[Traduit de l'anglais]

Un utilisateur averti évalue soigneusement les différents usages d'Internet

Des entreprises offrent aujourd'hui aux usagers de l'informatique des opportunités attrayantes de laisser des tiers stocker leurs données et effectuer leurs tâches informatiques. Autrement dit, de jeter aux orties la prudence et la responsabilité.

Ces entreprises et leurs agences de comm. se plaisent à appeler ces pratiques « informatique en nuage » [cloud computing]. De plus elles appliquent le même terme à des usages bien différents, comme louer un serveur dédié, ce qui donne à ce terme un sens si large et indéfini qu'on ne peut rien lui faire dire de significatif. S'il a la moindre signification, elle ne peut que renvoyer à une attitude particulière face à l'informatique : l'attitude qui consiste à ne pas réfléchir sérieusement aux risques et aux implications d'une solution donnée. Peut-être que le nuage dont elles parlent est destiné à prendre forme dans l'esprit des utilisateurs.

Pour clarifier un peu ce nuage, cet article examine différents produits et services qui impliquent des usages très différents (s'il vous plaît, ne les interprétez pas comme de l'informatique en nuage), et les problèmes particuliers qu'ils posent.

Classons d'abord les types de problèmes qu'un usage peut poser. De façon générale deux problèmes majeurs sont à considérer. L'un d'eux est la délégation du traitement de vos données, et l'autre est le contrôle de votre activité informatique.

Le traitement de vos données peut donner lieu à plusieurs problèmes : un service virtuel peut perdre vos données, les altérer, les montrer à quelqu'un d'autre sans votre consentement, ou vous rendre difficile la récupération des données. Tous ces problèmes sont facilement compréhensibles ; leur importance dépend du type de données dont il s'agit.

Gardez à l'esprit qu'une société américaine (ou l'une de ses succursales) a légalement l'obligation de transmettre, sur demande du FBI et sans ordonnance d'un tribunal, à peu près toutes les données qu'elle possède sur un utilisateur. C'est un des effets du USA PATRIOT Act dont le nom, beau spécimen de langue de bois, est aussi orwellien que le contenu. Nous savons que malgré la légèreté des obligations que cette loi impose au FBI, ce dernier les viole de façon systématique. Le sénateur Wyden a dit que s'il pouvait révéler publiquement quelles entorses le FBI fait à cette loi, le grand public serait en colère. Les organisations européennes pourraient violer les lois de leurs nations sur la protection des données en les confiant à ces sociétés.

L'autre catégorie de problèmes est le contrôle de votre activité informatique. Les utilisateurs méritent d'avoir ce contrôle. Malheureusement, la plupart d'entre eux l'ont déjà abandonné avec l'utilisation de logiciels privateurs1 (non libres).

Avec le logiciel il existe deux possibilités : soit l'utilisateur contrôle le programme, soit c'est le programme qui contrôle l'utilisateur. Dans le premier cas, nous l'appelons « logiciel libre » [free software],2 libre comme l'air, parce que si les utilisateurs possèdent certaines libertés essentielles, ils ont le contrôle effectif du logiciel. Nous l'appelons aussi free/libre pour souligner qu'il s'agit de liberté, non de prix. Dans le second cas, c'est un logiciel privateur. Windows et MacOS sont privateurs, de même qu'iOS, le logiciel de l'iPhone. Un système d'exploitation comme ceux-là contrôle ses utilisateurs, et une entreprise contrôle le système.

Quand une grande société a un tel pouvoir sur les utilisateurs il y a des chances qu'elle en abuse. Il n'est donc pas surprenant que Windows et iOS soient connus pour leurs fonctionnalités destinées à espionner et restreindre l'utilisateur, et pour leurs « portes dérobées » [backdoors]. Quand les utilisateurs parlent d'« évasion » [jailbreaking] à propos de l'iPhone, ils reconnaissent que ce produit est aliénant.

Quand un service fait une tâche informatique pour l'utilisateur, celui-ci perd le contrôle de cette tâche. Nous appelons cette pratique SaaS, ou « logiciel en tant que service ». Cela équivaut à utiliser un programme privateur avec une fonctionnalité espionne et une porte dérobée. C'est à éviter catégoriquement.

Maintenant que nous avons classé les problèmes potentiels, examinons la manière dont ils se posent avec plusieurs produits et services.

Considérons d'abord iCloud, un service d'Apple en préparation, dont les fonctionnalités (selon des renseignements préliminaires) permettront aux utilisateurs de copier de l'information sur un serveur et d'y accéder ultérieurement de n'importe où (ou de laisser d'autres utilisateurs y accéder). Ce n'est pas du logiciel en tant que service car cela ne fait aucune tâche informatique pour l'utilisateur, donc ce dernier problème ne se pose pas.

