Note sur le cloud
Cette page présente un texte de synthèse en cours de réalisation.
Si vous souhaitez participer, n'hésitez pas à laisser votre avis sur la page de discussion en suivant au mieux ces recommandations.
"J'ai une bonne et une mauvaise nouvelle. Je commence par la mauvaise : tout va disparaître. Vous pouvez dire adieu à vos précieuses données, vos photos, vos films, à votre disque dur régulièrement défragmenté, à vos logiciels préférés. Passons maintenant à la bonne nouvelle : tout va disparaître. Allez hop ! Terminé les données encombrantes, fini les disques durs étriqués, bruyants, poussifs, aux oubliettes les logiciels ventripotents, coûteux et inutiles. Plus besoin. N'ayez crainte : dans tous les cas, vous pouvez quand même continuer à regarder vos photos et vos films, à consulter et modifier vos documents, à écouter votre musique".[1]Voilà comment pourrait être résumé, avec comme référence grand public gmail ou picassa, les effets de l'informatique en nuage ou cloud computing.
Présentation
Pourquoi cette note ?
La Commission européenne a mis en place une consultation publique sur l'informatique en nuage qui se clôturera à la fin du mois d'août 2011[2]. La consultation porte sur les modalités d'utilsation du cloud et fais suite à un rapport sur le futur du cloud computing[3], Chaque acteur du secteur des nouvelles technologies doit donc, dès à présent, donner sa position sur la question de « l'informatique en nuage ».
Les entreprises qui dominent actuellement le marché telles que Google, Amazon ou Microsoft penchent nettement en faveur d'un développement exponentiel de l'informatique en nuage. Les estimations de croissance annoncées par la Commission européenne ne peuvent en effet qu'encourager les entreprises à se lancer, tête baissée, dans le cloud computing (taux de croissance annuel de 19,5% dans l'informatique en nuage et recettes mondiales des services d'informatique dans le cloud de 148, 8 milliards USD d'ici à 2014)[4].
En revanche, comment doit se positionner le monde du libre sur ce sujet ? L'April va participer à cette consultation européenne car le monde du libre ne peut rester muet face à un sujet touchant directement les logiciels libres. Des domaines comme le droit à l'interopérabilité ou les brevets logiciels sont concernés par le développement de l'informatique en nuage.
Contenu du nuage
Juridiquement, le cloud computing, ou informatique en nuage, est un « mode de traitement des données d'un client, dont l'exploitation s'effectue par l'internet, sous la forme de services fournis par un prestataire. L'informatique en nuage est une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients. »[5]. Les applications et les données ne sont donc plus sur un serveur local mais bien dans un « nuage » de serveurs reliées entre eux par une bande passante. L'utilisateur y a accès, le plus souvent via une application web et en délègue la gestion à un tiers prestataire. L'informatique en nuage n'est pas qu'un "mode de traitement", c'est un mode de centralisation du Net dont le développement, dans le respect des libertés de chacun,est un enjeu majeur.
Pour l'Agence nationale pour la sécurité des systèmes d'information (ANSSI), "Les architectures de cloud computing mettent généralement en œuvre des technologies de calcul distribué et de virtualisation. Par extension, le cloud computing tend à désigner toutes les offres de services qui s’appuient sur de telles architectures, accessibles via Internet ou un autre réseau, qu’elles soient publiques ou restreintes à une communauté (« nuage communautaire ») ou encore à usage interne de l’entreprise (« nuage privé »)[6]. Il n'existe donc pas un unique nuage mais une multitude aux contenus et contours différents.
