mars 25th, 2009

Encore du Cloud, avec –et ce n’est pas là une coïncidence- cette plainte de l’Epic (Electronic Privacy Information Center) déposée à la FTC à l’encontre de Google. L’Epic invoque les « graves risques d’atteinte à la vie privée » que pourraient provoquer les fameux services « Cloud Computing ». A la lueur des récents événements et la publication de certaines failles, l’Epic considère que Google ne serait pas capable de garantir les « privacy and security safeguards » minimaux. Il y en a pour 15 pages, parfois relativement partiales, parfois capables de mettre le doigt sur des points légaux assez épineux. Notamment pour ce qui concerne les limites de responsabilité que Google s’octroie dans ses « Terms
of
Service », ou contrat d’utilisation. Craig Balding décortique point à point les arguments avancés par l’Epic. Il en relève les principales faiblesses et les aspects passablement extrémistes.

En France, le sujet fait bouillonner le Landernau des visionnaires. Louis Naugès, sur son Blog, s’extasie face à cette profusion de services virtualisés qui arrivent grâce au « online ». Et d’opposer l’offre Google Apps et Microsoft BPOS. Ne ménageons aucun suspens, Microsoft abandonne par KO technique et financier avant le troisième round. L’Arbitre conclut par un « Microsoft BPOS est 3,7 fois plus cher que Google Apps » sans appel. Puis, pour confirmer cette mort annoncée, cite une interview de Bernard Ourghanlian par Hugo Lunardelli durant laquelle il est dit « Pourquoi les gens ont-ils envie d’aller vers des clients Web ce qui, à bien des égards, constitue un contre-sens total ? ». Naugès conclut en soulignant cette apparente contradiction entre ce qui se dit intuitu personae et la « ligne doctrinale du parti ».

Des propos qui font bondir Jean Michel Planche, imprécateur instinctif qui fut l’un des fondateurs de l’Internet Français commercial et public tel qu’on le connaît actuellement. « Le Cloud est un fantasme » dit-il en substance. « Ce n’est que l’une des nombreuses tentatives de récupération facturée, de « Minitélisation » à la fois d’Internet et des usages bureautiques ». En gros, les géants de l’outsourcing veulent parvenir à faire payer touts les ans un logiciel que la majorité des usagers n’achetaient qu’une fois « par machine » -tous les 5 ans environ-, tout en leur supprimant la moindre velléité de consommer autre chose que ce qui est offert dans la vitrine des services. Le Cloud, c’est un service fermé et propriétaire, tout l’opposé de ce que la microinformatique et les réseaux publics nous ont apporté jusqu’à présent.

JMP passe accessoirement à côté d’une autre idée importante qui a présidé au développement de la microinformatique : l’appropriation matérielle, la tangibilité de la richesse. Le culte machiste –et combien réel- du « mon ordinateur », « mon soft », « mon gadget perso que j’ai installé moi-même », « ma configuration que personne d’autre ne possède », et surtout « ma liberté de choisir et de garder par devers moi les fichiers dont j’ai besoin »… en d’autres termes la part d’égotisme et de fétichisme qui sied à tout outil personnel. On « emporte » son ordinateur avec soi –le succès des ventes de portables en informatique grand-public en est une preuve indéniable-, et même si l’on peut apprécier la souplesse d’un Gmail ou d’un FaceBook, rares sont les internautes qui accepteraient d’être reliés à un réseau pour écrire une lettre ou entamer une partie de solitaire « payante au verre ou à la bouteille ». Précisément en raison des souvenirs cuisants que les abus de la facturation multi-paliers du Minitel ont gravé au fer rouge dans l’inconscient des Internautes d’aujourd’hui. Même ceux qui n’ont pas connu le Minitel.

Moins viscéral, mais tout aussi important, ce désir de maîtriser l’outil et les richesses intellectuelles qui y sont associées touche également les entreprises. De manière d’autant plus prégnante que ladite entreprise est petite… ou très grosse. Les promesses d’économies avancées par les défenseurs du Cloud tombent bien à propos, en pleine période de crise, à une période où les contraintes comptables sont telles que le moindre miroitement d’une économie probable et à court terme pourrait bien faire basculer des DSI par centaines. Et plus particulièrement celles qui traversent une période de mutation dictée soit par une croissance brutale, soit, cas le plus courant ces jours-ci, par une récession notable des moyens.

