« Note sur le cloud » : différence entre les versions

De April MediaWiki
Aller à la navigationAller à la recherche
Ligne 25 : Ligne 25 :


Le National Institute of Standards and Technology (NIST)<ref>http://csrc.nist.gov/publications/drafts/800-145/Draft-SP-800-145_cloud-definition.pdf</ref> américain définit l'informatique en nuage ainsi : modèle pour permettre l'accès réseau à un ensemble partagé de ressources informatiques configurables (ex : réseaux, serveurs, stockage, applications et services), omniprésent, pratique et à la demande, ressources qui peuvent être rapidement approvisionnées et publiées avec un minimum d'effort de gestion ou d'interaction d'un prestataire de service<ref>''Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction''</ref>.  
Le National Institute of Standards and Technology (NIST)<ref>http://csrc.nist.gov/publications/drafts/800-145/Draft-SP-800-145_cloud-definition.pdf</ref> américain définit l'informatique en nuage ainsi : modèle pour permettre l'accès réseau à un ensemble partagé de ressources informatiques configurables (ex : réseaux, serveurs, stockage, applications et services), omniprésent, pratique et à la demande, ressources qui peuvent être rapidement approvisionnées et publiées avec un minimum d'effort de gestion ou d'interaction d'un prestataire de service<ref>''Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction''</ref>.  
Le NIST retient 5 caractéristiques essentielles de l'informatique en nuage :
- demande en self-service
- large accès au réseau
- mutualisation des ressources
- rapide adaptabilité
-





Version du 18 août 2011 à 10:01

Cloud computing et logiciels libres : amis ou ennemis ?


Ambox warning red construction.png
/!\ Travail en cours /!\

Cette page présente un texte de synthèse en cours de réalisation.

Si vous souhaitez participer, n'hésitez pas à laisser votre avis sur la page de discussion en suivant au mieux ces recommandations.


"J'ai une bonne et une mauvaise nouvelle. Je commence par la mauvaise : tout va disparaître. Vous pouvez dire adieu à vos précieuses données, vos photos, vos films, à votre disque dur régulièrement défragmenté, à vos logiciels préférés. Passons maintenant à la bonne nouvelle : tout va disparaître. Allez hop ! Terminé les données encombrantes, fini les disques durs étriqués, bruyants, poussifs, aux oubliettes les logiciels ventripotents, coûteux et inutiles. Plus besoin. N'ayez crainte : dans tous les cas, vous pouvez quand même continuer à regarder vos photos et vos films, à consulter et modifier vos documents, à écouter votre musique".[1]Voilà comment pourrait être résumé, (avec comme référence grand public Gmail ou Picasa), les effets de l'informatique en nuage ou cloud computing.

Si l'informatique en nuage est un "faux concept" aux contours des plus incertains, on ne peut que constater son impact réel dans la réglementation des nouvelles technologies. Sous peine d'exclusion des réflexions sur les TIC de demain, il est impossible de ne pas se positionner sur son développement. L'April, tout en constatant l'absence de clarté dans la conception de l'informatique en nuage, conditionne son développement à la condition d'un renforcement du corpus juridique existant pour les entreprises du secteur, en matière de droit à l'interopérabilité, de traitement des données à caractère personnel et de respect de la vie privée. L'avenir de l'informatique en nuage réside dans les logiciels libres car "ce sera grâce [à eux] que l’on pourra construire des infrastructures garantissant la non-exploitation des informations par les vecteurs de l’internet. Grâce à la mobilisation des usagers (...) et à l’énergie offerte par le partage et la mise en œuvre de solutions communautaires"[2].

Présentation

Pourquoi cette note ?

Le "cloud computing", tous les acteurs des TIC ont ce mot à la bouche. Même les institutions européennes se penchent sur la question du cloud[3][4].

Il existe une difficulté quant à la réalité de l'informatique en nuage. Il n'en demeure pas moins que le cloud computing a une incidence sur les logiciels libres, du fait de sa reconnaissance par les pouvoirs publics. A l'avenir, toute réglementation, sur des sujets comme l'interopérabilité, la neutralité du Net, la standardisation ou les brevets logiciels, sera liée à l'informatique en nuage. Le monde du libre ne peut donc rester muet face à une problématique touchant directement les logiciels libres.

