OpenKeys.science, des clés de détermination pour ouvrir les portes de la biodiversité

Nous avons rencontré les serruriers de la biodiversité, une fine équipe qui veut vous donner les clés du vivant pour apprendre à mieux le connaître…

… et qui veut vous apprendre aussi (vous allez voir, c’est facile et plutôt amusant) à contribuer vous-même à la création et l’enrichissement d’un vaste trousseau de « clés ». Libres, naturellement. 

À noter : cet article bénéficie désormais d’une version audio.
Merci à Sualtam, auteur de lectureaudio.fr pour cette contribution active.

Avant même de vous présenter, vous allez tout de suite nous expliquer ce qu’est une clé de détermination et à quoi ça sert, sinon, vous savez comme sont les lecteurs et les lectrices (exigeantes, intelligentes, attentionnées, etc.), ils et elles vont quitter cet article pour se précipiter sur Peertube afin de trouver une vidéo qui leur explique à notre place.
Sébastien Une clé de détermination, c’est un peu comme un livre dont on est le héros ! Une succession de questions vous permet d’aboutir à la détermination d’un être vivant. Au fil des questions et de vos réponses, la liste des espèces possibles se réduit progressivement jusqu’à ce qu’il ne reste qu’un seul candidat (ou une liste très réduite). Certaines questions font parfois appel à du vocabulaire spécialisé, pas de panique ! Une illustration et une définition sont systématiquement présentes pour vous guider.
À titre d’exemple, vous pouvez consulter cette clé de détermination des insectes pollinisateurs.

1. Je réponds à des questions qui me sont proposées :


2. et ensuite visualiser les espèces candidates pour découvrir l’insecte que j’observe :

Donc si je dis qu’une clé de détermination c’est une liste de questions qui a pour objectif d’identifier à quelle espèce appartient un animal ou un végétal que j’observe, je simplifie un peu, mais j’ai bon ?

C’est l’idée oui.

Maintenant qu’on a compris de quoi on va parler, vous pouvez vous présenter !

Sébastien Turpin : Je suis enseignant de Sciences de la Vie et de la Terre et je travaille au Muséum national d’Histoire naturelle où je coordonne un programme de sciences participatives pour les scolaires. Et comme Thibaut, j’aime me balader dans la nature même si je n’arrive pas à y aller aussi souvent que je le souhaiterais !

Grégoire Loïs : Je suis naturaliste depuis toujours et j’ai la chance de travailler dans ce même établissement avec Sébastien, mais depuis un peu plus de 25 ans en ce qui me concerne. Je m’occupe comme lui de programmes de sciences participatives et plus particulièrement de bases de données.

Thibaut Arribe : Je suis développeur dans une petite SCOP qui s’appelle Kelis. On édite des solutions documentaires open-source pour produire et diffuser des documents numériques (vous avez peut-être déjà entendu parler de Scenari ou Opale, deux logiciels édités par Kelis). Accessoirement, je suis accompagnateur en montagne. J’emmène des groupes et particuliers se balader dans la nature sauvage des Pyrénées et des Cévennes.

Entrons dans le vif du sujet, c’est quoi OpenKeys.science ?

Thibaut OpenKeys.science est un service en ligne qui permet de produire et diffuser des clés de détermination sous la forme de petit sites web autonomes.

Autonomes, ça veut dire qu’ils peuvent aller se promener tout seuls, sans attestation ?

Thibaut C’est exactement ça ! Pour tout un tas de bonnes et moins bonnes raisons, un site web est souvent dépendant de nombreux programmes à installer sur un serveur. Cette complexité rend bien service, mais l’installation de ce genre de site web en devient réservée à un public d’initiés.

Dans notre cas, une fois produit, rendre ce site “autonome” disponible sur le web est simple : n’importe quel espace web perso suffit (qu’il soit fourni par votre CHATON favori ou votre fournisseur d’accès à Internet).

Surtout, ça signifie qu’il est très simple d’en faire une copie pour l’emporter en balade dans la nature, et ça, c’est assez chouette.

Et donc produire des clés ? On a compris que c’était pas des vraies clés avec du métal, mais vous pouvez préciser en quoi ça consiste ?

Thibaut Prenons un exemple simple : tu veux avoir un moyen de différencier à tous les coups un frelon européen (Vespa crabro pour les intimes) d’un frelon asiatique (le fameux Vespa velutina). C’est important de faire la différence, le frelon asiatique est une espèce invasive qui fait des dégats, par exemple dans l’apiculture… (il raffole des boulettes d’abeille à l’automne ! Chacun son truc…)

Bon, avec OpenKeys, je vais commencer par créer une belle fiche illustrée sur le frelon européen dans un éditeur adapté. Ça pourrait ressembler à ça :

Ensuite, je fais la même pour son lointain cousin.

Voilà, toutes les espèces mentionnées par ma clé sont en place, je peux maintenant créer des critères qui vont m’aider à différencier ces deux espèces.

J’ai lu dans un bouquin que le critère le plus facile, c’est de regarder la couleur du thorax (la partie centrale du corps, entre la tête et l’abdomen). Pour les frelons asiatique, le thorax est de couleur unie (noire) et pour le frelon européen, c’est un mélange de bordeaux et noir.


J’associe chaque valeur à la fiche correspondante dans OpenKeys et le tour est joué. Je n’ai plus qu’à générer ma clé, la publier sur le Web et envoyer un email à la Fédération des apiculteurs pour les aider à faire connaître le frelon asiatique, ses risques sur les abeilles, et les moyens de le reconnaître.

Attends, je t’arrête, qui a envie de faire ça ?

Thibaut Très certainement plus de personnes que tu ne le crois ! Assez rapidement, on peut imaginer plusieurs publics :

  • les chercheuses et chercheurs qui s’intéressent à la biodiversité comme ceux de Vigie-nature
  • les enseignantes et enseignants (à l’école, en SVT au collège ou à l’université) pour un usage en classe
  • les médiatrices et médiateurs de l’environnement, des gardiens des parcs nationaux aux intervenants nature en passant par les agents de l’Office National des Forêts (ONF) ou l’Office Français pour la Biodiversité (OFB)
  • et au final, toutes les contemplatrices et contemplateurs de la nature et de la biodiversité, qui s’intéressent aux plantes, aux oiseaux, aux insectes, aux champignons… ou juste à ce qu’on peut observer à proximité de la maison.

OK, je vois. Et, une fois les clés produites, qu’en font ces structures et ces gens ?

Thibaut Ça dépend des profils… Le laboratoire Vigie-Nature utilise la clé des insectes pollinisateurs dans son observatoire de sciences participatives SPIPOLL par exemple.
Un⋅e enseignant⋅e va produire une ressource éducative pour sa classe (par exemple ici).
Un⋅e médiateur⋅rice de l’environnement va produire des clés pour le grand public (comme le fait l’ONF ici)
On voit aussi des naturalistes amateur⋅ices mettre leurs connaissances à disposition : le site Champ Yves en est un bon exemple.

De mon côté, j’utilise des clés pour progresser et identifier de nouvelles espèces dans mon activité en montagne. J’en propose aussi aux groupes que j’accompagne pour identifier les espèces de montagne qui les entoureront au cours leurs prochaines randonnées.

Sébastien et Grégoire, pouvez-vous nous expliquer ce qu’est Vigie-nature ?
Sébastien Vigie-Nature est un programme de sciences participatives ouvert à tous. En s’appuyant sur des protocoles simples et rigoureux, il propose à chacun de contribuer à la recherche en découvrant la biodiversité qui nous entoure. Initié il y a plus de 30 ans avec le Suivi Temporel des Oiseaux Communs (STOC), le programme Vigie-Nature s’est renforcé depuis avec le suivi de nouveaux groupes : les papillons, chauves-souris, escargots, insectes pollinisateurs, libellules, plantes sauvages des villes…. En partageant avec les scientifiques des données de terrain essentielles les participants contribuent à l’amélioration des connaissances sur la biodiversité ordinaire et sur ses réponses face aux changements globaux (urbanisation, changement climatique…). Chacun peut y participer qu’il s’y connaisse ou non. À vous de jouer !
Grégoire En participant, on découvre un monde. Nous avons des échanges avec des participants qui se sont pris au jeu et sont devenus de véritables experts passionnés en quelques années alors qu’ils ne prêtaient pas attention aux plantes et aux animaux qui les entouraient. D’autres ont découvert cet univers puis ont butiné de programmes participatifs en programmes participatifs, au gré des découvertes. Enfin, il faut souligner que toute l’année, en ville comme à la campagne, on peut s’impliquer et contribuer à la recherche scientifique en s’enrichissant d’expériences de nature.

Donc si je veux, je peux observer des papillons et des abeilles dans mon jardin, utiliser les clés de détermination pour les identifier correctement, et remonter les résultats à Vigie-Nature ? C’est un peu comme améliorer les cartes d’OpenStreetMap, avec des êtres vivants à la place des bâtiments, mon analogie est bonne ?

Grégoire Oui en quelque sorte. Mais on pourrait même dire que ça va un peu plus loin qu’Open Street Map. C’est un peu comme si l’amélioration permanente d’Open Street Map était cadrée. Comme si, en participant, vous vous engagiez à faire une contribution régulière à Open Street Map, en revenant sur les mêmes lieux et dans les mêmes conditions. La différence est ténue mais elle est importante. En faisant de la sorte, vous pourriez suivre de manière rigoureuse les changements d’occupation du sol. Et en multipliant le nombre de personnes agissant de la sorte, il serait possible de modéliser puis d’extrapoler les divers changements, voire d’en faire des prédictions pour le futur.

Vous nous avez aussi parlé de SPIPOLL, c’est pour espionner les insectes ? (mais espion, ça prend un Y en anglais…)
Grégoire Ici, Spipoll signifie Suivi Photographique des Insectes POLLinisteurs.

De quoi s’agit-il ? La pollinisation de laquelle dépend la reproduction des plantes à fleurs peut se faire de plusieurs manières.
Ainsi les graminées ou encore certains arbres profitent du vent pour faire circuler le pollen. C’est malheureusement à l’origine des allergies qu’on regroupe sous le nom de rhume des foins.
Mais pour beaucoup d’espèces, un bénéfice mutuel s’est mis en place entre plantes et insectes il y a un peu plus de 100 millions d’années (sous notre latitude, dans les tropiques, oiseaux et chauves-souris s’en mêlent). La plante fournit en abondance pollen et même nectar, un liquide sucré qui n’a d’autre rôle que d’attirer les insectes. Ces derniers viennent consommer ces deux ressources et passent de fleurs en fleurs chargés de minuscules grains de pollen. Ils assurent ainsi la reproduction sexuée des plantes et tirent bénéfice de ce service sous forme de ressources alimentaires.
Dans certains cas même, la plante ensorcelle littéralement l’insecte puisqu’elle l’attire et se fait passer pour un partenaire sexuel, trompant ainsi les mâles qui passent de fleurs en fleurs en transportant de petits sacs de pollens mais sans bénéficier de victuailles.

Suite aux incroyables bouleversement qu’ont subis les milieux naturels notamment depuis la révolution industrielle, on a pu constater des déclins d’insectes et des difficultés pour les plantes à échanger leurs gamètes. C’est crucial : sans cet échange, pas de fruits, et par exemple, aux États-Unis, les plantations d’orangers ont de grandes difficultés à fructifier. Dans ce cas, les arboriculteurs installent des ruches d’abeilles domestiques mais il semble que la situation soit tout de même critique. Les chercheurs en Écologie fondamentale se posent donc beaucoup de questions sur les communautés de pollinisateurs. On parle ici de communautés parce qu’on estime à entre cinq et dix mille le nombre d’espèces d’invertébrés impliqués dans la pollinisation en France ! Aucun spécialiste des insectes n’est à même d’étudier un si vaste nombre d’espèces, surtout qu’elles appartiennent à des groupes très variés (mouches, guêpes, abeilles et fourmis, coléoptères, papillons diurnes et nocturnes, punaises, etc.).

