English [en]   العربية [ar]   español [es]   français [fr]   hrvatski [hr]   한국어 [ko]   polski [pl]   română [ro]   русский [ru]  

L'original de cette page est en anglais.

Qui ce serveur sert-il, franchement ?

par Richard Stallman

(Publié initialement par la Boston Review.)

Sur Internet, le logiciel privateur1 n'est pas la seule façon de perdre votre liberté. Le logiciel en tant que service est un autre moyen de donner à un tiers le pouvoir sur votre informatique.

Contexte : comment le logiciel privateur vous enlève votre liberté

La technologie numérique peut vous donner la liberté ; elle peut aussi vous la prendre. Le contrôle que nous avons de notre informatique a d'abord été menacé par le logiciel privateur : logiciel sur lequel les utilisateurs n'ont pas la main parce que le propriétaire (une société, comme Apple ou Microsoft) le contrôle. Les propriétaires se servent souvent de ce pouvoir injuste en insérant des fonctionnalités malveillantes comme les logiciels espions, les portes dérobées [backdoors], et les dispositifs de « gestion numérique des restrictions », ou DRM, qu'ils nomment « gestion numérique des droits »2 dans leur propagande.

Notre solution à ce problème est de développer le logiciel libre et de rejeter le logiciel privateur. « Logiciel libre » signifie que vous, en tant qu'utilisateur, avez quatre libertés essentielles : (0) exécuter le programme comme vous le souhaitez, (1) étudier et changer le code source comme vous le souhaitez, (2) redistribuer des copies exactes, et (3) redistribuer des copies de vos versions modifiées (voir la définition du logiciel libre).

Avec le logiciel libre, nous, les utilisateurs, récupérons le contrôle de notre informatique. Les logiciels privateurs continueront d'exister, mais nous pouvons les exclure de nos vies et beaucoup d'entre nous l'ont déjà fait. Cependant, le contrôle que nous avons de notre informatique est actuellement la cible d'une nouvelle menace : le logiciel en tant que service. Pour notre liberté, nous devons le rejeter également.

Comment le logiciel en tant que service vous enlève votre liberté

« Logiciel en tant que service » (SaaS) signifie que quelqu'un met en place sur le réseau un serveur qui exécute certaines tâches informatiques, comme du calcul sur tableur, du traitement de texte, de la traduction de texte en une autre langue, etc. Il invite ensuite les utilisateurs à effectuer leurs tâches sur ce serveur. Les utilisateurs envoient leurs données au serveur, lequel traite les données qu'ils ont fournies, puis renvoie les résultats ou les utilise directement.

Ces serveurs arrachent le contrôle des mains des utilisateurs encore plus inexorablement que le logiciel privateur. Avec le logiciel privateur, les utilisateurs ont généralement un fichier exécutable mais pas le code source. Cela rend difficile pour les programmeurs d'étudier le code qui est exécuté, donc c'est difficile de déterminer ce que fait vraiment le programme et de le modifier.

Avec le SaaS, les utilisateurs n'ont même pas de fichier exécutable : celui-ci est sur le serveur, où les utilisateurs ne peuvent le voir ni le toucher. C'est donc impossible pour eux de vérifier ce qu'il fait vraiment, et impossible de le modifier.

De plus, le SaaS, entraîne automatiquement des conséquences nocives équivalentes aux fonctionnalités malveillantes de certains logiciels privateurs. Par exemple, certains programmes privateurs sont des « logiciels espions » [spyware] : le programme envoie des données concernant les activités informatiques des utilisateurs. Microsoft Windows envoie à Microsoft des informations concernant les activités des utilisateurs. Windows Media Player et RealPlayer signalent ce que chaque utilisateur visionne ou écoute.

Contrairement aux logiciels privateurs, le SaaS n'a pas besoin de code caché pour obtenir les données de l'utilisateur. Comme ce dernier est obligé d'envoyer ses données au serveur pour pouvoir l'utiliser, l'effet est le même qu'avec un logiciel espion : l'opérateur du serveur obtient les données. Il les obtient sans aucun effort, de par la nature du SaaS.

