Après une année chargée pour tout le monde, binaire se met en pause estivale. Et si vous profitiez vous aussi de cette période pour réfléchir à des sujets à nous proposer ou pour rédiger des articles que nous pourrions publier à la rentrée ?
On vous redonne le mode d’emploi pour publier sur binaire ?
Plusieurs cas possibles :
– un auteur propose un sujet ou un article à un membre du comité éditorial (de telles propositions sont très fortement encouragées),
– un auteur est invité par un membre du comité éditorial à écrire un article, ou
– un membre du comité éditorial propose un sujet et un article au comité.
Le comité éditorial discute de la proposition et l’approuve ou pas.
En cas d’approbation :
1) L’auteur réalise un article ou modifie son article avec l’aide ou en liaison avec un éditeur de binaire.
2)L’article est proposé au comité éditorial, avec l’accord de l’auteur.
3) L’article est accepté éventuellement après modifications par des membres du comité éditorial (sinon on retourne à l’étape 1).
4) La version finale est installée dans le système de contenus de binaire (du Monde) et planifiée.
5) L’article est publié et sa publicité en est faite notamment sur le compte Twitter de binaire.
Nos essentiels à retenir
– Le public visé est le lectorat du monde.fr, raisonnablement éduqué mais pas forcément spécialiste en informatique.
– Les textes sont courts, typiquement moins de deux pages, disons moins de 10 000 caractères. Quand le but est d’expliquer des aspects scientifiques complexes ou si le sujet nécessite de l’aborder avec plusieurs angles, nous proposons une publication en mode série (2 ou 3 articles).
– L’inclusion d’illustrations, de préférence en Creative Commons, est fortement encouragée. Leurs droits doivent avoir été vérifiés et la source précisée dans la légende .
– Ce n’est pas un article scientifique avec typiquement un nombre limité de références. On privilégiera les liens web. On pourra proposer un petit nombre de ressources supplémentaires au lecteur, de préférence sous forme de liens web.
– Les commentaires peuvent être automatiquement censurés par le moteur du blog notamment pour propos injurieux ou violant la loi. Sinon, les commentaires sont acceptés même s’ils sont désagréables.
Philippe Aigrainà la Journée du domaine public, Paris, 2012. Wikipédia
Philippe était informaticien, mais aussi écrivain, poète, passionné de montagne, militant. J’en oublie sûrement. Le dernier courriel que j’ai reçu de lui, c’était en sa qualité de dirigeant de publie.net, une maison d’édition où il avait pris la suite de François Bon. Une des dernières fois où je l’ai rencontré, nous faisions tous les deux parties du jury de l’Habilitation à diriger des recherches de Nicolas Anciaux. C’était de l’informatique mais le sujet allait bien à Philippe : « Gestion de données personnelles respectueuse de la vie privée ». Il défendait les libertés, notamment sur internet, ce qui l’avait conduit à cofonder « la Quadrature du net ». C’était aussi un brillant défenseur des biens communs. Pour de nombreux informaticiens, il était aussi le défenseur intransigeant des logiciels libres. Il s’est beaucoup battu pour les valeurs dans lesquelles il croyait,contre la loi Dadvsi, la loi Hadopi, la loi de Renseignement…
Difficile d’imaginer le paysage numérique français sans Philippe. Il manquera dans les combats futurs pour les libertés et pour le partage, mais nombreux sont ceux qu’il a influencés et à travers lesquels il se battra encore longtemps.
Les logiciels libres ont pris aujourd’hui une place importante dans le développement de pratiquement tous les systèmes numériques. Malheureusement, dans certains cas, l’utilisation de composants parfois obsolètes posent des questions de sécurité. Après nous avoir expliqué les attaques supply chain dans un article précédent, Charles Cuveliez, Jean-Jacques Quisquater et Tim Vaes commentent une étude portant sur 1500 logiciels qui révèle un grand nombre de failles dues à ces dépendances mal maîtrisées. Pascal Guitton
Aujourd’hui, la plupart des programmes informatiques utilisent du code open source, c’est-à-dire des composants et des librairies informatiques prêts à l’emploi, proposés librement sur le Net par une communauté qui les maintient, ainsi que par des sociétés commerciales. Cela permet aux développeurs informatique de ne pas devoir chaque fois réinventer la roue quand ils mettent au point leurs propres applications. Ils peuvent se concentrer sur ce qui est nouveau, fera la différence et ne pas perdre de temps à reprogrammer ce que d’autres ont fait avant eux. En fait, pratiquement tous les programmes commerciaux, y compris des systèmes d’exploitation comme Windows ou MacOSX, font largement appel à l’open source.
L’open source se retrouve donc dans un large spectre de contextes depuis des librairies écrites par des développeurs isolés sans connaissance particulière en sécurité jusque des librairies entretenues par des organisations professionnelles avec des standards de sécurité élevés. Dans le premier cas, il est facile pour un hacker malveillant de compromettre le code open source sous couvert de participer au développement. Dans le deuxième cas, on retrouve l ‘Apache Software Foundation ou la Linux Foundation qui maintiennent des suites entières de logiciels open source au sein desquels chaque changement fait l’objet d’une revue par les pairs et est discuté par plusieurs échelons de développeurs (par exemple, dans des forums). Ce type d’approche peut permettre à des codes open source d’atteindre une meilleure qualité que des logiciels proposés par des sociétés commerciales.
