Cyber Resilience Act : la Linux Foundation craint un modèle open source à deux vitesses
L’open source gagne en popularité… Et pourtant le principe même de technologies sous licence libre semble menacé. C’est en tout cas ce que laisse entendre la Linux Foundation Europe au regard du futur Cyber Resilience Act européen.
Si les entreprises peuvent subir les mouvements protectionnistes des acteurs tels que Red Hat et HashiCorp, une autre menace vient, selon la Fondation, de l’Union européenne.
Plus particulièrement, le Cyber Resilience Act (CRA) semble effrayer les membres de la Fondation et le monde de l’open source en général.
« La loi sur la cyber-résilience doit renforcer les règles en matière de cybersécurité afin de garantir une plus grande sécurité des produits matériels et logiciels », présente la Commission européenne.
Elle vise à imposer des normes de sécurité du code dès la conception d’un « produit ou d’un logiciel comportant des éléments numériques ». Le CRA doit rendre légalement responsables les entreprises et les organisations qui les développent et les distribuent dans le cadre d’une « activité commerciale ».
Ces « fabricants » devront mieux gérer les vulnérabilités et reporter tout incident de sécurité auprès des autorités compétentes, ici les réseaux CSIRT, et assurer les mises à jour de sécurité tout au long de la durée de vie du produit.
L’objectif affiché est de mieux protéger les citoyens et les groupes européens contre les cyberattaques visant les équipements connectés, mais le texte semble cibler tous les logiciels, produits ou systèmes qui ne seraient pas déjà dans le périmètre d’un règlement européen. Cela rend la démarche peu lisible, selon ses détracteurs.
D’autant que le CRA ne fait pas réellement de distinction entre logiciel libre ou propriétaire. Or, comme le rappelle l’association française CNLL (Comité national du logiciel libre), « l’immense majorité (de 78 à 96 % selon les sources) de tous les logiciels contiennent aujourd’hui des composants open source ».
Selon Gabriele Columbro, directeur général de la Linux Foundation Europe, le projet de loi actuellement dans les mains des parlementaires européens est biaisé et ses conséquences pourraient largement impacter l’open source.
L’open source, la grande oubliée du Cyber Resilience Act ?
« Les objectifs totalement louables [du CRA] ne semblent pas proprement implémentés et risquent d’impacter l’open source tel que nous le connaissons », juge-t-il lors du keynote d’ouverture de l’Open Source Summit 2023 se déroulant à Bilbao, en Espagne.
Alors que les fondations open source sont consultées par le gouvernement américain dans le cadre de la mise en place de l’Executive Order de 2021, l’appareil législatif européen ne serait pas réellement à l’écoute de la communauté, d’après le responsable.
« Les développeurs individuels et les fondations n’ont pas été considérés comme des citoyens de première classe dans le cadre de cette conversation », déplore-t-il.
Gabriele ColumbroDirecteur LF Europe et FINOS
La LF Europe, tout comme le CNLL a signé la lettre ouverte publiée par la fondation Eclipse le 17 avril 2023 avec neuf autres fondations pour rappeler l’existence des communautés open source européennes et internationales.
Si la fondation Apache, l’Open Forum Europe et la fondation Eclipse ont obtenu une audience auprès d’un rapporteur du Parlement européen quelques jours après ce message, le 24 avril dernier, la jeune Linux Foundation Europe n’a officiellement pas eu le droit à son rendez-vous avec les rapporteurs du Parlement européen.
« Nous avons eu plusieurs rendez-vous avec les membres de la Commission européenne », assure Gabriele Columbro auprès du MagIT. « Mais nous ne faisons pas de lobbying et nous ne sommes pas habilités à le faire », précise-t-il.
En réalité, la LF Europe vient de fêter son premier anniversaire.
Un premier « Draft » alarmant pour la Linux Foundation
Pour comprendre pourquoi le CRA agite l’écosystème open source, il faut se pencher sur le texte du projet de loi présenté en première lecture par le Parlement.
