Liens :

• Wallabag, le site officiel
• Framabag, l’instance de Framasoft
• Sondage Framadate (terminé) sur le nouveau nom (où apparaît « kalbut »).

Crédit : Simon Gee Giraudot (Creative Commons By-Sa)

Blog vraiment anonyme : mode d’emploi !

« Et si vous me trouvez, je serai vraiment très impressionné. »

Comment créer un blog anonyme

How to Start an Anonymous Blog

Anonyme (évidemment) – 26 janvier 2014 – Untraceable
(Traduction : crendipt, aKa, Diab, Penguin, Omegax, amha, nanoPlink, Paul, Scailyna, Scailyna, Asta, Unnamed, goofy, lamessen)

Introduction

Je crois qu’en suivant les étapes que j’expose dans ce billet, personne ne sera capable de dévoiler mon identité. Mon domaine peut être saisi et mon blog peut être fermé, mais je reste persuadé que mon identité restera un mystère.

Si je dis cela, c’est principalement parce que j’ai confiance dans un outil très important appelé Tor. Les développeurs et administrateurs des nœuds de Tor travaillent pour que chacun puisse être anonyme sur Internet. Tor est une sérieuse épine dans le pied pour la NSA et pour les autres organisations et pays qui font de l’espionnage sur Internet.

Vu que le réseau Tor rend très difficile l’identification des adresses IP et que l’enregistrement de domaines est désormais possible via Bitcoin, je n’ai à aucun moment besoin de fournir une quelconque information personnelle pour la mise en place de ce blog.

Outils et ressources

• Clé USB
• Système d’exploitation Tails
• Réseau Tor
• Bitcoins locaux – Acheter des bitcoins en espèces
• Comptes mail gratuits chez outlook.com et anonymousspeech.com
• Nom de domaine acheté chez IT Itch
• Site statique hébergé sur des pages GitHub

Tails / Tor

Tails est lancé depuis une clé USB qui inclut une partition chiffrée. Cette partition contient un porte-monnaie Bitcoin, le code source du blog et une base de données Keepass. Mes mots de passe pour des services tiers sont des mots de passe très forts générés aléatoirement. Avec Tails, il est difficile de se tromper, car toutes les connexions doivent obligatoirement passer par Tor. Par exemple, pour développer ce blog en local, je dois ajuster les règles du pare-feu pour autoriser les connexions locales au port 4000, télécharger un navigateur différent (Midori) et régler celui-ci pour qu’il n’utilise pas de serveur proxy. Le pare-feu bloque toutes les requêtes externes de Midori, mais je peux accéder à http://localhost:4000.

Donc, à moins d’agir de manière insensée, par exemple me connecter à StackOverflow au moyen de mon vrai compte Google et utiliser l’identifiant de « untraceableblog », je pense qu’il est quasiment impossible de me pister.

Je fais une sauvegarde de la clé USB sur mon ordinateur principal, sur un volume caché TrueCrypt. J’aime le concept des volumes cachés, j’ai l’impression d’être un putain d’espion. L’idée, c’est d’avoir un mot de passe factice qui déverrouille un faux dossier chiffré et un mot de passe réel pour déverrouiller le vrai dossier chiffré, sans qu’il y ait aucun moyen pour les autres de savoir lequel vous déverrouillez. Dans mon faux dossier chiffré, je garde ma base personnelle de Keypass, de cartes de crédit, et des scans de mon passeport et permis de conduire. Donc si quelqu’un me force à entrer mon mot de passe pour déverrouiller mon ordinateur et découvre que j’ai un volume TrueCrypt, il n’aura aucun moyen de savoir si j’ai entré le mot de passe réel ou bidon.

Cette fonctionnalité autorise une légère protection contre les tentatives d’extorsion de votre mot de passe par la force.

La plupart du temps, je cache la clé dans un endroit secret de la maison. Quand je dois aller quelque part et que je veux pouvoir mettre à jour ce blog, je le sauvegarde sur le volume caché, puis j’efface la clé de manière sécurisée et je peux l’emporter avec moi sans aucune crainte. C’est ce que je devrai faire jusqu’à ce que Tails intègre sa propre fonction pour les « volumes cachés ».

Messagerie électronique

J’ai créé un compte de messagerie gratuit sur Outlook.com et j’utilise anonymousspeech.com pour la vérification et la sauvegarde.

J’ai d’abord essayé Gmail, mais Google rend la création de compte très difficile quand on utilise Tor, à cause de la vérification par téléphone. C’est compréhensible, à cause des gens qui aiment créer un grand nombre de faux comptes pour envoyer du spam.

Blog

Ce blog est libre sur les pages GitHub, il utilise Octopress pour créer un site statique et j’ai installé le thème Page Turner. J’ai envoyé le contenu sur GitHub avec une clé SSH, bien entendu chiffrée et stockée sur ma clé USB.

