Après des années de jardins privés, la pollinisation croisée pourrait être en vue.
L’interopérabilité et la décentralisation ont été les thèmes majeurs de la technologie cette année, en grande partie sous l’effet de la réglementation croissante, de la pression sociétale et industrielle et des vagues de « hype » que sont la crypto et le web3. Cette marée montante soulève d’autres sujets, comme un protocole de communication basé sur des normes ouvertes baptisé Matrix – qui joue un rôle dans l’interopérabilité d’une autre partie exclusive de nos vies numériques : la messagerie.
Selon Matthew Hodgson, l’un des cocréateurs de Matrix, le nombre d’utilisateurs du réseau Matrix a doublé cette année, pour atteindre 80,3 millions d’utilisateurs (ce chiffre peut être plus élevé, car tous les déploiements de Matrix ne sont pas annoncés, selon les statistiques de Matrix.org).
Si l’essentiel de cette activité a concerné les communications d’entreprise, il semble que les plates-formes grand public puissent désormais en prendre conscience.
Les recherches de l’ingénieur et chercheur d’applications Jane Manchun Wong ont permis de découvrir que Reddit expérimente Matrix pour sa fonction de chat, ce que Reddit a plus ou moins confirmé. Un porte-parole a déclaré que Reddit « étudie un certain nombre de moyens d’améliorer les conversations sur Reddit » et « teste un certain nombre d’options », sans toutefois citer spécifiquement Matrix.
Compte tenu de l’engouement pour l’interopérabilité, qui se manifeste également dans le domaine des cartes et des portefeuilles numériques, un examen plus approfondi de Matrix permet de comprendre comment nous en sommes arrivés là.
Au début
Quiconque a déjà envoyé un SMS ou un courrier électronique ne s’est pas demandé une seconde quel réseau, quel fournisseur de services ou quel client de messagerie utilisait son destinataire. La raison principale est que cela n’a pas vraiment d’importance : les clients de T-Mobile et de Verizon peuvent s’envoyer des SMS sans problème, tandis que les utilisateurs de Gmail et d’Outlook n’ont aucun mal à s’envoyer des e-mails.
Mais cela n’a pas toujours été le cas. Aux premiers jours du courrier électronique, vous ne pouviez envoyer des messages qu’aux utilisateurs du même réseau. Avec la prolifération des téléphones mobiles dans les années 1990, les gens ne pouvaient initialement pas envoyer de messages à leurs amis s’ils se trouvaient sur un autre réseau mobile. L’Europe et l’Asie ont mené la charge de l’interopérabilité et, au début du millénaire, les grandes sociétés de télécommunications nord-américaines ont également compris qu’elles pouvaient débloquer une véritable mine d’or si elles permettaient aux consommateurs d’envoyer des messages à leurs amis sur des réseaux rivaux. Tout le monde y trouvait son compte.
Avance rapide jusqu’à l’ère moderne des smartphones et, si le courrier électronique n’a pas vraiment disparu et que les SMS continuent de bégayer, les principaux outils de communication actuels sont loin d’être aussi amicaux les uns envers les autres. Ceux qui cherchent à adopter des applications de messagerie indépendantes axées sur la confidentialité comme Signal se heurteront à un mur lorsqu’ils réaliseront que tous leurs amis utilisent WhatsApp ou iMessage, ou Telegram, ou Viber … vous voyez le tableau.
Cette tendance s’étend également au monde de l’entreprise. Si votre travail utilise Slack, bonne chance pour envoyer un message à votre ami de l’autre côté de la ville, obligé d’utiliser Microsoft Teams, tandis que ceux qui travaillent dans les ressources humaines et qui sont obligés d’utiliser Workplace de Meta peuvent réfléchir à nouveau à la possibilité d’envoyer un DM à leurs collègues des ventes le long du couloir en utilisant Salesforce Chatter.
