« Note sur le cloud » : différence entre les versions

De April MediaWiki
Aller à la navigationAller à la recherche
Ligne 93 : Ligne 93 :


C'est pourquoi, avant et pendant l'utilisation d'une application en ''cloud computing'', l'utilisateur doit être, de manière claire et en caractère lisible,  parfaitement informé de la destination de ses données et de l'usage qui peut en être fait. Ce n'est ici que faire application du droit à l'information. Son consentement clair et non équivoque doit également être recueilli.   
C'est pourquoi, avant et pendant l'utilisation d'une application en ''cloud computing'', l'utilisateur doit être, de manière claire et en caractère lisible,  parfaitement informé de la destination de ses données et de l'usage qui peut en être fait. Ce n'est ici que faire application du droit à l'information. Son consentement clair et non équivoque doit également être recueilli.   
Il conviendrait également de proposer à l'utilisateur, pendant l'utilisation de l'application en cloud computing, un système simple et accessible à tous de sauvegarde en local de ses données. La mobilisation du Data Liberation Front  pour le développement de Google takeout est l'illustration de la prise de conscience du besoin de conservation en local de certaines données. On peut également conseiller à l'utilisateur l'usage d'un système de sauvegarde libre en local de ses données comme Debian FreedomBox <ref> http://wiki.debian.org/FreedomBox </ref> ou DreamPlug <ref> http://www.newit.co.uk/shop/proddetail.php?prod=DreamPlug </ref>.   
Il conviendrait également de proposer à l'utilisateur, pendant l'utilisation de l'application en cloud computing, un système simple et accessible à tous de sauvegarde en local de ses données. La mobilisation du Data Liberation Front<ref>http://www.dataliberation.org/</ref> pour le développement de Google takeout<ref>https://www.google.com/accounts/ServiceLogin?service=backup&passive=1209600&continue=https://www.google.com/takeout/&followup=https://www.google.com/takeout/</ref> est l'illustration de la prise de conscience du besoin de conservation en local de certaines données. On peut également conseiller à l'utilisateur l'usage d'un système de sauvegarde libre en local de ses données comme Debian FreedomBox <ref> http://wiki.debian.org/FreedomBox </ref> ou DreamPlug <ref> http://www.newit.co.uk/shop/proddetail.php?prod=DreamPlug </ref>.   


Tout développement d'application en libre en liaison avec le ''cloud computing'' doit donc :  
Tout développement d'application en libre en liaison avec le ''cloud computing'' doit donc :  

Version du 2 août 2011 à 14:41

Cloud computing et logiciels libres :amis ou ennemis ?


Ambox warning red construction.png
/!\ Travail en cours /!\

Cette page présente un texte de synthèse en cours de réalisation.

Si vous souhaitez participer, n'hésitez pas à laisser votre avis sur la page de discussion en suivant au mieux ces recommandations.


Tout utilisateur est confronté un jour ou l'autre au cloud computing ou "informatique en nuage", sans même en avoir conscience. Courriels, photos, agenda, contacts, archives, publications, outils collaboratifs... L'ensemble de ses données peut être stocké dans le nuage (cloud) et cela dans un intérêt pratique, ou pas. Le jour où les données se perdent dans le nuage, l'utilisateur prend vite conscience de sa dépendance à la nébuleuse car il se retrouve rapidement comme vidé de son identité [1]. Tout le monde ne jure désormais que par le « cloud computing ». Pour les entreprises des NTIC, c'est l' effervescence au sujet de cette technologie. Mais concrètement, qu'est-ce que le cloud computing ou "informatique en nuage" ?

L'un des systèmes grand public les plus connus que l'on pourrait qualifier de système d'informatique en nuage est la messagerie gmail de Google. Il peut aussi s'agir, par exemple, d'un système de stockage de photos. Les entreprises, voire les particuliers, peuvent également disposer de leur nuage privé pour un stockage centralisé de leurs données.

Juridiquement, le cloud computing, ou informatique en nuage, est un «  mode de traitement des données d'un client, dont l'exploitation s'effectue par l'internet, sous la forme de services fournis par un prestataire. L'informatique en nuage est une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients. »[2]. Les applications et les données ne sont donc plus sur un serveur local mais bien dans un « nuage » de serveurs reliées entre eux par une bande passante et l'utilisateur y a accès, le plus souvent via une application web. Cette définition de ce que pourrait être l'informatique en nuage n'est pas révélateur de son caractère protéiforme et de sa complexité. L'informatique en nuage n'est pas qu'un "mode de traitement", c'est un mode de centralisation du Net dont le développement, dans le respect des libertés de chacun,est un enjeu majeur.

