CERCLL

CercLL d'Entraide et Réseau Coopératif Autour des Logiciels Libres

  • Languages Disponibles

  • Priorité au Logiciel Libre

  • L’ Agenda du Libre région PACA

  • Articles récents

  • EricBlog

  • Toolinux

  • Le Manchot

  • Méta

  • Priorité au Logiciel Libre!

  • créer un sondage

  • Un éditeur de texte collaboratif en ligne libre

  • Communication collaborative

  • Framalistes Environnement de listes de diffusion

  • Framatalk Visioconférence

  • Herbergement d’images

  • Suivez nous sur Diaspora

  • Ordinateur recyclé sous Debian

  • Nombres de visites sur ce site

    • 43,327 Visites
  • Entrez votre adresse mail pour suivre ce blog et être notifié par email des nouvelles publications.

    Rejoignez 18 autres abonnés

  • Archives

Posts Tagged ‘April’

Accord Microsoft/Défense, question de souveraineté nationale

Posted by CercLL sur 1 novembre 2017

 

Titre : Accord Microsoft/Défense : « une question de souveraineté nationale »
Intervenante : Madame Joëlle Garriaud-Maylam, sénatrice LR
Lieu : Public Sénat – Au cœur du débat
Date : Octobre 2017
Durée : 2 min 05
Visionner la vidéo
Licence de la transcription : Verbatim
NB : Transcription réalisée par nos soins.
Les positions exprimées sont celles des intervenants et ne rejoignent pas forcément celles de l’April.

Description

La sénatrice LR, Joëlle Garriaud-Maylam a fait part de ses inquiétudes au sujet du renouvellement d’un accord d’exclusivité entre Microsoft et le ministère des Armées.

Transcription

Sur cette question de Microsoft et de la Défense, il y a effectivement un problème. Nous, parlementaires, sommes censés contrôler l’action du gouvernement. Sur ce contrat en particulier, pour lequel des experts ont exprimé leurs doutes, nous n’avons pas d’informations ou pas d’informations suffisantes.

J’estime que c’est le devoir du gouvernement d’informer les parlementaires, parce que cela pose un certain nombre de problèmes. Cela pose aussi des questions de souveraineté numérique européenne, on en parle beaucoup actuellement.

Journaliste : Même des problèmes de fiscalité, dites-vous.

Joëlle Garriaud-Maylam : Alors pourquoi ne pas encourager les logiciels libres ? Effectivement on peut s’interroger sur la fiscalité avec un Microsoft qui est basé en Irlande.

Journaliste : En Irlande.

Joëlle Garriaud-Maylam : Donc j’espère qu’il n’y a pas d’évasion fiscale à ce niveau-là. Mais encourager les logiciels libres c’est très important, et je voudrais saluer l’action de la gendarmerie qui, malgré d’énormes pressions, a choisi Linux, un logiciel libre.

Alors pourquoi vouloir obligatoirement choisir Microsoft, alors qu’on sait qu’il y a des liens avec le NSA et que des informations ont été passées ? Je suis désolée, c’est une question de souveraineté nationale. Notre Défense est trop importante, je la soutiens bien évidemment à 100 % dans toutes ses actions, mais là j’aimerais simplement avoir des réponses.

Journaliste : Est-ce que vous estimez que la ministre des Armées, Florence Parly, fait de la rétention d’informations sur ce sujet, notamment sur la question des économies, dit-elle, qu’il y a avec cet accord, avec Microsoft.

Joëlle Garriaud-Maylam : Écoutez, moi l’accord, d’après ce que j’en sais, mais là encore je n’ai pas toutes les informations budgétaires notamment, me paraît extrêmement cher. Alors qu’on m’explique pourquoi nous faisons des économies avec ce contrat, j’aimerais le savoir, qui a été signé, bien sûr, bien avant l’arrivée de Florence Parly, qui a été renouvelé malgré les conseils des experts. Donc voilà, c’est une question qui me paraît essentielle et j’estime, encore une fois, que c’est mon devoir de parlementaire d’essayer d’obtenir toute la lumière sur ce contrat.
[La Sénatrice a déposé le 16 octobre 2017 une proposition de résolution visant à la création d’une commission d’enquête au sujet de ce contrat, NdT]

Source april.org

Publicités

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Accord Microsoft/Défense, question de souveraineté nationale

Les Logiciels Libres

Posted by CercLL sur 14 octobre 2017

L’association CercLL vous donne rendez-vous pour les Logiciels Libres, avec l’ April le

21 octobre 2017 au Foyer du Peuple 50 rue Brandis 13005 Marseille à 15h00.

Les logiciels Libres représentent un enjeu majeur, autant dans la maîtrise des outils qu’on utilise au quotidien.

Quel est donc le projet de société que délimitent les logiciels Libres, et en quoi cette question est-elle fondamentale dans notre démocratie ?

C’est à ces questions que répondront Magali Garnero, Jean-Christophe Becquet (sous réserve) secrétaire et président de l’April, association que l’on ne présente plus.

Suite à ces échanges un apéro est prévu.

Entrée Libre.Tout Public.

Posted in Uncategorized | Tagué: , , , , | Commentaires fermés sur Les Logiciels Libres

Collectivités, participez à l’édition 2017 du label Territoire Numérique Libre

Posted by CercLL sur 9 octobre 2017

 

Les collectivités territoriales peuvent proposer leur candidature au label Territoire Numérique Libre jusqu’au mercredi 15 novembre 2017, 23h59.

Le label « Territoire Numérique Libre » est une initiative de l’Adullact (Association des Développeurs et des Utilisateurs de Logiciels Libres pour les Administrations et les Collectivités Territoriales), destinée à mettre en valeur l’utilisation de logiciels et systèmes d’exploitation libres au sein des collectivités territoriales françaises. Son objectif est aussi de promouvoir l’utilisation des logiciels libres et des formats ouverts au sein de ces collectivités ainsi que la mise à disposition de données ouvertes.

L’April fait partie du Comité d’Orientation du label et a travaillé de concert avec d’autres acteurs ainsi qu’avec l’ADULLACT pour produire le questionnaire et le règlement de ce label.

Pour en savoir plus et pour candidater, consulter le site web du label « Territoire Numérique Libre ».

Source april.org

 

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur Collectivités, participez à l’édition 2017 du label Territoire Numérique Libre

Lettre d’information publique de l’April du 1er octobre 2017

Posted by CercLL sur 2 octobre 2017

Bonjour,

En cohérence avec notre ambition « priorité au logiciel libre », nous avons rejoint 30 autres organisations pour la campagne « Argent public ? Code Public ! ».

La révision de la directive européenne sur le droit d’auteur pose de nombreux problèmes et la version actuelle de l’article 13 pourrait affecter les plateformes de développement logiciel. Lire le livre blanc publié par Save Code Share.

Nous continuons nos actions sur l’Open Bar Microsoft/Défense ainsi que sur la loi de finances et les logiciels de caisse.

Le groupe Transcriptions vous offre huit nouvelles transcriptions. Vous pouvez consulter les activités en cours voire vous inscrire sur la liste de travail si vous souhaitez participer.

N’oubliez pas d’écouter les dernières éditions de Décryptactualité ; chacune dure une quinzaine de minutes.

Nous avons participé à plusieurs événements en septembre. En novembre aura lieu le Capitole du Libre, le 18 et le 19, à Toulouse, nous avons besoin d’aide pour tenir notre stand.

Consultez la lettre publique ci-dessous pour toutes les autres informations et notamment la revue de presse qui propose une vingtaine d’articles.

Librement,
Frédéric Couchet
délégué général de l’April.

Si vous voulez nous soutenir, vous pouvez faire un don ou adhérer à l’association.

 

L’April rejoint 30 autres organisations pour la campagne « Argent public ? Code Public ! »

Le 13 septembre 2017 la FSFE (Free Software Foundation Europe) a lancé la campagne « Argent Public ? Code Public ! », avec 31 organisations signataires dont l’April. Signature qui s’inscrit pour l’association française de promotion et de défense du logiciel libre en totale cohérence avec son objectif principal : la priorité au logiciel libre et aux formats ouverts dans les administrations publiques.

Savecodeshare : une campagne pour protéger les forges logicielles et les communautés du libre

La FSFE (Free Software Foundation Europe) et l’OFE (Open Forum Europe) ont lancé la campagne savecodeshare pour sensibiliser sur les risques que l’actuel projet de réforme du droit d’auteur fait peser sur le logiciel libre et les communautés de développeurs.

 Source april.org

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Lettre d’information publique de l’April du 1er octobre 2017

Savecodeshare : une campagne pour protéger les forges logicielles et les communautés du libre

Posted by CercLL sur 16 septembre 2017

La FSFE (Free Software Foundation Europe) et l’OFE (Open Forum Europe) ont lancé la campagne savecodeshare pour sensibiliser sur les risques que l’actuel projet de réforme du droit d’auteur fait peser sur le logiciel libre et les communautés de développeurs.

Un projet de réforme de la directive sur le droit d’auteur est en cours d’étude au Parlement européen. Basé sur une proposition de la Commission européenne, ce projet est largement décrié pour ses atteintes aux libertés fondamentales, même par des États-membres.

En particulier l’article 13 et le considérant (38), qui marquent une nouvelle attaque des lobbies du droit d’auteur contre le principe d’irresponsabilité par défaut des intermédiaires techniques. Le texte prévoit notamment une obligation pour les plateformes d’hébergement de mettre en place des « mesures de reconnaissances des contenus » aussi appelées « robocopyright ». (Calimaq, auteur du blog Scinfolex, propose une critique très intéressante de ce genre de mécanisme).

La FSFE et l’OFE ont lancé une campagne — savecodeshare — contre cet article, s’inquiétant de ses conséquences potentielles sur les forges logicielles. Et à travers celles-ci sur le logiciel libre et les communautés de développeurs. Afin de sensibiliser sur cet enjeu, les deux assocations ont rédigé un papier blanc (PDF en anglais) disponible sur le site de la campagne; Savecodeshare.eu.

Sur la réforme en cours du droit d’auteur nous vous invitons également à suivre les campagnes Savethelink et FixCopyright, notamment soutenues par l’euro-député Julia Reda. La Quadrature du Net est également très active sur ces questions.

Source april.org

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Savecodeshare : une campagne pour protéger les forges logicielles et les communautés du libre

L’April rejoint 30 autres organisations pour la campagne « Argent public ? Code Public ! »

Posted by CercLL sur 14 septembre 2017

Le 13 septembre 2017 la FSFE (Free Software Foundation Europe) a lancé la campagne « Argent Public ? Code Public !  », avec 31 organisations signataires dont l’April. Signature qui s’inscrit pour l’association française de promotion et de défense du logiciel libre en totale cohérence avec son objectif principal : la priorité au logiciel libre et aux formats ouverts dans les administrations publiques.