L’idée du Spipoll est de solliciter les personnes intéressées pour collecter des informations sur les réseaux d’interaction entre plantes et insectes partout sur le territoire. Il s’agit de prendre des photos de tout ce qui s’active sur les parties florales d’une espèce de plante dans un rayon de 5 mètres, puis de trier ces photos pour n’en garder qu’une par “bestiole différente” puis de tenter de ranger ces bestioles au sein d’une simplification taxonomique comptant quand même 630 branches !!! Et c’est là qu’une clé se révèle indispensable…

Vous avez mentionné au début de l’article que vous aimiez contempler la nature, ça fait envie, vous pouvez me décrire concrètement en quoi OpenKeys.science va m’y aider ?

Thibaut Savoir nommer les espèces qui nous entourent, c’est ouvrir une porte sur la complexité du vivant. De découverte en découverte, les paysages que nous contemplons nous apparaissent comme des lieux de vies ou cohabitent des milliers d’espèces. La diversité des espèces, des milieux et des relations entre ces espèces donne le vertige (et une soif d’en découvrir toujours plus).

En fournissant des clés à utiliser chez soi ou à emmener en balade, OpenKeys met le pied à l’étrier pour changer son regard sur la nature et pour découvrir tout ce qui se cache autour de nous.

Avec une clé de détermination dans la poche, je peux prendre le temps de m’arrêter, d’observer les alentours et d’identifier ce qui m’entoure. De découverte en découverte, c’est toute cette richesse de la nature qui s’offrira à vous…

Entre deux confinements, on va pouvoir retourner se balader, quelles clés sont disponibles sur OpenKeys.science pour une débutante ou un débutant ?

Sébastien Une clé des insectes pollinisateurs est déjà disponible, avec laquelle vous devriez pouvoir nommer la plupart des insectes que vous verrez dans votre jardin !
Nous travaillons également à proposer rapidement une clé pour :

des oiseaux communs ,

des chauve-souris

et des escargots

Thibaut Depuis la liste des domaines sur OpenKeys.science, on peut aller se balader sur chacun des domaines et y consulter les clés qui y seront publiées. On y retrouve par exemple une clé pour identifier certains arbres à partir de leurs feuilles.

Cet interview est aussi l’occasion de faire un appel… Vous voulez partager vos connaissances, venez faire un tour sur OpenKeys.science et créez votre clé. Par exemple, j’adorerais avoir une clé pour progresser dans l’identification des champignons.

Est-ce que vous ne seriez pas en train d’essayer de googliser la clé de détermination ? Et après vous allez capter toutes les données, les monétiser, disrupter, on connaît la suite…

Thibaut Hé hé ! Non, ce n’est pas du tout l’idée. Les contenus sources sont dans des formats libres et ouverts. Il est possible d’importer et exporter ses productions. Le service OpenKeys.science est construit avec des technologies libres (la suite logicielle Scenari et le modèle associé IDKey). Il est donc possible d’héberger ce genre de service ailleurs…

On peut considérer OpenKeys.science comme une îlot en interaction avec d’autres dans l’archipel des connaissances libres. Chez nous, on fabrique et diffuse des ressources pour comprendre la nature qui nous entoure. On utilise des technologies open source et les ressources produites sont sous licence libre pour favoriser la circulation des connaissances.

On a découvert qu’il existait plusieurs clés de détermination sur le site de TelaBotanica. Qu’est-ce que la vôtre aura de plus ?

Thibaut On peut discuter sur le plan technique. Les clés produites sur OpenKeys.science sont plus ergonomiques (ça, c’est pas moi, c’est Anna, l’ergonome qui a travaillé avec moi sur ces clés qui le dit). Elles s’adaptent mieux à l’affichage sur grand et petit écran. Elles utilisent des standards récents du Web pour être installées sur son ordinateur ou téléphone. Elles peuvent donc fonctionner sans Internet…

Après, ce n’est pas vraiment le sujet, je crois. Il ne s’agit pas de concurrencer des sites de référence comme TelaBotanica ou MycoDB par exemple. J’insiste, on ne souhaite pas centraliser les connaissances sur les clés ni challenger le reste du monde. L’idée est plutôt d’aider ces communautés de passionnés à partager. Je serai ravi de donner un coup de main aux autrices et auteurs de ces sites pour migrer techniquement leur contenu et ainsi leur permettre de générer leur clé sur OpenKeys.science ou ailleurs avec les mêmes technologies open-source. Elles ou ils y gagnent une clé plus facile à utiliser et à installer sur leur site ainsi qu’un outil pour mettre à jour et enrichir cette clé facilement.

Je suis nul en smartphone, mais un pote m’a parlé de Pl@ntnet, ça va pas vous couper l’herbe sous le pied ? Est-ce que des IA dans la blockchain avec des drones autonomes connectés 5.0 ne seraient pas plus efficaces que des humains qui se promènent avec des sites statiques ? C’est pas un peu old tech votre histoire ?

Sébastien Mais non 🙂 ! Ce n’est juste pas du tout les mêmes approches ! Une clé de détermination permet de guider le regard, d’apprendre à observer, de prendre son temps, bref de s’intéresser et de découvrir un être vivant… c’est certainement un peu plus long que de prendre une photo et d’attendre qu’une IA du Web 3.0 fasse tout le travail mais tellement plus valorisant !
Et puis, quand on a pris le temps d’observer à fond une espèce, lors de la prochaine rencontre vous vous en rappellerez tout seul et sans aide !

Thibaut Côté technique, plutôt que old tech, je revendiquerais plutôt le terme low tech. Oui, c’est volontairement un objet technique simple. Ça a plein d’avantages. Par exemple, c’est bien moins consommateur d’énergie, ça marchera encore bien après la fin d’un projet comme Pl@ntnet…

Votre projet démontre que logiciel libre et biodiversité peuvent aller de pair, et ça c’est une bonne nouvelle pour les gens qui se préoccupent de l’un et l’autre, et on est pas mal dans ce cas à Framasoft. Est-ce que vous avez d’autres idées dans le genre ?
Thibaut Je crois que OpenKeys.science est un bon exemple d’interactions super positives entre ces deux mondes ! Disons que ça valide complètement l’intuition de départ… Oui, mettre en relation l’univers de l’informatique libre et la recherche en biodiversité nous profite à tous.

Je vais donc continuer d’explorer cette piste. D’un côté, rencontrer des chercheurs pour discuter des difficultés technologiques dans leurs travaux. De l’autre, identifier des développeurs qui pourraient les aider. Je pense que ça intéresserait du monde, par exemple pour prendre le temps de découvrir une nouvelle techno en menant un projet sympa, ou une organisation qui cherche un sujet pour créer un démonstrateur de son savoir-faire, ou encore des étudiants et enseignants à la recherche de projets à mener dans un cadre universitaire… les contextes ne manquent pas.

Et pourquoi pas, si tout ça fonctionne et rend service, fédérer la démarche dans une association ou une fondation.

 

(image d’illustration : CC BY-SA Dominik Stodulski, Wikipédia, https://fr.wikipedia.org/wiki/Coccinellidae)




Le Web est-il devenu trop compliqué ?

Le Web, tout le monde s’en sert et beaucoup en sont très contents. Mais, même parmi ceux et celles qui sont ravi·es de l’utiliser, il y a souvent des critiques. Elles portent sur de nombreux aspects et je ne vais pas essayer de lister ici toutes ces critiques. Je vais parler d’un problème souvent ressenti : le Web n’est-il pas devenu trop compliqué ?

À noter : cet article bénéficie désormais d’une version audio.
Merci à Sualtam, auteur de lectureaudio.fr pour cette contribution active.

Je ne parle pas de la complexité pour l’utilisateur, par exemple des problèmes qu’il ou elle peut avoir avec telle ou telle application Web, ou tel formulaire incompréhensible ou excluant. Non, je parle de la complexité des nombreuses technologies sous-jacentes. Alors, si vous n’êtes pas technicien·ne, vous avez peut-être envie d’arrêter votre lecture ici en pensant qu’on ne parlera que de technique. Mais ce n’est pas le cas, cet article est pour tous et toutes. (Ceci dit, si vous arrêtez votre lecture pour jouer avec le chat, manger un bon plat, lire un livre passionnant ou faire des câlins à la personne appropriée, cela ne me dérange pas et je vous souhaite un agréable moment.)

Mais revenons à l’objection « OK, les techniques utilisées dans le Web sont compliquées mais cela ne concerne que les développeuses et développeurs, non ? » Eh bien non car cette complication a des conséquences pour tous et toutes. Elle se traduit par des logiciels beaucoup plus complexes, donc elle réduit la concurrence, très peu d’organisations pouvant aujourd’hui développer un navigateur Web. Elle a pour conséquence de rendre l’utilisation du Web plus lente : bien que les machines et les réseaux aient nettement gagné en performance, le temps d’affichage d’une page ne cesse d’augmenter. Passer à la fibre ou à la 5G ne se traduira pas forcément par un gain de temps, puisque ce sont souvent les calculs nécessaires à l’affichage qui ralentissent la navigation. Et enfin cette complication augmente l’empreinte environnementale du Web, en imposant davantage d’opérations aux machines, ce qui pousse au remplacement plus rapide des terminaux.

L’insoutenable lourdeur du Web

Une page Web d’aujourd’hui n’est en effet pas une simple description d’un contenu. Elle inclut la « feuille de style », rédigée dans le langage CSS, qui va indiquer comment présenter la page, du JavaScript, un langage de programmation qui va être exécuté pour faire varier le contenu de la page, des vidéos, et d’autres choses qui souvent distraient du contenu lui-même. Je précise que je ne parle pas ici des applications tournant sur le Web (comme une application d’accès au courrier électronique, ou une application de gestion des évènements ou l’application maison utilisée par les employés d’une organisation pour gérer leur travail), non, je parle des pages Web de contenu, qui ne devraient pas avoir besoin de toute cette artillerie.

Du fait de cette complexité, il n’existe aujourd’hui que quatre ou cinq navigateurs Web réellement distincts. Écrire un navigateur Web aujourd’hui est une tâche colossale, hors de portée de la très grande majorité des organisations. La concurrence a diminué sérieusement. La complexité technique a donc des conséquences stratégiques pour le Web. Et ceci d’autant plus qu’il n’existe derrière ces navigateurs que deux moteurs de rendu, le cœur du navigateur, la partie qui interprète le langage HTML et le CSS et dessine la page. Chrome, Edge et Safari utilisent le même moteur de rendu, WebKit (ou l’une de ses variantes).

Et encore tout ne tourne pas sur votre machine. Derrière votre écran, l’affichage de la moindre page Web va déclencher d’innombrables opérations sur des machines que vous ne voyez pas, comme les calculs des entreprises publicitaires qui vont, en temps réel, déterminer les « meilleures » publicités à vous envoyer dans la figure ou comme l’activité de traçage des utilisateurs, notant en permanence ce qu’ils font, d’où elles viennent et de nombreuses autres informations, dont beaucoup sont envoyées automatiquement par votre navigateur Web, qui travaille au moins autant pour l’industrie publicitaire que pour vous. Pas étonnant que la consommation énergétique du numérique soit si importante. Et ces calculs côté serveur ont une grande influence sur la capacité du serveur à tenir face à une charge élevée, comme on l’a vu pendant les confinements Covid-19. Les sites Web de l’Éducation Nationale ne tenaient pas le coup, même quand il s’agissait uniquement de servir du contenu statique.

