Note sur le cloud

De April MediaWiki
Aller à la navigationAller à la recherche
Cloud computing et logiciels libres : amis ou ennemis ?


Ambox warning red construction.png
/!\ Travail en cours /!\

Cette page présente un texte de synthèse en cours de réalisation.

Si vous souhaitez participer, n'hésitez pas à laisser votre avis sur la page de discussion en suivant au mieux ces recommandations.


"J'ai une bonne et une mauvaise nouvelle. Je commence par la mauvaise : tout va disparaître. Vous pouvez dire adieu à vos précieuses données, vos photos, vos films, à votre disque dur régulièrement défragmenté, à vos logiciels préférés. Passons maintenant à la bonne nouvelle : tout va disparaître. Allez hop ! Terminé les données encombrantes, fini les disques durs étriqués, bruyants, poussifs, aux oubliettes les logiciels ventripotents, coûteux et inutiles. Plus besoin. N'ayez crainte : dans tous les cas, vous pouvez quand même continuer à regarder vos photos et vos films, à consulter et modifier vos documents, à écouter votre musique".[1]Voilà comment pourrait être résumé, (avec comme référence grand public Gmail ou Picasa), les effets de l'informatique en nuage ou cloud computing.

Si l'informatique en nuage est un "faux concept" aux contours des plus incertains, on ne peut que constater son impact réel dans la réglementation des nouvelles technologies. Sous peine d'exclusion des réflexions sur les TIC de demain, il est impossible de ne pas se positionner sur son développement. L'April, tout en constatant l'absence de clarté dans la conception de l'informatique en nuage, conditionne son développement à la condition d'un renforcement du corpus juridique existant pour les entreprises du secteur, en matière de droit à l'interopérabilité, de traitement des données à caractère personnel et de respect de la vie privée. L'avenir de l'informatique en nuage réside dans les logiciels libres car "ce sera grâce [à eux] que l’on pourra construire des infrastructures garantissant la non-exploitation des informations par les vecteurs de l’internet. Grâce à la mobilisation des usagers (...) et à l’énergie offerte par le partage et la mise en œuvre de solutions communautaires"[2].

Présentation

Pourquoi cette note ?

Le "cloud computing", tous les acteurs des TIC ont ce mot à la bouche. Même les institutions françaises[3] et européennes[4][5] se penchent sur la question du cloud.

Il existe une difficulté quant à la réalité de l'informatique en nuage. Il n'en demeure pas moins que le cloud computing a une incidence sur les logiciels libres, du fait de sa reconnaissance par les pouvoirs publics. A l'avenir, toute réglementation, sur des sujets comme l'interopérabilité, la neutralité du Net, la standardisation ou les brevets logiciels, sera liée à l'informatique en nuage. Le monde du libre ne peut donc rester muet face à une problématique touchant directement les logiciels libres.

Circonscription de la notion d'informatique en nuage

Un buzz word marketing

L'informatique en nuage regroupe sous un seul et même terme, imagé et imaginé par les fournisseurs de services, une multitude de pratiques aux finalités diverses, d'où l'idée de «buzz word marketing». Le terme «informatique en nuage» n'est alors qu'un mode de catégorisation d'un ensemble de technologies. Cette catégorisation est dénoncée par certains comme Larry Ellison, cofondateur de la société Oracle spécialisée dans la gestion de base de données, qui la considère comme une «mode»[6].

Cependant, si, à la base, l'informatique en nuage n'est qu'un concept marketing, il n'en demeure pas moins qu'aujourd'hui, il est considéré comme une réalité par de nombreux acteurs des TIC et les institutions publiques. De moyen de communication marketing, l'informatique en nuage est devenu un terme usuel du vocabulaire informatique pour désigner un ensemble de pratiques. Du fait de cette mutation, le besoin d'une définition précise du concept d'informatique en nuage se fait sentir.

Définition de l'informatique en nuage

Juridiquement, le cloud computing, ou informatique en nuage, est un «  mode de traitement des données d'un client, dont l'exploitation s'effectue par l'internet, sous la forme de services fournis par un prestataire. L'informatique en nuage est une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients. »[7]. Les applications et les données ne sont donc plus sur un serveur local mais bien dans un « nuage » de serveurs reliés entre eux par une bande passante, confiés à la gestion d'un tiers prestataire et accessibles le plus souvent via une application web.

L'appproche du National Institute of Standards and Technology (NIST)[8] américain est beaucoup plus précise : l'informatique en nuage est un modèle pour permettre l'accès réseau à un ensemble partagé de ressources informatiques configurables (ex : réseaux, serveurs, stockage, applications et services), omniprésent, pratique et à la demande, ressources qui peuvent être rapidement approvisionnées et publiées avec un minimum d'effort de gestion ou d'interaction d'un prestataire de service[9].


Le NIST retient 5 caractéristiques essentielles de l'informatique en nuage :

- demande en libre service: l'utilisateur peut obtenir des ressources, comme de la capacité de stockage, au besoin automatiquement, sans avoir à s'adresser directement au fournisseur de service.

- large accès au réseau: les capacités du réseau sont facilement accessibles et sur de multiples plate-formes (téléphone mobile, ordinateur, PDA...).

- mutualisation des ressources: les ressources du prestataire de service sont regroupées et servent à de multiples utilisateurs qui ignorent l'emplacement exactes de leurs données dans cet ensemble.

