Ce texte est une traduction d'un communiqué de presse en allemand intitulé « Einstieg in den Umstieg » publié par le land allemand Schleswig-Holstein, sur son site web, le 3 avril 2024. Neuvième état allemand en nombre d'habitants et douzième pour sa superficie, sa capitale est Kiel.

Le Schleswig-Holstein mise à l'avenir sur un poste de travail informatique numériquement souverain dans l'administration du Land - c'est ce que vient de décider le cabinet.

Indépendant, durable, sûr : le Schleswig-Holstein sera une région pionnière en matière de numérique et le premier Land à introduire un poste de travail informatique numériquement souverain dans son administration régionale. Avec une décision du cabinet d'introduire à grande échelle le logiciel open source LibreOffice comme solution bureautique standard, le gouvernement a donné le coup d'envoi de la première étape vers la souveraineté numérique totale du Land, d'autres étapes suivront.

Les données des citoyens restent en sécurité

« L'avenir de l'administration est basé sur le cloud, l'automatisation, les algorithmes et les données. Nos applications informatiques fonctionneront donc à l'avenir comme des services en nuage sur Internet. En conséquence, les grands fabricants de produits informatiques courants transfèrent de plus en plus leurs applications sur Internet. Nous n'avons aucune influence sur les processus d'exploitation de ces solutions et sur le traitement des données, y compris sur une éventuelle fuite de données vers des pays tiers. En tant qu'État, nous avons la responsabilité envers nos citoyens et nos entreprises de veiller à ce que leurs données soient en sécurité chez nous et nous devons nous assurer que nous sommes toujours maîtres des solutions informatiques que nous utilisons et que nous pouvons agir en toute indépendance. Assurer la souveraineté numérique est au moins aussi important que la souveraineté énergétique », déclare le ministre du numérique du Schleswig-Holstein, Dirk Schrödter.

Une place numérique forte en Europe

« Mais la voie de la souveraineté numérique suit aussi une boussole claire en matière de politique industrielle. Ma vision d'une place numérique forte en Europe peut ainsi devenir réalité, car nous ne devons plus dépenser nos budgets publics uniquement en droits de licence, mais investir dans de véritables services de programmation de notre économie numérique nationale, créant ainsi de la valeur et des emplois sur place. Nos objectifs en matière de développement d'un marché unique numérique commun sont des solutions et des services numériques souverains que nous mettons en réseau. En tant qu'administration nationale, nous utilisons le trésor des données pour garantir, à l'intérieur du pays, des innovations ouvertes, des chaînes de création de valeur numériques et la prospérité ».

Nous prenons la souveraineté numérique au sérieux

Selon Schrödter, la souveraineté numérique fait partie intégrante de la stratégie numérique et du programme de travail du gouvernement régional. « Les produits actuels du poste de travail informatique standard ne permettent pas d'atteindre cet objectif. Nous prenons la souveraineté numérique au sérieux et allons de l'avant : le changement décidé pour les logiciels Office est une étape importante, mais ce n'est que le début de la transition : le passage aux logiciels libres pour le système d'exploitation, la plateforme de collaboration, le service d'annuaire, les procédures spécialisées et la téléphonie suivra ».

Avec la décision du cabinet, le gouvernement du Land a donné un début concret à la transition des logiciels propriétaires vers des systèmes open source libres et ouverts, ainsi qu'au poste de travail informatique numériquement souverain pour les quelque 30 000 employés de l'administration du Land. Par logiciel propriétaire, on entend des applications numériques dont l'utilisation et le traitement ultérieur sont fortement limités par les droits d'auteur et les conditions de licence. De plus, une offre existe souvent en relation avec des prestations d'exploitation et de centre de calcul, ce qui permet au fournisseur de conserver la souveraineté du produit.

Meilleure sécurité informatique, rentabilité, protection des données

Le passage à des solutions open source est un élément important pour le maintien de la souveraineté numérique. L'utilisation de logiciels open source permet également d'améliorer la sécurité informatique, la rentabilité, la protection des données et la collaboration entre les différents systèmes. Outre le développement de logiciels à source ouverte, l'objectif est également de mettre à disposition les futurs résultats de développement du pays sous des licences libres.

Les six piliers d'un poste de travail informatique numériquement souverain

Les éléments du poste de travail informatique numériquement souverain sont mis en place dans le Schleswig-Holstein dans six piliers de projet au total :

• Passer de Microsoft Office à LibreOffice
• Passage du système d'exploitation Microsoft Windows à Linux
• Collaboration au sein de l'administration du Land et avec des personnes externes : utilisation des produits open source Nextcloud, Open Xchange/Thunderbird en combinaison avec le connecteur AD d'Univention pour remplacer Microsoft Sharepoint ainsi que Microsoft Exchange/Outlook.
• Conception d'un service d'annuaire basé sur l'open source pour remplacer Microsoft Active Directory
• Inventaire des procédures spécialisées en termes de compatibilité et d'interopérabilité avec LibreOffice et Linux
• Développement d'une solution de téléphonie basée sur l'open source pour remplacer Telekom-Flexport

Offre de formation complète du personnel

L'utilisation de LibreOffice en tant que suite bureautique standard dans la communication entre les ministères et les autorités se fait à court terme et son utilisation est obligatoire. Si le changement ne peut pas être effectué rapidement en raison de conditions techniques ou professionnelles, des exceptions possibles seront convenues. Une offre de formation complète et à bas coût est disponible pour les collaborateurs et est mise à jour en fonction des besoins. En outre, la gestion centrale des technologies de l'information du Land fournit un soutien au personnel lors de l'introduction de LibreOffice.

• Image d'illustration : « Flag of Schleswig-Holstein (state) » (Wikimedia Commons)
• Licence : domaine public
• Retouchée avec : GIMP

Retrouvez-moi sur Mastodon →

Ce texte est une traduction d'un article intitulé « OSQI » publié par Tim Bray, sur son site web « ongoing » le 1er avril 2024.

Je propose la création d'un ou plusieurs « Open Source Quality Institutes ». Un OSQI est une organisation du secteur public qui emploie des ingénieurs en logiciel. Sa mission serait d'améliorer la qualité, et en particulier la sécurité, des logiciels libres populaires.

Pourquoi ? - La porte dérobée XZ Utils (disons simplement #XZ) est à l'origine de ce qui m'a conduit à cette idée. Si vous vous penchez sur cette histoire, il devient évident que la vulnérabilité clé n'était pas technique, mais était liée au fait qu'un grand nombre de logiciels open source sont sous-maintenus ou négligés, parce qu'ils ne s'appuient pas sur une logique commerciale permettant de payer des gens pour s'en occuper. Ce qui est un problème, parce qu'il existe de bonnes raisons de payer des gens pour les attaquer.

D'autres activités humaines essentielles ne sont pas rentables, comme l'enseignement supérieur, la qualité de l'eau potable et la réglementation financière. Pour ces activités, nous créons des structures non capitalistes telles que des universités, des instituts et des agences, parce que la société a besoin que ces choses soient faites, même si personne ne peut gagner de l'argent en les faisant.

Je pense que nous devons accorder plus d'attention à la qualité en général, et à la sécurité en particulier, des logiciels libres qui sont devenus la plate-forme sous-jacente de plus ou moins notre civilisation. D'où l'OSQI.

Ils veulent notre peau - Pour moi, les deux grandes leçons de #XZ sont d'abord le manque de ressources pour soutenir une infrastructure open source cruciale, mais ensuite et surtout la démonstration que les attaquants sont nombreux, compétents et patients. Nous savions déjà que les attaquants étaient nombreux et compétents, mais cet épisode, où l'attaquant était déjà bien implanté dans le projet dès mai 2022, a ouvert quelques yeux, dont les miens.

L'avantage, pour les différents types de malfaiteurs, de subvertir les pièces maîtresses de l'infrastructure open source est incalculable. Nous avons repéré #XZ ; combien en avons-nous manqué ?

Qu'est-ce que l'OSQI ? - C'est une organisation créée par un gouvernement national. Il est évident que plus d'une nation peut avoir un OSQI.

La grande majorité du personnel serait composée d'ingénieurs logiciels relativement expérimentés, avec un petit pourcentage de personnes paranoïaques non spécialisées dans la sécurité informatique. Il est possible de faire beaucoup avec seulement 250 personnes, et le coût supporté serait insignifiant pour un gouvernement important.

