par Richard Stallman
(Publié pour la première fois dans la Boston Review.)
Sur Internet, le logiciel privateur1 n'est pas la seule façon de perdre votre liberté. Le logiciel en tant que service [Software as a Service] est un autre moyen de donner à un tiers le pouvoir sur votre informatique.
La technologie numérique peut vous donner de la liberté ; elle peut aussi prendre votre liberté. Le contrôle que nous avons de notre informatique a d'abord été menacé par le logiciel privateur : logiciel sur lequel les utilisateurs n'ont pas la main parce que le propriétaire (une société comme Apple ou Microsoft) le contrôle. Le propriétaire prend souvent avantage de ce pouvoir injuste en insérant des caractéristiques malveillantes comme les logiciels espions, les portes dérobées [backdoors], et les DRM (Digital Restrictions Management2 - dénommés Digital Rights Management3 dans leur propagande).
Notre solution à ce problème est de développer le logiciel libre et de rejeter le logiciel privateur. Logiciel libre signifie que vous, en tant qu'utilisateur, avez quatre libertés essentielles : (0) exécuter un programme comme vous le souhaitez, (1) étudier et changer le code source comme vous le souhaitez, (2) redistribuer des copies exactes, et (3) redistribuer des copies de vos versions modifiées. (Voir la définition de logiciel libre.)
Avec le logiciel libre, nous, les utilisateurs, récupérons le contrôle de notre informatique. Les logiciels privateurs continueront d'exister, mais nous pouvons les exclure de nos vies et beaucoup d'entre nous l'ont déjà fait. Cependant, nous faisons face actuellement à une nouvelle menace sur notre contrôle de notre informatique : le logiciel en tant que service (SaaS). Par souci de notre liberté, nous devons le rejeter également.
« Logiciel en tant que service » (SaaS) signifie que quelqu'un met en place sur le réseau un serveur qui fait tourner certaines tâches informatiques, comme du calcul sur tableur, du traitement de texte, de la traduction de texte en une autre langue, etc. Il invite ensuite les utilisateurs à exécuter leurs tâches sur ce serveur. Les utilisateurs envoient leurs données au serveur, lequel traite les données qu'ils ont fournies, puis renvoie les résultats ou les utilise directement.
Ces serveurs arrachent le contrôle des mains des utilisateurs encore plus inexorablement que le logiciel privateur. Avec le logiciel privateur, les utilisateurs ont généralement un fichier exécutable mais pas le code source. Cela rend difficile pour les programmeurs d'étudier le code qui est exécuté, donc c'est difficile de déterminer ce que fait vraiment le programme, et difficile de le modifier.
Avec le SaaS, les utilisateurs n'ont même pas de fichier exécutable : celui-ci est sur le serveur, où les utilisateurs ne peuvent le voir, ni le toucher. Ainsi c'est impossible pour eux de vérifier ce qu'il fait vraiment, et impossible de le modifier.
De plus, le SaaS conduit automatiquement à des conséquences néfastes équivalentes aux caractéristiques malveillantes de certains logiciels privateurs. Par exemple, certains logiciels privateurs sont des « logiciels espions » [spywares] : le programme envoie des données concernant les activités informatiques des utilisateurs. Microsoft Windows envoie des informations concernant les activités des utilisateurs à Microsoft. Windows Media Player et RealPlayer signalent ce que chaque utilisateur visionne ou écoute.
Contrairement aux logiciels privateurs, le SaaS ne requiert pas de code secret pour obtenir les données de l'utilisateur. Au lieu de cela, les utilisateurs doivent envoyer leurs données au serveur pour pouvoir l'utiliser. L'effet est le même qu'avec un logiciel espion : l'opérateur du serveur obtient les données. Il les obtient sans aucun effort, de par la nature du SaaS.