Il me vient à l’esprit deux vecteurs susceptibles de vous donner des informations sur mon identité :

L’horodatage des messages

Le système d’exploitation Tails dispose d’une bonne stratégie pour forcer l’heure du système à être systématiquement en UTC. Mais si j’écris une série de billets dans les années à venir, vous pourriez en analyser l’horodatage pour déterminer mon fuseau horaire. Cependant, le site compilé indique uniquement la date. Par ailleurs, je voyage beaucoup (ou pas ?) 😉

Analyse de la fréquence des mots et caractères

Vous pourriez être capables de déterminer mon pays d’origine ou mon identité grâce à mes mots et mes phrases. Vous pourriez même trouver une corrélation avec les autres contenus que j’ai publiés en ligne sous ma véritable identité. Je contre cette possibilité en passant tous mes billets dans Google Translate. Je traduis dans une autre langue, puis en anglais et je corrige ensuite les erreurs. C’est parfait pour diversifier mon vocabulaire, mais j’aurais aimé que ça ne casse pas autant le Markdown et le HTML. Jusqu’ici vous pourriez croire que l’anglais est ma seconde langue. Mais laissez-moi vous assurer d’une chose : je n’ai jamais affirmé ni infirmé ce point.

Un des problèmes, c’est que Google peut voir mes messages originaux et probablement aussi la NSA. Si je voulais l’éviter, je pourrais poster des demandes de traductions anonymes et payer les traducteurs en bitcoins.

Statistiques

Les raisons de l’indisponibilité de Google Analytics vous sont données sous « Messagerie électronique ». À la place, j’ai choisi StatCounter.

Mais même si Google Analytics avait été disponible, je n’aurais pas utilisé une ID de suivi liée à mon identité réelle. Beaucoup de blogueurs anonymes ont été trahis par l’annuaire d’ID inversé proposé par Google.

Acheter des bitcoins avec le maximum d’anonymat

J’ai acheté les bitcoins en utilisant un compte anonyme créé via Tor. J’ai trouvé un vendeur qui souhaitait me rencontrer en personne et nous avons convenu d’un rendez-vous. Nous nous sommes rencontrés, je lui ai donné l’argent et il m’a transféré les bitcoins en utilisant son téléphone.

Acheter un nom de domaine avec des bitcoins

IT Itch est un registrar qui accepte les paiements via BitPay. Leurs noms de domaine sont assez chers,15 USD chacun, mais permettent un enregistrement totalement anonyme. Ce fut une démarche facile, mais il a fallu du temps pour que le domaine devienne actif (plus d’une heure). Une fois activé, j’ai configuré les enregistrements DNS pour GitHub Pages, et ensuite mon blog était accessible sur http://untraceableblog.com.

IT Itch a fait la grosse erreur de m’envoyer mon mot de passe en texte clair après la création du compte. PAS BIEN ! Si quelqu’un parvient à accéder à mon compte Outlook, il peut se connecter et détruire mon site. Donc j’ai effacé le message et changé mon mot de passe, et heureusement ils ne l’ont pas renvoyé par e-mail.

Comment je pourrais être découvert, 1ère partie

Pister les Bitcoins

En théorie, vous pouvez suivre la trace des transactions Bitcoins et découvrir mon identité. Toutefois, dans ce cas, il est très peu probable que même l’organisation la plus sophistiquée et la mieux financée puisse me découvrir.

Voyez-vous, j’ai acheté ces Bitcoins en utilisant un compte anonyme sur localbitcoins.com (créé en utilisant Tor). Nous avons convenu, le vendeur et moi, de nous rencontrer en personne, et j’ai payé en liquide. Pour dévoiler mon identité, il faudrait que vous puissiez casser les défenses de tous les services que j’ai utilisés ou bien travailler chez eux. Il faudrait par exemple :

1. Accéder à la base de données de ititch.com et trouver l’identifieur de la transaction BitPay pour untraceableblog.com
2. Accéder à la base de données de BitPay et trouver l’adresse Bitcoin qui a envoyé les Bitcoins pour cette transaction
3. Accéder à la base de données de localbitcoins.com. Trouver l’adresse Bitcoin qui a envoyé les Bitcoins à BitPay, retracer la transaction jusqu’à ce que vous trouviez l’adresse localbitcoins du dépôt fiduciaire.
4. À partir de l’adresse du dépôt fiduciaire, vous pourrez trouver le compte localbitcoins, et retrouver les messages que nous avons échangés pour nous rencontrer.
5. Vous devrez vous rendre au point de rendez-vous et espérer qu’il existe des caméras de surveillance qui auraient pu nous enregistrer ce jour-là.
6. Vous aurez enfin besoin d’accéder à la société de sécurité qui possède les enregistrements des caméras de surveillance, obtenir une bonne image de mon visage et faire tourner d’une façon ou d’une autre un logiciel de reconnaissance faciale pour découvrir mon identité. Travailler pour Facebook ou la NSA pourrait aider si vous avez réussi à parvenir à ce point.

Comment je pourrais être découvert, 2ème partie

Tout est hacké. Absolument tout.