Puisqu'il est évident que toutes les entreprises du monde ayant un chiffre d'affaires d'un milliard ou plus dépendent de l'open source, il serait raisonnable d'imposer une taxe de, disons, 0,1 % du chiffre d'affaires à toutes ces entreprises, pour aider à soutenir ce travail. L'argent n'est pas un problème.

Structure - La sélection des progiciels qui feront l'objet de l'attention de l'OSQI sera laissée à l'organisation, bien qu'il y ait des possibilités pour quiconque de demander une vérification. L'organisation de l'ingénierie pourrait être relativement horizontale, la plupart des personnes accordant une attention individuelle à des projets individuels, puis des équipes ad hoc se formant pour la construction d'outils ou la gestion de crise lorsqu'un truc comme #XZ se produit.

Pourquoi y travaillerait-on ? - Le salaire serait correct ; moins que chez Google ou Facebook, mais un salaire décent de fonctionnaire. Il n'y aurait aucun soupçon que votre employeur essaie de rendre pire quoi que ce soit ; en fait, vous commenceriez à travailler le matin avec la certitude que vous essayez d'améliorer le monde. Le télétravail serait le mode de travail par défaut, de sorte que vous pourriez vivre dans un endroit où un salaire qui ne serait pas tout à fait celui de Google vous permettrait d'avoir un mode de vie très confortable. Il y aurait des vacances décentes, des avantages sociaux et (*ahem*) une pension de retraite.

Et il y a une certaine catégorie de personnes qui trouverait une joie quotidienne dans le fait de jeter un coup d'œil, de fouiller et de perfectionner des paquets open source dont dépendent des millions de programmeurs et (indirectement) des milliards d'êtres humains. Il y a quelques décennies, j'en aurais fait partie.

Je ne pense pas que le recrutement soit un problème.

Quels sont donc les objectifs et les non-objectifs de l'OSQI ?

Objectif : sécurité - Cela doit passer en premier. Si tout ce que l'OSQI accomplit est de déjouer quelques attaques du type de #XZ, et de rendre la vie plus difficile à ceux qui les commettent, c'est très bien.

Objectif : construction d'outils - Je pense qu'il est désormais acquis que les plus grandes surfaces d'attaque de l'open source sont les réseaux de dépendance et les outils de build. Ce sont des problèmes importants et complexes, mais faisons preuve d'audace et plaçons la barre haut :

Les logiciels libres doivent être construits de manière déterministe, vérifiable et reproductible, à partir de snapshots de code source signés. Ces snapshots doivent être exempts d'artefacts générés ; chaque élément du snapshot doit être écrit et lisible par l'homme.

Par exemple : comme l'a dit Kornel, sérieusement, rétrospectivement, #autotools lui-même est un risque massif pour la sécurité de la chaîne d'approvisionnement. Je ne plaisante pas ! Sauf que le réflexe de tout le monde c'est « Comment vous allez faire, ce truc est interdépendant avec à peu près tout ».

Il existe des alternatives ; je connais CMake et Meson. Sont-elles suffisantes ? Je n'en sais rien. Il est évident que GNU AutoHell ne peut pas être balayé de tous les recoins organiques dans lequel il se cache et qu'il infecte, mais chaque projet dont il sera éliminé présentera moins de danger pour le monde. Je pense que l'OSQI aurait la possibilité de faire de réels progrès sur ce front.

Non-objectif : fonctionnalités - L'OSQI ne devrait jamais investir de ressources techniques dans l'ajout de fonctionnalités intéressantes aux paquets open source (à l'exception peut-être des outils de build et de test). La communauté open source déborde d'énergie pour ajouter de nouvelles fonctionnalités, la plupart provenant de personnes qui veulent prendre le taureau par les cornes ou qui font face à un réel blocage au travail. Ils sont bien mieux placés pour apporter ces améliorations que n'importe qui à l'OSQI.

Objectif : maintenance - Beaucoup trop de paquets deep-infra sont de moins en moins maintenus au fur et à mesure que les gens vieillissent, sont débordés, fatigués, malades ou morts. Alors que j'écrivais ceci, un appel à l'aide m'est parvenu de Sebastian Pipping, l'excellent mainteneur d'Expat, le parser XML le plus populaire au monde, mais qui n'est pas supporté et n'est pas financé.

Et oui, il s'inscrit une tendance, qui comprend notamment le désormais célèbre paquet XZ Utils.

Je pense donc qu'une tâche utile pour l'OSQI serait de prendre en charge (idéalement partiellement) les tâches de maintenance pour de nombreux projets open source qui ont un ratio élevé d'adoption par rapport au support. Dans certains cas, l'OSQI devrait prendre une forme moins intensive, que nous appellerons « life support » [maintien en vie], où l'OSQI s'occupe des rapports de vulnérabilité mais refuse catégoriquement d'aborder les demandes de fonctionnalités, aussi triviales soient-elles, et rejette tous les PR à moins qu'ils ne viennent de quelqu'un qui est prêt à prendre en charge une partie de la charge de la maintenance.

L'un des avantages d'avoir des professionnels rémunérés qui s'en chargent est qu'ils peuvent éviter le type de harcèlement par ingénierie sociale que l'attaquant de #XZ a infligé au mainteneur de XZ-Utils (voir l'excellente chronologie de Russ Cox) et qui est malheureusement trop courant dans le monde de l'open source en général.

Objectif : analyse comparative - L'efficacité est un aspect de la qualité, et je pense qu'il serait parfaitement raisonnable que l'OSQI s'engage dans l'analyse comparative et l'optimisation. Il y a une raison non évidente à cela : #XZ a été démasqué lorsqu'un spécialiste de Postgres a remarqué des problèmes de performance.

Je pense qu'en général, si vous êtes une personne mal intentionnée et que vous essayez d'introduire une porte dérobée dans un paquetage open source, il sera difficile de le faire sans introduire des problèmes de performance. Je préconise depuis longtemps que les tests unitaires et/ou d'intégration devraient inclure un ou deux points de référence, juste pour éviter les régressions de performance bien intentionnées ; s'ils handicapent aussi les méchants, c'est un bonus.

Objectif : éducation et évangélisation - Le personnel de l'OSQI développera un pool commun de compétences approfondies pour rendre les logiciels libres plus sûrs et plus performants, et plus particulièrement pour détecter et repousser de multiples types d'attaques. Ils doivent les partager ! Blogs, conférences, etc. Il m'est même venu à l'esprit qu'il pourrait être judicieux de structurer l'OSQI en tant qu'institution éducative, autonome ou en tant qu'école supérieure de quelque chose d'existant.

Mais ce dont je parle, ce n'est pas d'articles dans le JACM avec comité de lecture, mais ce que mon père, professeur d'agriculture, appelait « vulgarisation » : transmettre les résultats de la recherche directement à ceux qui pratiquent.

Non-objectif : élaborer des normes - Le monde compte suffisamment d'organismes de normalisation. Je pourrais cependant imaginer que des employés de l'OSQI participent à l'IETF, à l'IEEE, au W3C ou à d'autres organismes, en travaillant sur des normes relatives à l'infosec.

Ce qui m'amène à...

Non-objectif : litiges - ou toute autre activité liée à l'application de la législation. L'objectif de l'OSQI est de résoudre les problèmes, de créer des outils et de partager les enseignements tirés de l'expérience. Cela sera plus facile si personne (à l'exception des attaquants) ne les considère comme une menace et si le personnel n'a pas à penser à la façon dont son travail et ses conclusions seront présentés devant un tribunal.

Et un non-objectif connexe...

Non-objectif : licences - L'intersection entre la catégorie de personnes qui feraient de bons ingénieurs OSQI et celles qui se soucient des licences open source est, heureusement, très réduite. Je pense que l'OSQI devrait accepter le paysage des licences qui existe et travailler dur pour éviter de penser à sa théologie.

Non-objectif : certification - Une fois que l'OSQI existera, l'appellation « certifié par l'OSQI » pourrait voir le jour. Mais ce serait une erreur ; l'OSQI devrait être une organisation d'ingénieurs ; le coût (mesuré par la bureaucratie requise) de la certification serait astronomique.