La garantie de sécurité de ces codes open source reste pourtant vague. Elle se base sur l’idée – pas totalement fausse, mais pas garantie – que la communauté qui participe à un projet open source demeurera active dans la durée. Quand cette communauté fonctionne bien, les logiciels open source sont revus en permanence par la communauté qui y ajoute souvent en continu de nouvelles fonctionnalités. Des sociétés commerciales proposent, en sus de la communauté, du support et de la maintenance à leurs clients qui voudraient utiliser cet open source sans s’y investir eux-mêmes. Un bel exemple de ce modèle vertueux est Kubernetes (un logiciel pour le déploiement d’applications) qui est énormément utilisé et qu’on retrouve dans de nombreux systèmes informatiques et qui se décline en plusieurs variantes professionnelles avec support et maintenance (Red Hat Openshift, Azure Kubernetes, Google Kubernetes Engine, etc.).
Malheureusement cette belle réussite ne s’applique pas à la majorité des codes open source disponibles en ligne. Les chiffres révélés par Synopsys, une société spécialisée dans la promotion de logiciels de qualité, le mettent en évidence. En 2020, elle a audité 1500 programmes pour le compte de clients. Parmi eux, 84 % contenaient au moins une vulnérabilité provenant de l’open source. C’est 9 % de plus qu’en 2019. De plus, 60 % contenait une vulnérabilité à haut risque, c’est-à-dire dire qui pouvait être exploitée par des moyens déjà connus. Plus ennuyant : le top 10 des vulnérabilités qui apparaissaient le plus en 2019 se retrouvent dans le palmarès 2020. Le problème ne se résout pas.
Dépendance des composants. Extrait de https://xkcd.com/2347/ Licence Creative Commons
S’il y a un domaine où l’open source règne en maitre, c’est bien celui des applications pour smartphones sous Android : 98 % d’entre elles contiennent de l’open source et selon le constat de Synopsys, 63 % révélaient une vulnérabilité critique. Comme pendant la pandémie, les utilisateurs ont téléchargé encore plus d’applications que précédemment, le risque de malveillances a donc augmenté mécaniquement.
Parmi les 1500 programmes analysées, 91 % contenaient des dépendances à des codes open sources qui ne connaissaient plus de développement actif, d’amélioration du code, de résolution des soucis rencontrés sur les deux dernières années. Le fait que la communauté ne soit plus active augmente considérablement les risques. Et puis, 85 % des programmes contenaient des dépendances à du code open source périmé depuis 4 ans. De nouvelles versions existaient qui résolvaient peut-être les vulnérabilités mais les programmes n’en tenaient pas compte.
Pourquoi?
Comment expliquer des chiffres aussi alarmants ? Les équipes de développement se battent avec le côté ultra dynamique des codes open sources qui évoluent en permanence et dont l’usage s’est installé partout. Une bibliothèque open source qui à un moment donné est, sans vulnérabilité, peut ne pas le rester pas longtemps car son environnement évolue vite . Le bât blesse au niveau organisationnel car il faudrait mettre en place un moyen simple d’avertir les développeurs, lorsqu’ils utilisent une bibliothèque open source, qu’une vulnérabilité y a été détectée. Mais comment ? Cela demande beaucoup de discipline au sein même de l’entreprise et de ses développeurs. Cela se complique encore plus si l’entreprise fait appel à des tiers pour ses développements.
Des plateformes comme GitHub dont l’activité consiste à mettre à disposition des codes open source jouent un rôle important pour combler ce trou sécuritaire : elles intègrent des contrôles de sécurité, scannent les codes qui s’y trouvent, même gratuitement quand il s’agit de code open source. Elles s’attaquent au problème à la source (en équipant les développeurs eux-mêmes avec les outils adéquats) plutôt que de laisser cette tâche du côté des utilisateurs d’open source qui n’auraient pas tous la même discipline.
Il se peut aussi que la mémoire collective « oublie » la vulnérabilité d’une librairie de logicielle. La vulnérabilité a bien été détectée mais elle a été mal ou pas documentée et de nouveaux développeurs l’ignorent. Ou bien encore, on continue à utiliser de vieilles bibliothèques qui ne sont plus maintenues alors que leur ancienneté procure un faux sentiment de confiance : s’il existait une vulnérabilité, cela se saurait, pense-t-on. Or le bug Heartbleed a prouvé le contraire : cette bibliothèque était animée et entretenue par des doctorants pendant leur thèse mais un jour ce travail cessa faute de combattants sans que tous ne soient prévenus de l’arrêt de la maintenance.
Symbole utilisé pour communiquer sur HeartBleed. Par Leena Snidate – WikiMedia
Le problème des licences
Il n’y a pas que les vulnérabilités qui posent problème, il faut aussi évoquer les licences. Ces licences sont plus ou moins libres d’utilisation et un logiciel peut proposer (involontairement) des usages qui ne respectent pas les licences de logiciel open source qu’il utilise. Par exemple, 65 % des programmes analysés par Synopsys recelaient un conflit de licence. Et les 3/4 d’entre elles étaient en conflit spécifiquement avec une version ou un autre de la célèbre « GNU General Public Licence » qui est très limitante.
