Des services en lignes peuvent-ils vraiment être éthiques

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : Des services en lignes peuvent-ils vraiment être éthiques ?

Intervenant : Adrien Bourmault alias neox

Lieu : Choisy-le-Roi - Pas Sage en Seine 2024

Date : 30 mai 2024

Durée : 44 min 09

Vidéo

Présentation de la conférence

Licence de la transcription : Verbatim

Illustration : À prévoir

NB : Transcription réalisée par nos soins, fidèle aux propos des intervenant·es mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Description

À l'ère du capitalisme de surveillance, et grâce à l'émergence de structures et collectifs tels que CHATONS, les personnes qui font le pas peuvent échapper aux GAFAM pour leurs services en ligne. Mais est-ce pour autant la panacée ? Ces services hors GAFAM sont-ils pour autant éthiques ? Quelles seraient les conditions pour que les personnes qui font confiance à un serveur pour les servir ne soient pas asservies ?

Transcription

Bonjour à toutes et tous. Je vais commencer.

Qui suis-je ?

Je me présente. Je m’appelle Adrien, on m’appelle neox sur les réseaux. Je vais vous parler de beaucoup de choses aujourd’hui. Je me présente un peu rapidement.
Je suis responsable de l’infrastructure informatique de Libre en Communs, une association à but non lucratif, d’intérêt général, qui s’occupe d’action et de défense du logiciel libre par le développement, la communication et en partie aussi, disons, d’ateliers philosophiques. Je suis trésorier de cette association. Je suis également mainteneur GNU Boot, on va en parler un peu après. Je suis membre de la Free Software Foundation et de la XMP Standards Foundation. Ça fait beaucoup de choses, mais, en fait, tout est un peu lié. En général, je tourne autour du matériel et des protocoles de communication.

Plan

Aujourd’hui, je vais vous parler de services libres. Je vais commencer par introduire un peu les enjeux. Je vais vous parler aussi du logiciel libre, de ce qu’il a apporté au sujet et de la confiance. On va comprendre pourquoi je parle de confiance après.

Introduction aux enjeux

Capitalisme de surveillance

Le capitalisme de surveillance, c’est un peu l’enjeu qu’on a aujourd’hui en 2024.
La notion de surveillance apparaît en 1078 dans les écrits L’Art de la guerre de Sun Tzu. Au départ, c’est un système qui est réservé surtout aux États, à l’époque il n’y a pas encore de notion de modèle économique. En fait, a surveillance est un outil pour le prince afin d’asseoir son pouvoir.
La notion de profilage apparaît à la fin du 20e siècle ; c’est le capitalisme et le libéralisme qui apportent ça parce que, puisqu’on vend des choses, puisqu’on a besoin d’avoir une cible de marché, on a besoin de connaître la cible, donc, on se met à vouloir étudier les données des personnes qui vont potentiellement acheter des choses, c’est donc un outil qui nécessaire et demandé,

De 1990 à 2013 c’est Internet, l’apparition d’Internet et du Web.
Il y a une démocratisation des techniques et des méthodes de surveillance, une surveillance généralisée de plus en plus catégorisée : on va cibler des personnes spécifiques, des catégories de personnes spécifiques, et puis il y a un abaissement des coûts parce que la technologie devient accessible, donc des petits acteurs, des petites entreprises deviennent capables d’avoir accès à ce genre d’outil de profilage.
Il y a aussi une nécessité de spécialisation : en général les entreprises, etc., ont beaucoup besoin de ces outils, il devient alors nécessaire d’avoir un marché à part qui va proposer ces services. Il y a donc création d’un véritable secteur de la surveillance, bien diffusé, avec beaucoup de demandes, impliquant aussi des coûts faibles : comme il y a beaucoup de demandes et beaucoup de technologie, la rentabilité du secteur n’est plus à démontrer.
C’est donc un modèle économique qui est considéré, de façon un peu étrange, comme respectable. Évidemment, on n’aime pas le terme « capitalisme de surveillance » dans le secteur, on n’appelle pas ça comme ça. Il y a donc plusieurs catégories :

