La version 67 de Firefox a été publiée le 21 mai 2019.

Les principales nouveautés portent sur la version bureau et concernent le lancement officiel de WebRender (limité à certaines configurations sous Windows dans un premier temps), des améliorations de performance, des raffinements de l’interface, la prise en charge du décodage de AV1 sur Windows, macOS et GNU/Linux et, surtout, des mesures significatives permettant de renforcer la protection de la vie privée.
Comme d’habitude, le détail des nouveautés suit en seconde partie.

N. D. M. : l’équipe de modération tient à remercier antistress pour l’exceptionnelle précision documentaire de sa dépêche.

Le 6 juillet a été voté une loi européenne dite "ePrivacy" qui instaure de manière dérogatoire (durée maximum de trois ans) une surveillance automatisée de masse des échanges numériques afin de lutter contre la pédopornographie.
À cette occasion l'eurodéputé Patrick Breyer (membre du Parti Pirate allemand) a écrit un article de blog intitulé "La fin de la vie privée pour la correspondance numérique". Cette dépêche propose une traduction en français de l'article de blog.

La Commission européenne a récemment publié une feuille de route stratégique intitulée « Feuille de route thématique sur l’open source et contributions sur les principes de confiance communs » (« La voie du logiciel libre vers la souveraineté numérique et la compétitivité de l'Union européenne »), préparée par l'Alliance européenne pour les données industrielles, l'Edge et le Cloud (dont l'auteur de ces lignes fait partie). Ce document de 68 pages propose et détaille un plan d'action visant à positionner le logiciel libre comme un pilier central de la stratégie européenne pour renforcer son autonomie technologique face aux acteurs non-européens.

Le rapport part du constat de la dépendance de l'Europe dans les domaines du cloud, de l'edge et de l'IoT, et propose 70 actions concrètes pour y remédier. Parmi les mesures les plus significatives, on trouve notamment : la mise en place d'une politique d'achat public favorisant systématiquement les solutions libres européennes, la création d'un fonds de financement dédié aux projets critiques, et l'application de standards d'interopérabilité réellement ouverts pour contrer le verrouillage fournisseur (vendor lock-in).

Ce ne sont bien sûr que quelques propositions parmi les 70. Pour plus de détails, cliquez sur « lire la suite ».

La Commission européenne a publié le 21 octobre sa stratégie sur le logiciel libre pour la période 2020-2023.

Dans un document en français de seize pages, on peut prendre connaissance de la vision de la Commission : « [exploiter] la puissance de transformation, d’innovation et de collaboration du code source ouvert en encourageant le partage et la réutilisation de solutions logicielles, de connaissances et d’expertise, afin de fournir de meilleurs services européens qui visent à réduire les coûts pour la société et l’enrichissent », de son lien avec la stratégie de la Commission en matière de souveraineté numérique (« il est encore temps pour parvenir à une souveraineté technologique dans certains domaines technologiques essentiels »), de sa volonté de partager et de contribuer (« Nous partageons notre code et rendons possible les contributions incidentes aux projets à code source ouvert associés. […] Nous nous efforçons d’être un membre actif de l’écosystème diversifié du code source ouvert. »), et enfin des leviers et actions concrets envisagés par la Commission, dont, par exemple :

• privilégier les solutions « open source » lorsqu’elles sont équivalentes en matière de fonctionnalités, de coût total et de cybersécurité (ce principe a déjà été adopté par la Commission en 2018 et discuté dans ce communiqué) ;
• adopter une culture de travail fondée sur les principes du code source ouvert, le partage et la réutilisation ;
• s’assurer que les codes utilisés et partagés sont exempts de failles en appliquant des tests de sécurité continus ;
• encourager des normes et spécifications ouvertes qui sont mises en œuvre et diffusées selon le principe du code source ouvert ;
• mettre en place un bureau de programme open source (OSPO, Open Source Program Office) qui agira en tant que facilitateur pour toutes les activités décrites dans la stratégie et le plan d’action ; il aidera les spécialistes des différents domaines concernés, encouragera les directions générales et contribuera à équilibrer les priorités internes et les activités externes.