Ce n’est pas nouveau, bien sûr, mais la question de l’interopérabilité dans la sphère de la messagerie en ligne a pris toute son importance en 2022. L’Europe met en place des règles visant à imposer l’interopérabilité et la portabilité entre les plates-formes en ligne via la loi sur les marchés numériques (DMA : Digital Market Act), tandis que les États-Unis ont des projets similaires via la loi ACCESS.
Entre-temps, l’arrivée d’Elon Musk chez Twitter a fait connaître des alternatives telles que Mastodon, la soi-disant « alternative open source à Twitter » qui a dépassé les 2 millions d’utilisateurs en raison du chaos qui règne chez Twitter. Mastodon est alimenté par le protocole ouvert ActivityPub et s’articule autour du concept de fediverse : un réseau décentralisé de serveurs interconnectés qui permet à différents services alimentés par ActivityPub de communiquer entre eux. Tumblr a récemment révélé son intention de prendre en charge le protocole ActivityPub à l’avenir, tandis que le PDG de Flickr, Don MacAskill, a demandé à ses abonnés Twitter si la plateforme d’hébergement de photos et la communauté devaient également adopter ActivityPub.
Mais malgré tout le brouhaha et le battage médiatique autour de l’interopérabilité suscités par le cirque de Twitter ces dernières semaines, il y avait déjà un mouvement discret mais croissant dans cette direction, un mouvement mené par les entreprises et les gouvernements qui cherchent à éviter le verrouillage des fournisseurs et à obtenir un meilleur contrôle de leur pile de données.
Entrez dans la Matrice
Matthew Hodgson et Amandine Le Pape, fondateurs d’Element et co-créateurs de Matrix. Crédits image : Element
Matrix a été développé au sein de l’entreprise de logiciels et de services Amdocs en 2014, sous la direction de Matthew Hodgson et Amandine Le Pape, qui ont ensuite quitté l’entreprise pour se consacrer entièrement à la croissance de Matrix en tant que projet open source indépendant. Ils ont également cherché à commercialiser Matrix par le biais d’une société appelée New Vector, qui a développé un service d’hébergement Matrix et une application alternative à Slack appelée Riot. En 2018, Hodgson et Le Pape ont lancé la Fondation Matrix.org pour servir d’entité juridique et de gardien de tout ce qui concerne Matrix, y compris la protection de sa propriété intellectuelle, la gestion des dons et la promotion du protocole.
L’implémentation commerciale phare de Matrix a été rebaptisée Element il y a un peu plus de deux ans, et aujourd’hui, Element – soutenu par Automattic, Dawn Capital, Notion, Protocol Labs et d’autres – est utilisé par une multitude d’organisations à la recherche d’une alternative fédérée aux grands opérateurs historiques vendus par les géants américains de la technologie.
Element lui-même est open source et promet un cryptage de bout en bout, tandis que ses clients peuvent accéder aux fonctionnalités multiplateformes habituelles que l’on attend d’un produit de collaboration d’équipe, notamment la messagerie de groupe et le chat vocal et vidéo.
Element en action.
Element peut également être hébergé sur la propre infrastructure des entreprises, ce qui permet de contourner les inquiétudes quant à la manière dont leurs données peuvent être (mal)utilisées sur des serveurs tiers, en veillant à ce qu’elles gardent le contrôle de l’ensemble de leur pile de données – un facteur déterminant pour les entités qui hébergent des données sensibles.
Un éventail croissant de réglementations, en particulier en Europe, oblige les grandes entreprises technologiques à prêter attention à la souveraineté des données. L’année dernière, des entreprises comme Google se sont associées à T-Systems, la filiale de services informatiques et de conseil de Deutsche Telekom, pour proposer aux entreprises allemandes un « nuage souverain » pour leurs données sensibles.
Cette pression réglementaire, ainsi que les attentes croissantes en matière de souveraineté des données, ont été une bénédiction pour le protocole Matrix. L’année dernière, l’agence responsable de la numérisation du système de santé allemand a révélé qu’elle passait à Matrix, garantissant ainsi que les 150 000 entités individuelles qui constituent le secteur des soins de santé, telles que les hôpitaux, les cliniques et les compagnies d’assurance, puissent communiquer entre elles, quelle que soit l’application basée sur Matrix qu’elles utilisent.