La surveillance coûte cher

La complexité du Web cache en effet également cette activité de surveillance, pratiquée aussi bien par les entreprises privées que par les États. Autrefois, acheter un journal à un kiosque et le lire étaient des activités largement privées. Aujourd’hui, toute activité sur le Web est enregistrée et sert à nourrir les bases de données du monde de la publicité, ou les fichiers des États. Comme exemple des informations envoyées par votre navigateur, sans que vous en ayez clairement connaissance, on peut citer bien sûr les fameux cookies. Ce sont des petits fichiers choisis par le site Web et envoyés à votre navigateur. Celui-ci les stockera et, lors d’une visite ultérieure au même site Web, renverra le cookie. C’est donc un outil puissant de suivi de l’utilisateur. Et ne croyez pas que, si vous visitez un site Web, seule l’organisation derrière ce site pourra vous pister. La plupart des pages Web incluent en effet des ressources extérieures (images, vidéos, boutons de partage), pas forcément chargés depuis le site Web que vous visitez et qui ont eux aussi leurs cookies. La loi Informatique et Libertés (et, aujourd’hui, le RGPD) impose depuis longtemps que les utilisateurs soient prévenus de ce pistage et puissent s’y opposer, mais il a fallu très longtemps pour que la CNIL tape sur la table et impose réellement cette information des utilisateurs, le « bandeau cookies ». Notez qu’il n’est pas obligatoire. D’abord, si le site Web ne piste pas les utilisateurs, il n’y a pas d’obligation d’un tel bandeau, ensuite, même en cas de pistage, de nombreuses exceptions sont prévues.

Un bandeau cookies. Notez qu’il n’y a pas de bouton Refuser.

 

Les bandeaux cookies sont en général délibérément conçus pour qu’il soit difficile de refuser. Le but est que l’utilisateur clique rapidement sur « Accepter » pour en être débarrassé, permettant ainsi à l’entreprise qui gère le site Web de prétendre qu’il y a eu consentement.

Désolé de la longueur de ce préambule, d’autant plus qu’il est très possible que, en tant que lectrice ou lecteur du Framablog, vous soyez déjà au courant. Mais il était nécessaire de revenir sur ces problèmes du Web pour mieux comprendre les projets qui visent à corriger le tir. Notez que les évolutions néfastes du Web ne sont pas qu’un problème technique. Elles sont dues à des raisons économiques et politiques et donc aucune approche purement technique ne va résoudre complètement le problème. Cela ne signifie pas que les techniciens et techniciennes doivent rester les bras croisés. Ils et elles peuvent apporter des solutions partielles au problème.

Bloquer les saletés

Première approche possible vers un Web plus léger, tenter de bloquer les services néfastes. Tout bon navigateur Web permet ainsi un certain contrôle de l’usage des cookies. C’est par exemple ce que propose Firefox dans une rubrique justement nommée « Vie privée et sécurité ».

Le menu de Firefox pour contrôler notamment les cookies

 

On peut ainsi bloquer une partie du système de surveillance. Cette approche est très recommandée mais notez que Firefox vous avertit que cela risque d’ « empêcher certains sites de fonctionner ». Cet avertissement peut faire hésiter certains utilisateurs, d’autant plus qu’avec les sites en question, il n’y aura aucun message clair, uniquement des dysfonctionnements bizarres. La plupart des sites Web commerciaux sont en effet développés sans tenir compte de la possibilité que le visiteur ait activé ces options. Si le site de votre banque ne marche plus après avoir changé ces réglages, ne comptez pas sur le support technique de la banque pour vous aider à analyser le problème, on vous dira probablement uniquement d’utiliser Google Chrome et de ne pas toucher aux réglages. D’un côté, les responsables du Web de surveillance disent qu’on a le choix, qu’on peut changer les réglages, d’un autre côté ils exercent une pression sociale intense pour qu’on ne le fasse pas. Et puis, autant on peut renoncer à regarder le site Web d’un journal lorsqu’il ne marche pas sans cookies, autant on ne peut guère en faire autant lorsqu’il s’agit de sa banque.

De même qu’on peut contrôler, voire débrayer les cookies, on peut supprimer le code Javascript. À ma connaissance, Firefox ne permet pas en standard de le faire, mais il existe une extension nommée NoScript pour le faire. Comme avec les cookies, cela posera des problèmes avec certains sites Web et, pire, ces problèmes ne se traduiront pas par des messages clairs mais par des dysfonctionnements. Là encore, peu de chance que le logiciel que l’entreprise en question a chargé de répondre aux questions sur Twitter vous aide.

Enfin, un troisième outil pour limiter les divers risques du Web est le bloqueur de publicité. (Personnellement, j’utilise uBlock Origin.)

uBlock Origin sur le site du Monde, où il a bloqué trois pisteurs et publicités. On voit aussi à gauche la liste des sites chargés automatiquement par votre navigateur quand vous regardez Le Monde.

 

Absolument indispensable à la fois pour éviter de consacrer du temps de cerveau à regarder les publicités, pour la sécurité (les réseaux de distribution de la publicité sont l’endroit idéal pour diffuser du logiciel malveillant) et aussi pour l’empreinte environnementale, le bloqueur empêchant le chargement de contenus qui feront travailler votre ordinateur pour le profit des agences de publicité et des annonceurs.

Un navigateur Web léger ?

Une solution plus radicale est de changer de navigateur Web. On peut ainsi préférer le logiciel Dillo, explicitement conçu pour la légèreté, les performances et la vie privée. Dillo marche parfaitement avec des sites Web bien conçus, mais ceux-ci ne sont qu’une infime minorité. La plupart du temps, le site sera affiché de manière bizarre. Et on ne peut pas le savoir à l’avance ; naviguer sur le Web avec Dillo, c’est avoir beaucoup de mauvaises surprises et seulement quelques bonnes (le Framablog, que vous lisez en ce moment, marche très bien avec Dillo).

Le site de l’Élysée vu par Dillo. Inutilisable (et pas par la faute de Dillo mais par le choix de l’Élysée d’un site spectaculaire plutôt qu’informatif).

 

Autre navigateur « alternatif », le Tor Browser. C’est un Firefox modifié, avec NoScript inclus et qui, surtout, ne se connecte pas directement au site Web visité mais passe par plusieurs relais du réseau Tor, supprimant ainsi un moyen de pistage fréquent, l’adresse IP de votre ordinateur. Outre que certains sites ne réagissent pas bien aux réglages du Tor Browser, le passage par le réseau Tor se traduit par des performances décrues.

Toutes ces solutions techniques, du bloqueur de publicités au navigateur léger et protecteur de la vie privée, ont un problème commun : elles sont perçues par les sites Web comme « alternatives » voire « anormales ». Non seulement le site Web risque de ne pas fonctionner normalement mais surtout, on n’est pas prévenu à l’avance, et même après on n’a pas de diagnostic clair. Le Web, pourtant devenu un écosystème très complexe, n’a pas de mécanismes permettant d’exprimer des préférences et d’être sûr qu’elles sont suivies. Certes, il existe des techniques comme l’en-tête « Do Not Track » où votre navigateur annonce qu’il ne souhaite pas être pisté mais il est impossible de garantir qu’il sera respecté et, vu le manque d’éthique de la grande majorité des sites Web, il vaut mieux ne pas compter dessus.

Gemini, une solution de rupture

Cela a mené à une approche plus radicale, sur laquelle je souhaitais terminer cet article, le projet Gemini. Gemini est un système complet d’accès à l’information, alternatif au Web, même s’il en reprend quelques techniques. Gemini est délibérément très simple : le protocole, le langage parlé entre le navigateur et le serveur, est très limité, afin d’éviter de transmettre des informations pouvant servir au pistage (comme l’en-tête User-Agent du Web) et il n’est pas extensible. Contrairement au Web, aucun mécanisme n’est prévu pour ajouter des fonctions, l’expérience du Web ayant montré que ces fonctions ne sont pas forcément dans l’intérêt de l’utilisateur. Évidemment, il n’y a pas l’équivalent des cookies. Et le format des pages est également très limité, à la fois pour permettre des navigateurs simples (pas de CSS, pas de Javascript), pour éviter de charger des ressources depuis un site tiers et pour diminuer la consommation de ressources informatiques par le navigateur. Il n’y a même pas d’images. Voici deux exemples de navigateurs Gemini :

Le client Gemini Lagrange

 

Le même site Gemini, vu par un client différent, Elpher

 

Gemini est un système récent, s’inspirant à la fois de systèmes anciens (comme le Web des débuts) et de choses plus récentes (ainsi, contrairement au Web, le chiffrement du trafic, pour compliquer la surveillance, est systématique). Il reprend notamment le concept d’URL donc par exemple le site d’informations sur les alertes de tempêtes solaires utilisé plus haut à titre d’exemple est gemini://gemini.bortzmeyer.org/presto/. Gemini est actuellement en cours de développement, de manière très ouverte, notamment sur la liste de diffusion publique du projet. Tout le monde peut participer à sa définition. (Mais, si vous voulez le faire, merci de lire la FAQ d’abord, pour ne pas recommencer une question déjà discutée.) Conformément aux buts du projet, écrire un client ou un serveur Gemini est facile et des dizaines de logiciels existent déjà. Le nom étant une allusion aux missions spatiales étatsuniennes Gemini, mais signifiant également « jumeaux » en latin, beaucoup de ces logiciels ont un nom qui évoque le spatial ou la gémellité. Pour la même raison spatiale, les sites Gemini se nomment des capsules, et il y en a actuellement quelques centaines opérationnelles. (Mais, en général, avec peu de contenu original. Gemini ressemble pour l’instant au Web des débuts, avec du contenu importé automatiquement d’autres services, et du contenu portant sur Gemini lui-même.)

On a vu que Gemini est une solution très disruptive et qui ne sera pas facilement adoptée, tant le marketing a réussi à convaincre que, sans vidéos incluses dans la page, on ne peut pas être vraiment heureux. Gemini ne prétend pas à remplacer le Web pour tous ses usages. Par exemple, un CMS, logiciel de gestion de contenu, comme le WordPress utilisé pour cet article, ne peut pas être fait avec Gemini, et ce n’est pas son but. Son principal intérêt est de nous faire réfléchir sur l’accès à l’information : de quoi avons-nous besoin pour nous informer ?

—  —  —




Flus, un média social pour apaiser votre veille sur le Web

Aujourd’hui spécial copinage, mais quand un projet libre est porté par des valeurs et des convictions que nous partageons, il serait dommage de ne pas vous en faire profiter.

Un (encore) jeune développeur indépendant qui envisage lucidement de vivre de son travail et le documente soigneusement, ça mérite une interview qui pourra donner des idées à plusieurs, du moins espérons-le.

Bon allez Marien dis-leur qu’on te connaît un peu par ici, balance ta bio vite fait…

Mince, je suis démasqué ! C’est vrai que ça fait un moment que je traîne mes basques chez Framasoft, puisque j’ai rejoint l’association en 2015. J’ai la chance d’avoir vécu sa renaissance avec la campagne Dégooglisons Internet, puis Contributopia. Mon plus grand fait de claviers a été de mettre en place Framaboard. Depuis, j’essaie surtout de faire des choses en interne quand l’énergie m’en prend, comme prendre soin de notre wiki. On m’a également vu faire quelques mèmes (ça vous dit quelque chose l’interview de la #teamMémé ?). Pour terminer, je suis devenu coprésident de l’asso en 2019. Voilà, pour l’aspect « conflit d’intérêts », c’est fait !