  • d’abord les publicités en ligne, c’est le truc que la plupart des gens connaissent, Google, Yahoo, Allociné et d’autres font ça, ils mettent en avant des publicités et ça rapporte de l’argent ;
  • il y a des infomédiaires. Les infomédiaires, c’est une autre catégorie. Ce sont des personnes qui vont, en gros, cibler pour les autres acteurs, notamment pour ceux qui proposent des publicités. La plus grosse qu’on connaît c’est Doubleclick qui va, en gros, utiliser les publicités pour mieux comprendre les comportements de consommateurs et consommatrices ;
  • il y a les distributeurs comme Amazon, La Redoute, Leclerc aussi fait ça, Carrefour fait ça. Ils vont s’adresser aux infomédiaires qui analysent l’exploration de publicité afin de comprendre le marché ;
  • et puis il y a les régies communautaires. C’est une catégorie un peu à part, elles font pas forcément appel aux infomédiaires. Facebook, X, Tinder et d’autres comme ça collectent leurs données elles-mêmes, dans leurs propres outils, et vont les utiliser soit pour les revendre à des infomédiaires soit pour les exploiter elles-mêmes ;
  • ensuite, il y a les hard data, un truc un peu plus sous-marin parce que c’est un peu scandaleux. Par exemple, Axa va vous proposer un respirateur artificiel contre l’apnée du sommeil et va vous demander de signer un petit truc dans le contrat qui l’autorise à récolter vos données de sommeil et, si vous ne le faites pas, vous n’avez pas droit au respirateur artificiel gratuitement pendant je sais pas combien de mois. C’est moins avouable, mais ils le font, c’est tout à fait respectable ;
  • ensuite, il y a les producteurs, on n’en parle pas souvent quand on parle de sécurité et de données, mais en fait, les gens qui fournissent des outils de protection de la vie privée en profitent. Vous avez des sociétés qui vont vendre des clés de chiffrement, qui vont vendre des VPN, des choses comme ça, et elles font partie du même marché, d’ailleurs, parfois, elles font double jeu. D’un côté, elles vont aider les infomédiaires en les finançant un peu et puis, de l’autre côté, elles font des solutions pour se protéger des infomédiaires.

Évidemment, tout cela pose la question de l’enclosure, de l’enfermement et de la captation des données personnelles.

On va parler de vieux souvenirs : 2013 l’affaire Snowden.
Si vous avez oublié, je rappelle qu’en 2013, on a appris que la surveillance généralisée existait vraiment, qu’elle était globale, qu’elle utilisait tous les moyens techniques possibles et imaginables, que les industries et les services de renseignement des États participaient toutes et tous activement à cette surveillance et que même certains producteurs de solutions sécurisées faisaient ça. On se souvient qu’à l’époque Lavabit faisait du mail chiffré et, en fait, transmettait en même temps les mails en clair à la NSA. C’est sympa !
2013, c’est aussi l’émergence des sociétés spécialisées dans la surveillance. On commence à voir des sociétés dont le seul but est de surveiller, ce n’est même pas du renseignement, ce ne sont pas des sociétés privées de renseignement, ce sont des sociétés de surveillance, ça s’appelle comme ça, c’est même écrit sur leur site « nous surveillons », basiquement ; c’est écrit en anglais, c’est donc forcément moins clair pour nous, mais vrai.
Et puis, en 2018, vous avez Cambridge Analytica. Après un petit moment où on n’entend plus parler de rien, on apprend qu’une société avait comme but très clair, dans ses statuts de société, de faire de la manipulation politique et qui utilise des données personnelles pour le faire. Là aussi, secteurs privé et public étaient impliqués, on se souvient notamment de l’implication d’une agence de renseignement intérieure américaine qui envoyait des données à Cambridge, histoire de voir ce que ça allait faire. Eux voyaient ça comme une expérience ! C’est intéressant !