Cette initiative s’appuie sur des mises en œuvre de Matrix déjà réalisées ailleurs, notamment au sein du gouvernement français via la plateforme de collaboration d’équipe Tchap, ainsi qu’au sein des forces armées allemandes Bundeswehr.
« Le pendule penche clairement vers la décentralisation depuis un certain temps », a expliqué Matthew Hodgson. « Nous constatons aujourd’hui une utilisation sérieuse des communications décentralisées basées sur Matrix au sein des gouvernements français, allemand, britannique, suédois, finlandais et américain, ainsi qu’au sein de l’OTAN et des organisations adjacentes. »
En mai dernier, la plate-forme de messagerie d’entreprise open source Rocket.Chat a révélé qu’elle allait passer au protocole Matrix. Bien que ce processus soit toujours en cours, il s’agissait d’un coup d’éclat pour le mouvement Matrix, étant donné que Rocket.Chat revendique quelque 12 millions d’utilisateurs au sein d’organisations majeures telles que Audi, Continental et la compagnie ferroviaire nationale allemande, la Deutsche Bahn.
« Nous pensons que la valeur de toute plateforme de messagerie croît en fonction de sa capacité à se connecter à d’autres plateformes », a déclaré un porte-parole de Rocket.Chat. « Nous mettons beaucoup d’efforts pour connecter Rocket.Chat avec d’autres plateformes. Nous n’avons pas à nous soucier du client que nous utilisons lorsque nous nous envoyons des e-mails, et il devrait en être de même lorsque nous nous envoyons des messages. «
Rocket.Chat.
Ce qui est peut-être le plus intéressant dans tout cela, c’est que cela va à l’encontre de la voie empruntée par les réseaux sociaux traditionnels des consommateurs et des entreprises, ainsi que par les outils de collaboration en équipe.
Slack, Facebook, Microsoft Teams, WhatsApp, Twitter et tous les autres ont pour but d’exploiter l’effet de réseau, où la valeur d’un produit est intrinsèquement liée au nombre d’utilisateurs. En fin de compte, les gens veulent être là où se trouvent leurs amis et leurs collègues de travail, ce qui signifie inévitablement qu’ils doivent s’en tenir à un réseau social qu’ils n’aiment pas particulièrement ou utiliser simultanément plusieurs applications différentes.
Les protocoles ouverts et interopérables soutiennent un nouveau type d’entreprise consciente de la demande croissante de quelque chose qui n’enferme pas les utilisateurs.
« Notre objectif n’est pas de forcer les gens à utiliser Rocket.Chat pour communiquer entre eux », poursuit le porte-parole de Rocket.Chat. « Notre objectif est plutôt de permettre aux organisations de collaborer en toute sécurité et de se connecter avec d’autres organisations et individus sur les plateformes de leur choix. »
Combler le fossé
Le protocole Matrix prend également en charge l’interopérabilité non native grâce à une technique appelée « bridging », qui permet de prendre en charge les applications non-Matrix, notamment WhatsApp, Telegram et Signal. Element propose lui-même le bridging dans le cadre d’un produit d’abonnement axé sur le consommateur appelé Element One, où les utilisateurs paient 5 $ par mois pour rassembler tous leurs amis dans une seule interface, quelle que soit l’application qu’ils utilisent.
Les abonnés à Element One peuvent regrouper différentes applications de messagerie. Crédits image : La Fondation Matrix
Cela est possible grâce à des API accessibles au public créées par les entreprises technologiques elles-mêmes. Cependant, les conditions d’utilisation sont généralement restrictives quant à la manière dont elles peuvent être utilisées par des applications concurrentes, et elles peuvent également imposer des limites tarifaires ou des coûts d’utilisation.
En l’état actuel des choses, la passerelle se situe quelque part dans une zone grise du point de vue « est-ce autorisé ? ». Mais avec les yeux des régulateurs du monde entier braqués sur la mainmise des grandes entreprises technologiques sur les communications en ligne, les sociétés n’appliquent peut-être pas toutes leurs termes et conditions générales de vente de manière trop rigoureuse.
