GuiGui's Show

Depuis sa version 10 / Buster (voir ici pour la version 11), le système d'exploitation Debian utilise par défaut le service de distribution de contenus (CDN) de la société commerciale états-unienne Fastly pour distribuer les logiciels depuis les dépôts officiels. Y compris les mises à jour de sécurité. Chacun peut changer ce comportement : liste des dépôts logiciels officiels hors CDN.

OpenStreetMap, la cartographie (et le calcul d'itinéraire) communautaire et libre utilise également le CDN de Fastly pour diffuser la carte géographique communautaire. Je m'en suis rendu compte en janvier 2021 grâce à ma configuration poussée d'uBlock Origin destinée à limiter le flicage sur le web. ÉDIT DU 23/11/2022 : il existe une carte maintenue par l'association française et hébergée en France. FIN DE L'ÉDIT.

La plupart des fournisseurs d'accès à Internet associatifs repose (quasi-)exclusivement sur le service de fourniture de connectivité (transitaire) de la société commerciale états-unienne Cogent. Cet acteur a censuré The Pirate Bay pour tous ses clients suite à une décision de justice espagnole (action qui impacte au-delà des limites de la juridiction, ce qui pose des questions de souveraineté).

ÉDIT DU 23/01/2022 :

Comme on me l'a fait remarquer, TPB n'aurait pas été visé dans l'injonction judiciaire imposée à Cogent (source). J'avais suivi l'histoire à l'époque, j'étais même content d'avoir un deuxième transitaire qui faisait que ça marchait chez moi, et il me semble que le blocage avait persisté après que CloudFlare ait migré TPB (entre autres) sur une nouvelle IP. Comme quoi. :O

Mon illustration tombe à l'eau mais mon raisonnement reste intact : dépendance à une multinationale ricaine (donc au droit ricain, extra-territorialité, etc.), dépendance à un seul acteur qui peut être en panne, mal se comporter (techniquement, commercialement, etc.) ou appliquer une décision de justice au-delà des limites de la juridiction. Je ne sais pas ce qu'il en est actuellement, mais, y'a encore 3 ans, tu n'avais pas accès à l'empire Google en IPv6 ni à Hurricane Electric IPv6 depuis Cogent. Pour être opérateur Internet en Europe (au sens large), le RIPE impose d'avoir deux transitaires au minimum. Résilience, tout ça. C'était encore le cas en 2018-2019, en tout cas (l'association Toile libre s'est faite rappeler à l'ordre).

FIN DE L'ÉDIT.

Firefox et ses trouzemilles mouchards : télémétrie et rapports de santé, expérimentations (experiments et shield studies), CloudFlare pour DoH, Google Safe Browsing pour prévenir l'accès à des sites web / téléchargements malveillants, synchronisation des paramètres via le cloud, listes des extensions malveillantes / signature des extensions, liste des sites web piratés afin d'informer l'utilisateur d'une éventuelle fuite de données personnelles, pub lors de l'ouverture d'un nouvel onglet, etc. Sans compter le retrait du protocole dans les URLs (« http », « https ») pour faire comme les autres navigateurs web (on favorise l'émergence de citoyens éclairés ou on copie les concurrents ?) ou le fait que Mozilla a jamais œuvré pour réduire la nuisance du mécanisme de tiers de confiance dans HTTPS.

Que nous apporte un navigateur web libre (cas de Firefox) ? S'il faut s'y connaître et perdre du temps à bidouiller à chaque nouvelle version pour ne pas se faire siphonner sa vie privée…

Qu'apportent nos alternatives communautaires qui reposent, en partie, sur des infrastructures non-communautaires pour ne pas dire capitalistes ? À quoi bon tous les efforts de contribution à des alternatives qui n'en sont pas vraiment ?

Oui, tous les choix sus-mentionnés ont été discutés au sein des communautés, tout le monde pouvait participer. Et ? Tout un groupe peut se tromper ou être impuissant (car le pouvoir est ailleurs, gouvernance fermée, etc.)… Mais surtout, ce n'est pas mon sujet.

Oui, c'est la stratégie du moins pire, un compromis pas bien grave (ce n'est pas le core-business, comme on dirait dans une société commerciale) qui permet de survivre (dèche et bénévoles en berne) . Mais c'est déjà de la résignation : on renonce à ce qu'on désire vraiment, à construire le monde que l'on veut, pour se contenter de piocher parmi les solutions existantes alors qu'aucune limite physique ne nous y contraint (les limites juridiques, politiciennes, financières, et autres sont artificielles et dépendent des moyens et de la peine qu'on se donne). On ne fait pas avancer son idéal.

Oui, ce qui compte, c'est de faire un choix non-fanatique en prenant en compte la capacité de nuisance des acteurs : si l'on peut profiter du mécénat d'une société commerciale pour diffuser nos bidules de hippies en prenant un risque limité, pourquoi s'en priver ? Fastly qui s'amuserait à véroler les paquets logiciels Debian, par exemple, ça se verrait, d'où un risque sur l'image de la société (et ? nous avons tous la mémoire bien courte et ce n'est pas parce que les Debianeux les mieux informés boycotteront Fastly que les DSI du CAC 40 en feront de même), et, surtout, ça serait très rapidement jugulé et corrigé par les contributeurs (fraude limitée dans le temps donc réduction de l'intérêt de frauder). Le choix d'OpenStreetMap m'apparaît être plus risqué au niveau de la vie privée. Cogent est acceptable dans un mix de transitaires, donc les vrais problèmes sont l'absence de ce mix, l'absence de diversité au niveau de l'ensemble des FAI associatifs, et le recours à un prestataire dépendant d'une législation craignos niveau vie privée (mais low-cost).

Nous renforçons des acteurs économiques imposants (oligopole), qui, par leur poids, par la position que nous leur accordons, nuiront.

Nous oublions un savoir-faire en le déléguant (oui, encaisser du trafic Internet généré par des milliers / millions de personnes, c'est des compétences). Nous ne savons plus comment les choses fonctionnent (ce qui permet de nous arnaquer, cf les scandales alimentaires, le vol de données personnelles par les grands acteurs du web, etc.). Il ne s'agit pas de savoir tous tout faire, mais de maintenir du savoir-faire au sein de nos communautés afin qu''il soit accessible, connu, diffusé.

Je trouve vraiment dommage de renoncer à la souveraineté communautaire sur les infrastructures de nos alternatives.

Je trouve vraiment dommage de ne pas aller au fond des choses, de capituler. À quoi bon construire des alternatives, alors ? Elles seront moins bonnes en termes de fonctionnalités (nous n'innovons pas, nous copions), sauf sur les logiciels d'infrastructure, BIRD, FreeRADIUS, Unbound, etc.), donc la seule chose que nous pouvons vendre, c'est une éthique infaillible. Or, il m'apparaît que nous échouons de plus en plus (cf les exemples ci-dessus).