- rapide adaptabilité: les capacités de stockage ou de flux sont adaptées en fonction des besoins de l'utilisateur et cela sans intervention de sa part.

- service mesuré: les systèmes en nuage contrôlent et optimisent l'utilisation des ressources en s'appuyant sur des mesures de référence comme le nombre de compte utilisateurs actifs, la bande passante ou les capacités de stockage.

Il existe différents de modèles de déploiement de l'informatique en nuage :

- Le nuage privé exploité par un seul organisme

- le nuage communautaire, exploité par plusieurs organismes

- le nuage public, accessible au plus grand nombre et sous contrôle d'un fournisseur de service

- le nuage hybride, mélange de plusieurs modèles de nuages reliés entre eux

Modèles de services

Les services d’infrastructure (Infrastructure as a service IaaS)

L'utilisateur est en capacité de déployer les systèmes d'exploitation et des applications grâce aux ressources qui lui sont fournies. L'utilisateur, le plus souvent professionnel, n'a pas à gérer l'infrastructure de l'informatique en nuage mais a le contrôle des applications et systèmes qu'il déploie.

C'est le cas par exemple d'Amazon Elastic Compute CLoud (EC2)[10], un service de mise à disposition de serveurs pour le développement d'application web. L'utilisateur a accès à une interface web où il peut créer des machines virtuelles pour le téléchargement de logiciels au choix[11]. Amazon Simple Storage Service (S3)[12] est un autre service d'infrastructure où l'utilisateur, via une interface web, peut stocker et récupérer ses données.

Les services de plate-forme (Platform as a service PaaS)

Il s'agit de services de plate-forme d'hébergement pour le développement d'applications à la demande. L'utilisateur maintient ses applications et le fournisseur de service lui met à disposition un environnement middleware, un «logiciel tiers qui crée un réseau d'échange d'informations entre différentes applications informatiques»[13].

C'est l'exemple de Google App Engine[14], «une plateforme de conception et d'hébergement d'applications web basée sur les serveurs de Google»[15], de MS Azure[16] de Microsoft ou de Amazon Web service[17].

Les services de logiciels (software as a service SaaS)

L'utilisateur a accès à des applications de fournisseurs de service par le biais d'une interface, le plus souvent une application web. Il n'a pas à gérer l'infrastructure de l'application, qui est entièrement prise en charge par le fournisseur de service. Il n'a pas besoin d'installer l'application sur le terminal informatique puisqu'elle repose sur la sollicitation d'un service à distance. On peut citer comme exemples gmail, hotmail, google doc ou encore Facebook.

L'intérêt des utilisateurs

L'engouement initial des professionnels

Les services d'informatique en nuage, principalement les Iaas et les PaaS, sont originellement tournés vers les utilisateurs professionnels. Ceux-ci sont séduis par les capacités de traitement et de bandes passantes, la flexibilité des services et par la faculté d'adapter les ressources aux besoins par ces services. Les professionnels se trouvent aussi décharger des contraintes d'infrastructures complexes et coûteuses (data centers, provisionnement hardware, gestion logistique et physique des ressources, pannes ...), ces infrastructures étant prises en charge par le fournisseur de service. Ils bénéficient aussi de services établissant une structure pour la gestion de l'administration système (séparation des données et des traitements, visibilité sur les différents services utilisés...). L'hébergement des données n'est pas la seule prestation intéressant les professionnels. Ceux-ci peuvent souscrire à des applications comptables ou de gestion de la clientèle en nuage par exemple.

Tout cela avec un prévisionnel des dépenses optimisé. De plus, e cloud computing permettrait une réduction du coût financier du stockage des données par la dématérialisation de la conservation des données. L'utilisateur n'aurait besoin en fait que d'une connexion internet. Cependant, le coût des forfaits, de la virtualisation des infrastructures, du développement de plates formes personnalisées, de l'intervention d'une multitude de prestataires peut être supérieur aux gains annoncés.

Cet engouement du monde des entreprises pour l'informatique en nuage explique celui des acteurs publics. En effet, les professionnels, conscients de l'enjeu de l'informatique en nuage, à la fois comme marché potentiel et comme base de fonctionnement de l'entreprise, ont besoin d'un cadre juridique de sécurisation

L'extension aux non-professionnels

Les non-professionnels sont principalement concernés par les services SaaS. Les atouts majeurs de l'informatique en nuage, le bénéfice d'une infrastructure à distance et d'une grande capacité de stockage des données, s'étend également aux non- professionnels. Des services grands publics se sont développés. C'est le cas par exemple pour la gestion des courriels via les messageries comme gmail ou hotmail. Il existe également des services d'hébergement et de synchronisation de fichiers en ligne comme Drop Box[18] ou, dans une version libre, Unbuntu One[19]

Le cloud computing serait aussi bénéfique pour l'environnement dans sa participation à la dématérialisation de l'informatique[20].Sur ce point, la nécessité de centrales de serveurs à gros besoins énergétiques, pour le déploiement de l'informatique en nuage, relativise les bénéfices espérés pour l'environnement.

Points de vigilance de l'informatique en nuage

Perte de maîtrise du système d'information

"Un système d'information (SI) est un ensemble organisé de ressources (matériels, logiciels, personnel, données et procédures) qui permet de regrouper, de classifier, de traiter et de diffuser de l'information sur un environnement donné"[21].