La DMA est entrée en vigueur en Europe le mois dernier – même si elle ne sera officiellement applicable qu’en mai prochain – et comporte des dispositions spécifiques en matière d’interopérabilité et de portabilité des données. À ce moment-là, nous commencerons peut-être à voir comment les « gardiens » de la technologie de pointe du monde entier prévoient de soutenir les nouvelles réglementations. En réalité, il s’agit d’API ouvertes qui permettent « officiellement » aux petits tiers de s’intégrer et de communiquer avec leurs homologues des grandes entreprises. Cela ne signifie pas nécessairement que ces API seront simples et faciles à utiliser et qu’elles seront accompagnées d’une documentation claire, et nous pouvons probablement nous attendre à quelques obstacles délibérés en cours de route.
Conformité
Les applications de messagerie populaires telles que WhatsApp, bien qu’offrant un chiffrement de bout en bout, n’ont pas été conçues pour les entreprises ou les gouvernements, car elles ne permettent pas aux organisations de gérer facilement leurs données de messagerie – pourtant, ces applications sont largement utilisées dans de tels scénarios. En juillet dernier, l’Information Commissioner’s Office (ICO) du Royaume-Uni a demandé au gouvernement d’examiner les risques liés aux « canaux de correspondance privés » tels que les comptes de messagerie personnels et WhatsApp, notant que cette utilisation manquait de « contrôles clairs » et pouvait entraîner la perte d’informations clés « perdues ou traitées de manière non sécurisée ».
« Je comprends la valeur de la communication instantanée que quelque chose comme WhatsApp peut apporter, en particulier pendant la pandémie, où les fonctionnaires ont été contraints de prendre des décisions rapides et de travailler pour répondre à des demandes variées », a déclaré le commissaire à l’information du Royaume-Uni, John Edwards, dans un communiqué à l’époque. « Toutefois, le prix de l’utilisation de ces méthodes, bien qu’il ne soit pas contraire à la loi, ne doit pas entraîner un manque de transparence et une sécurité des données inadéquate. Les fonctionnaires doivent être en mesure de montrer leurs méthodes de travail, tant pour la tenue des dossiers que pour maintenir la confiance du public. C’est ainsi que la confiance dans ces décisions est garantie et que des leçons sont tirées pour l’avenir. »
Dans le domaine des affaires, la Securities and Exchange Commission (SEC) a récemment conclu un accord avec 16 sociétés de Wall Street pour un montant de 1,1 milliard de dollars en raison de « défaillances généralisées dans la tenue des dossiers » liées à leur utilisation d’applications de messagerie privées telles que WhatsApp.
« La finance, en fin de compte, dépend de la confiance », a déclaré à l’époque Gary Gensler, président de la SEC. « Depuis les années 1930, une telle tenue de registres est essentielle pour préserver l’intégrité du marché. Avec l’évolution de la technologie, il est encore plus important que les déclarants mènent de manière appropriée leurs communications sur les questions commerciales dans les seuls canaux officiels, et ils doivent maintenir et préserver ces communications. »
Le maintien d’une trace écrite précise et l’assurance que les politiciens et les entreprises sont responsables de leurs actions sont le but du jeu – un niveau de contrôle que promet quelque chose comme le protocole Matrix. Cependant, le fait d’imposer à toute entreprise dépassant une certaine taille – comme le fait le règlement de la DMA – de rendre son logiciel interopérable avec d’autres soulève un tas de questions concernant la vie privée, la sécurité et l’expérience de l’utilisateur au sens large.
L’éléphant du chiffrement dans la pièce
Illustration conceptuelle de « l’éléphant dans la pièce ».
Comme Casey Newton l’a noté plus d’une fois sur The Platformer, la nouvelle réglementation européenne en matière d’interopérabilité s’accompagne de plusieurs écueils. Le plus important d’entre eux, peut-être, est l’obstacle qu’elles vont créer pour le chiffrement de bout en bout, c’est-à-dire la garantie que les données restent chiffrées et impossibles à décoder pendant leur transit.
