« Note sur le cloud » : différence entre les versions

De April MediaWiki
Aller à la navigationAller à la recherche
Ligne 96 : Ligne 96 :
==Un informatique en libre nuage==  
==Un informatique en libre nuage==  


===Élaboration d'un standard ouvert et interopérable pour la transmission des données===
===Élaboration d'un standard ouvert et interopérable pour la portabilité des données===





Version du 10 août 2011 à 08:44

Cloud computing et logiciels libres :amis ou ennemis ?


Ambox warning red construction.png
/!\ Travail en cours /!\

Cette page présente un texte de synthèse en cours de réalisation.

Si vous souhaitez participer, n'hésitez pas à laisser votre avis sur la page de discussion en suivant au mieux ces recommandations.


"J'ai une bonne et une mauvaise nouvelle. Je commence par la mauvaise : tout va disparaître. Vous pouvez dire adieu à vos précieuses données, vos photos, vos films, à votre disque dur régulièrement défragmenté, à vos logiciels préférés. Passons maintenant à la bonne nouvelle : tout va disparaître. Allez hop ! Terminé les données encombrantes, fini les disques durs étriqués, bruyants, poussifs, aux oubliettes les logiciels ventripotents, coûteux et inutiles. Plus besoin. N'ayez crainte : dans tous les cas, vous pouvez quand même continuer à regarder vos photos et vos films, à consulter et modifier vos documents, à écouter votre musique".[1]Voilà comment pourrait être résumé, (avec comme référence grand public gmail ou picassa), les effets de l'informatique en nuage ou cloud computing.

Si, l'informatique en nuage est un "faux- concept" aux contours des plus incertains, il n'en demeure pas moins que l'on ne peut que constater son impact réel dans la réglementation des nouvelles technologies. Sous peine d'exclusion des réflexions sur les TIC de demain, il est impossible de ne pas se positionner sur son développement. L'April, tout en constatant l'absence de clarté dans la conception de l'informatique en nuage, n'est pas opposé à son développement sous condition d'un renforcement du corpus juridique existant pour les entreprises du secteur, en matière de droit à l'interopérabilité, de traitement des données à caractère personnel et de respect de la vie privée.

Présentation

Pourquoi cette note ?

Suite à un rapport sur le futur du cloud computing[2], la Commission européenne a mis en place une consultation publique sur l'informatique en nuage qui se clôturera à la fin du mois d'août 2011[3]. Chaque acteur du secteur des nouvelles technologies doit donc, dès à présent, donner sa position sur la question de « l'informatique en nuage ».

Les entreprises qui dominent actuellement le marché telles que Google, Amazon ou Microsoft penchent nettement en faveur d'un développement exponentiel de l'informatique en nuage. Cette position s'explique par les estimations de croissance annoncées par la Commission européenne (taux de croissance annuel de 19,5% dans l'informatique en nuage et recettes mondiales des services d'informatique dans le cloud de 148, 8 milliards USD d'ici à 2014)[4].

L'April va participer à cette consultation européenne car le monde du libre ne peut rester muet face à un sujet touchant directement les logiciels libres. Des domaines comme le droit à l'interopérabilité ou les brevets logiciels sont concernés par le développement de l'informatique en nuage.

Contenu du nuage

Juridiquement, le cloud computing, ou informatique en nuage, est un «  mode de traitement des données d'un client, dont l'exploitation s'effectue par l'internet, sous la forme de services fournis par un prestataire. L'informatique en nuage est une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients. »[5]. Les applications et les données ne sont donc plus sur un serveur local mais bien dans un « nuage » de serveurs reliés entre eux par une bande passante, confiés à la gestion d'un tiers prestataire et accessibles le plus souvent via une application web. Cependant l'informatique en nuage n'est pas qu'un "mode de traitement", c'est un mode de centralisation du Net dont le développement, dans le respect des libertés de chacun,est un enjeu majeur.

