Mon blog

La commission des lois de l'Assemblée Nationale a voté le 13 janvier le principe de la création d'un « OS souverain », et cet amendement a été confirmé par le vote de l'Assemblée les 20 et 21 janvier (voir l'actuel texte consolidé). Si cette initiative ni réfléchie, ni étudiée, a, à juste titre, déclenché l'hilarité de Twitter, c'est l'occasion d'expliquer ce que cela veut dire et où ça mène.

L'idée est en effet ancienne, dans tous les endroits où se promènent des Excellences et des gourous à ministres, on entend ce projet, en général jamais explicité et jamais détaillé. Comme les zombies dans les jeux vidéo, cette idée est très difficile à tuer et renait tout le temps. C'est en bonne partie parce qu'il n'y a aucun cahier des charges digne de ce nom : juste un slogan creux.

Mais imaginons qu'on cherche un peu. Qu'est-ce que pourrait être un OS souverain et pourquoi est-ce que ce serait une mauvaise idée ?

D'abord, questionnons un peu ce qu'on entend par « OS ». Le terme de « système d'exploitation » (OS = Operating System dans la langue d'Edgar Hoover) peut désigner deux choses en français :

• Le logiciel qui parle directement au matériel et présente ensuite aux applications une vue abstraite de ce matériel. C'est ce sens qui est utilisé quand on dit « Linux est un système d'exploitation ».
• L'ensemble des logiciels livrés ensemble, avec le noyau, les bibliothèques, un certain nombre d'applications de base, etc. C'est le sens de « système d'exploitation » dans la phrase « Windows est un système d'exploitation ».

Rappelez-vous, l'Assemblée a voté un projet sans définir ce qu'elle entendait par là. On va donc supposer que c'est le deuxième sens, celui d'un ensemble complet, permettant à des gens ordinaires de commencer à travailler.

Si c'est bien le cas, c'est une tâche colossale et, franchement, déraisonnable. Cela représente une quantité de logiciels astronomique, que ne peuvent réaliser que de très grosses entreprises comme Microsoft, ou bien les myriades de développeurs du logiciel libre. Le futur « Commissariat à la Souveraineté Numérique » n'aura certainement pas les moyens de financer un tel développement. Clamer « on va écrire un système d'exploitation » est donc une vantardise ridicule.

Peut-être qu'il y aura simplement adaptation d'un système d'exploitation existant ? Prendre un système qui existe, par exemple en logiciel libre, modifier deux ou trois choses et lui coller un drapeau tricolore sur l'écran de démarrage ? Techniquement, c'est plus raisonnable. C'est ce qu'ont fait des États soucieux de souveraineté comme la Corée du Nord avec Red Star OS, ou bien l'administration française avec CLIP (non cité à l'Assemblée : la main droite de l'État ignore ce que fait sa main gauche). Il existe plein de systèmes existants qui pourraient servir de base pour éviter de réinventer la roue (réinvention qu'adorent les députés, ainsi bien sûr que les gagneurs de marchés publics habituels). On peut citer, entre autres :

• Replicant pour les smartphones,
• OpenWrt pour les boxes,
• Debian pour le poste de travail,
• Etc

On ne peut plus alors dire « on va développer un OS souverain » mais, est-ce que, sur le fond, le résultat ne serait pas le même ?

Dans l'hypothèse où ce soit la stratégie suivie, quelles modifications pourraient être apportées au système existant ? C'est là que commencent les problèmes politiques : soucieux d'unanimité, les députés n'ont pas expliqué ce point. Pas la moindre plus petite ébauche de liste des fonctions souhaitées, dans l'amendement voté à l'Assemblée. Essayons de faire le travail des députés. Un tel système pourrait permettre :

• De ne pas envoyer toutes les données personnelles à Google, contrairement à ce que fait Android,
• De fournir des outils de chiffrement solides et faciles à utiliser, immédiatement disponibles,
• D'avoir des portes dérobées permettant à l'État de lire nos communications,
• De mettre en œuvre dans le code les lois et règlements français, par exemple en incorporant le filtrage imposé par les ayant-trop-de-droits,
• De gérer proprement Unicode partout, afin de pouvoir écrire correctement le français et les langues de France (chose qui est difficile avec Windows).