26% des programmes utilisaient de l’open source sans licence ou alors avec une licence modifiée par l’auteur, ce qui place souvent l’utilisateur en conflit car la licence risque d’être mal (ré)écrite ou pas adaptée à l’usage qui est fait du code. Les conflits sur les licences open sources sont d’ailleurs en croissance (copyright, contrat, antitrust, brevet et fair usage). Et il y a parfois des situations ubuesques : la licence GNU General Public Licence v2 crée un conflit si le code est inclus dans un programme commercial compilé et distribué mais ce ne sera pas le cas si c’est un service de type SaaS car on ne distribue pas de code SaaS, on y accède….
Dans un article précédent, nous avons décrit les attaques supply chain qui utilisaient des codes sur lesquels s’appuyaient un logiciel. Mais au moins, le ou les fournisseurs de tels codes dans une supply chain sont connus. Avec l’open source, la situation est encore plus complexe : qui est le fournisseur des codes qu’on utilise ?
Ceci dit, Synopsys a pu faire ce rapport et établir ces statistiques grâce à une transparence qui est dans l’ADN de l’open source. Avec un code commercial, le secret qui l’entoure ne permettrait même pas d’établir un tel état des lieux.
Que faire à court terme du côté utilisateur ?
Pour affronter ces nouveaux défis, on peut réaliser soi-même une vérification approfondie des logiciels open source qu’on utilise : comment le code est-il maintenu ? Combien de développeurs travaillent sur le projet ? Informent-ils sur les vulnérabilités ? Combien de temps entre deux versions successives du logiciel ? Le code est-il revu par les pairs ? La licence est-elle compatible avec l’usage qu’on veut en faire ? C’est tout un faisceau de questions qu’on pourrait tout aussi bien poser pour les logiciels commerciaux.
Une telle vérification n’est pas la fin de l’histoire. Il faut aussi vérifier dans le temps que le logiciel et les bibliothèques restent à jour et sûres. Des outils qui partent du principe que les vulnérabilités sont de toute façon présentes dans le code voient aussi le jour. Ils protègent le code considéré comme « vulnérable par défaut » contre des modèles d’attaques à la manière d’un mini-firewall dans le logiciel même en fonctionnement.
Enfin, même si toutes ces barrières se sont révélées inefficaces, il faut aussi mettre en place des outils pour détecter les attaques. On a compris l’ampleur de l’attaque SolarWinds suite à une détection lancée par Fireeye qui en a été victime.
Charles Cuvelliez (Ecole Polytechnique de Bruxelles, Université de Bruxelles), Jean-Jacques Quisquater (Ecole Polytechnique de Louvain, Université de Louvain) & Tim Vaes (Ernst & Young, Cyber Security Lead, EY Financial Services)
La science est un bien commun et nous devons y avoir accès directement, pouvoir comprendre les publications scientifiques de toutes les disciplines, avec des sources fiables, de manière accessible et abordable. C’est ce que nous offre Papier-Mâché et … qui de mieux que de commencer par se faire expliquer ici comment … notre cerveau ou une machine pourrait faire une enquête policière, un processus de perception active. Bonne lecture ! Thierry Viéville
Les bons joueurs de Cluedo sont efficaces dans leur recherche d’information : ils planifient leurs actions afin d’obtenir le plus d’information possible en un minimum de temps. On appelle ce processus perception active, et c’est une capacité que les humains maîtrisent très bien. Pour les machines, en revanche, c’est plus compliqué. Dans un article de 2015, Matthijs Spaan, Tiago Veiga et Pedro U. Lima ont proposé un modèle dotant les machines de capacités de perception active, avec des applications dans le domaine de la robotique autonome pour la surveillance ou le sauvetage de personnes.
Perception active et planification sous incertitude. Kesako ?
En tant qu’humain, lorsque que l’on marche dans la rue, on absorbe de l’information sur ce qui se passe autour de nous : le feu piéton au vert, le tram qui arrive en station ou le fait que le bâtiment où l’on va se trouve droit devant nous. Ces informations sont intégrées par notre cerveau presque inconsciemment pendant qu’il est occupé à planifier la prochaine action pour nous amener à notre but final : notre rendez-vous chez le docteur. Quand on souhaite remplacer l’humain par un robot, un ordinateur ou n’importe quelle entité artificielle (appelée agent artificiel, souvent abrégé en agent), et lui permettre de planifier une séquence d’actions, on tombe dans un sous-domaine de l’Intelligence Artificielle, qui s’appelle la Planification Automatique. Dans le monde de la planification automatique, la plupart des problèmes considérés suivent ce schéma : l’agent calcule un plan lui permettant d’accomplir sa mission, et l’information qu’il obtient lors de l’exécution de ce plan est au service de la mission. La recherche d’information est alors un moyen pour atteindre un but et non le but en lui-même. Cependant, il existe certains cas d’applications où la recherche d’information n’est pas seulement un moyen pour l’agent d’atteindre un but mais constitue le but en lui-même. C’est par exemple le cas dans des applications de surveillance et de patrouille, mais aussi de recherche et de sauvetage, où la vie de personnes dépend de la capacité des sauveteurs et sauveteuses (humain·e·s ou artificiel·le·s) à collecter de l’information vite et bien.
Ce processus s’appelle la Recherche active d’information ou Perception Active. Le but ici est de collecter le plus d’information possible à propos de certains points d’intérêts. Pensez notamment à une partie de Cluedo, où il vous faut trouver le coupable, l’arme et le lieu du crime. Vous devez donc vous déplacer dans l’environnement et récolter de l’information afin d’éliminer, les uns après les autres, suspect·e·s, armes, et lieux potentiels.