Internet est une machine basée sur la confiance et il existe de nombreuses manières de briser cette confiance. Quelqu’un peut générer des certificats SSL de confiance pour n’importe quel domaine, exiger que son FAI route l’intégralité du trafic au travers de ces certificats, ou contrôler un grand nombre de nœuds Tor et réaliser des attaques par analyse de trafic. Je n’entrerai pas dans les détails mais si vous êtes intéressés, vous pouvez en apprendre davantage sur les attaques Tor :

• Comment la NSA attaque les utilisateurs de Tor / Firefox avec quantum et FOXACID
• Articles concernant les attaques sur le blog de Tor

Conclusion

Je n’ai fait ce blog que comme un exercice amusant d’anonymat, même si j’y posterai probablement des choses dans le futur. J’ai simplement utilisé des outils créés par des gens bien plus intelligents que moi et je ne suis sûrement pas le premier blogueur anonyme, mais j’espère vous avoir appris quelque chose.

Bien évidemment, on peut aller beaucoup plus loin que ça. J’aurais pu héberger ce blog sur un VPS que j’aurais loué avec des Bitcoins et installer le serveur comme un service Tor masqué. L’adresse IP du serveur aurait été totalement protégée mais, de ce fait, vous n’auriez pu consulter ce blog qu’au travers du réseau Tor, et les liens de nœud Tor (TBR) ça ne fait pas très chouette en page d’accueil. J’aurais également pu faire toutes mes actions depuis un cybercafé, juste au cas où Tor serait compromis, mais je n’aurais pas été découvert. Enfin, j’aurais pu choisir un domaine en « .se » si j’avais eu peur de l’intervention du gouvernement américain. C’est ce qui est actuellement utilisé par The Pirate Bay, et les Suédois leur laissent toute liberté d’action.

N’hésitez pas à m’envoyer quelques Satoshis (fractions de Bitcoins) si vous aimez ce billet : 146g3vSB64KxxnjWbb2vnjeaom6WYevcQb.

Et si vous me trouvez, je serai vraiment très impressionné.

Crédit illustrations : AndyRobertsPhotos (Creative Commons By) et XKCD

La fonction, et parfois le métier, de community manager (gestionnaire de communauté en français) est relativement récente dans le paysage numérique.

Récent mais déjà à la mode et à toutes les sauces, parce que tout le monde, même Orange ou la SNCF, aime à dire qu’il est présent sur le réseaux sociaux et dialogue avec sa « communauté ».

Qu’en est-il dans le milieu bien spécifique du logiciel libre où l’existence d’une « communauté » est bien moins un adjuvant marketing qu’une condition de la réussite d’un projet ?

Des réponses parfois redondantes mais souvent vivifiantes 😉

Que préférez-vous dans votre métier de community manager de projet open source ?

What’s the best thing about being an open source community manager?

Jason Hibbets – 27 janvier 2014 – OpenSource.com
(Traduction : Zizi, alpha, GregR, Omegax, Scailyna, Asta, lamessen, Diin, ttoine + anonymes)

Il y a peu, j’avais dressé la liste des cinq meilleures pratiques pour les community managers en 2014. En ce jour de reconnaissance des community manager (NdT : Community Manager Appreciation Day), nous avons recueilli les réflexions de quatorze grands représentants issus de diverses communautés open source invités à répondre à la question suivante :

Quel est le meilleur aspect du métier de community manager ?

Voici ce qu’ils ont répondu.

Zohar Babin, directeur de la communauté chez Kaltura :

Étant community manager pour un projet open source de grande échelle, et ayant un grand succès commercial, je pense que le plus gros de mon boulot est de rassembler les deux choses que j’aime le plus : les relations humaines et la technologie. Ma responsabilité est d’équilibrer les deux, de garantir une bonne ambiance qui assure une communication harmonieuse, et une visibilité dans un environnement ouvert. Je suis une sorte de « jongleur-scientifique ». Je mesure, analyse et expérimente fréquemment, tandis que la performance quotidienne est purement artistique.

Jono Bacon, community manager pour Ubuntu :

Je pense que les communautés mettent en avant le plus bel atout que l’être humain possède : le sens du partage. Quand les gens collaborent ensemble, ils ont l’opportunité de créer de plus grandes et plus puissantes choses que quelqu’un pourrait accomplir seul dans son coin. Rallier différentes façons de penser et différentes motivations pour créer quelque chose déconcertant de simplicité est complexe. C’est un beau et vivifiant challenge, et quand le résultat de ce travail profite à de vraies personnes, je me dis que gérer une communauté est quelque chose à laquelle j’aimerais consacrer ma vie.

Ben van’t Ende, community manager pour TYPO3

Repérer les opportunités de coopération entre des groupes et des individus, faire correspondre ces initiatives et donner à ces individus la chance de partager leurs compétences au profit d’une communauté pour qu’ils soient appréciés pour leur savoir ou rien que pour leur effort. La plupart des membres d’une communauté veulent partager ce qu’ils savent avec le reste de cette communauté, mais ils ont souvent des difficultés à trouver où exactement aller pour partager leurs idées ou quand faut il le faire. En tant que community manager, vous avez le point de vue qui vous permet d’opérer cette magie, et je trouve ceci vraiment enrichissant.