Pour l’April la priorité au logiciel libre est une pierre angulaire pour construire une informatique qui soit au service des utilisateurs, donc des citoyens, et non pas un outil pour ceux qui souhaitent les asservir. Une informatique libre et loyale au service de l’intérêt général.

La campagne (Public Money ? Public Code ! en anglais) s’articule autour d’une lettre ouverte, qui affiche une ambition générale d’ « amélioration des procédures de marchés publics pour les logiciels » et appelle à ce que tout logiciel « financé par le contribuable » soit publié sous licence libre. Nous vous encourageons toutes et tous à la signer.

Rappelons qu’en France, depuis la loi « pour une République numérique » ratifiée le 7 octobre 2016, les codes sources « produits ou reçus  » par les administrations sont considérés comme des documents administratifs à part entière et sont à ce titre communicables à quiconque en fait la demande. Voir ici pour plus de détails sur cette loi et l’action de l’April.

Une vidéo de quelques minutes a été également réalisée dans le cadre de cette campagne. Celle-ci présente, de manière très pédagogique, les enjeux d’une informatique libre et loyale pour les services publics. Des sous-titres sont disponibles en plusieurs langues, dont le français. La vidéo est sous licence CC-By 4.0, les sources sont disponible ici.

Pour en savoir plus; voir le site officiel de la campagne publiccode.eu et le communiqué de la FSFE.

Source april.org

Posted in Uncategorized | Tagué: , | Commentaires fermés sur L’April rejoint 30 autres organisations pour la campagne « Argent public ? Code Public ! »

Open Bar Microsoft / Défense : c’est reparti pour quatre ans

Posted by CercLL sur 26 août 2017

La nouvelle ministre des Armées Florence Parly a répondu ce 24 août 2017 à la question écrite n° 00359 de la Sénatrice Joëlle Garriaud Maylam sur le renouvellement de l’« Open Bar » Microsoft / Défense et les conditions « de légalité douteuse » dans lesquelles ce contrat fut initialement passé. Réponse notamment analysée par Next Inpact.

Entre les habituels arguments évasifs, voire incohérents, qui répondent systématiquement à côté des questions réellement posées par la parlementaire — dans la continuité des réponses ministérielles précédentes, par exemple en janvier 2017 — la réponse de la nouvelle ministre des Armées nous fournit deux informations utiles.

L’« Open Bar » a bien été renouvelé, « notifié en décembre 2016 » et en application depuis le 1er juin 2017. Information que Jean-Yves Le Drian, alors ministre de la Défense, n’avait pas jugé utile de préciser à la Sénatrice dans sa réponse de janvier 2017. La durée du nouveau contrat n’est pas précisée mais celle-ci est vraisemblablement de quatre ans. Nous nous interrogeons par ailleurs sur ce que le ministère entend par « notifié », rien ne semblant faire référence à cet accord dans les bulletins officiels des armées du mois de décembre 2016.

Second point, la réponse du ministère des Armées nous informe qu’une feuille de route sera établie en 2018, « indiquant à la fois le calendrier et les applications pour lesquelles il serait pertinent de passer au logiciel libre ». Nous suivrons cela de près en espérant que le ministère face œuvre d’une réelle vision politique sur la mise en place d’une informatique libre, loyale et souveraine ainsi que sur les moyens nécessaires pour y parvenir, plutôt qu’un énième document technique sans ambition.

En ce qui concerne l’« Open Bar », le renouveau des pratiques — et le retour de la confiance — ce n’est pas pour maintenant semble-t-il.

Source april.org

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Open Bar Microsoft / Défense : c’est reparti pour quatre ans

Logiciel libre, chiffrement et vie privée – Laurent Sanselme

Posted by CercLL sur 2 août 2017

Titre : Le logiciel libre, chiffrement et vie privée
Intervenant : Laurent Sanselme
Lieu : Libre en Fête 2016 – SUPINFO Clermont-Ferrand
Date : Mars 2016
Durée : 40 min
Visualiser la vidéo
Licence de la transcription : Verbatim

Transcription

Pour cette conférence j’ai pris trois thèmes qui sont extrêmement vastes et qui mériteraient chacun une conférence à part entière sur eux ; que ce soit les logiciels libres, le chiffrement ou la vie privée, c’est très vaste, il y a beaucoup de sujets de débat. Là on va essayer de condenser au maximum pour essayer de s’intéresser aux liens qu’il peut y avoir entre eux.

Donc on va s’intéresser tout d’abord au logiciel libre. On va essayer d’expliquer un peu. Le but de cette conférence c’est principalement de donner les bases pour l’atelier qui va suivre, qui sera justement la mise en place de méthodes de chiffrement et de protection de la vie privée.

Le logiciel libre, qu’est-ce que c’est ?

Un logiciel libre, c’est un logiciel qui respecte quatre libertés fondamentales. Ces quatre libertés fondamentales, la première ça va être la liberté d’exécuter le programme ; d’exécuter le programme et ce pour toute utilisation ; ça, ça aura son importance par la suite. Si on est un boulanger et que l’on veut utiliser un logiciel de comptabilité qui est prévu pour un boucher, on peut le faire, il n’y a rien qui nous en empêche, on peut très bien l’adapter.

On a la liberté d’étudier le programme. Le fait, justement, de pouvoir l’étudier, va permettre cette adaptation par la suite. On peut le lire, vérifier comment il fonctionne, et s’assurer qu’il répond bien à nos attentes.

Il y a aussi la liberté de redistribuer des copies du programme. Si on a notre logiciel de comptabilité pour boulangerie et qu’on a un ami boucher qui veut l’utiliser, on peut très bien lui donner, il n’y a rien qui nous en empêche.

Et surtout, on a la liberté d’améliorer le programme et de partager ces modifications, c’est-à-dire qu’on va permettre de faire les modifications dans le programme pour, par exemple, au lieu de compter des croissants, pouvoir compter des steaks.

Alors qu’est-ce que tout ça implique ?

La première chose que tout ça implique, ça implique l’accès au code source. Pour pouvoir étudier le programme et le lire, il faut qu’on puisse avoir ce qui a permis la conception du programme. Même sur un programme déjà compilé, on peut toujours revenir à une version « lisible » entre guillemets par un humain, mais quand on a des programmes qui font des centaines de mégas voire des gigas de données, ça devient compliqué de déchiffrer un logiciel complet en assembleur.

La deuxième chose que ça implique, c’est que tout le monde peut être acteur : n’importe qui va pouvoir agir ou contribuer à ce programme. Et en plus, personne ne peut être limité, c’est-à-dire qu’il n’y aura pas de restrictions quant aux modifications qu’on va pouvoir effectuer. Si on se retrouve par exemple dans une entreprise qui veut absolument qu’une fonctionnalité reste de telle manière parce que ça fait partie de la culture de l’entreprise, elle pourrait bloquer un développeur en disant tu ne fais pas de modifications sur cette partie. Avec un logiciel libre, on peut : n’importe qui peut faire cette modification.

Qu’est-ce que ces trois éléments impliquent encore ?

Le premier, avec l’accès au code source, il est impossible de cacher quelque chose. Tout ce qui est programmé est lisible, visible. N’importe qui va pouvoir le retrouver. Donc on ne pas cacher quelque chose au sein d’un logiciel libre. Ça aussi ça aura son importance pour tout l’aspect sécurité qui va avec.

Le deuxième c’est qu’on peut adapter le programme à ses besoins, comme je vous le disais, et partager ces améliorations. Donc on va pouvoir faire évoluer le programme et permettre des améliorations constantes.

J’ouvre une petite parenthèse, même si pour les deux choses que je vais voir dans cette parenthèse je vous invite à regarder l’Expolibre1 qui est affichée sur les vitres dans le couloir ; n’hésitez pas à aller y jeter un coup d’œil.

La première chose dont je vais parler c’est des formats libres. Les formats libres ça va être le même principe que les logiciels libres, mais appliqué aux formats, les différents formats d’enregistrement. Ce sont des formats dont on connaît la structure. Et ça, ça va permettre plusieurs choses. La première c’est de garantir la pérennité des données : même un logiciel qui a été codé il y a 20 ans, s’il a arrêté d’être utilisé, les fichiers qui ont été créés à partir de ce logiciel sont toujours lisibles puisqu’il suffit de reprendre la même structure et de les lire de la même manière. Pareil pour de l’édition.

La deuxième chose, c’est l’interopérabilité : on va permettre, à partir de ces mêmes fichiers, de les lire dans plusieurs logiciels. Plusieurs logiciels vont pouvoir les interpréter, voire les éditer.

Et enfin l’évolutivité. À force d’utiliser un format on peut se rendre compte qu’il a des limites. L’avantage du format libre, c’est qu’on va pouvoir effectuer des modifications quand elles sont demandées par la plupart, une grosse partie de la communauté, et intégrer ces évolutions dans de nouvelles versions du format.

Donc voila quelques exemples de formats libres.

Le premier c’est le Format Open Document, celui que vous connaissez très certainement grâce à LibreOffice2, Open Office, etc. Il est lisible sous Office Windows depuis assez longtemps et sous Office Mac depuis pas très longtemps. Voila. C’est un bon exemple d’interopérabilité

Le format PDF, aussi très connu et très utilisé. Sur le PDF, pour vous donner une idée d’évolutivité, il y a la WWF, donc la société de protection de la vie sauvage, qui a fait un format qu’ils ont appelé Save as WWF et qui est en réalité un dérivé du format PDF. dans lequel l’autorisation d’impression est toujours mise à false. Donc on ne peut pas imprimer les documents qui sont sous ce format-là. En réalité, vu que c’est un dérivé du format PDF, il est très facilement possible d’inverser ceci pour les réimprimer, mais du moment qu’on reste dans leur format à eux qui est un dérivé, on ne peut pas imprimer les documents.

Après le format HTML, utilisé partout. Le format TXT qui est le format texte brut, pareil il n’y a pas d’ordinateur qui ne sait pas le lire, ou encore les formats d’image PNG.

Maintenant les licences libres

Les licences libres, ce sont les licences qui vont encadrer l’utilisation d’un logiciel. La première chose qu’il faut savoir, c’est qu’elles sont très nombreuses. Il y a beaucoup de licences différentes qui existent et sur lesquelles il va y avoir soit des incompatibilités entre elles, soit des limitations supplémentaires d’une licence à une autre.

Donc elles n’autorisent pas toutes les mêmes utilisations, mais par contre, elles garantissent toutes les mêmes libertés à savoir les quatre libertés principales qu’on a vues tout à l’heure.

Les quatre licences les plus connues sont la GNU/GPL v3, alors je précise v3, mais il y avait aussi la v2 dans les plus utilisées. La version Apache 2.0 ; la licence BSD modifiée, ou la licence Expat qui est une des licences MIT, le MIT ayant beaucoup de licences différences. C’est donc une des licences qu’on appelle MIT.

