russes et je ne sais qui d’autre.
Il y a donc tout un monde obscur en sécurité informatique, derrière tout ça, qui est assez impressionnant et très compliqué.
Étienne Gonnu : Un sujet complexe.
On a passé beaucoup de temps sur ces deux premières actus mais, à mon sens, c’étaient vraiment deux gros morceaux qui méritaient qu’on y passe du temps. Je propose d’avancer.
Juste peut-être redire que si vous utilisez du logiciel libre, une distribution Debian, à priori c’est corrigé. Et de manière générale, que vous utilisiez du Libre ou pas, maintenez vos systèmes à jour, je pense que c’est une bonne pratique d’hygiène.
Je vous propose d’avancer à notre plat suivant.
[Clochette]
Le rachat de VMware par Broadcom et augmentation des prix de licence
Étienne Gonnu : Un autre sujet un peu complexe. Pierre, tu voulais l’aborder. La dernière fois on n’en a pas parlé, ça ne parle pas directement de logiciel libre, mais ce sont aussi des questions de licence. Finalement, on parle de libertés informatiques, là de dépendance à des licences avec une illustration très précise. Vmware, une boîte qui maintenait un logiciel qu’énormément d’entreprises utilisaient – tu vas nous préciser de quel logiciel il s’agit – a été rachetée par Broadcom, une multinationale américaine, qui a littéralement, parce qu’elle le pouvait, là on parle d’une licence propriétaire, elle avait donc acquis la maîtrise de cette licence, a décidé, de son côté, parce qu’elle en était capable, d’augmenter, je crois fois 10 le prix des licences, en plus tout en modifiant les conditions d’utilisation du logiciel avec des conditions moins favorables. Ça a fait énormément de bruit par les très nombreuses entreprises qui utilisaient ce logiciel, un logiciel très répandu et incontournable.
Pierre Beyssac : Oui, c’est Vmware, c’est ce qu’on appelle un logiciel de virtualisation, c’est-à-dire que ça permet de faire tourner plusieurs systèmes, plusieurs machines, sur une seule machine physique. On a donc des machines virtuelles et c’est très utilisé notamment dans le cloud, les clouds Amazon sont basés là-dessus, les clouds de Microsoft etc également. C’est un logiciel qui est pas mal utilisé par des entreprises quand elles veulent mettre en commun leurs serveurs, optimiser l’usage de leurs serveurs, la gestion et l’administration de leurs serveurs. C’est un logiciel commercial, je ne connais pas exactement les tarifs, ni les conditions de licence, c’est un logiciel qu’il faut acheter. Je crois qu’il y a eu une version gratuite à une époque.
Du jour au lendemain, Broadcom, qui a racheté la boîte, était en position de force, pas une position monopolistique mais une position commercialement très favorable parce que son logiciel est très apprécié – ce sont aussi toutes les histoires de l’écosystème : il y a des logiciels équivalents qui permettent de le remplacer, mais il faut tout refaire chez soi, il faut tout réinstaller. En gros, c’est comme quand tu veux refaire ta cuisine avec un autre fabricant, il faut tout virer, tout refaire, même si, à la fin, tu as quand même une cuisine et ça revient au même. En fait, on est pieds et poings liés avec eux et ils ont essayé d’en profiter avec leurs clients en monétisant au mieux leur position de force, c’est-à-dire en augmentant brutalement les prix. Ils ont complètement revu leur offre commerciale pour up saler, comme on dit, c’est-à-dire vendre aux utilisateurs plus que ce qu’ils avaient demandé initialement. Les utilisateurs se plaignent, forcément, parce qu’ils voient leur facture flamber de 10 à 40, j’ai eu des exemples assez hallucinants. En fait, ça change l’équation.
L’équation, c’est souvent de dire qu’on ne va pas prendre du Libre parce qu’il manque des morceaux, on ne va pas prendre tel fournisseur parce qu’il manque des morceaux. J’ai tout clé en main chez tel autre, ça me coûte moins cher, à la fin, parce que mon activité ce n’est pas d’aller faire des petits bouts de chewing-gum pour relier de l’infrastructure, mon métier c’est aller vendre des taxis ou vendre ceci ou cela, donc je n’ai pas envie de passer du temps, je vais acheter quelque chose clé en main, commercialement adapté à ce que je veux faire, parce que ça me revient moins cher au final. Mais, évidemment, quand la facture est multipliée par 10 du jour au lendemain, ça rebat complètement les cartes et ça peut inciter à réétudier l’équation commerciale qu’on vous propose.
Sur une durée plus longue, il y a eu le même genre de chose avec les bases de données Oracle. Oracle est un grand de la base de données, c’est un élément qui était longtemps critique, qui est critique dans pas mal de systèmes informatiques, pour lequel il n’avait pas vraiment d’équivalent libre. Au fil du temps, des bases de données libres comme MySQL, PostgreS, se sont améliorées, ont complété en fonctionnalités, ce qui fait que, aujourd’hui, 90 % des usages d’Oracle peuvent être remplacés facilement par du Libre, mais il faut tout refaire. En fait Oracle, à force de pousser le bouchon, a incité les clients, quand ils refont leur système de zéro, au bout de 20 ans, à prendre du Libre plutôt que prendre l’offre commerciale qui coûte très cher, parce que ça convient parfaitement aux besoins.