Pour vous rappeler encore un souvenir un peu plus ancien, qui est qui est apparu à peu près en même temps que les révélations de Snowden pour le grand public, c’est PRISM. PRISM c’était un grand programme, d’ailleurs c’est probablement toujours un grand programme de la NSA. Vous avez, ici, les différents fournisseurs de données pour la NSA. Ce n’est pas que j’aime faire du name shaming, mais c’est quand même vachement intéressant de savoir que Microsoft, Yahoo, Google Facebook, PalTalk, YouTube, Skype, AOL et Apple ont participé et participent toujours probablement.
Je rappelle que c’est un programme qui permettait, et qui permet toujours à la NSA, de récupérer des données qui, en échange, donne à ces sociétés de l’argent, c’est du commerce, évidemment, donc c’est respectable. Ce sont les pays qui sont touchés par la surveillance, la France se porte plutôt bien, on ne va pas se mentir, elle pourrait faire mieux, c’est sûr. Cette carte provient des données que Snowden avait donné au <em<Guardian. Normalement gris, ça veut dire qu’il y a pas de surveillance. Vous voyez du gris ? Non, il n’y en a pas ! Par contre, vous avez du vert clair, ça veut dire qu’il y a un peu de surveillance ; si c’est rouge, c’est qu’il y en a beaucoup et ça ne concerne que la NSA ; rouge, c’est très surveillé et vert c’est peu surveillé.

Problèmes de logiciel ?

On va donc regarder ce qu’on peut faire avec le logiciel libre.

Freedom ladder

Avant de commencer, je rappelle que la Freedom Ladder existe, l’échelle de la liberté. Pourquoi je dis ça ? Parce que je parle dans un contexte particulier, je vais vous parler de services, c’est-à-dire de choses qui sont proposées par des serveurs pour être utilisées par des personnes. Je ne parle pas de ce que vous allez installer sur votre machine, je ne parle pas de ce dont vous avez besoin sur votre machine, parce que ce serait un peu comme mettre en opposition la liberté individuelle et la responsabilité collective, ce n’est pas la même chose. Je parle de responsabilité d’associations ou de structures pour des personnes et pas de ce que vous, vous allez faire comme choix. Donc, si je vous parle de logiciel 100 % libre, ça ne veut pas dire que je vous dis qu’il faut installer de logiciel 100 % libre, c’est que je pense, et on est plusieurs dans Libre en Communs à le penser, qu’une structure qui propose des services devrait utiliser du 100 % libre parce qu’elle est responsable.

Le logiciel en tant que service

Je vais commencer par vous parler du logiciel en tant que service.
Vous connaissez peut-être Alexandre Oliva qui est le cofondateur de la FSFLA et de Linux-libre, qui, il y a quelque temps, dans un article qui sera dans les sources de ces slides, présentait le logiciel en tant que service. Il faisait ça avec une analogie intéressante : imaginez, par exemple, un magasin et vous voulez aller acheter des choses, mais, tout ce que vous allez acheter doit rester dans le magasin ; et puis, si le magasin ferme, vous ne pouvez pas y aller ; et puis, si le magasin disparaît, vous ne pouvez plus récupérer ; si jamais vous avez envie d’entrer dans le magasin et que le videur à l’entrée dit « non », vous ne pouvez pas. Eh bien, le logiciel en tant que service ressemble beaucoup à ça.
En fait, c’est une réalité bien réelle, qui, d’ailleurs, s’applique à beaucoup d’OS. Par exemple Android de Google, avec son magasin d’applications, fait exactement ça : Google a la capacité de supprimer une application de notre téléphone, à distance, donc l’utilisateurice ne contrôle pas le fonctionnement du logiciel, ne contrôle pas l’accès aux logiciels et ne contrôle pas non plus les données personnelles associées à ces logiciels.
C’est ce qu’on appelle le logiciel en tant que service ou, en anglais, le SaaSS. Ça a été beaucoup théorisé par la FSF, il y a maintenant beaucoup d’articles sur le sujet et je vous renverrai, dans les sources, à ces articles. Il y a exemple magnifique : Amazon avait décidé de supprimer le livre 1984 sur toutes les Kindle ; c’est arrivé il y a pas très longtemps, il y a un an ou deux. Ils ont supprimé à distance 1984, d’Orwell, sur tout toutes les Kindle.

Public : Inaudible.

