Le logiciel libre : ce Saint Graal qui pourrait bien nous être fatal

Franck DeCloquement est Expert en intelligence stratégique, Membre du CEPS et de la CyberTaskForce. Il est également enseignant à l'IRIS et à l'IHEDN. Aurélie Luttrin est Fondatrice de Eokosmo et Frans Imbert-Vier CEO de UBCOM.

---

Le logiciel libre est devenu, depuis quelques mois, la nouvelle coqueluche, le nouveau fer-de-lance de la souveraineté numérique. Pourtant, il fut longtemps tenu pour un "cancer qui s’attache à tout ce qu’il touche au sens de la propriété intellectuelle" [1], comme l’affirma il y a deux décennies déjà, l’ancien PDG de Microsoft Steve Ballmer.

Entre-temps, le ton a changé et, depuis dix ans, le logiciel libre est considéré comme un eldorado par les États, les collectivités, mais aussi les géants de la Tech américaine et chinoise, qui ont tous des velléités à le conquérir coûte que coûte. Pour preuve, la multiplication des acquisitions allant en ce sens et qui s’égrènent dans les médias mainstream de la planète cyber.

C’est ainsi, par exemple, que le géant Microsoft a fait main basse sur Github (plateforme d’hébergement et de gestion de développement pour les logiciels libres), IBM sur RedHat (premier éditeur mondial de solutions logicielles open source), Google (Alphabet) sur la Fondation Mozilla et son navigateur emblématique Firefox en étant son principal contributeur financier. Enfin Alibaba, Baidu, Huawei sont sur Gitee, créée par Open Source China (site de forge logicielle utilisant le logiciel libre Git).  

Parallèlement, certaines collectivités s’engagent depuis quelques mois à mettre sur Github (Microsoft) leurs codes sources. Elles militent pour la mutualisation de ces derniers afin de générer rapidement des économies d’échelle, nourrissant ainsi l’ambition de créer une véritable communauté contributrice au service de l’intérêt général... L’État français, lui-même, s’est très vite entiché du logiciel libre après avoir allègrement transféré — directement ou indirectement — les données de tous ses concitoyens (mais également celles des nombreuses entreprises et administrations françaises) aux firmes géantes de la Tech américaine. Les exemples ne manquent pas tels la BPI (Banque Public d’Investissements) et le Ministère de l’Éducation Nationale, tous deux engagés avec Amazon Web Service, mais aussi le Health Data Hub engagé avec Microsoft Azure, les centrales du renseignement français avec la sulfureuse Palantir Technology, la SNCF avec Microsoft ou encore le consortium Airbus avec Google. Tout cela, après avoir savamment recommandé — via le catalogue de la Direction interministérielle du numérique — des solutions dédiées comme Google Worksplace ou Foundry de Palantir. Enfin, la ministre de la Transformation et de la Fonction publiques, Amélie de Montchalin, a affirmé, dans une déclaration du 10 novembre 2021, que le recours aux logiciels libres dans l’administration faisait partie du plan d’action de l’État en matière de construction de la souveraineté numérique...

Y aurait-il eu un revirement soudain de l’exécutif, consécutif à sa nouvelle quête éperdue dans la perspective de l’élection présidentielle : celle de l’autonomie stratégique pour la France ? Une notion ayant indubitablement bonne presse chez les électeurs, tous bords confondus. Nous serions tous naturellement séduits par ce demi-tour stratégique, si la réalité de cette affaire n’était pas plus ambiguë, naturellement plus prosaïque dans les allées du pouvoir et surtout, beaucoup plus cyniques.

Le logiciel libre : une fable mystique digne des meilleurs contes de fées ?