Comment iCloud traitera-t-il les données des utilisateurs ? À l'heure où j'écris, nous ne savons pas, mais nous pouvons spéculer à partir de ce que font les autres services. Apple aura probablement accès à ces données, que ce soit pour ses propres objectifs ou pour les objectifs de tiers. Si c'est le cas, la justice pourra y accéder par une « injonction de produire des documents » [subpoena] adressée à Apple (pas à l'utilisateur). Le FBI pourrait y accéder sans injonction. Les industriels du cinéma et du disque, ou leurs usines à procès, pourraient aussi y accéder. Le seul moyen d'éviter cela serait de chiffrer les données sur la machine de l'utilisateur avant envoi des données, puis de les déchiffrer après récupération, toujours sur la machine de l'utilisateur.

Dans le cas spécifique de l'iCloud, tous les utilisateurs feront tourner un logiciel d'Apple, ainsi de toute façon Apple aura un contrôle total sur leurs données. Une fonctionnalité espionne a été découverte dans les logiciels de l'iPhone et de l'iPad début 2011, amenant les gens à parler de spyPhone (téléphone espion). Apple pourrait ajouter une nouvelle fonctionnalité espionne dans la prochaine « mise à jour » et serait seule à le savoir. Si vous êtes assez stupide pour utiliser un iPhone ou un iPad, il se peut que l'iCloud ne rende pas les choses pires qu'elles ne le sont déjà, mais ce n'est pas une raison pour le recommander.

Maintenant considérons le cas d'Amazon EC2, un service avec lequel le client loue un ordinateur virtuel (hébergé sur un serveur dans un centre de données d'Amazon) qui fait tout ce que le client a programmé.

Ces ordinateurs tournent sous le système d'exploitation GNU/Linux, et l'utilisateur du service peut choisir tous les programmes installés, sauf Linux, le composant de plus bas niveau (ou « noyau ») du système. Les clients du service ont l'obligation de choisir l'une des versions de Linux proposées par Amazon ; ils ne peuvent pas faire et utiliser les leurs. Mais ils peuvent remplacer le reste du système. Ainsi, ils ont à peu près autant de contrôle sur leur activité informatique qu'ils en auraient avec leur propre machine, mais pas tout à fait.

EC2 a quelques inconvénients. D'abord, puisque les utilisateurs ne peuvent pas installer leurs propres versions du noyau Linux, il est possible qu'Amazon ait mis quelque chose de malfaisant, ou simplement peu pratique, dans les versions qu'elle propose. Mais cela peut ne pas vraiment poser problème, étant donné les autres défauts. L'un d'eux est le contrôle ultime de l'ordinateur et de ses données par Amazon. L'État peut obtenir toutes ces données d'Amazon au moyen d'une injonction. Si vous les aviez chez vous ou à votre bureau, c'est à vous que l'injonction devrait être adressée, et vous auriez une possibilité de la contester devant le tribunal. Amazon n'a peut-être pas envie de la contester en votre nom.

Amazon pose des conditions à ce que vous pouvez faire avec ces serveurs et peut interrompre le service si elle interprète vos actions comme étant en conflit avec elles. Amazon n'a pas besoin de prouver quoi que ce soit, et donc en pratique peut vous mettre hors ligne si elle vous considère comme une source d'ennuis. Comme Wikileaks l'a découvert, le client n'a aucun recours si Amazon prend des libertés avec les faits pour prendre une décision contestable.

Regardons maintenant le cas de Google ChromeOS, une variante de GNU/Linux encore en développement. D'après les propos initiaux de Google, ce devrait être un logiciel libre, du moins le système de base, bien que l'expérience d'Android suggère qu'il puisse inclure aussi des programmes non libres.

La caractéristique de ce système, son objectif initial, était de refuser à ses utilisateurs deux fonctionnalités essentielles que GNU/Linux et les autres systèmes procurent normalement : stocker les données localement et faire tourner les applications en local. Au lieu de cela, ChromeOS serait conçu pour obliger les utilisateurs à sauvegarder leurs données sur des serveurs (normalement des serveurs Google, je présume) et aussi à laisser ces serveurs faire leurs tâches informatiques. Cela pose immédiatement les deux types de problèmes sous leur forme la plus aiguë. ChromeOs, tel qu'il a été envisagé, ne pourrait devenir acceptable pour les utilisateurs que s'ils installaient une version modifiée du système restaurant les fonctionnalités de stockage et applicatives locales.

Plus récemment j'ai appris que Google avait reconsidéré cette décision et pourrait réincorporer ces fonctionnalités locales. Si c'est le cas, ChromeOs pourrait bien devenir quelque chose que les gens peuvent utiliser en toute liberté – s'il évite des quantités d'autres problèmes que nous observons aujourd'hui avec Android.

Comme ces exemples le montrent, chaque usage soulève son lot de problèmes, et doit être apprécié d'après ses caractéristiques propres. Des déclarations vagues, comme le sont toutes celles qui se servent du terme « informatique en nuage », ne peuvent être que des obstacles à cette évaluation.


Notes de traduction
  1. Autre traduction de proprietary : propriétaire. 
  2. Le mot anglais free a deux significations : « libre » et « gratuit ». En français, « libre » n'a pas cette ambiguïté.