Certains programmes privateurs peuvent nuire aux utilisateurs sur commande à distance. Par exemple, Windows a une porte dérobée avec laquelle Microsoft peut modifier de force n'importe quel logiciel sur la machine. La liseuse Kindle d'Amazon (dont le nom suggère que c'est pour brûler les livres des gens)3 a une porte dérobée orwellienne qu'Amazon a utilisée en 2009 pour effacer à distance les copies pour Kindle des livres d'Orwell, 1984 et Animal Farm, que les utilisateurs avaient achetées chez Amazon.

Le SaaS donne intrinsèquement aux opérateurs du serveur le pouvoir de changer le logiciel utilisé, ou les données de l'utilisateur sur lesquelles le serveur opère. Une fois de plus, aucun code spécial n'est nécessaire pour faire cela.

Ainsi, le SaaS est l'équivalent d'un logiciel espion intégral et d'une porte dérobée grande ouverte, et donne aux opérateurs du serveur un pouvoir injuste sur l'utilisateur. Nous ne pouvons accepter cela.

Démêler le problème du SaaS du problème du logiciel privateur

Le SaaS et le logiciel privateur conduisent à des résultats nocifs similaires mais les mécanismes utilisés sont différents : avec le logiciel privateur, vous possédez et utilisez une copie qu'il est difficile ou illégal de modifier ; avec le SaaS, vous utilisez une copie que vous ne possédez pas.

On confond souvent ces deux problèmes, et pas seulement par accident. Les développeurs web utilisent le terme ambigu d'« application web » pour réunir en un tout le logiciel côté serveur et les programmes s'exécutant sur votre machine dans votre navigateur. Certaines pages web installent temporairement dans votre navigateur des programmes JavaScript non triviaux ou même de taille imposante sans vous en informer. Quand ces programmes Javascript ne sont pas libres, ils sont aussi nocifs que n'importe quel autre logiciel non libre. Ici, cependant, nous nous occupons du problème posé par le logiciel serveur lui-même.

De nombreux défenseurs du logiciel libre supposent que le problème du SaaS sera résolu en développant des logiciels serveurs libres. Dans l'intérêt de l'opérateur du serveur, les programmes qui tournent dessus devraient être libres ; s'ils sont privateurs, leurs propriétaires ont pouvoir sur le serveur. C'est déloyal pour l'opérateur, et ne vous est d'aucune aide. Mais si les programmes du serveur sont libres, ça ne vous protège pas en tant qu'utilisateur contre les effets du SaaS. Ils donnent la liberté à l'opérateur, mais pas à vous.

Libérer le code source du logiciel côté serveur profite à la communauté : les utilisateurs ayant les compétences nécessaires peuvent mettre en place des serveurs similaires, peut-être en modifiant le logiciel. Mais aucun de ces serveurs ne vous donnerait le contrôle de l'informatiques que vous effectuez dessus, à moins que ce ne soit votre serveur. Les autres seraient tous du SaaS. Le SaaS vous soumet toujours au pouvoir de l'opérateur du serveur, et le seul remède est de ne pas utiliser le SaaS ! Ne pas utiliser le serveur de quelqu'un d'autre pour effectuer votre propre informatique sur des données que vous fournissez.

Faire la distinction entre le SaaS et les autres services en ligne

Éviter le SaaS signifie-t-il pour vous refuser d'utiliser tout serveur réseau géré par quelqu'un d'autre que vous ? Pas du tout. La plupart des serveurs ne posent pas ce genre de problème, car le travail que vous faites avec eux n'est pas votre propre informatique sauf dans un sens trivial.

L'objectif original des serveurs web n'était pas d'exécuter des programmes pour vous, c'était de publier des données pour que vous y accédiez. Même aujourd'hui c'est ce que font la majorité des sites web, et ça ne pose pas le problème du SaaS, parce qu'accéder aux informations publiées par quelqu'un n'a rien à voir avec votre propre informatique. Publier votre propre contenu par l'intermédiaire d'un blog ou d'un service de microblogging comme Twitter ou identi.ca, non plus. Il en va de même pour les communications qui ne sont pas destinées à être privées, comme les groupes de discussion. Les réseaux sociaux peuvent se rapprocher du SaaS ; toutefois, à la base, c'est juste une méthode de communication et de publication, pas du SaaS. Si vous utilisez le service pour une édition mineure de ce que vous êtes sur le point de communiquer, cela ne pose pas de problème significatif.