Les éditeurs (GitHub, entre autres) et les organisations open source visaient tout particulièrement le point 10 du récital qui accompagne le CRA. Cette partie introductive sert à déterminer le contexte et les acteurs concernés par la réglementation européenne.
Dans le cas présent, les organisations trouvaient la définition « d’activité commerciale » confuse.
« La question de savoir si un produit libre a été mis à disposition dans le cadre d’une activité commerciale doit être évaluée produit par produit, en examinant à la fois le modèle de développement et la phase de fourniture du produit libre », écrivaient les parlementaires dans leur première version du texte.
Suivant ce document, un projet de développement décentralisé sans contrôle imposé sur le code par un éditeur pourrait être non commercial. En revanche, si des développeurs employés par des entreprises participent aux comités de gouvernance et techniques des projets open source, avec un certain contrôle sur le code contribuable, alors le projet serait considéré comme commercial.
Plus naturellement, « lorsque des logiciels libres sont développés par une seule organisation ou par une communauté asymétrique et qu’une seule organisation tire des revenus de leur utilisation dans le cadre de relations commerciales, il convient de considérer qu’il s’agit d’une activité commerciale », lit-on dans ce brouillon.
Or, des startups et de petits éditeurs, notamment en Europe, peuvent se retrouver dans cette situation, mentionne le CNLL.
Les développeurs contribuant sur leur temps libre à un projet open source semblent jugés irresponsables.
Non seulement les éditeurs de toute taille seraient concernés par le CRA, mais également les fondations ou les projets open source recevant des dons récurrents de la part d’entités commerciales.
Si ces fonds permettent effectivement aux fondations open source de maintenir et de supporter les projets, « c’est mal connaître leur fonctionnement », juge Gabriele Columbro. « Nous offrons une couche de gouvernance ouverte par-dessus des projets dotés d’une licence open source ». Comme l’Open Source Initiative, Gabriele Columbro précise que la Linux Foundation n’a pas de contrôle sur les projets open source déployés, dont Linux et ses variantes – largement installé dans le monde de l’IoT –, ni les moyens techniques ou humains pour ce faire.
Une menace de plus en plus diffuse pour les fondations open source
Le 19 juillet, le Conseil de l’Europe, dirigé par l’Espagne a adoubé les modifications effectuées par les Comités et votées par le Parlement le 29 juin. Le Conseil a proposé une nouvelle version du CRA en tentant de clarifier dans quelles mesures une organisation pourrait être concernée par la régulation. En s’appuyant sur les remarques des comités et le texte négocié entre les parlementaires, ce dernier s’en tient à une définition « standard » de l’open source. « Un logiciel libre et open source est un logiciel partagé de manière ouverte, accessible gratuitement, utilisable, modifiable et redistribuable, et qui inclut son code source et ses versions modifiées. Les logiciels libres et open source sont développés, maintenus et distribués ouvertement, y compris via des plateformes en ligne ».
Ainsi « le provisionnement » sur le marché européen d’un produit comportant des éléments numériques dans le cadre d’une activité commerciale pourrait être caractérisé par le fait de :
- Facturer un produit
- Facturer un service de support technique lorsque :
- cela ne sert pas uniquement à récupérer les coûts réels,
- cela est effectué dans un but lucratif,
- cela est fait dans l’intention de le monétiser,
- D’imposer des conditions d’utilisation afin de traiter des données personnelles dans un autre but que d’améliorer la sécurité, la compatibilité ou l’interopérabilité du produit.
En clair, dans ce document qui servira de base de travail lors du trilogue, le conseil de l’Europe écarte les services publics et laisse entendre que les fondations open source, généralement des ONG, pourraient ne pas être concernées par la mesure.
Les PME, possibles victimes collatérales
C’est beaucoup moins vrai pour les startups ou les PME quand elles proposent un produit « fini ».