Adrien Bourmault : Plus que deux ans, ça paraît récent pour moi, c’était il y a cinq ans minimum, ça date, mais ils l’ont fait et ils le referont !

Le logiciel libre est-il pertinent ?

Parlons de logiciel libre.
Pour rappel, normalement on sait à peu près tous ce que c’est que le logiciel libre, mais bon, rappelons qu’il y a quatre libertés dans le logiciel libre que sont :

  • utiliser,
  • étudier et modifier,
  • partager,
  • partager les modifications et améliorations.

D’accord, c’est bien, il y a quatre libertés, mais ça ne protège pas contre le logiciel en tant que service. Les quatre libertés, c’est sympa quand on a un logiciel installé sur sa machine, mais si le logiciel est à distance, ça ne protège pas.
On peut améliorer, on peut utiliser une licence qui oblige à publier les sources de son serveur, la AGPL fait ça, par exemple : elle considère que le fait de mettre en ligne sur un serveur constitue une distribution, donc oblige à publier les sources, mais ça ne sauve pas non plus.
On peut aussi limiter les actions réalisées à distance, par exemple proposer un service et dire « on vous encourage à utiliser ça hors-ligne », on fait de la communication, mais ça n’empêche pas non plus que les gens qui continuent d’utiliser en ligne restent soumis au danger du Service as a Software Substitute.
Donc, le logiciel libre est complètement insuffisant, par contre il reste nécessaire parce que si le service n’est pas libre, c’est encore pire, notamment si c’est un service qui transmet des données personnelles à distance. Imaginez que j’installe un service pas libre sur un serveur et que je dise « allez-y, c’est accessible », qu’en plus ce serveur se permet de transférer des données à Google ou Amazon, eh bien là, j’ai enfermé l’utilisateur dans un service qu’il ne contrôle pas et, en même temps, en plus, je transmets ses données aux infomédiaires. C’est donc une double perte, une double défaite.

Rendre un SaaSS plus éthique ?

Peut-on rendre un service plus éthique ?
On peut, par exemple, permettre aux utilisateurices de contrôler le service ; ça peut se faire avec une approche locale. Par exemple, ce qu’avait permis au départ CHATONS, qui avait créé ce concept d’AMAP de l’informatique : on connaît effectivement son fournisseur de services, on peut aller le voir, on peut venir lui poser des questions directement.
En plus de ça, on peut mettre en place tout ce qui est lié à l’humain : des CGU qui respectent les personnes, ça donne des garanties ; par exemple, si les CGU sont lisibles par des humains, c’est déjà pas mal ! On peut se dire que les avocats, les juristes ne sont pas forcément des humains ! Parfois, on peut se poser la question : regardez les CGU de WhatsApp, parfois j’ai du mal à comprendre qui a écrit ça et qui a traduit, parce que la traduction est pire que la version originale ! Et plus, c’est très long.
Donc des CGU courtes, faciles à comprendre et faciles à lire et qui, en plus, vous donnent des droits ça aide, ça aide beaucoup.
Il faut aussi permettre de donner des garanties sur le traitement des données. Par exemple, vous avez un service qui vous dit « si on ferme, vos données sont perdues ». Ouais ! D’accord ! Donc là, vraiment on est complètement enfermé. Alors que si on a des CGU qui disent « si on ferme, on vous laisse un mois pour les récupérer, vous pouvez même venir nous voir en personne pour les récupérer », là, déjà c’est plus humain et les données sont moins enfermées. Par contre, si la personne meurt, se fait écraser par un bus et qu’elle était la seule personne disponible, on a toujours au même problème ! En tout cas, on peut limiter.
Ne pas oublier que le Libre ça veut dire, souvent, interopérabilité, pas toujours, il y a plein de contre-exemples, mais souvent ça aide, parce que si le logiciel du serveur du service qu’on utilise à distance est libre, je peux récupérer mes données et les mettre sur le service de quelqu’un d’autre et ça marche pareil, donc j’ai gagné un peu.
Et puis il faut favoriser des services clients/serveur ou des services clients seuls, par exemple du pair-à-pair, ce n’est pas mal, ça reste en réseau, mais on peut toujours l’utiliser seul et on ne dépend pas d’un serveur. C’est de moins en moins vrai parce que de plus en plus de services pair-à-pair dépendent de plus en plus de serveurs. Par exemple Jami qui, avant, était complètement pair-à-pair et qui maintenant dépend d’un serveur, une sorte de blockchain pour simplifier, donc on en a besoin. Ils ont dit qu’un jour on pourrait décentraliser ça, mais un jour, c’est loin. Il y en a de moins en moins, mais il faut les mettre en avant.

