\documentclass{beamer}
%\documentclass[ignorenonframetext,handout]{beamer}
%\usepackage{pgfpages}
%\pgfpagesuselayout{2 on 1}[a4paper,border shrink=5mm]

\usetheme{JuanLesPins}
\usepackage[french]{babel}
\usepackage[utf8x]{inputenc}
\usepackage{bortzmeyer-utils}

\title{Normalisation technique, qui décide ?}
\author{Stéphane Bortzmeyer\\\texttt{stephane+federez@bortzmeyer.org}}
\date{Federez - 28 avril 2024} % https://federez.net/journees/2024/ 

\setlength{\parskip}{15pt plus 10pt minus 10pt} 
\setbeamersize{text margin left=0.2cm,text margin right=1.8cm}

\begin{document}

\expandafter\def\expandafter\insertshorttitle\expandafter{%
       \insertshorttitle\hfill%
       \insertframenumber\,/\,\inserttotalframenumber}

\begin{frame}
  \titlepage
\end{frame}

\begin{frame}
  \frametitle{C'est quoi, une norme technique ?}
  \begin{itemize}
  \item<2->Une spécification écrite, approuvée par un organisme de
    normalisation,
  \item<3->Cela permet l'\emph{interopérabilité},  
  \item<4->Le sigle du jour : SDO (\foreign{Standards Developing Organisation}).  
  \end{itemize}
  \includegraphics[scale=0.12]{European_plug_and_sockets,_UE_standard,_EU_plug_and_socket_wiring_diagram,_schuko,_french_socket,_cee_7-7.jpg}
  % https://commons.wikimedia.org/wiki/File:European_plug_and_sockets,_UE_standard,_EU_plug_and_socket_wiring_diagram,_schuko,_french_socket,_cee_7-7.jpg https://upload.wikimedia.org/wikipedia/commons/b/b5/European_plug_and_sockets%2C_UE_standard%2C_EU_plug_and_socket_wiring_diagram%2C_schuko%2C_french_socket%2C_cee_7-7.jpg

  \tiny{Electro-world-standard, CC BY-SA 4.0 <https://creativecommons.org/licenses/by-sa/4.0>, via Wikimedia Commons}
\end{frame}

\begin{frame}
  \frametitle{Un exemple de norme}
  \includegraphics[scale=0.30]{iso-5218.png}
  \tiny{\url{https://www.iso.org/fr/standard/81682.html}}
\end{frame}

\begin{frame}
  \frametitle{Un exemple sérieux}
  \includegraphics[scale=0.29]{aria.png}
  \tiny{\url{https://www.w3.org/TR/html-aria/}}
\end{frame}

\begin{frame}
  \frametitle{Mais il n'y a pas que l'informatique}
  \includegraphics[scale=0.14]{the-box.jpg}
  \tiny{« \foreign{The box} », de Marc Levinson}
\end{frame}

\begin{frame}
  \frametitle{Les SDO}
  \begin{itemize}
  \item<2->Il n'y a pas d'organisme de normalisation officiel\only<2>{
    (j'insiste sur ce point)},
    \item<3->Il existe de nombreuses SDO : W3C, UIT, AFNOR, NIST, ISO, CEN/CENELEC,
      IETF, IEEE, 3GPP, ETSI…
   \item<4->Chacune fait ce qu'elle veut, il n'y a pas de
     hiérarchie\only<4>{ (mais parfois une coordination plus ou moins
       formelle)},
   \item<5->Tu peux créer ta SDO si tu veux !  
  \end{itemize}
\end{frame}

\begin{frame}
  \frametitle{Normes et standards ?}
  \begin{itemize}
  \item<2->Pas de vraie distinction,
  \item<3->Juste de la guerre entre SDO, certaines se prétendaient
    plus officielles que d'autres.  
  \end{itemize}
\end{frame}