Pour l'Agence nationale pour la sécurité des systèmes d'information (ANSSI), "Les architectures de cloud computing mettent généralement en œuvre des technologies de calcul distribué et de virtualisation. Par extension, le cloud computing tend à désigner toutes les offres de services qui s’appuient sur de telles architectures, accessibles via Internet ou un autre réseau, qu’elles soient publiques ou restreintes à une communauté (« nuage communautaire ») ou encore à usage interne de l’entreprise (« nuage privé »)[6]. Il n'existe donc pas un unique nuage mais une multitude aux contenus et contours divers.

L'informatique en nuage, en réalité, regroupe sous un seul et même terme imaginé une multitude de pratiques aux finalités diverses, d'où l'idée de "faux concept". Le terme "informatique en nuage" n'est qu'un mode de catégorisation de l'ensemble des technologies permettant des offres de services basées sur le calcul distribué et la virtualisation. Cette catégorisation est dénoncée par certains comme Larry Ellison, cofondateur de la société Oracle spécialisée dans la gestion de base de données : « L’industrie de l’informatique est l’industrie la plus sujette aux modes, encore plus que la mode féminine. Je suis peut-être idiot, mais je ne comprends pas un mot de ce dont il retourne. De quoi parle-t-on ? C’est du grand n’importe quoi. Jusqu’à quand va-t-il falloir subir ces idioties ? »[7]

L'informatique en nuage regroupe notamment :

- les services d’infrastructure (Infrastructure as a service IaaS)  : ressources matérielles nécessaires à la mise en place d'une infrastructure avec système d'exploitation et applications

- les services de plate-forme (Platform as a service PaaS) : ressources nécessaires à la configuration d'application via des interfaces de programmation déployées à distance

- les services de logiciels (sofware as a service SaaS) : fourniture d'application utilisables à distance par abonnement plutôt que par achat d'une licence

Intérêts pour les utilisateurs

L'intérêt principal de l'informatique en nuage est de donner à l'utilisateur la possibilité de bénéficier d'une infrastructure, pour la gestion de ses courriels par exemple, sans avoir à stocker les données reçues ou émises en local.

Le cloud computing permet en effet également une grande évolutivité car l'utilisateur n'a pas besoin, à l'avance, de prévoir la capacité de stockage dont il va avoir besoin, celle-ci s'adaptant en temps réel à ses besoins par le fait du tiers prestataire.

Le cloud computing permettrait également une réduction du coût financier du stockage des données par la dématérialisation de la conservation des données. Cependant, le coût des forfaits, de la virtualisation des infrastructures, du développement de plates formes personnalisées, de l'intervention d'une multitude de prestataires peut être supérieur aux gains annoncés.

Enfin, le cloud computing serait bénéfique pour l'environnement dans sa participation à la dématérialisation de l'informatique[8].

Si on s'en tient à cette simple présentation, le développement de l'informatique en nuage doit être encouragé dans sa visée de développement des applications et des capacités de stockage des données. Cependant, le monde du numérique n'est pas le pays des bisounours et l'informatique n'est pas formé que des nuages de bonnes intentions.

Dangers de l'informatique en nuage

Perte de contrôle des données

Richard Stallman, à l'origine du projet GNU, rejette le cloud computing, qui est pour lui une campagne marketing[9], un concept créé par des gérants de logiciels propriétaires pour leur développement personnel, un « piège »[10] dans lequel le logiciel libre n'aurait pas sa place. En effet, son usage conduit irrémédiablement à une « perte de contrôle » de ses données, car l'utilisateur en confie la gestion à un tiers tout en ignorant leur localisation précise. Cela le contraint ensuite à l'usage de logiciels propriétaires de sécurité. R. Stallman préconise la conservation des données en local.

