Il existe des effets négatifs du numérique sur notre vie et notre santé ainsi que celles de nos enfants [0], tout particulièrement lors d’un mésusage . Les scientifiques en informatique en sont conscient·e·s et font partie de celles et ceux qui alertent sur le sujet [0], et relaient les travaux  scientifiques d’autres disciplines qui permettent de comprendre le caractère négatif potentiel de ces effets et de les dépasser [9]. On parle ici de résultats scientifiques [9,11] au delà de l’emballement des médias alimenté par les promoteurs des “paniques morales” ([9], pp 4).

L’angle d’attaque de telles paniques est souvent résumé par le seul terme “écran”,  la plupart du temps associé au mot “enfant”, faisant ainsi un amalgame entre contenant et contenu, entre adultes et société. Il en ressort généralement des questions mal posées qui ne peuvent conduire qu’à des polémiques faisant peu avancer le débat. Par ailleurs, la question des impacts de la technologie sur le développement de l’enfant est fondamentale et le numérique n’y échappe pas.

Abordons ici la question des contenus. Les études scientifiques sur l’impact des “contenus numériques disponibles à travers différentes interfaces matérielles” qu’on réduit souvent au seul “écran” alors qu’on pourrait par exemple y inclure aussi des systèmes robotisés. Mais concentrons nous ici sur les interfaces que l’on nommera par abus de langage, pour la facilité d’écriture, encore “écran”. Les résultats sont difficiles à interpréter car il manque un cadre de comparaison formel par exemple pour établir et mesurer la dépendance [1].  On note par ailleurs que les effets négatifs des écrans sont plus importants dans les populations moins favorisées [4]. À l’inverse, les effets cognitifs des écrans peuvent être positifs [4,5,6] mais pas en cas d’usage avant le sommeil, qu’ils perturbent [3].

On doit donc avant tout considérer les usages qui en sont faits et arrêter de considérer le paramètre de durée (temps devant les écrans) qui occulte d’autres éléments au moins aussi importants [1,3] comme illustrés ci-après.

Les études les plus fines distinguent les usages, en particulier passif (comme la télévision) versus actif, autrement dit isolé (on « colle » l’enfant devant les écrans) opposé à  coopératif. 

C’est l’usage de ces écrans pour « occuper » les enfants pendant que les adultes vaquent à leurs autres tâches qui présente un effet délétère [2].

Au delà, une plus grande quantité d’utilisation de l’écran (c’est-à-dire des heures par jour/semaine) est associée négativement au développement du langage de l’enfant, tandis qu’une meilleure qualité d’utilisation de l’écran (c’est-à-dire des programmes éducatifs et un visionnage conjoint avec les adultes éduquant) est positivement associée aux compétences linguistiques de l’enfant [3]. 

Comparons « screen-time » versus « green-time » [4], c’est à dire le temps passé dans l’environnement extérieur (ex: forêt, parc public). On observe là encore qu’il faut distinguer l’usage modéré avec des contenus choisis et un accompagnement éducatif qui a des effets positifs, de l’inverse qui peut avoir un effet négatif, voire très négatif. Le « green-time » limite les effets cognitifs négatifs des écrans, au delà de l’effet bien connu de l’hyper sédentarité qui conduit à des troubles physiologiques dérivés [6].

C’est donc, au niveau cognitif et éducatif essentiellement un enjeu de contenu numérique. Ainsi,  la lecture sur écran est moins efficace que sur un livre papier, sauf si le contenu est « augmenté » (accès à un lexique, récit interactif, …) [5], en notant que  la lecture en interaction avec une personne éducative référente augmente les performances dans les deux cas.

On insistera finalement sur ce que la communauté de l’éducation à l’informatique sait depuis longtemps :

  –comprendre comment fonctionnent les ordinateurs conduit à un bien meilleur usage récréatif et éducatif, et aussi souvent moins dépendant [7] ;

  – pour apprendre les concepts informatiques, les « activités débranchées » où on « éteint son écran pour aller jouer au robot dans la cour »  sont les plus efficaces au niveau didactique et pédagogique [8].

Pour moins utiliser les écrans, le plus important est de commencer à les utiliser mieux.

Gérard Giraudon et Thierry Viéville.

Références :

[0] https://www.lemonde.fr/blog/binaire/2023/10/06/ntic-etat-des-lieux-en-france-et-consequences-sur-la-sante-physique-partie-1/
[1] https://www.sciencedirect.com/science/article/pii/S0190740922000093
[2] https://www.pafmj.org/index.php/PAFMJ/article/view/6648
[3] https://jamanetwork.com/journals/jamapediatrics/article-abstract/2762864 
[4] https ://journals.plos.org/plosone/article?id=10.1371/journal.pone.0237725
[5] https://journals.sagepub.com/doi/full/10.3102/0034654321998074 
[6] https://www.sciencedirect.com/science/article/pii/S0765159711001043 
[7] https://inria.hal.science/hal-03051329
[8] https://inria.hal.science/hal-02281037 
[9] https://www.cairn.info/les-enfants-et-les-ecrans–9782725643816-page-150.htm
[10] https://naitreetgrandir.com/fr/etape/1_3_ans/jeux/usage-ecrans-parents-equilibre
[11] https://www.u-bordeaux.fr/actualites/Addiction-aux-écrans-mythe-ou-réalité

Gauthier Roussilhe est doctorant au RMIT. Il étudie la façon dont nos pratiques numériques se modifient dans le cadre de la crise environnementale planétaire en proposant une vision systémique, de l’extraction des matières à la fin de vie, et des infrastructures à l’usage des services numériques.  Antoine Rousseau & Ikram Chraibi Kaadoud 

On pourrait penser que les conséquences environnementales de la numérisation est un sujet récent , or cela fait bientôt 30 ans qu’on se demande quel est son poids environnemental et si numériser aide à la transition écologique. En 1996, l’Information Society Forum fait le constat suivant : « La plupart des experts ne pensent pas que le développement durable soit réalisable sans les technologies de l’information, mais ils ne sont pas non plus sûrs qu’il soit garanti avec elles. […] Il existe un risque d’effet « rebond » par lequel ils pourraient stimuler de nouvelles demandes de consommation matérielle » (ISF, 1996, 30). 26 ans plus tard, en 2022, le 3e groupe de GIEC proposait une synthèse peu encourageante : « Pour le moment, la compréhension des impacts directs et indirects de la numérisation sur la consommation d’énergie, les émissions de carbone et le potentiel d’atténuation est limité » (IPCC, 2022, 132). Est-ce que cela veut dire pour autant que nous n’avons pas progressé sur le sujet depuis 30 ans ? Loin de là, revenons ensemble sur l’état de l’art de la recherche scientifique sur les deux questions principales de ce champ : l’empreinte environnementale du secteur et les effets environnementaux de la numérisation dans les autres secteurs.

L’empreinte carbone du secteur numérique
La production des savoirs scientifiques dans ce domaine s’est concentrée principalement sur l’empreinte environnementale du secteur numérique, c’est-à-dire le poids écologique lié à la fabrication, l’usage et la fin de vie de tous les équipements et services qui composent ce secteur. Il y a assez peu d’articles de recherche qui se sont aventurés dans l’estimation mondiale du secteur. Ces dernières il y a trois estimations concurrentes (Andrae & Edler, 2015 (remplacé par Andrae 2020) ; Malmodin & Lundén, 2018 ; Belkhir & Elmeligi, 2018). Freitag et al ont proposé une analyse de ces travaux proposant que les émissions du secteur numérique représentaient en 2020 entre 2,1 et 3,9% des émissions mondiales (1,2-2,2 Gt eq-CO2). Le plus important ici n’est pas forcément cette estimation mais la tendance de ces émissions, or, depuis juin 2023, la communauté scientifique sur ce sujet est plus ou moins arrivé à un consensus : les émissions du secteur augmentent. Ce n’est pas une croissance exponentielle mais l’arrivée massive de nouveaux types d’équipements comme les objets connectés donne à voir plutôt une augmentation annuelle constante. Et nous n’avons pas mis à jour nos projections avec le nouveau marché de l’IA, d’autant plus que les premiers travaux d’estimation semblent inquiétants. Concernant les autres facteurs environnementaux, épuisement de ressources minérales, utilisation d’eau, pollutions des sols et des eaux, etc nous ne disposons aujourd’hui d’aucune estimation d’envergure ni de vision claire même si de nombreux projets de recherche avancent sur ces questions.