\begin{frame}
  \frametitle{Ce qui différencie les SDO}
  \begin{itemize}
  \item<2->Prix des normes,
  \item<3->Nationalité,
  \item<4->« Ouverture »\only<4>{ (attention, terme chargé)},
  \item<5->Secteur d'intervention\only<5>{ (exemple : IEEE
    $\longrightarrow$ couches basses, IETF $\longrightarrow$ couches
    intermédiaires, W3C $\longrightarrow$ couches hautes)},
  \item<6->Ligne politique\only<6>{ (exemple : par rapport à la
    surveillance et au chiffrement)}.
  \end{itemize}
\end{frame}

\begin{frame}
  \frametitle{Prix des normes}
  \begin{itemize}
  \item<2->Beaucoup de SDO font payer pour le texte des
    normes\only<2>{ (avec des arguments bidon comme le coût de distribution)}, 
  \item<3->Et interdiction de redistribuer après !
  \item<4->Normes gratuites et redistribuables : IETF, W3C, UIT.  
  \end{itemize}
\end{frame}

\begin{frame}
  \frametitle{Ouverture ?}
  \begin{itemize}
  \item<2->Difficile à juger, chacun fait de l'\foreign{open washing},
  \item<3->Critères possibles :
    \begin{itemize}
    \item Disponibilité des normes,
    \item Possibilité d'observer le processus de
      normalisation\only<3>{ (contre-exemple : à l'ISO, les votes sont
        secrets)},
    \item Possibilité de participer au processus de
      normalisation\only<3>{ (à l'UIT, seuls peuvent participer des
        États et des grosses entreprises, 3GPP est 100 \% privé et fermé)},
    \item Et attention à la différence entre théorie et
      pratique\only<3>{ (une organisation ne se définit pas par ses
        textes mais par sa pratique)}.
    \end{itemize}
  \end{itemize}
\end{frame}

\begin{frame}
  \frametitle{L'exemple de l'IETF}
  \begin{itemize}
  \item<1>\foreign{Internet Engineering Task Force}, les couches
    intermédiaires de l'Internet comme IP, BGP, DNS, HTTP… Normes
    publiées sous le nom de RFC.
  \item<2->Choisi parce que je connais,
  \item<3->Tout le processus est public\only<3>{ (tout est en ligne,
    documents de travail, état des discussions…)},
  \item<4->Une ligne politique très marquée par le refus de la
    surveillance et la défense de la neutralité du réseau,
  \item<5->Un accent mis sur le concret, du code qui tourne\only<5>{ (hackathons…)},  
  \item<6->Tout le monde\only<6>{ (et son chat)} peut participer,
  \item<7->Mais attention, il faut parler anglais, s'y connaitre en
    réseaux informatiques et avoir du temps. Être une grande gueule
    peut aider.
  \item<8->Comme les autres SDO, l'IETF n'a pas de pouvoir, pas de
    police, et n'est pas obligatoire. % Exemple de Bitcoin, BitTorrent
                                % mais aussi HTTP.  
  \end{itemize}
\end{frame}

\begin{frame}
  \frametitle{L'outil de travail de base, le Datatracker}
  \includegraphics[scale=0.29]{datatracker.png}
\end{frame}

\begin{frame}
  \frametitle{Un exemple à l'IETF : DoH}
  \begin{itemize}
  \item<1>\foreign{DNS over HTTPS}, pour parler de manière sécurisée
    à un résolveur DNS distant,
  \item<2->La normalisation s'est faite sans problèmes, pas de
    discussion,
  \item<3->Mais la polémique est venue après,
  \item<4->« DoH empêche de contrôler ce que font les utilisateurs »,
  \item<5->À la chambre des Lords britannique, une baronne a mis en
    cause l'IETF\only<5>{ (« \foreign{an obscure technical group} »)},
  \item<6->En dehors de l'IETF, et même à l'intérieur, beaucoup
    d'arguments erronés techniquement,  
  \item<7->Confusion entre la norme technique et des choix de
    déploiements faits par certains\only<7>{ (Mozilla…)}.  
  \end{itemize}
\end{frame}