L'informatique en nuage, en réalité, regroupe sous un seul et même terme imaginé une multitude de pratiques qui n'ont pas les mêmes finalités. Le terme "informatique en nuage" ou "cloud computing" n'est qu'un mode de catégorisation de l'ensemble des technologies permettant des offres de services basées sur le calcul distribué et la virtualisation. Cette catégorisation est dénoncée par certains comme Larry Ellison, qui dénonce l'effet de mode « L’industrie de l’informatique est l’industrie la plus sujette aux modes, encore plus que la mode féminine. Je suis peut-être idiot, mais je ne comprends pas un mot de ce dont il retourne. De quoi parle-t-on ? C’est du grand n’importe quoi. Jusqu’à quand va-t-il falloir subir ces idioties ? »''[7]
L'informatique en nuage regroupe notamment :
- les services d’infrastructure (Infrastructure as a service IaaS) : ressources matérielles nécessaires à la mise en place d'une infrastructure avec système d'exploitation et applications
- les services de plate-forme (Platform as a service PaaS) : ressources nécessaires à la configuration d'application via des interfaces de programmation déployées à distance
- les services de logiciels (sofware as a service SaaS) : fourniture d'application utilisables à distance par abonnement plutôt que l'achat d'une licence
Intérêts pour les utilisateurs
L'intérêt principal de l'informatique en nuage est de donner à l'utilisateur la possibilité de bénéficier d'une infrastructure, pour la gestion de ses courriels par exemple, sans avoir à stocker les données reçues ou émises en local.
Le cloud computing permet en effet également une grande évolutivité. Ainsi l'utilisateur n'a pas besoin, à l'avance, de prévoir la capacité de stockage dont il va avoir besoin puisque cette capacité s'adapte en temps réel à ses besoins. Et il ne se compose pas uniquement de services standardisés. Les nuages privés contiennent souvent des applications personnalisées.
Le cloud computing permettrait également une réduction du coût financier du stockage des données. Nul besoin en effet pour l'entreprise ou le particulier de planifier l'achat ou la location d'un matériel de stockage imposant puisque celui-ci se fera à distance sur les serveurs du tiers. S'agissant du coût financier de l'informatique en nuage, ses partisans mettent en avant les gains générés par la dématérialisation de la conservation des données Cependant, le coût des forfaits, de la virtualisation des infrastructures, du développement de plates formes personnalisées, de l'intervention d'une multitude de prestataires peut être supérieur aux gains annoncés.
Enfin, le cloud computing serait bénéfique pour l'environnement dans sa participation à la dématérialisation de l'informatique[8].
Si on s'en tient à cette simple présentation, le développement de l'informatique en nuage doit être encouragé dans sa visée de développement des applications et des capacités de stockage des données. Cependant, le monde du numérique n'est pas le pays des bisounours et l'informatique n'est pas formé que des nuages de bonnes intentions.
Dangers de l'informatique en nuage
Pertes de contrôle des données
Pour Richard Stallman, rejette le cloud computing, qui est pour lui une campagne marketing[9], un concept créé par des gérants de logiciels propriétaires pour leur développement personnel, un « piège »[10] dans lequel le logiciel libre n'aurait pas sa place. En effet, son usage conduit irrémédiablement à une « perte de contrôle » de ses données, car l'utilisateur en confie la gestion à un tiers tout en ignorant leur localisation précise. Cela le contraint ensuite à l'usage de logiciels propriétaires de sécurité. R. Stallman préconise la conservation des données en local.
Perte de maîtrise du système d'information
Perte de gouvernance
Le développement de nuages standardisés sous contrôle de grands fournisseurs ne peut être encouragé. Les nuages standardisés obligent les utilisateurs à se plier aux contraintes et volontés des fournisseurs de cloudoù Les utilisateurs ne peuvent s'opposer à de nouvelles conditions d'utilisation ou exigences financières, sous peine de voir leur accès à leurs données disparaître. Un parallèle peut ici être effectué avec la situation où les éditeurs de logiciels propriétaires imposent leurs nouvelles versions de logiciels au gré de leurs envies. Les utilisateurs sont aussi dépendants du prestataire tiers quant à la modification, la suppression ou la conservation des données.
De plus, les utilisateurs n'ont aucun moyen de contrôle sur l'activité du fournisseur de services en cloud sur leurs données. Ils ignorent la localisation de leurs données, les modalités techniques de leur conservation, les systèmes d'intervention à distance. L'identité et le nombre des personnes pouvant y avoir accès (sous-traitant, responsable du traitement, partenaires commerciaux ...) n'est même pas chose certaine parfois.