Circonscription de la notion d'informatique en nuage

Un buzz word marketing

L'informatique en nuage, en réalité, regroupe sous un seul et même terme imaginé une multitude de pratiques aux finalités diverses, d'où l'idée de "faux concept". Le terme "informatique en nuage" n'est qu'un mode de catégorisation de l'ensemble des technologies permettant des offres de services basées sur le calcul distribué et la virtualisation. Cette catégorisation est dénoncée par certains comme Larry Ellison, cofondateur de la société Oracle spécialisée dans la gestion de base de données : « L’industrie de l’informatique est l’industrie la plus sujette aux modes, encore plus que la mode féminine. Je suis peut-être idiot, mais je ne comprends pas un mot de ce dont il retourne. De quoi parle-t-on ? C’est du grand n’importe quoi. Jusqu’à quand va-t-il falloir subir ces idioties ? »[5]

Définition de l'informatique en nuage

Le National Institute of Standards and Technology (NIST)[6] américain définit l'informatique en nuage ainsi : modèle pour permettre l'accès réseau à un ensemble partagé de ressources informatiques configurables (ex : réseaux, serveurs, stockage, applications et services), omniprésent, pratique et à la demande, ressources qui peuvent être rapidement approvisionnées et publiées avec un minimum d'effort de gestion ou d'interaction d'un prestataire de service[7].

Le NIST retient 5 caractéristiques essentielles de l'informatique en nuage :

- demande en self-service

- large accès au réseau

- mutualisation des ressources

- rapide adaptabilité

-


Juridiquement, le cloud computing, ou informatique en nuage, est un «  mode de traitement des données d'un client, dont l'exploitation s'effectue par l'internet, sous la forme de services fournis par un prestataire. L'informatique en nuage est une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients. »[8]. Les applications et les données ne sont donc plus sur un serveur local mais bien dans un « nuage » de serveurs reliés entre eux par une bande passante, confiés à la gestion d'un tiers prestataire et accessibles le plus souvent via une application web. Cependant l'informatique en nuage n'est pas qu'un "mode de traitement", c'est un mode de centralisation du Net dont le développement, dans le respect des libertés de chacun,est un enjeu majeur.

Pour l'Agence nationale pour la sécurité des systèmes d'information (ANSSI), "Les architectures de cloud computing mettent généralement en œuvre des technologies de calcul distribué et de virtualisation. Par extension, le cloud computing tend à désigner toutes les offres de services qui s’appuient sur de telles architectures, accessibles via Internet ou un autre réseau, qu’elles soient publiques ou restreintes à une communauté (« nuage communautaire ») ou encore à usage interne de l’entreprise (« nuage privé »)[9]. Il n'existe donc pas un unique nuage mais une multitude aux contenus et contours divers.

Contenu du nuage

Les services d’infrastructure (Infrastructure as a service IaaS)

ressources matérielles nécessaires à la mise en place d'une infrastructure avec système d'exploitation et applications. L'entreprise dispose en fait d'une infrastructure informatique (serveurs, réseau ...) chez le fournisseur de service.

Les services de plate-forme (Platform as a service PaaS)

ressources nécessaires à la configuration d'application via des interfaces de programmation déployées à distance. Il s'agit de services de plate-forme d'hébergement pour le développement d'applications à la demande.

les services de logiciels (sofware as a service SaaS)

fourniture d'application utilisables à distance. Il n'y a pas besoin d'installer une application sur le terminal informatique puisqu'elle repose sur la sollicitation d'un service à distance. C'est l'exemple de gmail.

Intérêts pour les utilisateurs

Utilisateurs professionnels

Utilisateurs non-professionnels

L'intérêt principal de l'informatique en nuage est de donner à l'utilisateur la possibilité de bénéficier d'une infrastructure, pour la gestion de ses courriels par exemple, sans avoir à stocker les données reçues ou émises en local.

Le cloud computing permet en effet également une grande évolutivité car l'utilisateur n'a pas besoin, à l'avance, de prévoir la capacité de stockage dont il va avoir besoin, celle-ci s'adaptant en temps réel à ses besoins par le fait du tiers prestataire.

Le cloud computing permettrait également une réduction du coût financier du stockage des données par la dématérialisation de la conservation des données. Cependant, le coût des forfaits, de la virtualisation des infrastructures, du développement de plates formes personnalisées, de l'intervention d'une multitude de prestataires peut être supérieur aux gains annoncés.

Enfin, le cloud computing serait bénéfique pour l'environnement dans sa participation à la dématérialisation de l'informatique[10].Sur ce point, la nécessité de centrales de serveurs à gros besoins énergétiques, pour le déploiement de l'informatique en nuage, relativise les bénéfices espérés pour l'environnement.

Si on s'en tient à cette simple présentation, le déploiement de l'informatique en nuage doit être encouragé dans sa visée de développement des applications et des capacités de stockage des données. Cependant, le monde du numérique n'est pas le pays des bisounours et l'informatique n'est pas formé que des nuages de bonnes intentions.