Le matériel est-il fiable ? 15’ 10

Donc PRISM existe, je le disais tout à l’heure, ça existe probablement encore et ça a laissé des traces.
J’adore vraiment, c’est un vrai logo d’Intel [Intel Delivers], ce n’est pas une parodie, c’est très rigolo parce qu’ils ont énormément fait partie, ils font partie intégrante du programme, leur nom n’était pas marqué dans PRISM. Le matériel est une source de surveillance, Intel en fait partie et la complexité du matériel n’aide pas parce que c’est vraiment exponentiel. C’est-à-dire que, je vais en parler après, depuis les années 90, votre matériel fait de plus en plus de choses, et vraiment de plus en plus.
On a une segmentation de l’environnement logiciel. Sachez que votre système d’exploitation a de moins en moins la main sur votre matériel, parce que, en fait, il y a d’autres choses entre, notamment une augmentation de la part des logiciels de bas niveau comme les microprogrammes, le BIOS, par exemple, fait de plus en plus de choses, les micro-codes pour le CPU, pour le wifi, pour le Bluetooth et de plus en plus de pilotes de périphériques sont soit de plus en plus complexes soit plus en plus opaques.
Une petite révélation, parce que j’aime bien faire des révélations, il y a un processeur dans le processeur, depuis 2008. Dans un processeur Intel, il y a un processeur ARM qui sert à exécuter un sous-système et qui a tous les droits sur votre machine, ça s’appelle Intel Management Engine. Ce truc est sympa, il permet même l’accès à distance, c’est cool !, avec toute la mémoire, tous les périphériques, tout ! C’est la petite révélation, j’aime bien, c’est toujours croustillant !

À propos du microprogramme…

À propos du microprogramme dont je parlais à l’instant, vous vous rappelez peut-être que le BIOS, dans les années 80, si vous étiez là, moi je n’y étais pas, c’était vraiment basique. Il y avait simplement un comptage de la RAM, peut-être une vérification que les bus fonctionnaient à peu près, puis pouf !, ça y est, on donne la main à l’OS. Ça c’était avant.
Aujourd’hui, le BIOS fait bien plus que ça : il initialise tous les bus, il entraîne la mémoire, la mémoire a besoin d’être entraînée, il faut lui donner les bonnes tensions, il faut régler les impédances par un peu d’électronique, il faut lui montrer comment fonctionner et c’est le BIOS qui fait ça et ça prend un temps considérable.
En plus de ça, maintenant, il y a des BIOS qui font encore plus de choses avec un système d’exploitation complet, ça s’appelle UEFI. Il y a un noyau, ça répond à des appels système du système. En fait, le noyau Linux fonctionne, le noyau Linux traite des appels système, par exemple une demande d’écrire à l’écran ou je sais quoi, et puis le BIOS va en fait faire une partie de cela, donc Linux, sans le faire exprès, va faire appel au BIOS. Il ne le sait pas, il accède une zone mémoire, mais, en fait, accéder à cette zone déclenche une interruption qui fait que c’est l’UEFI qui s’exécute. En fait, ce truc est présent tout le temps en mémoire, a accès à tout, quasiment, a même une pile réseau, c’est-à-dire que ce truc peut accéder à Internet, peut se mettre à jour tout seul, en silence, comme il veut, et on appelle toujours ça microprogramme, c’est toujours le nom officiel.
Et puis, depuis 2006, on a UEFI 2.1 qui fait du Secure Boot. Vous vous souvenez, c’est le truc qui vous empêche d’installer une distribution libre, en plus c’est immense, le truc fait 15 mégas au minimum, c’est beaucoup ; en plus, il y a de la GUI, les gens sont contents, ils peuvent manipuler la souris dans l’interface de configuration.
Imaginez si ce n’était pas libre ! En fait, ce n’est déjà pas libre ! Bon, d’accord.

