English [en]   العربية [ar]   español [es]   فارسی [fa]   français [fr]   hrvatski [hr]   italiano [it]   日本語 [ja]   lietuvių [lt]   Nederlands [nl]   polski [pl]   русский [ru]   українська [uk]  

Rencontrez les Hackers GNU au  GHM 2017  • 25–27 août •  Inscrivez-vous !

[Traduit de l'anglais]

Le piège JavaScript

par Richard Stallman

Vous exécutez peut-être des programmes non libres sur votre ordinateur chaque jour sans même vous en apercevoir – par l'intermédiaire de votre navigateur web.

À l'attention des webmestres : il y a plusieurs moyens d'indiquer la licence des programmes JavaScript présents sur un site web.

Dans la communauté du logiciel libre, l'idée que les programmes non libres nuisent à leurs utilisateurs est familière. Certains d'entre nous défendent leur liberté en interdisant l'accès de leur machine à tous les logiciels privateurs1 et beaucoup d'autres considèrent que la non-liberté d'un programme est un point négatif.

Beaucoup d'utilisateurs sont conscients que ce problème s'applique aussi aux modules que les navigateurs proposent d'installer, puisqu'ils peuvent être libres ou non. Mais les navigateurs exécutent d'autres programmes non libres sans vous demander votre avis ni même vous prévenir – des programmes inclus dans des pages web ou vers lesquels elles ont des liens. Ces programmes sont le plus souvent écrits en JavaScript, bien que d'autres langages puissent être utilisés.

JavaScript (dont le nom officiel, mais peu utilisé, est ECMAScript) servait autrefois à orner les pages web de fioritures mineures, comme par exemple des fonctionnalités de navigation et d'affichage agréables mais non essentielles. Il était acceptable de les considérer comme de pures extensions du langage de balises HTML et d'ignorer le problème.

Beaucoup de sites utilisent encore JavaScript de cette façon, mais certains l'utilisent pour des programmes conséquents réalisant des tâches importantes. Par exemple, Google Docs essaie de télécharger sur votre machine un programme JavaScript qui pèse un demi mégaoctet, sous une forme compactée que nous pourrions appeler ObscurScript car il n'y a aucun commentaire, très peu d'espaces et des noms de méthodes qui ne font qu'une lettre. Le code source d'un programme est la forme préférée pour le modifier ; le code compacté n'est pas du code source, et le vrai code source de ce programme n'est pas à la disposition de l'utilisateur.

À part le fait qu'ils ne sont pas libres, beaucoup de ces programmes sont des logiciels malveillants parce qu'ils espionnent l'utilisateur.

Normalement, les navigateurs ne vous disent pas quand ils chargent des programmes JavaScript. Certains d'entre eux ont un moyen de désactiver JavaScript totalement, mais même si vous êtes conscient du problème, vous aurez beaucoup de mal à identifier les programmes non triviaux et non libres pour les bloquer. De toute façon, même au sein de la communauté du logiciel libre, la plupart des utilisateurs ne sont pas conscients de ce problème ; le silence des navigateurs tend à le dissimuler.

Il est possible de publier un programme JavaScript en tant que logiciel libre, en distribuant le code source sous une licence libre. Si le programme est autonome (c'est-à-dire si son fonctionnement et son but sont indépendants de la page qui l'a amené), tout va bien ; vous pouvez le copier dans un fichier sur votre machine, le modifier, puis l'exécuter en lisant ce fichier avec votre navigateur. Mais ce n'est pas le cas habituellement.

Dans le cas habituel, les programmes JavaScript sont conçus pour une page ou un site particulier qui en dépend pour fonctionner. Alors se présente un autre problème : même si le code source du programme est disponible, les navigateurs ne proposent aucun moyen d'exécuter votre version modifiée à la place de l'original lorsque vous êtes sur cette page ou ce site. L'effet est comparable à la tivoïsation bien qu'il soit, en principe, un peu moins difficile à contourner.

JavaScript n'est pas le seul langage que les sites web utilisent pour les programmes envoyés aux utilisateurs. Flash permet la programmation à l'aide d'une variante étendue de JavaScript ; si un jour nous avons un lecteur Flash libre suffisamment complet, il nous faudra traiter le problème des programmes Flash non libres. Silverlight est susceptible de poser un problème similaire à Flash, en pire, car Microsoft l'utilise comme plateforme pour des codecs non libres. Un remplacement libre de Silverlight ne ferait pas l'affaire pour le monde du libre, à moins qu'il ne propose normalement des codecs de remplacement libres.

Les applets Java s'exécutent aussi dans le navigateur et soulèvent des problèmes similaires. En général, n'importe quel système d'applet pose ce genre de problème. Avoir un environnement d'exécution libre pour un applet ne fait que déplacer le problème.