Je vais vous donner deux exemples particuliers, par exemple d’une d’incompatibilité : la version Apache version 1.1. Elle a quelques exigences qui la rendent incompatible avec la GNU/GPL v3, mais v2 aussi d’ailleurs, comme par exemple l’interdiction d’utiliser des noms en rapport avec Apache dans le nom du logiciel. Ça, c’est une limite que ne permet pas la GNU/GPL, puisque la GNU/GPL elle permet d’utiliser n’importe quel nom, que ce soit Apache ou un autre. Donc du coup, ces deux licences-là ne sont pas compatibles entre elles, mais elles sont toutes les deux libres, puisqu’elles garantissent que le programme a bien les quatre libertés principales.

La deuxième licence dont je veux vous parler qui est une petite anecdote, c’est la licence JSON. La licence JSON a une petite mention qui dit que le logiciel sera utilisé pour le bien et non pour le mal. On pourrait penser que donc, du coup, elle respecte bien toutes les libertés, mais en réalité, ça c’est une impossibilité d’utilisation, une limite d’utilisation du programme. Donc du coup, ça ne respecte pas la première liberté des quatre libertés fondamentales, donc elle n’est pas considérée comme une licence libre.

Vous pouvez trouver des comparatifs de tout ça sur le site de gnu.org3. Il y a un comparatif de toutes les licences libres et non libres. Vous pourrez voir une bonne partie des différences qui existent entre elles.

Donc voila pour refermer la parenthèse.

Maintenant je vais parler rapidement des logiciels libres, à savoir un certain nombre d’entre eux. Ces logiciels libres sont assez souvent connus puisqu’il y a des gens qui préfèrent utiliser un logiciel libre qu’un logiciel privateur et il y en a même qui sont plus connus que des solutions privatives. Par exemple si je vous demande un lecteur de vidéo, les trois quarts des gens vont répondre VLC4 puisque c’est, à l’heure actuelle, celui qui est le plus utilisé avant même des solutions propriétaires comme des Windows Media Player, Quick Time, etc.

Un autre qui est extrêmement connu c’est MediaWiki. Alors peut-être que vous ne le connaissez pas en tant que MediaWiki5, mais c’est le moteur qui permet de faire tourner Wikipédia. Donc moteur testé par des millions d’utilisateurs par jour.

Il y a aussi les langages de programmation. Les langages de programmation comme PHP, par exemple, sont des langages libres et ouverts. Il n’y a pas beaucoup de langages qui sont privateurs réellement ou entièrement, donc la plupart du temps on va quand même tomber sur des langages qui sont libres.

À propos de PHP, je vous rappelle qu’il y a le PHP Tour 20166 qui passe à Clermont-Ferrand cette année, c’est en mai. Vous pouvez vous renseigner, vous verrez qu’il y a de très belles conférences qui s’organisent. C’est chez nous ; c’est à Clermont-Ferrand.

Il y a d’autres logiciels libres qui sont aussi connus que les solutions privatives. La plupart du temps ils tournent en parallèle, par exemple Mozilla Firefox. Vous connaissez tous Chrome, Internet Explorer, Safari. Mozilla Firefox7 a réussi à faire son trou et est au même niveau que les concurrents.

Il y a en a d’autres comme Mozilla Thunderbird8 qui remplace par exemple Mail sous Apple, ou Outlook sous Microsoft.

Et enfin il y en a deux autres, ça c’est parmi des millions et des millions de logiciels libres, mais il y en a deux autres que je passe aussi dedans, par exemple Gimp9 et LibreOffice que si vous n’utilisez pas vous-même, vous en avez forcément entendu parler en tapant Photoshop gratuit ou Office gratuit. Habituellement c’est souvent comme ça qu’on les trouve.

Donc voilà pour toute la partie logiciel libre.

Chiffrement

Maintenant, là c’est la partie où il va falloir s’accrocher un petit peu. On va parler de chiffrement.

Alors je vais toujours parler et utiliser le mot chiffrement ; vous entendez peut-être sous le nom de cryptage. Cryptage, le mot n’existe pas ! Donc on va utiliser le vrai mot qui est chiffrement, mais vous avez la correspondance.

On va voir un certain nombre de points avec le chiffrement. Déjà qu’est-ce que c’est ? Comment est-ce que ça marche ? Dans quels cas est-ce qu’on s’en sert, aujourd’hui comme plus tard, on va voir. Et combien ça coûte ?

D’abord qu’est-ce que c’est ?

Le chiffrement, c’est le fait de prendre un document clair, mais intelligible soit pour l’homme soit pour la machine, et de le rendre illisible ou en tout cas in-interprétable par toute personne qui ne possède pas la clef de déchiffrement.

Au niveau du chiffrement, il faut distinguer deux types de chiffrement : le premier c’est le chiffrement symétrique et le deuxième ce sera le chiffrement asymétrique.

En ce qui concerne le chiffrement symétrique, comment ça marche ?

On a Alice et Bob, A et B — c’est toujours les noms qu’on utilise dans ce genre d’explication — donc Alice et Bob veulent s’échanger des messages chiffrés. Pour s’échanger des messages chiffrés, ils se mettent d’accord sur une clef. Cette clef va permettre de chiffrer et de déchiffrer les messages, mais elle doit être conservée secrète, toujours secrète. Quand il y a le carré rouge, ça veut dire si cette clef venait à être découverte, alors le chiffrement serait compromis : quelqu’un d’autre pourrait interagir. Donc A et B se mettent d’accord sur une clef.

Alice va écrire un message. Elle écrit son message puis décide de le chiffrer. Elle le chiffre avec la clef X sur laquelle A et B se sont mis d’accord. Le message est donc devenu illisible par toute personne qui ne posséderait pas la clef. B va récupérer ce message et va déchiffrer le message à l’aide de la même clef X sur laquelle il s’était mis d’accord auparavant avec Alice, puis va pouvoir consulter le message. Ça c’est le chiffrement symétrique. Symétrique parce que la clef qui sert au chiffrement est aussi celle qui sert au déchiffrement.

Maintenant le chiffrement asymétrique.

Cette fois-ci, on part sur beaucoup plus de clefs, parce que A va avoir une clef qui n’est pas secrète, qu’on va appeler publique, et qui ne sert que à chiffrer des messages. Elle va aussi avoir une clef qu’on appelle privée, qui elle, par contre, est bien secrète, et qui elle ne va servir qu’à déchiffrer des messages. Pareil pour B, avec ses propres clefs.

Cette fois-ci comment ça se passe ? A va écrire son message, comme au début, puis va chiffrer son message à l’aide de la clef publique de B. Donc c’est grâce à la clef qui permet de chiffrer les messages du destinataire que le message est chiffré. Le message est donc chiffré et inintelligible. On envoie le message. B récupère ce message et va déchiffrer le message à l’aide sa clef privée à lui. Donc on lui a écrit avec sa clef publique, qui peut être transmise à n’importe qui, et lui déchiffre avec sa clef privée qui elle est conservée secrète, par lui uniquement. Il va ensuite pouvoir consulter son message.

Maintenant si B veut répondre à A, il va écrire son message puis il va chiffrer la réponse avec la clef publique de A ; donc encore une fois le destinataire. Le message est chiffré, j’ai volontairement mis d’autres caractères pour montrer que le chiffrement n’est pas le même, et A, après avoir récupéré le message, va pouvoir déchiffrer le message à l’aide de sa clef privée, sa clef qui sert uniquement à déchiffrer, et va ensuite pouvoir lire son message.

Donc voilà les deux types de chiffrement qui sont utilisés.

Maintenant ces chiffrements, vu qu’ils sont différents, ils ont aussi des avantages et des inconvénients différents. Du coup quel est l’avantage – c’est vrai que j’ai mis un s mais pour le coup je n’en présente qu’un ; il y en aura très certainement d’autres, c’est amené à évolution – c’est la rapidité. Le chiffrement symétrique peut être jusqu’à 1000 fois plus rapide qu’un chiffrement asymétrique. Donc on est sur des différences qui sont quand même non négligeables.

Par contre, en inconvénients, le principal déjà, ça va être l’échange de la clef. Pour se mettre d’accord sur la clef qui va servir à chiffrer et à déchiffrer, il est important que les deux personnes se soient rencontrées auparavant ou en tout cas aient communiqué de manière sécurisée pour s’échanger cette clef. Parce que, encore une fois, si elle est interceptée, le chiffrement est compromis. Donc cet échange de clef c’est le problème principal du chiffrement symétrique.

Le deuxième problème ça va être la gestion des clefs. Si on veut faire un chiffrement symétrique sur une centaine de services, eh bien il va falloir générer une centaine de clefs différentes pour s’assurer de la sécurité de chacune des transactions. Donc on se retrouve avec un nombre de clefs très important, très rapidement.

Maintenant le chiffrement asymétrique. Attention ce slide ne m’a pas pris très longtemps.

Les avantages : l’échange de clefs et la gestion des clefs, et les inconvénients, la lenteur puisqu’il est beaucoup moins rapide que le chiffrement symétrique. Et pour la gestion des clefs, le principal point qu’il faut voir, c’est qu’avec une seule paire de clefs par utilisateur, ils vont pouvoir se connecter de manière sécurisée et différenciée sur chacun des services. Donc pas besoin de générer une clef différente à chaque fois.

Le chiffrement en pratique.

Maintenant quand est-ce qu’on va utiliser une solution ou une autre ? Le chiffrement symétrique, on va l’utiliser la plupart du temps pour du chiffrement de masse. Dès qu’on va avoir beaucoup d’informations à transmettre, on va utiliser le chiffrement symétrique parce que beaucoup plus rapide et donc, du coup, moins de pertes de temps au niveau de la transmission.

Alors que le chiffrement asymétrique, on va s’en servir pour deux principaux cas qui sont l’authentification, puisque chaque personne a deux clefs, c’est la seule personne qui possède cette clef-là. Donc si un message est chiffré par lui, on va pouvoir s’en rendre compte. Et le partage des clefs, puisque pour transmettre de manière sécurisée sa clef, dans le chiffrement asymétrique ça ne pose pas de problème puisqu’elle est publique.

Donc la plupart du temps on va utiliser du chiffrement asymétrique pour partager une clef symétrique et continuer le reste de la transaction dans un chiffrement symétrique.

Les certificats

Un autre élément dont je veux vous parler ce sont les certificats. Qu’est-ce que c’est qu’un certificat ? Un certificat c’est un document numérique qui va contenir un certain nombre d’informations, par exemple l’adresse du site web concerné, le propriétaire, une date d’expiration, etc., un certain nombre d’informations, ainsi qu’une clef publique. Donc on a un document qui lie une clef à un nom. Je passe les détails, mais il peut y avoir encore un certain nombre d’autres informations qui sont comprises dans les certificats en fonction de l’emploi qu’on fait de ce certificat, mais là, le genre de certificats dont je vous parle, c’est principalement, par exemple, pour les sites web. Quand vous vous connectez en HTTPS sur un site, c’est ce genre de certificat qui est utilisé.

