Logiciel Libre : garant de notre indépendance stratégique

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : Logiciel Libre : garant de notre indépendance stratégique ?

Intervenante : Gaël Duval

Lieu : École nationale supérieure d'électrotechnique, d'électronique, d'informatique, d'hydraulique et des télécommunications Toulouse - Capitole du Libre 2023

Date : 18 novembre 2023

Durée : 24 min 22

Vidéo

Licence de la transcription : Verbatim

Illustration : À prévoir

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Transcription

Bonjour à toutes et à tous.
Je vais commencer, parce qu’il y a une autre conférence derrière moi, dans 25~minutes, 30~minutes.
Déjà merci d'être ici pour m'écouter raconter mes salades habituelles qui sont liées au logiciel libre, évidemment.
Aujourd’hui la conférence, c’est : est-ce que le logiciel libre est le garant de notre indépendance stratégique ?
Pour commencer, je vous ai mis une petite illustration. Vous allez comprendre.

Indépendance stratégique

En fait, on parle de l’indépendance stratégique depuis un petit moment, et puis l'année dernière, début de l'année dernière, tout le monde a pris conscience de ce qu’est l'indépendance stratégique, on va dire grâce aux chars russes qui ont envahi l’Ukraine. Tout le monde a commencé à se demander s’il allait avoir du chauffage cet hiver. Donc, là, on a compris que oui, l'indépendance stratégique, ça veut aussi dire être certain qu’on va pouvoir continuer à s'alimenter, en l'occurrence ici en gaz, mais ça pourrait être en électricité ou autre, pour pouvoir assurer la continuité de la vie d'un pays, tout simplement.

Indépendance stratégique des infrastructures critiques

Là, on va plutôt réfléchir à l'indépendance stratégique quand elle s'applique aux infrastructures critiques.
Juste, très rapidement, petite définition. Les infrastructures critiques, en l'occurrence :

  • les communications, donc s'assurer, par exemple, que le téléphone va continuer de fonctionner aussi bien pour les populations civiles et puis aussi, dans d'autres cas évidemment, pour la police, la sécurité civile, évidemment l'armée, etc., le Gouvernement, qu’il y ait une continuité d'activités ;
  • l'énergie dont on parlait juste avant : est-ce qu'on est sûr qu'on va pouvoir avoir du gaz qui continue d'arriver pour faire tourner les usines et permettre de se chauffer, de faire à manger pour certains ? ;
  • pouvoir circuler, donc est-ce que les routes sont libres de circulation en état, etc., est-ce que les trains fonctionnent, que les avions continuent de fonctionner ? ;
  • et puis a aussi tous les systèmes. Donc, ça va être un petit peu ce qui va nous intéresser plus aujourd'hui.

Les systèmes, c'est tout ce qui régit un petit peu dans l'ombre, aujourd'hui, notre vie moderne. D'une part, il y a le logiciel, et puis, évidemment également, toute la partie matérielle qui sert à tout ce que sont les infrastructures, notamment réseaux télécommunications, évidemment, tous les systèmes d'informations qui, aujourd'hui, régissent une grande partie de notre existence.