Objectif : transparence - L'OSQI ne peut pas se permettre d'avoir des secrets, à la seule exception des vulnérabilités fraîchement découvertes mais encore non divulguées. Et lorsque ces vulnérabilités sont divulguées, l'histoire de leur découverte et de leur caractérisation doit être partagée, entièrement et complètement. Cela semble être une base minimale pour construire le niveau de confiance qui sera nécessaire.

Paranoïa nécessaire - J'ai expliqué plus haut pourquoi l'OSQI pouvait être un lieu de travail agréable. Il y aura cependant un inconvénient : vous perdrez une partie de votre vie privée. Si l'OSQI réussit, il deviendra une cible de grande valeur pour nos adversaires. Dans le cours naturel des choses, de nombreux employés deviendront des committers sur des paquets populaires, ce qui augmentera leur attrait en tant que cibles pour les pots-de-vin ou le chantage.

Je me souviens d'un jour où un responsable de la sécurité d'un géant de l'Internet m'a dit : « Nous avons des milliers d'ingénieurs, et mon travail m'oblige à croire qu'au moins l'un d'entre eux a aussi un autre employeur ».

Je pense donc que l'OSQI doit employer un petit nombre d'experts paranoïaques en sécurité traditionnelle (pas en Infosec) pour surveiller leurs collègues, contrôler leurs finances et se méfier d'une manière générale. Ces personnes s'occuperaient également de la sécurité physique et de la sécurité du réseau de l'OSQI. Parce que les attaquants attaqueront.

Prononciation - Rime avec « bosky » [NDT : verdoyant], bien sûr. De plus, les personnes qui y travaillent sont des OSQIens. J'ai déposé le nom de domaine « osqi.org » et j'en ferai joyeusement don dans le cas, assez improbable, où cette idée aboutirait.

Vous êtes sérieux ? - Oui. Sauf que je ne parle plus avec la voix d'un employeur puissant. [NDT : Tim a travaillé pour de grands acteurs économiques de la tech]

Écoutez : pour le meilleur ou pour le pire, l'open source a gagné. [Note de l'auteur : pour le meilleur, bien sûr]. Cela signifie qu'il est devenu une infrastructure cruciale de la civilisation, que les gouvernements devraient activement soutenir et entretenir, tout comme les routes, les barrages et les réseaux électriques.

Ce n'est pas tant que l'OSQI, ou quelque chose de semblable, soit une bonne idée ; c'est que ne pas essayer d'atteindre ces objectifs, en 2024, est dangereux et insensé.

• Image d'illustration : « Taken by the subject's 5-year-old son, copyright held by the subject, Tim Bray. » (Wikimedia Commons)
• Auteur : Tim Bray. →Sur Mastodon : timbray@cosocial.ca.
• Licence : CC BY-SA 3.0
• Retouchée avec : GIMP

Retrouvez-moi sur Mastodon →

Ce texte est une traduction d'un article intitulé « Marking the Web's 35th Birthday : An Open Letter » publié par Tim Berners Lee, inventeur du Web, sur le site de la Web Foundation.

L'espoir originel

Il y a trois décennies et demie, lorsque j'ai inventé le web, sa trajectoire était impossible à imaginer. Il n'y avait pas de feuille de route pour prédire son évolution, c'était une odyssée captivante remplie d'opportunités et de défis imprévus. L'ensemble de son infrastructure était sous-tendu par l'intention de permettre la collaboration, d'encourager la compassion et de générer de la créativité - ce que j'appelle les 3 C. La première décennie du web a tenu ses promesses : le web était décentralisé, avec une longue traîne de contenus et d'options, il créait de petites communautés plus localisées, donnait des moyens d'action aux individus et favorisait une énorme valeur ajoutée. Pourtant, au cours de la dernière décennie, au lieu d'incarner ces valeurs, le web a contribué à les éroder. Les conséquences sont de plus en plus importantes. De la centralisation des plateformes à la révolution de l'intelligence artificielle, le web constitue la couche fondamentale de notre écosystème en ligne - un écosystème qui remodèle aujourd'hui le paysage géopolitique, entraîne des changements économiques et influence la vie des gens dans le monde entier.

État des lieux

Il y a 5 ans, lorsque le web a eu 30 ans, j'ai dénoncé certains des dysfonctionnements causés par le fait que le web est dominé par l'intérêt personnel de plusieurs entreprises qui ont érodé les valeurs du web et conduit à des ruptures et à des préjudices. Aujourd'hui, cinq ans plus tard, alors que nous fêtons le 35e anniversaire du web, les progrès rapides de l'IA ont exacerbé ces préoccupations, prouvant que les problèmes du web ne sont pas isolés, mais plutôt profondément liés aux technologies émergentes.

Il y a deux questions claires et liées à aborder. Le premier est l'ampleur de la concentration du pouvoir, qui contredit l'esprit décentralisé que j'avais envisagé à l'origine. Cela a segmenté le web, avec une lutte pour garder les utilisateurs accrochés à une plateforme afin d'optimiser les profits grâce à l'observation passive du contenu. Ce modèle commercial d'exploitation est particulièrement grave en cette année d'élections qui pourrait déboucher sur des troubles politiques. Le second problème est aggravé par le marché des données personnelles qui a exploité le temps et les données des gens en créant des profils profonds qui permettent de faire de la publicité ciblée et, en fin de compte, de contrôler l'information dont les gens sont nourris.

Comment cela s'est-il produit ? Le leadership, entravé par un manque de diversité, s'est détourné d'un outil au service du bien public pour le soumettre aux forces capitalistes qui aboutissent à la monopolisation. La gouvernance, qui devrait corriger cette situation, n'y est pas parvenue, les mesures réglementaires étant dépassées par le développement rapide de l'innovation, ce qui a creusé un fossé entre les avancées technologiques et une surveillance efficace.

L'avenir dépend de notre capacité à réformer le système actuel et à en créer un nouveau qui serve véritablement les intérêts de l'humanité. Pour y parvenir, nous devons décloisonner les données afin d'encourager la collaboration, créer des conditions de marché dans lesquelles une diversité d'options prospère pour alimenter la créativité, et passer d'un contenu polarisant à un environnement façonné par une diversité de voix et de perspectives qui favorisent l'empathie et la compréhension.

Niveau fixé

Pour transformer véritablement le système actuel, nous devons à la fois nous attaquer aux problèmes existants et soutenir les efforts des individus visionnaires qui travaillent activement à la construction d'un nouveau système amélioré. Un nouveau paradigme est en train d'émerger, qui place l'intention des individus plutôt que l'attention au cœur des modèles économiques, nous libérant ainsi des contraintes de l'ordre établi et nous redonnant le contrôle de nos données. Porté par une nouvelle génération de pionniers, ce mouvement cherche à créer un web plus centré sur l'humain, conformément à ma vision initiale. Ces innovateurs sont issus de diverses disciplines - recherche, politique et conception de produits - et sont unis dans leur quête d'un web, et des technologies qui y sont liées, qui nous servent et nous donnent les moyens d'agir. Bluesky et Mastodon ne se nourrissent pas de notre engagement mais créent tout de même des groupes, Github fournit des outils de collaboration en ligne et les podcasts contribuent à la connaissance de la communauté. À mesure que ce paradigme émergent prend de l'ampleur, nous avons l'occasion de redessiner un avenir numérique qui donne la priorité au bien-être, à l'équité et à l'autonomie de l'être humain. Il est temps d'agir et d'embrasser ce potentiel de transformation.

Changement fondamental

Comme le souligne le « Contrat pour le web », une multitude de parties prenantes doivent collaborer pour réformer le web et guider le développement des technologies émergentes. Des solutions de marché innovantes, comme celles que j'ai mises en évidence, sont essentielles à ce processus. La législation avant-gardiste des gouvernements du monde entier peut faciliter ces solutions et aider à gérer le système actuel de manière plus efficace. Enfin, en tant que citoyens du monde entier, nous devons nous engager et exiger des normes plus élevées et une plus grande responsabilité pour nos expériences en ligne. Le moment est venu d'affronter les lacunes du système dominant tout en catalysant des solutions transformatrices qui responsabilisent les individus. Ce système émergent, riche en potentiel, est en train de se développer et les outils de contrôle sont à notre portée.