À part ça, j’ai une formation d’ingénieur en informatique et suis principalement développeur. Je suis tombé dans la marmite du logiciel libre quand j’étais lycéen et tout ce que j’ai pu développer ou écrire sur mon temps libre a toujours été placé sous une licence libre. Le logiciel que j’ai initié et qui a reçu le plus large (et meilleur) accueil est FreshRSS, un agrégateur de flux RSS (un outil pour centraliser les articles de plein de sites différents). Je m’en suis éloigné quelques années, laissant à la communauté le soin de s’en occuper, j’y reviens par le biais de Flus.

Si vous voulez en savoir plus et que vous êtes du côté de Grenoble, c’est toujours un plaisir d’aller boire un coup ensemble ou se croiser aux Contrib’ateliers (hors période de conf… vous avez compris hein).

Comment se prononce ton projet ? Flu ? Flusse ? Fluzio ? Fluzefreu ?

Flûte !

Plus sérieusement, je prononce « Flu », comme « flux », et je ne comprends pas pourquoi absolument tout le monde semble vouloir prononcer « Flusse ». Mais honnêtement, ce n’est pas grave : chacun‧e sa prononciation ! Les variantes ont tendance à m’amuser et, à vrai dire, je trouve fluzio plutôt sympa à prononcer.

En fait, prononcez comme vous le souhaitez, mais soyez créati‧ves !

Ça sert à quoi, Flus ? Il y a déjà des agrégateurs de flux, j’en ai un, avec plein de trucs dedans d’ailleurs.
Pourquoi passer à Flus ? Et d’abord est-ce que ce sera facile ?

La première chose à savoir c’est qu’il y avait Flus 1, agrégateur de flux RSS, et  désormais Flus 2, média social de veille.

Le premier Flus, celui que j’ai lancé fin novembre 2019, est un service basé sur FreshRSS. Il est accessible à l’adresse flus.io. Ce service était un ballon d’essai : je voulais me frotter à la mise en place d’un service payant en ligne pour essayer d’en vivre sans savoir exactement ce que ça impliquait. Il s’agit d’un agrégateur de flux RSS standard que j’ai du mal à vendre puisqu’il existe pléthore d’alternatives. Je n’avais de toutes façons pas pour ambition de vendre un simple agrégateur de flux RSS : je voulais faire évoluer le logiciel. Toutefois, la base de code commence à dater (les premières lignes datent de 2011) et il aurait été compliqué de l’amener dans la direction radicalement différente que j’envisageais. C’est ainsi qu’est né Flus, deuxième du nom.

Flus 2, c’est donc maintenant un nouveau service, sur la base d’un logiciel tout neuf. Il a ouvert ses portes récemment, le 11 décembre, en version bêta à l’adresse flus.fr. Concrètement, il s’agit pour l’instant de stockage de liens couplé à un système de suggestions de lecture. Il permet notamment de placer les liens que l’on souhaite consulter plus tard dans ses « signets ». Le journal fait ensuite des suggestions de lecture depuis ces derniers, ainsi qu’à partir des liens partagés par les autres utilisateur‧ices, en fonction de notre temps disponible. C’est une manière de s’informer sans se perdre dans un fil d’actualités sans fin. Enfin, les liens que l’on trouve intéressants peuvent être rangés dans des collections thématiques, à partager avec le reste de la communauté !

L’une des caractéristiques importantes dans ce projet, c’est qu’il est conçu dès le départ en collaboration avec une UX designer : Maiwann, que certain⋅es connaissent bien par ici. Nous faisons en effet notre maximum pour rendre le service le plus facile d’utilisation possible : lorsqu’on détecte un problème d’utilisabilité, on tente de le corriger. C’est pourquoi les retours sont très importants !

Mon projet est de réaliser ensuite un service qui permette de s’informer en ligne en lui associant la puissance des fonctionnalités sociales (ce que n’ont en général pas les agrégateurs de flux RSS), mais en repensant en profondeur les interactions des utilisateurs et utilisatrices (que j’identifie comme un gros problème sur Twitter, Facebook, ou même Mastodon). Les prochaines étapes importantes pour Flus 2 devrait donc être le support des flux RSS (pour avoir plus de contenu sur la plateforme), puis les interactions au sein de communautés.

Tu dis que tu proposes Flus comme « un lieu apaisé », qu’est-ce que c’est que ce truc-là ? Une appli pour lire les nouvelles en faisant du yoga ?

Lorsque j’ai présenté Flus comme « un lieu apaisé », c’était pour l’identifier en opposition aux réseaux sociaux plus traditionnels.

Sur la plupart des réseaux sociaux (ex. Twitter, Mastodon), n’importe qui peut interagir avec n’importe qui. Comme tout est public par défaut, on se retrouve avec des interactions non sollicitées, des « clashs » entre personnes qui ne peuvent de toutes façons pas se blairer, ou encore des incompréhensions dues au fait qu’on ne se connaît tout simplement pas. Il y a une dimension très libérale à ce type d’expérience utilisateur qui permet à chacun de discuter avec chacune (et inversement). Je regrette que cette vision se soit imposée au point d’être devenue incontournable.

Avec Flus je compte explorer un imaginaire différent en me basant sur la notion de communauté que je tire initialement de Mastodon, et qui me semble être une conséquence heureuse du choix technique de la fédération (un protocole qui permet à des personnes sur différents serveurs de discuter entre elles). Au sein de Flus, pas de fédération prévue pour l’instant : les communautés seront un concept intrinsèque au service. Elles se construiront de préférence entre personnes qui se connaissent, avec des avis globalement convergents et une manière de penser proche. Les interactions ne seront possibles par défaut qu’au sein des communautés.

Cette manière de faire pose évidemment la question de la bulle de filtre et du cloisonnement des idées, j’en suis bien conscient. Les interactions entre communautés seront donc possibles, mais sur la base de la sollicitation et de l’acceptation de chaque partie.

Il faudra penser les outils et mécanismes intelligemment afin de permettre une expérience riche, améliorant la qualité générale des échanges, avec des communautés qui fassent corps pour protéger les individus, sans pour autant les cloisonner. Il devrait également être possible d’ouvrir son espace individuel, mais ce ne sera pas activé par défaut.

C’est beaucoup de boulot, mais je le trouve extrêmement enthousiasmant. Mais enfin, c’est notre boulot à Maiwann et moi ! Le vôtre serait plutôt de nous prévenir des risques et problèmes que nos solutions lèvent. Si nous arrivons à relever le défi, alors nous aurons effectivement ce que j’appelle « un lieu apaisé » qui manque selon moi cruellement.

Dis donc tu ne gagnes pas trop de sous avec Flus tu as un gagne-pain à côté ? (comme hélas un tas de développeurs du libre qui ont un side-project) Ou bien alors c’est quoi donc ton business model ?

capture d’écran du budget actuel de Flus

 

Flus est un service payant et je souhaite réussir à en vivre. J’ai défini mon tarif de manière transparente dans un billet de blog, soit 3 € par mois ou 30 € par an. À cela, j’ai ajouté un système de cagnotte commune : celleux qui ont des moyens suffisants peuvent payer un peu plus, tandis que les personnes qui ne sont pas prêtes à payer ou n’en ont pas les moyens peuvent bénéficier de la générosité des premières. Le service reste ainsi abordable à n’importe qui et moi, je peux me payer à manger.

C’est aujourd’hui mon activité principale, mais c’est vrai que la première année n’a pas été évidente. Vendre un agrégateur de flux RSS n’est pas aisé puisqu’il en existe déjà beaucoup. Si on prend une casquette marketing : le marché est saturé ! Je remercie infiniment les personnes qui m’ont soutenu jusque-là, certaines ont même renouvelé leur abonnement plusieurs fois. Leur aide m’a permis de couvrir les charges et de démarrer.

Heureusement, j’ai eu le privilège de quitter mon précédent boulot sur la base d’une rupture conventionnelle. Cela m’a permis de vivre pendant 2 ans grâce au chômage sans avoir à trop me soucier des questions d’argent et donc consacrer mon temps à Flus l’année passée. J’arrive néanmoins en fin de droits, je vais donc désormais vivre en grande partie sur mes économies. Les mois qui vont suivre vont être déterminants pour savoir si je peux vivre de Flus ou non. J’ai différents plans en fonction du revenu que je serai en mesure de générer, allant de la reconversion professionnelle (eh oui !) à la poursuite du projet.

Le lancement du nouveau service m’a permis de confirmer qu’il y avait une attente et l’accueil a été chaleureux. Ce mois de décembre aura été le meilleur depuis le début de mon activité en termes de chiffre d’affaires. Je suis confiant dans le fait que les fonctionnalités qui arriveront par la suite sauront combler un public encore plus large. Rendez-vous dans quelques mois pour savoir si j’ai transformé l’essai ?

Tu as fait l’effort de documenter toute ta démarche et l’évolution de Flus sur ton blog : pourquoi prendre le temps de le raconter ?

Oui, tu parles du carnet. Pour moi, le libre c’est le partage et ça dépasse le logiciel. J’avais envie de documenter mon parcours d’une manière que je connais : en tenant un blog. Ça a été ma démarche dès les prémices du projet puisque, avant d’ouvrir le carnet, j’ai même commencé à en parler sur mon blog personnel.

C’est, d’une certaine manière, un moyen de remercier toutes celles et ceux qui ont partagé avant moi leur démarche. Je pense notamment à nicosomb avec wallabag.it, à la série d’interviews « vivre du logiciel libre » sur LinuxFR, mais également aux discussions que j’ai eues avec d’autres personnes dont le modèle s’éloigne du mien mais qui ont permis d’alimenter ma réflexion. Là encore, ça participe à édifier un autre imaginaire : vivre du Web, ce n’est pas uniquement monter une startup, lever des fonds et placer ses espoirs dans le fait de se faire racheter par une boite plus grosse, créant ainsi des silos toujours plus incontournables. On peut aussi monter des choses à notre échelle, sans ambition plus large que simplement pouvoir vivre de son activité. Je crois que c’est une vision que j’ai héritée de mes parents qui sont exploitants d’une petite exploitation de fruits rouges et que j’ai toujours vus heureux de faire ça.

Le carnet, c’est également un moyen de montrer que le projet vit. C’est raconter les hauts (« Wow, je pensais pas développer ça si vite ! ») et les bas (« J’ai réussi à rien faire cette semaine à cause de la chaleur »). C’est réinjecter une bonne grosse dose d’humain dans ce qui pourrait n’être qu’une interface humain-base de données. Si Flus fonctionne et peut inspirer des personnes, j’ai envie qu’elles puissent retrouver les traces de ce que j’ai fait ; pour faire pareil, ou complètement autrement. Enfin, si Flus doit ne pas fonctionner, c’est faire en sorte qu’il en reste toujours quelque chose pour les suivant‧es.

Tu sais sûrement que les Chevaliers Blancs du Web Libre sont à l’affût et vont te le claironner : tu restes vraiment sur GitHub pour ton dépôt de code ou bien… ?

C’est très juste, et j’ai envie de dire qu’ils auraient bien raison si mon objectif était le leur. Or, il y a quelque chose qui me gêne profondément dans cette injonction à faire comme « ci » ou comme « ça » : c’est supposer que ce choix ne se justifie pas et/ou que je n’ai pas conscience des enjeux derrière ce choix. Cela joue justement des mécanismes que je dénonce chez les autres réseaux sociaux : un manque d’écoute, un manque de considération des choix de l’autre. Pour reprendre les termes de la question : je comprends parfaitement que des personnes soient « à cran » (parce que Microsoft, parce que puissance centralisatrice), mais cela ne justifie absolument pas de « claironner » des injonctions à changer de plateforme. Ça, c’était pour la forme.