Intel Management Engine

Je vais vous raconter une petite anecdote pour illustrer un petit peu mon propos.
Intel Management Engine, IME, est un tout petit processeur qui est accolé à tous les processeurs Intel modernes. C'était secret, en fait, Intel n'avait pas dit qu’il y avait ça. Ça a fuite en 2016 et, depuis, ils ont avoué que, effectivement, dans tous les processeurs Intel, depuis 2008, il y a un petit processeur juste à côté, qui tourne sous un système d'exploitation indépendant, sous Minix[1], en l'occurrence, et qui a la main sur le processeur Intel, et pas seulement, il a aussi accès à la RAM, il a accès à la carte réseau et, en fait, à tout ce qui se passe dans l'ordinateur. Dans le jargon, je suis pas spécialiste, on appelle ça niveau Ring-3[2], c'est-à-dire qu’il possède vraiment tous les droits sur le système. Et ce petit processeur, qui la main sur tout le système, a un serveur TCP/IP qui est ouvert sur l'extérieur. Pourquoi ? Comment ? D'après Intel, c'est pour pouvoir faire des sortes d'opérations de maintenance, parce que ça peut être utile pour l'utilisateur. Mais bon !, on peut quand même se poser la question : pourquoi ont-ils mis un petit processeur en secret, sans le dire à personne, pour pouvoir éventuellement prendre la main depuis l'extérieur sur tous les ordinateurs de la planète qui tournent avec des processeurs Intel ?
En l'occurrence Intel, est une société américaine. Quand les relations sont bonnes avec les États-Unis, à priori, il ne va pas se passer grand-chose, et puis, si un jour ça se dégrade, comme ça a pu arriver, comme ça pourra peut-être aussi arriver, eh bien ça devient un petit peu plus compliqué. Autant pour les civils, on peut se poser la question, dans l'armée, dans d'autres services un peu critiques, savoir que tous les ordinateurs peuvent être accédés depuis le réseau par une puissance étrangère, ça pose un petit problème.

Il s’agit donc vraiment d'indépendance stratégique, on l'appelle aussi souveraineté numérique. Je préfère parler d'indépendance stratégique, parce que ça me paraît beaucoup plus parlant et ça évite le mot « souveraineté », qui est parfois confondu avec « souverainisme », ce qui est un petit peu gênant.

Indépendance stratégique~=~maîtrise totale de l’outil

Qu'est-ce que l'indépendance stratégique, on va dire au niveau d'un pays ? C'est la maîtrise totale de son outil, en l'occurrence, je parle du numérique.

    <il>Premièrement, comprendre comment il fonctionne vraiment finement, c'est-à-dire dans ses rouages les plus intimes, pas à un niveau juste oui, on sait vaguement comment ça fonctionne, vraiment comprendre précisément comment le truc fonctionne.</il> <il>Deuxièmement, savoir le faire fonctionner comme on le souhaite et connaître précisément ce qui se passe, donc avoir une maîtrise complète de cet outil.</il>> <il>Et puis, troisièmement, c'est savoir le modifier, le corriger, éventuellement l’améliorer –~correction de bugs, ce genre de chose~– et le faire évoluer pour ses propres besoins, si on en a envie et ceci en parfaite indépendance.</il> <il>Le quatrième point est vraiment essentiel, c'est que, pour tout ce qui précède, il faut, évidemment, pouvoir le faire sans dépendre d'un tiers, que ce soit une société, que ce soit un État extérieur.</il>

Complexité et coût des infras numériques

Évidemment, je viens de l'OS, et nous nous sommes posé cette question dans les milieux qui sont liés à la tech, en particulier en France : ne devrait-on pas refaire une sorte d'OS souverain ? C'était il y a 10/15 ans. On se disait : oui, nous sommes Français, nous sommes super forts, donc on devrait pouvoir quand même créer notre OS.
Donc, je me suis posé la question : c'est gros comment un OS ? Il y a quand même un effort de développement si on voulait recréer un OS, donc j'ai regardé, j'ai fouillé un petit peu.
Pour le noyau Linux, ce sont 30 millions de lignes de code, 30~millions, pas 30~000. 30vmillions de lignes de code ; pour Android, ce sont également environ 30~millions de lignes de code en plus pour la couche Android sur le smartphone et, dans le cloud, on est dans ces ordres de grandeur-là, donc 20~millions de lignes de code pour OpenStack.
Donc, si on voulait recréer un OS from scratch, vous voyez qu'il y aurait un effort à faire qui serait conséquent.
D’où la question : pour être indépendant, pour reconquérir cette indépendance stratégique, est-ce qu'il faut, est-ce qu'on doit, est-ce qu'on peut repartir d'une feuille blanche ?
Comme on l'a vu, 30~millions de lignes de code pour Linux, pour Android, pour OpenStack[3], c'est beaucoup trop, c'est beaucoup trop cher et puis, deuxième truc, ce serait plutôt stupide de faire ça, parce que, en fait, ça existe déjà en open source , on peut le réutiliser, on peut en faire ce qu'on veut pour ses propres besoins.