Les centres de données
Dans le travail de modélisation, nous privilégions pour l’instant la découpe du secteur en trois tiers : les centres de données, les réseaux et les équipements utilisateurs. Chacun de ces tiers poursuit sa propre trajectoire qu’il est nécessaire d’aborder. En premier lieu, les centres de données ont fait l’objet de travaux de fond sur leur consommation électrique pour ensuite obtenir des émissions carbone. Deux estimations font référence, celle de Masanet et al (2018) à 205 TWh de consommation électrique mondiale et celle de l’Institut Borderstep à 400 TWh. L’Agence Internationale de l’Énergie (IEA) a utilisé la première estimation pendant quelques années mais a revu ses travaux récemment et propose plutôt une fourchette entre 220 et 320 TWh (cela exclut la consommation électrique des cryptomonnaies qui est comptée à part par l’IEA). Il existe bien aussi un consensus sur l’augmentation croissante de la consommation électrique des centres de données mais les opérateurs misent sur l’achat ou la production d’énergie bas carbone pour décorreler consommation d’électricité et émissions de carbone avec plus ou moins de succès. Encore une fois ces chiffres ne prennent en compte que l’usage des centres de données et n’intégrent pas les impacts environnementaux liés à la fabrication des serveurs et autres équipements. Au-delà de la consommation électrique c’est plutôt le poids local de ces infrastructures qui devient de plus en plus problématique autant pour la disponibilité électrique que pour l’accès à l’eau. De nombreux conflits locaux se développent : Irlande, Espagne, Chili, Amsterdam, Francfort, Londres, États-Unis. À l’échelle français, L’Île-de-France héberge la plupart des centres de données français et fait face à de nombreuses problématiques qui invite à une réflexion et une planification profonde comme très bien démontré par l’étude récente de l’Institut Paris Région.

Les réseaux de télécommunication
Les réseaux de télécommunications comprennent tous les réseaux d’accès fixes (ADSL, Fibre), les réseaux d’accès mobile (2G/3G/4G/5G) et les réseaux coeurs. En 2015, Malmodin & Lundén (2018) estimaient la consommation électrique mondiale des réseaux à 242 TWh et l’empreinte carbone à 169 Mt eq-CO2. Depuis peu de travaux se sont réessayer à l’exercice. Coroama (2021) a proposé une estimation à 340 TWh pour les réseaux en 2020 et aujourd’hui l’IEA estime la consommation électrique en 260 et 340 TWh (IEA). L’empreinte carbone des réseaux, autant au niveau de la fabrication du matériel que de l’usage reste à mieux définir mais implique aussi de redoubler d’efforts sur de nombreux angles morts : le déploiement (génie civil, etc.) et la maintenance sont des parts significatives de l’empreinte des réseaux qui n’ont quasiment pas été compté jusque là. De même, les satellites de télécommunication devrait a priori faire parti du périmètre des réseaux mais leur impact avait été considéré comme minime. Toutefois, le déploiement massif de constellation avec des satellites d’une durée de vie de 5 ans implique une attention renouvelée.

Les équipements utilisateurs
Finalement, le dernier tiers, celui des équipements utilisateurs, inclut à la fois les équipements personnels (smartphone, portable, tablette, ordinateurs, écrans, etc) et professionnels. Certains segments connaissent une contraction depuis quelques années : le vente d’ordinateurs fixes chute (sauf pour le gaming), de même que les livraisons de smartphones. De l’autre, de nouveaux segments apparaissent comme les objets connectés grand public (enceinte, caméra, etc.). C’est l’arrivée de ces derniers qui est profondément inquiétant si les projections de marché se maintiennent car elle suggère le déploiement massif d’objets de qualité variable, à faible durée de vie et donc à fort taux de renouvellement (Pirson et Bol, 2021). En descendant d’un niveau, à l’échelle des composants clés, nous voyons une augmentation de l’empreinte de fabrication des circuits intégrés les plus avancés (<10nm) (Pirson et al, 2022), c’est-à-dire les nouveaux processeurs (Apple série M) ou dans les puces de calcul graphique (produits Nvidia par exemple) aujourd’hui très recherché pour l’entrainement d’IA génératives.

Les services numériques
À cela s’ajoute une inconnue évidente : l’évolution des services numériques. Les équipes de recherche ne peuvent pas prévoir l’apparition de nouveaux usages dans leur estimation, or les usages se sont plutôt stabilisés depuis quelques années. Le passage en force du Métaverse consistant à créer de nouveaux usages, de nouveaux services et de nouveaux équipements dédiés à échouer. Le dernier grand changement date d’un alignement des planètes entre 2010 et 2012 avec le déploiement massif de smartphones, la mise en route des réseaux 4G et la massification de l’offre vidéo en ligne. Aujourd’hui, les services grand public supportés par l’IA proposent une nouvelle évolution des usages mais, au-delà des discours mercantiles et/ou prophétiques, la tendance est encore loin d’être claire.
Malgré les immenses zones d’ombre qui restent encore à éclairer la connaissance de l’empreinte carbone du secteur numérique commence à se stabiliser. Les tendances futures montrent plutôt une augmentation globale de l’impact et une tension locale de plus en plus accrue. Face à cela, une question demeure, est-ce que l’augmentation de cette empreinte permet de réduire celles des autres secteurs ? En somme, est-ce que la numérisation est un « investissement environnemental » cohérent. Voyons cela ensemble dans la deuxième partie.

Les effets sur les émissions de carbone dans les autres secteurs
Comme vu au début de cet article, la question des effets environnementaux de la numérisation dans les autres secteurs, que ces effets soient positifs ou/et négatifs, s’est posée d’emblée, toutefois, elle a été bien moins traitée que la question de l’empreinte du secteur. Au même titre que les économistes ont de nombreuses difficultés à isoler la contribution de la numérisation au PIB ou à la productivité, les chercheurs en sciences environnementales font face au même défi. Dans un premier temps, les effets environnementaux liés à des services numériques ont du faire l’objet d’une classification qui commence doucement à se stabiliser aujourd’hui : les effets de second ordre (gain d’efficacité, substitution, effet rebond direct) et de plus grande ordre (effets rebonds indirects, rebond macro-économique, induction, etc.) (Hilty et al, 2006 ; Hilty et Aebischer, 2015 ; Horner et al, 2016). Si un gain d’efficacité est simple à comprendre la question des effets rebonds poursuit le secteur numérique depuis 30 ans. Un effet rebond peut être simplement défini comme un gain d’efficacité ou une optimisation qui conduit à une augmentation de la production ou de la demande, contrecarrant ainsi une partie, voire tous les gains obtenus. C’est un principe économique qui est
théorisé depuis un siècle et demi, historiquement associé avec la question énergétique, qui est particulièrement pertinent dans le phénomène de numérisation à cause des effets macro et microéconomiques de ce dernier.