Britta Gustafson, community manager pour Cydia (et aussi community manager bénévole d’OpenHatch) :

La meilleure chose en étant community manager est de créer le lien entre les personnes qui utilisent un projet et les personnes qui travaillent dessus, en aidant les deux parties à avoir de meilleures informations — ce qui signifie que j’aide à faire de meilleurs projets (et plus joyeux). J’aime me concentrer sur les personnes qui utilisent un projet, parler avec eux, et apprendre ce qu’ils découvrent et ce qu’ils demandent — c’est pratique et puissant de faire attention à la face extérieure et publique d’un projet.

J’apprécie aussi la diversité des tâches que je fais en tant que « community manager » — du support, de la modération, un peu de publicité, un peu de gestion de produit, et toutes sortes d’écrits pour améliorer les choses et les coller ensemble. C’est assez créatif : devoir considérer l’ensemble du projet, comprendre comment le côté technique et le côté social s’assemblent, et être une personne qui fait des connexions et rempli des trous — en identifiant les problèmes intéressants et en trouvant une manière de les résoudre.

Daniel Hinojosa, community manager pour SourceForge :

J’adore écouter les gens, qu’ils utilisent SourceForge ou pas. J’aime entendre parler des difficultés qu’ils rencontrent en écrivant leur code, en développant leur propre communauté, et élaborant des stratégies pour résoudre des problèmes vraiment compliqués. Actuellement, mon but est de comprendre la division qui existe au sein de la communauté des logiciels libres entre publier tôt, et publier souvent (NdT ; release eraly, release often).

David Hurley, community manager en charge de la partie développement de Joomla :

La meilleure chose qui soit pour un community manager, est, sans aucun doute, la communauté. La possibilité qu’il y a de discuter, d’encourager et de permettre à des membres de plus s’engager dans un projet, une idée ou un rêve. J’ai pas mal appris en écoutant les autres partager leurs idées et, en tant que community manager, j’ai le privilège d’aider ces idées à être concrétisées en actions.

Francesca Krihely, senior manager en charge de la relation avec la communauté pour MongoDB :

Lorsque l’on est un community manager, la meilleure chose qui soit, ce sont les gens avec lesquels vous travaillez. Vous êtes amenés à rencontrer des personnes passionnées, intelligentes, stimulantes qui contribuent tout en restituant ce que les communautés dont ils font partie leur ont apportées. J’ai beaucoup de chance de travailler avec une communauté composée d’ingénieurs vraiment doués et intelligents qui sont aussi curieux et réactifs. J’apprécie vraiment lorsque je vois des membres de la communauté avec lesquels j’ai pu travailler pendant des années gagner des prix, lancer leurs entreprises, lever des fonds ou encore inventer leurs propres projets Open Source. C’est un boulot génial que d’aider des personnes brillantes et talentueuses à réussir.

Heathr Leson, Directrice de l’implication de la communauté pour l’Open Knowledge Foundation (elle est aussi membre du conseil d’administration au sein d’Humanitarian OpenStreetMap) :

L’étincelle. C’est cette étincelle qui se produit lorsque vous mettez en lien une personne avec une idée ou un parcours d’apprentissage ou que mettez les personnes en relation puis que vous vous retirez. Ce moment de beauté a lieu lorsque les gens trouvent leur voie ou leur passion avec un soupçon d’encouragement ou d’orientation. À ce moment, vous réalisez que votre travail, permettre l’émergence des prochains contributeurs ou représentants open source est la plus grande source de motivation qui soit.

Vincent Mayers, community manager open source chez inBloom :

Avoir une vision claire de l’avenir est tellement important pour le développement et l’évolution d’un projet open source, et tout le monde a la sienne ! En tant que community manager, j’ai la charge de propager auprès de nos équipes produits et de nos dirigeants la vision des communautés open source, afin que nous puissions l’intégrer dans notre feuille de route (NdT : « roadmap »). J’adore cette contribution venant de tant d’origines différentes. Et aussi, j’adore mon rôle qui combine tant de disciplines : vente, marketing, relations publiques, recrutement, évènementiel, gestion de projet, développement produit et bien sûr, le jonglage.

Angela Oduor, community manager open source chez Ushahidi :

Ce sont les gens qui font tourner le monde. La meilleure chose concernant le fait d’être un community manager à Ushahidi est que je peux être un pont entre la technologie et ces gens.

Nicolas Pastorino, community manager open source chez eZ Publish :

La meilleure chose que j’aime faire en tant que community manager est d’accompagner de l’intérieur un groupe de bénévoles motivés et engagés. Lorsque la mission et les objectifs d’une communauté sont largement partagés, une énergie inégalée est créé, qui converge vers sa réalisation, comme je l’ai rarement vu ailleurs.

Lydia Pintscher, community manager pour KDE :

La meilleure et la pire des choses pour un community manager dans une communauté de bénévoles est que vous ne pouvez forcer personne à faire quoi que ce soit. Vous devez rallier les membres de la communauté à votre cause encore et encore. Cela peut être un véritable défi, mais quand vous les avez enfin recrutés, vous savez qu’ils sont vraiment avec vous parce qu’ils le veulent et qu’ils veulent faire ce qu’ils font.