Sur le fond, bien sûr que j’ai envie d’aligner ce choix avec mes convictions : la question est non seulement sur la table, mais le changement est également prévu. Seulement, je ne peux pas dire quand, car ce n’est pas planifié. Ce changement, c’est des questions supplémentaires : quelle plateforme ? hébergé par mes soins ou par un tiers ? est-ce que je pourrai toujours faire tourner ma suite de tests facilement ? etc. Et comprenez bien que je ne demande pas de solutions, je connais probablement la plupart de celles qui pourraient m’être proposées ; c’est une question de choix à faire, et je suis le seul à pouvoir les prendre. Tout ça, c’est du temps, de l’énergie et du jus de cerveau qui ne seront pas passés sur d’autres sujets que j’ai jugés aujourd’hui comme plus prioritaires.

En bref : aujourd’hui le changement de forge logicielle n’est pas prioritaire sur d’autres sujets, mais il est bel et bien prévu.

Si on veut contribuer à Flus, on fait ça où ? Quelles sont les différentes manières d’y contribuer ?

La manière la plus évidente et la plus efficace, c’est d’utiliser Flus et de renouveler votre abonnement à la fin du premier mois gratuit. Parce qu’en vivre, ça signifierait passer plus de temps dessus et donc améliorer Flus pour mieux répondre à vos problèmes. Je cherche à consacrer mon énergie à ce projet, mais pour avoir de l’énergie, il faut que je puisse manger 😬

Au-delà de la dimension pécuniaire, vous pouvez parler de Flus autour de vous. Je compte beaucoup sur le bouche-à-oreille pour me faire connaître et tout partage, billet de blog ou recommandation, est important.

Vous pouvez également me remonter les bugs que vous rencontrez et les problèmes auxquels vous faites face. Il y a un formulaire à cet effet. Vos retours sont extrêmement précieux pour améliorer le service et me permettent de mieux comprendre vos attentes (tout en gardant en tête que je donne moi-même une direction au projet). J’essaye de participer autant que possible aux Contrib’ateliers grenoblois, ainsi qu’au Confin’ateliers en ligne pour glaner vos retours.

Chose importante qui n’est pas commune dans le logiciel libre : je n’ai pas prévu de rendre le développement communautaire à court terme. Je n’ai en fait pas besoin d’aide pour ce qui touche au code, et intégrer des contributions me demanderait du temps que je ne souhaite pas investir pour l’instant. Écrire du code est une chose complexe qui s’inscrit dans une réflexion sur l’expérience utilisateur (donc un travail en commun avec Maiwann) et sur sa maintenabilité (lisibilité, durée dans le temps, etc.) Je pourrai reconsidérer cette décision plus tard (en particulier si ma situation financière devient stable), mais pour l’instant : oubliez les pull requests !

Un petit mot de la fin ? (dans ta contributopie, il y a quoi ? ça se passe comment ?)

Dans ma contributopie à moi, je vais commencer très égoïstement en disant que Flus a réussi à trouver son public et que j’ai regroupé une petite équipe pour bosser avec moi dessus (allez, on va dire entre 5 à 10 max ?) Ça peut paraître pas grand-chose comme ça, mais voyons ce que ça implique.

Déjà, cela signifie que le projet est un succès. Payer ne serait-ce que 5 personnes avec ce modèle économique simple et transparent, c’est déjà énorme. On peut donc considérer que Flus est effectivement devenu ce lieu apaisé dont je parle plus haut dans cette interview : plus d’écoute, des échanges de meilleure qualité, moins de colère.

À l’inverse, garder une équipe à 10 personnes max, c’est savoir refuser des personnes et les rediriger ailleurs. Flus est sous licence libre, n’importe qui peut l’installer et proposer son propre service. N’importe qui peut également s’inspirer de Flus pour créer des alternatives. Refuser de grossir indéfiniment, c’est devenir un îlot qui doit échanger et s’effacer au profit des autres. Ça implique des mécanismes d’importation et d’exportation des données, ça implique des standards, ça implique plus de liberté pour les utilisateur‧ices.

Puisque, dans cette contributopie, le projet tourne, cela signifie que j’ai activé la clause « tant que j’arrive à en vivre, le service sera maintenu pour ses utilisateur‧ices ». Concrètement cela signifie que les inscriptions pourront être fermées à moyen ou long terme, mais que les personnes qui l’utilisent ne risquent pas de voir le service fermer parce que l’envie m’en prendrait. C’est une assurance pour la pérennité du projet.

Dans ma contributopie, il y a également des initiatives et des structures qui aident les personnes à se lancer pour vivre de leur activité en ligne. Une sorte d’entre-aide coopérative dont le collectif CHATONS est un avatar parmi d’autres. Flus serait un acteur qui continue de partager son expérience et aide éventuellement à la maintenance d’autres services.

Bref, ma contributopie n’est peut-être pas bien éloignée de celle que Framasoft, en tant qu’association, imagine. Ce n’est pas un hasard, mais ça ne fait jamais que restreindre les idées… Alors dans ma contributopie, il y a aussi des tas d’autres contributopies de formes et d’horizons différents !

Marien en tête de la Framacourse à la roche de Solutré en 2015

 

Liens utiles :




Le logiciel éducatif GCompris fête ses 20 ans

Si je vous dis GCompris, ce nom résonnera aux oreilles de beaucoup d’entre vous. Même si nous l’avons évoqué à plusieurs reprises sur le Framablog, nous n’avons jusqu’ici jamais eu le plaisir de consacrer un article à cette référence du jeu éducatif libre. Quoi de mieux que les 20 ans du logiciel pour réparer ce manque. Entrevue avec Timothée Giet pour fêter cet anniversaire.

Pour ceux qui n’ont pas eu d’enfant dans leur entourage ces vingt dernières années, vous pouvez nous expliquer ce qu’est GCompris ?

GCompris est un logiciel éducatif libre pour les enfants de 2 à 10 ans et plus. Il propose de nombreuses activités (159 dans la dernière version) couvrant un large éventail de sujets : découverte de l’ordinateur, lecture, mathématiques, sciences, art, histoire, géographie…  Il fonctionne sur de nombreuses plateformes : nous fournissons des paquets pour les systèmes GNU/Linux, Raspberry Pi, Android, Windows et macOS.

Pouvez-vous nous présenter les personnes qui sont derrière le projet GCompris ? S’agit-il des mêmes aujourd’hui qu’au début de l’aventure ?

Le logiciel a été créé par Bruno Coudoin, qui l’a maintenu pendant plus de 15 ans. En 2016, il a finalement dû arrêter par manque de temps et nous a donc confié la maintenance du projet. Nous sommes maintenant deux co-mainteneurs, Johnny Jazeix et moi (Timothée Giet). Johnny est un développeur qui contribue sur son temps libre. Il s’occupe principalement des parties les plus compliquées du code, de l’intégration des contributions et de la coordination pour les traductions. De mon côté, je suis illustrateur/graphiste/développeur, et on peut dire que je travaille actuellement à mi-temps sur le projet. Je m’occupe principalement de la partie graphisme et design du logiciel, mais également de corriger des bugs et d’améliorer l’expérience utilisateur. Après, nous nous répartissons le reste des tâches en fonctions de nos disponibilités et de nos compétences.

Moment nostalgie : le site GCompris en 2005

GCompris a 20 ans… Ça veut dire que certains de vos joueuses et joueurs aussi ! Ça vous fait quoi ? Pas trop un coup de vieux ?

C’est toujours réjouissant lorsque nous voyons des commentaires de personnes relatant leurs bons souvenirs de jeunesse avec GCompris. Après, comme Johnny et moi sommes arrivés sur le projet en 2014, cela nous motive surtout à continuer d’apporter cette expérience positive aux nouvelles générations.

 

Il va falloir nous expliquer comment vous êtes passés de la version 15.10 à la version 0.5. Une envie, un soir en regardant Retour vers le futur ?

En 2014, Bruno a décidé de commencer une réécriture complète avec de nouveaux outils, principalement pour permettre au logiciel de tourner sur les plateformes mobiles. Après quelques recherches sur les diverses technologies disponibles à cette époque, il a choisi de développer la nouvelle version en QtQuick (Qt + QML/JavaScript), qui offrait selon lui le meilleur support multi-plateforme avec des outils permettant de créer une interface moderne, tout en étant relativement facile d’accès pour les nouveaux développeurs. C’est d’ailleurs à ce moment là que Johnny et moi avons rejoint l’équipe.

Pour l’occasion, et pour permettre de conserver quelque temps en parallèle l’ancienne version, cette nouvelle version a été renommée en interne « gcompris-qt », et la numérotation est logiquement repartie de zéro.

 

Quel a été le plus gros chamboulement dans l’histoire de GCompris ?  Le changement de moteur au milieu des années 2010 ?

Le plus gros chamboulement a en effet été cette réécriture complète du logiciel. Avec le passage de Gtk+ à Qt, le projet a logiquement migré de la communauté Gnome vers la communauté KDE. Ce travail de réécriture a demandé plusieurs années de travail, et n’est pas encore tout à fait fini. Nous avons perdu au passage quelques activités de l’ancienne version qui n’ont pas été portées, mais nous en avons aussi développé de nouvelles. De même pour les traductions, certaines langues supportées par l’ancienne version ne le sont pas encore dans la nouvelle.

Par ailleurs, pour cette nouvelle version, ma première contribution a été de créer une charte graphique adaptée, et de créer de nouveaux graphismes pour les nombreuses activités en suivant cette charte. Cette tâche n’est pas encore tout à fait terminée, mais le logiciel est déjà bien plus agréable et harmonieux visuellement pour les enfants, et les nombreux retours que nous avons eus depuis confirment que ce changement est très apprécié par nos utilisateurs.

Au niveau communautaire, comment se déroulent les contributions à votre logiciel ? Plutôt liées aux traductions ou aux activités ?

Les contributions de traductions par la communauté sont un point essentiel pour permettre aux enfants du monde entier d’utiliser le logiciel. Nous avons une consigne en interne de n’inclure les traductions que si elles sont au moins complètes à 80%, pour éviter que les enfants ne se retrouvent avec un logiciel à moitié traduit. Le nombre de textes à traduire est assez élevé, cela demande donc un certain effort pour les contributeurs de fournir les traductions pour une nouvelle langue. Une bonne partie des traductions est faite par les traducteurs de la communauté KDE, mais il y a aussi des traducteurs externes qui nous contactent directement pour plusieurs langues. La nouvelle version 1.0 est entièrement traduite en 22 langues, et partiellement traduite en 4 langues. Depuis sa sortie il y a une dizaine de jours, nous avons déjà été contactés par plusieurs personnes qui souhaitent participer pour ajouter de nouvelles traductions. Nous ferons donc très certainement bientôt une nouvelle version mineure pour les inclure.

Pour les activités, c’est assez variable. Nous avons eu de nombreux contributeurs au fil du temps, en particulier des étudiants participant à des programmes comme le GSoC (Google Summer of Code) et SoK (Season of KDE), qui ont chacun ajouté quelques activités. Mais la plupart restent seulement le temps de leur session et ne contribuent plus vraiment ensuite, ce qui est dommage. Il y a aussi des instituteurs et des parents qui nous aident en donnant des retours sur le contenu pédagogique.

Avancement des principales traductions de GCompris

Vous avez besoin de contributrices ? Sur quels aspects ?