Points de vigilance de l'informatique en nuage

Perte de maîtrise du système d'information

"Un système d'information (SI) est un ensemble organisé de ressources (matériels, logiciels, personnel, données et procédures) qui permet de regrouper, de classifier, de traiter et de diffuser de l'information sur un environnement donné"[11].

Perte de contrôle des données

Richard Stallman, à l'origine du projet GNU, rejette le cloud computing, qui est pour lui une campagne marketing[12], un concept créé par des gérants de logiciels propriétaires pour leur développement personnel, un « piège »[13] dans lequel le logiciel libre n'aurait pas sa place. En effet, son usage conduit irrémédiablement à une « perte de contrôle » de ses données, car l'utilisateur en confie la gestion à un tiers tout en ignorant leur localisation précise. Cela le contraint ensuite à l'usage de logiciels propriétaires de sécurité. R. Stallman préconise la conservation des données en local.

Souscrire à ces services, c'est aussi accepter les contraintes les accompagnant : traçage, profilage pour les publicités ciblées, voire même espionnage industriel. L'utilisateur n'a aucune certitude sur la confidentialité de ses données, ce qui incite une structure comme le Centre national de la recherche scientifique (CNRS) à déconseiller à ses chercheurs l'usage des services de l'informatique en nuage[14]. Le monde de la recherche a bien conscience des problématiques de l'informatique en nuage et l'usage des logiciels libres peut contribuer au développement de la recherche, en lieu et place des services gratuits et grand public de l'informatique en nuage, sous condition de ne pas "considérer le logiciel libre comme une manne offerte par d’autres"[15] et de collaborer à l'élaboration des solutions libres dans ce domaine.

L'utilisateur ignore réellement quel peut être le sort réservé à ses données par le fournisseur de service en cloud. Ainsi, Google a pu reconnaitre la transmission de données de ses centres européens aux agences de renseignement américaines, en violation des lois européennes de protection des données, et cela en vertu du Patriot Act[16].

Perte de gouvernance

Les nuages standardisés sous contrôle de grands fournisseurs obligent les utilisateurs à se plier aux contraintes et volontés des fournisseurs de cloud. Les utilisateurs ne peuvent alors s'opposer à de nouvelles conditions d'utilisation ou exigences financières, sous peine de voir leur accès à leurs données disparaître. Un parallèle peut ici être effectué avec la situation où les éditeurs de logiciels propriétaires imposent leurs nouvelles versions de logiciels au gré de leurs envies. Les utilisateurs sont aussi dépendants du prestataire tiers quant à la modification, la suppression ou la conservation des données.

De plus, les utilisateurs n'ont aucun moyen de contrôle sur l'activité du fournisseur de services en cloud sur leurs données. Ils ignorent la localisation de leurs données, les modalités techniques de leur conservation, les systèmes d'intervention à distance. L'identité et le nombre des personnes pouvant y avoir accès (sous-traitant, responsable du traitement, partenaires commerciaux...) n'est même pas chose certaine parfois.

Il suffit de lire les conditions d'utilisation du service gmail pour se convaincre du danger de perte de gouvernance des données :

Mise à disposition des Services par Google (...)

4.2 Google innove en permanence pour fournir à ses utilisateurs les meilleurs services possibles. Vous reconnaissez et acceptez que la forme et la nature des Services fournis par Google sont susceptibles d'être modifiées sans préavis.

4.3 Dans le cadre de cette recherche constante d'innovation, vous reconnaissez et admettez que Google peut cesser (provisoirement ou définitivement) de mettre à votre disposition ou à celle des utilisateurs en général ses Services (ou certaines fonctionnalités de ces Services), à sa seule discrétion et sans préavis. Vous pouvez cesser d'utiliser les Services à tout moment. Si vous arrêtez d'utiliser les Services, vous n'avez pas à en informer Google.

4.4 Vous reconnaissez et acceptez que si Google désactive l'accès à votre compte, vous puissiez être dans l'impossibilité d'accéder aux Services, aux détails de votre compte, aux fichiers ou à tout autre élément contenu dans votre compte.

4.5 Vous reconnaissez et admettez que, même si Google peut ne pas avoir encore défini de limite quant au nombre de transmissions que vous pouvez envoyer ou recevoir par l'intermédiaire des Services ou quant à l'espace de stockage utilisé pour la mise à disposition des Services, Google se réserve le droit, à sa seule discrétion, de définir de telles limites à tout moment.