Ce n'est qu'une liste partielle. Mes lecteurs ont certainement plein d'autres idées intéressantes. Mais le point important de cette liste est que, toute partielle qu'elle soit, elle est déjà très contradictoire. C'est en effet le problème de fond avec la souveraineté : il s'agit de la souveraineté de qui ? Du citoyen qui veut se protéger ? De l'État qui veut tout voir et tout entendre ? Le futur système d'exploitation souverain offrira-t-il du chiffrement solide de bout en bout ou bien facilitera-t-il la surveillance des utilisateurs ? Ça, c'est une vraie question politique, et c'est normalement le travail des députés. Qu'ils ne l'aient pas discuté dans leur amendement illustre bien leur manque de sérieux.

D'autant plus qu'écrire un tel « OS souverain » n'est pas tout. Encore faut-il que les gens l'utilisent. En Corée du Nord, citée plus haut, pas de problème, il suffit qu'on leur demande gentiment et tous les citoyens le font. Mais en France ? Il faudrait convaincre les citoyens et cela sera difficile si on leur dit juste « c'est un fantasme de Pierre Bellanger, installez-le, ça lui fera plaisir. » Après tout, il n'y a aucune demande des utilisateurs.

Les députés eux-mêmes seront sans doute les plus réticents : ils crient bien fort à la tribune qu'ils veulent de la souveraineté numérique, mais les rares parmi eux qui répondent aux courriers électroniques le font depuis une adresse Yahoo ou Gmail. Jamais ils ne se dégooglisent, mais ils voudraient dégoogliser les autres.

Une administration particulièrement difficile à convaincre sera l'Éducation Nationale : comme elle a signé un accord scandaleux avec Microsoft, elle n'utilisera sans doute pas l'« OS souverain » (sur lequel il y a peu de chances que Microsoft porte ses applications...).

Enfin, il faut noter que l'expérience ne sert à rien : après les sommes faramineuses englouties dans l'escroquerie nommée « cloud souverain » (alors qu'il existait déjà plusieurs acteurs français du cloud), on pourrait s'attendre à davantage de précautions de la part de l'État, et à une analyse du passé, avant de prétendre influencer l'avenir... Sans compter l'expérience récente de Louvois, qui laisse des doutes sur la capacité de l'État français à gérer des grands projets informatiques.

Que va donner le projet actuel ? Verrons-nous naître le « Commissariat à la Souveraineté Numérique » ? Réalisera-t-il le fameux « OS souverain » ? Je vois cinq scénarios possibles :

• Tout cela sera oublié dans un mois. C'est juste un de ces votes habituels des politiques, pour faire un peu de buzz, sans suite dans les idées.
• Il y aura bien un début de réalisation mais cela n'ira pas très loin, peut-être juste la production d'une image Fedora avec un logo différent (genre coq).
• Selon un mécanisme plus proche de celui du projet « cloud souverain », beaucoup d'argent public sera dépensé, les habituelles sociétés gagnantes des marchés publics seront sélectionnées, elles remueront beaucoup d'air et, dans dix ans, il faudra constater l'échec du projet. (Mais on continuera à faire des discours, comme si rien n'était arrivé.)
• Un « OS souverain » sera bien développé, il intégrera portes dérobées, marquage des fichiers, DRM, et son utilisation sera rendue obligatoire par la loi, en utilisant l'émotion créée par le dernier attentat terroriste en date.
• Le Commissariat à la Souveraineté Numérique, convaincu par l'April et Framasoft, dégage de l'argent et des ressources humaines pour aider au développement de projets existants entièrement libres, comme Debian ou Replicant, systèmes qui permettent la souveraineté de l'utilisateur.

Le scénario 5 semble le moins probable, le 4 serait le pire, il en ferait même souhaiter que ce soit le scénario 3 qui soit réalisé : mieux vaut le gaspillage que la dictature.

Quelques lectures en plus :

• L'amendement adopté,
• Le très amusant compte Twitter OSsouverain,
• Une tentative d'évaluation financière chez Numérama, qui me parait plutôt sous-évaluée,
• Un bon article de Julien Duponchelle,
• Les déclarations du directeur de l'ANSSI, estimant que cet « OS souverain » est « un non-sens »,
• Un des rares articles favorables au projet. Il cite une députée qui prétend qu'on a mal compris son projet. Comme indiqué plus haut, je n'ai trouvé aucun détail sur le projet publié, où que ce soit (et surtout pas dans l'amendement voté). Si quelqu'un me dit que j'ai mal cherché, qu'il m'indique l'URL.
• L'excellente (et vigoureuse) dénonciation du projet dans Next Inpact,
• Mon exposé sur la souveraineté numérique aux JSSI.