Sur le site du système d’exploitation GNU du leader libriste Richard Stallman, on trouve une page qui explique que les logiciels de Google — comme ceux de l’essentiel de la Silicon Valley — sont des « malwares ». L’argumentation est solide, mais ouvre la porte sur un vrai débat en science politique.

Richard Stallman en 2009. Crédit : Anders Brenna.

L’imagination populaire associe souvent le mot « malware » à quelque chose comme de méchants hackeurs à capuche qui tapent des lignes de code à la Matrix pour créer des virus qui vont voler nos données bancaires, afficher des publicités intempestives, nous espionner par la caméra ou saboter le fonctionnement de notre appareil. Alors, quand la fine fleur du logiciel libre associe le mot « malware » à une entreprise établie comme Google, il y a de quoi être désarçonné.

Le billet en question se trouve depuis une dizaine d’années sur le site de GNU, le système d’exploitation à l’origine de la mouvance libriste dans les années 1980 et connu pour son association au noyau Linux. GNU est soutenu par la Free Software Foundation (FSF) de Richard Stallman, dit « RMS ». Pape du logiciel libre, au look barbu et aux cheveux longs, il est connu autant pour son caractère volcanique que pour ses prises de position radicales.

C’est à Stallman que l’on doit le copyleft, version inversée du copyright qui interdit à quiconque modifiant un logiciel libre d’en créer une version propriétaire — détail d’importance qui causa le schisme, vers la fin des années 1990, des modérés de la mouvance open source dont le fameux Linus Torvalds. Sur le plan personnel, Richard Stallman mène une vie d’ascète. Il refuse le téléphone portable ou la carte bleue pour échapper à la surveillance, donne un faux nom pour effectuer des réservations, utilise une version purifiée du noyau Linux et ne se connecte à Internet qu’à travers le réseau Tor.

Vu sous cet angle, il n’est peut-être pas surprenant de voir les produits Google qualifiés de « malware » sur le site de GNU. Ce dernier octroie plus largement cette qualification à pratiquement tous les logiciels « privateurs », le terme français utilisé par Stallman pour désigner les logiciels non libres ou propriétaires. Mais cela ne se résume pas à une croisade idéologique. Sur l’argumentation logique, Stallman n’a pas tort. Il met néanmoins le doigt sur de grands débats théoriques sur la sécurité des individus et leur émancipation.

Crédit : Aidan / Flickr

« Don’t be evil », ou pas

La version anglophone de la page sur le site de GNU est certes intitulée « Google’s Software is Malware », mais la version française titre « malveillance des logiciels de Google ». Il est vrai que le terme « malware » renvoie à une image très spécifique, celle d’un virus conçu par exemple pour voler les mots de passe de l’utilisateur, alors que le mot « malveillant » est beaucoup plus large et abstrait.

« Un logiciel est dit « malveillant » [malware] lorsque son fonctionnement a été conçu pour traiter l’utilisateur de manière inéquitable ou lui faire du tort (erreurs accidentelles mises à part) », commence la version francophone. Elle poursuit en signalant que c’est une qualité très répandue du logiciel propriétaire : « en pratique, un logiciel non libre est souvent malveillant parce que le développeur, conscient que les utilisateurs seraient incapables de corriger une éventuelle fonctionnalité malveillante, est tenté de leur en imposer quelques-unes ».

Un logiciel est dit malveillant lorsque son fonctionnement a été conçu pour traiter l’utilisateur de manière inéquitable ou lui faire du tort

Techniquement, tout cela se tient. Le reste de la page liste les divers aspects des logiciels de Google qui les font remplir cette définition somme toute très standard du malware. Google affiche des publicités et récolte des données personnelles pour son propre profit, parfois à l’insu de l’utilisateur. Ses sous-traitants écoutent (ou écoutaient) les gens via le micro de Google Assistant, même lorsque ce dernier n’est pas censé être activé.

Une porte dérobée dans Android permettait au géant de Mountain View de supprimer à distance des applications, que les utilisateurs le veuillent ou non. Google impose des DRM (digital rights management), des morceaux de code qui restreignent la lecture d’un contenu copyrighté. Certaines applications peuvent refuser de s’installer sur un smartphone où est configuré l’accès root (superutilisateur).

L’entreprise a aussi mis des bâtons dans les roues de certaines extensions Chrome, en particulier des bloqueurs de publicité, car ceux-ci interféreraient avec son business model. Au final, Google fait de nombreuses choses qu’un virus informatique ferait aussi et restreint la liberté de l’utilisateur sur d’autres aspects. CQFD.

Définir la malveillance logicielle

Voir les services de Google comme du malware paraît-il perturbant ? En effet, il y a des subtilités. Tout le monde est d’accord sur la définition du mot « malware » comme « logiciel conçu pour nuire à l’utilisateur ». Mais on s’accorde beaucoup plus difficilement sur ce que l’on considère comme « nuisant à l’utilisateur ». On peut comprendre ce bout de phrase de manière très large, comme le fait Stallman ; ou très étroite, comme le ferait un antivirus pour qui les stalkerwares ne seraient pas une forme de malware.