Nous recherchons toujours des traducteurs pour de nouvelles langues ou pour aider à maintenir les traductions existantes. De même, il reste beaucoup d’enregistrements de voix à fournir pour la plupart des langues (pour le français les voix sont complètes actuellement).

Au plan pédagogique, nous venons de démarrer un projet de cookbook (livre de cuisine) pour présenter des exemples d’utilisation du logiciel en classe. Les instituteurs sont donc bienvenus pour y partager leurs recettes.

Et bien sûr, nous sommes toujours ouverts aux développeurs qui souhaitent ajouter de nouvelles activités, tant qu’elles restent dans le cadre de la philosophie du logiciel.

 

L’année 2020 a aussi été marquée par une évolution importante pour GCompris, financière celle-ci, avec l’abandon du système de code d’activation sur certains OS. Pourquoi ce changement ?

C’est un changement que j’avais en tête depuis un bon moment. Ma motivation principale était l’envie de fournir le logiciel complet au maximum d’enfants possible. C’est déjà assez compliqué pour certains d’avoir accès au matériel. L’accès à l’éducation gratuite pour tous est un sujet important.

Un autre point qui me dérangeait un peu avec le code d’activation pour les OS non libres : étant moi même un défenseur des valeurs du logiciel libre, je voyais une certaine contradiction dans le fait que mes revenus dépendaient des gens qui continuent d’utiliser des logiciels privateurs.

Enfin, l’élément déclencheur a malheureusement été l’arrivée de la pandémie… Dès le début de l’année, voyant la situation arriver au loin, j’ai vite compris qu’il était plus que jamais nécessaire de fournir notre logiciel éducatif gratuitement à tous les enfants qui allaient se retrouver confinés. Et par la suite j’ai pu constater qu’en effet, cela a été d’une grande aide pour les instituteurs, les parents, et surtout pour les enfants.

 

Une question qu’on nous pose souvent, « Alors c’est quoi votre modèle économique ? » (© startup magazine)

Désormais notre modèle économique est uniquement basé sur le financement participatif. Avec l’abandon de la version payante, j’ai fait le pari de continuer à financer mon travail sur GCompris via ma page Patreon. J’espère que suffisamment de personnes soutiendront le projet pour que cela tienne sur le long terme.

Il y a une dizaine d’années, le paysage éducatif comportait plusieurs suites éducatives libres (Childsplay, Omnitux, suite pédagogique d’Abuledu). Actuellement, GCompris semble être la seule avec un développement actif. Vous avez écrasé la concurrence ?

Je ne connais pas en détail l’évolution de ces autres suites éducatives libres. Cependant, je suppose que le manque de budget pour les logiciels éducatifs en général, et en particulier pour ceux qui sont libres, est un facteur important.

 

Plus globalement, quel regard portez-vous sur l’évolution du libre dans l’éducation sur ces 20 dernières années ?

En lisant des articles comme celui-ci, on voit bien que le logiciel libre n’est plus du tout soutenu par l’éducation nationale dans notre pays. Si seulement le budget était correctement utilisé pour développer des solutions éducatives libres…

On peut voir dans d’autres pays des solutions libres déployées efficacement. Par exemple au Kerala (état du sud de l’Inde), l’état utilise exclusivement des logiciels libres pour les écoles publiques et a financé le développement d’une distribution GNU/Linux déployée sur tous les ordinateurs de toutes les écoles. Les instituteurs sont formés sur ces logiciels et les élèves apprennent à utiliser des outils qu’ils peuvent ensuite utiliser librement chez eux. Plus proche de chez nous, plusieurs régions d’Espagne ont développé et déployé des distributions GNU/Linux dans leurs écoles.

Il y a donc beaucoup de progrès à (re)faire dans ce domaine en France.

 

C’est quoi la feuille de route pour les 20 prochaines années ?… Bon au moins pour les 20 prochains mois ?

Nous travaillons actuellement sur un nouvel outil « serveur » qui permettra aux instituteurs de personnaliser le contenu des activités et d’interagir avec le logiciel sur les postes des élèves. Il s’agit cependant d’un énorme projet qui va demander beaucoup de travail, il est donc difficile pour l’instant de prédire quand il sera prêt.

De mon côté, il me reste plusieurs activités à refaire au niveau des graphismes et de l’interface. Comme les activités doivent être conçues de manière responsive, en plus de créer des nouvelles images, il faut souvent ré-écrire une bonne partie de l’interface pour qu’elles soient utilisables aussi bien sur un écran d’ordinateur que sur un téléphone en mode vertical ou horizontal. Chaque activité ayant ses propres contraintes, c’est parfois un vrai challenge.

Enfin, nous allons probablement avoir un peu de travail à l’avenir pour porter le logiciel sur la nouvelle version de Qt (Qt 6), qui apporte son lot de changements à prendre en compte.




La dégooglisation de l’éditeur

Il y a quelques mois, avant que la covid19 ne vienne chambouler notre quotidien, Angie faisait le constat que nous n’avions finalement que très peu documenté sur ce blog les démarches de passage à des outils libres réalisées au sein des organisations. Celles-ci sont pourtant nombreuses à s’être questionnées et à avoir entamé une « degooglisation ». Il nous a semblé pertinent de les interviewer pour comprendre pourquoi et comment elles se sont lancées dans cette aventure. Ce retour d’expérience est, pour Framasoft, l’occasion de prouver que c’est possible, sans ignorer les difficultés et les freins rencontrés, les écueils et erreurs à ne pas reproduire, etc. Peut-être ces quelques témoignages parviendront-ils à vous convaincre de passer au libre au sein de votre structure et à la libérer des outils des géants du Web ?

La maison d’édition Pourpenser a attiré notre attention sur Mastodon avec ses prises de position libristes. En discutant un peu nous avons compris qu’elle a joint le geste à la parole en faisant évoluer ses outils informatiques. Ça n’est pas si fréquent, une entreprise qui se dégooglise. Nous lui avons demandé un retour d’expérience.

N’hésitez pas à consulter les autres articles de cette série consacrée à l’autonomisation numérique des organisations.

Bonjour, peux-tu te présenter brièvement ? Qui es-tu ? Quel est ton parcours ?

Albert, co-fondateur des éditions Pourpenser avec ma sœur Aline en 2002.

Petit je voulais être garde forestier ou cuisinier… autant dire que j’ai raté ma vocation 🙂 (même si j’adore toujours cuisiner).

En 1987 j’avais un voisin de palier qui travaillait chez Oracle. Après les cours je passais du temps sur un ordinateur qu’il me mettait à disposition : j’ai donc commencé avec un ordi sur MS-DOS et des tables SQL.

1987, c’était aussi le tout début de la PAO. Il y avait un logiciel dont j’ai perdu le nom dans lequel je mettais le texte en forme avec des balises du genre <A>ça fait du gras</A>, je trouvais ça beaucoup plus intéressant que PageMaker et lorsque j’ai découvert Ventura Publisher qui mariait les deux mondes, j’ai été conquis.

Par la suite j’ai travaillé une dizaine d’années dans la localisation de jeux vidéo et de CD-ROM : nous traduisions le contenu et le ré-intégrions dans le code. Ma première connexion à internet remonte à 1994 avec FranceNet, j’avais 25 ans. Je découvrais ce monde avec de grands yeux en m’intéressant au logiciel libre, à la gouvernance d’internet (je me rappelle notamment de l’ISOC et des rencontres d’Autrans) et ça bousculait pas mal de schémas que je pouvais avoir.

2000 : naissance de ma fille aînée, je quitte Paris, je prends un grand break : envie de donner plus de sens à ma vie.

2002 : naissance de mon fils et création de la maison d’édition avec ma sœur.

 

Tu nous parles de ton entreprise ?

Dans sa forme, Pourpenser est une SARL classique. Régulièrement, nous nous posons la question de revoir les statuts mais ça demande du temps et de l’argent que nous préférons mettre ailleurs. Finalement, le mode SARL est plutôt souple et dans les faits, nous avons une organisation très… anarchique. Même si avec Aline nous sentons bien qu’en tant que fondateurs notre voix compte un peu plus, l’organisation est très horizontale et les projets partent souvent dans tous les sens.

L'équipe des Éditions Pourpenser

Que fait-elle ?

Dès le départ, nous avons eu à cœur de proposer des livres « avec du sens ». Aborder des questions existentielles, des questions de sociétés ou autour de notre relation au vivant. La notion d’empreinte nous interpelle régulièrement. Ne pas laisser d’empreinte est compliqué. Mais peut-être pouvons-nous choisir de laisser une empreinte aussi légère qu’utile ? La cohérence entre le contenu des livres que nous éditons et la manière dont nous produisons et amenons ces livres aux lecteurs et lectrices a toujours été centrale… même si rester cohérent est loin d’être toujours simple.

Nous aimons dire que notre métier n’est pas de faire des livres mais de transmettre du questionnement. Ceci dit, depuis 2002, nous avons édité environ 120 titres et une soixantaines d’auteur·e·s. Nous aimons éditer des contes, des romans, des BD, des jeux, des contes musicaux qui vont amener à une discussion, à une réflexion. Mais qui sait si un jour nous n’irons pas vers du spectacle vivant, de la chanson…

Combien êtes-vous ?

Normalement, nous sommes 8 personnes à travailler quasi-quotidiennement sur le catalogue de la maison et cela fait l’équivalent d’environ 5 temps plein, mais avec la crise actuelle nous avons nettement plus de temps libre… À côté de ça, nous accompagnons une soixantaine d’auteur·e·s, travaillons avec une centaine de points de vente en direct et avons quelques dizaines de milliers de contacts lecteurs.

 

Est-ce que tout le monde travaille au même endroit ?

L’équipe de huit est principalement située dans l’ouest, et l’une de nous est du côté de Troyes. Nous nous réunissons environ deux fois par an et utilisons donc beaucoup le réseau pour échanger. Le confinement de mars n’a fondamentalement rien changé à notre façon de travailler en interne. Par contre, les salons et les festivals ou nous aimons présenter les livres de la maison nous manquent et le fait que les librairies fonctionnent au ralenti ne nous aide pas.


Tu dirais que les membres de l’organisation sont plutôt à l’aise avec le numérique ? Pas du tout ? Ça dépend ? Kamoulox ?

Globalement, la culture « utilisateur du numérique » est bien présente dans toute l’équipe. Mais je dirais que nous sommes surtout deux : Dominique et moi, que la question de « jouer avec » amuse. Pour le reste de l’équipe, il faut que ça fonctionne et soit efficace sans prise de tête.

 

Avant de lancer cette démarche, vous utilisiez quels outils / services numériques ?

Lors de la création en 2002, j’ai mis en place un site que j’avais développé depuis un ensemble de scripts PHP liés à une base MySQL. Pour la gestion interne et la facturation, j’utilisais Filemaker (lorsque je ne suis pas sur Linux, je suis sur MacOS), et au fur et à mesure de l’arrivée des outils de Google (gmail, partage de documents…) nous les avons adoptés : c’était tellement puissant et pratique pour une mini structure éclatée comme la nôtre.

Par la suite, nous avons remplacé Filemaker par une solution ERP-CRM qui était proposée en version communautaire et que j’hébergeais chez OVH (LundiMatin – LMB) et le site internet a été séparé en 2 : un site B2C avec Emajine une solution locale mais sous licence propriétaire (l’éditeur Medialibs est basé à Nantes) et un site B2B sous Prestashop.

Pour les réseaux sociaux : Facebook, Instagram Twitter, Youtube.