Donc un certain nombre d’autres informations et, pour s’assurer que le nom correspond bien à la clef, il faut qu’il y ait quelqu’un qui le certifie, qui édite ce certificat et ça, c’est ce qu’on appelle une autorité de certification. Donc l’autorité de certification certifie, auprès de toute personne qui va lui demander, que l’adresse, par exemple site.lef2016.org, fait bien ses communications à l’aide de cette clef publique. Le fait de passer par une autorité de certification, ça force à passer par ce qu’on appelle un tiers de confiance : l’autorité de certification est un tiers de confiance, c’est-à-dire que tout ce qu’elle va nous dire on va le prendre pour argent comptant ; et donc si elle nous dit que c’est bon, on considère que c’est bon. C’est la notion de tiers de confiance.

Maintenant est-ce qu’on se sert du certificat ? Et du chiffrement même de manière générale ? La réponse est oui, vous vous en servez tous les jours, en vous en rendant compte ou sans vous en rendre compte, vous vous en servez tous les jours. En vous en rendant compte, par exemple quand vous faites une connexion SSH [Secure SHell] sur un serveur distant. Ou sans vous en rendre compte dès que vous vous connectez sur un site en HTTPS. Derrière il y a du chiffrement qui se met en place sans que vous vous ayez à faire quoi que ce soit.

Par ailleurs, on s’en sert de plus en plus. Facebook, par exemple, a passé toutes les communications en HTTPS il y a, je ne peux plus dire les nombre d’années mais ça fait quelque temps, où toutes les communications qui sont faites avec Facebook sont maintenant en HTTPS. Et on ne s’en sert pas encore suffisamment parce qu’il y a encore beaucoup trop d’informations qui sont en clair, il y a beaucoup de sites qui ne chiffrent pas par exemple les formulaires d’authentification et de login, donc du coup, dès qu’on tape son identifiant et son mot de passe, ceux-là circulent en clair sur le réseau jusqu’au serveur. Et ça, déjà, c’est un énorme problème de sécurité et même au niveau de la vie privée puisque les informations qu’ils vont nous retourner aussi ne sont pas chiffrées.

Quelques exemples connus : les transactions bancaires. Dès que vous faites une transaction bancaire en ligne vous vérifiez bien qu’il y a votre petit cadenas vert ; s’il n’y est pas, c’est qu’il y a un problème de sécurité. Les formulaires de connexion comme je vous le disais, la navigation classique, par exemple des sites comme Facebook. Et les mails, pareil, de plus en plus de serveurs mails à l’heure actuelle font du SMTP ou de l’IMAP au travers de SSL, et SSL [ Secure Sockets Layer] c’est du chiffrement.

Maintenant est-ce que le chiffrement coûte cher ?

La réponse c’est oui. C’est oui et non. Attention ! Donc on va voir déjà pourquoi ça coûte cher. Pourquoi ça coûte cher ? Parce que déjà toutes les autorités de certification, par exemple, eh bien il y a une infrastructure derrière qui est énorme. Il va falloir sécuriser les accès physiques à toutes ces machines qui permettent de savoir si un certificat est bon ou n’est pas bon. Pour vous donner un parfait exemple d’infrastructure sécurisée qui ne va pas, il y avait un serrurier qui avait réussi à faire une porte avec une serrure électronique et ils avaient vérifié que la serrure était parfaitement sécurisée, elle était vraiment inviolable électroniquement ; mais il suffisait de mettre un coup de marteau à un endroit précis sur la serrure et elle sautait. Donc l’aspect physique compte autant que l’aspect électronique.

Donc les autorités de certification se doivent d’avoir une infrastructure sécurisée.

Par ailleurs, elles doivent traiter des millions et des milliards de vérifications par jour et ça, ça demande de pouvoir traiter l’ensemble de ces demandes et ça, pareil, ça coûte de l’argent. Il faut des machines qui soient capables d’encaisser tout ça derrière. Donc il y a des investissements qui sont faits à ce niveau-là.

Par contre le chiffrement ça coûte cher et non. Par exemple il y a des boîtes comme StartSSL qui donnent des certificats d’une validité de un an, gratuitement, et des initiatives comme Let’s Encrypt10 qui est portée par la Mozilla Fondation, qui a édité son millionième certificat d’ailleurs récemment, qui donne des certificats pour les utilisateurs.

Par ailleurs, il y a un autre moyen qui ne coûte pas cher du tout c’est de s’assurer qu’on a chiffré le message ou chiffré ce qu’on a envoyé sur sa machine jusqu’au destinataire. Donc le chiffrement est fait à l’expédition et le déchiffrement est fait à la réception. Quelles que soient les infrastructures par lesquelles on passe entre les deux, on n’a pas à s’occuper de savoir si ça coûte de l’argent ou pas de l’argent puisque le chiffrement est fait d’un côté, le déchiffrement est fait de l’autre.

Donc en résumé sur tout ça:

  • le chiffrement est à la portée de tous. N’importe qui peut mettre en place du chiffrement, et maintenant ça ne coûte plus cher de faire du chiffrement ;
  • il se démocratise. De plus en plus de sociétés, de plus en plus de particuliers, se mettent au chiffrement pour s’assurer de la sécurité et de la confidentialité des données ;
  • Et par ailleurs, c’est le seul garant de la confidentialité. C’est-à-dire que si vous envoyez un message non chiffré, quel que soit le réseau par lequel il passe, il y a un risque et une chance qu’il soit intercepté par quelqu’un. Alors ce quelqu’un, ça peut être une autorité gouvernementale, une société privée ou même un pirate qui se serait intégré dans le réseau, mais le seul garant de la confidentialité, c’est le chiffrement.

La vie privée

Maintenant, la vie privée.

Alors ça va être assez rapidement passé parce qu’encore une fois c’est un sujet à débat. Il y a de très nombreux débats qui se font là-dessus. Je vais juste déjà rappeler une première chose qui est l’article 9 du Code civil qui dit que chacun a droit au respect de sa vie privée. C’est écrit dans la loi, c’est prévu. La vie privée c’est quelque chose qui compte.

Donc un certain nombre de news de ces dernières années, eh bien c’est particulièrement mis à l’épreuve. On a vu ce que ça avait donné, notamment avec les documents Snowden, tout l’espionnage de masse qui était pratiqué par la NSA pendant de nombreuses années et je n’ai jamais dit que c’était arrêté.

C’est aussi menacé sous couvert de sécurité. Nous, en France, on est bien placés pour ça puisqu’on a M. Cazeneuve qui a fait une loi permettant de mettre des boîtes noires. Alors ces boîtes, on ne sait pas trop ce qui s’y passe, mais qui interceptent l’ensemble du trafic. Toujours pour contrer les terroristes, bien sûr ! Toujours menacés sous couvert de sécurité !

Ce n’est pas moins important qu’avant. Ce n’est pas parce qu’on est à la génération Les Anges de la télé-réalité et autres dictionnaires intellectuels, que la vie privée n’a pas un sens. C’est important, ça reste quelque chose qu’il faut protéger. Et on a tous quelque chose à cacher. ÇA C’est justement la partie que je traite assez rapidement ; C’est qu’on connaît tous un quelqu’un qui dit qu’il n’a rien à cacher et que ça ne change rien de mettre l’ensemble de ses données, etc. On a tous quelque chose à cacher, c’est sûr et certain, et si ce n’est pas nous c’est quelqu’un qu’on connaît et c’est, en tout cas, cette personne-là qu’il faut protéger, quel que soit l’aspect d’ouverture qu’on peut avoir sur ses propres données.

À ce titre-là, je vous invite à aller regarder donc si vous l’avez sur votre machine vous pouvez cliquer directement sur les liens, sinon les sites 11, le Wikipédia Rien à cacher (argument)12 qui montre un certain nombre justement d’arguments pro et contre le fait de rien avoir à cacher, et une excellente conférence qui s’appelle « Si, vous avez quelque chose à cacher »13 [Transcription de cette conférence14] dont vous avez le lien ici. C’était une conférence qui avait été faite à Pas Sage En Seine, en 2013. Je vous laisse les regarder.

Donc à partir de maintenant, on va partir du postulat que la vie privée est importante. Pas de notion de débat, la vie privée c’est important !

Rapport entre le logiciel libre et le chiffrement

On va voir le rapport entre le logiciel libre et le chiffrement. On a vu tous les avantages qu’avait le logiciel libre et ce que pouvait apporter le chiffrement. Maintenant pourquoi faire du chiffrement avec un logiciel libre est important ?

La première chose c’est qu’on a un algorithme vérifié. Si un logiciel dit qu’il utilise le chiffrement AES, eh bien ça veut dire qu’il utilise du chiffrement AES [Advanced Encryption Standard]. Derrière on va pouvoir regarder le code source et vérifier que c’est bien celui-là qui est employé.

De plus, il n’y a pas de backdoors [et il s’affiche mal, tant pis]. Il n’y a pas de backdoors, c’est-à-dire que du fait qu’on a le code source et qu’on sait qu’il n’y a rien qu’il est possible de cacher à l’intérieur, eh bien il n’est pas non plus possible de cacher des entrées dissimulées qui vont permettre de chercher ou de s’infiltrer dans le réseau par la suite.

Par ailleurs, on est sûrs de la fiabilité du chiffrement. Le fait d’avoir un code ouvert, ça veut dire qu’on va pouvoir le vérifier et que des personnes même plus expérimentées que nous vont pouvoir le vérifier et s’assurer qu’il n’y a pas d’erreur, tout bêtement d’implémentation. Ce n’est pas parce qu’on a mis un chiffrement AES ; il y a un endroit où on devait faire quelque chose et où on s’est trompé, on n’a pas tout à fait fait ce que, mathématiquement, il est important de faire, eh bien des personnes vont pouvoir se rendre compte de ça, faire la correction et retransmettre pour que le chiffrement soit fiable.

Un exemple qui s’en rapproche c’était Apple, je crois que c’était sur une de leurs librairies, justement, de vérification de certificat où il y avait deux lignes qui étaient recopiées et ces deux lignes recopiées avaient pour effet que si un certificat respectait juste les deux premières conditions mais pas celles d’après, il était quand même considéré comme valide. Donc ça, c’est un problème d’implémentation ; c’est au moment du développement qu’il y a un problème qui a été fait et donc, du coup, le fait que cette partie-là était open source a permis de voir le problème et de le corriger.

Donc justement, toute cette partie analyse et correction des erreurs, des personnes avec des compétences bien plus élevées que la plupart des utilisateurs, vont pouvoir se rendre compte de ces problèmes et les corriger.