Une partie de la solution réside dans le protocole Solid, une spécification et un mouvement visant à fournir à chaque personne son propre « data store personnel en ligne », connu sous le nom de POD. Nous pouvons restituer la valeur qui a été perdue et restaurer le contrôle des données personnelles.

Avec Solid, les individus décident de la manière dont leurs données sont gérées, utilisées et partagées. Cette approche a déjà commencé à prendre racine, comme on peut le voir en Flandre, où chaque citoyen a désormais son propre POD après que Jan Jambon a annoncé, il y a quatre ans, que tous les citoyens de Flandre devraient avoir un POD.

C'est l'avenir de la propriété et du contrôle des données, et c'est un exemple du mouvement émergent qui est sur le point de remplacer le système actuel dépassé.

Appel à l'action

La réalisation de ce mouvement émergent ne se fera pas du jour au lendemain - il faut soutenir les personnes qui mènent la réforme, qu'il s'agisse de chercheurs, d'inventeurs ou de défenseurs. Nous devons amplifier et promouvoir ces cas d'utilisation positifs et nous efforcer de faire évoluer l'état d'esprit collectif des citoyens du monde. La Web Foundation, que j'ai cofondée avec Rosemary Leith, a soutenu et continuera de soutenir et d'accélérer ce système émergent et les personnes qui en sont à l'origine. Cependant, il est nécessaire, urgent, que d'autres fassent de même, qu'ils soutiennent les dirigeants moralement courageux qui se lèvent, qu'ils collectivisent leurs solutions et qu'ils renversent le monde en ligne dicté par le profit en un monde dicté par les besoins de l'humanité. Ce n'est qu'alors que l'écosystème en ligne dans lequel nous vivons tous atteindra son plein potentiel et fournira les bases de la créativité, de la collaboration et de la compassion.

Tim Berners-Lee
12 mars 2024

• Image d'illustration : « Photo d'une personne prenant en photo un coucher de soleil dans la ville de New York sur un téléphone portable, le 1er janvier 2023. » (Wikimedia Commons)
• Auteur : ThibautRe
• Licence : CC BY-SA 4.0

Retrouvez-moi sur Mastodon →

Il n'est pas rare que les DSI se plaignent d'augmentations significatives des coûts de licences et des abonnements, sans réaliser que nous sommes victimes d'un système. Tout, dans le marketing autour des outils informatiques et dans les choix stratégiques nationaux, incite à une augmentation de la dépendance vis-à-vis des fournisseurs : doctrine « cloud au centre », applications qui, du jour au lendemain, ne sont plus accessibles qu'en mode Software as a Service (SaaS), licences qui ne sont plus disponibles que sous forme d'abonnement…

Les collectivités locales sont en difficulté. La cause ? Des recettes en chute libre :

• non-augmentation des impôts (devenue un incontournable des politiques de tout bord) ;
• nouvelles compétences transférées aux collectivités sans compensation suffisante ;
• baisse des dotations et des subventions reçues ;
• financements de plus en plus partiels des projets.

Contraintes de présenter des budgets à l'équilibre, elles doivent baisser leur niveau de dépense dans les mêmes proportion... et donc le niveau de service public qu'elles proposent.

Et c'est dans ce contexte que s'impose, dans les esprits, un système de dépendance et d'augmentation non négociable des coûts. Un service informatique qui, aujourd'hui, fait le choix de O365 et de WMWare, du « tout Cloud » et d'applications en mode SaaS, met en danger sa stabilité budgétaire, et donc celle de sa collectivité. Belle injonction contradictoire.

Comment mettre en œuvre une véritable transformation numérique, gérer un périmètre qui augmente inéxorablement (puisque, de plus en plus, tout est « connecté ») dans un contexte financier de plus en plus contraint ?

En attendant une hypothétique prise de conscience des acteurs, nous sommes contraints de travailler l'autonomie de nos systèmes. Un choix qui ne va pas de soi, tant il s'oppose au discours dominant et à la formation reçue par celles et ceux qui sont en responsabilité. À Échirolles, le choix des logiciels libres s'inscrit dans cet effort et nous permet de maintenir le cap. Et le changement ne concerne pas que les aspects financiers.

Une plus grande efficacité

En étant autonome, la DSI est capable de prendre rapidement des décisions stratégiques et opérationnelles sans avoir besoin de passer par un processus de validation long et complexe auprès d'autres services ou directions. Elle peut ainsi explorer de nouvelles technologies et solutions innovantes qui contribuent à améliorer les processus internes et externes de la collectivité.

L'autonomie de la DSI facilite également, grace à l'utilisation de protocoles standard et interopérables, l'intégration et la coordination des divers systèmes informatiques. Ceci inclut non seulement les logiciels et matériels propriétaires mais également les plateformes cloud tierces, les outils open-source et autres technologies connexes. La bonne intégration de ces composants assure une expérience utilisateur plus fluide et plus homogène.

Elle dispose des moyens nécessaires pour adopter une posture proactive en termes de surveillance et d'optimisation des performances informatiques, anticipant ainsi les dysfonctionnements potentiels et minimisant les temps d'arrêt involontaires.

Dans un monde dominé par les données et l'automatisation, l'autonomie de la DSI permet à l'entreprise de tirer pleinement parti des opportunités offertes par la transformation numérique. La mise en oeuvre de l'IA, de l'IoT, de l'analytique avancée et d'autres technologies innovantes devient alors plus accessible, sans mettre en danger la souveraineté de la structure, ni les données des administrés.

Une meilleure qualité de service

Une DSI autonome se donne les moyens de comprendre les besoins spécifiques de chaque direction et service. En conséquence, elle peut fournir des solutions informatiques adaptées, alignées sur les véritables besoins.

Elle est généralement bien positionnée pour standardiser et simplifier ses architectures informatiques grâce à sa capacité à prendre des décisions rapides et indépendantes concernant les choix technologiques. Ces efforts de normalisation peuvent conduire à une diminution des coûts et à une augmentation de l'efficacité. Perçue comme un partenaire des autres directions plutôt qu'un simple prestataire de services, elle devient un pivot important de tout projet en transversalité.

Une meilleure gestion des risques

Gagner en autonomie, c'est être en mesure de mettre en place des politiques de sécurité et de gouvernance plus efficaces pour protéger les actifs numériques de la collectivité contre les menaces extérieures telles que les cyberattaques.

C'est aussi être mieux placé pour faire face aux perturbations imprévues et les crises majeures. Avec une grande autonomie, la DSI peut rapidement adapter les systèmes informatiques pour soutenir les nouveaux modèles de travail hybrides ou virtuels, garantissant ainsi la continuité des activités de la collectivité. Un travail sur la résilience du SI peut être mené, sans être impacté par l'éventuelle indisponibilité d'un prestataire.

Des coûts contrôlés

Une DSI autonome dispose d'une meilleure maîtrise de ses dépenses informatiques, ce qui lui permet de mieux planifier et gérer son budget. Elle peut ainsi optimiser les investissements et, libérée des coûts fixes de licences et d'abonnements, investir dans la formation, l'assistance au déploiement ou la mise en oeuvre de projets lourds et consommateurs en temps.

Elle finance de l'humain, fait plus souvent appel à des partenaires proches et participe à l'animation de l'écosystème local plutôt que d'investir à fonds perdus dans des groupes internationaux dont on connaît la propension à échapper à l'impôt, et donc au financement des services publics.

Une équipe de qualité

Une DSI autonome peut offrir un environnement de travail stimulant et créatif où les professionnels de l'informatique ont la liberté de tester de nouvelles idées et de résoudre des problèmes complexes.

Elle a la capacité de proposer un cadre de travail attractif et dynamique et, parce qu'elle facilite la transition vers des solutions informatiques durables, respectueuses de l'environnement et conformes aux normes éthiques et légales en vigueur, elle est davantage susceptible d'attirer et de retenir, en travaillant avec la Direction des Ressources Humaines, les profils IT les plus talentueux et motivés.

Une cooperation facilitée

Les licences open source encouragent intrinsèquement l'implémentation de formats de données et protocoles standards, facilitant ainsi l'interconnexion et la cohabitation entre divers systèmes d'information hétérogènes. Cette aptitude à dialoguer nativement avec des environnements variés favorise la mutualisation des ressources en supprimant artificiellement les barrières historiquement induites par les logiques propriétaires.