15. LIMITATION DE RESPONSABILITÉ

VOUS RECONNAISSEZ ET ACCEPTEZ QUE LA RESPONSABILITÉ DE GOOGLE, DE SES AFFILIÉS ET FILIALES ET DE SES CONCÉDANTS DE LICENCE NE SAURAIT ÊTRE ENGAGÉE VIS-À-VIS DE VOUS POUR (...) TOUTE PERTE OU TOUT DOMMAGE SUBI PAR VOUS, Y COMPRIS ET SANS LIMITATION, TOUTE PERTE OU TOUT DOMMAGE RÉSULTANT DE (...) TOUTE MODIFICATION APPORTÉE PAR GOOGLE AUX SERVICES, OU SUITE À TOUTE CESSATION PROVISOIRE OU DÉFINITIVE DE LA MISE À DISPOSITION DES SERVICES (OU DE TOUTE FONCTIONNALITÉ DES SERVICES)[17]

Dépendance technologique

Les services en cloud, tels qu'ils sont conçus et exploités à ce jour, ne garantissent pas à l'utilisateur un libre choix des technologies utilisées pour la gestion de ses données. Il est difficile pour lui d'envisager un changement de service (comme un changement de messagerie par exemple) car cela peut s'avérer techniquement très complexe et nécessiter du temps et de la patience !

La possibilité d'échanger ses données, et de les télécharger dans un format admis par d'autres services est un droit souvent bafoué par les services dans le nuage. Ce n'est ni plus ni moins que le droit à l'interopérabilité qui est ici en jeu. Il n'existe pas de standard contribuant à l'interopérabilité entre différents nuages et la portabilité des données de l'un à l'autre. Cette absence de standard a pour conséquence directe un enfermement technologique dans un service. A défaut de standard des données, l'utilisateur est dans l'impossibilité de porter ses données d'un service à l'autre. Il est comme "captif" du service qu'il a choisi initialement, à l'instar de la téléphonie mobile et de la dépendance de l'utilisateur à son opérateur par le biais du système des forfaits. Le besoin de standardisation des données du cloud est donc criant dans la lutte contre l'enfermement technologique mais il ne peut être comblé par les seules initiatives des entreprises des TIC, qui ont créées par exemple un groupe de travail sur le sujet dans le cadre du Distributed Management Task Force (DMTF), un consortium de grandes sociétés des TIC. La solution est l'élaboration d'un standard ouvert et interopérable, sous l'impulsion des institutions européennes et étatiques, en concertation avec l'ensemble des acteurs du secteur. A ce sujet, le gouvernement a lancé un appel à projets « Informatique en nuage- Cloud computing » dont l'un des points d'attention est l'interopérabilité et l'ouverture[18].

Un système basé uniquement sur la confiance des utilisateurs envers les fournisseurs de services en cloud n'est pas tenable. Leur liberté est ici en jeu. Pour Eben Moglen, rédacteur de la licence GPL, le cloud se résume pour lui en la liberté des serveurs, et non des utilisateurs, sans possibilité de contrôle : « Alors «nuage» signifie que les serveurs ont gagné la liberté, la liberté de se déplacer, la liberté de la danse, la liberté de combiner et de séparer et re-agrégées et faire toutes sortes de trucs. Les serveurs ont gagné la liberté. Les clients n'ont rien gagné. Bienvenue sur le nuage. ». Difficile dans ces conditions d'imaginer une combinaison logiciels libres / cloud.

De plus, si le cloud computing vient à être contrôlé par des brevets logiciels, la place des logiciels libres risque d'être grandement menacée. Il ne sera pas possible de l'étudier, d'en faire usage sans autorisation du détenteur du brevet, de le diffuser librement et d'y apporter des améliorations.

Insécurité

La sécurité de l'informatique en nuage est une condition préalable à son développement. Cependant, les fournisseurs de services en cloud ne s'expriment pas beaucoup sur ce sujet malgré les piratages de comptes gmail ou encore la perte de données de 77 millions d'utilisateurs de Playstation Network. Les utilisateurs n'ayant aucun pouvoir de contrôle sur le système de gestion de leurs données, ils concèdent la sécurité de celles-ci au fournisseur de service en cloud qui, en sa qualité de responsable du traitement, est tenu d'une obligation de sécurité pour le cas des données à caractère personnel[19]. En réalité, il est difficile de s'assurer du respect de cette obligation.

L'informatique en nuage étant basé sur un système de mutualisation des ressources, l'isolation des données ou leur effacement sont également des problématiques sécuritaires à prendre en considération.

L'installation elle-même de services en cloud peut poser des questions en terme de sécurité. Ainsi, l'installation de Skype, système de téléphonie par internet, transforme l'ordinateur de l'utilisateur en partie intégrante du réseau Skype sans possibilité de contrôle du trafic sur le terminal[20] [21]. De même, l'installation du système d'exploitation Chrome OS, dont le fonctionnement est basé sur le "cloud", peut laisser apparaître des failles de sécurité[22].