Pour un humain, la perception active est simple. On la pratique depuis qu’on est gamin·e, quand on joue à cache-cache ou quand on cherche nos clefs. Notre cerveau y est entraîné. Mais comme souvent dans le domaine de l’Intelligence Artificielle, ce qui est facile pour un humain peut être très compliqué pour un agent artificiel. La perception active se fonde sur un modèle de connaissances de l’agent : il faut que l’on soit capable de modéliser ce que l’agent va considérer comme une certitude, mais également ce qu’il doit vérifier.
Dans cet article, les auteurs se placent dans le cadre de la planification séquentielle sous incertitude : on souhaite trouver la meilleure séquence d’actions possible afin d’atteindre un but donné, tout en sachant que l’on ne connaît pas tout de l’environnement. Dans le cas de votre rendez-vous chez le docteur, vous allez tenter de trouver la meilleure suite d’actions (quel tram prendre, tourner à droite à la seconde rue, etc.) pour arriver chez le docteur le plus rapidement possible. Pour ce faire, une solution possible est d’attribuer une valeur à certains états et certaines actions que l’on juge désirables. Par exemple, l’état « je suis chez mon docteur » aura une forte valeur positive car c’est l’état que l’on souhaite obtenir. En revanche, l’état « je suis immobile sur la ligne de tram » aura une très forte valeur négative car c’est particulièrement dangereux. On va donc récompenser notre agent lorsqu’il est dans état désirable ou effectue une action désirable, et le pénaliser s’il est dans un état ou effectue une action non désirable. Dans ce cas, ce qu’on appelle récompense ou pénalité correspond à cette valeur mathématique que l’on attribue aux différents états et actions et qu’on l’on donne à l’agent lorsqu’il se trouve dans cet état ou effectue cette action. Le but de l’agent (= la façon dont il est programmé) va être de maximiser sa récompense, immédiate et potentielle.
Le problème, c’est que dans la vraie vie, on n’a pas accès à toute l’information tout le temps. Par exemple, peut-être que le tram est au prochain croisement ou peut-être qu’il est à l’autre bout de la ligne. Selon la situation, la valeur associée à l’action « se trouver sur la ligne de tram » peut donc changer. Ce qui est possible en revanche, c’est de collecter de l’information sur la position du tram, par exemple en regardant sur l’application dédiée sur mon téléphone. L’information que j’obtiendrai ainsi ne sera pas absolument exacte (l’application peut avoir un léger décalage ou seulement donner le prochain arrêt par exemple) mais elle me permettra d’effectuer un raisonnement complexe, comme « le tram est 3 arrêts plus loin, je peux rester un peu sur la ligne sans danger, mais plus j’attends plus c’est dangereux ».
Il existe un modèle mathématique, basé sur la théorie des probabilités, qui permet de modéliser ce genre de problème, et qui s’appelle le Processus de Markov Partiellement Observable (POMDP de son petit nom, prononcez pom-dé-pé). Les POMDP permettent de modéliser tout ce qui peut se passer dans notre monde : les états possibles, les effets possibles des actions de l’agent ainsi que leur probabilité d’occurrence, et ce que l’agent reçoit comme information lorsqu’il effectue une action.
À partir de là, il existe de nombreux algorithmes qui permettent à un agent de raisonner sur l’ensemble des situations, de considérer les différentes actions possibles et de choisir la meilleure suite d’actions à effectuer en fonction de ce qu’il sait, de ce qu’il a vu du monde et afin d’atteindre son but. Par exemple, pour mon Cluedo, si je sais que j’ai la carte Salon dans la main, je ne vais généralement pas me déplacer dans le salon car je sais que ça ne fait pas partie de la solution. Néanmoins, l’une des limitations de ce modèle est que les valeurs ne peuvent être attribuées qu’à des états et des actions (par exemple : arriver chez le docteur). Or dans le cas de la recherche active d’information, le comportement désirable est celui qui permet à notre agent d’en apprendre le plus possible sur le monde. Il n’est donc pas lié à un état ou une action particulière mais à son état de connaissance :on aimerait récompenser l’agent s’il sait que le crime a eu lieu dans le salon. Peu importe si notre agent se trouve dans la cuisine ou la salle à manger et comment il le sait. L’important, c’est qu’il le sache. C’est cette limitation que les auteurs de l’article tentent de dépasser.
Actions d’engagement : le Colonel Moutarde dans la cuisine avec le chandelier
Pour modéliser cette récompense basée sur l’état de connaissance d’un agent, les auteurs présentent un nouveau modèle basé sur les POMDP, qu’ils appellent POMDP-IR (pour POMDP with Information Reward ou POMDP avec récompense d’information en français). Dans ce nouveau modèle, les auteurs introduisent ce qu’ils appellent des actions d’engagement. Pour comprendre ce qu’est une action d’engagement, repensez au Cluedo. À la fin de la partie, lorsque vous avez obtenu assez d’information sur les différentes pièces, armes et suspect·e·s, vous êtes suffisamment sûr·e de vous pour émettre une accusation : « c’est le Colonel Moutarde dans la cuisine avec le chandelier ». Cette accusation est une action d’engagement : si vous avez raison, vous serez récompensé·e (vous gagnez la partie). Si vous avez tort, vous serez pénalisé·e (vous sortez du jeu). De ce fait, vous vous assurez d’avoir suffisamment d’information avant d’émettre votre accusation. Et bien dans cet article, les auteurs ont créé des agents capables de jouer de Cluedo ! Grâce aux actions d’engagement, l’agent se focalise sur les actions qui lui permettent de récolter de l’information afin d’obtenir un état de connaissance suffisant avant de s’engager, et donc soit de recevoir une récompense (s’il a raison), soit d’être pénalisé (s’il a tort).