Les logiciels libres sont conçus selon une architecture modulaire, articulée autour de blocs fonctionnels relativement indépendants. Cette granularité volontairement accentuée autorise des combinaisons quasi illimitées, permettant ainsi de composer des chaînes de valeur ajoutée originales et contextualisées. En somme, l'open source fluidifie la mutualisation en élargissant le champ des possibles et en simplifiant l'agrégation des expertises complémentaires.

Loin d'être synonyme d'enfermement, le travail sur l'autonomie et l'utilisation des logiciels libres favorise, par les possibilités de fédération qu'il offre, la coopération entre collectivités.

• Image d'illustration : « A view to Toppsundet from Ytter-Aun on island Hinnøya in Troms, Norway in 2015 April. The island in the background is Grytøya. » (Wikimedia Commons)
• Auteur : Ximonic (Simo Räsänen)
• Licence : CC BY-SA 4.0

Retrouvez-moi sur Mastodon →

Le 21 mars 2024, la ville d'Échirolles coorganise, avec Belledonne Communications (éditeur de Linphone) et OW2 (communauté open source à destination des professionnels) l'événement AlpOSS.

Un événement de plus ?

En France, les événements consacrés aux logiciels libres ne manquent pas : JdLL (Lyon), RPLL (Lyon), Capitole du Libre (Toulouse), Open Source Experience (Paris). Pourquoi créer un nouvel événement ?

Les collectivités territoriales sont de plus en plus nombreuses à privilégier, quand c'est possible, les logiciels libres. Mais comment identifier les logiciels qui correspondent effectivement aux besoins de nos services ? Qui sont les prestataires qui peuvent nous aider ? En l'absence de marketing et sans nous déplacer dans des événements (parfois lointains), il n'est pas simple de rencontrer les professionnels susceptibles de nous aider dans nos choix. Des associations (l'Adullact, par exemple) permettent aux collectivités d'échanger entre elles. D'autres (OW2, le CNLL, etc.) favorisent les échanges entre professionnels. Certaines sont dédiées aux développeurs, aux universitaires, aux chercheurs...

Ateliers, stands, présentations et moments informels : nous avons souhaité réunir ces deux mondes dans un même événement afin d'échanger, dans différentes configurations, sur les sujets qui nous sont communs.

À Échirolles ?

Le bassin de vie grenoblois est riche en collectivités qui s'appuient au quotidien sur des logiciels libres, en entreprises qui proposent des produits ou des services et en associations qui en encouragent l'utilisation. La ville d'Échirolles est particulièrement active dans ce domaine. Dans le cadre de nos fonctions, il nous est arrivé à maintes reprises de découvrir des entreprises ou des associations locales... en nous déplaçant dans des événements à Paris, à Lyon, à Montpellier ou à Toulouse. À chaque fois, la surprise a été grande. Nous ignorions, par exemple, que Linphone était développé par une entreprise de Grenoble. Notre première rencontre avec Combodo, une entreprise pourtant échirolloise, s'est produite à Paris, lors d'une édition d'Open Source Expérience.

Il nous a semblé nécessaire, parce que notre territoire est particulièrement bien doté en entreprises, en associations et en collectivités diverses d'organiser un événement local.

Pour parler de quoi ?

Les collectivités n'ont pas toutes les mêmes besoins. Certaines, de taille importante, disposent de leur propre service informatique et de compétences internes. Elle peuvent donc déployer et maintenir des solutions en autonomie. D'autres, en revanche, ont besoin (ou font le choix) de s'appuyer sur des prestataires pour fournir à leurs administré·e·s les services les mieux adaptés. Les modèles d'affaire choisis par les entreprises peuvent être déterminants dans les choix des collectivités et faciliter, ou au contraire freiner, l'adoption d'une solution. Les acteurs économiques sont-ils au fait des contraintes des collectivités ? Des obligations liées au code de la commande publique ? Les collectivités comprennent-elles les contraintes des prestataires auxquels elles font appel ? La difficulté que peut représenter, pour une petite structure, la réponse à un appel d'offre ?

Nombreux sont les sujets sur lesquels il nous semble intéressant d'échanger et de confronter nos points de vue.

Pour qui ?

Si la priorité est donnée aux entreprises et collectivités du bassin de vie grenoblois, notre événement est ouvert à toutes et tous, et des acteurs régionaux et nationaux ont prévu de participer. Les thèmes que nous proposons d'aborder sont divers, et sont susceptibles d'intéresser un public varié :
→ Comment favoriser la souveraineté numérique à l'échelon local ?
→ Quels sont les différents modèles d'affaire de l'open-source ?
→ Quelles solutions de communication unifiée pour les collectivités ?
→ Quels outils collaboratifs ?
→ ...et toute autre sujet que vous pourriez trouver intéressant dans le cadre de cet événement.

Alpes Numérique Libre, le collectif des DSI concernés par les logiciels libres, est partenaire d'AlpOSS 2024. Nous espérons une participation importante des collectivités locales.

Pour celles et ceux qui ne peuvent pas (ou ne souhaitent pas) se déplacer, nous avons prévu de diffuser l'ensemble des présentations en direct sur le serveur Peertube de la ville d'Échirolles : https://video.echirolles.fr. Elles seront ensuite disponibles en vidéo à la demande sur ce même serveur.

Des entreprises autour de Grenoble ?

Nous avons identifié (et espérons échanger avec) plus d'une vingtaine d'acteurs économiques locaux qui s'investissent dans les données ouvertes et les logiciels libres :

• Algoo (développement, infogérance, migration, hébergement...)
• Alpilink (services cloud, hébergement...)
• Apitux (logiciels libres et OpenStreetMap)
• Belledonne Communications (éditeur de Linphone)
• Bonitasoft (plateforme BPM)
• Combodo (éditeur d'iTop)
• Digital-Liance (communications unifiées et infrastructures réseaux)
• Association Flossita (promotion et défense des logiciels, ressources libres et standards ouverts)
• ILL (Institut Laue-Langevin, science et technologies neutroniques)
• INRIA (Institut national de recherche en sciences et technologies du numérique)
• OpenGo (accompagnement, formation)
• Probesys (éditeur d'AgentJ, prestataire de services informatiques)
• Sleede (conception de sites web)
• Smile (intégration et infogérance)
• TeemIP (éditeur d'une solution de gestion des adresses IP)
• TelNowEdge (solutions managées de VOIP, réseaux, gestion de parc informatique, téléphonie et outils collaboratifs)
• Tetras Libre (conseil, recherche et développement en informatique)
• Enalean (éditeur de Tuleap : gestion de produits, planning Agile, suivi de projets, gestion des tests et développement)
• Vates (virtualisation)
• Webu (développement web, hébergement...)

Pour en savoir plus...

– Consultez notre site Web : https://alposs.fr
– Suivez-nous sur Mastodon : @alposs@colter.social
– Consultez notre événement sur LinkedIn

Retrouvez-moi sur Mastodon →

...de ce qu'elle fut, et de ce qu'elle devient.

J'ai un grand respect pour ceux qui vivent la cybersécurité dans leurs tripes.

Depuis les années 90, j'ai régulièrement croisé ces gens qui ont la sécurité informatique dans la peau, qui conceptualisent instinctivement les attaques et leurs principes, les systèmes de défense et leurs vulnérabilités, aussi complexes soient-ils. J'ai eu plaisir, ces 30 dernières années, à les voir évoluer dans un milieu qui a bien changé.

Tous se reconnaissent quand ils se croisent. Tous savent que le niveau technique n'est pas un enjeu en soi, mais savent l'évaluer en quelques minutes quand ils interagissent avec un « expert » ou une « célébrité » du domaine. Ils savent faire la part des choses entre compétence et témérité, entre puissance et vantardise. La réussite d'un CTF ne les impressionne pas. Ils ont d'autres objectifs, dans la vie, que de gagner 3 sous en participant à un bug bounty. Tous sont convaincus que l'outil le plus impressionnant et le produit le mieux conçu ne remplaceront jamais cette appétence dont ils disposent depuis toujours et qu'ils ne sont pas toujours capable d'expliquer.