Opportunité du Libre/open source

À mon sens, et c'est un message que j'essaye de faire passer depuis des années, c'est un peu la lutte entre les géants du Net, qui essaient de faire peser leurs arguments, et puis la communauté du logiciel libre et de l'open source qui a une vision un peu différente. Je pense que l'open source est une véritable opportunité, aujourd'hui, pour reconquérir cette indépendance stratégique que, souvent, on a perdue ou qu'on n’a même jamais eue. Pourquoi ? Parce qu'on a une base vraiment colossale de code source dans le logiciel libre –~quand je dis colossale, il suffit de regarder ce qu’il y a sur GitHub, c'est vraiment conséquent et c'est extrêmement vivant et dynamique~– et puis on a les licences libres qui permettent ça, parce qu’on peut réutiliser le code en respectant les règles des licences, évidemment, le rediffuser, l'améliorer, etc.

Du coup, on arrive à une réflexion qui m'a semblé assez intéressante. C'est que, finalement, avec ce modèle du logiciel libre, on change de modèle. On change d'un modèle où, historiquement, dans le logiciel, on était plus sur la propriété intellectuelle du produit, donc du logiciel, du code source, à un modèle où, finalement, quand tout le code source est disponible, il est complexe, il est volumineux, donc, ce qui compte, ce n'est pas de le posséder, en fait, c'est de pouvoir l'exploiter, évidemment, mais c'est surtout de pouvoir le comprendre et de pouvoir le maîtriser.
On passe vraiment d'un paradigme de la propriété intellectuelle du logiciel, dans l'ancien monde, on va dire, qui n'est pas totalement mort, à celui du savoir-faire. Et c'est là que le savoir-faire, en fait, devient vraiment essentiel dans cette idée que le logiciel libre pourrait devenir le socle nécessaire et utile pour notre indépendance stratégique.

La question des actifs : l’intéressant cas de Red Hat[4]

Ça fait déjà quelques années qu'on essaye de faire des projets en logiciel libre, des sociétés qui font du logiciel libre et, souvent, on m'a dit : « Dans le logiciel libre, vous n'avez pas d'actifs », je parle pour une société, parce que, évidemment, le logiciel libre peut très bien être un effort d'un projet citoyen, d'une asso, etc. Pour une entreprise, il y a toujours cette question des actifs, parce qu’on dit : est-ce que ta boîte vaut de l'argent ? Est-ce qu’elle vaut cher, pas cher, etc. ? Et on m'a dit « le logiciel libre, ça ne vaut rien ! », c'est un truc que j'ai entendu extrêmement souvent.
Et puis il y a quatre~ans, on a vu cette société Red Hat, que je trouve très intéressante. Je connais bien Red Hat, depuis les années 90 je regarde ce qu'ils font, ils ont toujours fait du logiciel. Il y a peut-être eu quelques exceptions, je ne sais pas, récemment, il y a eu quelques changements, je pense qu’ils ont essayé de resserrer un peu la vis, mais, globalement, tous les produits Red Hat ont toujours été extrêmement respectueux des règles du logiciel libre, ils ont toujours diffusé sous des licences libres ce qu’ils développaient eux-mêmes, amélioré le code existant. Et Red Hat, il y a quatre~ans, a été valorisée 39~milliards de dollars quand ils ont été rachetés par IBM.
Donc ça prouve bien, à mon sens, que la question de la valeur des actifs, telle qu’on la voyait avant, est complètement dépassée. Je pense que ce qui a fait la force de Red Hat, hormis, évidemment, sa grande réussite en termes de business, c'est le fait qu'ils ont une expertise extrêmement profonde et large sur tous les produits qu'ils diffusent en logiciel libre. Ce qui fait, je pense, la valeur de Red Hat, c'est la valeur de l'expertise, donc les gens, les ingénieurs, qui bossent chez Red Hat.