D’autant que la nature même d’un produit issu d’un projet open source et d’un projet open source lui-même tient sur l’assemblage d’une myriade de dépendances.
Comment assurer cette maintenance quand les moyens humains et financiers ne sont pas suffisants ? Conscients de ce défi, les parlementaires européens ayant participé à l’écriture du CRA indiquent qu’il faudrait implémenter « une proportionnalité pour les microentreprises et les PME ».
Comité National du Logiciel Libre
« Dans la pêche, la taille des mailles du filet doit correspondre exactement à la taille du poisson à attraper. Dans le cas du CRA, les mailles sont actuellement beaucoup trop étroites », illustre le CNLL dans son rapport d’impact publié le 6 septembre.
« Je pense honnêtement que cela pourrait entraîner une plus grosse compétition entre les grands groupes technologiques qui investissent des millions de dollars [dans l’open source] et les PME », déclare Gabriele Columbro. « Les petites et moyennes entreprises sont dans la même situation que les fondations, voire pire ».
Dès lors, le CRA entrerait en contradiction avec les intentions politiques de l’Union européenne consistant à promouvoir l’écosystème technologique européen.
« Cela remet en cause l’objectif même de la souveraineté numérique », argue Gabriele Columbro lors de son intervention publique. « Les institutions reconnaissent pourtant l’importance de l’open source en Europe ».
Un marché à deux vitesses ?
Une plus grande crainte serait que certains fournisseurs ou entreprises hors UE ne souhaitent pas prendre le risque de se plier à ces nouvelles règles européennes, quand elles exploitent commercialement des solutions open source en Europe. Si Gabriele Columbro ne l’évoque pas, cela semble représenter une menace pour les financements de la branche européenne de Linux Foundation.
Dans l’état actuel du texte, « le CRA pourrait bloquer l’usage des projets open source en Europe ou ils pourraient porter la mention : “non approuvé par l’UE” », s’alarme Gabriele Columbro, qui souhaite éviter « la balkanisation de l’open source ».
Selon le dernier brouillon en date du CRA, les entreprises ne devraient pas se priver de proposer des versions non définitives de leurs logiciels tant qu’elles indiquent clairement que ce sont des versions de tests.
Néanmoins, la communauté open source ne semble pas rassurée. Le dirigeant de la LF Europe invite les contributeurs à prendre connaissance du sujet et à s’exprimer, car les interventions des fondations auprès des instances européennes ont pour l’instant eu peu d’effets. De son côté, le CNLL appelle la France « à protéger sa filière du logiciel libre des effets de bord du Cyber Resilience Act ».
Le règlement devrait s’accompagner de « lignes directrices claires et détaillées », selon les parlementaires européens. Un document qui ne semble pas encore disponible.
Gabriele ColumbroDirecteur LF Europe et FINOS
Pour autant, Gabriele Columbro se range parmi les optimistes. « C’est une bonne chose que les États-Unis et l’Europe prennent la cybersécurité beaucoup plus au sérieux », signale-t-il. Un sentiment partagé par Emilio Salvador, vice-président des relations avec les développeurs et la communauté chez Gitlab. « Cela prendra du temps, mais je pense que cette phase de négociation aboutira sur un résultat essentiellement positif », espère-t-il.
Selon le dirigeant de la LF Europe, les enjeux dépasseraient largement les prérogatives de la fondation et de la communauté open source au sens large. La multiplication des cyberattaques, la guerre en Ukraine et les élections européennes prévues en juin 2024 mettraient « la pression » sur la Commission et le Parlement européens pour agir.
Pour approfondir sur Réglementations et Souveraineté
-
Assises de la cybersécurité 2024 : merci les JO, place à NIS2
-
Vincent Strubel, Anssi : « Les JO vont être un test de notre cybersécurité collective »
-
Terraform : la Linux Foundation accueille OpenTF sous le nom… OpenTofu
-
Cloud public et services financiers : la FINOS imagine une « pierre de Rosette » réglementaire