La plupart d'entre eux (et elles) sont discrets, ont aujourd'hui des niveaux de responsabilité élevés, et vivraient comme une agression que les nomme. Certains sont devenus riches, d'autres ont témoigné devant les plus hautes instances et conseillent des gouvernements, ils ont parfois créé leur boîte, travaillent dans les plus grandes sociétés ou sont devenus journalistes. D'autres ont bifurqué, changé de vie, se sont investis dans des projets vitaux pour eux, mais sans lien avec le numérique. Mais même ceux-là n'ont rien perdu de leur acuité parce qu'ils n'ont pas choisi d'être compétents, et parce qu'ils gardent la mémoire de l'évolution de la cybersécurité depuis les origines. Ils sont les dépositaires d'une histoire. Il sont aussi les témoins directs d'actes extraordinaires, d'authentiques exploits dont ils ne pourront jamais rendre compte publiquement.

Nous n'évoluions pas toujours dans les mêmes cercles, n'avions pas forcément les mêmes centres d'intérêt ni les mêmes valeurs. Passionnés de virus, de reverse engineering, de pénétration de réseaux, d'attaques de serveurs, de social engineering, de lock picking, de MITM, de DoS ou de DDoS, notre complémentarité faisait la force des groupes dans lesquels nous nous retrouvions. La plupart du temps, nous ne faisions rien, il faut bien le dire. Sur IRC, nos idletime étaient souvent impressionnants. Nous nous retrouvions simplement en ligne, en attendant que l'un d'entre nous se lance dans une initiative qui nous parlait et à laquelle ceux que cela intéressait se joignaient volontiers. Certains logiciels, certains principes d'attaque ou de défense sont nés de ces interminables moments de glande entrecoupés d'actions plus ou moins collectives.

Le SSTIC à Rennes était, à un moment, l'événement français dans lequel la plupart d'entre nous (ceux qui vivaient en France, principalement) aimions nous retrouver (c'est peut-être toujours le cas, je ne sais pas, je n'y vais plus). De 2004 à 2008 la concentration de compétences y était véritablement impressionnante. L'hôtel Ibis proche de la gare, dans lequel nous nous donnions rendez-vous, nous maudissait régulièrement et menaçait de nous expulser lors de quasiment toutes les éditions. Les services de renseignement et de sécurité ne s'y trompaient pas qui venaient, à une période ou l'effort gouvernemental dans le domaine était encore timide (et rarement assumé), s'enquérir des dernières fourberies des énergumènes que nous étions. Les fameuses « rump sessions », des présentations courtes et parfois improvisées, étaient l'occasion de démonstrations folles, variées et souvent jubilatoires. Il n'était pas rare que les organisateurs nous sermonnent après coup, et c'était généralement mérité. Je n'ose même pas mentionner nos soirées dans les rues, bars et boîtes de Rennes.

Je croise certains de ces comparses francophones temps à autre, par hasard et toujours avec un grand plaisir. Ils sont toujours actifs, toujours pertinents et souvent impertinents. C'est l'occasion de parler librement de certains événements dont nous avons une connaissance précise, parce que nous en connaissons (ou en avons été) les acteurs, et souvent bien éloignés de ce qui en a été raconté. C'est aussi, parfois, l'occasion de mesurer ce qu'est devenu la cybersécurité, comment les intérêts économiques sont devenus prédominants, reléguant les 0days à des produits de luxe et glorifiant la puissance de feu au détriment du plaisir et de la solidarité de groupe. Je suis certains autres en ligne, avec une curiosité mêlée de fierté (c'est un post sur LinkedIn de l'un d'entre eux, ancien membre du même groupe que moi et aujourd'hui appelé à de hautes responsabilités dans son pays, qui est à l'origine de ce message).

Mais il m'est difficile de condamner définitivement cette évolution, parce qu'il ne s'agit justement que d'une évolution. Nous avons une part de responsabilité dans la façon dont les choses ont tourné. N'étant plus partie prenante du milieu, si je l'ai jamais été, il m'est facile de poser un regard critique sur l'état de l'art. Mais je mesure aussi, par le biais de messages lus sur LinkedIn et d'autres réseaux sociaux, comment certains d'entre nous ont eu une influence majeure sur cette évolution, et comment ils nagent avec aisance dans les eaux du moment. Nous avons fait des choix différents, parce que nous sommes différents, mais j'ai toujours de la tendresse pour ces « anciens » parce que je sais qu'au fond ce qui les anime est ce qui m'anime également, même si cela n'est pas mis au services des mêmes enjeux.

Une pensée pour Sid, que nous aimions tous et qui est parti beaucoup trop tôt. Discuter avec lui de tout cela autour d'une bière m'aurait fait tellement plaisir. Salut fraternel à tous les autres, ils se reconnaîtront.

Retrouvez-moi sur Mastodon →

[Image d'illustration réalisée par une IA quelconque dont j'ai oublié le nom, à partir d'un compte bidon dont j'ai oublié l'identifiant]

Au moins deux publications récentes permettent de faire un état de l'open source et des logiciels libres en France. Elles ont été dévoilées dans le cadre du salon « Open Source Experience » de Paris, les 6 et 7 décembre 2023.

L'enquête « Open Source Monitor France 2023 »

Réalisée par le cabinet Markess by Exaegis à l'initiative du CNLL, de Numeum et du pôle Systematic Paris-Region cette enquête rend compte de l'usage de l'open source au sein des entreprises et du secteur public. Publiée sous la forme d'une présentation en format PDF, elle fournit de nombreux chiffres intéressants. Ceux-ci, par exemple, ont été repris dans différents articles en ligne :

L'enquête complète peut être téléchargée depuis le site de Numeum.

Open Source et Logiciels Libres : perspectives et visions des acteurs de l'Open Source

Réalisé par OpenStudio, ce livre blanc repose sur des entretiens avec différents acteurs de l'open source et des logiciels libres. La ville d'Échirolles a eu le plaisir de contribuer à ce travail, téléchargeable en suivant ce lien.

J'y ai appris des choses, et noté quelques déclarations intéressantes (à mon sens), que je compile ci-dessous :

Page 23 :

« Selon Nordine Benkeltoum, 71 % des développeurs de logiciels libres sont européens contre seulement 13 % de nord-américains. »

Page 40 :

« le marché de l'open source s'élevait à plus de 25 milliards d'euros en 2022, dont 5,9 milliards d'euros pour la France qui se positionne comme le leader européen de l'open source, légèrement devant le Royaume-Uni (5,5 milliards d'euros) et l'Allemagne (5,2 milliards d'euros). »

Page 43 :

« cette volonté de sortir des outils des GAFAM s'explique majoritairement par le besoin de protéger les données de leurs entreprises (57 %) (...) l'envie de soutenir l'économie française (44%) et d'intégrer la souveraineté dans leur politique RSE (Responsabilité sociétale des entreprises) globale (42 %). Beaucoup d'entrepreneurs anticipent également avec raison les évolutions de la législation européenne sur ce sujet (37 %). »

Page 50 (interview de François Nollen, SNCF) :

« Une stratégie open source ne signifie pas forcément qu'on fait tout en interne et qu'on n'a besoin de personne, plutôt qu'on a davantage d'options et moins de choix imposés par la technologie ou les fournisseurs. »

Page 53 (Pierre-Yves Gibello, OW2) :

« J'ai du mal à croire qu'on puisse faire reposer sa sécurité sur quelque chose d'opaque, dont on ne maîtrise pas le fonctionnement, dont on ne connaît pas les composants, dont les vulnérabilités sont inconnues. Moi j'aurais peur si je n'avais pas les plans du système de sécurité qui me protège. L'argument qui fait valoir que mes ennemis n'ont pas non plus les plans n'est pas pour me rassurer, cela n'a pas de sens. »

Page 63 :

« Open source n'est pas synonyme de gratuité (...) il y a toujours un coût de maintenance, de mise à jour, de support, de développement personnalisé, etc. »

...oui, comme pour les logiciels propriétaires, donc. Sur ce sujet, j'ai écrit cela.

Page 66 :

« Parmi les interlocuteurs que nous avons interrogés, la plupart argumentent en faveur d'une vision business de l'open source (...). Certains au contraire s'inquiètent d'une intrusion trop forte du business dans le monde de l'open source, et craignent que ce modèle perde complètement ses principes de base. »

(C'est l'un des intérêts de ce livre, qui donne la parole aux deux mondes).