Étienne Gonnu : Pour préciser. Dans une situation équivalente, si plein de boîtes dépendaient d’un logiciel libre, qu’il y ait eu un rachat – alors on ne peut pas vendre, c’est plus de la prestation de services, on peut donc dépendre de différentes manières –, mais, avec du logiciel libre, structurellement on n’est jamais à ce point enfermé et complètement dépendant. Là, soit ils continuent et ils acceptent de payer ces tronçons, quelque part, soit ils repartent de zéro, ils doivent complètement changer leur infrastructure, leur fonctionnement.
Pierre Beyssac : Là, ça change complètement les équations. Je pense que, selon les cas particuliers, des gens vont décider de payer et des gens vont décider de migrer sur autre chose, sachant que la migration n’est jamais facile non plus. Même si tu décides de remplacer, ce sont facilement des mois de travail.
Étienne Gonnu : C’est pour cela que c’est bien de le faire avant d’avoir des gros problèmes, comme nos amis du land allemand qui ont décidé de sortir de Microsoft avant de se prendre, peut-être, des augmentations du prix des licences, on ne sait pas.
Merci beaucoup pour cette présentation. Je trouve que c’est une manière intéressante de souligner cet enjeu de la dépendance. Du coup, ça faisait écho à la première actu.
Est-ce que vous voulez réagir ? En fait, on a sauté l’actu qu’on avait prévue avant, désolé pour mes camarades autour de la table, mais ça nous servira de dessert, ça sera très bien.
Est-ce que vous voulez réagir ? Pierre, je t’ai interrompu, mais si tu voulais dire encore autre chose. Florence, Isabelle si vous voulez réagir.
Florence Chabanois : Quand on fait un choix de logiciel ou d’architecture, on aura tendance à se renseigner autour de soi et plutôt à suivre un mouvement de foule, en tout cas se dire « vu que mes pairs font ça », il y a un facteur rassurant. On a vu avec Vmware et Oracle qu’on peut, en réalité, être dans la mouise tous ensemble. Quand il y a des arguments qui pèsent dans ce sens, mais auxquels on ne fait pas attention au moment de faire le choix : se demander à quel point on est libre, à quel point on pourra quitter cette solution si ça pose problème, le fait qu’on soit nombreux ou nombreuses permet de se dire que c’est le bon choix. Parfois, j’ai l’impression qu’on préfère se tromper tous ensemble que prendre le risque d’être à l’écart et de gérer, au cas où il y aurait un problème, par contre je serais toute seule ou tout seul. Je pense que dans nos décisions de gouvernance c’est quelque chose qui est très dur, parce que, en plus, on passe peut-être pour quelqu’un d’anxiogène « oui, on ne peut pas gérer tous les cas, oui, s’il y a une bombe atomique, s’il y a la guerre, s’il y a un rachat », mais ce sont des choses qui arrivent réellement sur des postures monopolistiques, pour le coup.
Je trouve super intéressant que ce soit arrivé.
Le point que ça soulève en moi, c’est le changement de modèle. Tu l’as dit, les prix ont flambé et c’est aussi un changement de consommation. Jusqu’ici c’était un paiement one shot, en une fois, et ils basculent dans un modèle qui se fait de plus en plus sur l’usage, sur l’abonnement, en disant tous les mois on va payer et c’est là où c’est l’enfer pour les personnes qui souscrivent, parce que, forcément c’est plus et ça veut dire qu’on perd un peu du contrôle. Ça paraît fou et pas possible ! Même sans rachat, en fait, ce n’est nous qui décidons de la tarification donc tout peut changer du jour au lendemain. Je faisais le parallèle avec la brique de tout à l’heure et c’est presque drôle. Je me disais que si, aujourd’hui, j’achète une brique, je fais mon mur, le mur est à moi. Là on arrive quand même dans un modèle où j’achète la brique et chaque année ou chaque mois qui passe je paye un abonnement, ça paraît effectivement inconcevable.
Je trouve qu’il n’y a vraiment que dans le logiciel qu’on se permet quand même de faire ce genre de changement de modèle, comme si c’était tout à fait normal, alors qu’à la base, ce ne sont pas des services, ce sont des produits pour le coup.
Étienne Gonnu : Je trouve que ça ferait un lien très intéressant avec le dessert qu’on a prévu. Je ne veux pas interrompre s’il y a un dernier mot à dire, très court Pierre.
Pierre Beyssac : Jusque-là, les éditeurs de logiciels vendent logiciel à l’unité, donc on est sensé, entre guillemets, « le posséder » et ça va effectivement tout à fait faire la transition avec la suite. Mais ils ont envie d’un modèle avec un revenu récurrent garanti sur la durée, donc tu ne payes plus, tu n’es plus client, tu n’as plus de logiciel. Ça met donc les clients en position de vulnérabilité avec la nécessité de payer la maintenance, l’évolution du logiciel sur la durée.
Étienne Gonnu : Dans un cas, ces propriétaires rançonnent, ils font du bénéfice sur le fait qu’on soit dépendant du logiciel, là où sur du logiciel libre, c’est par la qualité du service, en général, qu’on va plutôt s’assurer. Rien n’est magique non plus, pour mettre un avis tout à fait biaisé sur la question.
Je vous propose donc de passer à notre dessert.
[Clochette]
Suppression du jeu The Crew par Ubisoft
Étienne Gonnu : Il nous reste un peu moins de dix minutes,