Par ailleurs, personne ne peut empêcher quelqu’un de corriger un problème. Ça, c’est quelque chose qui a son sens au vu, par exemple, des documents de la NSA ressortis par Edward Snowden. Il y avait des sociétés, comme RSA Security, qui avaient des backdoors, qui savaient qu’ils avaient des backdoors dans leurs différents systèmes et qui n’avaient pas le droit de les enlever parce qu’il y avait une pression du gouvernement américain qui leur demandait de les laisser. Là, avec un logiciel libre, personne ne peut obliger ce genre de blocage.

Le chiffrement et la vie privée

Maintenant le chiffrement et la vie privée. Quel est le lien qu’on va pouvoir trouver entre eux ?

Tout d’abord, le chiffrement est le seul garant de la confidentialité, on l’a vu tout à l’heure, sinon il y a toujours une possibilité pour que des informations s’évaporent dans la nature, mais c’est à condition qu’il soit maîtrisé. Comme je vous disais, vous faites une connexion en HTTPS avec un site, prenons un exemple au hasard, Google, votre connexion est sécurisée, ça vous le savez, vous passez avec un certificat HTTPS, il n’y a pas de problème, les informations que vous envoyez personne ne peut les intercepter au milieu. Quand Google vous répond, il vous répond de manière sécurisée, personne ne peut les intercepter non plus. Mais il y a un endroit où on ne sait pas ce qui se passe, c’est dans les serveurs Google. Est-ce que vos informations sont toujours chiffrées et ne peuvent pas être interceptées ? Ou, est-ce qu’à l’inverse, tout est stocké en clair et si une personne a accès à ces services, à ces serveurs en tout cas, elle peut accéder à vos informations ? La vraie réponse c’est celle-là, mais il y en a d’autres, on ne sait pas.

Idem si vous envoyez des mails. Par exemple vous envoyez un mail de manière sécurisée au serveur mail qui renvoie le mail au serveur sécurisé, etc., chez votre correspondant. Lui quand il vous écrit boom ! Pareil, sécurisé. Au milieu, vous ne savez pas ce qu’il en est. Potentiellement, une personne qui a accès à ces services peut récupérer vos données.

La solution c’est le chiffrement de bout en bout. Le chiffrement de bout en bout, c’est ce que je vous disais quand je vous disais que le chiffrement ne coûte pas cher. C’est le fait qu’ici vous chiffrez vos données ; ça peut passer par tous les intermédiaires que vous voudrez, de toutes façons le chiffrement est fait, on ne peut pas interpréter le message ou, en tout cas, personne ne peut déchiffrer le message à part le destinataire. Ça peut passer par toutes les infrastructures que vous voulez, ça ne vous change rien. Le destinataire, lui, est capable de le déchiffrer. Et à l’inverse, quand il vous répond, il chiffre, ça peut passer par ce que vous voulez, et vous déchiffrez. Donc le chiffrement de bout en bout.

Donc ça, ça fait partie des recommandations que je vous fais : c’est de, par exemple, toujours déjà se connecter en HTTPS si c’est disponible. Ce n’est pas du bout en bout, mais au moins vous empêchez toutes les possibilités d’interception de vos messages dans un même réseau.

Utiliser un VPN personnel lorsque vous le pouvez. Pourquoi personnel et pas celui d’une entreprise ? C’est que rien ne vous dit que l’entreprise, elle, ne récupère pas vos données en sortie. Avec un VPN [Réseau privé virtuel] personnel au moins vous maîtrisez le point de sortie.

Et surtout, du coup, chiffrer de bout en bout. Ça, c’est ce qu’on va essayer de mettre en pratique tout à l’heure pendant l’atelier, ça va être l’utilisation par exemple de protocoles comme OTR ou PGP, donc pour Off-the-Record ou Pretty Good Privacy, qui eux sont des protocoles de chiffrement entre une personne et une autre. Donc du coup pareil, quels que soient les intermédiaires ça ne vous change rien puisque le message est chiffré, ne peut être déchiffré que par la personne qui va réceptionner votre message.

Les inconvénients. Je ne savais pas trop où le mettre, le l’ai quand même mis ici : chiffrer vos données ça a au moins un coût à l’utilisation. C’est-à-dire que vous mettez en place une sécurité supplémentaire et que celle-là va forcément jouer sur votre confort d’utilisation. Quand vous allez envoyer un mail, eh bien vous allez retaper votre mot de passe pour chiffrer, ça fait déjà une étape en plus. Quand vous allez recevoir un mail, eh bien pareil, vous allez taper votre mot de passe pour déchiffrer votre mail. Quand on va vous envoyer un mail chiffré et que vous n’êtes pas sur votre ordinateur où il y a votre clef, etc., eh bien soit vous avez une machine qui est configurée ou un téléphone qui est configuré avec votre clef pour le déchiffrer, soit vous allez devoir attendre d’avoir accès à votre machine pour le lire, etc. Le confort d’utilisation se retrouve diminué. C’est la grosse problématique en sécurité de manière générale, c’est de trouver la bonne balance entre confort d’utilisation et sécurité. Donc le fait de mettre du chiffrement, on est un peu plus sécurisé, mais du coup, on perd en confort.

La deuxième chose c’est la mise en place. Au début, il va falloir mettre en place toutes ces possibilités de chiffrement, ne serait-ce que d’apprendre à se créer des clefs publique et privée, d’installer les logiciels qu’il faut, etc. Ça c’est une problématique, au début, qu’il va falloir réaliser.

Donc voilà. Il y a quelques inconvénients au chiffrement, mais qui sont largement compensés par la sauvegarde de votre vie privée qui, encore une fois, a un intérêt.

Je suis allé plus vite que ce que je pensais, donc si vous avez des questions, n’hésitez pas. Je vous rappelle, c’est une conférence sur logiciel libre, chiffrement et vie privée. N’hésitez pas si vous avez des questions sur le chiffrement. Il y a certaines parties que j’ai traitées assez rapidement parce qu’encore une fois ces trois sujets de conférences à part entière, on peut en parler des heures et des heures et le but c’était surtout de voir le lien entre les deux et que tout le monde ait les bases pour faire l’atelier ensuite en comprenant ce qui se passe.

Source april.org

Posted in Uncategorized | Tagué: , , , | Commentaires fermés sur Logiciel libre, chiffrement et vie privée – Laurent Sanselme

Hybridation : usages du logiciel libre dans la cité > Au cœur de l’April

Posted by CercLL sur 27 juillet 2017

Par les libertés qu’elles offrent, les licences des logiciels libres sont d’une certaine manière la traduction informatique des éléments structurant d’une démocratie, notamment exprimé dans la devise : « liberté, égalité, fraternité ».

À l’inverse, un logiciel privateur – conçu verticalement comme une « boite noire » imposant des usages aux utilisateurs – s’apparente dans la continuité de cette analogie à de l’autocratie.

Loin d’une réflexion de pure technique, ou d’une quelconque forme de dogmatisme comme cela est trop souvent entendu, cette distinction représente la manière dont nous entendons les notions de progrès, de vivre ensemble, et in fine de liberté, dans une société informatisée.

Des interrogations qui font du logiciel libre un enjeu fondamentalement politique et social.

Cette conférence se proposera ainsi de faire une présentation générale de cette réflexion, ouverte à l’échange, puis de l’illustrer avec des exemples d’actions institutionnelles, et militantes, menées par l’April.

Étienne Gonnu
Chargé de mission affaires publiques pour l’April.

Source rmll.ubicast.tv

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur Hybridation : usages du logiciel libre dans la cité > Au cœur de l’April

Offre d’emploi poste Assistant administratif / Assistante administrative (juillet 2017)

Posted by CercLL sur 26 juillet 2017

 

L’April, association de promotion et de défense du Logiciel Libre en France et en Europe, recherche, dans le cadre d’une ouverture de poste, un·e assistant·e administratif·ve.

Annonce mise en ligne le 25 juillet 2017.

Description de l’offre :

Éligibilité au contrat aidé (CUI-CAE) requise (conditions précisées sur service.public.fr).

Au sein d’une équipe de quatre personnes et sous la direction de la coordinatrice de la vie associative, vos principales missions seront les suivantes :

  • contribuer à assurer la gestion des adhérents (enregistrement des cotisations dans la base de données, gestion des prélèvements automatiques, traitement des courriels…) ;
  • assurer le suivi comptable de l’association (saisi des dépenses dans le logiciel de comptabilité simple, rapprochements bancaires…) ;
  • assurer la gestion administrative des salariés (suivi des absences, gestion de la paie en lien avec le prestataire…) ;
  • assurer le secrétariat courant (traitement du courrier, classement et archivage des documents…) ;
  • veiller au fonctionnement matériel de l’association (gestion des stocks, achat de fournitures…).

Une formation en secrétariat serait souhaitée, mais ce sont surtout les qualités personnelles du candidat qui seront évaluées.

Qualités / compétences requises : capacité d’adaptation ; rigueur ; travail en équipe ; bonne maîtrise informatique et internet, si possible logiciels libres ; maîtrise du français.

L’aisance avec internet et l’informatique (messagerie, tableur..), ainsi que la facilité d’apprentissage de nouveaux logiciels sont des qualités fondamentales pour réussir dans les missions proposées.

Temps hebdomadaire négociable (minimum 24 heures).

Salaire selon profil.

Type de contrat : CUI-CAE temps partiel. CDD de 12 mois. Éligibilité aux contrats CUI CAE exigée (conditions précisées sur service.public.fr).

Date de prise de poste : dès que possible à partir de septembre 2017

Localisation du poste : 44/46 rue de l’Ouest Paris 75014

Merci d’envoyer vos CV et lettre de motivation (dans un format ouvert1) par courriel.

Les entretiens commenceront la deuxième quinzaine d’août 2017.

Source april.org

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Offre d’emploi poste Assistant administratif / Assistante administrative (juillet 2017)

Loi de finances 2016 : une doctrine fiscale qui reconnait les logiciels libres mais avec une marge de progression certaine

Posted by CercLL sur 8 juin 2017

Comme indiqué dans notre dernier point d’étape sur ce dossier l’article 88 de la loi de finances de 2016 marque la volonté du gouvernement français de lutter contre la fraude fiscale par un encadrement plus strict des logiciels de comptabilité, de gestion ou d’encaissement. Le texte aurait pu avoir pour effet de bord l’interdiction de détenir des logiciels libres de caisse. L’administration, que nous avons rencontrée, a visiblement été sensible à ce problème et a fait preuve d’une attitude conciliante et constructive. Notre principale crainte a été ainsi levée, même s’il reste des points d’amélioration. Les dispositions, codifiées à l’article 286, I. 3° bis du code des impôts, entreront en vigueur le 1er janvier 2018.