Les enjeux

Si on veut aller dans cette voie-là –~ce qui n'est pas forcément acté, même si, aujourd'hui, je pense qu'il y a quand même des signes plutôt positifs aussi bien en Europe qu'en France, je crois que Macron a dit, vendredi, qu’il croyait au logiciel libre, à l'open source~– ce qui semble quand même se préciser en Europe, en tout cas en France, je pense qu’il y a quelques enjeux :

  • un, c’est la prise de conscience. Il faut vraiment diffuser ce message : dire que c'est une opportunité gigantesque pour nous, pour retrouver cette maîtrise et puis, aussi, pour développer de l'emploi et de la valeur chez nous ;
  • la formation. Comme on l'a dit tout à l'heure, on passe vraiment de l'idée qu'on possède le code, propriété intellectuelle, à l'idée qu’il faut le maîtriser. Pour le maîtriser, il faut des gens qui savent le maîtriser, il faut des gens qui aient une expertise, il faut des gens de haut niveau. Et je pense que là-dessus, en France et en Europe, on a un effort à faire pour monter en puissance, pour qu’il y ait plus d'ingénieurs qui arrivent, développer la recherche ;
  • et puis, le troisième point, c'est évidemment le financement important et aussi trouver des modèles qui fonctionnent, parce que, on l'a vu souvent, il y a beaucoup de projets, même de grosses boîtes, qui dépendent de bibliothèques libres qui sont, finalement, seulement maintenues par une ou deux personnes, qui ont du mal à en vivre. Donc, comment finance-t-on tous ces projets qui, aujourd'hui, ont un peu de mal à vivre. Il y a donc des enjeux de financement qui sont importants et qui ne sont pas résolus aujourd'hui. Je pense aussi bien au financement public, qui est là, mais qui est relativement timide, et le privé qui, à part quelques boîtes qui sont vraiment investies de manière significative dans le logiciel libre, grosso modo, elles sont plus là pour prendre sans donner en échange, et c'est un problème qu'il faudrait qu'on arrive à résoudre.

Et puis, évidemment, il y a aussi la question du matériel. Là, on a parlé essentiellement du logiciel qui, je pense, est clé. Mais, comme on l'a vu au début de la présentation, si on veut une vraie indépendance stratégique sur ces questions-là, il faut aussi qu'on puisse maîtriser le matériel pour ne pas avoir un petit logiciel espion, une backdoor qui soit présente dans tous les microprocesseurs sur lesquels on va faire tourner du logiciel vertueux. Donc, pour cela, il faudrait reprendre la main. Que veut dire reprendre la main ? Il faut qu'on puisse avoir la main sur le design des puces pour pouvoir en faire ce qu'on veut, les faire évoluer, et puis il faut pouvoir les fabriquer.
On a des projets, comme RISC-V[5], qui sont déjà très avancés et très prometteurs. Je pense qu'il faudrait vraiment s'emparer de ces questions-là, y participer, y contribuer et puis se les approprier pour nos propres besoins, en France et en Europe, et puis des usines, évidemment. Cela reste, aujourd'hui, un sujet qui n'est pas résolu. Même si des efforts sont faits pour remonter des usines qui fabriquent des cheaps, en France, on n'est pas du tout au niveau de ce qui peut se faire dans les usines des grands noms du cheap, avec des finesses de gravure de l'ordre de quelques nanomètres qui, aujourd'hui, deviennent la norme.