Le cryptage de bout en bout est un énorme argument de vente pour les grandes entreprises technologiques d’aujourd’hui, un argument que WhatsApp clame sur tous les toits. Mais le faire fonctionner entre différentes plates-formes construites par différentes entreprises n’est pas exactement facile, et beaucoup – si ce n’est la plupart – des experts sur le sujet disent qu’il n’est pas possible d’appliquer une infrastructure de messagerie vraiment sécurisée et interopérable qui ne compromet pas le cryptage d’une manière ou d’une autre.
WhatsApp peut contrôler – et donc promettre – un cryptage de bout en bout sur sa propre plateforme. Mais si des milliards de messages circulent entre WhatsApp et d’innombrables autres applications gérées par d’autres entreprises, WhatsApp ne peut pas vraiment savoir ce qu’il advient de ces messages une fois qu’ils quittent WhatsApp.
En fin de compte, aucun service ne déploie son chiffrement de manière identique, un défi que reconnaît Hodgson. « Les plateformes cryptées de bout en bout doivent parler le même langage de bout en bout », a-t-il déclaré.
Dans un billet de blog publié au début de l’année pour répondre aux préoccupations en matière de cryptage, la Fondation Matrix a suggéré quelques solutions de rechange, notamment l’adoption par tous les grands gatekeepers du même « protocole décentralisé de bout en bout » (c’est-à-dire Matrix, sans surprise), ce qui, de l’aveu même de la Fondation, serait une entreprise de grande envergure, mais que « nous ne devrions pas exclure », selon elle.
Pour illustrer ce point, Matthew Hodgson a cité l’acquisition en 2020 par Element de Gitter, une plate-forme de discussion et de communauté de développeurs achetée à GitLab et utilisée par de grandes entreprises comme Google, Microsoft et Amazon. Deux mois après la conclusion de l’opération, Element a introduit la connectivité Matrix native à Gitter.
Coordonner une telle transition à l’échelle de Facebook, Google ou Apple serait une proposition totalement différente, bien sûr, qui pourrait provoquer toutes sortes de chaos. Dans un billet de blog publié au début de l’année, l’expert en cryptographie et en sécurité Alec Muffett a suggéré que l’adhésion des applications de messagerie et des réseaux sociaux au même protocole standard conduirait à « aucune différenciation pratique » entre les différents services.
« Imaginez un monde où Signal et Snapchat devraient interopérer – à quoi cela ressemblerait-il ? » Alec Muffett a posé une question rhétorique dans un Q&R pour cette histoire. « Plus précisément, quelles fonctionnalités de l’un doivent être présentées sur l’autre, et quels sont les différentiateurs entourant ces fonctionnalités ? Et comment les conflits de fonctionnalités seraient-ils conciliés ? »
C’est pourquoi la Fondation Matrix a proposé d’autres solutions potentielles, comme l’adoption d’un avertissement de type certificat TLS, où l’utilisateur est averti du fait que sa conversation entre services n’est pas entièrement protégée. Cette solution est peut-être comparable à la façon dont l’application Messages d’Apple prend en charge à la fois les textes iMessage chiffrés et les SMS (non chiffrés). Mais, selon M. Muffett, cela apporterait une complexité inutile au mélange.
« En dehors de toute autre raison que je pourrais invoquer, il existe de nombreuses recherches sur l’interface utilisateur qui expliquent que les alertes contextuelles de sécurité ne sont généralement pas comprises et ne sont pas prises en compte », a déclaré M. Muffett. Il y a des tonnes de recherches qui le confirment – les avertissements contextuels sont un « anti-modèle ».
La Fondation Matrix a également proposé de convertir le trafic de communication entre les langages de cryptage dans un « pont », bien que cela signifie effectivement qu’il faut casser le cryptage et ré-encrypter le trafic en toute sécurité quelque part.