L'informatique en nuage, mélange de technologies arrivées à maturité et en cours de développement, n' a pas encore apporté la preuve de son infaillibilité et il est difficile à ce jour d'évaluer les risques pour les données de l'usage d'une telle technologie. Il ne faut donc pas céder sans réfléchir à ses appels. Le temps dira si l'on peut avoir pleinement confiance après dissipation du brouillard en cette technologie ou si elle conservera à jamais un caractère nébuleux.

Centralisation du réseau

Pour Eben Moglen [23]. Le problème ne provient de l'informatique en nuage mais de notre compréhension de ce qu'est internet: « Je n'ai pas mentionné le mot «nuage» parce que le mot «nuage» ne signifie pas vraiment grand-chose. En d'autres termes, la catastrophe n'est pas la catastrophe du nuage. La catastrophe provient de la façon dont nous avons mal compris le Net sous l'assistance du logiciel non-libre qui nous a aidé à le comprendre (…) ». Internet ne serait pas finalement celui que l'on pense.

Modification de la structure d'Internet

Internet a la particularité de ne pas être centralisé. L'informatique en nuage participe pourtant à un phénomène de centralisation du réseau par le développement de centres de ressources et de données. A l'avenir, si l'informatique en nuage continue ainsi son développement, Internet ne sera constitué que de centres sous contrôle de fournisseurs de services en nuage. Cela conduit irrémédiablement à l'instauration de barrières à l'accès au réseau qui sont une menace grave pour les logiciels libres, ces derniers s'étant développés justement en raison de l'absence de"barrières propriétaires". C'est ici la structure même du réseau qui s'en trouve modifiée et c'est l'avenir des logiciels libres qui s'assombrit. On se dirige vers ce que Benjamin Bayart[24] nomme le Minitel 2.0, caractérisé par sa centralisation, en lieu et place de l'Internet libre.

Les logiciels libres participent à l'atténuation de ce phénomène de centralisation par la multiplication des acteurs de contribution et la proposition d'alternatives viables aux centres sous contrôle des grands fournisseurs. Le développement de solutions libres vise également à garantir la neutralité du net, grandement menacée par la centralisation du réseau où la priorité risque d'être donnée aux flux en provenance de ces centres.

La guerre des nuages

Les entreprises qui dominent actuellement le marché telles que Google, Amazon ou Microsoft penchent nettement en faveur d'un développement exponentiel de l'informatique en nuage. Cette position s'explique par les estimations de croissance annoncées par la Commission européenne (taux de croissance annuel de 19,5% dans l'informatique en nuage et recettes mondiales des services d'informatique dans le cloud de 148, 8 milliards USD d'ici à 2014)[25].

La domination de l'informatique en nuage est un enjeu majeur que les entreprises des TIC ont donc bien compris. IBM et Google[26] se sont associés pour développer le plus grand nuage de serveurs au monde. Hewlett- Packard, à coups de milliards de dollards, tente d'accrocher sa part du gâteau par le rachat de Electronic Data Systems (EDS).[27]. Le développement de l'informatique en nuage pour ces entreprises a principalement une visée économique car il ne faut pas oublier que si les services sont le plus souvent gratuits, c'est dans une perspective de monétisation des données des utilisateurs.

Le monde des TIC est quelque peu bouleversé par le marché de l'informatique en nuage. Les fournisseurs de technologie sont maintenant également fournisseurs de services. C'est comme si finalement tous les fabricants de téléphones mobiles se mettaient à prendre la casquette d'opérateur téléphonique. On assiste donc, avec l'informatique en nuage, à une concentration des services et technologies autour d'un cercle d'acteurs restreints que certains surnomment le "GAIM" (Google, Amazon, IBM et Microsoft)[28]. Il y alors un double risque, par la domination à la fois des services et des technologies, de prise de contrôle du "cloud computing"par ces entreprises.

Perte de maîtrise du système de communication

Le système de communication désigne le processus de mise en relation avec autrui.

Le contrôle du réseau passe nécessairement par le contrôle des outils de communication, avant celui de l'information elle-même. En principe, le canal de communication, le transit des flux, interprète toute information de manière identique. C'est le principe de neutralité du Net. Les utilisateurs choisissent leurs outils de communication des informations en fin de chaîne. A titre d'illustration, le choix d'une messagerie détermine la façon dont le message va être interprété (format, police de caractères ...) Le canal de communication est sous le contrôle d'acteurs privés tandis que le choix du système de communication de l'information en bout de chaîne est une prérogative de l'utilisateur.

Emprise des acteurs privés sur le processus de communication

Avec l'informatique en nuage, cette structure est quelque peu différente. L'informatique en nuage permet aux acteurs privés, en charge initialement du canal de communication, par leur offre de service, d'étendre leur emprise sur le système de communication et l'interprétation de l'information. L'utilisateur est touché, par les acteurs privés, dans sa dimension interprétative de l'information communiquée. C'est la neutralité du système de communication en bout de chaîne qui est ici en jeu.