Présentation

Pourquoi cette note ?

La Commission européenne a mis en place une consultation publique sur l'informatique en nuage qui se clôturera à la fin du mois d'août 2011[3]. La consultation porte sur les modalités d'utilsation du cloud et fais suite à un rapport sur le futur du cloud computing[4], Chaque acteur du secteur des nouvelles technologies doit donc, dès à présent, donner sa position sur la question de « l'informatique en nuage ».

Les entreprises dominantes telles que Google, Amazon ou Microsoft penchent nettement en faveur d'un développement exponentiel de l'informatique en nuage. Les estimations de croissance annoncées par la Commission européenne ne peuvent en effet qu'encourager les entreprises à se lancer, tête baissée, dans le cloud computing (taux de croissance annuel de 19,5% dans l'informatique en nuage et recettes mondiales des services d'informatique dans le cloud de 148, 8 milliards USD d'ici à 2014).

En revanche, comment doit se positionner le monde du libre sur ce sujet ? L'April estime qu'il convient de participer à cette consultation européenne car il s'agit d'un sujet touchant directement les logiciels libres. Des domaines comme le droit à l'interopérabilité ou les brevets logiciels sont concernés par le développement de l'informatique en nuage. Le monde du libre ne peut rester à l'écart de cette consultation publique.

Contenu du nuage

Pour l'Agence nationale pour la sécurité des systèmes d'information (ANSSI), Les architectures de cloud computing mettent généralement en œuvre des technologies de calcul distribué et de virtualisation. Par extension, le cloud computing tend à désigner toutes les offres de services qui s’appuient sur de telles architectures, accessibles via Internet ou un autre réseau, qu’elles soient publiques ou restreintes à une communauté (« nuage communautaire ») ou encore à usage interne de l’entreprise (« nuage privé »)[5]. Il n'existe pas un unique nuage mais une multitude aux contenus et contours différents.

L'informatique en nuage, en réalité, regroupe sous un seul et même terme imaginé une multitude de pratiques qui n'ont pas les mêmes finalités. Le terme "informatique en nuage" ou "cloud computing" n'est qu'un mode de catégorisation de l'ensemble des technologies permettant des offres de services basées sur le calcul distribué etla virtualisation. Cette catégorisation est remise en cause par certains comme Larry Ellison, qui dénonce l'effet de mode « L’industrie de l’informatique est l’industrie la plus sujette aux modes, encore plus que la mode féminine. Je suis peut-être idiot, mais je ne comprends pas un mot de ce dont il retourne. De quoi parle-t-on ? C’est du grand n’importe quoi. Jusqu’à quand va-t-il falloir subir ces idioties ? »[6]

Intérêts non négligeables pour les utilisateurs

L'intérêt principal de l'informatique en nuage est d'externaliser la capacité de stockage et les infrastructures s'y afférant. Cela permet à l'utilisateur de bénéficier d'une infrastructure, pour la gestion de ses courriels par exemple, sans avoir à stocker les données reçues ou émises en local. L'avantage est de libérer l'utilisateur des contraintes du stockage de ses données, contraintes qui peuvent évoluer dans le temps. Le cloud computing permet en effet également une grande évolutivité. Ainsi l'utilisateur n'a pas besoin, à l'avance, de prévoir la capacité de stockage dont il va avoir besoin puisque cette capacité s'adapte en temps réel à ses besoins. Et Il ne se compose pas uniquement de services standardisés. Les nuages privés contiennent souvent des applications personnalisées. Personnalisation et évolution, deux points bien connu des logiciels libres . Le cloud computing permettrait également une réduction du coût financier du stockage des données. Nul besoin en effet pour l'entreprise ou le particulier de planifier l'achat ou la location d'un matériel de stockage imposant puisque celui-ci se fera à distance sur les serveurs du tiers. S'agissant du coût financier de l'informatique en nuage, ses partisans mettent en avant les gains générés par la virtualisation. Cependant, le coût des forfaits, de la virtualisation des infrastructures, du développement de plates formes personnalisées, de l'intervention d'une multitude de prestataires peut être supérieur aux gains annoncés. Enfin, le cloud computing serait bénéfique pour l'environnement dans sa participation à la dématérialisation de l'informatique[7].

Si on s'en tient à cette simple présentation, on ne peut qu'encourager le développement de l'informatique en nuage dans sa visée de développement des applications et des capacités de stockage des données. Cet intérêt du cloud computing est loin d'être négligeable et préfigure sans doute l'informatique de demain. Cependant, le monde du numérique n'est pas le pays des bisounours et l'informatique n'est pas formé que des nuages de bonnes intentions.