Mais revenons quelques minutes à nos moutons : de quoi parle-t-on, au juste, lorsque l’on évoque l’idée même d’un "logiciel libre"  ? Comme nous le rappelle Sébastien Broca dans le "Monde Diplomatique" [2], "jusqu’à la fin des années 1970, les programmes informatiques n’avaient pas de valeur marchande : souvent écrits de manière coopérative par les fabricants de matériel et les utilisateurs, ils pouvaient être librement échangés. Au début des années 1980, la diffusion massive du micro-ordinateur change la donne. Elle favorise la création d’une industrie du logiciel, ce qui bouleverse la culture des informaticiens, historiquement fondée sur les normes de la recherche scientifique. Nombre de développeurs quittent alors les universités pour intégrer les entreprises nouvellement créées. Ils acceptent que leur travail soit soumis à des clauses de confidentialité et serve à mettre au point des logiciels "propriétaires" (ceux de Microsoft, par exemple), vendus avec des conditions d’utilisation restrictives.

C’est pour lutter contre cette évolution que Richard Stallman, alors informaticien au Massachusetts Institute of Technology (MIT), crée en 1984 le mouvement du logiciel libre. Il définit par ce terme des programmes dont le code source — les instructions qui déterminent l’exécution des tâches — est disponible et que l’on peut utiliser, copier, modifier et redistribuer. À ses yeux, ceux-ci permettent de défendre la collaboration entre développeurs, la circulation de l’information et la possibilité pour les utilisateurs de maîtriser leurs outils. Aussi le mouvement du logiciel libre se déploie-t-il dès l’origine selon deux axes : d’une part, il produit des programmes susceptibles de remplacer les logiciels propriétaires  ; de l’autre, il porte un discours militant, articulé autour des idées de liberté de l’utilisateur et d’ouverture du savoir."

En France, cette idée d’un "logiciel libre" a fort logiquement été reprise par les mouvements intellectuels de gauche, qui virent dans ce concept "une négation pratique des rapports sociaux capitalistes". L’objectif avoué des promoteurs de cette idée : assurer la liberté de tous les utilisateurs à travers une communauté altruiste de développeurs, mus par la recherche du bien commun et la quête de l’intérêt général. Une communauté qui s’autorégulerait en somme naturellement, sans risque de contamination par des actions malveillantes, grâce aux contrôles réciproques bienveillants qu’exerceraient ses membres. Un objectif parfaitement louable sur le papier, mais fondé sur une vision idyllique de notre humanité.

Un concept hors-sol pour un monde en guerre

Un élément de taille est laissé de côté : celui du "Grand jeu" des nations et des luttes géopolitiques fratricides entre belligérants, qui se jouent à l’échelle de la planète pour la maîtrise absolue des ressources stratégiques dont les données font partie. Dans ce contexte délétère, faire le pari d’un État stratège qui s’appuierait, pour protéger le bien commun, sur une communauté de développeurs altruistes et œuvrant au profit de la Collectivité est un vœu pieux... Ce monde n’existe pas et n’existera sans doute jamais en l’état, compte tenu de la réalité conflictuelle des relations internationales. Cette union des braves est une chimère. Les communautés humaines réelles sont hétéroclites et animées pour l’essentiel par des motivations moins chevaleresques et, bien souvent, aux antipodes de la quête de l’intérêt général [3].

Entre les cybercriminels, les développeurs en mal de reconnaissance (la dernière attaque en date, du 10 janvier dernier, a fait grand bruit puisqu’elle concernait le concepteur de deux librairies JavaScript hébergées sur Github qui a délibérément corrompu des morceaux de codes très utilisés à l’échelle mondiale [4]), les agences d’États et les entreprises étrangères, la communauté du libre est devenue un melting pot à haut risque.

Rappelons, à ce titre, que la plus grande plateforme de développement de logiciels libres appartient désormais à la firme américaine Microsoft. L’entreprise a l’obligation, de par la réglementation spéciale sur la sécurité nationale, de faire allégeance aux demandes expresses de Washington et du Pentagone. De même, l’État chinois a décidé, par une directive gouvernementale de 2019, de bannir tout matériel et logiciel étranger, et de contrer les Américains en investissant massivement dans le logiciel libre. C’est ainsi que Baidu (le Google Chinois leader de l’intelligence artificielle) a rejoint, en juillet 2020, le groupe de protection des logiciels libres et de Linux, l’Open Invention Network. La Chine met d’ailleurs toute sa puissance de feu disponible pour dominer la communauté du logiciel libre et servir ainsi fort logiquement ses propres intérêts.