« Ces ponts pourraient être exécutés côté client – par exemple, le pont Matrix iMessage fonctionne côté client sur iPhone ou Mac – ou en utilisant des API ouvertes côté client pour établir un pont entre les applications localement dans le téléphone lui-même », a déclaré Hodgson. « Alternativement, ils pourraient être exécutés côté serveur sur du matériel contrôlé par l’utilisateur de manière décentralisée, en veillant à ce que le ré-encryptage se fasse dans un environnement aussi sûr que possible, plutôt que sur un serveur centralisé vulnérable. »
On ne peut échapper au fait que la rupture du cryptage est loin d’être idéale, quelle que soit la façon dont une solution propose de concilier cela. Mais ce qui est peut-être plus important encore, c’est qu’il n’existe pas encore de solution solide pour résoudre les véritables problèmes de cryptage introduits par l’interopérabilité forcée.
Malgré cela, M. Hodgson a déclaré par le passé que les avantages de la nouvelle réglementation européenne sont plus importants que les inconvénients.
« Tout compte fait, nous pensons que les avantages de l’obligation d’utiliser des API ouvertes l’emportent sur les risques que quelqu’un utilise un pont vulnérable à grande échelle et compromette l’E2EE de tout le monde », a-t-il écrit en mai. « Il vaut mieux avoir la possibilité d’accéder à ses données dès le départ que d’être pris en otage dans un jardin clos. »
La pointe de l’iceberg
Il convient de noter que le protocole Matrix, bien que principalement connu pour sa présence dans le domaine de la messagerie aujourd’hui, a également d’autres applications potentielles. La Fondation Matrix a récemment annoncé Third Room, une plateforme de métavers décentralisée et interopérable construite sur Matrix. Cela va à l’encontre d’un futur métavers potentiel contrôlé par une poignée de gardiens, comme Meta, la société mère de Facebook.
Pour l’instant, Element reste l’enfant-vedette de ce à quoi pourrait ressembler un monde alimenté par Matrix. La société s’est déjà assurée la collaboration de quelques clients de renom, tels que Mozilla, qui utilise Element comme un service entièrement géré, tandis qu’Element a déclaré avoir signé cette année un contrat de 18 millions de dollars sur quatre ans avec une autre société (non identifiée). Dans le même temps, elle dispose également de bailleurs de fonds stratégiques, parmi lesquels Automattic, la société mère de WordPress.com, qui a investi 4,6 millions de dollars dans Element en 2020 avant de revenir pour sa série B de 30 millions de dollars l’année dernière.
À bien des égards, le terrain n’a jamais été aussi fertile pour l’épanouissement de Matrix : il est au bon endroit au bon moment, alors que le monde cherche une voie de sortie des griffes de Big Tech, soutenue par au moins un peu de réglementation. Twitter a également joué un rôle important en soulignant les inconvénients d’un contrôle centralisé, faisant ainsi le jeu de toutes les entreprises qui battent le rappel de l’interopérabilité.
« La situation de Twitter a été absolument incroyable en termes de sensibilisation aux dangers de la centralisation et a constitué un moment charnière pour aider les utilisateurs à découvrir que nous entrons dans un âge d’or de la décentralisation », a déclaré M. Hodgson. « Tout comme de nombreux utilisateurs ont découvert que Mastodon est une alternative décentralisée de plus en plus viable à Twitter, nous avons assisté à un effet de halo massif d’utilisateurs découvrant Matrix comme un moyen de reconquérir leur indépendance sur les communications en temps réel telles que la messagerie et la VoIP – notre base d’utilisateurs à long terme en particulier croît à son rythme le plus rapide jamais enregistré. »
https://en.wikipedia.org/wiki/Anti-pattern%23Definition
https://alecmuffett.com/article/16037
https://matrix.org/blog/2022/03/25/interoperability-without-sacrificing-privacy-matrix-and-the-dma
https://element.io/element-one
https://www.eff.org/deeplinks/2021/06/new-access-act-good-start-heres-how-make-sure-it-delivers
https://matrix.org/blog/2022/12/25/the-matrix-holiday-update-2022