Les études industrielles
On distingue trois types de littérature sur ce sujet : la production industrielle (rapport, livre blanc, etc), la production scientifique (articles de recherche, etc), et la littérature institutionnelle qui pioche dans les deux. La littérature industrielle a une tendance farouche à se concentrer que sur la modélisation des effets positifs (efficacité, optimisation) en mettant systématiquement de côté les effets négatifs (effets rebonds, induction, etc.). Deux rapports industriels ont été particulièrement diffusés et cités : le rapport SMARTer2030 de GeSI (un groupe de réflexion des entreprises de la tech sur la question environnementale) qui estime que la numérisation peut réduire les émissions mondiales de 20% d’ici 2030, et le rapport ‘Enablement Effect’ de GSMA (l’organisation mondiale des opérateurs télécom) qui estime que les technologies mobiles ont permis d’éviter 2,1 Gt eq-CO2 en 2018. Ces rapports visent à promouvoir l’idée d’un effet d’abattement (enablement effect), c’est-à-dire, un 1g d’eqCO2 émis par le secteur numérique pourrait permettre d’éviter 10g d’eqCO2 dans les autres secteurs. Ces affirmations ont eu une grande popularité au sein des entreprises du secteur et dans le monde institutionnel. Dans la communauté scientifique, aucune équipe s’est aventuré dans de tels travaux tant les difficultés méthodologiques sont nombreuses. Il est en fait bien connu parmi les scientifiques spécialisés que ces affirmations sont notoirement douteuses et les défauts méthodologiques de ces rapports trop nombreux pour qu’ils soient utilisés pour orienter la prise de décision publique ou privée (Malmodin et al, 2014 ; Malmodin et Coroama, 2016 ; Bieser et Hilty, 2018 ; Coroama et al, 2020 ; Bergmark et al, 2020 ; Rasoldier et al, 2022 ; Bieser et al, 2023). Leurs principaux défauts sont des extrapolations globales à partir d’études de cas ou d’échantillons très réduits, la représentativité de ces mêmes échantillons, l’omission des effets directs des solutions étudiées (l’empreinte environnementale) et des effets rebonds, et de tous les effets structuraux dont dépendent le succès ou l’échec d’une solution numérique.

La complexité du problème
Les chercheurs qui travaillent sur ces sujets savent que les effets environnementaux d’une solution numérique dépendent bien plus de facteurs contextuels que de ses capacités propres : politiques publiques, prix, culture, infrastructures disponibles, contexte commerciale, etc. Par exemple, une application de partage de vélo a bien moins de chances de produire des effets positifs dans une ville sans infrastructure vélo développée, ou un système intelligent de gestion du chauffage sera bien mieux efficace dans une maison isolée. Cela ne veut pas dire pour autant que la numérisation de certaines activités permet effectivement d’éviter des émissions mais ce qui est observable à petite échelle peine à se réaliser à plus grande échelle. Par exemple, il est évident aujourd’hui que le télétravail permet d’éviter à court terme des trajets en voitures individuelles. Toutefois, pris sur une période de temps plus longue et à une échelle nationale, les choses se compliquent. Caldarola et Sorrell (2022) ont publié un article pour répondre à une question fondamentale : est-ce que les télétravailleurs voyagent moins ? Pour ce faire ils se sont appuyés sur des données longitudinales d’un échantillon randomisé de 13 000 foyers anglais de 2005 à 2019. Ils ont observé que le groupe de télétravailleurs faisaient moins de trajets que le groupe de non-télétravailleurs mais que les deux groupes parcouraient un nombre similaire de kilomètres à l’année. Cela est du à plusieurs effets adverses : l’éloignement croissant entre foyer et lieu de travail, voyages plus loin le week-end, modes de transport, trajets non évitables, etc. Néanmoins, les auteurs notent qu’à partir de trois jours et plus de télétravail, les télétravailleurs commençent à parcourir moins de kilomètres que l’autre groupe. Cet exemple donne à voir à quel point il est complexe d’inférer qu’un effet positif observé à petite échelle se maintienne en toutes conditions à l’échelle d’un pays car de nombreux autres effets, notamment différents types d’effets rebonds et d’induction, peuvent compenser les gains bruts.

Savoir où chercher
Savoir si la numérisation a un potentiel pour aider à la décarbonation d’une économie n’est pas la question, tout le monde reconnaît ce potentiel. Par contre, ce potentiel ne semble pas s’être manifesté structurellement au sein des économies les plus numérisées de la planète. Nous disposons de nombreuses études de cas qui montrent des solutions numériques avec des effets encourageants dans certains contextes, mais le problème est que même si nous pouvons déployer massivement ces solutions nous ne pouvons pas répliquer les contextes d’application et surtout les répliquer à plus grande échelle. Cela implique que certaines voies de numérisation ne sont pas
compatibles avec la décarbonation. Premièrement, les solutions numériques qui rendent plus efficaces l’extraction d’énergies fossiles : en 2019, Microsoft mettait en avant que leurs solutions numériques pour Exxon permettraient d’augmenter la production journalière de barils de 50 000 d’ici 2025 (pour l’instant personne ne s’est donné la peine d’estimer toutes les émissions ajoutées de la numérisation dans le secteur des énergies fossiles). Deuxièmement, certaines solutions numériques proposent plutôt un status quo qu’un réel gain, ici les solutions de smart home démontre une grande ambivalence entre gain de confort supposé (automatisation et programmation des fonctions d’une maison), ajout de nouvelles options de divertissement (enceintes, etc.) et économies d’énergie (Sovacool et al, 2020). Prises ensemble, toutes ces promesses tendent à se contrecarrer et à maintenir un status quo. De façon générale, les solutions numériques qui misent la plupart de leurs gains potentiels sur des changements de comportement individuel constants et stables dans le temps présentent un plus grande risque. Les solutions numériques pouvant avoir le plus d’effets positifs sont généralement celles qui s’appuient sur un financement stable et pérenne, qui évoluent dans des univers assez contrôlés où le comportement humain est moins central et qui sont appliqués sur des infrastructures déjà établies à grande échelle (ou en passe de l’être). Toutefois, il faudra encore de nombreuses années de recherche pour comprendre ces dynamiques et arriver à une vue stratégique plus fine et surtout moins biaisée par les intérêts industriels.

Ce que permet et ne permettra pas la numérisation
Se poser sérieusement la question de la contribution de la numérisation à la transition écologique d’un pays implique de se décentrer d’une vue mono-solution où on infère des effets à partir d’une étude de cas mené à un instant t, qui est généralement celle des entreprises ou des industries numériques. La planification écologique d’un pays comme la France requiert d’identifier les leviers les plus importants au niveau de leur effet à grande échelle, et de la stabilité de leur effet dans le temps, dans les secteurs les plus urgents à décarboner. Ces leviers sont rarement les solutions les plus faciles et les moins chers, ce sont généralement des politiques publiques qui essayent de modifier en profondeur des modes de vie. Les solutions numériques ont encore une place indéterminée dans cette réflexion. Un problème central pour les solutions numériques est la persistance des effets. Pour reprendre le cas du télétravail, si aujourd’hui cela évite un trajet en voiture individuelle essence ou diesel, les trajectoires de décarbonation de la France laisse imaginer que le télétravail évitera en 2030 un trajet à pied ou à vélo, ou un trajet en voiture ou en transport en commun électrique. Cela implique que l’effet positif sera forcément à rendement décroissant et constitue plutôt un levier à court-terme, moins structurant pour une planification écologique. La logique peut aussi s’inverser : on observe généralement que des économies d’énergie liées à un système de chauffage plus intelligent sont généralement réinvestiés par une augmentation de la température de chauffe du logement et donc un gain de confort (Belaïd et al, 2020), ce qui est un effet rebond direct classique. Toutefois, en pleine crise du coût de la vie et avec un prix du kWh plus élevé, il y a de fortes chances que cet effet rebond disparaisse à cause de budgets bien plus serrés dans les foyers. C’est cette grande ambivalence et cette grande exposition aux facteurs « contextuels » qui maintient en partie la numérisation comme un impensé de la transition écologique et explique la prudence du GIEC dans l’extrait cité en introduction. Ces grands chantiers de recherche ne font encore que commencer.