Ce conflit d’interprétation, on l’a également retrouvé chez les chercheurs en politique internationale, dans le domaine des études de sécurité. Cette branche a longtemps été dominée par des Américains au regard très militariste, pour qui un problème de sécurité se résumait surtout à une agression armée étrangère. Pour prendre un équivalent dans le monde du numérique, c’est comme si toute la sécurité informatique consistait à s’occuper des cyberattaques russes ou nord-coréennes.

Dans les années 1980, des universitaires se sont rebiffés contre cette vision assez bornée des choses et ont voulu « élargir » la définition de la sécurité. Selon les uns ou les autres, on devait parler de sécurité humaine, sociétale, économique ou environnementale. Et en exagérant un peu, à peu près tout ce qui était désagréable pour les gens pouvait dorénavant être considéré comme une atteinte à leur sécurité. Enfin, dans les années 1990, on a réussi à trouver des chemins intermédiaires pour échapper à ces deux excès, et trois écoles majeures sont nées en Europe.

Le petit port de pêche d’Aberystwyth au Pays de Galles.

Du CSS pour l’émancipation des peuples

Des positions intellectuelles comme celles de Richard Stallman, le côté hippie rebelle en moins, on en retrouve donc dans le milieu universitaire. Plus précisément dans cette petite station balnéaire du pays de Galles, peuplée de 16 000 habitants, hébergeant une université aussi grosse qu’elle et portant le nom parfaitement prononçable d’Aberystwyth. C’est la capitale historique des études internationales, et c’est là que sont nées dans les années 1990 les « études critiques de sécurité », abrégé en anglais « CSS » sans aucun rapport avec la mise en page des sites web.

Le Britannique Ken Booth avait bâti une bonne partie de sa carrière sur une vision orthodoxe du monde, centrée sur les États, le pouvoir et la guerre. Puis est venue ce qu’il appelle sa « déchéance » (PDF), une révélation intellectuelle qu’il eut en croquant dans la pomme de la philosophie allemande de Francfort. Influencée par le marxisme, cette dernière promouvait l’utilisation « critique » du savoir pour libérer les gens de l’oppression.

C’est l’émancipation, pas le pouvoir ou l’ordre, qui produit la vraie sécurité

En 1991, Booth fait le raisonnement suivant. D’un côté, « sécurité veut dire absence de menaces ». De l’autre, « l’émancipation est le fait de libérer les gens (en tant qu’individus et groupes) de ces contraintes physiques et humaines qui les empêchent de mener à bien ce qu’ils choisiraient librement de faire autrement ». Il découle logiquement que « la guerre et la menace de la guerre sont une de ces contraintes, tout comme la pauvreté, le manque d’éducation, l’oppression politique et ainsi de suite ».

Et le chercheur « déchu » conclut que « c’est l’émancipation, pas le pouvoir ou l’ordre, qui produit la vraie sécurité ». Richard Stallman n’aurait pas dit mieux. Le corollaire pour Ken Booth est que le monde doit se centrer autour des gens, et non des structures de pouvoir. Stallman argumente quelque chose de similaire quand il milite « pour que les utilisateurs contrôlent les logiciels qu’ils utilisent plutôt que l’inverse ».

Retour sur les pieds sur Terre

Bien sûr, la vision CSS de l’école d’Aberystwyth n’est pas la seule. Quand notre instinct nous dit que les produits Google ne sont pas des malwares, nous penchons plutôt vers le pragmatisme des théories françaises. Didier Bigo et ses collègues de Sciences Po se focalisent sur ce que les experts en sécurité considèrent (ou pas) comme faisant partie de leur travail, et sur les motivations très terre-à-terre qui les poussent à le faire. Au Pentagone américain, après la chute de l’URSS, les analystes ont dû chercher d’autres menaces à combattre pour justifier l’utilité de leur poste, du côté de l’islamisme et de la Chine.

Le pacifisme et l’écologisme gagnent du terrain et le gouvernement veut couper dans le budget militaire ? L’armée va parler de conflits liés à l’environnement pour convaincre de lui donner plus de fonds. La Russie mène des cyberattaques pour faire avancer ses intérêts ? C’est une terrible menace pour le monde, mais quand les États-Unis conduisent exactement le même genre de cyberguerre, c’est perçu de manière relativement positive vu que ce sont nos alliés.

Chez nous, dans le monde du numérique, on comprend que les développeurs d’un antivirus ne vont pas mettre une alerte lorsque leur logiciel détecte que Google Maps est installé. Pour un utilisateur normal, entre subir l’hégémonie de Google et voir son appareil infecté par un virus, la différence au quotidien est éclatante. Ce n’est ni « pratique » ni « utile » de considérer les deux comme des variantes d’un même problème.

On va vous laisser avec la dernière des trois écoles européennes de la sécurité, celle de Copenhague, qui s’intéresse aux éléments de langage utilisés pour justifier l’emploi de mesures extrêmes. On invoque généralement une « menace à la sécurité nationale », comme Donald Trump pour bannir Huawei ou le FBI pour dénoncer le chiffrement. Vis-à-vis de l’internaute qui lira Richard Stallman, le mot très connoté de « malware » est là pour l’inciter à se débarrasser de tous les géants de la Silicon Valley. Ce qui, il faut se l’avouer, est une mesure bien extrême à prendre vu leur implantation dans nos vies.

Les meilleures alternatives au Google Play Store : téléchargez des applications sans passer par Google