Comment lutter contre ça ?

Comment lutter contre ça, parce que c’est un peu pour ça qu’on parle, je ne suis pas là pour vous dire que tout va mal et qu’on va mourir, enfin si, on va mourir, mais pas maintenant.
Donc, aujourd’hui, c’est impossible de lutter contre le matériel. On a un matériel complètement verrouillé quand il est récent, des microprogrammes qui s’auto-protègent. Je vous parlais de Management Engine tout à l’heure, il vous empêche de les installer, si vous le désinstaller l’ordinateur s’éteint au bout de 30 minutes, c’est comme ça. On a tous testé ! Beaucoup de gens travaillent sur le sujet, essaient de faire des contre-mesures, par exemple effacer une partie d’Intel Management Engine pour que ça marche quand même, mais c’est de la galère et, à chaque nouvelle version d’un processeur, il faut changer toutes les techniques. La dernière version, la douzième génération et la treizième, c’est impossible, on ne peut pas supprimer Intel Management Engine pour le moment, on peut supprimer des morceaux, mais pas les morceaux les plus importants, donc l’accès à distance est toujours possible.
Et la rétro-ingénierie de tout ça est super coûteuse, parce qu’il faut passer des temps infinis. Si on voulait vraiment réussir à remplacer l’accès à distance par un truc libre, il faut dix ans de travail humain, il faudrait que ce soit financé pour que ça ait le lieu et, en plus, on n’est pas sûr que la génération d’après correspondra. C’est ultra coûteux alors que faire ?
À Libre en Communs, on propose dans nos documentations, et c’est ce qu’on fait dans notre infrastructure, d’utiliser du matériel plus ancien, un peu plus ancien, du matériel de 2011 par exemple et viser 100 % de logiciels libres y compris pour les logiciels bas niveau : utiliser des BIOS libres, n’utiliser que des pilotes libres et jamais de micro-code non-libre. Évidemment, c’est un peu un peu contraignant, mais pour des serveurs c’est acceptable, on ne parle pas des ordinateurs des gens.
II existe aussi du matériel libre, mais c’est une notion ultra floue. Quand on dit matériel libre, d’accord, mais libre en quoi ? Je peux copier le matériel ? Je prends du matériel, je le copie, je partage les modifs ?, c’est un peu compliqué. En fait, il faudrait parler de matériel à design libre ou de fichiers de conception libre, c’est déjà un peu plus précis, mais même là, les licences ne sont pas très claires, donc on a des soucis à vraiment définir ce que c’est : pour le matériel, il y a des licences libres qui autorisent à utiliser des trucs pas libres dedans, du coup ce n’est pas récursif, et, parfois, il y a des licences qui disent « non, c’est complètement libre, y compris les dernières dépendances ». Oui, mais est-ce qu’on peut vraiment parler d’un transistor libre ou de silicium libre ? Est-ce qu’un atome c’est libre ? On a du mal, des fois, donc ça demande encore du travail.
En plus, le matériel libre c’est bien, mais sans logiciel libre qui tourne dessus, on a tout perdu. Super, j’ai un matériel libre, mais il exécute un BIOS pas libre ! Là, on peut se demander quelle est la logique, parce que le logiciel, du coup, fait ce qu’il veut sur du matériel qu’on connaît, et ça ne change pas le problème.

Donc un microprogramme libre existe-t-il ? Oui. Spoiler, il y en a un qui s’appelait GNU Boot.

L’expérience d’un matériel éthique ?