Gauthier Roussilhe, doctorant RMIT / page web perso

Bibliographie complète à télécharger ici

Le livre de Serge et François, Vive les communs numériques ! est un excellent livre -oui, je suis en conflit d’intérêts car les auteurs sont de bons copains.

C’est un livre facile et agréable à lire, mais sérieux et extrêmement bien documenté sur la question des communs numériques. En effet, nos deux collègues universitaires, scientifiques et entrepreneurs expliquent, explicitent et démontent les rouages des communs numériques.

Partant de l’exemple d’un champ partagé par les habitants d’un village, ils définissent les communs numériques et nous expliquent ce qu’ils sont, et pourquoi certains objets numériques (gratuits ou pas) ne peuvent pas être considérés comme des communs numériques. L’ensemble des communs numériques sont décrits, allant des données, au réseau en passant par l’information, les logiciels et la connaissance.

Une partie est consacré au « comment ça marche », qui nous donne des éléments sur les communautés au cœur du réacteur des communs numériques, sans oublier les licences qui doivent accompagner systématiquement un élément mis à disposition sous forme de commun numérique. Enfin, comme le diable est dans le détail, les auteurs nous expliquent la gouvernance des communs numériques et les vraies questions de gestion des communs numériques.

Le livre explore aussi les liens avec les entreprises des technologies informatiques -parfois très largement contributrices au logiciel libre-, comme Linux, les suites bureautiques ou les bases de données dont nos deux auteurs sont des spécialistes reconnus.

Le livre est enclin à un certain optimisme qui reposes sur les nombreuses opportunités offertes par les communs numériques. De même, on apprécie le point évoqué par les auteurs de la souveraineté numérique où les communs numériques sont analysés pour l’établir, la développer et la maintenir. Par de nombreux exemples, les communs numériques permettent une plus grande prise en compte des utilisateurs, ce qui devrait conduire à des solutions technologiques mieux adaptées.

Si vous voulez comprendre les communs numériques, courez vite l’acheter ! Si vous voulez compléter vos cours sur les données ouvertes et/ou le logiciel libre, c’est l’ouvrage de référence.

Le livre est très riche, il compte de nombreux encadrés, consacrés à des communs numériques ou à des personnalités ; il contient aussi un lexique, une bibliographie et une chronologie qui complètent l’ouvrage. Écrit avec passion, c’est un plaidoyer richement documenté. Vive les communs numériques !

Pierre Paradinas

PS : Le livre sera en accès ouvert à partir de décembre 2024

Le comité français olympique a tranché cédant à des pressions intenses et parfois contradictoires de l’Élysée. La chanson inaugurale des JO 2024 sera chantée par AÏcha (prononcer É-aille-cha) Chantouvère.

Mais qui est cette AÏcha apparue récemment dans les radars de la chanson française ? Une bot conçue et réalisée par le collectif d’enseignants-chercheurs parisiens, Chantouvère. L’entreprise française Mistral aurait procuré les moyens de calculs pour la génération de la chanson. Des équipes bordelaises d’Inria et du CNRS lui aurait donné un visage et un corps. Le visage de la bot a été généré artificiellement à partir des visages de plusieurs chercheuses issues de la diversité pour être « le plus inclusif » selon une source proche. Leur représentante nous a déclaré : « Nous ne comptons pas garder un centime. L’essentiel des royalties pour l’usage de cette nouvelle image ira au blog Binaire ! »

Nous avons demandé à Olive Commun-Nhume, porte-parole de Chantouvère, quelles difficultés particulières ils avaient rencontrées. Elle nous a expliqué que, d’abord, il a été compliqué de convaincre l’IA de ne pas mélanger la musique de La Marseillaise et les paroles de Kostís Palamás de l’hymne olympique. Elle a ajouté : « Ensuite, pour choisir entre plusieurs propositions de notre IA, nous avons voulu utiliser un panel d’ados sur TikTok. Ils n’ont cessé de nous proposer des alternatives qu’ils inventaient en argumentant sur le fait qu’ils les trouvaient bien meilleures que les chansons de notre IA. Finalement, nous avons utilisé un panel d’IA (plusieurs copies de notre logiciel) qui a plébiscité la chanson d’AÏcha Chantouvère que nous avons sélectionnée. »

Polémique de Palais

L’Élysée a beaucoup hésité sur le choix de cette chanson. Une partie des conseillers, que l’on pourrait qualifier d’ « aile gauche » penchait pour celle d’Aya Nakamura. L’aile droite poussait pour AÏcha Chantouvère. (Les mots « gauche » et « droite » ont ici un sens bien relatif.) Alors qu’on pensait qu’AÏcha avait été choisie, l’ « aile madame » (l’aile du palais réservée à la première dame) s’est mise à pousser pour Michel Sardou. Ce débat existentiel a été tranché au plus haut niveau.

Polémique politique

Les partis politiques se sont positionnés, la gauche pour Aya, les macroniens pour AÏcha, et la droite pour Michel. L’extrême droite s’est élevée violemment contre le choix d’AÏcha. Selon un représentant du Rassemblement national : « Son prénom est clairement à consonance pas vraiment française, voire limite maghrébine ». « La France est plurielle », s’est contentée de répondre la porte-parole de Chantouvère. Pour Reconquête, « Les chansons d’AÏcha Chantouvère ne sont pas plus en français que celles d’Aya Nakamura ». Selon Olive Commun-Nhume, « le panel d’ado a déclaré la chanson sélectionnée 100% française. Un d’entre eux a précisé que la bot parlait plutôt comme son daron ».

Polémique paillarde

Une polémique a enfin été soulevée par des internautes. En prenant les premières lettres de chaque mot, on obtient comme texte « De Profundis Morpionibus », le titre d’une chanson paillarde (*). Nous avons pu vérifier. Est-ce une facétie des chercheurs du collectif ou de l’IA ? Olive Commun-Nhume a refusé de commenter.

Pour conclure, nous devons avouer qu’à titre personnel nous ne sommes fans musicalement d’aucun des trois. Pourquoi pas Zaz ?

Serge Abiteboul, Ikram Chraibi Kaadoud, Marie-Agnès Enard

(*) Cette chanson du XIXe siècle aurait été écrite par Théophile Gautier. Il en aurait refusé la paternité pour se présenter à l’Académie Française. Il est resté bien plus populaire pour cette chanson que pour son passage à l’académie.

Binaire : Comment es-tu devenue informaticienne ?

SCB : Quand je suis entrée à l’Université, j’ai commencé par faire des maths. Et puis j’ai rencontré des informaticiennes, des enseignantes formidables comme Marie-Christine Rousset, Christine Froidevaux, ou Claire Mathieu, qui commençait ses cours en poussant les tables dans toute la salle, parce qu’elle disait que c’était comme ça qu’on pouvait mieux “travailler l’algo”. Elles étaient brillantes, passionnées ; certaines avaient même un côté un peu dingue qui me plaisait énormément. Je me suis mise à l’informatique.

J’avais de bons résultats, mais je n’aurais jamais osé penser que je pouvais faire une thèse. C’est encore une enseignante, Christine Paulin, qui m’a littéralement fait passer de la salle de réunion d’information sur les Masters Pro (DESS à l’époque) à celle pour les Master Recherche (DEA). Je l’ai écoutée, j’ai fait de belles rencontres, fini major de promo de mon DEA et j’ai décidé avec grand plaisir de faire une thèse.

Binaire : Tu cites des enseignantes. C’était important que ce soit des femmes ?