Perte de maîtrise du système d'information

Perte de gouvernance

Les nuages standardisés sous contrôle de grands fournisseurs obligent les utilisateurs à se plier aux contraintes et volontés des fournisseurs de cloud. Les utilisateurs ne peuvent alors s'opposer à de nouvelles conditions d'utilisation ou exigences financières, sous peine de voir leur accès à leurs données disparaître. Un parallèle peut ici être effectué avec la situation où les éditeurs de logiciels propriétaires imposent leurs nouvelles versions de logiciels au gré de leurs envies. Les utilisateurs sont aussi dépendants du prestataire tiers quant à la modification, la suppression ou la conservation des données.

De plus, les utilisateurs n'ont aucun moyen de contrôle sur l'activité du fournisseur de services en cloud sur leurs données. Ils ignorent la localisation de leurs données, les modalités techniques de leur conservation, les systèmes d'intervention à distance. L'identité et le nombre des personnes pouvant y avoir accès (sous-traitant, responsable du traitement, partenaires commerciaux ...) n'est même pas chose certaine parfois.

Dépendance technologique

Les services en cloud, tels qu'ils sont conçus et exploités à ce jour, ne garantissent pas à l'utilisateur un libre choix des technologies utilisées pour la gestion de ses données. Il est difficile pour lui d'envisager un changement de service (comme un changement de messagerie par exemple) car cela peut s'avérer techniquement très complexe et nécessiter du temps et de la patience !

La possibilité d'échanger ses données, et de les télécharger dans un format admis par d'autres services est un droit souvent bafoué par les services dans le nuage. Ce n'est ni plus ni moins que le droit à l'interopérabilité qui est ici en jeu. Il n'existe pas de standard contribuant à l'interopérabilité entre différents nuages et la portabilité des données de l'un à l'autre. Cette absence de standard a pour conséquence directe un enfermement technologique dans un service. A défaut de standard dans la gestion des données, l'utilisateur est dans l'impossibilité de porter ses données d'un service à l'autre. A ce sujet, le gouvernement a lancé un appel à projets « Informatique en nuage- Cloud computing » dont l'un des points d'attention est l'interopérabilité et l'ouverture[11]. Ces réflexions sur la standardisation du nuage concernent les logiciels libres par son impact sur le droit à l'interopérabilité.

Un système basé uniquement sur la confiance des utilisateurs envers les fournisseurs de services en cloud n'est pas tenable. Leur liberté est ici en jeu. Pour Eben Moglen, rédacteur de la licence GPL, le cloud se résume pour lui en la liberté des serveurs, et non des utilisateurs, sans possibilité de contrôle : « Alors «nuage» signifie que les serveurs ont gagné la liberté, la liberté de se déplacer, la liberté de la danse, la liberté de combiner et de séparer et re-agrégées et faire toutes sortes de trucs. Les serveurs ont gagné la liberté. Les clients n'ont rien gagné. Bienvenue sur le nuage. ». Difficile dans ces conditions d'imaginer une combinaison logiciels libres / cloud.

De plus, si le cloud computing vient à être contrôlé par des brevets logiciels, la place des logiciels libres risque d'être grandement menacée. Il ne sera pas possible de l'étudier, d'en faire usage sans autorisation du détenteur du brevet, de le diffuser librement et d'y apporter des améliorations.

Insécurité

La sécurité de l'informatique en nuage est une condition préalable à son développement. Cependant, les fournisseurs de services en cloud ne s'expriment pas beaucoup sur ce sujet malgré les piratages de comptes gmail ou encore la perte de données de 77 millions d'utilisateurs de Playstation Network. Les utilisateurs n'ayant aucun pouvoir de contrôle sur le système de gestion de leurs données, ils concèdent la sécurité de celles-ci au fournisseur de service en cloud qui, en sa qualité de responsable du traitement, est tenu d'une obligation de sécurité pour le cas des données à caractère personnel[12]. En réalité, il est difficile de s'assurer du respect de cette obligation.