Mais nos agents POMDP-IR ne sont pas que des joueurs de Cluedo et peuvent faire bien plus. En effet, un POMDP-IR permet de modéliser, en parallèle des actions d’engagement, n’importe quelle autre action qui serait modélisable dans un POMDP. À chaque action, l’agent peut alors décider simultanément d’une action « normale » et de s’engager ou non. De ce fait, le POMDP-IR permet de modéliser des problèmes multi-objectifs, où l’agent doit mettre en œuvre sa perception active tout en poursuivant une autre mission. On peut imaginer par exemple le cas de missions de sauvetage où l’agent doit retrouver des victimes et sécuriser l’environnement. Sécuriser l’environnement est la mission « classique » (au sens des POMDP, car il s’agit de modifier l’état de l’environnement par les actions de l’agent), alors que retrouver les victimes est une mission de perception active (modélisable par un POMDP-IR), car on attend de l’agent qu’il prenne des actions d’engagement du type « je sais qu’il y a un blessé au troisième étage ».
Donc on peut maintenant récompenser un agent pour effectuer sa mission tout en ayant un état de connaissance suffisant. Mais, ça veut dire quoi suffisant ?
Les auteurs nous disent : suffisant, ça dépend du contexte ! Évidemment, ce que vous considérez comme étant un état de connaissance suffisant dépend énormément de votre application. S’il s’agit d’indiquer à l’utilisateur·rice que le café est prêt, les erreurs ne sont pas bien graves. Par contre s’il s’agit de secourir des victimes, une erreur pourrait vous co��ter cher. Les auteurs démontrent également qu’à vouloir être trop sûr, l’agent risque de se focaliser sur sa recherche d’information, quitte à délaisser toute autre mission qui pourrait lui être confiée. Dans le cas de notre agent de sauvetage par exemple, si l’on demande à l’agent d’être trop sûr d’où se trouvent les victimes, notre agent va passer son temps à vérifier et re-vérifier chaque pièce en négligeant de sécuriser l’environnement, risquant ainsi la vie de ses coéquipiers.
Pourquoi ce modèle est-il intéressant ?
Dans le monde de la recherche en Intelligence Artificielle, produire un nouveau modèle ne suffit pas, encore faut-il qu’il soit intéressant. Alors comment détermine-t-on qu’un modèle est intéressant ? Souvent grâce à deux questions :
1. Ce modèle permet-il de modéliser un type de problème qu’on ne savait pas traiter jusque là ? Si oui, il permet d’accroître le nombre de problèmes qu’un agent artificiel peut traiter et il est donc intéressant.
2. Si d’autres modèles permettent déjà de modéliser le même type de problème que ce nouveau modèle, ce nouveau modèle est-il meilleur que l’ensemble des autres modèles existant ?
Est-il plus simple à appliquer ?
Donne-t-il de meilleurs résultats ?
Dans notre cas, le POMDP-IR introduit par Matthijs Spaan et ses collègues ne permet pas de modéliser de nouveaux problèmes car il existe déjà un autre modèle permettant de traiter le problème de la recherche active d’information. Ce modèle, appelé ρ-POMDP, a été proposé cinq ans plus tôt (en 2010) par Mauricio Araya-Lopez et ses collègues [1]. D’après ses auteurs, le POMDP-IR permet de meilleurs résultats que le ρ-POMDP, au sens où un agent qui suivrait un POMDP-IR aura une meilleure récompense finale (et donc sera a priori plus efficace dans sa tâche) qu’un agent qui suivrait un ρ-POMDP.
Conclusion et discussion
Le modèle développé par les auteurs dans cet article permet à un agent de raisonner sur ses connaissances afin d’agir au mieux pour acquérir de nouvelles connaissances tout en poursuivant d’autres buts. Ce modèle se base essentiellement sur la notion d’actions d’engagement, qui permettent de récompenser l’agent lorsque celui-ci obtient un bon niveau de connaissance sur le monde.
L’une des difficultés majeures associées à ce modèle est de trouver le bon équilibre entre les différentes missions. C’est un aspect qui n’est pas du tout abordé dans l’article, mais qui est pourtant capital afin d’obtenir un comportement adéquat. En effet, dans le cas de notre agent de sauvetage, l’agent est récompensé s’il trouve les victimes correctement et s’engage sur leur position, mais également s’il sécurise au mieux l’environnement. La relation entre ces deux récompenses est tout aussi capitale que le degré de suffisant afin d’obtenir un agent qui effectue bien ses deux missions. Une récompense trop élevée pour la sécurisation de l’environnement par rapport à celle pour la recherche de victimes va inciter l’agent à prioriser la sécurisation et négliger la recherche des victimes, et inversement une récompense de sécurisation trop faible par rapport à la récompense de recherche de victime va inciter l’agent à négliger sa tâche de sécurisation. Ce problème n’est cependant pas propre au POMDP-IR, puisqu’il existe dans tout modèle la nécessité de trouver un compromis entre différents objectifs, ce qui implique malheureusement souvent une suite d’essais et d’erreurs afin de trouver la bonne configuration.