SCB : Oh oui ! Parce que c’était impressionnant en licence d’être seulement sept filles dans un amphi de 180 personnes. Elles m’ont montré qu’il y avait aussi une place pour nous. Mais j’ai eu aussi d’excellents enseignants masculins ! Grâce à elles et eux, j’ai mordu à la recherche. Pour moi, la science est un virus qui fait du bien. Les enseignants se doivent de transmettre ce virus. Maintenant, j’essaie à mon tour de le partager au maximum.

Binaire : Tu travailles sur l’intégration de données biologiques. Qu’est-ce que ça veut dire ?

SCB : En biologie, on dispose de beaucoup de données, de points de vue différents, de formats très différents : des mesures, des diagrammes, des images, des textes, etc. L’intégration de données biologiques consiste à combiner ces données provenant de différentes sources pour en extraire des connaissances : l’évolution d’une maladie, la santé d’un patient ou d’une population…

Binaire : Où sont stockées ces données ?

SCB : Des données de santé sont collectées dans de grandes bases de données gérées par l’État, le Ministère de la Santé, la CNAM. Elles sont pseudonymisées : le nom du patient est remplacé par un pseudonyme qui permet de relier les données concernant le même patient mais en protégeant son identité. D’autres données sont obtenues par les hôpitaux pour tracer le parcours de soin. En plus de tout cela, il y a toutes les données de la recherche, comme les études sur une cohorte pour une pathologie donnée. Toutes ces données sont essentielles mais également sensibles. On ne peut pas faire n’importe quoi avec.

Binaire : Pourrais-tu nous donner un exemple de ton travail, un exemple de recherche en informatique sur ce qu’on peut faire avec ces données ?

SCB : Un médecin peut rechercher, par exemple, les gènes associés à une maladie. Avec un moteur de recherche médical, il tape le nom de la maladie qu’il étudie et il obtient une liste de gènes, triés dans l’ordre de pertinence. Le problème, c’est que la maladie peut être référencée sous plusieurs noms. Si le médecin tape un synonyme du nom de la maladie dans le moteur de recherche, la liste de gènes obtenus est sensiblement modifiée, de nouveaux gènes peuvent apparaître et leur ordre d’importance être différent. L’enjeu ici c’est à partir d’un ensemble de listes de gènes de construire une liste de gènes consensuelle : classant au début les gènes très bien classés dans un grand nombre de listes tout en minimisant les désaccords. Ce classement est bien plus riche en information pour les médecins que celui obtenu avec une simple recherche avec le nom commun de la maladie. Derrière cela, il y a un objet mathématique beaucoup étudié, les permutations. 

Travailler sur les classements de résultats, c’est loin d’être simple algorithmiquement. Et ce problème est proche d’un autre problème dans une autre communauté : la théorie du vote. La situation est similaire, pour le vote, on a un grand nombre de votants (de milliers) qui votent pour un relativement petit nombre de candidats (une dizaine). Dans notre contexte biomédical, nous avons un grand nombre de gènes potentiellement associés à une maladie (des centaines) et un petit nombre de synonymes pour la maladie (une dizaine). Cela change un peu les choses, on reste dans un problème difficile et on peut s’inspirer de certaines solutions. Nous avons développé un outil basé sur ces recherches dans lequel les médecins mettent simplement le nom de la maladie à étudier, l’outil cherche automatiquement les synonymes dans les bases de synonymes, récupère les listes de gènes et fournit un classement consensuel. Avec notre outil, les médecins accèdent à une liste de gènes qui leur donne des informations plus complètes et plus fiables.

Binaire : Les données de santé sont évidemment essentielles. On parle beaucoup en ce moment du Health Data Hub. Pourrais-tu nous en dire quelques mots ?

SCB : Le Health Data Hub (HDH) propose un guichet d’entrée aux données de santé pour améliorer les soins, l’accompagnement des patients, et la recherche sur ces données. Le HDH a soulevé une polémique en choisissant un stockage dans Microsoft Azure, un service de cloud américain. Même si le stockage est conforme au RGPD, il pose un problème de souveraineté. Ce n’est pas une question d’impossibilité : d’autres données, de volume et complexité comparables sont sur des serveurs français. On espère que ce sera corrigé mais cela va sûrement durer au moins quelques années.

Binaire : Tu travailles sur les workflows scientifiques. Pourrais-tu expliquer cela aux lecteurs de binaire ?

SCB : Pour intégrer de gros volumes de données et les analyser, on est amené à combiner un assez grand nombre d’opérations avec différents logiciels, souvent des logiciels libres. On crée des chaînes de traitements parfois très complexes, en séquençant ou en menant en parallèle certains de ces traitements. Un workflow est une description d’un tel processus (souvent un code) pour s’en souvenir, le transmettre, peut-être le réaliser automatiquement. Pour les chercheurs, il tient un peu la place des cahiers de laboratoires d’antan.

Un workflow favorise la transparence, ce qui est fondamental en recherche. Définir du code informatique qui peut être réalisé par une machine mais également lu et compris par un humain permet de partager son travail, de travailler avec des collègues experts de différents domaines.

Binaire : Les workflows nous amènent à la reproductibilité, un sujet qui te tient particulièrement à cœur.

SCB : La reproductibilité d’une expérience permet à quelqu’un d’autre de réaliser la même expérience de nouveau, et d’obtenir, on l’espère, le même résultat. Compte tenu de la complexité d’une expérience et des variations de ses conditions de réalisation, c’est loin d’être évident. Nous avons toutes et tous vécu de grands moments de solitude en travaux pratiques de chimie quand on fait tout comme le prof a dit : on mélange, on secoue, c’est censé devenir bleu, et … ça ne se passe pas comme ça. Cela peut être pour de nombreuses raisons : parce qu’on n’est pas à la bonne température, que le mélange est mal fait, que le tube n’est pas propre, etc. Pour permettre la reproductibilité il faut préciser les conditions exactes qui font que l’expérience marche.

Le problème se pose aussi en informatique. Par exemple, on peut penser que si on fait tourner deux fois le même programme sur la même machine, on obtient le même résultat. La réponse courte c’est pas toujours  ! Il suffit de presque rien, une mise à jour du compilateur du langage, du contexte d’exécution, d’un paramétrage un peu différent, et, par exemple, on obtient des arbres phylogénétiques complètement différents sur les mêmes données génétiques !

Binaire : Pourquoi est-il important d’être capable de reproduire les expériences ?

SCB : La science est cumulative. Le scientifique est un nain sur des épaules de géants. Il s’appuie sur les résultats des scientifiques avant lui pour ne pas tout refaire, ne pas tout réinventer. S’il utilise des résultats erronés, il peut partir sur une mauvaise piste, la science se fourvoie, le géant chancelle.

Des résultats peuvent être faux à cause de la fraude, parce que le scientifique a trafiqué ses résultats pour que son article soit publié. Ils peuvent être faux parce que le travail a été bâclé. Une étude de 2009 publiée par le New York Times a montré que la proportion de fraude varie peu, par contre le nombre de résultats faux a beaucoup augmenté. Les erreurs viennent d’erreurs de calcul statistiques, de mauvaises utilisations de modèles, parfois de calculs de logiciels mal utilisés. Cela arrive beaucoup en ce moment à cause d’une règle qui s’est imposée aux chercheurs : “publish or perish” (publie ou péris, en français) ;  cette loi pousse les scientifiques à publier de façon massive au détriment de la qualité et de la vérification de leurs résultats.

La reproductibilité s’attache à combattre cette tendance. Il ne s’agit pas de rajouter des couches de processus lourds mais de les amener à une prise de conscience collective. Il faudrait aller vers moins de publications mais des publications beaucoup plus solides. Publier moins peut avoir des effets très positifs. Par exemple, en vérifiant un résultat, en cherchant les effets des variations de paramètres, on peut être conduit à bien mieux comprendre son résultat, ce qui fait progresser la science.