En interne, tout ce qui est documents de travail léger passaient par Google Drive, Hubic (solution cloud de chez OVH) et les documents plus lourds (illustrations, livres mis en page) par du transfert de fichiers (FTP ou Wetransfer).

 

Qu’est-ce qui posait problème ?

La version communautaire de LMB n’a jamais vraiment décollé et au bout de 3 ans nous avons été contraints de migrer vers la solution SaS, et là, nous avons vraiment eu l’impression de nous retrouver enfermés. Impossible d’avoir accès à nos tables SQL, impossible de modifier l’interface. À côté de ça une difficulté grandissante à utiliser les outils de Google pour des raisons éthiques (alors que je les portais aux nues au début des années 2000…)

 

Vous avez entamé une démarche en interne pour migrer vers des outils numériques plus éthiques. Qu’est-ce qui est à l’origine de cette démarche ?

La démarche est en cours et bien avancée.

J’ai croisé l’existence de Framasoft au début des années 2000 et lorsque l’association a proposé des outils comme les Framapad, framacalc et toutes les framachoses ; j’en ai profité pour diffuser ces outils plutôt que ceux de Google auprès des associations avec lesquelles j’étais en contact. Mes activités associatives m’ont ainsi permis de tester petit à petit les outils avant de les utiliser au niveau de l’entreprise.

Des outils (LMB, Médialibs) propriétaires avec de grandes difficultés et/ou coûts pour disposer de fonctionnalités propre à notre métier d’éditeur. Des facturations pour utilisation des systèmes existants plutôt que pour du développement. Un sentiment d’impuissance pour répondre à nos besoins numériques et d’une non écoute de nos problématiques : c’est à nous de nous adapter aux solutions proposées… Aucune liberté.

« un besoin de cohérence »

Quelle était votre motivation ?

La motivation principale est vraiment liée à un besoin de cohérence.

Nous imprimons localement sur des papiers labellisés, nous calculons les droits d’auteurs sur les quantités imprimées, nos envois sont préparés par une entreprise adaptée, nous avons quitté Amazon dès 2013 (après seulement 1 an d’essai)…

À titre personnel j’ai quitté Gmail en 2014 et j’avais écrit un billet sur mon blog à ce sujet. Mais ensuite, passer du perso à l’entreprise, c’était plus compliqué, plus lent aussi.

Par ailleurs nous devions faire évoluer nos systèmes d’information et remettre tout à plat.

 

…et vos objectifs ?

Il y a clairement plusieurs objectifs dans cette démarche.

  • Une démarche militante : montrer qu’il est possible de faire autrement.
  • Le souhait de mieux maîtriser les données de l’entreprise et de nos clients.
  • Le besoin d’avoir des outils qui répondent au mieux à nos besoins et que nous pouvons faire évoluer.
  • Quitte à développer quelque chose pour nous autant que cela serve à d’autres.
  • Les fonds d’aides publiques retournent au public sous forme de licence libre.
  • Création d’un réseau d’acteurs et actrices culturelles autour de la question du numérique libre.

 

Quel lien avec les valeurs de votre maison d’édition ?

Les concepts de liberté et de responsabilité sont régulièrement présents dans les livres que nous éditons. Réussir à gagner petit à petit en cohérence est un vrai plaisir.
Partage et permaculture… Ce que je fais sert à autre chose que mon besoin propre…

 

Qui a travaillé sur cette démarche ?

Aujourd’hui ce sont surtout Dominique et moi-même qui travaillons sur les tests et la mise en place des outils.

Des entreprises associées : Symétrie sur Lyon, B2CK en Belgique , Dominique Chabort au début sur la question de l’hébergement.

Un des problèmes aujourd’hui est clairement le temps insuffisant que nous parvenons à y consacrer.

Aujourd’hui, la place du SI est pour nous primordiale pour prendre soin comme nous le souhaitons de nos contacts, lecteurs, pour diffuser notre catalogue et faire notre métier.

 

Vous avez les compétences pour faire ça dans l’entreprise ?

Il est clair que nous avons plus que des compétences basiques. Elles sont essentiellement liées à nos parcours et à notre curiosité : si Dominique a une expérience de dev et chef de projet que je n’ai pas, depuis 1987 j’ai eu le temps de comprendre les fonctionnements, faire un peu de code, et d’assemblages de briques 😉

 

Combien de temps ça vous a pris ?

Je dirais que la démarche est réellement entamée depuis 2 ans (le jour ou j’ai hébergé sauvagement un serveur NextCloud sur un hébergement mutualisé chez OVH). Et aujourd’hui il nous faudrait un équivalent mi-temps pour rester dans les délais que nous souhaitons.

 

Ça vous a coûté de l’argent ?

Aujourd’hui ça nous coûte plus car les systèmes sont un peu en parallèle et que nous sommes passés de Google « qui ne coûte rien » à l’hébergement sur un VPS pour 400 € l’année environ. Mais en fait ce n’est pas un coût, c’est réellement un investissement.

Nous ne pensons pas que nos systèmes nous coûteront moins chers qu’actuellement. Mais nous estimons que pour la moitié du budget, chaque année, les coûts seront en réalité des investissements.

Les coûts ne seront plus pour l’utilisation des logiciels, mais pour les développements. Ainsi nous pensons maîtriser les évolutions, pour qu’ils aillent dans notre sens, avec une grande pérennité.

 

Quelles étapes avez-vous suivi lors de cette démarche  de dégooglisation ?

Ah… la méthodologie 🙂

Elle est totalement diffuse et varie au fil de l’eau.

Clairement, je n’ai AUCUNE méthode (c’est même très gênant par moment). Je dirais que je teste, je regarde si ça marche ou pas, et si ça marche moyen, je teste autre chose. Heureusement que Dominique me recadre un peu par moment.

Beaucoup d’échanges et de controverse. Surtout que le choix que nous faisons fait reposer la responsabilité sur nous si nous ni parvenons pas. Nous ne pouvons plus nous reposer sur « c’est le système qui ne fonctionne pas », « nous sommes bloqué·e·s par l’entreprise ». C’est ce choix qui est difficile à faire.

La démarche c’est les rencontres, les échanges, les témoignages d’expériences des uns et des autres…

Et puis surtout : qu’avons nous envie de faire, réellement…

Dans un premier cas, est-ce que cela me parle, me met en joie d’avoir un jolie SI tout neuf ? Ou cela nous aiderait au quotidien, mais aucune énergie de plus.

Dans l’option que nous prenons, l’idée de faire pour que cela aide aussi les autres éditeurs, que ce que nous créons participe à une construction globale est très réjouissant…

La stratégie est là : joie et partage.

Au début ?

Un peu perdu, peur de la complexité, comment trouver les partenaires qui ont la même philosophie que nous…

Mais finalement le monde libre n’est pas si grand, et les contacts se font bien.

 

Ensuite ?

Trouver les financements, et se lancer.

 

Et à ce jour, où en êtes-vous ?

À ce jour nous avons totalement remplacé les GoogleDrive, Hubic et Wetransfer par Nextcloud ; remplacé également GoogleHangout par Talk sur Nextcloud.

Facebook, Instagram et Twitter sont toujours là… Mais nous avons un compte sur Mastodon !

Youtube est toujours là… Mais le serveur Peertube est en cours de création et Funkwhale pour l’audio également.

Concernant l’administration de ces outils, je suis devenu un grand fan de Yunohost : une solution qui permet l’auto-hébergement de façon assez simple et avec communauté très dynamique.

Notre plus gros projet est dans le co-développement d’un ERP open source : Oplibris

Ce projet est né en 2018 après une étude du Coll.LIBRIS (l’association des éditeurs en Pays de la Loire) auprès d’une centaine d’éditeurs de livres. Nous avons constaté qu’il n’existait à ce jour aucune solution plébiscité par les éditeurs indépendants qui ont entre 10 et 1000 titres au catalogue. Nous avons rencontré un autre éditeur (Symétrie, sur Lyon) qui avait de son côté fait le même constat et commencé à utiliser Tryton. (je profite de l’occasion pour lancer un petit appel : si des dev flask et des designers ont envie de travailler ensemble sur ce projet, nous sommes preneurs !)

Migrer LMB, notre ERP actuel, vers Oplibris est vraiment notre plus gros chantier.

À partir de là, nous pourrons revoir nos sites internet qui viendront se nourrir dans ses bases et le nourrir en retour.

 

Combien de temps entre la décision et le début des actions ?

Entre la décision et le début des actions : environ 15 secondes. Par contre, entre le début des actions et les premières mise en place utilisateur environ 6 mois. Ceci dit, de nombreuses graines plantées depuis des années ne demandaient qu’à germer.

« Nous mettons de grosses contraintes éthiques »

Avant de migrer, avez-vous testé plusieurs outils au préalable ?

J’ai l’impression d’être toujours en test. Par exemple, Talk/Discussion sur Nextcloud ne répond qu’imparfaitement à notre besoin. Je préférerais Mattermost, mais le fait que Talk/Discussion soit inclus dans Nextcloud est un point important côté utilisateurs.

Nous mettons de grosses contraintes éthiques, de ce fait les choix se réduisent d’eux-mêmes, il ne reste plus beaucoup de solutions. Lorsqu’on en trouve une qui nous correspond c’est déjà énorme !

 

Avez-vous organisé un accompagnement des utilisateur⋅ices ?

L’équipe est assez réduite et plutôt que de prévoir de la documentation avec des captures écran ou de la vidéo, je préfère prendre du temps au téléphone ou en visio.

 

Prévoyez-vous des actions plus élaborées ?

Nous n’en sommes pas à ce stade, probablement que si le projet se développe et est apprécié par d’autres, des formations entre nous seront nécessaires.

 

Quels ont été les retours ?

Il y a régulièrement des remarques du genre : « Ah mais pourquoi je ne peux plus faire ça » et il faut expliquer qu’il faut faire différemment. Compliqué le changement des habitudes, ceci dit l’équipe est bien consciente de l’intérêt de la démarche.

 

Comment est constituée « l’équipe projet » ?

Dominique, B2CK, Symétrie.

 

Quelles difficultés avez-vous rencontrées ?

La difficulté majeure est de trouver le bon équilibre entre la cohérence des outils et l’efficacité nécessaire dans le cadre d’une entreprise.

Le frein majeur côté utilisateurs est de faire migrer les personnes qui utilisent encore Gmail pour le traitement de leur courriel. L’interface est si pratique et la recherche tellement puissante et rapide qu’il est compliqué de le quitter.

Une autre difficulté est d’ordre comptable et financier : comment contribuer financièrement à ce monde du logiciel libre ? Comment donner ? A quelles structures ? (aujourd’hui nos financements vont principalement au développement de Tryton).

 

Et l’avenir ? Envisagez-vous de continuer cette démarche pour l’appliquer à d’autres aspects de votre organisation ?

Côté création, j’aimerais beaucoup que nous puissions utiliser des outils libres tels que Scribus, Inkscape, Krita ou GIMP plutôt que la suite Adobe. Mais aujourd’hui ces outils ne sont pas adoptés par l’équipe de création car trop compliqués d’utilisation et pas nativement adaptés à l’impression en CMJN. Une alternative serait d’utiliser la suite Affinity (mais qui n’est pas open source…)

Quels conseils donneriez-vous à d’autres organisations qui se lanceraient dans la même démarche ?

Y prendre du plaisir ! Mine de rien, la démarche demande du temps et de l’attention. Il faut confier ça à des personnes qui prennent ça comme un jeu. Oubliez la notion de temps et de délais, optez pour les valeurs qui soient plus la finalité et le plaisir. Au pied de la montagne entre prendre le téléphérique ou le chemin à pied ce n’est pas le même projet, vous n’avez pas besoin des même moyens.