David Stokes, community manager pour Oracle / MySQL :

La meilleure chose à propos du fait d’être un gestionnaire de communauté MySQL c’est de voir ce que les gens font avec le produit ! Que ce soit une municipalité qui ouvre publiquement l’ensemble de ses données ou un chercheur qui utilise MySQL pour rassembler des données exotiques ou bien même une petite entreprise qui utilise notre système de base de données de manière innovante. Voir un outil aussi basique qu’une base de données être utilisé de millions de manières différentes pour aider des personnes à atteindre leurs objectifs ne me lasse pas de me surprendre.

Andreas Tille, développeur principal pour le projet DebianMed :

Le mieux, c’est lorsqu’il faut apprendre aux nouveaux arrivants comment rejoindre la communauté et abaisser toutes les barrières à l’entrée. Sur DebianMed, on travaille ainsi sur deux programmes : le meilleur tutorat du mois et le parrainage. Plus de détails sur ces thèmes sont accessibles via mes présentations.

Crédit photo : Salvador Moreira (Creative Commons By-Sa)

Lolix est LE site francophone d’offres d’emploi tournant autour du Logiciel Libre. Un site incontournable, au style un peu vieillot certes, mais qui a contenté beaucoup de geeks, de nerds, de barbus, reconnaissants de trouver des entreprises où le libre n’est pas qu’un terme marketing.

Tout récemment, le 5 décembre, Lolix est tombé, après 15 ans de bons et loyaux services. Thom a alors averti LinuxFr dans un journal sobrement intitulé « Lolix » et qui, s’il n’a pas suscité de montagnes de commentaires, a toutefois affolé un peu les moules sur leur bouchot.

À la suite de cela, Rodolphe Quiédeville, l’auteur/mainteneur/modérateur de Lolix a reçu de nombreuses de marques de soutien l’encourageant à continuer avec une campagne de financement participatif. Voyons un peu ce qu’il a à nous raconter de cette histoire…

Bonjour Rodolphe, tu peux un peu te présenter à nos lecteurs ? Car si j’ai appris récemment que c’était toi qui était derrière Lolix et que tu t’es un peu dévoilé dans ton article de blog « Lolix de 1998 à 2013 », on ne peut pas dire qu’on te connaît beaucoup.

On peut dire que je ne suis pas un jeune gnou de la dernière portée, je suis admin/sys tendance DevOps comme on dit aujourd’hui. Je travaille dans l’info depuis 97 et j’ai vite migré vers le libre en 1998 en entrant chez Ecila.
Dans mes activités libristes je suis plutôt tendance Gnu et publie mes travaux en GPLv3, aprilien non pas de la première heure mais fidèle tout de même depuis le siècle dernier. Outre Lolix j’ai aussi été à l’origine de Dolibarr, qui est est né sur le backoffice de Lolix, seule solution à l’époque pour émettre des factures et faire un peu de compta de logiciel libre.
Aujourd’hui je suis Freelance et travaille essentiellement sur des prestations de test de charge de sites webs avec Tsung, en parallèle de missions orientées cartographie. Je contribue tant que faire se peut par des patchs aux outils que j’utilise, ma principale contribution en ce moment étant orientée autour d’OpenStreetMap en tant que contributeur données.

Je vais essayer de ne pas te faire répéter le contenu de ton billet — j’encourage nos lecteurs à aller le lire. Lolix, codé en 1998… Les frameworks ne devaient pas être légion à l’époque. Tu as tout fait à la main ? Ça t’a pris combien de temps ?

Je n’ai pas souvenir qu’il en existait un, en fait il en existait quasi autant que de projets. On a bien essayé de me refourguer celui de LinuxFr à l’époque mais j’ai résisté et oui j’ai tout codé seul, aucune idée du temps que cela a pris. J’ai toujours été adepte du release soon, release often, chaque nouvelle fonctionnalité codée était mise aussitôt en ligne, et je n’ai jamais tenu de compte sur mes heures de travail.

En 15 ans, il y a eu combien d’offres d’emploi déposées ? Combien de CV ? Tu aurais un ordre d’idée ?

Là par contre j’ai des stats, dans la base à ce jour on est à 18639 offres et 17488 CV. Avec respectivement 12 millions et 1,5 millions de consultations depuis le début des stats que j’ai commencé à gérer en 2000.

Tu dis que tu as lu toutes les offres d’emploi. Toutes ? Vraiment ? Ça te prenait combien de temps par jour ?

Oui ça c’est le principe de base, aucune offre ne passe en ligne sans être modérée, ce n’est pas trés fastidieux, avec le temps on prend vite des réflexes et en lecture diagonale tu vois tout de suite si l’offre est cohérente ou pas. En moyenne je n’y passe pas plus de 15 minutes par jour je pense.

Il n’y avait que toi qui modérait les annonces ? Pourquoi ne pas avoir posté une petite annonce de recrutement sur LinuxFr ou autre ?