Les enchères en temps réel, ou Real-Time Bidding (RTB), sont une technologie publicitaire omniprésente sur les sites web et applications mobiles commerciaux. Selon un rapport publié en novembre dernier, cette technologie soulève de sérieuses préoccupations en matière de confidentialité, car elle permet la diffusion de données sensibles sur les utilisateurs à un grand nombre d’entités, sans garanties de sécurité adéquates. Le système RTB expose les utilisateurs à des risques potentiels de la part d’acteurs étatiques et non étatiques malveillants.

La technologie RTB permet à des entités étrangères et à des acteurs non étatiques d’accéder à des informations confidentielles sur le personnel sensible et les dirigeants clés en Europe. Ces données peuvent être obtenues directement via l’exploitation de plateformes de demande (DSP) ou indirectement à partir d’autres entités. De plus, les entreprises de RTB transmettent souvent ces données personnelles en Russie et en Chine, où les lois locales permettent aux agences de sécurité d’y accéder. La large diffusion des données RTB auprès de multiples entreprises au sein de l’UE augmente également le risque d’accès par des acteurs indésirables.

Les données RTB contiennent souvent des informations personnelles telles que la localisation, les horodatages et d’autres identifiants, ce qui facilite l’identification des individus. Cela peut inclure des informations sensibles sur leur situation financière, leur santé, leurs préférences sexuelles et leurs activités en ligne et hors ligne. Même les personnes utilisant des appareils sécurisés à des fins professionnelles ne sont pas à l’abri, car leurs données circulent toujours via le RTB à partir de leurs appareils personnels, de ceux de leurs familles ou de leurs contacts.

Beaucoup de nos services numériques du quotidien sont propulsés en partie voire entièrement par les GAFAM. Les risques de cette dépendance s'illustrent de plus en plus fréquemment dans l'actualité : représailles envers l'ex-Commissaire européen Thierry Breton et des ONG luttant contre la désinformation en ligne, clôture de la boite de courriel du procureur de la Cour Pénale Internationale, …

Ces vulnérabilités mettent en danger le fonctionnement des démocraties européennes.

On peut être tenté d'attendre une nouvelle législation européenne, cependant le carburant de ces plateformes est en premier lieu nos données personnelles : quitter ces plateformes réduit à la fois notre exposition personnelle et notre contribution collective à ce système néfaste.

C'est le sens de l'appel lancé à Hambourg lors du 39ème CCC : le 4 janvier (puis chaque 1er dimanche du mois), faites migrer vos connaissances d'une des plateformes et faites le savoir en utilisant les mots clés #DiDay ou #iDidIt sur le Fediverse.

La Commission européenne a lancé un appel à commentaires pour une nouvelle initiative stratégique intitulée « Vers des écosystèmes numériques ouverts européens », dont l’adoption est prévue au premier trimestre 2026. Motivée par les objectifs essentiels de souveraineté technologique et de cybersécurité, cette initiative vise à réduire la dépendance de l’Union européenne vis-à-vis des infrastructures numériques non européennes en renforçant le secteur open source européen. S’appuyant sur la stratégie 2020-2023 en matière de logiciels open source et complétant la future loi sur le développement du cloud et de l’IA, cette feuille de route vise à identifier les obstacles à l’adoption, à soutenir le développement des communautés et des start-ups open source, et à garantir que les technologies ouvertes dans des secteurs critiques tels que l’IA, le cloud et les applications industrielles soient développées et régies dans un cadre européen sûr, compétitif et transparent.

L’appel à commentaires suscite un certain enthousiasme de la communauté Open Source, avec 334 réponses moins d’une semaine après son ouverture. Cf. ces statistiques.

Continuez la lecture pour le détail des questions posées, quelques éléments de contexte et quelques éléments de réponses possible.

Le CRA (Cyber Resilience Act) est un projet de directive européenne qui vise à améliorer la cybersécurité des produits et des services numériques dans l’Union européenne (UE). Malheureusement le texte actuellement proposé par la Commission et en cours d’examen au Parlement et au Conseil représente une menace existentielle pour la filière européenne du logiciel libre. C’est ce qui a été mis en évidence depuis la publication du texte par les experts de la filière du logiciel libre (cf. références).