Le problème de raisonner et planifier sur l’état de connaissance d’un agent est un sujet qui suscite énormément d’intérêt dans la communauté de recherche sur la planification automatique. Ce (relativement) nouveau domaine de recherche est appelé Planification Épistémique et verra probablement émerger de nombreux modèles dans le futur, ouvrant ainsi la voie à beaucoup de nouvelles applications.
Note : l’autrice de ce papier-mâché est actuellement en collaboration avec les auteurs de la publication initiale. Cette collaboration a débuté après la publication dudit article, mais concerne un sujet similaire à celui abordé ici.
Le site web d’Opscidia explique que la société « s’appuie sur la littérature scientifique en accès ouvert ainsi que sur les dernières avancées du traitement automatique du langage naturel dans le but de vous apporter le meilleur de l’information technologique ». Pour comprendre ce que ça voulait dire, nous avons rencontré ses dirigeants-fondateurs, Sylvain Massip et Charles Letaillieur. Le CEO Sylvain a une thèse en physique de l’université de Cambridge et a été chercheur et directeur de l’innovation dans une start-up, Natural Grass. Le CTO Charles est ingénieur Télécom Paris et a eu de nombreuses expériences dans le numérique, Cap Gemini, Streamezzo, La Netscouade, Adminext. Ils ont tous les deux une solide expérience dans l’open access et open data, ainsi qu’en apprentissage automatique.
Photo de Ben Taylor provenant de Pexels
Binaire : Quelle a été l’idée de départ pour Opscidia ?
SMCL : Nous étions tous les deux passionnés par la science ouverte. Notre vision est que le développement de la publication scientifique en accès ouvert et le développement d’applications, qui permettent de faciliter la diffusion de la connaissance scientifique dans la société au-delà des cercles académiques sont des mouvements qui vont de pair et se nourrissent mutuellement.
Au début, nous voulions tout révolutionner en même temps, et cela reste notre objectif à long terme ! Plus modestement, aujourd’hui, l’essentiel de nos travaux portent sur la diffusion des articles ouverts au-delà des chercheurs académiques. Nous proposons des applications qui s’appuient sur des technologies d’intelligence artificielle pour analyser automatiquement les publications scientifiques en accès ouvert, ce qui permet de réutiliser les résultats de la recherche pour les entreprises qui font de la R&D, et pour les décideurs publics. Nous avons construit une plateforme que nous commercialisons par abonnement.
Et puis, au-delà de ces deux premières cibles, nous voulons aller jusqu’à l’information du grand public. Si les articles scientifiques sont écrits par des chercheurs pour des chercheurs, ils peuvent aussi être de superbes outils pédagogiques pour le grand public.
Notre plateforme permet de naviguer dans la littérature scientifique. Nos utilisateurs peuvent la personnaliser pour leurs besoins propres. Nous avons par exemple travaillé avec la commission européenne et avec l’entrepôt de données ouvert OpenAIRE, un dépôt d’articles scientifiques en open access.
Nous réalisons aussi des projets qui ne sont pas directement liés à la plateforme, en nous appuyant sur nos domaines d’expertise, comme l’analyse automatique de publications scientifiques avec de l’intelligence artificielle.
Opscidia est maintenant une équipe de huit personnes avec des experts en traitement du langage naturel, des développeurs de logiciels et des business développeurs. Nous avons à ce jour une dizaine de clients, parmi eux, la Commission Européenne, pour qui nous analysons les signaux faibles issus des projets de recherche, l’INRAE ou encore la Fondation Vietsch avec qui nous avons développé un fact-checker scientifique.
binaire : Science ouverte (open science), accès ouvert (open access), vous pouvez expliquer aux lecteurs de binaire de quoi on parle.
SMCL : Pour nous, l’idée de l’open science est que la science ne doit pas être réservée aux seuls chercheurs académiques, mais qu’elle doit être partagée par tous. Elle doit donc sortir des murs des universités et des laboratoires de recherche et devenir accessible aux industriels, aux décideurs politiques et aux citoyens. Dans notre société moderne, de nombreux problèmes ne peuvent pas être compris si on ne comprend pas la science en action.
Pour que la science soit ouverte, il faut que les publications scientifiques soient accessibles à tous, c’est l’open access, et il faut que les données scientifiques soient ouvertes à tous, c’est l’open data. L’open science, c’est le cadre général ; l’open access et l’open data sont des éléments de l’open science.
binaire : Parlons un peu de la manière dont fonctionnent les revues scientifiques.
SMCL : Le « vieux » système des publications scientifiques date d’après la deuxième guerre mondiale. C’est à cette époque que se sont formés les éditeurs scientifiques, et qu’après un processus de fusion/acquisition ils sont devenus les quelques gros éditeurs qui dominent le domaine aujourd’hui.
Les éditeurs mettaient alors en forme les articles, les imprimaient sur du papier, puis diffusaient les revues scientifiques imprimées dans les universités. Tout cela coûtait cher. Les universités et les laboratoires devaient donc payer pour recevoir les revues.