La communauté du logiciel libre est une réadaptation du ‘Fight Club’ de David Fincher :  "la règle c’est qu’il n’y a plus de règle". Seul le plus fort gagne et rafle la mise — in fine — et asservit les autres membres de la troupe (parfois même à leur insu).

Nous sommes bien loin des aspirations originelles.

Qu’en est-il de la France ?

Peu de moyens financiers et humains dédiés, et une confiance aveugle dans une communauté de développeurs très largement fantasmée.

À ce titre, l’exemple des collectivités territoriales est frappant :

• un statut de la fonction publique obsolète qui soumet les rémunérations à des grilles hors marché quand il s’agit de cybersécurité et de développement de logiciels, et qui n’attire pas les jeunes (1 sur 10 est attiré par la fonction publique territoriale) [5] ;
• un recours au régime contractuel qui pèse bien peu face aux offres de CDI des grands groupes beaucoup plus agiles et rémunérateurs  ;
• dans certains cas, un management désuet qui ne correspond que trop peu aux aspirations des jeunes générations ;
  
• un sens de l’intérêt général bien difficile à solliciter et qui ne parvient pas à compenser les décrochages criants en matière de salaires et d’avantages acquis  ;
• des moyens humains et financiers insuffisants ne permettant pas aux territoires de surveiller 7 j/7 et 24 h/24 la communauté du logiciel libre ni de faire les développements ad hoc en cas de besoins spécifiques des citoyens pour pallier l’inaction de ladite communauté  ;
• des femmes et hommes politiques qui sont encore trop nombreux à ne pas maîtriser le concept et qui ne sont pas en capacité de valoriser une politique publique audible, pertinente en la matière.

Au bilan, ne travestissons pas nos propos ! Nous ne préconisons pas l’abandon du logiciel libre. Utiliser des fragments de programmes non sensibles en mode "logiciel libre" peut être bénéfique. Mais, en revanche, exploiter des codes sources libres dans des systèmes sensibles tels que la gestion de services de l’eau, du transport public, les opérateurs d’importance vitale ou les systèmes de traitements de données régaliennes dans les mains d’une communauté d’individus non identifiée, là, nous disons halte ! La communauté internationale et les puissances étrangères — amies ou ennemies — ne doivent aucunement disposer des accès à certains codes sources. Ne donnons pas les clés du royaume que sont nos entreprises privées, nos collectivités territoriales ou nos services d’État !

Pourquoi les fleurons du capitalisme américain investissent-ils autant dans le logiciel libre ? Ce n’est sûrement pas pour servir le bien commun. C’est surtout parce qu’aujourd’hui, le logiciel libre, tel qu’il est actuellement construit, est devenu la voie royale pour renforcer leur hégémonie capitalistique et asseoir leur influence mondiale. Nous obtenons ainsi le contraire de la philosophie originelle.

Telle une OPA de puissances étrangères sur les éléments stratégiques de notre indépendance technologique, nous subissons une nouvelle guerre du Cloud face à laquelle l’acteur politique reste dangereusement muet et ignorant.

Et ceux qui encouragent, aujourd’hui, des États, des collectivités et des entreprises à se ruer sur le logiciel libre et à en faire un principe exclusif sans s’assurer du bon dimensionnement des moyens humains et matériels, ni se soucier de la guerre mondiale des données que nous subissons, ouvrent grand la porte aux intérêts d’autres puissances que la nôtre.

Est-ce à dire que nous n’avons pas d’échappatoire possible ?  Entre le mode "propriétaire" et le tout "logiciel libre", il y a, heureusement, une troisième voie possible.