Rebattu ? Galvaudé ? A la mode ? Non. Tarte à la crème. L’avenir du Cloud Computing est aux blogueurs et éditorialistes un inépuisable sujet d’argumentation. C’était, jusqu’à très récemment, une technologie et une solution infrastructurelle quasiment idyllique : économique en diable, sécurisée de bout en bout, permettant –sans trop le clamer- les dégraissages tant espérés par les actionnaires de grands groupes, le tout garantissant une efficacité et un retour sur investissement mirifiques. Discours que l’on entend depuis des lustres… autrefois, cela s’appelait la « sous-traitance en Batch » sur du mini-6 à temps de travail saucissonné. Puis ce fut la mode de l’externalisation. Puis les Application Service Provider. Plus tard encore des « managed services ». Aujourd’hui, on virtualise, on fait de la collocation, de l’agrégation de compétences dans des data centers comptant plusieurs centaines de milliers de machines : c’est le Cloud.

Qu’est-ce qui ferait cette fois que ce Cloud-là aurait plus de succès que les petits nuages d’antan ? En premier lieu la généralisation des maillages haut débit et des opérateurs télécoms locaux qui vendent à la fois infrastructure informatique et liens de transmission. Ensuite les « gros » prestataires de services sont de véritables acteurs planétaires. Google, Microsoft, Amazon… des noms dont on sait très bien qu’ils sont capables d’aligner à la fois la solidité financière, les teraflops de calcul, les petaoctets de stockage, les Méga-systèmes d’exploitation adaptés à ces super-clusters et les exa-effectifs de maintenance, d’intervention et d’administration.

Seulement voilà, après les promesses lénifiantes des premiers jours, voici que résonnent certaines objections. Ainsi, lors de la dernière réunion Parisienne du Cercle Européen de la Sécurité, Maître Christiane Féral-Schuhl rappelait certaines règles juridiques de prudence relatives à la nature du contrat liant le donneur d’ordre et le sous-traitant, et les risques, en cas de désaccord, de voir se juger un différent dans une juridiction autre que Française. Et encore, lorsque ce genre d’action à quelque chance d’aboutir. En termes plus simple, le Cloud n’est jamais qu’un mot nouveau pour désigner une sous-traitance de service, et l’on a intérêt que ledit service soit à portée de main d’avocat, quelque part entre La Bourboule et Castelnaudary. Quand à l’économie supposée, elle n’est probablement effective que dans le cadre de petites et moyennes structures informatiques, essentiellement en raison de l’optimisation des ressources offertes et de la réorganisation plus stricte qu’impose une sous-traitance bien définie. Les grandes entreprises, pour leur part, ont depuis longtemps des services informatiques structurés et optimisés. Les économies escomptées seraient moins évidentes, les risques liés à l’expatriation des données plus importants.

Ce à quoi les grands acteurs du Cloud font remarquer que tous, sans exception, possèdent au moins une filiale dans chaque pays d’Europe, garantissant ainsi les possibilités de recours légal nécessaire. Certes, mais les données… où sont-elles ? Sous quelle juridiction ? Les promesses d’aujourd’hui ne sont pas à l’abri des interprétations de demain. Et quand bien même seraient-elle conservées localement que se pose la question de la cohésion de la « chaine de sécurité » et de la « chaine de normalisation/certification ». Security Focus publie à ce titre un court article sur le sujet, au fil duquel il est fait remarquer que certaines contraintes PCI-DSS limitent l’usage de cette nouvelle forme de sous-traitance… pour de simples raisons de définition.

« Le problème n’est pas si simple » dit en substance Christopher Hoff –Packetfilter-, au fil d’une présentation kilométrique (66 pages Powerpoint) traitant précisément de sécurité et de cloudification des services, des logiciels, des infrastructures… Hoff décortique les différents types d’externalisation, les différents moyens d’utiliser ces externalisations –partielle ou totale-, les différentes offres de service des trois principaux « vendeurs de nuage » et les différents niveaux de sécurité que l’usager-client doit lui-même assurer en fonction de l’offre. Ladite présentation, conçue pour illustrer les propos de Hoff lors de la dernière conférence SourceBoston, s’intitule « Les grenouilles qui voulaient un roi, une sur la virtualisation et le Cloud Computing ». Sa première accroche, « Virtual Security In the Cloud Is Bollocks », donne tout de suite le ton. Mais ne nous y trompons pas, il s’agit là d’un exposé très sérieux et qui parvient à faire le tour de la question. Un document de travail indispensable que devrait lire tout responsable de projet avant de s’engager dans une telle croisade.