Binaire : Tu es directrice adjointe de l’institut DATAIA. Qu’est-ce que c’est ?

SCB : L’Université Paris-Saclay est prestigieuse, mais elle est aussi très grande. On y trouve de l’IA et des données dans de nombreux établissements et l’IA est utilisée dans de nombreuses disciplines. Dans l’institut DATAIA, nous essayons de coordonner la recherche, la formation et l’innovation à UPS dans ces domaines. Il s’agit en particulier de fédérer les expertises pluridisciplinaires des scientifiques de UPS pour développer une recherche de pointe en science des données en lien avec d’autres disciplines telles que la médecine, la physique ou les sciences humaines et sociales. En ce qui me concerne, je coordonne le volet formation à l’IA dans toutes les disciplines de l’université. Un de mes objectifs est d’attirer des talents plus variés dans l’IA, plus mixtes et paritaires.

Binaire : Tu travailles dans un domaine interdisciplinaire. Est-ce que, par exemple, les différences entre informaticiens et biologistes ne posent pas de problèmes particuliers ?

SCB : Je dis souvent pour provoquer que l’interdisciplinarité, “ça fait mal”… parce que les résultats sont longs à émerger. Il faut au départ se mettre d’accord sur le vocabulaire, les enjeux, les partages du travail et des résultats (qui profite de ce travail). Chaque discipline a sa conférence ou revue phare et ce qui est un objectif de résultat pour les uns ne l’est pas pour les autres. L’interdisciplinarité doit se construire comme un échange : en tant qu’informaticienne je dois parfois coder, implémenter des solutions assez classiques sur les données de mes collaborateurs mais en retour ces médecins et biologistes passent un temps long et précieux à annoter, interpréter les résultats que j’ai pu obtenir et ils me font avancer.

Depuis le début de ma carrière, j’ai toujours adoré les interactions interdisciplinaires avec les biologistes et les médecins. Grâce à ces échanges, on développe un algorithme nouveau qui répond à leur besoin, cet algorithme n’est pas juste un résultat dans un article, il est utilisé par eux. Parfois plus tard on se rend aussi compte que cet algorithme répond aux besoins d’autres disciplines.

Pendant la crise du covid, le CNRS m’a demandé de monter une équipe – collègues enseignants-chercheurs et ingénieurs – et ensemble nous sommes partis au feu pour aider des médecins à rapidement extraire les traitements prometteurs pour la Covid-19 à partir des données de l’OMS… Ces médecins travaillaient jours et nuits depuis plusieurs semaines… Nous les avons rejoints dans leurs nuits blanches pour les aider à automatiser leurs actions, pour intégrer ces données et proposer un cadre représentant tous les essais de façon uniforme. J’étais très heureuse de pouvoir les aider. Ils m’ont fait découvrir comment étaient gérés les essais cliniques au niveau international. A l’époque, je ne savais pas ce qu’était un essai clinique mais cela ressemblait fort à des données que je connaissais bien et j’avais l’habitude d’interagir avec des non informaticiens; maintenant je peux t’en parler pendant des heures. J’ai fait des rencontres incroyables avec des chercheurs passionnants.

Serge Abiteboul, Inria et ENS, Paris, Charlotte Truchet, Université de Nantes.

Les entretiens autour de l’informatique

Concevoir les puces de demain grâce aux FPGA*s, une « glaise électronique » re-modelable a volonté, nous explique Bruno Levy.  Bruno est Directeur de Recherche Inria au sein du projet ParMA de l’Inria Saclay et du Laboratoires de Mathématiques d’Orsay. Il conduit des recherches en physique numérique et en cosmologie. Il joue également le rôle d’ambassadeur pour Risc-V.  Pierre Paradinas.

(*) FPGA : Pour « Field Programmable Gate Array », à savoir, ensemble de portes logiques programmable « sur le terrain » …

« S’il te plait, dessine moi la super-puce du futur pour l’IA de demain ? »
« Ça, c’est la caisse, la super-puce que tu veux est dedans ! » (D’après St Exupéry et Igor Carron)

La micro-electronique : des milliards de connexions sans s’emmêler les fils ! Les circuits intégrés, ou « puces », sont d’incroyables réalisations technologiques. Ils ont été inventés en 1958 par Jack Kilby dans l’objectif de simplifier la fabrication des circuits électroniques. Cette industrie était alors confrontée au problème d’arriver à fabriquer de manière fiable un grand nombre d’éléments. Le plus gros problème était posé par le nombre considérables de fils censés connecter les composants entre eux ! En gravant directement par un procédé photographique les composants et leurs connexions dans un morceau de semi-conducteur de quelques millimètres carrés, son invention révolutionne ce domaine, car elle a permis non-seulement d’automatiser le processus de fabrication, mais également de miniaturiser la taille des circuits et leur consommation énergétique de manière spectaculaire. Grâce à son invention, il propose une dizaine d’années plus tard, en 1972, la première calculatrice de poche. Dans la même période (en 1971), la firme Intel, à présent bien connue, sort une puce révolutionnaire, le Intel 4004, qui contient un ordinateur quasi complet (le tout premier microprocesseur), également dans l’objectif de fabriquer des calculatrices de poches. En quelques décennies, cette technologie progresse plus rapidement que n’importe quelle autre. Les premières puces des années 70 comportaient quelques milliers d’éléments (des transistors), connectés par des fils de quelques micromètres d’épaisseur (dans un millimètre on casait 1000 fils, ce qui était déjà considérable, mais attendez la suite…). Les puces d’aujourd’hui les plus performances comportent des centaines de milliards de transistors, et les fils font quelques nanomètres de large (dans un millimètre, on case maintenant un million de fils).

Comment fabrique-t-on une puce ? Il y a un petit problème : arriver à structurer la matière à l’échelle atomique ne peut pas se faire dans un garage ! Pour donner une idée de la finesse de gravure (quelques nanomètres), on peut garder à l’esprit que la lumière visible a une longueur d’onde entre 300 et 500 nanomètres. Autrement dit, dans l’intervalle minuscule correspondant à une seule longueur d’onde électromagnétique de lumière visible, on sait graver une centaine de fils !!! Alors avec quoi peut-on réaliser ce tour de force ? Toujours avec des ondes électromagnétiques, mais de très très petite longueur d’onde, émises par un laser, à savoir des ultra-violets très énergétiques (qui sont une forme de « lumière » invisible), appelés EUV pour Extreme Ultra Violets. La firme néerlandaise ASML maîtrise cette technologie et équipe les principaux fabricants de puces (appelés des « fondeurs »), dont le Taïwanais TSMC, Samsung et Intel, avec sa machine (à plusieurs centaines de millions d’Euros, grosse comme un autobus, bourrée de technologie) qui permet de graver la matière à l’échelle atomique . La machine, et surtout l’usine autour de celle-ci, coûtent ensemble plusieurs dizaines de milliards d’Euros ! A moins d’être elle-même un fondeur (comme Intel), une entreprise conceptrice de puces va donc en général dépendre de l’une de ces entreprises, qui a déjà réalisé les investissements colossaux, et qui va fabriquer les puces à partir de son design. Cela a été le cas par exemple de Nvidia (qui fabrique à présent la plupart des puces pour l’IA), qui a fait fabriquer ses trois premières générations de puces graphiques dans la fin des années 1990 par le fondeur Franco-Italien ST-Microelectronics (qui gravait alors en 500 nanomètres, puis 350 nanomètres), pour passer ensuite au Taïwanais TSMC, qui avait déjà à l’époque un processus plus performant.

Représentation de l’intérieur d’un FPGA, constitué d’un grand nombre de portes logiques, de cellules de mémoire et d’aiguillages permettant de les connecter. Ici, le circuit correspond à FemtoRV, un petit processeur Risc-V conçu par l’auteur.