Mais… Le cas Dual_EC_DRBG[6]

Là, je vais refroidir un peu mon enthousiasme et aller contre mon propos. Je vais vous raconter une dernière petite anecdote.
En 2004, il a été avéré –~c'est encore un petit secret qui a fuité~– que la NSA a payé dix~millions de dollars à la société RSA juste dans le but d'affaiblir un algorithme de chiffrement de la bibliothèque de crypto RSA Security[7]], et ça, c'est assez fourbe ! C'est assez fourbe, parce qu’ils ne l'ont pas dit, ils n’ont pas essayé de tordre le bras complètement à RSA en disant « il faut que tu me mettes une backdoor ». Non ! Ils ont juste dit « on va essayer d'influencer légèrement l'algo », sans forcément dire explicitement pourquoi, mais tout le monde connaît la raison, c'est parce qu’ils ont des moyens derrière : avec un algo un peu affaibli, ils mettent ce qu'il faut comme puissance pour pouvoir déchiffrer, finalement, des messages et des communications qui étaient censées être chiffrées, donc inviolables, et, pour le coup, y avoir accès.
Donc, ils ont réussi, avec de l'influence et dix~millions de dollars, à introduire une backdoor dans cet algo de chiffrement.
Depuis, je pense que ça a été résolu, mais, en fait, ça laisse toujours planer le doute, je pense que c'est ça qui est important.

Le logiciel libre ne ment pas, les algos ne mentent pas, mais il faut quand même avoir une expertise suffisamment profonde pour pouvoir évaluer, par exemple en l'occurrence, la qualité d'un algo de chiffrement : est-ce qu'il est solide ou est-ce que, éventuellement, on peut considérer qu'avec des moyens importants comme la NSA ou d'autres puissances peuvent disposer, cet algo ne sera peut-être pas si solide que ça ?

Conclusion

Je pense que le logiciel libre est nécessaire et indispensable.
Aujourd'hui, c'est notre seule chance de reconquérir cette indépendance stratégique dans le monde actuel pour pouvoir peser et construire notre propre histoire, mais on voit que ce n'est pas forcément suffisant. Il faut donc être attentif et je pense que ça prouve à nouveau qu’il faut absolument essayer de monter en expertise sur tous ces sujets, c'est fondamental. On ne peut pas seulement rester des utilisateurs, des suiveurs, des spectateurs, il faut devenir des créateurs, il faut devenir des acteurs de ce monde-là.

Voilà. Merci.

[Applaudissements]

Si vous avez des questions, n'hésitez pas. Une question.

Questions du public et réponses

Public : Bonjour. Je suis, Florent. En fait, j'ai mené une expérience d'indépendance stratégique pas au niveau d'un pays, mais au niveau d'un territoire. J’ai une entreprise autour d'un logiciel libre. On a monté un pôle numérique pour essayer de développer le numérique sur un territoire rural. Du coup, à cette occasion, j'ai porté cette idée d’orienter sur le Libre pour avoir des choses adaptées à notre territoire et, on va dire, avoir quelque chose de vertueux et une certaine indépendance. J'ai été confronté à un problème. Je connais bien les élus, je connais bien mon territoire, je suis très impliqué, etc., mais, à mon sens, ce n'est pas tellement le problème technique, mais plus marketing. C'est-à-dire que, en gros, il n’y a rien à faire, on n'est pas dans les tendances si on est dans le Libre. Vous voyez ce que je veux dire ? C'est mieux ailleurs : l'intelligence artificielle, Microsoft, il faut que les commerçants soient sur Google, etc., et, au final, nous étions plusieurs, nous n’avons pas réussi.
À mon sens, c’est comment faire pour contrer ce marketing qui, on ne s'en rend pas compte, est permanent, qui fait qu’on a envie de faire comme tout le monde et, comme tout le monde, c'est avoir le dernier réseau social, avoir le dernier gadget machin, ne pas être hors du temps. Voilà !