Oui, Lolix contrairement à Dolibarr est un projet que j’ai plus incarné, j’aurai pu évidemment laisser la modération ouverte (ce qui va probablement évoluer) mais j’ai toujours eu peur de voir Lolix dévier de sa route. Un temps j’avais lancé également joinux.com pour les offres un peu plus borderline, mais cela n’a pas été convaincant, cela brouillait un peu la lecture.

Est-ce qu’il y avait une communauté autour de Lolix quand même ? Un lieu d’échange comme un forum, ou même juste quelques personnes qui venaient boire une bière et coder un peu ?

Non, par ma faute probablement je n’ai jamais fait d’effort pour créer cela. Il faut dire aussi qu’en 2000 avec Lolix SA j’ai essayé de développer une offre commerciale pour générer un revenu, cela n’a pas incité les contributeurs à rejoindre le projet. Et après la fermeture de l’entreprise j’ai été occupé à d’autres activités.

Je crois parler pour bon nombre d’entre nous qui te devons un emploi ou un stage si je dis que l’annonce de la fermeture de Lolix a été un choc. Pour moi, c’était un site qui traverserait vents et marées la tête haute, sans frémir. Est-ce que tu t’attendais un peu à ce que sa fermeture fasse des vagues ?

Pas à cette hauteur c’est évident, mais je ne suis pas naïf au point de penser que cela aurait pu passer inaperçu.

Parlons un peu des vagues. Ce sont « toutes les marques de soutien » qui t’ont incité à faire une campagne de financement participatif pour te permettre de recoder Lolix (nom de code : Lolyx). Tu t’attendais à ça ? Il y en avait tant que ça ?

Non pas autant c’est évident et surtout pas si vite, si la campagne a réussi aussi vite c’est parce qu’elle a aussi été très bien relayée. Ce qui a été également très plaisant c’est de retrouver des gens que j’avais un peu perdu de vue depuis les années.

La campagne de financement, qui a duré 42 jours a atteint le but de 4 200€ en 24h chrono ! C’est pas aussi geek que 42h (même si on peut écrire 42 avec 24), mais c’est classe ! Comment as-tu réagi en apprenant ça ?

Je sautais partout tout simplement 🙂

Soupçonnais-tu une telle communauté invisible^[1] derrière Lolix ?

Non, je savais que Lolix était important pour les gens qui l’utilisent régulièrement mais je ne pensais pas que le site pouvait fédérer autant de gens. J’ai été assez étonné aussi de voir une telle diversité dans les gens qui ont participé à la campagne, on n’est pas encore dans un registre de 7 à 77 ans mais on s’en approche.

Pour le coup, tu pourrais peut-être utiliser cette communauté pour t’aider dans la modération des offres d’emploi, non ? Ou le code ?

Pour le code bien évidemment, le code de Lolix a toujours été libre et publié sur Savannah, seulement avec le temps je n’ai plus mis à jour le repo, et ça c’est mal. Lolyx est dès à présent ouvert en tant que projet public sur Gitlab et tout un chacun est libre d’y contribuer.
Pour la modération des offres c’est à l’étude, j’avoue que l’enthousiasme de la campagne m’a donné cette idée d’ouvrir la modération des offres, formellement je ne sais pas encore comment mais je sais déjà que les gens ayant participé au financement auront un traitement de faveur sur ce point.

Est-ce que tu vas ajouter des trucs différents dans la nouvelle version ? Et pourquoi utiliser Python ? Il y a quand même mieux comme langage. Perl par exemple^[2].

Oui il y aura des nouveautés, je veux cette nouvelle version déjà plus en phase avec ce qui se fait aujourd’hui en terme d‘API, de responsive design, ou d’OpenData, et il y aura surtout tout ce que j’ai pas encore pensé et qui sera apporté par les contributeurs ingénieux. Après pourquoi Python, parce que Django^[3].

Un dernier mot ?

15 ans de nouvelles aventures ça fait frémir un peu, mais 15 ans de nouvelles rencontres ça fait rêver !

À l’heure de la mise au propre de cette interview sur le Framablog, la campagne de financement est terminée et a généré plus de 200% de la somme demandée.Toutes nos félicitations à Rodolphe, à Lolix et à tous ceux qui ont contribué à un tel succès !

Sources :

• Internet est un don de Dieu selon le pape François sur Numerama
• Tweet d’Alexandre Delaigue
• L’avocat du diable sur le Geektionnerd

Crédit : Simon Gee Giraudot (Creative Commons By-Sa)

Le titre de ce billet vient de l’expression « Eating your own dog food » signifiant qu’il est bon de suivre ses propres recommandations.

Crédit photo : Birhanb – CC by-sa
Crédit illustration : Framasoft Campagne 2013 – Simon Gee Giraudot – CC by-sa

Lors de notre campagne de dons 2013, nous avions proclamé « Moins de Google et plus de Libre ». En effet, cela fait un bout de temps que l’actualité tourne autour du géant du Web pour son côté « Don’t be Evil [mais un peu (beaucoup ?) quand même] » et que nous vous encourageons à vous méfier de lui et de ses semblables… sans que nous suivions pour autant nos propres recommandations !