Certains programmes privateurs peuvent maltraiter les utilisateurs par commande à distance. Par exemple, Windows a une porte dérobée avec laquelle Microsoft peut changer de force n'importe quel logiciel sur la machine. La liseuse Kindle d'Amazon (dont le nom suggère que c'est pour brûler les livres des gens4 a une porte dérobée orwellienne qu'Amazon a utilisée en 2009 pour effacer à distance les copies pour Kindle des livres d'Orwell, 1984 et Animal Farm, que les utilisateurs avaient achetées chez Amazon.
Le SaaS donne intrinsèquement aux opérateurs du serveur le pouvoir de changer le logiciel utilisé, ou les données de l'utilisateur sur lesquelles le serveur opère. Une fois de plus, aucun code spécial n'est nécessaire pour faire cela.
Ainsi, le SaaS est l'équivalent d'un logiciel espion intégral et d'une porte dérobée grande ouverte, et donne aux opérateurs du serveur un pouvoir injuste sur l'utilisateur. Nous ne pouvons accepter cela.
Le SaaS et le logiciel privateur conduisent à des résultats nuisibles similaires, mais les mécanismes utilisés sont différents : avec le logiciel privateur, vous possédez et utilisez une copie qu'il est difficile ou illégal de modifier ; avec le SaaS, vous utilisez une copie que vous ne possédez pas.
On confond souvent ces deux problèmes, et pas seulement par accident. Les développeurs web utilisent le terme ambigu d'« application web » pour réunir en un tout le logiciel côté serveur et les programmes s'exécutant sur votre machine dans votre navigateur. Certaines pages web installent temporairement sur votre navigateur des programmes JavaScript non triviaux ou même de taille imposante sans vous en informer. Quand ces programmes Javascript ne sont pas libres, ils sont aussi nocifs que n'importe quel autre logiciel non libre. Ici, cependant, nous sommes concernés par le problème du logiciel serveur lui-même.
De nombreux défenseurs du logiciel libre supposent que le problème du SaaS sera résolu en développant des logiciels serveurs libres. Par souci des opérateurs du serveur, les programmes du serveur devraient être libres ; s'ils sont privateurs, leurs propriétaires ont pouvoir sur le serveur. C'est déloyal pour l'opérateur, et ne vous est d'aucune aide. Mais si les programmes du serveur sont libres, ça ne vous protège pas en tant qu'utilisateur du serveur contre les effets du SaaS. Ils donnent de la liberté à l'opérateur, mais pas à vous.
Libérer le code source du logiciel côté serveur profite à la communauté : les utilisateurs ayant les compétences nécessaires peuvent mettre en place des serveurs similaires, peut-être en modifiant le logiciel. Mais aucun de ces serveurs ne vous donnerait le contrôle des travaux informatiques que vous effectuez dessus, à moins que ce ne soit votre serveur. Les autres seraient tous du SaaS. Le SaaS vous soumet toujours au pouvoir de l'opérateur du serveur, et le seul remède est de ne pas utiliser le SaaS ! Ne pas utiliser le serveur de quelqu'un d'autre pour exécuter votre propre informatique sur des données fournies par vous.
Eviter le SaaS signifie-t-il pour vous refuser d'utiliser tout serveur réseau géré par quelqu'un d'autre que vous ? Pas du tout. La plupart des serveurs ne posent pas ce genre de problème, car le travail que vous faites avec eux n'est pas votre propre informatique sauf dans un sens trivial.
L'objectif original des serveurs web n'était pas d'exécuter des programmes pour vous, c'était de publier des données pour que vous y accédiez. Même aujourd'hui c'est ce que font la majorité des sites web, et ça ne pose pas le problème du SaaS, parce qu'accéder aux informations publiées par quelqu'un n'a rien à voir avec votre propre informatique. Publier votre propre contenu par l'intermédiaire d'un blog ou d'un service de microblogging comme Twitter ou identi.ca, non plus. Il en va de même pour les communications qui ne sont pas destinées à être privées, comme les groupes de discussion. Les réseaux sociaux peuvent se rapprocher du SaaS ; toutefois, à la base, c'est juste une méthode de communication et de publication, pas du SaaS. Si vous utilisez le service pour une édition mineure de ce que vous êtes sur le point de communiquer, cela ne pose pas de problème significatif.