Pour des recommandations plus concrètes de mise en conformité avec la loi de finances vous pouvez notamment vous reporter à ce billet de l’éditeur Pastèque.

Doctrine de l’administration fiscale

En août 2016, l’administration fiscale a publié au BOFIP (Bulletin officiel des finances publiques — Impôts), son interprétation de l’article 88 de la loi de finances. Le BOI-TVA-DECLA-30-10-30 (« BOI » ci-après), correspond donc à la doctrine de l’administration, la manière dont elle entend appliquer la loi. Un document très important puisqu’il lui est opposable. Pour rappel, la publication du BOI s’inscrit dans la suite d’échanges avec l’administration fiscale qui avait communiqué son projet de commentaires au BOFIP et c’est notamment par les précisions apportées par ce texte que le risque d’une interdiction de fait des logiciels libres de caisse a été écarté.

Ci-dessous un résumé des principales questions et problématiques. Suivi d’une analyse critique plus détaillée dont il ressort que le texte reste mal adapté à la réalité du modèle de développement des logiciels libres dont les qualités intrinsèques sont pourtant des atouts pour la lutte contre la fraude fiscale. Il faut cependant garder à l’esprit que chaque loi de finances, et chaque nouvelle révision du BOFIP, sera une occasion d’inciter à une meilleure prise en compte des logiciels libres.

Résumé des principales questions et problématiques

Qui est concerné ?

À compter du 1er janvier 2018, toute personne assujettie à la taxe sur la valeur ajoutée (TVA) qui enregistre les règlements de ses clients au moyen d’un logiciel de comptabilité ou de gestion ou d’un système de caisse. S’il y a peu de doute sur le fait que ce soient les fonctionnalités d’encaissement qui sont visées, cela mériterait d’être explicité.

En cas de contrôle, il faudra fournir (ou « produire ») une certification ou une attestation délivrée par l’éditeur établissant que le logiciel satisfait les « conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage des données en vue du contrôle de l’administration fiscale » (les « quatre conditions »).

Est-il possible d’utiliser des logiciels libres ?

Oui. Le paragraphe 40 du BOI le dit explicitement en reconnaissant aux utilisateurs la possibilité « d’adapter le logiciel à leurs besoins spécifiques ». Par ailleurs, le paragraphe 310 prend en compte le cas des logiciels « conçus de manière ouverte », c.à.d les logiciels libres.

L’utilisateur bénéficie de sa pleine liberté de modification en ce qui concerne les paramètres « triviaux » du logiciel. Si les modifications impactent les « quatre conditions » l’utilisateur, devenu éditeur, devra faire certifier, faire attester ou attester pour lui-même (s’il le peut, voire infra) que la nouvelle version du logiciel satisfait ces exigences.

Pour que l’attestation demeure valable en cas de modification triviale l’éditeur doit (§380) ; « identifier clairement la racine de la dernière version majeure à la date d’émission de l’attestation et les subdivisions de cette racine qui sont ou seront utilisées pour l’identification des versions mineures ultérieures ».

Ces précisions apportées par le BOI sont importantes mais perfectibles.

À propos de l’attestation :

Une attestation est « individuelle » (§370). Elle se fait donc au cas par cas, pour chaque client, sur la base du modèle BOI-LETTRE-000242. Un certificat, délivré par une autorité agréée, a une portée générale et concerne une version (majeure) d’un logiciel.

  • Qui peut attester ?N’importe qui peut attester « pour autrui ». Cela signifie que l’éditeur qui atteste engage sa responsabilité si le logiciel est contrôlé et ne satisfait pas les « quatre conditions ». Sauf si l’utilisateur a modifié un paramètre impactant les « quatre conditions » alors que ce paramètre était clairement identifié.
  • Est-il possible d’attester pour soi-même ?Oui. Mais le BOI conditionne cela à la détention du code NACE (nomenclature des activités économiques dans la Communauté européenne) d’une « activité d’édition de logiciels de comptabilité ou de gestion ou de systèmes de caisse ». Le code le plus approchant est le 58.29 sur l’ « édition d’autres logiciels ». L’administration devra préciser ce point. Sans le code approprié il faudra faire attester la nouvelle version du logiciel par un autre éditeur (qui n’aura pas besoin de ce code puisqu’il attestera pour autrui). Non bloquant dans la pratique, mais inutilement rigide.

Précisions pour les développeurs et utilisateurs de logiciels libres de caisse

Le BOFIP apporte des précisions aux développeurs et utilisateurs de logiciels libres de caisse nécessaires pour garantir leurs libertés informatiques. Toutefois, il reste encore trop d’incertitudes et d’imprécisions pour que ce texte soit pleinement satisfaisant.

Des définitions plus claires pour une meilleure prise en compte des logiciels libres

  • Une avancée symbolique : une définition plus juste des logiciels libres.
    Le projet de commentaires de l’administration qualifiait les logiciels libres comme des logiciels « dont la principale caractéristique est d’être librement paramétrables ». Désormais le BOI, au paragraphe 40, mentionne explicitement les quatre libertés et préfère le terme « adapter » à « paramétrer ». Ce changement n’est pas anodin ; il confirme la reconnaissance institutionnelle croissante de ce qu’est un logiciel libre et des libertés qu’il garantit.
  • Une définition de l’« éditeur » qui concilie mieux le lien de responsabilité et liberté de modification.
    Pour lutter contre la fraude fiscale, la nouvelle réglementation impose que les logiciels utilisés soient certifiés conformes par une autorité certifiante, ou soient assortis d’une attestation individuelle fournie par l’éditeur du logiciel qui peut donc voir sa responsabilité engagée en cas de fraude par l’utilisateur. Sans clarification, ce lien de responsabilité pouvait avoir des conséquences lourdes pour le modèle du logiciel libre, notamment en ce qui concerne la liberté de modification. Ce point était la source de la principale inquiétude de l’April et de certains éditeurs ; une responsabilité « infinie » imposant de fait aux éditeurs d’entraver la liberté de modification des utilisateurs. La définition inscrite aux paragraphes 300 et 310 du BOI circonscrit ce risque.Le paragraphe 300 du BOI définit ainsi comme « éditeur du logiciel ou du système de caisse la personne qui détient le code source du logiciel ou système et qui a la maîtrise de la modification des paramètres de ce produit. ». Le paragraphe 310 vient ensuite préciser que « lorsque le logiciel ou système est conçu de manière ouverte pour permettre son adaptation aux besoins spécifiques des clients » , l’éditeur est soit le concepteur d’origine si les modifications concernant les quatre conditions essentielles sont impossibles soit le dernier intervenant si « son intervention a eu pour objet ou effet de modifier un ou des paramètres permettant le respect des conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage des données ».
    Cette seconde option est importante puisqu’elle permet, sans restreindre la liberté de modification, à tout prestataire de fournir une attestation en tant qu’éditeur, tout en rompant le lien de responsabilité en cas de modification d’éléments non-triviaux du logiciel par l’utilisateur. L’utilisateur devient en ce cas lui-même l’éditeur, et doit alors faire certifier ou attester la conformité du logiciel ainsi modifié.

Pour résumer : large applicabilité du dispositif d’attestation de l’éditeur pour autrui et possibilité de modifier des éléments triviaux sans remise en cause de l’attestation (mếme s’il reste des points de vigilance, voir plus bas).

Petit bémol : le premier tiret du paragraphe 310 qui ne couvre pas le cas des logiciels libres puisqu’il interdit la possibilité de modification non-triviale par toute personne autre que le concepteur. Cela sous-entend-il la création de « boîtes noires » au sein des logiciels comme cela fut le cas — et un échec criant — en Belgique ? Cela s’oppose directement à la notion d’un système ouvert de la première partie de la définition et induit une incertitude inutile quant aux obligations que l’administration entend faire peser sur les éditeurs de logiciels libres. Un bémol aux conséquences certainement plus théoriques que pratiques.

Des aspects qui gagneront à être précisés

  • Un champ d’application défini de manière trop large par rapport à l’objet de la loi ?Lors des débats parlementaires, l’article 88 avait été justifié par la lutte contre « la dissimulation de recettes de taxe sur la valeur ajoutée (TVA) au moyen de logiciels de caisse frauduleux ». Autrement dit la soustraction de paiements en espèce au point de vente. La formulation du texte de loi est malheureusement ambiguë en ce qu’elle peut laisser craindre un champ d’application plus large, incluant les logiciels de comptabilité pure. Le paragraphe 10 du BOI reprend cette expression ambiguë sans la commenter.En cohérence avec l’intention du législateur, les organismes de certification considèrent que le champ d’application est limité aux logiciels incluant des fonctionnalités d’encaissement, à l’exclusion des logiciels de comptabilité pure. Voir en ce sens le référentiel du Laboratoire National de métrologie et d’Essais (LNE). Cet organisme précise ainsi qu’il « exclut du domaine d’application de la certification les logiciels servant au support des services après-vente (rapports de maintenance, rapports de services, génération de bons d’intervention, etc.) ainsi que les logiciels de comptabilité pure ou les applications monétiques (terminaux de paiement électroniques par exemple) ».
    La plupart des projets libres se basent sur cette interprétation.

    Une définition plus précise de la part de l’administration apporterait davantage de confiance en réduisant une potentielle insécurité juridique.

  • Paramètres triviaux et non-triviaux ; une distinction importante mais par aspect trop théorique.Le deuxième point du §310 laisse entendre qu’une nouvelle attestation du professionnel intervenant sur le logiciel est seulement nécessaire lorsque son intervention a eu pour objet ou effet de modifier un ou des paramètres permettant le respect des conditions d’inaltérabilité, de sécurisation, de conservation et d’archivage des données. À contrario, l’attestation d’origine resterait donc valable dans le cas d’une modification « triviale ».Cette prise en compte de l’existence de fonctionnalités « triviales » révèle in fine une meilleure reconnaissance de la liberté de modification, et semble mieux préciser le partage des responsabilités que l’administration envisage entre l’éditeur et l’utilisateur.

    En somme, un utilisateur pourra modifier les éléments triviaux du logiciel sans entacher l’attestation ou certification qui lui a été remise par l’éditeur.

    À l’inverse, on pourrait ainsi considérer que si ce qui relève des quatre conditions essentielles d’inaltérabilité, de sécurisation, de conservation et d’archivage des données a été clairement identifié, alors la responsabilité de l’éditeur initial, ou du dernier à avoir valablement attesté, ne sera pas engagée en cas de modification majeure, voire d’utilisation frauduleuse du logiciel.

    Toutefois, cette prise en compte des modifications « triviales » gagnerait à être plus explicite. Les paragraphes 340 et 380 abordent la question des « versions majeures » et « mineures » du logiciel, mais en gardant comme seul critère distinctif l’impact sur les quatre conditions essentielles.