Google Analytics pour nos statistiques, Google Groups pour nos listes de diffusion, Google Mail pour nos adresses mail associatives, etc. La liste est longue et nous accable chaque jour un peu plus. Nous ne comptons d’ailleurs plus le nombre de fois où l’on nous reproche — avec raison — d’utiliser les services Google.
Le cas de Google Groups est particulièrement parlant : si on peut s’abonner librement à une liste de diffusion de ce service, le faire sans disposer d’un compte Google relève du parcours du combattant.

Google nous a séduit à l’époque par sa facilité d’emploi, ses nombreux outils disponibles et son slogan que nous aimions croire. Notre croissance a été peut-être un peu rapide et nous avons choisi des solutions de facilité.
Il faut cependant noter, à notre décharge, que ces solutions présentaient au moins le mérite d’être gratuites, et ne nécessitaient aucune maintenance particulière si ce n’était un peu d’organisation. Pouvoir “compter” sur les serveurs de la Firme était clairement une question de confort et de disponibilité de main d’œuvre. Il faut aussi se souvenir qu’il y a peu de techniciens purs et durs dans nos rangs.

Google devient chaque jour de plus en plus omniprésent, intrusif et laissant de moins en moins de choix à ses utilisateurs, comme l’obligation récente d’avoir un compte Google+ pour commenter des vidéos Youtube. Sans parler de sa soumission à la NSA (#Prism, #Snowden), Voilà qui n’est vraiment pas dans l’esprit de Framasoft 🙁

Mais en 2014, nous nous libérons de nos chaînes ! Tel le fils prodigue, nous revenons à la maison. Nous quittons cette cathédrale si confortable pour rajouter de nouvelles pièces à notre auberge espagnole, ce joyeux bazar.

Au menu de cette grande campagne de migration, nous remplacerons :

• Google Mail par Bluemind ;
• Google Groups par Sympa ;
• Google Docs par un mélange d’Etherpad, d’Owncloud et peut-être aussi de WebODF ;
• Google Analytics par Piwik ;
• Github par GitLab (parce qu’il n’y a pas que Google qui n’est pas libre)^[1].

Le calendrier de cette migration, s’il n’est pas gravé dans le marbre est tout de même plus ou moins déjà écrit.
Ainsi, le 1er février, nous aurons effectué la migration de nos boîtes mail vers notre propre infrastructure.

Chacune des étapes de notre libération fera l’objet d’un billet dédié pour vous tenir au courant de nos avancées et — pourquoi pas ? — vous donner envie de suivre notre exemple.

Cette année sera aussi celle du grand ménage dans nos serveurs. Un grand bric-à-brac monté au fil des années, pas forcément maintenu comme il faudrait, mélangeant les applications critiques et moins critiques. Nous allons nous doter d’outils nous permettant une plus grande souplesse d’utilisation, comme Ganeti^[2] pour monter une infrastructure virtualisée.
Cette souplesse nous permettra par exemple d’expérimenter facilement de nouveaux services à vous proposer (Sneak preview) tout en réduisant le temps — relativement conséquent aujourd’hui — à consacrer à la maintenance de notre infrastructure.

Nous tenions à vous l’annoncer non seulement dans un souci de transparence, mais aussi pour vous permettre de suivre et vous montrer — au fil de nos avancées — comment nous répondons à notre défi « Quitter Google ». Peut-être cela pourra-t-il inspirer votre entreprise, votre administration, votre association… à se lancer ce même défi.

C’est en grande partie grâce à vos dons que nous pouvons dégager le temps et trouver les talents pour atteindre cet objectif. Si vous trouvez la démarche intéressante, n’hésitez pas à nous soutenir afin de nous permettre de continuer notre action.

L’équipe Framasoft

Avec pas loin de 6000 vues en une semaine et déjà 121 € de dons (sur 150 €) on peut dire que le nouveau projet de Simon Gee Giraudot et Pouhiou a attisé la curiosité des lecteurs et lectrices du FramaBlog ! Alors puisque vous l’attendiez, il est là, il est sorti : le premier épisode du Guide du Connard Professionnel.

Avant que vous ne filiez le lire et/ou le télécharger, les auteurs et framasoft aimeraient vous rappeler quelques règles basiques pour votre sécurité :