Et les petits acteurs ? Comment un petit acteur concepteur de puces peut-il accéder à cette technologie ? Le coût en faisant appel à un fondeur reste important, car pour chaque puce plusieurs étapes de développement sont à réaliser, comme la création des masques, sortes de « négatifs photo » permettant de créer par projection les circuits sur la puce. Afin de réaliser des prototypes, ou encore quand les exigences de performances sont moins importantes, il serait bien d’avoir une sorte de « boite » remplie de portes logiques, de fils et de cellules mémoires (comme sur l’illustration sous le titre), et de pouvoir rebrancher à volonté tous ces éléments au gré de l’imagination du concepteur. C’est exactement ce que permet de réaliser un FPGA. Un tel FPGA se présente sous la forme d’un circuit intégré, avec à l’intérieur tous ces éléments génériques, et un très grand nombre d’ « aiguillages » reconfigurables par logiciel (voir la figure). On peut le considérer comme une « glaise électronique », modelable à façon, permettant de réaliser n’importe quel circuit logique, à l’aide de langages de description spécialisés.

Il existe une grande variété de FPGA, des plus petits, à quelques dizaines d’Euros, comportant quelques milliers d’éléments logiques, jusqu’au plus gros, à plusieurs milliers d’Euros, comportant des millions d’éléments. Ceci rend le « ticket d’entrée » bien moins onéreux. Combinées avec la disponibilité de FPGAs à faible coût, deux autres nouveautés favorisent considérablement l’émergence de petits acteurs dans ce domaine :

• tout d’abord, l’apparition d’outils Open-Source, tels que Yosys et NextPNR, qui remplacent de grosses suites logicielles monolithiques par un ensemble d’outils simples, faciles à utiliser et réactifs. Ceci rend cette technologie accessible non-seulement aux petits acteurs, mais également à toute une communauté de hobbyistes, de manière similaire à ce qui s’est passé pour l’impression 3D.
• d’autre part, le standard ouvert RiscV fournit à tous ces projets une norme libre de droit, facilitant l’émergence d’un écosystème de composants compatibles entre eux (c.f. cet article sur binaire ). Il est assez facile de réaliser un processeur Risc-V à partir d’un FPGA (tutoriel réalisé par l’auteur ici ).
• et enfin, des initiatives comme TinyTapeOut, qui permettent à tout un chacun de s’initier à la fabrication de circuit intégrés, en intégrant les projets de plusieurs personnes sur une seule puce afin de réduire les coûts de production.

Pourquoi est-ce intéressant et qu’est-ce que ça change ? Au-delà d’introduire plus de « bio-diversité » dans un domaine jusqu’à présent dominé par quelques acteurs, certains domaines peuvent grandement bénéficier de la possibilité de créer facilement des circuits électroniques : par exemple, les expériences réalisées à l’aide de l’accélérateur à particules LHC (Large Hadron Collider) du CERN génèrent un très grand volume de données, qui nécessite une électronique spécialisée pour leur traitement. D’autres domaines d’application nécessitent de contrôler très exactement le temps, d’une manière telle que seule un circuit spécialisé peut le faire. Enfin, un grand nombre de gadgets de type « Internet des Objets » possède à l’intérieur un système informatique complet, tournant sous Linux, ce qui représente un ensemble de problèmes en termes de sécurité informatique. Ceci est résumé dans cet article qui décrit un scénario fictif, où des brosses à dents connectés sont utilisées pour organiser une attaque par déni de service. Même si ce scénario était fictif, il reste malheureusement très réaliste ! Grâce aux FPGAs, il sera possible de remplacer tous ces petits ordinateurs génériques de l’Internet des objets par des versions spécialisées, à la fois plus économes en énergie et moins sensibles aux attaques informatiques.

Et demain, une convergence entre le soft et le hard ? Avec les FPGAs, on assiste à une évolution où la frontière entre le soft (le logiciel) et le hard (le matériel) est de plus en plus ténue. Si on imagine qu’elle devienne totalement poreuse, on voit alors des ordinateurs qui reconfigurent automatiquement leurs circuits en fonction du programme à exécuter, afin d’être plus efficace et/ou de consommer moins d’énergie. Intel et AMD explorent déjà cette voie, en intégrant un FPGA dans un microprocesseur, ce qui permet de définir pour ce dernier de nouvelles instructions à volonté. En extrapolant encore plus loin cette vision, on pourra imaginer dans un futur proche une grande variété de schémas de conceptions et de modèles d’exécution, permettant de remplacer la puissance brute de calcul par plus de créativité et d’intelligence, réelle ou artificielle !

Alors, de quoi rêvent les FPGAs … ?

… de moutons électriques, bien évidement !

Bruno Lévy, Inria

C’est une plainte en bonne et due forme qu’a déposée la Commission américaine de réglementation et de contrôle des marchés financiers (SEC) contre la société SolarWinds et son Chief Information Security Officer dans le cadre de l’attaque qu’elle a subie. Elle avait fait du bruit car elle a permis à des hackers de diffuser, depuis l’intérieur des systèmes de la société, une version modifiée du logiciel de gestion des réseaux que la compagnie propose à ses clients (Orion). Il faut dire que les dégâts furent considérables puisque les entreprises qui avaient installé la version modifiée permettaient aux hackers d’entrer librement dans leur réseau.

L’enquête de la SEC relatée dans le dépôt de plainte montre l’inimaginable en termes de manque de culture de sûreté, de déficience et de négligence, le tout mâtiné de mauvaise foi.

Absence de cadre de référence de sûreté

SolarWinds a d’abord prétendu et publié qu’il avait implémenté la méthodologie de l’agence chargée du développement de l’économie notamment en développant des normes  (NIST, National Institute of Standards and Technology) pour évaluer les pratiques de cybersécurité et pour atténuer les risques organisationnels mais ce n’était pas vrai. Des audits internes ont montré qu’une petite fraction seulement des contrôles de ce cadre de référence était en place (40 %). Les 60% restants n’étaient tout simplement pas implémentés. SolarWinds, dans le cadre de ses évaluations internes, avait identifié trois domaines à la sécurité déficiente : la manière de gérer cette sécurité dans les logiciels tout au long de leur vie commerciale, les mots de passe et les contrôles d’accès aux ressources informatiques.

Un développement sans sécurité

Le logiciel de base qui sert à son produit Orion, faisait partie des développements qui ne suivaient absolument aucun cadre de sécurité. L’enquête a montré en 2018 qu’il y avait eu un début d‘intention pour introduire du développement sûr de logiciel mais qu’il fallait commencer par le début… une formation destinée aux développeurs pour savoir ce qu’est un développement sûr, suivi par des expériences pilotes pour déployer graduellement cette méthodologie, par équipe, sans se presser, sur une base trimestrielle. Entretemps, SolarWinds continuait à prétendre qu’elle pratiquait ses développements en suivant les méthodes de sécurité adéquates.

Mot de passe

La qualité de la politique des mots de passe était elle aussi défaillante : à nouveau, entre ce que SolarWinds prétendait et ce qui était en place, il y avait un fossé. La politique des mots de passe de SolarWinds obligeait à les changer tous les 90 jours, avec une longueur minimum et, comme toujours, imposait des caractères spéciaux, lettres et chiffres. Malheureusement, cette politique n’était pas déployée sur tous les systèmes d’information, applications ou bases de données. La compagnie en était consciente mais les déficiences ont persisté des années durant. Un employé de SolarWinds écrivit même un courriel au nouveau patron de l’informatique que des mots de passe par défaut subsistaient toujours pour certaines applications. Le mot de passe ‘password’ fut même découvert ! Un audit a mis en évidence plusieurs systèmes critiques sur lesquels la politique des mots de passe n’était pas appliquée. Des mots de passe partagés ont été découverts pour accéder à des serveurs SQL. Encore pire : on a trouvé des mots de passe non chiffrés sur un serveur public web, des identifiants sauvés dans des fichiers en clair. C’est via la société Akamai qui possède des serveurs un peu partout dans le monde et qui duplique le contenu d’internet notamment (les CDN, Content Distribution Networks) que SolarWinds distribuait ses mises à jour. Un chercheur fit remarquer à SolarWinds que le mot de passe pour accéder au compte de l’entreprise sur Akamai se trouvait sur Internet. Ce n’est pourtant pas via Akamai que la modification et la diffusion du logiciel eut lieu. Les hackers l’ont fait depuis l’intérieur même des systèmes de SolarWinds.