Les services comme les moteurs de recherche collectent des données provenant de tout le web et vous laissent les examiner. Regarder dans leur collection de données n'est pas votre propre informatique dans le sens usuel - vous ne fournissez pas cette collection - donc utiliser un tel service pour rechercher sur le web n'est pas du SaaS. (Cependant, utiliser le moteur de recherche de quelqu'un d'autre pour mettre en oeuvre une fonction de recherche sur votre propre site est du SaaS.)
L'e-commerce n'est pas du SaaS, car la tâche informatique effectuée n'est pas uniquement la vôtre ; elle est plutôt effectuée conjointement pour vous et une autre partie. Donc il n'y a pas de raison particulière pour que vous seul vous attendiez à contrôler cette tâche. Le vrai problème dans l'e-commerce est la confiance que vous accordez à l'autre partie, en ce qui concerne votre argent et vos informations personnelles.
Utiliser les serveurs d'un projet commun n'est pas du SaaS car la tâche informatique que vous effectuez de cette manière ne vous appartient pas personnellement. Par exemple, si vous éditez des pages sur Wikipédia, vous ne faites pas votre propre tâche informatique, vous collaborez aux tâches informatiques de Wikipédia.
Wikipédia contrôle ses propres serveurs, mais les groupes peuvent faire face au problème du SaaS s'ils font leurs activités de groupe sur le serveur de quelqu'un d'autre. Heureusement, les sites d'hébergement de projets de développement comme Savannah et SourceForge ne posent pas le problème du SaaS, puisque ce que font les groupes sur ces serveur est essentiellement de la publication et de la communication au public, plutôt que leurs propres tâches informatiques privées.
Un jeu multi-joueurs est une activité de groupe effectuée sur le serveur de quelqu'un d'autre, ce qui en fait un SaaS. Mais quand les seules données concernées sont l'état du jeu et le score, la pire tort que puissiez subir de la part de l'opérateur est le favoritisme. Vous pouvez très bien ignorer ce risque, car il est peu probable et n'est que de peu de conséquence. Par contre, quand le jeu devient plus qu'un jeu, le problème n'est plus le même.
Quels services en ligne sont du SaaS ? Google Docs en est un exemple clair. Son activité de base est l'édition, et Google encourage les gens à utiliser ce service pour leurs propres éditions ; c'est ça le SaaS. Il offre la caractéristique supplémentaire d'être collaboratif, mais l'ajout de participants n'altère pas le fait qu'éditer sur le serveur est du SaaS (de plus, Google Docs est inacceptable car il installe un important programme JavaScript non libre dans les navigateurs des utilisateurs). Si utiliser un service pour communiquer ou collaborer requiert d'y faire également une part considérable de votre propre informatique, cette informatique est du SaaS même si la communication, elle, n'en est pas.
Certains sites offrent plusieurs services, et si l'un d'eux n'est pas du SaaS, un autre peut en être. Par exemple, le principal service de Facebook est d'être un réseau social, et ce n'est pas du SaaS ; toutefois, il gère des applications tierces, certaines pouvant être du SaaS. Le principal service de Flickr est de distribuer des photos, ce qui n'est pas du SaaS, mais il a aussi des fonctionnalités d'édition de photos, ce qui est du SaaS.
Certains sites dont le principal service est la publication et la communication l'étendent avec « la gestion des contacts » : garder une trace des gens avec qui vous avez des relations. Envoyer un courriel à ces personnes de votre part n'est pas du SaaS, mais garder une trace de vos agissements avec eux, si elle est substantielle, est du SaaS.