Avec l’avènement d’internet et du web, une grande partie de ce travail a disparu et tout le monde a pensé que les coûts allaient diminuer, que les prix baisseraient en conséquence. Pas du tout ! Il y a eu au contraire création d’un grand nombre de nouvelles revues alors que les prix individuels baissaient peu. Le coût pour les universités a augmenté considérablement au lieu de diminuer.
Ça mérite de s’arrêter un instant sur l’écosystème : des chercheurs écrivent des articles, les éditent en grande partie eux-mêmes maintenant, les soumettent à publications, d’autres chercheurs les relisent (le reviewing) et les sélectionnent. En bout de chaîne, les universités paient. Et les éditeurs ? Ils se contentent de faire payer très cher les abonnements pour juste organiser le processus et mettre les articles sur le web.
A part le fait que la collectivité paie cher pour un service somme toute limité, le processus empêche les chercheurs dans des organisations moins bien dotées que les grandes universités occidentales d’avoir accès aux publications, ce qui est un problème pour le développement de la recherche scientifique.
Ce sont les motivations principales du mouvement open access pour rendre les publications scientifiques accessibles à tous. Ce mouvement s’est beaucoup développé depuis les années 90.
binaire : Comment est-ce que cela fonctionne ?
SMCL : Le monde de l’open access est compliqué. On se perd dans les modèles de publication et dans les modèles de financement des publications. Comme les éditeurs de publications scientifiques ont subi de fortes pressions pour rendre leurs publications ouvertes, ils l’ont fait mais avec des modes tels que cela n’a pas vraiment suffi pour que les gens accèdent à la connaissance contenue dans les publications.
Une solution proposée et promue par les éditeurs est la « voie dorée » (gold open access) : le chercheur paye pour publier son papier et qu’il soit accessible à tous. C’est une première réponse, mais une solution qui ne nous paraît pas optimale parce qu’elle reste coûteuse et que ce ne sont pas les chercheurs qui pilotent le processus. Aujourd’hui, les négociations entre les universités et les éditeurs se font en général au niveau des États. Ce sont de très gros contrats pour se mettre d’accord sur le prix, dans une grande complexité et une relative opacité.
Un modèle alternatif est que tout soit organisé directement par les chercheurs et gratuitement pour tous. Évidemment, il n’y a pas de miracle : il faut bien que quelqu’un paie pour absorber les coûts, par exemple des institutions comme la commission européenne.
L’environnement est encore instable et il est difficile de dire comment tout ça va évoluer.
binaire : Quelle est la pénétration de l’open access, et comment la situation évolue-t-elle ?
SMCL : On mesure ça assez précisément. Le ministère de la recherche publie d’ailleurs un baromètre pour la France. On peut aussi consulter les travaux d’Eric Jeangirard sur le sujet. Il y a aussi des équivalents internationaux. En gros, au niveau mondial 30 à 40% des articles sont en open access.
Les chiffres de pénétration sont très dépendants des domaines de recherche. L’informatique est parmi les bons élèves. Et ce pour beaucoup de raisons : les informaticiens ont l’expertise technique, il y a des bases de publications, il y a la mentalité et la culture de l’open source. Les mauvais élèves sont plutôt l’ingénierie et la chimie. Les sciences humaines et sociales, avec une dépendance plus forte des chercheurs dans les éditeurs du fait de l’importance que joue la publication de livres dans ces disciplines, mais aussi avec beaucoup d’initiatives pour promouvoir l’Open Access, sont dans une dynamique assez spécifique.
Certaines des différences sont fondées. Comparons les publications d’articles dans le domaine médical et en informatique. En informatique, les chercheurs publient souvent leurs résultats en « preprints », c’est-à-dire des versions open access avant publication officielle dans une revue. En médecine, une telle publication peut conduire à des risques sanitaires graves. On l’a vu dans le cas du Covid avec des batailles de publication de preprints. Parmi les 2000 articles par semaine qui ont été publiés sur le coronavirus, beaucoup étaient des preprints, tous n’ont pas été relus par des pairs (peer review), beaucoup ont été abandonnés et n’ont pas eu de suite. Du coup, les chercheurs en médecine sont plus réticents à publier avant que l’article n’ait été accepté pour publication, et ce, même si les preprints permettent en fait d’améliorer la qualité des publications en augmentant la transparence.
Pour terminer, on pourra noter que la diffusion de l’open access est clairement en croissance. C’est ce que montrent les chiffres. Cela vient notamment de règles comme le plan S qui, par exemple, oblige les chercheurs à publier en open access s’ils ont bénéficié de financement de l’Union européenne.
binaire : Est-ce que ouvert ou pas, cela a des impacts sur la qualité des publications ?
SMCL : Les journaux en open access gold ont le même niveau de sérieux que les journaux classiques : les articles sont revus par des pairs. Donc la qualité est là et la seule différence avec les journaux classiques est le modèle économique avec transfert du paiement du lecteur vers l’auteur. Avec un bon système de peer review, la qualité est au rendez-vous quel que soit le modèle économique. Le mécanisme du preprint privilégie par contre la transparence, la facilité et la rapidité d’accès au dépend du contrôle de qualité. Mais les preprints ont vocation à être publiés ensuite dans des revues à comité de lecture, et la transparence supplémentaire offerte par le système de preprint permet en général d’augmenter la qualité du processus de relecture !
binaire : De 30 à 40% du marché, c’est déjà une victoire !Quel est le panorama mondial et quelle est la position de la France sur l’open access ?