Dépendance technologique
Les services en cloud, tels qu'ils sont conçus et exploités à ce jour, ne garantissent pas à l'utilisateur un libre choix des technologies utilisées pour la gestion de ses données. Il est difficile pour lui d'envisager un changement de service (comme un changement de messagerie par exemple) car cela peut s'avérer techniquement très compliqué et nécessiter du temps et de la patience !
D'un point de vue technique, la possibilité d'échanger ses données, et par voie de conséquence, la possibilité de les télécharger dans un format admis par d'autres services est un droit souvent bafoué par les services dans le nuage. Ce n'est ni plus ni moins que le droit à l'interopérabilité qui est ici en jeu. Et le danger d'un format unique sous contrôle de Google, Microsoft ou Amazon est bien réel. Pour preuve, le Distributed Management Task Force (DMTF), consortium de grandes sociétés des NTIC, a créé un groupe de travail aux fins d'établir les standards de l'informatique en nuage. A ce sujet, le gouvernement a lancé un appel à projets « Informatique en nuage- Cloud computing » dont l'un des points d'attention est l'interopérabilité et l'ouverture[11]. En conséquence, le monde du libre ne doit pas être exclu de ces réflexions sur la standardisation du nuage, sous peine de ne pouvoir s'y s'épanouir. Le droit à l'interopérabilité ne doit pas être sacrifié sur l'autel de l'informatique en nuage.
Un système basé uniquement sur la confiance des utilisateurs envers les fournisseurs de services en cloud n'est pas tenable. La liberté des utilisateurs est ici en jeu. L'informatique en nuage ne doit pas être contrôlé par les grands fournisseurs de services. Pour Eben Moglen, le cloud se résume pour lui en la liberté des serveurs, et non des utilisateurs, sans possibilité de contrôle : « Alors «nuage» signifie que les serveurs ont gagné la liberté, la liberté de se déplacer, la liberté de la danse, la liberté de combiner et de séparer et re-agrégées et faire toutes sortes de trucs. Les serveurs ont gagné la liberté. Les clients n'ont rien gagné. Bienvenue sur le nuage. ». Difficile dans ces conditions d'imaginer une combinaison logiciels libres / cloud.
De plus, si le cloud computing vient à être contrôlé par des brevets logiciels, la place des logiciels libres risque d'être grandement menacée. Il ne sera pas possible de l'étudier, d'en faire usage sans autorisation du détenteur du brevet, de le diffuser librement et d'y apporter des améliorations. Les possibilités d'enrichissement du nuage par les innovations issues du libre seraient nulles.
Insécurité
La sécurité de l'informatique en nuage est une condition préalable à son développement. Cependant, les fournisseurs de services en cloud ne s'expriment pas beaucoup sur ce sujet. Les piratages de comptes gmail ou encore la perte de données de 77 millions d'utilisateurs de Playstation Network sont pourtant des illustrations des problèmes de sécurité inhérents à l'informatique en nuage. Les utilisateurs n'ayant aucun pouvoir de contrôle sur le système de gestion de leurs données, ils concèdent la sécurité de celles-ci au fournisseur de service en cloud. Le fournisseur de services en cloud, en sa qualité de responsable du traitement, est tenu d'une obligation de sécurité pour le cas des données à caractère personnel[12] mais il est difficile de s'assurer de son respect.
L'informatique en nuage étant basé sur un système de mutualisation des ressources, l'isolation des données ou leur effacement sont également des problématiques sécuritaires à prendre en considération.
L'informatique en nuage, mélange de technologies arrivées à maturité et en cours de développement, n' a pas encore apporté la preuve de son infaillibilité et il est difficile à ce jour d'évaluer les risques pour les données de l'usage d'une telle technologie. Il ne faut donc pas céder sans réfléchir à ses appels. Le temps dira si l'on peut avoir pleinement confiance après dissipation du brouillard en cette technologie ou si elle conservera à jamais un caractère nébuleux.