L'informatique en nuage étant basé sur un système de mutualisation des ressources, l'isolation des données ou leur effacement sont également des problématiques sécuritaires à prendre en considération.

L'informatique en nuage, mélange de technologies arrivées à maturité et en cours de développement, n' a pas encore apporté la preuve de son infaillibilité et il est difficile à ce jour d'évaluer les risques pour les données de l'usage d'une telle technologie. Il ne faut donc pas céder sans réfléchir à ses appels. Le temps dira si l'on peut avoir pleinement confiance après dissipation du brouillard en cette technologie ou si elle conservera à jamais un caractère nébuleux.

Centralisation du réseau

Pour Eben Moglen [13]. Le problème ne provient de 'informatique en nuage mais de notre compréhension de ce qu'est internet: « Je n'ai pas mentionné le mot «nuage» parce que le mot «nuage» ne signifie pas vraiment grand-chose. En d'autres termes, la catastrophe n'est pas la catastrophe du nuage. La catastrophe provient de la façon dont nous avons mal compris le Net sous l'assistance du logiciel non-libre qui nous a aidé à le comprendre (…) ». Internet ne serait pas finalement celui que l'on pense.

Modification de la structure d'Internet

Internet a la particularité de ne pas être centralisé. L'informatique en nuage participe pourtant à un phénomène de centralisation du réseau par le développement de centre de ressources et de données. A l'avenir, si l'informatique en nuage continue ainsi son développement, Internet ne sera constitué que de centres sous contrôle de fournisseurs de services en nuage. Cela conduit irrémédiablement à l'instauration de barrières à l'accès au réseau qui sont une menace grave pour les logiciels libres, ces derniers s'étant développés justement en raison de l'absence de"barrières propriétaires". C'est ici la structure même du réseau qui s'en trouve modifiée et c'est l'avenir des logiciels libres qui s'assombrit. On se dirige vers ce que Benjamin Bayart[14] nomme le Minitel 2.0, caractérisé par sa centralisation, en lieu et place de l'Internet libre. A titre d'illustration, ce phénomène de centralisation est visible dans l'incompatibilité des conditions d'utilisation de l'Apple store et des logiciels sous licence GPL.

Les logiciels libres participent à l'atténuation de ce phénomène de centralisation par la multiplication des acteurs de contribution et la proposition d'alternatives viables aux centres sous contrôle des grands fournisseurs. Le développement de solutions libres visent également à garantir la neutralité du net, grandement menacée par la centralisation du réseau où la priorité risque d'être donnée aux flux en provenance de ces centres.

La guerre des nuages

La domination de l'informatique en nuage est un enjeu majeur que les entreprises des TIC ont bien compris. IBM et Google[15] se sont associés pour développer le plus grand nuage de serveurs au monde. Hewlett- Packard, à coups de milliards de dollards, tente d'accrocher sa part du gâteau par le rachat de Electronic Data Systems (EDS).[16]. Le développement de l'informatique en nuage pour ces entreprises a principalement une visée économique.

Un informatique en libre nuage

Élaboration d'un standard ouvert et interopérable pour la portabilité des données

Le Distributed Management Task Force (DMTF), consortium de grandes sociétés des TIC, a créé un groupe de travail aux fins d'établir les standards de l'informatique en nuage. La standardisation de l'informatique en nuage par les entreprises du secteur risque d'aboutir à une centralisation du réseau autour de centres gérés par ces dernières. Cette perspective est en contradiction avec l'objectif d'interopérabilité entre les différents nuages dès lors qu'il y a exclusion des nuages extérieures au consortium. Elle est également en contradiction avec l'objectif de neutralité de l'Internet dès lors la priorité sera donnée aux flux en provenance de ces centres au détriment des flux extérieurs. La conception actuelle de l'Internet (neutralité, décentralisation) est donc en danger avec la standardisation de l'informatique en nuage par les entreprises dominantes du secteur. Le besoin de standardisation de l'informatique en nuage est essentiel dans la lutte contre l'enfermement technologique mais il ne peut être comblé par les initiatives des entreprises dominants le secteur. L'intervention des États est nécessaire aux fins de garantir l'interopérabilité entre les nuages, la portabilité des données d'un service à l'autre, la neutralité du Net et la décentralisation du réseau.