Si un service n'est pas du SaaS, ça ne signifie pas que c'est OK. Il y a d'autres choses nocives que peut faire un service. Par exemple, Facebook distribue des vidéo en Flash, ce qui pousse les utilisateurs à exécuter des logiciels non libres ; de plus il donne aux utilisateurs l'impression trompeuse que leur vie privée est respectée. Ce sont aussi des problèmes importants, mais le sujet de cet article est le problème du SaaS.
L'industrie informatique décourage les utilisateurs de faire attention à ces distinctions. C'est pour ça que l'« informatique dans les nuages » [cloud computing] est à la mode. Ce terme est si nébuleux qu'il peut référer à quasiment toutes les utilisations d'Internet. Cela inclut le SaaS et cela inclut presque tout le reste. Ce terme ne se prête qu'à des déclarations générales et sans intérêt.
La vraie signification d'« informatique dans les nuages » est de vous suggérer une approche je-m'en-foutiste de votre informatique. Elle dit : « Ne posez pas de questions, faites juste confiance sans hésitation à chaque entreprise. Ne vous souciez pas de savoir qui contrôle votre informatique ou détient vos données. Ne vérifiez pas la présence d'un hameçon caché dans notre service avant de l'avaler.» Dit autrement, « pensez comme une poire ». Je préfère me tenir à l'écart de ce genre de contrat.
Seule une petite partie de tous les sites web font du SaaS ; la plupart ne posent pas ce problème. Mais que sommes-nous censés faire à propos de ceux qui le posent ?
Pour le cas simple où vous travaillez sur des données que vous possédez personnellement, la solution est simple : utilisez votre propre copie d'une application logicielle libre. Faites vos éditions de texte avec votre copie d'un éditeur de texte libre comme GNU Emacs ou d'un logiciel de traitement de texte libre. Faites vos éditions de photos avec votre copie d'un logiciel libre comme GIMP.
Mais qu'en est-il de la collaboration avec d'autres personnes ? Cela risque d'être difficile à faire à l'heure actuelle sans utiliser un serveur. Si vous en utilisez un, ne faites pas confiance à un serveur mis en œuvre par une société. Un simple contrat en tant que client n'est pas une protection à moins que vous ne puissiez détecter une violation et effectivement poursuivre devant les tribunaux ; la société a probablement écrit son contrat pour permettre un large éventail d'abus. La police peut assigner la société pour obtenir vos données avec une justification plus fragile que pour vous assigner vous, à supposer que la société ne leur soit pas dévouée comme les opérateurs téléphoniques américains qui ont illégalement mis sur écoute leurs clients pour Bush. Si vous devez utiliser un serveur, utilisez un serveur dont les opérateurs vous donnent une bonne raison de leur faire confiance, au-delà de la simple relation commerciale.
Cependant, à plus longue échéance, nous pouvons créer des alternatives à l'utilisation de serveurs. Par exemple, nous pouvons créer un programme pair-à-pair à travers lequel les collaborateurs pourront partager des données chiffrées. La communauté du logiciel libre devrait développer des alternatives pair-à-pair distribuées aux « applications web » importantes. Il pourrait être judicieux de les publier sous la licence GNU Affero GPL, car elles sont candidates à être transformées en programmes serveurs par quelqu'un d'autre. Le projet GNU recherche des bénévoles pour travailler sur ces programmes alternatifs. Nous invitons également les autres projets libres à prendre en compte cette question dans la conception de leurs logiciels.
En attendant, si une société vous invite à utiliser ses serveurs pour exécuter vos propres tâches informatiques, ne cédez pas ; n'utilisez pas le SaaS. N'achetez pas et n'installez pas de « clients légers », qui sont simplement des ordinateurs si peu puissants qu'ils vous font faire le vrai travail sur un serveur, à moins que ce ne soit pour les utiliser avec votre serveur. Utilisez un véritable ordinateur et gardez vos données dessus. Faites votre travail avec votre propre copie d'un programme libre, par souci de votre liberté.