À Libre en Communs, nous avons fait l’expérience de matériel un peu plus éthique, une infrastructure conçue autour de la carte mère Asus KGPE-D16. C’est une carte mère de Asus, on ne s’attendrait pas à ce que ce soit spécialement libre, mais, en fait, si.
C’est aussi pour deux raisons :
la première c’est que c’est fait pour les serveurs et, à l’époque, Asus pensait que pour que ça se vende mieux, il fallait que ce soit bien connu par les gens qui l’utilisent. Quand ce sont des serveurs d’Amazon, par exemple, ils ont envie de savoir ce qu’il y a vraiment dans la carte mère parce qu’ils veulent l’optimiser pour le refroidissement ;
ensuite, la rétro-ingénierie a été faite par des gens de Raptor Engineering qui se sont dit « tiens, si on portait cette carte mère pour un BIOS entièrement libre ». En fait, ça a été finalement facile, ils ont cassé beaucoup de cartes mères entre-temps, d’ailleurs à la ponceuse, c’est vraiment du lourd, mais ils ont réussi et ils ont réussi à sortir, en 2014, une version d’un BIOS quasiment entièrement libre et qui a, ensuite, été amélioré. Cette carte mère est géniale parce qu’il y a zéro micro-code non-libre installé, pas d’Intel ME, pas d’AMD PSP, pas de possibilité d’accéder à distance et pas besoin d’UEFI non plus. Donc, on peut avoir un BIOS ultra-simple qui fonctionne, qui fait ce qu’il faut.

On utilise aussi des routeurs un peu plus libres, notamment les Turris Omnia, mais il y a des micro-codes qu’on a pas réussi à supprimer, sinon ça ne marche pas. On a donc migré vers des Netgear qui fonctionnent avec LibreCMC, OpenWrt plus libre, avec zéro logiciel non-libre et ça fonctionne !

Pour parler un peu de GNU Boot, c’est un BIOS, c’est-à-dire un logiciel qui démarre votre matériel, l’initialise, configure votre mémoire et qui, ensuite, passe directement la main au système et ne reste pas en mémoire. Il y a une partie qui reste, c’est ce qu’on appelle la CPI, disons que c’est du code qui est exécuté par votre système d’exploitation, qui interprète ça, mais, en gros, il n’y a pas de programmes résidents, il n’y a pas d’appels système faits par le système, quoique le ??? [22 min 41] existe encore, mais je ne vais pas entrer dans les détails. En gros, c’est un truc qui, tous les certains temps, va exécuter du code sur votre machine, par exemple pour régler des tensions ou des choses comme ça, donc rien qui permette une faille, quoiqu’il y a eu des bugs avant mais quand ce n’était pas libre. Dans ce cas-là, le ??? est libre grâce à Coreboot.

On utilise aussi une connexion internet neutre, un peu plus éthique, qui s’appelle FDN. On dépend toujours bien sûr, avec FDN, des fournisseurs de câbles commerciaux puisque FDN ne possède pas de câbles, c’est un peu compliqué. On ne va pas acheter des câbles partout en France – je suis aussi membre de FDN, c’est pour cela que je dis « on » –, ça va être très cher, donc on dépend effectivement des opérateurs d’infra, mais au moins, le contrôle de la connexion est fait par une structure qui est éthique et il n’y a pas de boîte noire qui enregistre nos communications.

Donc, à Libre en Communs, on arrive à contrôler tout le matériel qui gère les données, y compris, en partie, le matériel du réseau, ce qui est déjà pas mal.

Il n’y a jamais de nuage…

Il n’y a pas de nuage, tout ça ce sont des vraies machines, ce sont les machines de Libre en Communs, une, à gauche, est à Saint-Maur-des-Fossés, l’autre à Fontainebleau, ce sont des baies, il y a des machines réelles qui fonctionnent et vous pouvez venir les voir, ce n’est pas interdit, on est toujours content de recevoir de la visite.

Une question de confiance

De la neutralité

Parlons un peu de neutralité.
On parlait de service quand même et c’est ultra important que le service soit neutre, donc ça veut dire pas de discrimination, pas de clientélisme. Ce n’est pas parce que vous êtes un ami ou une amie de la structure que vous avez plus de droits que les autres : puisqu’il faut que tout le monde soit libre y compris de ce point de vue du service, donc il ne faut pas qu’il y ait de discriminations.
Et, pour s’en assurer, il faut abolir la surveillance. Du coup, si on ne regarde pas les contenus, qu’on ne les altère pas, il n’y a pas de clientélisme ni de discrimination ; ça va dans les deux sens. Et puis il y a des exceptions parce qu’on a des obligations par la loi : par exemple, on est obligé de conserver deux semaines de logs ; on doit aussi modérer puisque si un nazi poste un truc, il faut quand même le supprimer vite, on doit éviter de mettre en avant ce genre d’idées, donc on est neutre mais pas envers ce genre de truc.