    En outre, dans la pratique, une telle distinction n’est pas aussi aisée que l’administration semble l’entendre. En effet, même un fonctionnalité d’apparence triviale, pourrait avoir des impacts sur le fonctionnement général du logiciel. Potentielle source d’insécurité juridique qui gagnera à être adressée par des critères plus fins et plus adaptés à la réalité du développement logiciel.

  • L’inaltérabilité des données : une obligation à la portée encore trop incertaine.Dès la publication de l’article 88 de la loi de finances 2016, la question de l’obligation d’inaltérabilité des données est apparue comme un des points de vigilance principaux pour le logiciel libre.Assez peu d’évolutions concernant cet aspect depuis le projet de commentaires, si ce n’est une structuration du texte peut-être un peu plus claire dans le BOI, mais la traduction en termes techniques du principe comptable d’« intangibilité des écritures » qui a été retenue crée encore trop d’incertitudes pour être pleinement satisfaisante. Ainsi le paragraphe 120 qui établit sans autre précision que « pour respecter la condition d’inaltérabilité, l’intégrité des données enregistrées doit être garantie dans le temps par tout procédé technique fiable », laisse une marge d’interprétation trop importante sur la portée de l’obligation.

    Ce point est important en ce qu’il se lie avec la problématique de la responsabilité. Aucune procédure techniquement fiable à 100% n’est possible. Pourtant la simple démonstration d’un usage frauduleux suffit à invalider l’attestation ou à la qualifier de « faux document » (paragraphe 570) : c.à.d attestant à tort de la conformité du logiciel et engageant donc la responsabilité de l’éditeur. La formulation retenue pourrait ainsi laisser entendre que les éditeurs sont soumis à une « obligation de résultat », un logiciel 100% fiable, plutôt qu’une « obligation de moyens » ; un logiciel le plus fiable possible selon l’état de l’art. Même si la seconde hypothèse semble l’interprétation la plus raisonnable de la doctrine fiscale, les conséquences potentielles qui s’y rattachent nécessitent un périmètre mieux défini. Ainsi, sans sombrer dans un alarmisme inutile, il s’agit avant toute chose de renforcer la sécurité juridique des TPE/PME, l’essentiel des acteurs du libre, pour qui la confiance est un élément clef.

    Cela étant dit, cette réflexion n’est pas propre aux cas des logiciels libres et ceux-ci ont l’avantage sur les logiciels privateurs de permettre une identification bien plus rapide de potentielles failles de sécurité.

Un système d’auto-attestation défini de manière trop rigide : l’enjeu d’une meilleure reconnaissance des vertus du libre

S’il est possible pour tout éditeur de fournir une attestation de conformité à un utilisateur — cette dernière engage sa responsabilité — la possibilité d’attester pour soi-même en cas de modification de paramètres non-triviaux du logiciel est restreinte. Elle s’appuie exclusivement sur le code NACE. Au paragraphe 370, il est ainsi précisé que seule une société dont l’activité déclarée « est une activité d’édition de logiciels de comptabilité ou de gestion ou de systèmes de caisse » peut « auto-attester » de la conformité du logiciel de caisse avec les obligations issues de l’article 286, I. 3° bis du code général des impôts. Et dans la mesure où il est illégal d’utiliser un logiciel qui ne serait pas valablement certifiée ou attestée conforme, modifier pour soi-même son outil de gestion sans ce code NACE nécessitera, par exemple, de passer par des accords entre éditeurs d’une même solution libre. Procédure inutilement lourde. D’autant plus qu’il n’existe aucune classification NACE spécifique aux éditeurs de logiciel « comptabilité ou de gestion ou un système de caisse », celle la plus approchant est la 58.29 sur l’ « édition d’autres logiciels ». S’agirait-il d’une imprécision visant à anticiper d’éventuelles évolutions ?

D’autre part, quand bien même le critère du code NACE serait pertinent, il est bien trop rigide comme critère exclusif, en particulier parce qu’il ne concerne que l’activité principale d’une société. Dans un modèle ouvert et contributif comme celui du logiciel libre cela est un frein évident, notamment dans le cas des sociétés ayant plusieurs secteurs d’activité ou dans le cas de contributeurs non professionnels. Particulièrement si l’on considère que l’implication des utilisateurs est au coeur de la dynamique de développement des logiciels libres. Cette limitation de la liberté de modification en cas de développement pour soi-même est d’autant plus disproportionnée que les risques de fraude « généralisée » seront largement contenus par un modèle ancré sur la transparence et la revue par les pairs. Les dérives dues aux boites noires ne doivent pas pénaliser les logiciels libres. Une attestation par la communauté, ou portant sur le modèle de gouvernance d’un projet, pourrait par exemple être une solution plus proportionnée à l’objectif poursuivi.

En conclusion, un texte mieux rédigé mais encore mal adapté à la réalité du modèle de développement des logiciels libres.

Pour résumer nos attentes : des définitions et des critères plus précis pour plus de sécurité juridique et donc de confiance, et davantage de souplesse dans les conditions d’auto-attestation. Une obligation d’identifier clairement ce qui relève des quatre critères essentiels, et donc du périmètre de l’attestation, combiné avec la facilité d’audit garanti par les logiciels libres, devrait être considérées comme suffisantes et proportionnées à l’objectif légitime de lutte contre la fraude fiscale.

Il est bien sûr entendu que ces problématiques sont complexes et que c’est aussi par l’usage et par l’échange qu’une doctrine fiscale plus claire se dégagera. Nous appelons en ce sens à la vigilance de l’administration et souhaitons qu’elle garde l’attitude ouverte qu’elle a eue jusqu’à présent.

Quoiqu’il en soit, la crainte initiale à la lecture de l’article 88 était l’interdiction de fait des logiciels libres «  de comptabilité ou de gestion ou un système de caisse ». Ce risque semble heureusement écarté. En revanche, la dynamique du texte initial ainsi que celle du BOI restent ancrées sur le modèle fermé du logiciel privateur comme norme, avec un aménagement en marge pour le modèle ouvert et contributif du logiciel libre. Les qualités intrinsèques du logiciel libre, particulièrement sa caractéristique de transparence, sont des atouts incontestables pour la lutte contre la fraude fiscale. Le recours au logiciel libre devrait en ce sens être privilégié et encouragé. Dans un tout autre domaine, l’exemple du scandale Volkswagen où un logiciel opaque a permis au constructeur de frauder sur les normes environnementales pendant plusieurs années l’illustre bien.

Source april.org

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Loi de finances 2016 : une doctrine fiscale qui reconnait les logiciels libres mais avec une marge de progression certaine

GnuPG : 20 ans de protection de la vie privée et une nouvelle campagne de financement participatif

Posted by CercLL sur 6 juin 2017

Le logiciel GnuPG (pour GNU Privacy Guard : gardien de vie privée du projet GNU) est un outil fondamental pour la protection de la vie privée. Il permet notamment de transmettre des messages chiffrés et/ou signés entre utilisateurs au sein de réseaux (de confiance). Werner Koch, qui a initié le projet en 1997 et qui en est toujours l’auteur principal, a donné en juillet 2013 une conférence aux Rencontres Mondiales du Logiciel Libre conférence intitulée Vie Privée en 2013 : Pourquoi. Quand. Comment. (transcrite par l’April).

Aujourd’hui, GnuPG fête ses 20 ans et vient de lancer un nouvel appel à financement participatif.

« De nombreux usagers, entre autres militant·e·s, journalistes ou avocat·e·s, dépendent de GnuPG pour protéger leurs données et communications. En outre, presque tous les systèmes d’exploitation basés sur le logiciel libre (c’est à dire plus des deux tiers des serveurs formant notre internet) utilisent GnuPG pour vérifier l’intégrité de leurs mises à jours système.

Afin de continuer à maintenir et à améliorer GnuPG, nous, les principaux développeurs de GnuPG, faisons un appel à la générosité du public. Notre objectif principal est de lever 15 000 euros mensuels pour financer 3 dévelopeurs à plein temps; notre objectif complémentaire est deux fois plus élevé, soit 30 000 euros mensuels.

Pensez à contribuer afin que cette composante logicielle essentielle continue à fonctionner pour tout le monde.»

N’hésitez pas à participer et relayer la campagne de financement pour donner de nouvelles opportunités pour le développement du projet.

Le logo GnuPG est sous licence GNU GPL version 2 ou ultérieure.

Source april.org

Posted in Uncategorized | Tagué: , | Commentaires fermés sur GnuPG : 20 ans de protection de la vie privée et une nouvelle campagne de financement participatif

Éducation nationale : les données personnelles mises à disposition des GAFAM

Posted by CercLL sur 3 juin 2017

 

L’April signe, avec les CEMEA, une prise de position contre la décision de l’Éducation nationale de donner accès aux données numériques des élèves, des enseignant.e.s et personnels de l’Éducation aux grandes entreprises de l’internet dont les intérêts sont avant tout mercantiles et qui hébergent souvent les données en dehors du territoire européen.

Pour lire le communiqué

Le mouvement d’éducation populaire CEMEA, association complémentaire de l’école alerte et dénonce la lettre envoyée par Mathieu JEANDRON (Directeur du Numérique pour l’Éducation au ministère) aux Délégués Académiques du Numérique (DAN) ; lettre qui autorise la connexion des annuaires de l’institution avec les services « type GAFAM ».

Plusieurs signataires soutiennent déjà ce texte qui, par ailleurs, fait écho à celui publié le 25 mai par l’association EPI (Enseignement Public et Informatique) ,« Les données personnelles et scolaires des élèves mises à disposition des GAFAM » , auquel l’April apporte également son soutien.

Dans la continuité du partenariat indigne conclut en novembre 2015 avec la société Microsoft, l’Éducation nationale démontre à nouveau son impuissance face aux enjeux sociétaux liés à ses missions. Le constat de François Poulain, trésorier de l’April, est amer : « Le radeau de la Méduse vient de couler. Constat d’échec accablant, nous payons là des années d’absence de politique claire et volontariste en faveur du logiciel libre et des formats ouverts. »

La critique n’est pas celle de la légalité immédiate de la décision, seule focale de la lettre du délégué au numérique éducatif, mais bien celle de l’absence de tout débat de fond visant à inscrire dans la durée une politique publique claire sur l’éducation des jeunes générations dans une société informatisée. Éducation qui ne peut faire l’économie de la formation et de la sensibilisation « à l’usage des logiciels libres, de services en ligne loyaux, décentralisés, éthiques et solidaires. »

Source april.org

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Éducation nationale : les données personnelles mises à disposition des GAFAM

L’April en appelle au président de la République pour la suspension de la renégociation du contrat Microsoft/Défense

Posted by CercLL sur 22 mai 2017

Dans une enquête parue vendredi 19 mai, le magazine d’information Marianne a révélé que le contrat Open Bar Microsoft/Défense n’avait pas encore été renouvelé pour la période 2017-2021. La même enquête confirme que le contrat Open Bar est jugé illégal par le rapporteur de la commission des marchés publics en charge de l’étude du premier contrat. L’April demande solennellement au président de la République et au gouvernement la suspension de cette renégociation ainsi qu’une enquête pour faire la lumière sur le rôle joué par les différents acteurs dans ce dossier scandaleux.