Perte de contrôle des données

Richard Stallman, à l'origine du projet GNU, rejette le cloud computing, qui est pour lui une campagne marketing[22], un concept créé par des gérants de logiciels propriétaires pour leur développement personnel, un « piège »[23] dans lequel le logiciel libre n'aurait pas sa place. En effet, son usage conduit irrémédiablement à une « perte de contrôle » de ses données, car l'utilisateur en confie la gestion à un tiers tout en ignorant leur localisation précise. Cela le contraint ensuite à l'usage de logiciels propriétaires de sécurité. R. Stallman préconise la conservation des données en local.

Souscrire à ces services, c'est aussi accepter les contraintes les accompagnant : traçage, profilage pour les publicités ciblées, voire même espionnage industriel. L'utilisateur, professionnel ou non, n'a aucune certitude sur la confidentialité de ses données hébergées par le tiers. L'utilisateur ignore réellement quel peut être le sort réservé à ses données par le fournisseur de service en cloud. Ainsi, Google a pu reconnaitre la transmission de données de ses centres européens aux agences de renseignement américaines, en violation des lois européennes de protection des données, et cela en vertu du Patriot Act[24].

Ce constat incite une structure comme le Centre national de la recherche scientifique (CNRS) à déconseiller à ses chercheurs l'usage des services de l'informatique en nuage[25]. Le monde de la recherche a bien conscience des problématiques de l'informatique en nuage et l'usage des logiciels libres peut contribuer au développement de la recherche, en lieu et place des services gratuits et grand public de l'informatique en nuage, sous condition de ne pas "considérer le logiciel libre comme une manne offerte par d’autres"[26] et de collaborer à l'élaboration des solutions libres dans ce domaine.

Perte de gouvernance

Les nuages standardisés sous contrôle de grands fournisseurs obligent les utilisateurs à se plier aux contraintes et volontés des fournisseurs de cloud. Les utilisateurs ne peuvent alors s'opposer à de nouvelles conditions d'utilisation ou exigences financières, sous peine de voir leur accès à leurs données ou à leurs applications disparaître. Un parallèle peut ici être effectué avec la situation où les éditeurs de logiciels propriétaires imposent leurs nouvelles versions de logiciels au gré de leurs envies.

De plus, les utilisateurs n'ont aucun moyen de contrôle sur l'activité du fournisseur de services en cloud sur leurs données ou applications. Ils ignorent leur localisation, les modalités techniques de leur conservation ou encore les systèmes d'intervention à distance existant. L'identité et le nombre des personnes pouvant avoir accès aux services (sous-traitant, responsable du traitement, partenaires commerciaux...) n'est même pas chose certaine parfois.

S'agissant du danger de perte de gouvernance des données, il suffit de lire les conditions d'utilisation du service gmail pour se convaincre  :

Mise à disposition des Services par Google (...)

4.2 Google innove en permanence pour fournir à ses utilisateurs les meilleurs services possibles. Vous reconnaissez et acceptez que la forme et la nature des Services fournis par Google sont susceptibles d'être modifiées sans préavis.

4.3 Dans le cadre de cette recherche constante d'innovation, vous reconnaissez et admettez que Google peut cesser (provisoirement ou définitivement) de mettre à votre disposition ou à celle des utilisateurs en général ses Services (ou certaines fonctionnalités de ces Services), à sa seule discrétion et sans préavis. Vous pouvez cesser d'utiliser les Services à tout moment. Si vous arrêtez d'utiliser les Services, vous n'avez pas à en informer Google.

4.4 Vous reconnaissez et acceptez que si Google désactive l'accès à votre compte, vous puissiez être dans l'impossibilité d'accéder aux Services, aux détails de votre compte, aux fichiers ou à tout autre élément contenu dans votre compte.

4.5 Vous reconnaissez et admettez que, même si Google peut ne pas avoir encore défini de limite quant au nombre de transmissions que vous pouvez envoyer ou recevoir par l'intermédiaire des Services ou quant à l'espace de stockage utilisé pour la mise à disposition des Services, Google se réserve le droit, à sa seule discrétion, de définir de telles limites à tout moment.

15. LIMITATION DE RESPONSABILITÉ

VOUS RECONNAISSEZ ET ACCEPTEZ QUE LA RESPONSABILITÉ DE GOOGLE, DE SES AFFILIÉS ET FILIALES ET DE SES CONCÉDANTS DE LICENCE NE SAURAIT ÊTRE ENGAGÉE VIS-À-VIS DE VOUS POUR (...) TOUTE PERTE OU TOUT DOMMAGE SUBI PAR VOUS, Y COMPRIS ET SANS LIMITATION, TOUTE PERTE OU TOUT DOMMAGE RÉSULTANT DE (...) TOUTE MODIFICATION APPORTÉE PAR GOOGLE AUX SERVICES, OU SUITE À TOUTE CESSATION PROVISOIRE OU DÉFINITIVE DE LA MISE À DISPOSITION DES SERVICES (OU DE TOUTE FONCTIONNALITÉ DES SERVICES)[27]

Dépendance technologique

Les services en cloud, tels qu'ils sont conçus et exploités à ce jour, ne garantissent pas à l'utilisateur un libre choix des technologies utilisées pour la gestion de ses données ou applications. Il est difficile pour lui d'envisager un changement de service (comme un changement de messagerie, de service d'hébergement ou de logiciel de comptabilité par exemple) car cela peut s'avérer techniquement très complexe et nécessiter du temps et de la patience !