Centralisation du réseau
Pour Eben Moglen [13]. Le problème ne provient de 'informatique en nuage mais de notre compréhension de ce qu'est internet: « Je n'ai pas mentionné le mot «nuage» parce que le mot «nuage» ne signifie pas vraiment grand-chose. En d'autres termes, la catastrophe n'est pas la catastrophe du nuage. La catastrophe provient de la façon dont nous avons mal compris le Net sous l'assistance du logiciel non-libre qui nous a aidé à le comprendre (…) ». Nous n'aurions pas donc compris qu'est réellement Internet et avons été dupé par les logiciels non- libres. Internet ne serait pas finalement celui que l'on pense.
Internet a la particularité de ne pas être centralisé. On assiste pourtant actuellement un phénomène de centralisation du réseau. L'informatique en nuage participe au phénomène de centralisation du réseau par le développement de centre de ressources et de données. A l'avenir, si l'informatique en nuage continue ainsi son développement, Internet ne sera constitué que de centres. L'émergence de centres sous contrôle de fournisseurs de services en nuage conduit irrémédiablement à l'instauration de barrières à l'accès au réseau. Ces barrières sont une menace grave pour les logiciels libres qui sont développés justement parce que l'accès au réseau n'est pas contrôlé par des "barrières propriétaires". Si le réseau se polarise à terme autour de centres à l'accès restrictif, c'est la structure même du réseau qui s'en trouve modifiée et c'est l'avenir des logiciels libres qui s'assombrit. On se dirige vers ce que Benjamin Bayart[14] nomme le Minitel 2.0 en lieu et place de l'Internet libre. La faiblesse du Minitel était justement sa centralisation et c'est ce qu'il faut éviter pour Internet. A titre d'illustration, ce phénomène de centralisation est visible dans l'incompatibilité des conditions d'utilisation de l'Apple store et des logiciels sous licence GPL.
Les logiciels libres doivent participer à l'atténuation de ce phénomène de centralisation par la multiplication des acteurs de contribution et la proposition d'alternatives viables aux centres sous contrôle des grands fournisseurs. Le développement de solutions libres visent également à garantir la neutralité du net, grandement menacée par la centralisation du réseau où la priorité risque d'être donnée aux flux en provenance de ces centres.
Un informatique en libre nuage
Contrôle du nuage
L'informatique en nuage ne peut être laissée à la libre disposition des grands fournisseurs de services sous peine de voir les risques décrits ci-dessus se généraliser de façon irrémédiable. Il est donc nécessaire que les consultations publiques, comme celle mise en place par la Commission européenne, prennent véritablement en compte ces problématiques de l'informatique en libre nuage.
Les instances publiques doivent, plus que jamais, garantir :
- la neutralité du net
- le droit à l'interopérabilité
- la protection des données
- le contrôle de la gestion des données par un encadrement des modifications conditions de cette gestion
- la sécurité des systèmes
- la libre concurrence sur le marché des services en nuage
L'Etat français s'investit dans un "nuage à la française" à destination des administrations et des entreprises[15]
Des logiciels libres dans le nuage
Certains se sont lancés dans l'aventure de l'informatique en nuage version logiciels libres. C'est le cas par exemple de Dotcloud, un plate-forme d'hébergement multiple-technologies pour application web à destination des développeurs. Il existe aussi des répertoriations des services libres de l'informatique en nuage dans différents domaines comme les systèmes de stockage et les outils collaboratifs [16]. L'offre cloud d'Ubuntu utilise quant à elle la technologie Open Stack désormais en lieu et place d' Eucalyptus.
Développer son propre nuage
Il n'y a pas d'obligation à naviguer dans les nuages standardisés sous contrôle des logiciels propriétaires. Les logiciels libres doivent permettre le développement de nuages « alternatifs » pour un cloud computing libre et responsable.
Libre et nuage, une union responsable
Les risques présentés plus haut constituent des obstacles à l'adhésion complète au cloud computing. Si de nombreuses applications de l'informatique en nuage sont utiles à l'utilisateur, il n'en demeure pas moins que le risque de perte de contrôle de la diffusion des données n'est pas négligeable. Afin d'éviter les dangers liés au cloud, le mariage avec les logiciels libres doit être une union responsable. Des mesures doivent être mise en place pour garantir le contrôle par l'utilisateur de ses données.