La prise de contrôle, par les acteurs privés de l'interface avec l'utilisateur final leur permet d'orienter l'interprétation de l'information au terme du processus de communication. Cela s'accompagne d'une automatisation de cette phase. Particulièrement dans les cas de services gratuits à destinations des particuliers et des petites entreprises, c'est un robot qui gère les services proposés et par voie de conséquence, les aspects les plus sociaux de la communication. Le champs des possible se réduit, ce qui aboutit à un appauvrissement des communications, à les vider de leur dimension sociale. En d'autres termes, l'informatique en nuage permet aux acteurs privés, par les services qu'ils proposent, de prendre plus de contrôle de la communication d'une information et d'influer sur son interprétation un peu comme elle le fait de longue date avec les masses médias (radio, télé, presse).

Gouvernance des réseaux et place du modèle du libre

Le logiciel libre, par sa dimension communautaire et de maîtrise du système de communication, autorise une maîtrise d'une partie de la chaîne de communication par le principal intéressé. Ainsi AOL ou MS ont échoué dans leur projet d'appropriation d'internet et des utilisateurs. Les acteurs privés ne sont pas parvenus à prendre le contrôle, de cette partie sensible du processus de communication qu'est l'interprétation de l'information. Firefox notamment mais également une foule d'autres outils libres ont permis à de nombreux utilisateurs de sortir du réseau MSN ou AOL et d'étendre le périmètre de leur univers numérique.

Cependant, ce rempart du logiciel libre est menacé par le développement de l'informatique en nuage. En effet, l'informatique en nuage dématérialise ce qui fait la force du logiciel libre. "Dans la transition des applications locales aux application hébergées, la liberté logicielle a été oubliée. Personne ne parle plus désormais de logiciels installés localement, on parle de logiciels hébergés, et pourtant certains disent « Mon ordinateur ne contient que des logiciels libres ; seul le microprogramme de la carte graphique est propriétaire », et c’est une erreur car une bonne partie des « logiciels » qu’ils utilisent ne sont pas installés localement sur leur ordinateur mais utilisés au travers d’un navigateur internet"[29].Il n'y a alors plus aucun intérêt à utiliser des logiciels libres si, au terme du processus de communication, l'utilisateur n'a pas la maîtrise de la communication de l'information dans le cloud. En d'autres termes, choisir Ubuntu plutôt que Windows ne change rien sur le contrôle des données si en bout de chaîne l'utilisateur est obligé de passer par Google et son système en "cloud" pour la communication de ses données. Adopter des logiciels libres n'est alors plus un gage de liberté de contrôle des informations s'ils ne permettent pas de maîtriser l'ensemble de la chaîne de communication. Que google ou Facebook emploient du logiciel libre ne garantit plus aucune liberté à l'utilisateur pour les raisons largement détaillées dans ce texte.

Actuellement, il n'existe pas d'équivalent libre aux solutions des entreprises dominantes des TIC. La solution de sauvegarde en local des données ne suffit pas à répondre aux besoins des utilisateurs. Le monde du libre est face à une remise en cause de son modèle. Si on considère les valeurs de libertés individuelles comme méta-modèle du logiciel libre, on peut considérer que le cloud qu'il soit libre ou non (parce qu'il constitue une nouvelle infrastructure à un niveau dématérialisé supérieur au logiciel proprement-dit)ne permet plus de les garantir. Ce serait en définitive une victoire de l'open source qui se concentrerait sur l'aspect technique (notamment de la part de quelques géants), sans se soucier de l'aspect philosophique. Le cloud pose en définitive la question de la gouvernance des réseaux et de la présence de solutions libres (comme a pu l'être le P2P) sur ce nouveau terrain dématérialisé.

Un informatique en libre nuage

Contrôle du nuage

Les dangers décrits ci-dessus vont se généraliser de façon irrémédiable si l'informatique en nuage est laissée à la libre disposition des grands fournisseurs de services. Il est donc nécessaire que les institutions publiques, comme la Commission européenne, prennent véritablement en compte ces problématiques de l'informatique en libre nuage afin de garantir :

  • la neutralité du net
  • le droit à l'interopérabilité
  • la protection des données
  • le contrôle de la gestion des données par un encadrement des modifications conditions de cette gestion
  • la sécurité des systèmes
  • la standardisation de l'informatique en nuage
  • la libre concurrence sur le marché des services en nuage

L'Etat français s'investit dans un "nuage à la française" à destination des administrations et des entreprises[30]

Des logiciels libres dans le nuage

Certains se sont lancés dans l'aventure de l'informatique en nuage version logiciels libres comme Dotcloud, une plate-forme d'hébergement multiple-technologies pour application web à destination des développeurs. Il existe aussi des répertoriations des services libres de l'informatique en nuage dans différents domaines comme les systèmes de stockage et les outils collaboratifs [31]. L'offre cloud d'Ubuntu utilise quant à elle la technologie Open Stack désormais en lieu et place d' Eucalyptus.