La possibilité d'échanger ses données, et de les télécharger dans un format admis par d'autres services est un droit souvent bafoué par les services dans le nuage. Ce n'est ni plus ni moins que le droit à l'interopérabilité qui est ici en jeu. Il n'existe pas de standard contribuant à l'interopérabilité entre différents nuages et la portabilité des données de l'un à l'autre. Cette absence de standard a pour conséquence directe un enfermement technologique dans un service. A défaut de standard des données, l'utilisateur est dans l'impossibilité de porter ses données d'un service à l'autre. Il est comme "captif" du service qu'il a choisi initialement, à l'instar de la téléphonie mobile et de la dépendance de l'utilisateur à son opérateur par le biais du système des forfaits. Le besoin de standardisation des données du cloud est donc criant dans la lutte contre l'enfermement technologique mais il ne peut être comblé par les seules initiatives des entreprises des TIC, qui ont créées par exemple un groupe de travail sur le sujet dans le cadre du Distributed Management Task Force (DMTF), un consortium de grandes sociétés des TIC. La solution est l'élaboration d'un standard ouvert et interopérable, sous l'impulsion des institutions européennes et étatiques, en concertation avec l'ensemble des acteurs du secteur. A ce sujet, le gouvernement a lancé un appel à projets « Informatique en nuage- Cloud computing » dont l'un des points d'attention est l'interopérabilité et l'ouverture[28].

Un système basé uniquement sur la confiance des utilisateurs envers les fournisseurs de services en cloud n'est pas tenable. Leur liberté est ici en jeu. Pour Eben Moglen, rédacteur de la licence GPL, le cloud se résume pour lui en la liberté des serveurs, et non des utilisateurs, sans possibilité de contrôle : « Alors «nuage» signifie que les serveurs ont gagné la liberté, la liberté de se déplacer, la liberté de la danse, la liberté de combiner et de séparer et re-agrégées et faire toutes sortes de trucs. Les serveurs ont gagné la liberté. Les clients n'ont rien gagné. Bienvenue sur le nuage. ».

De plus, si le cloud computing vient à être contrôlé par des brevets logiciels, la place des logiciels libres risque d'être grandement menacée. Il ne sera pas possible de l'étudier, d'en faire usage sans autorisation du détenteur du brevet, de le diffuser librement et d'y apporter des améliorations.

Dépendance en matière de sécurité

Absence de recul sur la sécurité de l'informatique en nuage

La sécurité de l'informatique en nuage concerne à la fois la conservation des données, la stabilité des applications et la préservation des infrastructures.

Avec la sauvegarde des données ou le développement d'applications en local, l'utilisateur est seul responsable du bon fonctionnement et de la sécurité des serveurs. Avec l'informatique en nuage, les utilisateurs sont dépendants du tiers fournisseur de service quant à la stabilité de l'infrastructure technique. L'entretien des serveurs, la continuité du service, la sécurisation du data center sont autant d'éléments que l'utilisateur confie aux soins du tiers fournisseur.

La sécurité de l'informatique en nuage est une condition préalable à son développement. Cependant, les fournisseurs de services en cloud ne s'expriment pas beaucoup sur ce sujet malgré les piratages de comptes gmail ou encore la perte de données de 77 millions d'utilisateurs de Playstation Network. L'informatique en nuage étant basé sur un système de mutualisation des ressources, l'isolation des données ou leur effacement sont également des problématiques sécuritaires à prendre en considération.

L'installation elle-même de services en cloud peut poser des questions en terme de sécurité. Ainsi, l'installation du système d'exploitation Chrome OS, dont le fonctionnement est basé sur le "cloud", peut laisser apparaître des failles de sécurité[29].

L'informatique en nuage, mélange de technologies arrivées à maturité et en cours de développement, n' a pas encore apporté la preuve de son infaillibilité et il est difficile à ce jour d'évaluer les risques pour les données de l'usage d'une telle technologie. Il ne faut donc pas céder sans réfléchir à ses appels. Le temps dira si l'on peut avoir pleinement confiance après dissipation du brouillard en cette technologie ou si elle conservera à jamais un caractère nébuleux.

Responsabilité du traitement par une application en nuage

Cas des non- professionnels

Les utilisateurs non- professionnels n'ayant aucun pouvoir de contrôle sur le système de gestion de leurs données, ils concèdent la sécurité de celles-ci au fournisseur de service en cloud qui, en sa qualité de responsable du traitement, est tenu d'une obligation de sécurité pour le cas des données à caractère personnel[30]. En réalité, il est difficile de s'assurer du respect de cette obligation.

Cas des professionnels

Les points de vigilance ci-dessus ne sont pas à négliger pour le professionnel traitant des données à caractère personnel. En effet, le professionnel utilisant des services de gestion de données à caractère personnel en nuage est responsable du traitement au sens de la Informatique et Libertés[31]. En raison de cette qualité, il est responsable en cas d'atteinte aux données à caractère personnel par le tiers fournisseur de service en cloud, qualifié de sous-traitant.Le choix du tiers fournisseur de service est donc essentiel pour un utilisateur professionnel car un mauvais choix peut avoir pour conséquence directe l'engagement de sa responsabilité. Le responsable du traitement doit alors porter une attention toute particulière à la sécurité du service et se conformer aux dispositions de la loi Informatique et Libertés (et de son décret d'application[32]) en matière de sous-traitance. Pour cela, il doit fixer contractuellement les obligations des parties.