Page 67 (François Desmier, MAIF) :

« Je pense qu'il faut se méfier “du tampon open source” qui est parfois galvaudé, mais cela ne veut pas dire qu'il faut arrêter d'en faire, de l'utiliser, bien au contraire, il faut continuer avec une vraie éthique. Ce qui me rend pessimiste c'est cet “open source washing” de certaines entreprises qui malheureusement ne sert pas la cause. »

Page 72 :

« seule une volonté politique forte aura la capacité de diriger l'IA dans le giron de l'open source, avec la mise en avant de « vraies » solutions ouvertes de machine learning et deep learning. (...) d'un point de vue éthique, l'Europe a tout intérêt à favoriser l'open source dans le développement de l'IA. L'Open source est associé à la transparence, alors que l'on reproche souvent à l'IA ses risques de biais et son inexplicabilité. »

Page 75 :

« Même Google a reconnu malgré elle que l'open source allait dépasser les modèles d'IA génératives propriétaires dans un document interne dont la fuite a fait couler beaucoup d'encre en mai 2023. »

Page 80 (et c'est valable aussi pour les collectivités) :

« une entreprise qui met en place une véritable politique open source - qui par essence est un modèle qui entre dans le scope de la RSE - aura un argument solide pour convaincre un talent de choisir son entreprise. »

Page 114 (Pierre-Yves Gibello, OW2) :

« On dit que le l'open source est compliqué à cause de la multitude de licences (...) mais en vérité, elles sont rangées dans de grandes catégories plutôt claires. A contrario, dans les licences propriétaires il n'y en a pas deux pareilles, même entre deux versions d'un même logiciel, les licences ne sont pas toujours les mêmes et elles ne sont pas non plus forcément compatibles entre elles. »

Page 121 (Jean-Luc Dorel, commission européenne) :

« Les modèles de développement basés sur l'argent public sont peu adaptés pour créer des compétiteurs à Google. (...) il faut développer une autre approche (...), des communautés de développeurs qui, additionnées les uns aux autres, représentent une force de frappe en termes de valeur, en termes de puissance de production de logiciels qui peuvent "concurrencer" ces grandes sociétés. »

Page 122 :

« Les efforts portées par les collectivités en matière d'open source devraient peut-être être valorisés par le biais de certifications ou encore d'une communication publique, etc. Une implication plus forte de l'État serait envisageable à ce niveau car l'adoption de logiciels propriétaires au sein de l'administration centrale discrédite pour le moment les efforts de migration vers le libre. »

Page 129 (Pierre Baudracco, BlueMind/CNLL) :

« Les GAFAM (...) font de l'open source, là où ils n'ont pas d'intérêt financier, et parfois justement pour concurrencer des solutions émergentes et reprendre le dessus. Donc c'est discutable d'en faire de réels acteurs de l'open source ».

Page 132 (Simon Rossi, formateur sur les modèles ouverts) :

« tous les systèmes de surveillance de masse qui se basent sur de l'intelligence artificielle, on le doit en partie à des briques ouvertes en open source. Il faut en avoir conscience, l'ouverture ce n'est pas que le bien, cela dépend dans quel environnement on s'inscrit. »

Retrouvez-moi sur Mastodon →

Lors de la réunion du collectif « Alpes Numérique Libre » du 26 mai 2023, Échirolles a expérimenté pour la première fois la prise de parole d'une intervenante en visioconférence pendant une diffusion en direct dans la salle du conseil municipal.

Décrite dans un article précédent, notre configuration repose sur des logiciels libres : OBS Studio est utilisé pour la diffusion sur notre plateforme Peertube.

Pour les visioconférences, nous avons fait le choix de BigBlueButton. Utilisable depuis un navigateur web, ses fonctionnalités de vote, de gestion de la parole et des présentations semblent adaptées pour une participation à distance en conseil municipal. Pour ce faire, un certain nombre de points sont incontournables :

1. les participantes et participants doivent pouvoir se voir, dans la visioconférence et dans la salle ;
2. ils doivent pouvoir s'entendre et interagir de façon fluide ;
3. une présentation, réalisée en salle ou à distance doit être également visible par toutes et tous ;
4. tout cela doit être accessible dans la diffusion en ligne, en direct et en rediffusion.

Trouver la solution nous a pris un peu de temps, et c'est pourquoi il me semble utile de la partager.

Se voir

Dans OBS, nous disposons déjà des images de la salle. L'utilisation de la fonctionnalité « caméra virtuelle » du logiciel va permettre de transformer ce flux en caméra, et de l'envoyer dans BigBlueButton. Il convient d'activer la fonction, puis d'utiliser son navigateur (Firefox, chez nous) sur la même machine pour rejoindre la visioconférence. Une caméra « OBS » est alors proposée, il suffit de l'activer et le flux vidéo est automatiquement transmis dans la réunion. Le son de la salle, en revanche, sera transmis par un autre moyen. Il ne faut donc pas l'activer.

Une capture de la fenêtre de visioconférence dans une scène OBS dédiée permet de diffuser l'image de la visioconférence quand c'est utile. Dans la salle, un PC connecté dans la visioconférence permettra de retransmettre les images sur un écran ou un vidéoprojecteur, toujours sans le son et avec un minium de délai (moins d'une seconde).

S'entendre

C'est là que les choses se compliquent. Dans notre conseil municipal, les élu·e·s parlent dans des micros et s'entendent dans les bas parleurs de ces mêmes micros. Un système intégré à la console de gestion permet d'éliminer l'écho, de telle sorte qu'un micro activé ne reprend pas le son diffusé dans les bas parleurs. Dans le cas contraire, un larsen ne manquerait pas de se produire. Le problème est le même pour une intervention dans la salle en visioconférence : l'écho doit absolument être éliminé.

Nous avons donc utilisé la console de gestion des micros pour gérer le son de la visioconférence. Un PC dédié, sous Zorin OS, est connecté dans le salon via le navigateur Firefox. Il reçoit le son des micros depuis la console, et le renvoie dans la console pour que les interventions depuis BigBlueButton soient audibles dans la salle via les bas parleurs. Ce ce que décrit la partie encadrée en rouge ci-dessous.

Autre initiative intéressante : l'utilisation d'un serveur RTMP qui nous permet de contourner une limitation d'OBS, qui ne peut diffuser qu'un seul flux à la fois (deux, en fait, si on considère la fonction de caméra virtuelle comme un flux à part entière). Installé sur notre serveur de visioconférence BigBlueButton, il permet de diffuser sur un nombre indéfini de plate-formes (un article à part sera dédié à la configuration de RTMP). À Échirolles, nous diffusons sur Facebook, la page de la ville étant plutôt bien suivie, et sur notre serveur Peertube pour une meilleure qualité et une meilleure intégration sur notre site web (Drupal).

Ainsi, les habitant·e·s qui ne disposent pas (ou ne souhaitent pas disposer) d'un compte Facebook peuvent assister au conseil en ligne, sans contrainte, algorithme ou publicité intempestive.

L'ensemble des vidéos d'Échirolles peuvent être consultées sur notre compte Peertube : https://video.echirolles.fr.

Retrouvez-moi sur Mastodon →

Je viens de traduire un article de Ploum qui rejoint ce que je vis, de regarder une vidéo puis de lire un article d'Henri Lœvenbruck, et je me suis dit qu'il était temps.

Comme eux, j'ai vécu des années de dissonante cognitive permanente. Au nom de la facilité, de la simplicité et de la gratuité, les grandes sociétés technologiques pillent ce que nous disons, ce que nous aimons, que que nous faisons... ce que nous sommes. C'est devenu inacceptable pour moi, je n'en peux plus. Je ne veux pas d'un monde qui repose sur ce système.

J'ai découvert Internet avant le Web. À l'époque, je passais énormément de temps sur un réseau (décentralisé) de discussion en ligne appelé IRC. J'ai fini par m'y investir en tant qu'opérateur, puis (co-)administrateur de plusieurs serveurs. J'y ai rencontré des tas de gens intéressants, que je côtoie toujours 30 sans plus tard. C'était en 1993 et cela illustre à quel point, dans mon esprit, Internet et lien social sont intimement liés.