« Investigate Europe », un consortium de neuf journalistes européens, partenaires d’une dizaine de médias, a réalisé pendant trois mois une même enquête dans leurs pays respectifs sur les relations entre Microsoft et les institutions publiques. Dans ce cadre, la journaliste Leila Minano a publié un article sur la situation française, le vendredi 19 mai 2017 dans le magazine Marianne, intitulé « Microsoft : menace sur la sécurité de l’État ».

La conclusion de l’enquête, citation d’un expert informatique des armées resté anonyme, est sans appel : « dans nos Ministères, Microsoft est comme à la maison ».

L’article revient notamment sur le contrat « Open Bar » Microsoft/Défense1, le partenariat indigne entre le ministère de l’Éducation nationale et l’éditeur de logiciel privateur, et met en lumière l’immixtion très forte des GAFAM2 au sein des institutions françaises.

Dans le cadre de son travail d’investigation, la journaliste a eu l’occasion de recueillir les propos exclusifs du rapporteur pour la commission des marchés publics de l’État (CMPE) pour le premier accord Open Bar signé en 2009 :

« C’était déjà illégal à l’époque, je ne vois pas pourquoi cela le serait moins aujourd’hui ! On m’a demandé de valider la décision politique émanant d’un cabinet, j’ai refusé, mais on ne m’a pas écouté. » Et l’expert d’ajouter : « Il n’y avait aucune raison de favoriser Microsoft. Il n’a pas le monopole du traitement de texte… On était dans un délit de favoritisme, ce contrat aurait dû passer par une procédure de marché public, ça relève du pénal. Ce contrat aurait dû finir devant un tribunal, mais personne n’a osé. »

Des propos d’autant plus cruels pour l’État français qu’en janvier 2017 le ministère de la Défense, dont Jean-Yves Le Drian était en charge, interrogé par la sénatrice Joëlle Garriaud-Maylam sur les « fortes réserves et interrogations [qui] avaient été émises par le rapporteur », affirmait sans nuance que « la commission des marchés publics de l’État (CMPE) n’a remis en cause ni l’objet ni la procédure suivie pour passer l’accord cadre ».

Une lecture très réductrice du rapport que le ministère de la Défense avait déjà en 2013, le ministre étant à l’époque Hervé Morin, comme le rapportait Next Inpact qui communiquait au public le fameux rapport de la CMPE. Rapport auquel les propos sus-cités du rapporteur offrent une lecture nouvelle, notamment sur ses « fortes réserves ».

L’indignation du rapporteur de la CMPE pour le contrat initial entre en résonance avec les propos du président du groupe d’experts militaires mandaté en 2008 par le ministère pour étudier l’offre Microsoft. Celui-ci avait déclaré dans l’émission Cash Investigation d’octobre 2016 :

« Le seul scénario qui était déconseillé a été celui qui in fine a été retenu. Oui, on peut considérer que les recommandations n’ont pas été suivies. »

L’article de Marianne indique que « le ministère de la Défense renouvellera son contrat avec la firme de Redmond le 25 mai ».

Le contrat Open Bar Microsoft/Défense a été signé en 2009, puis renouvelé en 2013, malgré l’avis du rapporteur de la CPME qui parle ouvertement de délit de favoritisme, en passant outre l’avis des experts militaires qui évoquaient notamment les risques « d’addiction » et de « perte de souveraineté », sans le moindre élément tangible pour justifier une telle décision, et le tout accompagné d’un refus systématique de faire œuvre de la moindre once de transparence (relire notre chronologie).

L’acte inaugural du quinquennat du président Emmanuel Macron veut être celui de la moralisation de la vie publique. Le dossier Open Bar Microsoft/Défense, les conditions de sa signature et de son renouvellement, semble être taillé sur mesure pour symboliser la mise en œuvre de cette volonté de transparence pour rétablir la confiance entre citoyens et politique.

L’April en appelle solennellement au président de la République, qui fixe la stratégie de la Défense nationale, et au gouvernement pour suspendre la renégociation de ce contrat et pour initier une enquête visant à faire toute la lumière sur le rôle joué par les différents acteurs dans ce dossier scandaleux.

« Ce contrat Open Bar avec Microsoft n’est qu’une partie émergée de l’iceberg des relations entre Microsoft et l’État français. Espérons que le quinquennat à venir verra la mise en place d’une cure de désintoxication et d’une vraie politique publique en faveur du logiciel libre. » a déclaré Frédéric Couchet, délégué général de l’April.

Source april.org

Posted in Uncategorized | Tagué: , | Commentaires fermés sur L’April en appelle au président de la République pour la suspension de la renégociation du contrat Microsoft/Défense

Open Bar : Après 10 ans de mutisme, la Défense annonce l’existence d’un « bilan risques-opportunités »

Posted by CercLL sur 1 février 2017

Au mois de décembre 2016, deux parlementaires ont demandé par voie de question écrite au ministre de la Défense de faire œuvre de transparence sur l’ « Open Bar » souscrit auprès de Microsoft. Le 26 janvier 2016, première réponse à la question de la Sénatrice Joëlle Garriaud-Maylam. On apprend ainsi, après des années d’un grand mutisme, qu’il existerait une base rationnelle justifiant le choix de l’ « Open Bar » : un « bilan risques-opportunités » dont l’April a demandé communication au ministère, au titre de la loi « CADA » .

Le ministère mentionne l’existence d’un « bilan risques-opportunités » « favorable à la conclusion du contrat sur la base d’un périmètre ajusté », élaboré sur la base d’études « notamment en termes d’évaluation des risques, de recherche de mesures tendant à réduire les risques envisageables, ainsi que d’analyse des opportunités. »
Il existerait donc un document, rigoureux et impartial, qui permet de déduire que la conclusion d’un « Open Bar » entre Microsoft et la Défense présentait le meilleur équilibre entre risques et opportunités ?
S’il est regrettable que le ministère ait attendu près de 10 ans pour évoquer l’existence d’une base rationnelle menant à cette décision, nous saluons ce premier pas vers plus de transparence et ne doutons pas que l’administration répondra favorablement à notre demande de communication du « bilan risques-opportunités » et des différentes études mentionnées dans la réponse.

L’évocation de ce document est l’élément le plus important de cette réponse. Le reste du texte n’en est pas moins instructif, il est même assez révélateur de la mécompréhension de cette administration des critiques qui lui sont faites et des enjeux en cause :

  • La Défense s’efforce, encore, de justifier la contractualisation avec Microsoft Irlande ; « qui dispose de l’exclusivité de la distribution des licences Microsoft en Europe. » La sénatrice à l’origine de la question écrite, ou quinconque ayant suivi cette affaire, a parfaitement conscience du montage utilisé par Microsoft, le tristement célèbre « double irlandais ».
    Mais s’il est possible pour une entreprise d’utiliser les vides juridiques à des fins d’ « optimisation fiscale », nous pourrions attendre d’un ministère régalien qu’il ne finance pas ce genre de pratique avec de l’argent public.
  • Le ministère précise qu’il « convient d’observer que ce n’est pas le scénario déconseillé par le groupe d’experts qui a été retenu, mais celui qualifié de « risqué » ». Cette affirmation est pourtant en complète contradiction avec le rapport du groupe d’experts. On y lit ainsi que ; « le scénario 2 « offre Microsoft sur tout le catalogue » est déconseillée » et que « le scénario 3 « offre Microsoft adaptée sur le seul périmètre bureautique (dit 90/10) » est risqué ». L’Open Bar portant sur l’ensemble du catalogue Microsoft – justifiant ainsi de cette appellation – la lecture du ministère semble pour le moins créative, même avec un « périmètre ajusté ». La communication du « bilan » aidera sans aucun doute à lever cette ambiguïté.
  • Le ministère rejette l’appelation « Open Bar », qui, selon lui suggère un « déséquilibre entre les obligations des deux parties ». Le rapport d’experts, dont ont été extraits les « premiers éléments d’identification et de caractérisation des risques » attachait à la conclusion de ce contrat, sans la moindre équivoque, la « perte de souveraineté nationale », le « coût de sortie de la technologie » et l’ « addiction aux technologies Microsoft. » Considérant qui plus est que cette situation perdure depuis 2008, la capacité de négociation du ministère avec le géant américain nous semble, au mieux, limitée.
  • La réponse prend soin de préciser que « les travaux d’évaluation du retour sur investissement (ROI) se heurtaient à ce stade à des difficultés dont le groupe d’experts a reconnu qu’elles pénalisaient l’analyse des différents scénarios. » La lecture du « bilan » permettra, nous l’espérons, de comprendre le lien entre la difficulté d’évaluer des ROI et la détermination par les experts de « risques rédhibitoires », tels la perte de souveraineté, l’addiction, les portes dérobées ou l’ « affaiblissement de l’industrie française et européenne du logiciel ».
  • Le ministère précise, en parlant de la période de contractualisation 2013-2017 ; « le deuxième contrat a étendu la forme locative à pratiquement l’ensemble des licences du ministère ». Si le choix de la « forme locative » semble de prime abord assez discutable dans des considérations d’indépendance technologique et de choix stratégique sur le long terme nous ne doutons pas que le « bilan » explicitera cette décision. Il convient toutefois de noter que toute licence privative, comme celle de Microsoft, est assimilable de fait à la forme locative, puisqu’il ne s’agit que d’une autorisation d’utilisation par le titulaire des droits, pour certains usages et sur une période de temps donnée. Seule une licence libre, qui garantit les quatre libertés informatiques, offre une jouissance pleine et entière sur le logiciel, condition fondamentale pour une maîtrise globale d’un système d’information.

Nous pouvons enfin noter que le ministère reconnait le biais initial du premier contrat « Open Bar ». Il ne s’agissait pas de doter l’administration d’un système d’information souverain et pérenne, mais de « soutenir une partie du parc Microsoft déjà déployé ». Effectivement, si l’objectif est la rationnalisation d’une addiction, l’ « Open Bar » semble le plus à même de répondre à ce besoin.
Le « bilan risques-opportunités » a-t-il été construit autour de ce biais ? Ou une réflexion plus globale sur l’utilisation, ou non, des produits opaques et privateurs de Microsoft a-t-elle été menée ? L’opportunité d’une migration vers du logiciel libre, à l’instar de ce qu’a fait la Gendarmerie nationale, a-t-elle seulement été envisagée ?

Source april.org

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Open Bar : Après 10 ans de mutisme, la Défense annonce l’existence d’un « bilan risques-opportunités »

 
%d blogueurs aiment cette page :