A ce sujet, l'Agence nationale pour la sécurité des systèmes d'information (ANSSI) a éditée un guide[33] relatif aux obligations contractuelles qu'il convient d'imposer au tiers fournisseur de service pour la sécurité des données à caractère personnel dans le nuage.

Centralisation du réseau

Pour Eben Moglen [34]. Le problème ne provient de l'informatique en nuage mais de notre compréhension de ce qu'est internet: « Je n'ai pas mentionné le mot «nuage» parce que le mot «nuage» ne signifie pas vraiment grand-chose. En d'autres termes, la catastrophe n'est pas la catastrophe du nuage. La catastrophe provient de la façon dont nous avons mal compris le Net sous l'assistance du logiciel non-libre qui nous a aidé à le comprendre (…) ». Internet ne serait pas finalement celui que l'on pense.

Modification de la structure d'Internet

Internet a la particularité de ne pas être centralisé. L'informatique en nuage participe pourtant à un phénomène de centralisation du réseau par le développement de centres de ressources et de données. A l'avenir, si l'informatique en nuage continue ainsi son développement, Internet ne sera constitué que de centres sous contrôle de fournisseurs de services en nuage. Cela conduit irrémédiablement à l'instauration de barrières à l'accès au réseau qui sont une menace grave pour les logiciels libres, ces derniers s'étant développés justement en raison de l'absence de"barrières propriétaires". C'est ici la structure même du réseau qui s'en trouve modifiée et c'est l'avenir des logiciels libres qui s'assombrit. On se dirige vers ce que Benjamin Bayart[35] nomme le Minitel 2.0, caractérisé par sa centralisation, en lieu et place de l'Internet libre.

Les logiciels libres participent à l'atténuation de ce phénomène de centralisation par la multiplication des acteurs de contribution et la proposition d'alternatives viables aux centres sous contrôle des grands fournisseurs. Le développement de solutions libres vise également à garantir la neutralité du net, grandement menacée par la centralisation du réseau où la priorité risque d'être donnée aux flux en provenance de ces centres.

La guerre des nuages

Les entreprises qui dominent actuellement le marché telles que Google, Amazon ou Microsoft penchent nettement en faveur d'un développement exponentiel de l'informatique en nuage. Cette position s'explique par les estimations de croissance annoncées par la Commission européenne (taux de croissance annuel de 19,5% dans l'informatique en nuage et recettes mondiales des services d'informatique dans le cloud de 148, 8 milliards USD d'ici à 2014)[36].

La domination de l'informatique en nuage est un enjeu majeur que les entreprises des TIC ont donc bien compris. IBM et Google[37] se sont associés pour développer le plus grand nuage de serveurs au monde. Hewlett- Packard, à coups de milliards de dollards, tente d'accrocher sa part du gâteau par le rachat de Electronic Data Systems (EDS).[38]. Les data centers se multiplient. A titre d'illustration, Google disposerait de 36 data centers avec plus de 200 000 serveurs et France Télécom Orange, IBM ou encore Apple construisent chacun des data centers de plus de 10 000 mètres carrés[39].

Le développement de l'informatique en nuage pour ces entreprises a principalement une visée économique car il ne faut pas oublier que si les services sont le plus souvent gratuits, c'est dans une perspective de monétisation des données des utilisateurs.

Le monde des TIC est quelque peu bouleversé par le marché de l'informatique en nuage. Les fournisseurs de technologie sont maintenant également fournisseurs de services. C'est comme si finalement tous les fabricants de téléphones mobiles se mettaient à prendre la casquette d'opérateur téléphonique. On assiste donc, avec l'informatique en nuage, à une concentration des services et technologies autour d'un cercle d'acteurs restreints que certains surnomment le "GAIM" (Google, Amazon, IBM et Microsoft)[40]. Il y alors un double risque, par la domination à la fois des services et des technologies, de prise de contrôle du "cloud computing"par ces entreprises.

Perte de maîtrise du système de communication

Le système de communication désigne le processus de mise en relation avec autrui.

Le contrôle du réseau passe nécessairement par le contrôle des outils de communication, avant celui de l'information elle-même. En principe, le canal de communication, le transit des flux, interprète toute information de manière identique. C'est le principe de neutralité du Net. Les utilisateurs choisissent leurs outils de communication des informations en fin de chaîne. A titre d'illustration, le choix d'une messagerie détermine la façon dont le message va être interprété (format, police de caractères ...) Le canal de communication est sous le contrôle d'acteurs privés tandis que le choix du système de communication de l'information en bout de chaîne est une prérogative de l'utilisateur.

Emprise des acteurs privés sur le processus de communication

Avec l'informatique en nuage, cette structure est quelque peu différente. L'informatique en nuage permet aux acteurs privés, en charge initialement du canal de communication, par leur offre de service, d'étendre leur emprise sur le système de communication et l'interprétation de l'information. L'utilisateur est touché, par les acteurs privés, dans sa dimension interprétative de l'information communiquée. C'est la neutralité du système de communication en bout de chaîne qui est ici en jeu.