Le projet Unhosted[32][33] vise quant à lui à pallier à l'obstacle majeur au déploiement de solutions libres en cloud : le besoin énorme de bandes passantes de services comme Google ou Facebook. Le projet vise à séparer les données de l'application utilisée aux fins d'alléger le système et permettre ainsi le déploiement de solutions libres techniquement viables et respectueuses de la vie privée. Les données pourraient ainsi être conservées sur un serveur identifié tandis que l'application serait hébergée sur un autre.

Développer son propre nuage

Il n'y a pas d'obligation à naviguer dans les nuages standardisés sous contrôle des logiciels propriétaires. Le développement, par logiciels libres, de nuages « alternatifs » pour un cloud computing libre et responsable est envisageable.

Le correctif de l'auto-hébergement

L'auto-hébergement ou "home-computing" est le fait de conserver ses données dans un lieu physique en local dont on a forcément connaissance de la localisation. Ce n'est pas de l'informatique en nuage puisque l'on a connaissance du lieu d'hébergement des données. L'auto-hébergement n'est pas une alternative à l'informatique en nuage dans le sens il n'offre pas les mêmes services et applications. C'est un correctif qui permet de pallier aux dangers de perte des données principalement.

Un projet tel que FreedomBox[34] permet cet auto-hébergement dans le respect de la vie privée (par un système de chiffrement complexe) et de la neutralité du net[35]. Le projet beedbox[36] et d'autres solutions d'auto-hébergement[37] peuvent également être citées.

Libre et nuage, une union responsable

Les dangers présentés plus haut constituent des obstacles à l'adhésion complète au cloud computing. Afin de les éviter, le mariage avec les logiciels libres doit être une union responsable. Des mesures peuvent être mise en place pour garantir le contrôle par l'utilisateur de ses données.

C'est pourquoi, avant et pendant l'utilisation d'une application en cloud computing, l'utilisateur doit être, de manière claire et en caractère lisible, parfaitement informé de la destination de ses données et de l'usage qui peut en être fait. Ce n'est ici que faire application du droit à l'information s'agissant des données personnelles. Son consentement clair et non équivoque doit également être recueilli. Il conviendrait également de proposer à l'utilisateur, pendant l'utilisation de l'application en cloud computing, un système simple et accessible à tous de sauvegarde en local de ses données. La mobilisation du Data Liberation Front[38] pour le développement de Google takeout[39] est l'illustration de la prise de conscience du besoin de conservation en local de certaines données.

Tout développement d'application en libre en liaison avec le cloud computing doit donc :

  • respecter le principe du recueil préalable du consentement de l'utilisateur à la gestion de ses données
  • informer l'utilisateur de l'usage et de la destination de ses données
  • prévoir une anonymisation des données
  • prévoir dans l’idéal un système simple de sauvegarde en local des données ou, à défaut, informer l'utilisateur des moyens de sauvegarde en local à sa disposition

Ce n'est que sous ces conditions que l'union logiciels libres / cloud computing pourra être envisageable. Et ce n'est que sous ces conditions, qui devront être d'application générale pour tout logiciel, propriétaire ou non, qu'il pourra y avoir un développement responsable de l'informatique en nuage.

Actions concrètes

  • Dénonciation des prises de contrôle de l'Informatique en nuage par les entreprises du secteur

Cette action vise à éviter les situations de dépendance, des systèmes de communication et d'information, vis-à-vis d'un nombre restreint de fournisseurs de services en cloud

  • Élaboration d'un standard ouvert et interopérable pour les données

La standardisation de l'informatique en nuage doit s'effectuer sous la direction des institutions européennes et des Etats, en concertation avec l'ensemble des acteurs du secteur.

  • Renforcement du corpus juridique relatif au contrôle de l'activité des entreprises du secteur

Les entreprises proposant des services dans le nuage ont un accès privilégié aux données de leurs clients. Les pouvoirs publics doivent se mobiliser afin de renforcer le contrôle des outils de conservation des données, l'usage et les accès aux données.

  • Renforcement du corpus juridique relatif à la conservation des données

Les États doivent contraindre les entreprises à proposer un système de sauvegarde en local simple et accessible des données. Ils doivent également légiférer sur l'information des clients de leurs possibilités d'auto-hébergement.

