Dans le domaine des logiciels en général et de l'open source en particulier, le taux de réussite des fondations est très variable. Dans certains cas, l'absence de soutien de la part des fournisseurs de cloud est flagrante, comme avec l'Open Enterprise Linux Association et d'OpenTofu, alors que dans d'autres tel que Kubernetes, la communauté est soutenue par sa fondation. En fait, les fondations peuvent contribuer à encourager la communauté, mais elles ne sont pas en elles-mêmes une garantie de succès. C'est la raison pour laquelle Let's Encrypt et l'Internet Security Research Group (ISRG) sont si fascinants.

Les motifs de leur réussite n’ont rien d’évident, et pourtant, dix ans plus tard, Let's Encrypt de l'ISRG a délivré plus d'un milliard de certificats pour sécuriser plus de 360 millions de sites web. Il est également probable que Prosimmo (projet de sécurisation de la mémoire) et Divvi Up (système de mesure préservant la vie privée), suivront ce modèle. Même si de nombreuses autres fondations ne parviennent pas à remporter des victoires similaires, ce qui a été un peu le cas d’OpenStack. La question est de savoir pourquoi. Pourquoi Let's Encrypt a réussi, et quelles leçons peuvent en tirer d'autres organisations à but non lucratif ou projets open source ?

10 ans de sécurisation de l'internet

L'une des principales raisons du succès de Let's Encrypt est qu'il a résolu un problème de taille. Au moment de la création de Let's Enrypt, à peine 28 % des chargements de pages étaient sécurisés sur le web. « Il y avait beaucoup d’autres options disponibles, comme le TLS et le SSL, mais elles n'étaient pas largement utilisées », a rappelé Sarah Gran, vice-présidente des communications de l’ISRG. « Pour faire réellement progresser la sécurité du web, il fallait que cela change et que cela corresponde davantage au rythme de la croissance et de la dépendance à l'égard de l'Internet qu’expérimentaient chaque jour les utilisateurs », a-t-elle ajouté. Let's Encrypt n'a pas essayé de changer les choses avec des messages d'intérêt public. Elle s'est concentrée sur l'automatisation et la simplification du processus d'obtention des certificats. Plus les développeurs pouvaient adopter et appliquer facilement des certificats à leurs sites web, plus ils étaient susceptibles de les utiliser. Comme l'a affirmé Steve O'Grady de RedMonk, « la facilité d’utilisation l’emporte sur tout le reste pour les développeurs ».

Par ailleurs, le fait que l'Internet Security Research Group et son initiative Let's Encrypt n’aient pas eu pour objectif de concurrencer les autorités de certification commerciales a également joué un rôle. « Nous ne sommes pas là pour jouer les héros », a expliqué Sarah Gran. « Tout ce que nous essayons de faire, c'est de résoudre un problème. En travaillant avec des fournisseurs de certificats propriétaires, Let's Encrypt pouvait se concentrer sur la résolution du problème de la sécurité de l'Internet, sans chercher à s'en attribuer le mérite », a-t-elle ajouté. Quand j'ai demandé à Sarah Gran quel était, selon elle, le secret de la réussite de l'ISRG avec Let's Encrypt, celle-ci n'a pas hésité : « Nous savons ce que nous faisons bien et nous nous y tenons. Et ce que nous faisons bien, c'est nous attaquer à des problèmes d'infrastructure technique difficiles », en particulier en ce qui concerne la sécurité de l'Internet, à laquelle l’ISRG s'attaque sous l'angle de l'automatisation, de l'efficacité et de l'échelle. L'Internet Security Research Group se concentre sur la résolution de problèmes discrets, d’où ce succès retentissant avec Let's Encrypt. Cette même orientation axée sur les fondations devrait aussi contribuer au succès de Prossimo et de Divvi Up.

Des secrets de réussite efficaces

Il est clair que l'approche de l’ISRG a fonctionné, lui permettant de travailler avec des entreprises « concurrentes » sans être compétitive. Cependant, il est important de noter que les fondations ne sont pas indispensables à la réussite d'un projet logiciel. Dans le monde des autorités de certification, Comodo et Digicert prospèrent aux côtés de Let's Encrypt. En dehors du domaine de la sécurité de l'Internet, c'est à peu près la même chose. Il serait difficile d'affirmer que HashiCorp, MongoDB, Elastic, etc. ne sont pas très populaires et ne connaissent pas le succès commercial qui va avec. On ne peut pas dire non plus que l'introduction d'une fondation sur un marché garantit qu'elle fera mieux que les produits d'un seul fournisseur. À propos de HashiCorp, alors même que le projet OpenTofu était lancé avec l’idée de fournir un fork open source de Terraform, soutenu par la fondation HashiCorp, le CEO de la Fondation Linux, Jim Zemlin, m'avait dit qu'il pensait que « Terraform et OpenTofu allaient réussir pour des raisons différentes ». Selon lui, Terraform réussira parce qu'il s'agit d'un excellent logiciel soutenu par une entreprise crédible. Il pense également qu'OpenTofu prendra une grande part du marché : « Personne ne veut investir d'importantes ressources d'ingénierie dans un projet qui n'est pas détenu de manière neutre ou qui est détenu et contrôlé par une seule entité commerciale. Cela conduira à un « meilleur investissement » dans OpenTofu ». Même si les entreprises qui contribuent aujourd'hui à OpenTofu sont relativement petites, Jim Zemlin pense que « la dépendance des fournisseurs en aval à l'égard du code développé par OpenTofu créera un écosystème plus large, car davantage de fournisseurs réinvestiront pour améliorer leurs produits en aval ».

Les projets menés par les fondations semblent donc voués à l'échec avec le temps. Mais pourquoi dans ce cas Kubernetes a-t-il réussi alors qu'OpenStack a échoué, alors même que les deux sont portées par de fortes communautés soutenues par des fondations ? Selon Jim Zemlin, « il s'avère que les conteneurs Kubernetes apportaient la bonne abstraction pour les charges de travail du cloud et pas les VM OpenStack ». La technologie est importante. Aucune fondation ne peut aller à l’encontre du fait qu’il faut aussi être en phase avec les choix technologiques particuliers des clients.

La sécurité de la mémoire en question

Ce qui nous ramène à l'ISRG et à sa mission. Tout comme il l'avait fait en 2015 pour la sécurité des sites web, l'Internet Security Research Group constate aujourd'hui que la sécurité de la mémoire pose un problème tout aussi important. Comme le dit Sarah Gran, « après examen de notre infrastructure et des diverses infrastructures dont dépend l'Internet, nous avons constaté qu'une grande partie est écrite en C et en C++ », avec tous les problèmes de sécurité de la mémoire, de bogues et de vulnérabilités que cela implique. Pourquoi est-ce un problème aujourd'hui ? Après tout, cela fait longtemps que ces langages sont problématiques. Sarah Gran reconnaît que Microsoft et Google ont admis que la grande majorité de leurs vulnérabilités provenaient de problèmes de sécurité de la mémoire, ce qui a mis en évidence le fait que la sécurité de la mémoire était un problème important, qui pouvait être résolu par des langages comme Rust. Le succès sera-t-il comparable à celui de Let's Encrypt ? Difficile de l’affirmer, mais s’il s’avère dans ce cas particulier qu’une technologie claire comme Rust peut résoudre ce problème, alors ce succès devient beaucoup plus probable. Qu'il s'agisse d'une fondation à but non lucratif ou d'une entreprise à but lucratif, le fait de se concentrer sur la résolution d'un problème client, et, avec un peu de chance, être aussi en phase avec les choix technologiques du client, semblent plus que jamais de bonnes garanties de réussite.