La prise de contrôle, par les acteurs privés de l'interface avec l'utilisateur final leur permet d'orienter l'interprétation de l'information au terme du processus de communication. Cela s'accompagne d'une automatisation de cette phase. Particulièrement dans les cas de services gratuits à destinations des particuliers et des petites entreprises, c'est un robot qui gère les services proposés et par voie de conséquence, les aspects les plus sociaux de la communication. Le champs des possible se réduit, ce qui aboutit à un appauvrissement des communications, à les vider de leur dimension sociale. En d'autres termes, l'informatique en nuage permet aux acteurs privés, par les services qu'ils proposent, de prendre plus de contrôle de la communication d'une information et d'influer sur son interprétation un peu comme elle le fait de longue date avec les masses médias (radio, télé, presse).

Gouvernance des réseaux et place du modèle du libre

Le logiciel libre, par sa dimension communautaire et de maîtrise du système de communication, autorise une maîtrise d'une partie de la chaîne de communication par le principal intéressé. Ainsi AOL ou MS ont échoué dans leur projet d'appropriation d'internet et des utilisateurs. Les acteurs privés ne sont pas parvenus à prendre le contrôle, de cette partie sensible du processus de communication qu'est l'interprétation de l'information. Firefox notamment mais également une foule d'autres outils libres ont permis à de nombreux utilisateurs de sortir du réseau MSN ou AOL et d'étendre le périmètre de leur univers numérique.

Cependant, ce rempart du logiciel libre est menacé par le développement de l'informatique en nuage. En effet, l'informatique en nuage dématérialise ce qui fait la force du logiciel libre. "Dans la transition des applications locales aux application hébergées, la liberté logicielle a été oubliée. Personne ne parle plus désormais de logiciels installés localement, on parle de logiciels hébergés, et pourtant certains disent « Mon ordinateur ne contient que des logiciels libres ; seul le microprogramme de la carte graphique est propriétaire », et c’est une erreur car une bonne partie des « logiciels » qu’ils utilisent ne sont pas installés localement sur leur ordinateur mais utilisés au travers d’un navigateur internet"[41].Il n'y a alors plus aucun intérêt à utiliser des logiciels libres si, au terme du processus de communication, l'utilisateur n'a pas la maîtrise de la communication de l'information dans le cloud. En d'autres termes, choisir Ubuntu plutôt que Windows ne change rien sur le contrôle des données si en bout de chaîne l'utilisateur est obligé de passer par Google et son système en "cloud" pour la communication de ses données. Adopter des logiciels libres n'est alors plus un gage de liberté de contrôle des informations s'ils ne permettent pas de maîtriser l'ensemble de la chaîne de communication. Que google ou Facebook emploient du logiciel libre ne garantit plus aucune liberté à l'utilisateur pour les raisons largement détaillées dans ce texte.

Actuellement, il n'existe pas d'équivalent libre aux solutions des entreprises dominantes des TIC. La solution de sauvegarde en local des données ne suffit pas à répondre aux besoins des utilisateurs. Le monde du libre est face à une remise en cause de son modèle. Si on considère les valeurs de libertés individuelles comme méta-modèle du logiciel libre, on peut considérer que le cloud qu'il soit libre ou non (parce qu'il constitue une nouvelle infrastructure à un niveau dématérialisé supérieur au logiciel proprement-dit)ne permet plus de les garantir. Ce serait en définitive une victoire de l'open source qui se concentrerait sur l'aspect technique (notamment de la part de quelques géants), sans se soucier de l'aspect philosophique. Le cloud pose en définitive la question de la gouvernance des réseaux et de la présence de solutions libres (comme a pu l'être le P2P) sur ce nouveau terrain dématérialisé.

Un informatique en libre nuage

Contrôle du nuage

Les dangers décrits ci-dessus vont se généraliser de façon irrémédiable si l'informatique en nuage est laissée à la libre disposition des grands fournisseurs de services. Il est donc nécessaire que les institutions publiques, comme la Commission européenne, prennent véritablement en compte ces problématiques de l'informatique en libre nuage afin de garantir :

  • la neutralité du net
  • le droit à l'interopérabilité
  • la protection des données
  • le contrôle de la gestion des données et des applications par un encadrement des modifications des conditions de cette gestion
  • la sécurité des systèmes
  • la standardisation de l'informatique en nuage
  • la libre concurrence sur le marché des services en nuage

Afin de répondre aux préoccupations des utilisateurs professionnels, l’État français s'investit dans un "nuage à la française" à destination des administrations et des entreprises[42]

Liberté des utilisateurs de solutions hébergées

Reproductibilité de la solution

EN COURS


Confidentialité

EN COURS

Seuls les traitements autorisés par l'utilisateur doivent pouvoir voir accès à ses données. De plus, les données doivent pourvoir être supprimées à tout moment du réseau.

Licence Affero-GPL

Avec les applications en nuage, le logiciel n'est pas installé par l'utilisateur. L'utilisation du logiciel à travers le réseau lui donne un caractère privé. Dans ce cas, si le logiciel est sous licence GPL, la licence n'a pas vocation à s'appliquer du fait du défaut d'installation. La licence Affero-GPL (AGPL)[43] vise à pallier à cette situation. Elle est une licence libre, dérivée de la licence GPL, permettant de couvrir les logiciels utilisés sur le réseau. Elle reprend les clauses de la GPL version 3 mais elle contient une clause différente permettant d'étendre l'obligation de délivrance des codes sources lors de l'usage du logiciel sur le réseau. Elle est principalement à destination des services types SaaS[44]. Avec cette licence, le domaine des licences de la Free Software Fondation (FSF) dépasse le champ des logiciels installés pour s'étendre aux services web.