Risques de l'informatique en nuage

Pertes de contrôle des données

Pour Richard Stallman, c'est un rejet clair du cloud computing, qu'il qualifie de campagne marketing[8] et de « piège à la solde des systèmes propriétaires »[9]. En résumé, l'informatique en nuage, serait un concept créé par des gérants de logiciels propriétaires pour leur développement personnel. Les logiciels libres n'auraient donc pas, d'après lui, leur place dans la stratosphère de l'informatique en nuage. Il explique que l'usage du cloud computing conduit irrémédiablement à une « perte de contrôle » de l'usage de ses données contraignant l'utilisateur à l'usage de logiciels propriétaires de sécurité. En effet, l'utilisateur d'applications en cloud computing confie, sans en avoir conscience, la gestion de ses données à un tiers tout en ignorant leur localisation précise, d'où la « perte de contrôle ». R. Stallman ne voit aucun intérêt à une telle démarche quant à la gestion de ses données personnelles et préconise la conservation en local.

Perte de maîtrise du système d'information

Perte de gouvernance

Le développement de nuages standardisés sous contrôle de grands fournisseurs ne peut être encouragé. Les nuages standardisés obligent les utilisateurs à se plier aux contraintes et volontés des fournisseurs de cloud. Les utilisateurs ne peuvent en aucun cas s'opposer à de nouvelles conditions d'utilisation ou exigences financières des fournisseurs, sous peine de voir leur accès à leurs données disparaître. Un parallèle peut ici être effectué avec la situation où les éditeurs de logiciels propriétaires imposent leurs nouvelles versions de logiciels au gré de leurs envies. Les utilisateurs sont aussi dépendants du prestataire tiers quant à la modification, la suppression ou la conservation des données.

De plus, les utilisateurs n'ont aucun moyen de contrôle sur l'activité du fournisseur de services en cloud sur leurs données. Ils ignorent la localisation de leurs données, les modalités techniques de leur conservation, les systèmes d'intervention à distance. L'identité et le nombre des personnes pouvant y avoir accès (sous-traitant, responsable du traitement, partenaires commerciaux ...) n'est même pas chose certaine parfois.

Dépendance technologique

Les services en cloud, tels qu'ils sont conçus et exploités à ce jour, ne garantissent pas à l'utilisateur un libre choix des technologies utilisées pour la gestion de ses données. Il est difficile pour lui d'envisager un changement de service (comme un changement de messagerie par exemple) car cela peut s'avérer techniquement très compliqué et nécessiter du temps et de la patience !

D'un point de vue technique, la possibilité d'échanger ses données, et par voie de conséquence, la possibilité de télécharger ses données dans un format admis par d'autres services est un droit souvent bafoué par les services dans le nuage. Ce n'est ni plus ni moins que le droit à l'interopérabilité qui est ici en jeu. Et le danger d'un format unique sous contrôle de Google, Microsoft ou Amazon est bien réel. Pour preuve, le Distributed Management Task Force (DMTF), consortium de grandes sociétés des NTIC, a créé un groupe de travail aux fins d'établir les standards de l'informatique en nuage. A ce sujet, le gouvernement a lancé un appel à projets « Informatique en nuage- Cloud computing » dont l'un des points d'attention est l'interopérabilité et l'ouverture[10]. Le dépendance technique qui risque de découler du développement de l'informatique en nuage touche donc le droit à l'interopérabilité et donc directement les logiciels libres. En conséquence, le monde du libre ne doit pas être exclu de ces réflexions sur la standardisation du nuage, sous peine de ne pouvoir s'y s'épanouir. Le droit à l'interopérabilité ne doit pas être sacrifié sur l'autel de l'informatique en nuage.

Un système basé uniquement sur la confiance des utilisateurs envers les fournisseurs de services en cloud n'est pas tenable Un développement de l'informatique en nuage laissé à la libre régulation de fournisseurs de services aboutirait à une véritable dépendance des utilisateurs vis-à-vis des fournisseurs. La liberté des utilisateurs est ici en jeu. Cette situation n'est pas admissible et il convient donc d'empêcher la prise de contrôle de l'informatique en nuage par les grands fournisseurs de services. Pour Eben Moglen, le cloud se résume pour lui en la liberté des serveurs, et non des utilisateurs, sans aucune possibilité de contrôle : « Alors «nuage» signifie que les serveurs ont gagné la liberté, la liberté de se déplacer, la liberté de la danse, la liberté de combiner et de séparer et re-agrégées et faire toutes sortes de trucs. Les serveurs ont gagné la liberté. Les clients n'ont rien gagné. Bienvenue sur le nuage. ». Difficile dans ces conditions d'imaginer une combinaison logiciels libres / cloud.