Autant dire que, bien des années plus tard, quand les réseaux sociaux sont nés, je me suis précipité. J'ai traîné sur Orkut, sur Second Life et puis, comme beaucoup, j'ai échoué sur Facebook et sur Twitter, et j'y suis resté. Les jeunes ont déserté Facebook, devenu infréquentable quand nous, parents, avons débarqué (et qu'est-ce que je les comprends). Le réseau est devenu ennuyeux, pénible, je n'y mets plus que rarement les pieds. Twitter, lieu de toutes les influences, de toutes les batailles idéologiques, a été envahi par la publicité, les commentaires oiseux et les informations qui n'en sont pas. Le lien social est devenu secondaire, voire inexistant. Un cloaque.

Aujourd'hui, je sais qu'un autre réseau existe, qui ne souffre pas de ces maux. Il a toujours existé, d'ailleurs. Il y a toujours eu des alternatives auxquelles je me suis toujours intéressé. Aujourd'hui, sur Mastodon, le nombre et la qualité des échanges étanchent sans problème ma soif de débattre, d'apprendre et de partager. Un peu comme si l'Internet que j'ai connu à ses/mes débuts avait évolué dans ses outils mais pas dans sa mentalité.

Henri Lœvenbruck, dans l'entretien que je viens de regarder, fait le parallèle entre quitter Twitter et arrêter de fumer. C'est simple, dit-il, pour arrêter il suffit d'arrêter. Il n'a pas tort. Et donc je ferme tous ces comptes aujourd'hui. Mais le manque, bordel, le manque, le symptôme ultime qu'on est vraiment accro et qu'il faut se sortir de là. Pour la clope, j'ai résolu la question avec la cigarette électronique. Pour Facebook, pas de souci, je n'y vais quasiment plus depuis des années.

Pour Twitter, il y a Mastodon. J'y suis, et j'y suis bien.
Et donc hop, je m'enfuis.

Ajout du 29 octobre 2023 : Ploum,cité en début d'article, a fait de même et s'en explique sur son blog.

• Image d'illustration : Software Freedom Day 2015 in Oporto.
• Auteur : Mind Booster Noori
• Licence : CC0, via Wikimedia Commons

Retrouvez-moi sur Mastodon →

Un fossé de plus en plus profond sépare le web moderne. D'un côté, le web commercial, envahi par les monopoles et adulé par les médias. Un web qui n'a qu'un seul objectif : nous faire cliquer. Il mesure les clics, optimise les clics, génère des clics. Il recueille autant d'informations que possible sur nous et bombarde chaque seconde de notre vie de publicités, de bips, de notifications, de vibrations, de LED clignotantes, de musique de fond et de titres fluorescents.

Un web qui se résume à Idiocracy dans un paysage de Blade Runner, une dystopie cyberpunk complète.

Et puis il y a le web technophile. Les personnes qui installent des bloqueurs de publicité ou des navigateurs alternatifs. Ceux qui essaient des réseaux alternatifs tels que Mastodon ou, Dieu m'en garde, Gemini. Les personnes qui se moquent du web moderne en construisant de vraies pages en HTML et sans JavaScript.

Entre ces deux extrêmes, le fossé se creuse. Vous devez choisir votre camp. Lorsque vous naviguez sur le « web classique », il est de plus en plus souvent nécessaire de désactiver au moins une partie de vos bloqueurs pour accéder au contenu.

La plupart du temps, je ne m'en préoccupe plus. Le lien sur lequel j'ai cliqué ne s'ouvre pas ou est bloqué ? Oui, je bloque probablement un JavaScript tiers important. Non, je m'en fiche. De toute façon, j'ai trop de choses à lire en une journée. Plus de temps pour autre chose. J'utilise actuellement kagi.com comme principal moteur de recherche sur le web. Et kagi.com est doté d'une fonctionnalité intéressante, un « filtre non commercial » (ce qui est quelque peu ironique étant donné que Kagi est, lui-même, un moteur de recherche commercial). Cela signifie qu'il essaiera de dé-prioriser les contenus hautement commerciaux. Je peux aussi dé-prioriser manuellement certains domaines. Comme facebook.com ou linkedin.com. Si vous y publiez quelque chose, j'ai moins de chances de vous lire. Je n'ai même pas parlé des quelques fois où j'utilise marginalia.nu.

Il se passe quelque chose d'étrange : ce n'est pas seulement une partie du web qui disparaît pour moi. Comme je bloque complètement Google Analytics, tous les domaines Facebook et tous les outils d'analyse que je peux, je disparais aussi pour eux. Je ne les vois pas et ils ne me voient pas !

Pensez-y ! Tout ce « web des MBA, des designers et des spécialistes du marketing » est désormais optimisé grâce à des statistiques décrivant des personnes qui ne bloquent pas les statistiques (et des robots qui se font passer pour ces personnes). Chaque jour, je me sens un peu plus déconnecté de cette partie du web.

En cas de besoin, traiter avec ces sites web est tellement éprouvant pour les nerfs que j'ai souvent recours à... un appel téléphonique ou un simple courriel. J'ai signé mon contrat de téléphonie mobile en échangeant des courriels avec une personne réelle parce que l'inscription ne fonctionnait pas. Je téléphone pour réserver des hôtels lorsqu'il n'est pas facile de le faire dans l'interface web ou si la création d'un compte est nécessaire. Je déteste parler au téléphone, mais cela me fait gagner beaucoup de temps et de stress. Je me rends également dans les magasins à pied ou à vélo au lieu de commander en ligne. Cela me permet d'obtenir des conseils et d'échanger des articles défectueux sans devoir passer par la poste.

Malgré la rupture avec ce qui semble être « le Web », je n'ai jamais reçu autant d'e-mails commentant mes articles de blog. J'ai rarement eu autant de conversations en ligne intéressantes que sur Mastodon. J'ai des dizaines de contenus vraiment intéressants à lire chaque jour dans mes flux RSS, sur Gemini, sur Hacker News, sur Mastodon. Et, chose incroyable, beaucoup d'entre eux se trouvent sur des blogs très minimalistes et utilisables. Ce qui est amusant, c'est que lorsque des utilisateurs non-technologues voient mon blog ou ceux que je lis, ils me disent spontanément à quel point ils sont beaux et utilisables. C'est un peu comme si toutes ces couches de JavaScript et de css flashy avaient été utilisées contre l'utilisabilité, contre eux. Contre nous. C'est un peu comme si les vrais utilisateurs ne s'étaient jamais souciés des « designs cool » et n'avaient voulu que quelque chose de simple.

On a l'impression que tout le monde choisit son camp. Il n'est plus possible de rester au milieu. Soit vous consacrez tous vos cycles de CPU à l'exécution de JavaScript qui vous suit à la trace, soit vous vous éloignez des grands monopoles. Soit vous êtes payé pour construire d'énormes panneaux publicitaires au-dessus d'un énième framework, soit vous fabriquez du HTML à la main.

Peut-être que le web n'est pas en train de mourir. Peut-être qu'il est seulement en train de se diviser en deux.

Vous connaissez ce fameux « dark web » dont les journalistes raffolent ? (à ma demande, un journaliste m'a expliqué un jour ce que signifiait pour lui le « dark web », à savoir « les sites web qui ne sont pas facilement accessibles par une recherche Google »). Eh bien, j'ai parfois l'impression de faire partie de ce « dark web ». Pas pour acheter de la drogue ou engager des tueurs à gages. Non ! C'est seulement pour avoir un endroit où je peux discuter sans être espionné et interrompu par des publicités.

Mais, de plus en plus, je me sens de moins en moins comme un étranger.

Ce n'est pas moi. Ce sont les gens qui vivent pour et par la publicité qui sont les étrangers. Ce sont eux qui détruisent tout ce qu'ils touchent, y compris la planète. Ce sont des malades psychiques et je ne veux plus les voir dans ma vie. Sommes-nous en train de nous séparer de ces obsédés du clic ? Bon débarras ! Amusez-vous bien avec eux.

Mais si vous voulez quitter le navire, c'est le moment de revenir à la simplicité du web. Bienvenue à bord !

• Auteur : Lionel Dricot (→ @ploum@mamot.fr)
• Date : 1er août 2023
• Licence (article et traduction) : CC BY-SA
• Le blog de Ploum

• Image d'illustration : Wall and window detail of the Cultural Centre of Belém in Lisbon, Portugal, the largest building with cultural facilities in the country.
• Auteur : Joaquim Alves Gaspar
• Licence : CC BY-SA 4.0

Retrouvez-moi sur Mastodon →