Gaël Duval : Je vois très bien. Là-dedans, il y a deux choses.
En tout cas pour moi, je parle pour moi, je pense qu’il faut voir ce dont je viens de vous parler comme un moyen, en tout cas une énorme opportunité de peser et peser, encore une fois, ça ne veut pas dire être juste utilisateur, etc., ça veut dire créer des organisations, créer des boîtes, créer des grands projets qui utilisent ces logiciels libres, qui permettent de les financer, de les développer, etc., et c'est pour cela qu’il faut aussi de l'argent, je l'ai mentionné. Et quand il y a ça, je pense que, déjà, c'est différent. Je pense que logiciel libre a parfois l'image de passionnés, on va dire, comme nous tous ici, qui sont à fond dans leur truc et il manque aussi, oui, sans doute, cet aspect marketing qui est un petit peu moins présent, donc, ça peut poser la question : est-ce qu'il ne faudrait pas développer un marketing du logiciel libre, en tout cas qui porte le logiciel libre ?
Après, je pense qu’il faut aussi parler à ses élus, aux gens qui décident, et leur montrer à quel point le logiciel libre est déjà assez présent dans beaucoup de machines qu'on utilise tous les jours, à commencer par le smartphone quand on n’a pas un iPhone, et il est aussi, souvent, dans les box qu’on utilise. Ce n'est un truc un peu mystérieux, etc., c'est extrêmement répandu.
Je suis d'accord avec vous qu'il faut sans doute des boîtes un peu étendards, qui soient des belles réussites européennes, françaises, sur ces sujets-là, qui reposent sur des modèles. On en voit qui se créent. La société Mistral[8], en intelligence artificielle, par exemple, a levé beaucoup d'argent. Ils ont décidé que leur modèle de langue serait libre, serait open source. Pour moi, ce sont plutôt des bons signes.
Et puis, oui, développer peut-être un peu plus en termes de communication et ça rejoint une discussion que j'ai eue il y a quelques jours, quand j'étais à Bruxelles. On m'a dit : « Le logiciel libre, c'est vachement bien, mais souvent, par contre, visuellement, les interfaces graphiques, etc., pour ce qui est des logiciels as user, ce n'est pas terrible par rapport à ce qui existe sur le marché. Il y a des exceptions, mais, parfois, c'est un peu rustre, etc. » Est-ce qu'il n'y aurait pas, aussi, un effort à faire dans les logiciels libres et, pour cela, il faut trouver des financements, ça ne va pas se faire comme ça, pour les rendre plus beaux, plus attrayants, etc. ? Ça, c'est purement du marketing. Donc, je suis totalement d'accord.

Public : Excusez-moi, je réagis très à chaud : ce n'est pas purement du marketing. L’UX [Expérience Utilisateur] peut vraiment avoir des influences sur l’utilisateur, donc ce n'est pas du marketing, c'est aussi un travail à faire. Pour la petite histoire, j'en discutais avec les copains de Framasoft[9] hier qui me disaient : « Le truc, c'est que les développeurs ont un métier au chômage négatif, ils n'ont pas de problème, ils ont du temps libre, ils peuvent aider le logiciel libre. Les gens qui font du design d’UX n'en ont pas le loisir, ils crèvent la dalle. » Je suis d'accord avec toi, il faut les financer.
Juste un micro truc, c'est le Ring-3 [moins trois, NdT]. Le ring 3, c’est celui qui a le moins de privilèges. Tu as dit trois. Petite précision technique, c'est moins trois, c'est en dessous du noyau.
Et sinon rien. Juste merci beaucoup, c'est extrêmement intéressant et je suis complètement d'accord avec le passage propriété intellectuelle versus savoir-faire, ça me paraît vraiment la chose la plus importante à retenir de ce que tu nous as dit.

Gaël Duval : Merci. Une question.

Public : Bonjour. Merci pour la présentation, très intéressante, manque de temps, mais super. J'avais une question, si tu pouvais nous faire un retour d'expérience sur le Murena 2, notamment la partie hardware : quelles difficultés as-tu rencontrées avec ton équipe ?

Gaël Duval : Je pense que ça dépasse un petit peu le cadre de la conf, on peut en parler après, mais pas de difficultés majeures. On n'est pas une boîte de hard, on fait plutôt du soft, donc on sous-traite un peu ces questions-là.

Merci beaucoup, merci à tous et à toutes.

[Applaudissements]