  • Promotion d'alternatives libres de l'Informatique en nuage

L'April se mobilise pour promouvoir les solutions libres et respectueuses des droits des utilisateurs.

Références

  1. O. Zilbertin, "Cumulonimbus", le monde, 22 juillet 2011
  2. H. Le Crosnier, A propos des services gratuits sur le web, http://www.a-brest.net/article3944.html
  3. The future of Cloud computing, opportunities for european cloud computing beyond 2010 http://cordis.europa.eu/fp7/ict/ssai/events-20100126-cloud-computing_en.html
  4. http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=cloudcomputing&lang=fr
  5. http://www.zdnet.fr/actualites/larry-ellison-critique-le-cloud-computing-39383711.htm
  6. http://csrc.nist.gov/publications/drafts/800-145/Draft-SP-800-145_cloud-definition.pdf
  7. Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction
  8. Informatique en nuage, Vocabulaire de l'informatique et de l'internet, Journal officiel 6 juin 2010, Numéro 129 - Page 10453
  9. ANSSI, "Externalisation et sécurité des systèmes d'information : maîtriser les risques", p.18 http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-de-l-externalisation/externalisation-et-securite-des-systemes-d-information-un-guide-pour-maitriser.html
  10. Mobilisation des technologies de l'information et des communications (TIC) visant à faciliter le passage à une économie à haut rendement énergétique et à faible taux d'émission de carbone Résolution du Parlement européen du 6 mai 2010 sur la mobilisation des technologies de l'information et des communications (TIC) visant à faciliter le passage à une économie à haut rendement énergétique et à faible taux d'émission de carbone (2009/2228(INI)), Journal Officiel du 15 mars 2011 - Numéro C 81E - Page 107
  11. De Courcy R., Les systèmes d'information en réadaptation, Québec, Réseau international CIDIH et facteurs environnementaux, 1992, no 5 vol. 1-2 P. 7-10
  12. http://www.guardian.co.uk/technology/2008/sep/29/cloud.computing.richard.stallman
  13. http://www.generation-nt.com/stallman-cloud-computing-logiciel-proprietaire-actualite-163041.html
  14. CNRS/FSD/Sécurité des Systèmes d’Information,Recommandations pour l’utilisation des services gratuits sur Internet, 17 avril 2008, Référence 08.1841/FSD
  15. H. Le Crosnier, A propos des services gratuits sur le web, http://www.a-brest.net/article3944.html
  16. http://news.softpedia.com/news/Google-Admits-Handing-over-European-User-Data-to-US-Intelligence-Agencies-215740.shtml
  17. http://www.google.com/accounts/TOS?hl=fr
  18. http://www.industrie.gouv.fr/fsn/cloud-computing/
  19. art.34 Loi 78-16 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
  20. CNRS/FSD/Sécurité des Systèmes d’Information,Recommandations pour l’utilisation des services gratuits sur Internet, 17 avril 2008, Référence 08.1841/FSD
  21. http://fr.wikipedia.org/wiki/Skype
  22. http://hightech.nouvelobs.com/actualites/depeche/20110701.ZDN4755/les-pc-sous-chrome-os-pas-plus-surs-que-ceux-sous-windows.html
  23. http://www.softwarefreedom.org/events/2010/isoc-ny/FreedomInTheCloud-transcript.html
  24. http://www.fdn.fr/internet-libre-ou-minitel-2.html
  25. The future of Cloud computing, opportunities for european cloud computing beyond 2010 http://cordis.europa.eu/fp7/ict/ssai/events-20100126-cloud-computing_en.html
  26. http://news.cnet.com/8301-13953_3-9933714-80.html
  27. http://www.monde-diplomatique.fr/2008/08/LE_CROSNIER/16174
  28. "IBM passe à l'offensive", http://behind-cloud-computing.com/articles/
  29. M. de Jong, projet Unhosted, http://www.framablog.org/index.php/post/2011/08/06/unhosted
  30. http://www.latribune.fr/technos-medias/informatique/20110801trib000640062/un-grand-cloud-computing-a-la-francaise-voit-le-jour.html
  31. http://wiki.fsfe.org/CloudComputing
  32. http://www.framablog.org/index.php/post/2011/08/06/unhosted
  33. http://www.unhosted.org/
  34. http://wiki.debian.org/FreedomBox
  35. http://freedomboxfoundation.org/
  36. http://www.beedbox.org/
  37. http://wiki.debian.org/FreedomBox/ExampleProjects#Similar_projects
  38. http://www.dataliberation.org/
  39. https://www.google.com/accounts/ServiceLogin?service=backup&passive=1209600&continue=https://www.google.com/takeout/&followup=https://www.google.com/takeout/