\begin{frame}
  \frametitle{Un exemple à l'IETF : QUIC}
  \begin{itemize}
  \item<1>Un nouveau protocole de transport (couche 4), concurrent de
    TCP, qui chiffre systématiquement, et davantage.
  \item<2->Au contraire de DoH, la normalisation a été longue et
    laborieuse,
  \item<3->Projet Google, à l'origine, puis transmis à l'IETF,
  \item<4->Débat fréquent « dans quelle mesure l'IETF peut modifier un
    protocole existant ? »,
  \item<5->Le chiffrement déchaine toujours les passions « on ne
    pourra plus surveiller »,
  \item<6->Un \emph{seul} bit, le \foreign{spin bit} a fait trainer le
    projet très longtemps,
  \item<7->Et le déploiement ? Qu'est-ce qui fait le succès ? (Ici, la
    mise en œuvre par Google.)  
  \end{itemize}
\end{frame}

\begin{frame}
  \frametitle{La norme, c'est politique, l'exemple de NewIP}
  \begin{itemize}
  \item<2->À l'origine, une proposition chinoise à l'UIT en 2018, pour
    remplacer IP,
  \item<3->Jamais de spécification, juste du PowerPoint,
  \item<4->Paradoxalement, ce sont les Occidentaux qui ont le plus
    relayé cette proposition, en la dénonçant,
  \item<5->Ce n'est pas allé plus loin, mais ça illustre le caractère
    politique de la technique.  
  \end{itemize}
\end{frame}

\begin{frame}
  \frametitle{Quelle stratégie pour l'Europe ?}
  \begin{itemize}
  \item<2->Beaucoup des SDO qui comptent sont plus ou moins
    étatsuniennes,
  \item<3->Régulièrement des appels à européaniser la normalisation,
  \item<4->  Rapport « \foreign{Finding the path to a more open
    internet. A new European approach toward internet standards} »\only<4>{ de
    Clément Perarnaud} : % https://openfuture.pubpub.org/pub/internet-standards/release/3
    \begin{itemize}
    \item<5-> Les normes techniques sont cruciales, avec des conséquences
économiques\only<5>{ (accès aux marchés)} et politiques\only<5>{ (droits et libertés)},
    \item<6-> Celles concernant l'Internet sont dominées par des organisations
étatsuniennes, et leur élaboration pose plein de questions\only<6>{
(démocratie, responsabilité)}.
   \item<7-> L'Europe devrait s'impliquer davantage.
  \item<8-> \emph{Mais}\only<8>{ (et, là, le rapport devient moins consensuel)},
    l'Europe devrait savoir ce qu'elle veut et ne pas, par exemple, se
    plaindre des atteintes des GAFA à la vie privée tout en
    prônant des mesures de surveillance (ChatControl).
    \end{itemize}
  \end{itemize}
\end{frame}

\begin{frame}
  \frametitle{Un exemple : le CRA}
  \begin{itemize}
  \item<1>\foreign{Cyber Resilience Act}, projet de régulation
    européenne sur le développement logiciel,
  \item<2->Surtout discuté pour ses conséquences graves pour le
    logiciel libre,  
  \item<3->Il est prévu que les règles de programmation sécurisée
    soient écrites par la SDO CEN/CENELEC, qui ne connait pas le sujet
    et n'a pas vraiment de légitimité\only<3>{ (mais qui est européenne)}.
  \end{itemize}
\end{frame}

\begin{frame}
  \frametitle{Conclusion}
  \begin{enumerate}
  \item<2->La normalisation est importante,
  \item<3->Elle est politique, elle a des conséquences sur la vie des
    gens,
  \item<4->Investissez-vous dans la normalisation technique !  
  \end{enumerate}
\end{frame}

\end{document}