Cette licence est intéressante car elle permet de garantir la reproductibilité et l'évolutivité d'un logiciel hébergé du fait de son accès via le réseau.En revanche, la licence porte uniquement sur le logiciel et non sur les données transmises par son biais.

Des logiciels libres dans le nuage

Certains se sont lancés dans l'aventure de l'informatique en nuage version logiciels libres comme Dotcloud, une plate-forme d'hébergement multiple-technologies pour application web à destination des développeurs. Il existe aussi des répertoriations des services libres de l'informatique en nuage dans différents domaines comme les systèmes de stockage et les outils collaboratifs [45]. L'offre cloud d'Ubuntu utilise quant à elle la technologie Open Stack désormais en lieu et place d' Eucalyptus.

Le projet Unhosted[46][47] vise quant à lui à pallier à l'obstacle majeur au déploiement de solutions libres en cloud : le besoin énorme de bandes passantes de services comme Google ou Facebook. Le projet vise à séparer les données de l'application utilisée aux fins d'alléger le système et permettre ainsi le déploiement de solutions libres techniquement viables et respectueuses de la vie privée. Les données pourraient ainsi être conservées sur un serveur identifié tandis que l'application serait hébergée sur un autre.

Développer son propre nuage

Il n'y a pas d'obligation à naviguer dans les nuages standardisés sous contrôle des logiciels propriétaires. Le développement, par logiciels libres, de nuages « alternatifs » pour un cloud computing libre et responsable est envisageable.

Le correctif de l'auto-hébergement

L'auto-hébergement ou "home-computing" est le fait de conserver ses données dans un lieu physique en local dont on a forcément connaissance de la localisation. Ce n'est pas de l'informatique en nuage puisque l'on a connaissance du lieu d'hébergement des données. L'auto-hébergement n'est pas une alternative à l'informatique en nuage dans le sens il n'offre pas les mêmes services et applications. C'est un correctif qui permet de pallier aux dangers de perte des données principalement.

Un projet tel que FreedomBox[48] permet cet auto-hébergement dans le respect de la vie privée (par un système de chiffrement complexe) et de la neutralité du net[49]. Le projet beedbox[50] et d'autres solutions d'auto-hébergement[51] peuvent également être citées.

Libre et nuage, une union responsable

Les dangers présentés plus haut constituent des obstacles à l'adhésion complète au cloud computing. Afin de les éviter, le mariage avec les logiciels libres doit être une union responsable. Des mesures peuvent être mise en place pour garantir le contrôle par l'utilisateur de ses données.

C'est pourquoi, avant et pendant l'utilisation d'une application en cloud computing, l'utilisateur doit être, de manière claire et en caractère lisible, parfaitement informé de la destination de ses données et de l'usage qui peut en être fait. Ce n'est ici que faire application du droit à l'information s'agissant des données personnelles. Son consentement clair et non équivoque doit également être recueilli. Il conviendrait également de proposer à l'utilisateur, pendant l'utilisation de l'application en cloud computing, un système simple et accessible à tous de sauvegarde en local de ses données. La mobilisation du Data Liberation Front[52] pour le développement de Google takeout[53] est l'illustration de la prise de conscience du besoin de conservation en local de certaines données.

Tout développement d'application en libre en liaison avec le cloud computing doit donc :

  • respecter le principe du recueil préalable du consentement de l'utilisateur à la gestion de ses données
  • informer l'utilisateur de l'usage et de la destination de ses données
  • prévoir une anonymisation des données
  • prévoir dans l’idéal un système simple de sauvegarde en local des données ou, à défaut, informer l'utilisateur des moyens de sauvegarde en local à sa disposition

Ce n'est que sous ces conditions que l'union logiciels libres / cloud computing pourra être envisageable. Et ce n'est que sous ces conditions, qui devront être d'application générale pour tout logiciel, propriétaire ou non, qu'il pourra y avoir un développement responsable de l'informatique en nuage.

Actions concrètes

  • Dénonciation des prises de contrôle de l'Informatique en nuage par les entreprises du secteur

Cette action vise à éviter les situations de dépendance, des systèmes de communication et d'information, vis-à-vis d'un nombre restreint de fournisseurs de services en cloud

  • Élaboration d'un standard ouvert et interopérable pour les données

La standardisation de l'informatique en nuage doit s'effectuer sous la direction des institutions européennes et des Etats, en concertation avec l'ensemble des acteurs du secteur.

  • Renforcement du corpus juridique relatif au contrôle de l'activité des entreprises du secteur

Les entreprises proposant des services dans le nuage ont un accès privilégié aux données et applications de leurs clients. Les pouvoirs publics doivent se mobiliser afin de renforcer le contrôle des outils de conservation et de gestion des données ou des applications.

  • Renforcement du corpus juridique relatif à la conservation des données

Les États doivent contraindre les entreprises à proposer un système de sauvegarde en local simple et accessible des données. Ils doivent également légiférer sur l'information des clients de leurs possibilités d'auto-hébergement.

  • Promotion d'alternatives libres de l'Informatique en nuage

L'April se mobilise pour promouvoir les solutions libres et respectueuses des droits des utilisateurs.