Des services comme les moteurs de recherche collectent des données provenant de tout le web et vous laissent les examiner. Regarder dans leur collection de données n'est pas votre propre informatique dans le sens usuel – vous ne fournissez pas cette collection – donc utiliser un tel service pour rechercher sur le web n'est pas du SaaS. (Cependant, utiliser le moteur de recherche de quelqu'un d'autre pour implémenter une fonction de recherche sur votre propre site est du SaaS.)

L'e-commerce n'est pas du SaaS, car la tâche informatique n'est pas uniquement la vôtre ; elle est au contraire effectuée conjointement pour vous et une autre partie. Donc il n'y a pas de raison particulière pour que vous vous attendiez à contrôler seul cette tâche. Le vrai problème dans l'e-commerce est la confiance que vous accordez à l'autre partie, en ce qui concerne votre argent et vos informations personnelles.

Utiliser les serveurs d'un projet commun n'est pas du SaaS car la tâche informatique que vous effectuez de cette manière ne vous appartient pas personnellement. Par exemple, si vous éditez des pages sur Wikipédia, vous ne faites pas votre propre informatique, vous collaborez aux tâches informatiques de Wikipédia.

Wikipédia contrôle ses propres serveurs, mais les groupes peuvent rencontrer le problème du SaaS s'ils font leurs activités de groupe sur le serveur de quelqu'un d'autre. Heureusement, les sites d'hébergement de projets de développement comme Savannah et SourceForge ne posent pas le problème du SaaS, puisque ce que font les groupes sur ces serveur est essentiellement de la publication et de la communication au public, plutôt que leurs propres tâches informatiques privées.

Un jeu multi-joueurs est une activité de groupe effectuée sur le serveur de quelqu'un d'autre, ce qui en fait un SaaS. Mais quand les seules données concernées sont l'état du jeu et le score, la pire tort que vous puissiez subir de la part de l'opérateur est le favoritisme. Vous pouvez très bien ignorer ce risque, car il est peu probable et n'est que de peu de conséquence. Par contre, quand le jeu devient plus qu'un jeu, le problème n'est plus le même.

« L'infrastructure en tant que service » (Backend as a Service, ou BaaS) est une sorte de SaaS parce que cela consiste à faire tourner votre propre service web sur un logiciel que vous ne pouvez pas contrôler. Si vous installez un service sur une plateforme BaaS, cette dernière peut très bien récolter des informations sur vos utilisateurs aussi bien que sur vous.

Quels services en ligne peut-on qualifier de SaaS ? Google Docs en est un exemple évident. Son activité de base est l'édition, et Google encourage les gens à utiliser ce service pour leurs propres éditions ; c'est ça le SaaS. Il offre la caractéristique supplémentaire d'être collaboratif, mais l'ajout de participants n'altère pas le fait qu'éditer sur le serveur est du SaaS (de plus, Google Docs est inacceptable car il installe un important programme JavaScript non libre dans le navigateur de l'utilisateur). Si utiliser un service pour communiquer ou collaborer requiert d'y faire également une part considérable de votre propre informatique, il s'agit de SaaS même si la communication, elle, n'en est pas.

Certains sites offrent plusieurs services, et si l'un d'eux n'est pas du SaaS, un autre peut en être. Par exemple, le principal service de Facebook est d'être un réseau social, et ce n'est pas du SaaS ; toutefois, il gère des applications tierces, certaines pouvant être du SaaS. Le principal service de Flickr est de distribuer des photos, ce qui n'est pas du SaaS, mais il a aussi des fonctionnalités d'édition de photos, ce qui est du SaaS.

Certains sites dont le principal service est la publication et la communication l'étendent avec « la gestion des contacts » : garder une trace des gens avec qui vous avez des relations. Envoyer un courriel à ces personnes de votre part n'est pas du SaaS, mais garder une trace de vos agissements avec eux, si elle est substantielle, est du SaaS.

Si un service n'est pas du SaaS, ça ne signifie pas que c'est OK. Il y a d'autres choses nocives que peut faire un service. Par exemple, Facebook distribue des vidéo en Flash, ce qui pousse les utilisateurs à exécuter des logiciels non libres ; de plus il donne aux utilisateurs l'impression trompeuse que leur vie privée est respectée. Ce sont aussi des problèmes importants, mais le sujet de cet article est le problème du SaaS.