Il est théoriquement possible de programmer en HTML et CSS, mais en pratique les possibilités sont limitées et c'est assez pénible ; le simple fait de réaliser quelque chose par cette technique est un hack impressionnant. De tels programmes doivent être libres, mais aujourd'hui, en 2016, cela ne pose pas de réel problème pour la liberté de l'utilisateur

Un fort mouvement s'est développé qui appelle les sites web à ne communiquer qu'avec des formats et des protocoles libres (certains disent « ouverts ») ; c'est-à-dire, dont la documentation est publiée et que chacun est libre de mettre en œuvre. Avec la présence de programmes dans les pages web, ce critère est nécessaire mais non suffisant. JavaScript lui-même, en tant que format, est libre ; utiliser JavaScript dans un site web n'est donc pas nécessairement mauvais. Cependant, comme nous l'avons vu plus haut, ce n'est pas nécessairement bon. Quand le site transmet un programme à l'utilisateur, il n'est pas suffisant que le programme soit écrit dans un langage documenté et libre d'entraves ; ce programme doit être libre également. « Ne transmettre que des programmes libres aux utilisateurs », cette règle doit faire partie des critères définissant un comportement correct des sites web.

Le chargement et l'exécution silencieux de programmes non libres est l'un des nombreux problèmes soulevés par les « applications web ». Le terme « application web » a été conçu pour ne pas tenir compte de la distinction fondamentale entre un logiciel fourni aux utilisateurs et un logiciel s'exécutant sur un serveur. Il peut faire référence à un programme client spécialisé qui s'exécute dans un navigateur ; il peut faire référence à un logiciel serveur spécialisé ; il peut faire référence à un programme client spécialisé travaillant main dans la main avec un logiciel serveur spécialisé. Les côtés client et serveur soulèvent des problèmes éthiques différents, bien qu'ils soient si intimement intégrés qu'on pourrait les considérer comme parties d'un seul et même programme. Cet article ne s'occupe que du logiciel client. Nous traitons le problème du serveur séparément.

Pratiquement, comment pouvons-nous traiter le problème des programmes JavaScript non libres dans les sites web ? Voici un plan d'action.

Que voulons-nous dire par « non trivial » ? Puisque c'est une question d'interprétation, il s'agit de concevoir un critère simple qui donne de bons résultats, plutôt que de déterminer la seule réponse correcte.

À titre d'essai, nous considérons un programme JavaScript comme non trivial si

Comment savoir si du code JavaScript est libre ? Dans un autre article, nous proposons une méthode qui permet à un programme JavaScript non trivial inclus dans une page web d'indiquer l'URL de son code source, ainsi que sa licence, en utilisant des commentaires stylisés.

Enfin, nous devons modifier les navigateurs pour qu'ils détectent et bloquent le JavaScript non trivial et non libre dans les pages web. Le programme LibreJS [en] détecte le JavaScript non libre et non trivial dans les pages que vous visitez, et le bloque. LibreJS est intégré à IceCat et IceWeasel et peut être ajouté à Firefox en tant que module complémentaire.

Les utilisateurs de navigateurs ont aussi besoin d'une fonctionnalité facile d'emploi, indiquant le code JavaScript à substituer au JavaScript d'une page donnée (le code spécifié pourrait être un remplacement total, ou une version modifiée du programme JavaScript libre de cette page). Greasemonkey arrive presque à le faire, mais pas tout à fait, car il ne garantit pas de modifier le code JavaScript d'une page avant que le programme ne commence à s'exécuter. On peut utiliser un proxy local, mais c'est trop malcommode actuellement pour constituer une réelle solution. Nous avons besoin de construire une solution fiable et pratique, ainsi que des sites pour partager les modifications. Le projet GNU voudrait recommander les sites dédiés exclusivement aux modifications libres.

Ces fonctionnalités rendront possible pour un programme JavaScript inclus dans une page web d'être réellement libre. JavaScript ne sera plus un obstacle particulier à notre liberté – pas plus que C et Java ne le sont maintenant. Nous serons en mesure de rejeter et même de remplacer les programmes JavaScript non triviaux et non libres, tout comme nous avons rejeté et remplacé les paquets non libres pour les installations classiques. Notre campagne pour libérer le code JavaScript des sites web pourra alors commencer.

Entre-temps, il existe un cas où il est acceptable d'exécuter un programme JavaScript non libre : l'envoi d'une réclamation aux opérateurs du site web leur demandant de libérer le code JavaScript de leur site, ou bien de l'éliminer. N'hésitez pas à activer JavaScript temporairement pour faire ça – mais n'oubliez pas de le désactiver après coup.

À l'attention des webmestres : il y a plusieurs moyens d'indiquer la licence des programmes JavaScript présents sur un site web.

Remerciements: Je remercie Matt Lee et John Resig pour leur aide dans la définition de notre proposition de critère, et David Parunakian pour avoir porté ce problème à mon attention.


Notes de traduction
  1.  également appelés « logiciels propriétaires ».

HAUT DE LA PAGE


[logo de la FSF]« Notre mission est de préserver, protéger et promouvoir la liberté d'utiliser, étudier, copier, modifier et redistribuer les programmes informatiques, et de défendre les droits des utilisateurs de logiciel libre. »

La Fondation pour le logiciel libre (FSF) est le principal sponsor institutionnel du système d'exploitation GNU. Soutenez GNU et la FSF en achetant des manuels et autres, en adhérant à la FSF en tant que membre associé, ou en faisant un don, soit directement à la FSF, soit via Flattr.