La solution est l'élaboration d'un standard ouvert et interopérable, sous l'impulsion des institutions européennes et étatiques, en concertation avec l'ensemble des acteurs du secteur.

Contrôle du nuage

Les risques décrits ci-dessus vont se généraliser de façon irrémédiable si l'informatique en nuage estlaissée à la libre disposition des grands fournisseurs de services. Il est donc nécessaire que les consultations publiques, comme celle mise en place par la Commission européenne, prennent véritablement en compte ces problématiques de l'informatique en libre nuage afin de garantir :

- la neutralité du net

- le droit à l'interopérabilité

- la protection des données

- le contrôle de la gestion des données par un encadrement des modifications conditions de cette gestion

- la sécurité des systèmes

- la libre concurrence sur le marché des services en nuage

L'Etat français s'investit dans un "nuage à la française" à destination des administrations et des entreprises[17]

Des logiciels libres dans le nuage

Certains se sont lancés dans l'aventure de l'informatique en nuage version logiciels libres comme Dotcloud, une plate-forme d'hébergement multiple-technologies pour application web à destination des développeurs. Il existe aussi des répertoriations des services libres de l'informatique en nuage dans différents domaines comme les systèmes de stockage et les outils collaboratifs [18]. L'offre cloud d'Ubuntu utilise quant à elle la technologie Open Stack désormais en lieu et place d' Eucalyptus.

Développer son propre nuage

Il n'y a pas d'obligation à naviguer dans les nuages standardisés sous contrôle des logiciels propriétaires. Le développement, par logiciels libres, de nuages « alternatifs » pour un cloud computing libre et responsable est envisageable.

Libre et nuage, une union responsable

Les dangers présentés plus haut constituent des obstacles à l'adhésion complète au cloud computing. Afin de les éviter, le mariage avec les logiciels libres doit être une union responsable. Des mesures peuvent être mise en place pour garantir le contrôle par l'utilisateur de ses données.

C'est pourquoi, avant et pendant l'utilisation d'une application en cloud computing, l'utilisateur doit être, de manière claire et en caractère lisible, parfaitement informé de la destination de ses données et de l'usage qui peut en être fait. Ce n'est ici que faire application du droit à l'information. Son consentement clair et non équivoque doit également être recueilli. Il conviendrait également de proposer à l'utilisateur, pendant l'utilisation de l'application en cloud computing, un système simple et accessible à tous de sauvegarde en local de ses données. La mobilisation du Data Liberation Front[19] pour le développement de Google takeout[20] est l'illustration de la prise de conscience du besoin de conservation en local de certaines données. On peut également conseiller à l'utilisateur l'usage d'un système de sauvegarde libre en local de ses données comme Debian FreedomBox [21] ou DreamPlug [22].

Tout développement d'application en libre en liaison avec le cloud computing doit donc : respecter le principe du recueil préalable du consentement de l'utilisateur à la gestion de ses données informer l'utilisateur de l'usage et de la destination de ses données prévoir une anonymisation des données prévoir dans l’idéal un système simple de sauvegarde en local des données ou, à défaut, informer l'utilisateur des moyens de sauvegarde en local à sa disposition

Ce n'est que sous ces conditions que l'union logiciels libres / cloud computing pourra être envisageable. Et ce n'est que sous ces conditions, qui devront être d'application générale pour tout logiciel, propriétaire ou non, qu'il pourra y avoir un développement responsable de l'informatique en nuage.