La lutte contre les brevets logiciels est également impacté par le risque de dépendance technologique lié au développement de l'informatique en nuage. En effet, si le cloud computing vient à être contrôlé par des brevets logiciels, la place des logiciels libres risque d'être grandement menacée. Il ne sera pas possible de l'étudier, d'en faire usage sans autorisation du détenteur du brevet, de le diffuser librement et d'y apporter des améliorations. Les possibilités d'enrichissement du nuage par les innovations issues du libre seraient nulles.

Insécurité

Alors que la sécurité de l'informatique en nuage est une condition préalable à son développement, les fournisseurs de services en cloud ne s'expriment pas beaucoup sur ce sujet. Les piratages de comptes gmail ou encore la perte de données de 77 millions d'utilisateurs de Playstation Network sont pourtant des illustrations des problèmes de sécurité inhérents à l'informatique en nuage. Les utilisateurs n'ayant aucun pouvoir de contrôle sur le système de gestion de leurs données, ils concèdent la sécurité de celles-ci au fournisseur de service en cloud. Le fournisseur de services en cloud, en sa qualité de responsable du traitement, est tenu d'une obligation de sécurité pour le cas des données à caractère personnel[11] mais il est difficile de s'assurer de son respect. L'informatique en nuage, mélange de technologies arrivées à maturité et en cours de développement, n' a pas encore apporté la preuve de son infaillibilité et il est difficile à ce jour d'évaluer les risques pour les données de l'usage d'une telle technologie. Il ne faut donc pas céder sans réfléchir à ses appels. Le temps dira si l'on peut avoir pleinement confiance après dissipation du brouillard en cette technologie ou si elle conservera à jamais un caractère nébuleux.

Centralisation du réseau

Pour Eben Moglen [12]. Le problème ne provient de 'informatique en nuage mais de notre compréhension de ce qu'est internet: « Je n'ai pas mentionné le mot «nuage» parce que le mot «nuage» ne signifie pas vraiment grand-chose. En d'autres termes, la catastrophe n'est pas la catastrophe du nuage. La catastrophe provient de la façon dont nous avons mal compris le Net sous l'assistance du logiciel non-libre qui nous a aidé à le comprendre (…) ». Nous n'aurions pas donc compris qu'est réellement Internet et avons été dupé par les logiciels non- libres. Internet ne serait pas finalement celui que l'on pense.

Internet a la particularité de ne pas être centralisé. On assiste pourtant actuellement un phénomène de centralisation du réseau. L'informatique en nuage participe au phénomène de centralisation du réseau par le développement de centre de ressources et de données. A l'avenir, si l'informatique en nuage continue ainsi son développement, Internet ne sera constitué que de centres. L'émergence de centres sous contrôle de fournisseurs de services en nuage conduit irrémédiablement à l'instauration de barrières à l'accès au réseau. Ces barrières sont une menace grave pour les logiciels libres qui sont développés justement parce que l'accès au réseau n'est pas contrôlé par des "barrières propriétaires". Si le réseau se polarise à terme autour de centres à l'accès restrictif, c'est la structure même du réseau qui s'en trouve modifiée et c'est l'avenir des logiciels libres qui s'assombrit. On se dirige vers ce que Benjamin Bayart[13] nomme le Minitel 2.0 en lieu et place de l'Internet libre. La faiblesse du Minitel était justement sa centralisation et c'est ce qu'il faut éviter pour Internet. A titre d'illustration, ce phénomène de centralisation est visible dans l'incompatibilité des conditions d'utilisation de l'Apple store et des logiciels sous licence GPL.

Les logiciels libres doivent participer à l'atténuation de ce phénomène de centralisation par la multiplication des acteurs de contribution et la proposition d'alternatives viables aux centres sous contrôle des grands fournisseurs. Le développement de solutions libres visent également à garantir la neutralité du net, grandement menacée par la centralisation du réseau où la priorité risque d'être donnée aux flux en provenance de ces centres.

Un informatique en libre nuage

Des logiciels libres dans le nuage

Certains se sont lancés dans l'aventure de l'informatique en nuage version logiciels libres. C'est le cas par exemple de Dotcloud, un plate-forme d'hébergement multiple-technologies pour application web à destination des développeurs. Il existe aussi des répertoriations des services libres de l'informatique en nuage dans différents domaines comme les systèmes de stockage et les outils collaboratifs [14]. L'offre cloud d'Ubuntu utilise quant à elle la technologie Open Stack désormais en lieu et place d' Eucalyptus.