Chalec est neutre

Chalec est le projet de Libre en Communs pour mettre à disposition des services pour le grand public fait ça :
on ne regarde pas les contenus sauf les signalements ;
on ne met rien en avant et on ne censure rien sauf obligation légale ;
on n’est pas victime de ça, non plus, nous-mêmes parce qu’on utilise FDN qui fait la même chose, qui est neutre ;
et on essaye de ne pas être banni ou censuré. Par exemple si on n’avait pas utilisé FDN pour notre connexion, mais Orange, Chlaec aurait été victime de cette potentielle censure, puisque Orange n’est pas neutre. Quand des chatons font ça, mais utilisent une connexion internet commerciale, certes le chaton, par exemple, ne fait pas cette action de censure, mais leur ISP, leur fournisseur d’accès, le fait peut-être, donc ce n’est pas garanti.

Impliquer les utilisateurices ?

Pour aider à ne pas dépendre des services il faut aussi renforcer, comme je disais tout à l’heure, les liens locaux, continuer sur un principe des Amap et permettre aux utilisateurices de s’impliquer. Par exemple, à Libre en Communs, on encourage les personnes qui ont envie à adhérer à participer à nos réunions, à venir écouter ce qui se passe, à découvrir et même à venir sur place. Participer à la maintenance matérielle c’est toujours rigolo, on ne change pas tout le temps des processeurs, donc c’est bien de découvrir et de voir que ce petit truc existe vraiment, il a une existence matérielle. On parle souvent de processeurs, mais, souvent, rares sont les personnes qui ont vraiment vu un processeur enlevé, comme ça, dans la ma in, donc c’est toujours sympa de regarder ça. Donc, vous pouvez venir visiter, je ne l’ai pas encore assez dit, venez !

Certifications en audits

Un truc qui serait pas mal, parce qu’aujourd’hui ça manque, c’est de permettre de certifier de tels services.
Avant, le collectif CHATONS servait un peu à ça, parce que ça avait une image, on disait CHATONS, oui, c’est l’exemple du service éthique. Aujourd’hui ce n’est plus vraiment le cas, déjà parce qu’il y a eu le changement de la charte et aussi parce que, déjà avant, tout le monde, dans CHATONS, ne respectait pas tous les principes que je viens de dire. Pour aller le plus loin possible, il faut qu’on ait une échelle, si on a juste un truc binaire, « un peu éthique ou pas du tout », on ne peut pas faire de grades.
Donc, il faut pouvoir faire une échelle, il faut établir une confiance durable, donc certifier et auditer avec un regard extérieur, rationnel, et objectif, c’est un peu l’idée. Avoir des structures qui viendraient dire chez vous il y a ça, ça et ça, ça veut dire que c’est à peu près éthique à tant % ou sur tel sujet ; on ne peut pas dire « c’est éthique » tout court de façon absolue, mais on peut donner des critères qui font que quelque chose est un peu plus éthique qu’autre chose.
Plusieurs regards, ce n’est pas mal aussi. On a plusieurs certifications différentes qui couvrent différents aspects.
S’il y a des certifications ce n’est pas mal. Il y en a, c’est bien.
On a FSDG, une certification pour logiciel libre, faite par la FSF, qui permet de dire si un logiciel est entièrement libre ou pas. Le Free Software Directory, notamment, fait ça. En gros, il répertorie du logiciel entièrement libre tenu par la FSF, ils ont des réunions tous les vendredis sur IRC, si vous avez envie.
Pour le matériel, il y a RYF. Ce n’est pas une certification parfaite, je vais en parler.
On peut faire des audits internes. Libre en Communs, par exemple, peut s’auditer elle-même mais l’audit externe c’est quand même mieux.

Free Systems Distribution Guidelines 27’ 40

Je disais que le FSDG