SMCL : Oui. Ça progresse bien et l’open access finira par s’imposer. C’est le sens de l’histoire.
L’Europe est assez leader sur ces thématiques, ce qui est récent et n’a pas toujours été le cas. Il faut rappeler que les principaux éditeurs sont européens (britanniques, néerlandais et allemands), donc ils ont forcément voix au chapitre en termes de lobbying. La commission européenne est un lieu d’affrontement entre les parties. L’Amérique du sud est assez en pointe pour l’open access avec des initiatives comme SciELO ou Redalyc.
Aux États Unis, le grand entrepôt de données et d’articles médicaux (Pubmed) a été organisé par l’État avec une vraie volonté d’open data. Il y a en revanche beaucoup moins d’obligations écrites pour les chercheurs qu’en Europe ; ils publient où ils veulent, mais ils doivent publier leurs données dans Pubmed. Il y a de sérieux combats au moment des renouvellements des revues. En Europe, les éditeurs ont un argument de choc. C’est eux qui contrôlent l’historique et personne ne veut perdre l’accès à des dizaines d’années de résultats scientifiques. Aux Etats-Unis, grâce à Pubmed, c’est moins vrai.
La France est plutôt active en faveur de l’open access. La Loi sur la république numérique a levé des interdictions importantes. Le Ministère de la Recherche et de l’Enseignement Supérieur est très moteur, et la nomination de Marin Dacos, un militant de l’open science, comme Conseiller science ouverte au Ministère a fait avancer les choses.
binaire : Qu’est-ce que la science ouverte apporte ?
SMCL : La promotion de modes ouverts fait diminuer la compétition, encourage la collaboration. Le travail collaboratif s’impose. Avec un meilleur accès, plus précoce, aux résultats d’autres chercheurs, on peut plus facilement faire évoluer cette recherche. En travaillant sur des données ouvertes, on peut plus facilement travailler ensemble.
Prenons une problématique importante, celle de l’évaluation des chercheurs, qui conditionne le recrutement et les promotions. Le fait d’aller vers de l’open science et de l’open data, conduit à modifier ce processus d’évaluation. Par exemple, si un chercheur met à disposition un jeu de données que tous exploitent pendant des années, son impact en termes de recherche peut être immense, et ce même s’il n’a que peu publié. Il faut modifier l’évaluation pour qu’elle tienne compte de son apport à la communauté.
Évidemment, cela dépend beaucoup du domaine. On ne va pas offrir un large électron-positron collisionneur à chaque groupe qui a envie de faire de la physique des particules. Donc forcément, dans ce domaine, les données doivent être par nature partagées. En revanche, dans d’autres domaines où les expériences sont plus petites et où potentiellement les applications industrielles sont plus rapides, les choses auront tendance à être plus fermées.
Et puis, on n’a pas forcément à choisir entre tout ouvert ou tout fermé. Dans le travail qu’Opscidia fait pour la commission européenne, la commission veut croiser des données sur le financement des projets avec des données scientifiques publiques. Cela n’oblige évidemment pas la commission à ouvrir ses données sensibles.
binaire : Du côté logiciel libre, de nombreuses associations et quelques organisations, fédèrent la communauté. Est-ce pareil pour l’open access ?
SMCL : Les militants de l’open science sont le plus souvent des fonctionnaires et des chercheurs académiques. Ils s’appuient sur des institutions comme le Comité pour la science ouverte. Ce comité, organisé par le ministère, réalise un travail considérable. Il fédère de nombreux acteurs publics qui ont chacun leur spécificité et leur apport. Malgré le militantisme, on reste dans un cadre assez institutionnel.
binaire : Est-ce qu’il y a un pape de l’open access, un équivalent de Richard Stallman pour le logiciel libre ?
SMCL : De nombreuses personnes ont eu un grand impact sur ce domaine. On peut peut-être citer Aaron Swartz, un peu le martyr de l’open access ou Peter Suber qui a fait beaucoup pour populariser l’approche mais à notre sens, l’Open Access reste avant tout une affaire aux mains des communautés de recherche et des chercheurs individuels sur le terrain.
Serge Abiteboul, Inria et ENS, Paris, François Bancilhon sérial-entrepreneur
« Numerama accompagne le présent vers l’avenir en proposant chaque jour des articles, analyses, reportages et enquêtes dans plusieurs univers permettant à la rédaction de couvrir tous les enjeux du siècle qui vient. Parce que la société, la culture, l’économie, l’innovation, la science et la politique ont été révolutionnées par le numérique et les nouvelles technologies, la francophonie a besoin d’un média de référence, jeune et inclusif, pour comprendre ces questions. » explique Julien Cadot, qui porte la stratégie éditoriale de Numerama. Pour accompagner le présent et l’avenir Numerama a aussi une rubrique scientifique, souvent en lien avec The Conversation avec qui nous sommes partenaires. Un article a retenu notre attention et nous avions envie de vous inviter à le redécouvrir.
Vous voulez mieux comprendre ces « probabilités´´ qui sont si peu intuitives à notre cerveau mais pourraient nous faire gagner mieux qu’une chèvre à un jeu télévisé ? Et aussi celles utilisées en intelligence artificielle pour proposer des éléments afin de permettre aux humains de prendre des décisions ? Alors allons-y, c’est par ici …
Illustration du paradoxe de Monty Hall. // Source : Wikimedia/CC/Cepheus, modification Numerama