Développer son propre nuage

Il n'y a pas d'obligation à naviguer dans les nuages standardisés sous contrôle des logiciels propriétaires. Les logiciels libres doivent permettre le développement de nuages « alternatifs » pour un cloud computing libre et responsable.

Sauvegarde et cloud

Les risques présentés plus haut constituent des obstacles à l'adhésion complète au cloud computing. Si de nombreuses applications de l'informatique en nuage sont utiles à l'utilisateur, il n'en demeure pas moins que le risque de perte de contrôle de la diffusion des données n'est pas négligeable. Afin d'éviter les dangers liés au cloud, le mariage avec les logiciels libres doit être une union responsable. Des mesures doivent être mise en place pour garantir le contrôle par l'utilisateur de ses données.

C'est pourquoi, avant et pendant l'utilisation d'une application en cloud computing, l'utilisateur doit être, de manière claire et en caractère lisible, parfaitement informé de la destination de ses données et de l'usage qui peut en être fait. Ce n'est ici que faire application du droit à l'information. Son consentement clair et non équivoque doit également être recueilli. Il conviendrait également de proposer à l'utilisateur, pendant l'utilisation de l'application en cloud computing, un système simple et accessible à tous de sauvegarde en local de ses données. La mobilisation du Data Liberation Front[15] pour le développement de Google takeout[16] est l'illustration de la prise de conscience du besoin de conservation en local de certaines données. On peut également conseiller à l'utilisateur l'usage d'un système de sauvegarde libre en local de ses données comme Debian FreedomBox [17] ou DreamPlug [18].

Tout développement d'application en libre en liaison avec le cloud computing doit donc : respecter le principe du recueil préalable du consentement de l'utilisateur à la gestion de ses données informer l'utilisateur de l'usage et de la destination de ses données prévoir une anonymisation des données prévoir dans l’idéal un système simple de sauvegarde en local des données ou, à défaut, informer l'utilisateur des moyens de sauvegarde en local à sa disposition

Ce n'est que sous ces conditions que l'union logiciels libres / cloud computing pourra être envisageable. Et ce n'est que sous ces conditions, qui devront être d'application générale pour tout logiciel, propriétaire ou non, qu'il pourra y avoir un développement responsable de l'informatique en nuage.

Références

  1. http://www.twitlonger.com/show/bt2p2o
  2. Informatique en nuage, Vocabulaire de l'informatique et de l'internet, Journal officiel 6 juin 2010, Numéro 129 - Page 10453
  3. http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=cloudcomputing&lang=fr
  4. The future of Cloud computing, opportunities for european cloud computing beyond 2010 http://cordis.europa.eu/fp7/ict/ssai/events-20100126-cloud-computing_en.html
  5. ANSSI, "Externalisation et sécurité des systèmes d'information : maîtriser les risques", p.18 http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-de-l-externalisation/externalisation-et-securite-des-systemes-d-information-un-guide-pour-maitriser.html
  6. http://www.zdnet.fr/actualites/larry-ellison-critique-le-cloud-computing-39383711.htm
  7. Mobilisation des technologies de l'information et des communications (TIC) visant à faciliter le passage à une économie à haut rendement énergétique et à faible taux d'émission de carbone Résolution du Parlement européen du 6 mai 2010 sur la mobilisation des technologies de l'information et des communications (TIC) visant à faciliter le passage à une économie à haut rendement énergétique et à faible taux d'émission de carbone (2009/2228(INI)), Journal Officiel du 15 mars 2011 - Numéro C 81E - Page 107
  8. http://www.guardian.co.uk/technology/2008/sep/29/cloud.computing.richard.stallman
  9. http://www.generation-nt.com/stallman-cloud-computing-logiciel-proprietaire-actualite-163041.html
  10. http://www.industrie.gouv.fr/fsn/cloud-computing/
  11. art.34 Loi 78-16 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
  12. http://www.softwarefreedom.org/events/2010/isoc-ny/FreedomInTheCloud-transcript.html
  13. http://www.fdn.fr/internet-libre-ou-minitel-2.html
  14. http://wiki.fsfe.org/CloudComputing
  15. http://www.dataliberation.org/
  16. https://www.google.com/accounts/ServiceLogin?service=backup&passive=1209600&continue=https://www.google.com/takeout/&followup=https://www.google.com/takeout/
  17. http://wiki.debian.org/FreedomBox
  18. http://www.newit.co.uk/shop/proddetail.php?prod=DreamPlug