L'industrie informatique détourne l'attention des utilisateurs de ces distinctions. C'est pour ça que l'« informatique en nuage » [cloud computing] est à la mode. Ce terme est si nébuleux qu'il peut désigner quasiment toutes les utilisations d'Internet. Cela inclut le SaaS et cela inclut presque tout le reste. Ce terme ne se prête qu'à des déclarations générales et sans intérêt.

La vraie signification d'« informatique en nuage » est de vous suggérer une approche je-m'en-foutiste de votre informatique. Elle dit : « Ne posez pas de questions, faites juste confiance sans hésitation à chaque entreprise. Ne vous souciez pas de savoir qui contrôle votre informatique ou détient vos données. Ne vérifiez pas la présence d'un hameçon caché dans notre service avant de l'avaler.»  Dit autrement : « Pensez comme une poire. » Je préfère me tenir à l'écart de ce genre de contrat.

Traiter le problème du SaaS

Seule une petite partie de tous les sites web font du SaaS ; la plupart ne posent pas ce problème. Mais que sommes-nous censés faire à propos de ceux qui le posent ?

Pour le cas simple où vous travaillez sur des données que vous possédez personnellement, la solution est évidente : utilisez votre propre copie d'une application logicielle libre. Écrivez vos textes avec votre copie d'un éditeur de texte libre comme GNU Emacs ou d'un logiciel de traitement de texte libre. Retouchez vos photos avec votre copie d'un logiciel libre comme GIMP.

Mais qu'en est-il de la collaboration avec d'autres personnes ? Cela risque d'être difficile à l'heure actuelle sans utiliser un serveur. Si vous en utilisez un, ne faites pas confiance à un serveur mis en œuvre par une société. Un simple contrat en tant que client n'est pas une protection à moins que vous ne puissiez détecter une infraction et effectivement poursuivre devant les tribunaux ; la société a probablement écrit son contrat pour permettre un large éventail d'abus. La police peut assigner la société pour obtenir vos données avec une justification plus fragile que pour vous assigner vous, en admettant que la société ne les donne pas volontairement, comme les opérateurs téléphoniques américains qui ont illégalement mis sur écoute leurs clients pour Bush. Si vous devez utiliser un serveur, utilisez-en un dont les opérateurs vous donnent une bonne raison de leur faire confiance, au-delà de la simple relation commerciale.

Cependant, à plus longue échéance, nous pouvons créer des alternatives à l'utilisation de serveurs. Par exemple, nous pouvons créer un programme pair-à-pair à travers lequel les collaborateurs pourront partager des données chiffrées. La communauté du logiciel libre doit développer des alternatives aux « applications web » importantes, fonctionnant sur un modèle pair-à-pair distribué. Il pourrait être judicieux de les publier sous la licence publique générale GNU Affero, car elles sont candidates à être transformées en programmes serveurs par quelqu'un d'autre. Le projet GNU recherche des bénévoles pour travailler sur ces programmes alternatifs. Nous invitons également les autres projets libres à prendre en compte cette question dans la conception de leurs logiciels.

En attendant, si une société vous invite à utiliser ses serveurs pour exécuter vos propres tâches informatiques, ne cédez pas ; n'utilisez pas le SaaS. N'achetez pas et n'installez pas de « clients légers », qui sont simplement des ordinateurs si peu puissants qu'ils vous font faire le vrai travail sur un serveur, à moins que ce ne soit pour les utiliser avec votre serveur. Utilisez un véritable ordinateur et gardez vos données dessus. Faites votre travail avec votre propre copie d'un programme libre, par souci de votre liberté.

Voir également :

Le bogue que personne n'est autorisé à comprendre.

Notes de traduction
  1. Autre traduction de proprietary : propriétaire. 
  2. Digital Rights Management
  3. Le verbe to kindle signifie « allumer un feu » et kindle veut dire « bois d'allumage ». 

La Free Software Foundation est le principal sponsor institutionnel du système d'exploitation GNU. Notre mission est de préserver, protéger et promouvoir la liberté d'utiliser, d'étudier, de copier, de modifier et de redistribuer les programmes informatiques, et de défendre les droits des utilisateurs de logiciels libres. Soutenez GNU et la FSF en achetant des manuels et autres objets, en adhérant à la FSF en tant que membre associé ou en faisant un don, soit directement à la FSF, soit via Flattr.

Haut de la page