• Les bastardises que vous lirez sur www.connard.pro sont réalisées par des connards professionnels, formés au métier d’ingéneur. Merci de ne pas reproduire cela à la maison.
• Les auteurs, ainsi que Framasoft en sa qualité d’hébergeur, se dégagent de toute responsabilité quant à l’usage que vous ferez de ces leçons.
• Pour une navigation sereine, les boutons de partage du site www.connard.pro sont désactivés par défaut. N’hésitez pas cependant à les cliquer 2 fois afin de répandre votre savoir en connardises.
• Octave Geehiou adore être flattré, mais uniquement pour gonfler son orgueil de Bâtard en chef. Une fois son égo satisfait, il promet de reverser ces micro-dons équitablement entre Gee et Pouhiou.
• Pouhiou et Gee ne sont pas que des connards, ce sont aussi de grosses feignasses. Ils s’attendent à ce que vous leurs inspiriez des bastardises en remplissant les formulaires prévus à cet effet.
• Ce site traite de l’obsolescence programmée, des verrous physiques, numériques et mentaux, de la manipulation des êtres et des masses. N’hésitez pas à vous décharger de vos frustrations et colères auprès des auteurs afin de les inspirer.
• Si vous voulez villipender et/ou lapider Pouhiou, il sera le 26 janvier à médiathèque José Cabanis de toulouse pour la Journée du Domaine Public (en compagnie d’Alexis Kauffmann, Lionel Maurel et bien d’autres…) Gee, quant à lui, se terre (« Gee s’terre et boule de gomme » nous précise-t-il).
• Les téléchargements de pdf sur www.connard.pro ont un compteur. Pour agir en connard, court-circuitez ce décompte et diffusez ces pdf sur Wikimédia, Wikisource, Gallica, le projet Gutemberg, la Bibliothèque Electronique du Québec, Bitorrent, etc…
• Vous ne croyez tout de même pas que le point précédent utilise la psychologie inversée ? Sérieusement…

Prochain épisode du Guide du Connard Professionnel prévu pour le mercredi 5 février (à moins que les bonus…)

Chers lecteurs du Framablog,

Vous avez été nombreux mercredi soir, 15 janvier 2014, à nous signaler — par mail ou par twitter — une alerte de sécurité concernant le Framablog. En effet, dès 22h, Firefox a commencé à signaler le Framablog comme « site malveillant », suivi une demi-heure plus tard par Chrome.

Malheureusement, ceci n’était pas un exercice. Plusieurs fichiers javascript avaient été touchés et nous avons retrouvé le fichier php infectieux à l’origine du problème.

Un grand merci à FramaSky et JosephK qui ont passé leur nuit sur le problème pour que le blog revienne au plus vite à la normale et garantir votre sécurité, fût-ce au mépris de leur sommeil — et d’un épisode de Sherlock pourtant redoutablement tentant. À tous ceux qui hésitent entre un coup fumeux de la NSA, une revanche de Mountain View quant à notre campagne « moins de Google, plus de libre » ou un happening des Connards Professionnels, nous répondons que nous ne pensons pas être si importants que ça.

Une nouvelle attaque a eu lieu dès le lendemain jeudi vers 17h, redirigeant les visiteurs vers un site bien évidemment douteux. Aussitôt alertés, nous avons placé le Framablog en maintenance afin d’éviter d’exposer nos lecteurs et pour nous permettre d’examiner le problème plus sereinement. Échaudés par la première attaque, nous savions déjà quoi chercher pour nettoyer le site, et Pyg a trouvé puis comblé la faille dans notre système. Le blog a été remis en ligne dans la soirée, sans tambours ni trompettes, tout fatigués que nous étions.

Par ailleurs, on nous a signalé ce vendredi que des commentaires avaient disparu de certains billets. Comme quelques uns de ces commentaires étaient critiques vis-à-vis des billets concernés, il aurait été facile de penser à de la censure. Sachez qu’il n’en est rien : cette attaque a visiblement eu des conséquences que nous n’avions pas repérées de prime abord. Nous remercions les commentateurs concernés, car ceux-ci ont très rapidement fait le rapport avec nos problèmes.

Cet incident nous a confortés dans le constat que nous avions déjà fait : la plateforme qui accueille le Framablog est vétuste, elle héberge d’autres sites et des expérimentations non supprimées après abandon, qui sont potentiellement autant de failles de sécurité. De plus, le moteur du blog est bardé de plug-ins collectionnés au fil des années et des collaborateurs. Il devient difficile de garantir la sécurité du blog de manière satisfaisante. Nous allons donc entériner et accelérer le choix — évoqué lors de l’Assemblée générale qui s’est tenue début janvier — d’abandonner la forme actuelle du Framablog, de ne le conserver « que » comme mémoire des anciens articles et repartir à zéro pour un Framablog tout beau tout propre que nous installerons sur une machine virtuelle tout neuve. Pour l’instant, nos choix se porteraient sur un wordpress flambant neuf avec un des thèmes natifs légèrement remanié — ou une solution qui soit techniquement simple et qui ne pose pas de problème de maintenance — tout en optant pour une politique minimaliste en ce qui concerne l’ajout d’extensions sous le regard inquisiteur de FramaSky.

Ce changement sera effectué en ayant à cœur de respecter votre confort, votre sécurité et vos données (en instaurant par exemple un partage en deux clics comme c’est actuellement testé sur www.connard.pro)

Bien entendu, une migration se fait rarement sans heurts. Il se peut donc, au cours des prochaines semaines, que quelques perturbations adviennent lorsque vous naviguerez sur le Framablog. Nous promettons de faire de notre mieux pour qu’elles soient réduites au minimum.

Nous espérons que vous prendrez toujours autant de plaisir à lire et à participer à cet outil d’information du Libre francophone.

L’équipe du Framablog

Crédit image couverture : Drapeau du pirate Henry Every… (CC-0 par “Eugene Zelenko”)