Actions concrètes

- Dénonciation des prises de contrôle de l'Informatique en nuage par les entreprises du secteur

Cette action vise à éviter les situations de dépendance vis-à-vis d'un nombre restreint de fournisseurs de services en cloud

- Élaboration d'un standard ouvert et interopérable quant à la portabilité des données

La standardisation de l'informatique en nuage doit s'effectuer sous la direction des institutions européennes et des Etats, en concertation avec l'ensemble des acteurs du secteur.

- Renforcement du corpus juridique relatif au contrôle de l'activité des entreprises du secteur

Les entreprises proposant des services dans le nuage ont un accès privilégié aux données de leurs clients. Les pouvoirs publics doivent se mobiliser afin de renforcer le contrôle des outils de conservation des données, l'usage et les accès aux données.

- Renforcement du corpus juridique relatif à la conservation des données

Les États doivent contraindre les entreprises à proposer un système de sauvegarde en local simple et accessible des données. Ils doivent également légiférer sur l'information des clients de leurs possibilités de sauvegarde en local.

- Promotion d'alternatives libres de l'Informatique en nuage

L'April se mobilise pour promouvoir les solutions libres et respectueuses des droits des utilisateurs, particulièrement pour les services de sauvegarde des données.

Références

  1. O. Zilbertin, "Cumulonimbus", le monde, 22 juillet 2011
  2. The future of Cloud computing, opportunities for european cloud computing beyond 2010 http://cordis.europa.eu/fp7/ict/ssai/events-20100126-cloud-computing_en.html
  3. http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=cloudcomputing&lang=fr
  4. The future of Cloud computing, opportunities for european cloud computing beyond 2010 http://cordis.europa.eu/fp7/ict/ssai/events-20100126-cloud-computing_en.html
  5. Informatique en nuage, Vocabulaire de l'informatique et de l'internet, Journal officiel 6 juin 2010, Numéro 129 - Page 10453
  6. ANSSI, "Externalisation et sécurité des systèmes d'information : maîtriser les risques", p.18 http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-de-l-externalisation/externalisation-et-securite-des-systemes-d-information-un-guide-pour-maitriser.html
  7. http://www.zdnet.fr/actualites/larry-ellison-critique-le-cloud-computing-39383711.htm
  8. Mobilisation des technologies de l'information et des communications (TIC) visant à faciliter le passage à une économie à haut rendement énergétique et à faible taux d'émission de carbone Résolution du Parlement européen du 6 mai 2010 sur la mobilisation des technologies de l'information et des communications (TIC) visant à faciliter le passage à une économie à haut rendement énergétique et à faible taux d'émission de carbone (2009/2228(INI)), Journal Officiel du 15 mars 2011 - Numéro C 81E - Page 107
  9. http://www.guardian.co.uk/technology/2008/sep/29/cloud.computing.richard.stallman
  10. http://www.generation-nt.com/stallman-cloud-computing-logiciel-proprietaire-actualite-163041.html
  11. http://www.industrie.gouv.fr/fsn/cloud-computing/
  12. art.34 Loi 78-16 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
  13. http://www.softwarefreedom.org/events/2010/isoc-ny/FreedomInTheCloud-transcript.html
  14. http://www.fdn.fr/internet-libre-ou-minitel-2.html
  15. http://news.cnet.com/8301-13953_3-9933714-80.html
  16. http://www.monde-diplomatique.fr/2008/08/LE_CROSNIER/16174
  17. http://www.latribune.fr/technos-medias/informatique/20110801trib000640062/un-grand-cloud-computing-a-la-francaise-voit-le-jour.html
  18. http://wiki.fsfe.org/CloudComputing
  19. http://www.dataliberation.org/
  20. https://www.google.com/accounts/ServiceLogin?service=backup&passive=1209600&continue=https://www.google.com/takeout/&followup=https://www.google.com/takeout/
  21. http://wiki.debian.org/FreedomBox
  22. http://www.newit.co.uk/shop/proddetail.php?prod=DreamPlug