Références

  1. O. Zilbertin, "Cumulonimbus", le monde, 22 juillet 2011
  2. H. Le Crosnier, A propos des services gratuits sur le web, http://www.a-brest.net/article3944.html
  3. Rapport d'information n°3560 par la mission d'information commune sur les droits de l'individu dans la révolution numérique, P. Bloche et P. Verchère, http://www.assemblee-nationale.fr/13/rap-info/i3560.asp
  4. The future of Cloud computing, opportunities for european cloud computing beyond 2010 http://cordis.europa.eu/fp7/ict/ssai/events-20100126-cloud-computing_en.html
  5. http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=cloudcomputing&lang=fr
  6. http://www.zdnet.fr/actualites/larry-ellison-critique-le-cloud-computing-39383711.htm
  7. Informatique en nuage, Vocabulaire de l'informatique et de l'internet, Journal officiel 6 juin 2010, Numéro 129 - Page 10453
  8. http://csrc.nist.gov/publications/drafts/800-145/Draft-SP-800-145_cloud-definition.pdf
  9. Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction
  10. http://aws.amazon.com/fr/ec2//188-2326372-8048016/
  11. http://fr.wikipedia.org/wiki/Amazon_Elastic_Compute_Cloud
  12. http://aws.amazon.com/fr/s3/
  13. http://fr.wikipedia.org/wiki/Middleware
  14. http://code.google.com/intl/fr-FR/appengine/
  15. http://fr.wikipedia.org/wiki/Google_App_Engine
  16. http://www.microsoft.com/windowsazure/
  17. http://aws.amazon.com/fr/
  18. http://www.dropbox.com/
  19. https://one.ubuntu.com/
  20. Mobilisation des technologies de l'information et des communications (TIC) visant à faciliter le passage à une économie à haut rendement énergétique et à faible taux d'émission de carbone Résolution du Parlement européen du 6 mai 2010 sur la mobilisation des technologies de l'information et des communications (TIC) visant à faciliter le passage à une économie à haut rendement énergétique et à faible taux d'émission de carbone (2009/2228(INI)), Journal Officiel du 15 mars 2011 - Numéro C 81E - Page 107
  21. De Courcy R., Les systèmes d'information en réadaptation, Québec, Réseau international CIDIH et facteurs environnementaux, 1992, no 5 vol. 1-2 P. 7-10
  22. http://www.guardian.co.uk/technology/2008/sep/29/cloud.computing.richard.stallman
  23. http://www.generation-nt.com/stallman-cloud-computing-logiciel-proprietaire-actualite-163041.html
  24. http://news.softpedia.com/news/Google-Admits-Handing-over-European-User-Data-to-US-Intelligence-Agencies-215740.shtml
  25. CNRS/FSD/Sécurité des Systèmes d’Information,Recommandations pour l’utilisation des services gratuits sur Internet, 17 avril 2008, Référence 08.1841/FSD
  26. H. Le Crosnier, A propos des services gratuits sur le web, http://www.a-brest.net/article3944.html
  27. http://www.google.com/accounts/TOS?hl=fr
  28. http://www.industrie.gouv.fr/fsn/cloud-computing/
  29. http://hightech.nouvelobs.com/actualites/depeche/20110701.ZDN4755/les-pc-sous-chrome-os-pas-plus-surs-que-ceux-sous-windows.html
  30. art.34 Loi 78-16 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
  31. Loi 78-17 du 6 janvier 1978 modifiée, art. 3, I, http://www.cnil.fr/en-savoir-plus/textes-fondateurs/loi78-17/
  32. Décret n°2005-1309 du 20 octobre 2005, http://www.cnil.fr/en-savoir-plus/textes-fondateurs/textes-dapplication/
  33. http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-de-l-externalisation/externalisation-et-securite-des-systemes-d-information-un-guide-pour-maitriser.html
  34. http://www.softwarefreedom.org/events/2010/isoc-ny/FreedomInTheCloud-transcript.html
  35. http://www.fdn.fr/internet-libre-ou-minitel-2.html
  36. The future of Cloud computing, opportunities for european cloud computing beyond 2010 http://cordis.europa.eu/fp7/ict/ssai/events-20100126-cloud-computing_en.html
  37. http://news.cnet.com/8301-13953_3-9933714-80.html
  38. http://www.monde-diplomatique.fr/2008/08/LE_CROSNIER/16174
  39. Rapport d'information n°3560 par la mission d'information commune sur les droits de l'individu dans la révolution numérique, P. Bloche et P. Verchère, http://www.assemblee-nationale.fr/13/rap-info/i3560.asp
  40. "IBM passe à l'offensive", http://behind-cloud-computing.com/articles/
  41. M. de Jong, projet Unhosted, http://www.framablog.org/index.php/post/2011/08/06/unhosted
  42. http://www.latribune.fr/technos-medias/informatique/20110801trib000640062/un-grand-cloud-computing-a-la-francaise-voit-le-jour.html
  43. http://www.affero.org/oagpl.html
  44. http://www.zdnet.fr/actualites/affero-une-declinaison-de-la-licence-gpl-pour-les-applications-hebergees-39375681.htm
  45. http://wiki.fsfe.org/CloudComputing
  46. http://www.framablog.org/index.php/post/2011/08/06/unhosted
  47. http://www.unhosted.org/
  48. http://wiki.debian.org/FreedomBox
  49. http://freedomboxfoundation.org/
  50. http://www.beedbox.org/
  51. http://wiki.debian.org/FreedomBox/ExampleProjects#Similar_projects
  52. http://www.dataliberation.org/
  53. https://www.google.com/accounts/ServiceLogin?service=backup&passive=1209600&continue=https://www.google.com/takeout/&followup=https://www.google.com/takeout/