Gestion des accès

La gestion des accès c’est-à-dire la gestion des identités des utilisateurs, les autorisations d’accès aux systèmes informatique et la définition des rôles et fonctions pour savoir qui peut avoir accès à quoi dans l’entreprise étaient eux aussi déficients. La direction de SolarWinds savait entre 2017 et 2020 qu’on donnait de manière routinière et à grande échelle aux employés des autorisations qui leur permettaient d’avoir accès à plus de systèmes informatiques que nécessaires pour leur travail. Dès 2017, cette pratique était bien connue du directeur IT et du CIO. Pourquoi diable a-t-on donné des accès administrateurs à des employés qui n’avaient que des tâches routinières à faire ? Cela a aussi compté dans l’attaque.

Les VPN furent un autre souci bien connu et non pris en compte. A travers le VPN pour accéder au réseau de SolarWinds, une machine qui n’appartient  pas à SolarWinds pouvait contourner le système qui détecte les fuites de données (data loss prevention). L’accès VPN contournait donc cette protection. Comme d’habitude, serait-on tenté de dire à ce stade, c’était su et connu de la direction. Toute personne avec n’importe quelle machine, grâce au VPN de SolarWinds et un simple identifiant (volé), pouvait donc capter des données, de manière massive sans se faire remarquer. En 2018, un ingénieur leva l’alerte en expliquant que le VPN tel qu’il avait été configuré et installé pouvait permettre à un attaquant d’accéder au réseau, d’y charger du code informatique corrompu et de le stocker dans le réseau de SolarWinds. Rien n’y fit, aucune action correctrice ne fut menée. En octobre 2018, SolarWinds, une vraie passoire de sécurité, faisait son entrée en bourse sans rien dévoiler de tous ces manquements. C’est d’ailleurs la base de la plainte de la SEC, le régulateur américain des marchés. Toutes ces informations non divulguées n’ont pas permis aux investisseurs de se faire une bonne idée de la valeur de la société. Solarwinds ne se contenta pas de mentir sur son site web : dans des communiqués de presse, dans des podcasts and des blogs, SolarWinds faisait, la main sur le cœur, des déclarations relatives à ses bonnes pratiques cyber.

Avec toutes ces déficiences dont la direction était au courant, il est clair pour la SEC que la direction de SolarWinds aurait dû anticiper qu’il allait faire l’objet d’une cyberattaque.

Alerté mais silencieux

Encore plus grave : SolarWinds avait été averti de l’attaque par des clients et n’a rien fait pour la gérer. C’est bien via le VPN que les attaquants ont pénétré le réseau de SolarWinds via des mots de passe volés et via des machines qui n’appartenaient pas à SolarWinds (cette simple précaution de n’autoriser que des machines répertoriées par la société aurait évité l’attaque). Les accès via le VPN ont eu lieu entre janvier 2019 et novembre 2020. Les criminels eurent tout le temps de circuler dans le réseau à la recherche de mots de passe, d’accès à d’autres machines pour bien planifier l’attaque. Celle-ci a donc finalement consisté à ajouter des lignes de code malicieuses dans Orion, le programme phare de SolarWinds, utilisé pour gérer les réseaux d’entreprise. Ils n’ont eu aucun problème pour aller et venir entre les espaces de l’entreprise et les espaces de développement du logiciel, autre erreur de base (ségrégation et segmentation). A cause des problèmes relevés ci-dessus avec les accès administrateurs, donnés à tout bout de champ, notamment, les antivirus ont pu être éteints. Les criminels ont ainsi pu obtenir  des privilèges supplémentaires, accéder et exfiltrer des lignes de codes sans générer d’alerte. Ils ont aussi pu récupérer 7 millions de courriels du personnel clé de Solarwind.

Jusqu’en février 2020, ils ont testé l’inclusion de lignes de code inoffensives dans le logiciel sans être repérés. Ils ont donc ensuite inséré des lignes de code malicieuses dans trois produits phares de la suite Orion. La suite, on connait : ce sont près de 18 000 clients qui ont reçu ces versions contaminées. Il y avait dans ces clients des agences gouvernementales américaines.

On s’est bien retranché, chez SolarWinds, derrière une soi-disant attaque d’un État pour justifier la gravité de ce qui s’est passé et sous-entendre qu’il n’y avait rien à faire pour la contrer mais le niveau de négligence, analyse la SEC, est si immense qu’il ne fallait pas être un État pour mettre en œuvre Sunburst, le surnom donné à l’attaque. Il y a aussi eu des fournisseurs de service  (MSP) attaqués : ceux-ci utilisent les produits de SolarWinds pour proposer des services de gestion de leur réseau aux clients, ce qui donc démultipliait les effets.

Alors que des clients ont averti que non seulement le produit Orion était attaqué mais que les systèmes même de SolarWinds étaient affectés, la société a tu ces alertes. Elle fut aussi incapable de trouver la cause de ces attaques et d’y remédier. SolarWinds a même osé prétendre que les hackers se trouvaient déjà dans le réseau des clients (rien à avoir avec SolarWinds) ou que l’attaque était contre le produit Orion seul (sur laquelle une vulnérabilité aurait été découverte par exemple) alors que cette attaque avait eu lieu parce que les hackers avaient réussi à infester le réseau de SolarWinds

Pour la SEC, le manque de sécurité mise en place justifie déjà à lui seul la plainte et l’attaque elle-même donne des circonstances aggravantes.

L’audit interne a montré que de nombreuses vulnérabilités étaient restées non traitées depuis des années. De toute façon le personnel était largement insuffisant, a pu constater la SEC dans les documents internes, pour pouvoir traiter toutes ces vulnérabilités en un temps raisonnable. On parlait d’années. Lors de l’attaque, SolarWinds a menti sur ce qui se passait. Au lieu de dire qu’une attaque avait lieu, SolarWinds avait écrit que du code dans le produit Orion avait été modifié et pourrait éventuellement permettre à un attaquant de compromettre les serveurs sur lesquels le produit Orion avait été installé et tournait !

Que retenir de tout ceci ? Il ne faut pas se contenter des déclarations des fournisseurs sur leurs pratiques de sécurité. En voilà un qui a menti tout en sachant que son produit était une passoire. Ce qui frappe est la quantité d’ingénieurs et d’employés qui ont voulu être lanceurs d’alerte au sein de SolarWinds. Ils ne furent pas écoutés. Faut-il légiférer et prévoir une procédure de lanceur d’alerte sur ces matières-là aussi vers des autorités ? On se demande aussi si dans tous les clients d’Orion, il n’y en a eu aucun pour faire une due diligence avec des interviews sur site. Il est quasiment certain que des langues se seraient déliées.

Jean-Jacques Quisquater (Ecole Polytechnique de Louvain, Université de Louvain et MIT) & Charles Cuvelliez (Ecole Polytechnique de Bruxelles, Université de Bruxelles)

Pour en savoir plus : Christopher BRUCKMANN, (SDNY Bar No. CB-7317), SECURITIES AND EXCHANGE COMMISSION, Plaintiff, Civil Action No. 23-cv-9518, against SOLARWINDS CORP. and TIMOTHY G. BROWN