Dans un communiqué commun et une lettre ouverte aux eurodéputés et aux représentants du Conseil de l’Union européenne publiés ce jour, les institutions signataires, représentatives de la communauté des logiciels libres, soulèvent les principaux problèmes avec le CRA, notamment que:

• Si le CRA est mis en œuvre dans sa rédaction actuelle, cela aura un effet profondément dissuasif sur le développement et l’utilisation des logiciels libres en Europe, ce qui aurait pour effet de compromettre les objectifs de l’UE en matière d’innovation, de souveraineté numérique et de prospérité future.
• Le CRA ne prend pas en compte les besoins et les perspectives uniques des logiciels libres, notamment en tant que méthodologie moderne utilisée pour créer des logiciels.
• La communauté des logiciels libres n’a pas été suffisamment consultée lors de l’élaboration du CRA, malgré le fait que les logiciels libres représentent plus de 70% des logiciels intégrés dans les produits numériques en Europe.
• Il est essentiel qu’à l’avenir, toute législation qui impacte l’industrie européenne du logiciel prenne en compte les besoins et les perspectives uniques des logiciels libres, qui jouent un rôle critique dans l’économie numérique, et représentent environ 100 milliards d’euros d’impact économique en Europe.

Un rapport récent a introduit l’Indice Européen de Résilience Numérique (EDRIX) dont l'objectif est de mesurer de manière chiffrée et objective la capacité des 27 États membres de l'Union européenne à « construire, maintenir et contrôler leur propre destinée numérique » et vise à fournir un outil d'analyse pour guider les politiques industrielles vers un « EuroStack » souverain.

L'indice agrège les scores de cinq piliers, dont quatre reposent sur des données mesurables concrètes, plutôt que de se contenter de simples déclarations d'intention.

• Politiques Publiques : maturité des stratégies Open Source nationales (basé sur les rapports OSOR de la Commission européenne).
• Écosystème de Développeurs : densité de développeurs par habitant (données GitHub, à défaut de disposer des données des autres plateformes) et nombre de solutions souveraines référencées dans les principaux annuaires (données agrégées issues de l'annuaire EuroStack).
• Adoption par la Société Civile : part de marché des navigateurs "souverains" (Firefox, Brave, Opera) et part de marché des ordinateurs sous Linux (moyenne de 3,7 % dans l'UE27).
• Résilience du Secteur Privé : souveraineté de l'infrastructure (web, mail, DNS) des domaines nationaux à fort trafic.
• Résilience du Secteur Public : souveraineté de l'infrastructure des institutions publiques clés (Présidence, Gouvernement, capitale).

Le rapport introduit également un indice complémentaire plus spécifique au logiciel libre, l'EOTRIX (European Open Technology Readiness Index).

Concernant la France, qui se classe seulement 6ème, le rapport révèle un tableau contrasté qui illustre le fossé entre politique et pratique, avec un écosystème de développeurs et une adoption par la société civile qui n'obtiennent que des scores moyens (respectivement 4,08/10 et 5,09/10).

Le sujet de la souveraineté numérique, vue comme une autonomie stratégique pour l’Union européenne et les États membres dans l’espace du numérique, est un sujet qui revient de plus en plus souvent dans l’actualité, compte-tenu notamment de la prise de conscience collective de l’influence grandissante et sans doute excessive des GAFAM.

La Commission européenne, dans sa Communication d’octobre 2020 sur sa stratégie open source, en faisait un principe fondateur, et mettait en avant de nombreux arguments faisant le lien entre logiciel libre et souveraineté numérique.

Le gouvernement allemand a décidé au mois d’avril 2021 de créer un « centre pour la souveraineté numérique » (ZenDiS) dont la mission première sera la promotion des logiciels libres dans l’administration publique.

Le CNLL a récemment publié son étude de la filière du logiciel libre en France qui met en avant cette année, entre autres, ce sujet, et notamment l’implication des entreprises de l’écosystème français et des propositions concrètes. Voir en particulier les pages 59 à 93 du rapport détaillé.

Stefane Fermigier, co-président du CNLL, a été auditionné la semaine dernière par la mission d’étude de l’Assemblée nationale sur la souveraineté numérique, et a détaillé l’ensemble de ces points. La vidéo de ses échanges avec le rapporteur de la mission, le député Philippe Latombe, ainsi qu’une transcription, sont à présent disponibles.