C'est pourquoi, avant et pendant l'utilisation d'une application en cloud computing, l'utilisateur doit être, de manière claire et en caractère lisible, parfaitement informé de la destination de ses données et de l'usage qui peut en être fait. Ce n'est ici que faire application du droit à l'information. Son consentement clair et non équivoque doit également être recueilli. Il conviendrait également de proposer à l'utilisateur, pendant l'utilisation de l'application en cloud computing, un système simple et accessible à tous de sauvegarde en local de ses données. La mobilisation du Data Liberation Front[17] pour le développement de Google takeout[18] est l'illustration de la prise de conscience du besoin de conservation en local de certaines données. On peut également conseiller à l'utilisateur l'usage d'un système de sauvegarde libre en local de ses données comme Debian FreedomBox [19] ou DreamPlug [20].
Tout développement d'application en libre en liaison avec le cloud computing doit donc : respecter le principe du recueil préalable du consentement de l'utilisateur à la gestion de ses données informer l'utilisateur de l'usage et de la destination de ses données prévoir une anonymisation des données prévoir dans l’idéal un système simple de sauvegarde en local des données ou, à défaut, informer l'utilisateur des moyens de sauvegarde en local à sa disposition
Ce n'est que sous ces conditions que l'union logiciels libres / cloud computing pourra être envisageable. Et ce n'est que sous ces conditions, qui devront être d'application générale pour tout logiciel, propriétaire ou non, qu'il pourra y avoir un développement responsable de l'informatique en nuage.
Références
- ↑ O. Zilbertin, "Cumulonimbus", le monde, 22 juillet 2011
- ↑ http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=cloudcomputing&lang=fr
- ↑ The future of Cloud computing, opportunities for european cloud computing beyond 2010 http://cordis.europa.eu/fp7/ict/ssai/events-20100126-cloud-computing_en.html
- ↑ The future of Cloud computing, opportunities for european cloud computing beyond 2010 http://cordis.europa.eu/fp7/ict/ssai/events-20100126-cloud-computing_en.html
- ↑ Informatique en nuage, Vocabulaire de l'informatique et de l'internet, Journal officiel 6 juin 2010, Numéro 129 - Page 10453
- ↑ ANSSI, "Externalisation et sécurité des systèmes d'information : maîtriser les risques", p.18 http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-de-l-externalisation/externalisation-et-securite-des-systemes-d-information-un-guide-pour-maitriser.html
- ↑ http://www.zdnet.fr/actualites/larry-ellison-critique-le-cloud-computing-39383711.htm
- ↑ Mobilisation des technologies de l'information et des communications (TIC) visant à faciliter le passage à une économie à haut rendement énergétique et à faible taux d'émission de carbone Résolution du Parlement européen du 6 mai 2010 sur la mobilisation des technologies de l'information et des communications (TIC) visant à faciliter le passage à une économie à haut rendement énergétique et à faible taux d'émission de carbone (2009/2228(INI)), Journal Officiel du 15 mars 2011 - Numéro C 81E - Page 107
- ↑ http://www.guardian.co.uk/technology/2008/sep/29/cloud.computing.richard.stallman
- ↑ http://www.generation-nt.com/stallman-cloud-computing-logiciel-proprietaire-actualite-163041.html
- ↑ http://www.industrie.gouv.fr/fsn/cloud-computing/
- ↑ art.34 Loi 78-16 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
- ↑ http://www.softwarefreedom.org/events/2010/isoc-ny/FreedomInTheCloud-transcript.html
- ↑ http://www.fdn.fr/internet-libre-ou-minitel-2.html
- ↑ http://www.latribune.fr/technos-medias/informatique/20110801trib000640062/un-grand-cloud-computing-a-la-francaise-voit-le-jour.html
- ↑ http://wiki.fsfe.org/CloudComputing
- ↑ http://www.dataliberation.org/
- ↑ https://www.google.com/accounts/ServiceLogin?service=backup&passive=1209600&continue=https://www.google.com/takeout/&followup=https://www.google.com/takeout/
- ↑ http://wiki.debian.org/FreedomBox
- ↑ http://www.newit.co.uk/shop/proddetail.php?prod=DreamPlug