Du logiciel libre à l’indépendance technologique sécurisée

Les enjeux internationaux et les objectifs de sécurité nationale nous imposent de dépasser les dogmatismes et de nous recentrer sur des objectifs pragmatiques.

Que voulons-nous réellement pour nos entreprises et nos territoires ?

Assurément, une indépendance technologique doublée d’une sécurité optimale en les faisant notamment sortir de tout champ d’application de lois extraterritoriales mortifères pour leurs secrets industriels et leurs données sensibles.

Pour atteindre cette indépendance technologique sécurisée, la maîtrise du code source par l’État, la collectivité territoriale, l’entreprise apparaît comme la fondation de cette indépendance. Si nous n’avons pas les clés de notre propre "forteresse", il nous sera difficile de la gérer. Mais ce code source n’est pas figé dans le marbre, il doit être sans cesse contrôlé, amélioré, modifié au gré des besoins, à charge pour les détenteurs des codes sources, de créer la communauté d’experts qui assurera la maintenance et fera évoluer le code au gré des besoins. Cette communauté pourra être ouverte si cela ne concerne aucun domaine sensible. Dans le cas contraire, cette communauté devra être fermée avec des experts internes et externes, assermentés et qualifiés par un apport académique nationale pour pallier le manque d’effectifs. Elle devra également être strictement circonscrite à l’entité considérée. Sur le plan sécuritaire, cela doit être conditionné par une Security by Design, c’est-à-dire une évaluation continue de la résilience du code et son aptitude à répondre à un critère de sécurité élevé et constamment vérifié.

Une fois la clé récupérée, la forteresse doit avoir des remparts solides pour éviter toute intrusion. C’est pourquoi la détention du code source ne suffit pas. Il faut, dans le même temps, mener une stratégie de cyber sûreté comprenant à la fois la sécurisation des systèmes d’information, des données, mais également des personnes, le point d’entrée privilégié des attaquants étant l’humain et ses failles psychologiques.

Enfin, une politique "achats" et contractuelle conforme à la stratégie susvisée permettra d’avoir une fondation solide sur laquelle nous pourrons développer tous les outils au service de la performance économique, sociale et servicielle. Ceci implique une réforme profonde du code des marchés publics, mais aussi des accords internationaux de l’OMC et de l’OCDE pour que chaque État puisse, en pleine autonomie, privilégier un acteur souverain et continental sans se voir systématiquement attaqué par les acteurs extracontinentaux.

Cette indépendance technologique sécurisée apparaît comme le chantier prioritaire que nous devons construire et écrire. Nous n’en sommes qu’à la première page.

Une chose est certaine, en l’état, il ne peut y avoir, aujourd’hui, de souveraineté numérique avec une communauté du logiciel libre dominée par les Américains et les Chinois. Ne commettons pas les mêmes erreurs qu’avec la stratégie cloud !

Avec la construction de l’indépendance technologique sécurisée, nous avons une formidable opportunité d’écrire une nouvelle page de l’Histoire qui nous permettra de ressortir vainqueur de cette guerre mondiale et d’asseoir, dans le même temps, les bases de notre démocratie, de notre libre arbitre et de notre puissance économique.

Franck DeCloquement, Aurélie Luttrin et Frans Imbert-Vier 

---

[1] Steve Ballmer, 2001, ancien PDG de Microsoft.

[2] "L’étrange destin du logiciel libre", Sébastien Broca, Le Monde Diplomatique, juillet 2014.

[3] "Le pillage de la communauté des logiciels libres", Laure Muselli, Mathieu O’Neil, Fred Pailler & Stefano Zacchiroli, Le Monde Diplomatique, janvier 2022.

[4] "Des logiciels libres très répandus sur Internet volontairement sabotés par leur créateur", Le Monde, 10 janvier 2022.

[5] "L’attractivité de la fonction publique territoriale : un défi majeur pour le service public local", Contribution de France urbaine aux travaux de la mission ministérielle relative à l’attractivité de la fonction publique territoriale (FPT), 14 décembre 2021.