 

Le mot de la fin, pour donner envie de migrer vers les outils libres ?

Sommes-nous les outils que nous utilisons ? Libres ?

Quitter les réseaux sociaux centralisés est extrêmement complexe. Je manque encore de visibilité à ce sujet et ça risque d’être encore très long. J’ai proposé à l’équipe une migration totale sans clore les comptes mais avec un mot régulièrement posté pour dire « rejoignez-nous ici plutôt que là ». Mon rêve serait d’embarquer au moins une centaine d’entreprises dans une telle démarche pour tous faire sécession le même jour. Des volontaires ? 🙂

 

Aller plus loin

  • Fair-play, Albert ne nous l’a jamais demandé, il sait qu’on est un peu allergique à la pub, mais on vous donne quand même le lien vers le site des Éditions Pourpenser

Crédits

  • Illustrations réalisées par Albert sur Gégé  à partir de dessins de Gee
  • Photo de l’équipe avec des illustrations d’Aline de Pétigny et Laura Edon
  • Logo de pourpenser mis en couleurs par Galou



Apple a posé le verrou final

La sécurité est pour Apple un argument marketing de poids, comme on le voit sur une page qui vante les mérites de la dernière version Big Sur de macOS  :

Sécurité. Directement  intégrée. Nous avons intégré dans le matériel et les logiciels du Mac des technologies avancées qui travaillent ensemble pour exécuter les apps de façon plus sécurisée, protéger vos données et garantir votre sécurité sur le Web.

(source)

On sait que le prix des appareils Apple les met hors de portée de beaucoup d’internautes, mais c’est un autre prix que les inconditionnels d’Apple vont devoir accepter de payer, celui de la liberté de faire « tourner » des applications. Comme l’explique ci-dessous un responsable de la sécurité chez Librem (*la traduction Framalang conserve au dernier paragraphe quelques lignes qui font la promotion de Purism/Librem), la dernière version de macOS donne l’illusion du contrôle mais verrouille l’utilisateur, tant au niveau logiciel que matériel désormais.

Article original : Apple Users Got Owned, licence CC-By-SA 4.0

Traduction Framalang : goofy, Julien / Sphinx, framasky, Steampark, mo

Apple a pris le contrôle sur ses utilisateurs

par Kyle Rankin

portrait au crayon de Kyle Rankin, souriant, de trois-quarts
Kyle est Chief Security Officer chez Librem (Mastodon )

On entend souvent dire des pirates informatiques qu’ils ont « pris le contrôle » (en anglais owned ou pwned) d’un ordinateur. Cela ne veut pas dire qu’ils ont pris possession physiquement de l’ordinateur, mais qu’ils ont compromis l’ordinateur et qu’ils ont un contrôle à distance si étendu qu’ils peuvent en faire ce qu’ils veulent. Lorsque les pirates informatiques contrôlent un ordinateur, ils peuvent empêcher l’exécution de logiciels, installer les logiciels de leur choix et contrôler le matériel à distance, même contre la volonté du propriétaire et généralement à son insu.

Les pirates informatiques comprennent intuitivement une chose que beaucoup d’utilisateurs d’ordinateurs ne comprennent pas : la propriété n’est pas une question de possession, mais de contrôle. Si votre entreprise vous donne un ordinateur, ou même si vous apportez le vôtre, mais qu’elle contrôle à distance la façon dont vous l’utilisez et peut passer outre à vos souhaits, c’est l’ordinateur de l’entreprise, pas le vôtre. Selon cette définition, la plupart des téléphones, aujourd’hui, sont la propriété du vendeur, et non de l’utilisateur, et comme je l’ai exposé dans The General Purpose Computer in Your Pocket 1 :

L’un des plus beaux tours que Big Tech ait jamais joué a été de convaincre les gens que les téléphones ne sont pas des ordinateurs à usage général et qu’ils devraient suivre des règles différentes de celles des ordinateurs portables ou de bureau. Ces règles donnent commodément au vendeur un plus grand contrôle, de sorte que vous ne possédez pas un smartphone mais que vous le louez. Maintenant que le public a accepté ces nouvelles règles pour les téléphones, les vendeurs commencent à appliquer les mêmes règles aux ordinateurs portables et aux ordinateurs de bureau

L’illusion du contrôle

L’illusion selon laquelle les utilisateurs d’Apple ont le contrôle de leurs ordinateurs a été rapidement mise à mal cette semaine quand Apple a distribué dans le monde entier sa nouvelle version de macOS  « Big Sur ». Des utilisateurs ont commencé à remarquer dès la diffusion de la mise à jour qu’ils avaient des problèmes pour exécuter des applications locales : ces applications bégayaient et macOS lui-même ne répondait plus par moments, même si l’utilisateur n’avait pas encore mis à jour son OS vers Big Sur. Drôle de coïncidence que la sortie d’un nouvel OS puisse bloquer des applications locales et même des applications ne venant pas d’Apple.

Comme cet article d’Ars Technica l’explique, des utilisateurs ont été capables de déboguer ce problème assez rapidement :

Il n’a pas fallu longtemps à certains utilisateurs de Mac pour se rendre compte que trustd, le processus de macOS chargé de vérifier avec les serveurs d’Apple si une application est authentifiée, tentait de se connecter au domaine ocsp.apple.com mais échouait de manière répétée.

… ce qui a provoqué des ralentissements sur tout le système, entre autres quand les applications essayaient de se lancer. Pour résumer le problème, à chaque fois que vous lancez une application signée sur macOS, un service d’enregistrement « notarial » envoie des informations sur l’application aux serveurs d’Apple pour vérifier que les signatures concordent. Si c’est le cas, votre système d’exploitation autorise l’application à démarrer. Quand l’ordinateur est hors connexion, la vérification échoue mais l’application est encore autorisée à fonctionner. Mais quand l’ordinateur est connecté, la signature est appliquée et comme le service était actif mais lent, les applications se sont arrêtées pendant que le système d’exploitation attendait une réponse.

La prise de contrôle à distance grâce à la signature du code.

Les applications utilisent souvent la signature du code comme moyen pour l’utilisateur de détecter les altérations. Le développeur signe le logiciel avec sa clé privée et l’utilisateur peut vérifier cette signature avec une clé publique. Seul le logiciel qui n’a pas été modifié correspondra à la signature. Dans le monde du logiciel libre, les distributions comme PureOS comprennent des clés publiques installées sur l’ordinateur local, et les mises à jour de logiciels vérifient automatiquement que les signatures correspondent avant d’appliquer la mise à jour elle-même. Quand on utilise ainsi les signatures, on peut tester une application avant son installation pour savoir si elle a été modifiée, c’est ainsi que l’utilisateur bénéficie d’un contrôle total sur le processus.

Apple a fait franchir à la signature de code un pas supplémentaire en incluant ce service « notarial ». Toutes les applications signées, qu’elles viennent ou non d’Apple, doivent demander l’autorisation de démarrer au service notarial distant. Ce qui signifie que l’entreprise Apple non seulement connaît toutes les applications que vous avez installées, mais elle est informée aussi à chaque fois que vous les exécutez. Ce qui n’était autrefois qu’un service facultatif est devenu aujourd’hui obligatoire. À partir de Big Sur, vous ne pourrez plus utiliser un outil comme Little Snitch pour bloquer ce service, ni le faire passer par Tor pour gagner en confidentialité. Apple et tous ceux qui ont accès à la communication en texte brut peuvent savoir quand vous avez lancé le navigateur Tor ou d’autres outils nécessaires à la protection de la vie privée, ou encore à quelle fréquence vous utilisez des applications de la concurrence.

[Mise à jour : il semble que les services notariaux d’Apple n’envoient pas d’informations sur l’application, mais envoient plutôt des informations sur le certificat de développeur utilisé pour les signer (ce qui est plus logique étant donné la façon dont l’OSCP fonctionne). Cela signifie qu’Apple peut savoir, par exemple, que vous avez lancé une application de Mozilla, mais ne peut pas nécessairement dire si vous avez lancé Firefox ou Thunderbird. Si un développeur ne signe qu’une seule application, bien sûr, on peut établir une corrélation entre le certificat et l’application. Le service semble également mettre en cache une approbation pendant un certain temps, de sorte que le fait qu’il envoie des informations à Apple chaque fois que vous exécutez une application dépend de la fréquence à laquelle vous la lancez].

J’imagine que beaucoup de personnes ont été surprises de découvrir cette fonctionnalité, mais je soupçonne également que beaucoup l’accepteront au nom de la sécurité. Pourtant, comme c’est le cas pour de nombreuses fonctionnalités d’Apple, la sécurité est un terme de marketing alors que la véritable motivation c’est le contrôle. Alors que la signature de code permettait déjà à Apple de contrôler si vous pouviez installer ou mettre à jour un logiciel, cette fonctionnalité lui permet de contrôler si vous pouvez exécuter des applications. Apple a déjà utilisé la signature de code sur iOS pour retirer les applications de ses concurrents de l’App Store et aussi pour désactiver à distance des applications au prétexte de la sécurité ou de la confidentialité. Il n’y a aucune raison de croire qu’ils n’utiliseront pas le même pouvoir sur macOS maintenant qu’il ne peut plus être contourné. Le but ultime d’Apple avec la signature de code, son coprocesseur Secure Enclave et sa puce Silicon propriétaires, c’est de s’assurer le contrôle et la propriété totales du matériel que vend l’entreprise.

Reprenez le contrôle

Vous devriez demeurer en pleine possession des ordinateurs que vous achetez. Ni les pirates informatiques ni les vendeurs ne devraient avoir le droit de vous contrôler à distance.
Nous construisons des ordinateurs portables, des ordinateurs de bureau, des serveurs et des téléphones sûrs, respectueux de la vie privée et de la liberté, qui vous redonnent le contrôle et vous garantissent que lorsque vous achetez un ordinateur Purism, c’est vous qui en êtes vraiment propriétaire.

Voir aussi :

ordinateur fermé par un cadenas
« Secure. » par Wysz, licence CC BY-NC 2.0




« I don’t want any spam ! »

Traduction : « Je ne veux pas de spam ! »

Le spam est un problème qu’à Framasoft, nous connaissons bien. Mais savez-vous à quel point ?
Je vais, dans cet article, vous dresser le tableau des soucis de spam que nous rencontrons et des contre-mesures que nous avons mises en place.

Avant cela, un peu d’histoire…

Qu’est-ce que le spam ?

Avant l’ère d’Internet, le spam n’était qu’une marque de viande en conserve.

Les Monty Python, humoristes anglais à qui l’on doit notamment les hilarants Sacré Graal ! et La vie de Brian, ont réalisé un sketch (version textuelle) dans lequel un couple, dans un restaurant, demande ce qu’il y a à la carte pour le petit déjeuner et où la serveuse ne propose que des plats avec du spam (et pas qu’un peu : « Spam, spam, spam, spam, spam, spam, baked beans, spam, spam, spam and spam. »). La femme du couple ne peut avoir de petit déjeuner sans spam, la serveuse ne lui proposant qu’encore plus de spam… (le titre de cet article est une citation de la femme du couple).

Un homme et une femme dans un restaurant
Capture d’écran du sketch des Monty Python sur le Spam

De ce sketch découle l’utilisation du terme spam pour les courriels indésirables (et tout autre message indésirable, quelle que soit la plateforme comme nous allons le voir).
De nos jours, le spam représente 50% des courriels échangés sur la planète.

Que serait une marque sans #CopyrightMadness ? Hormel Foods, l’entreprise derrière le spam a tenté d’utiliser le droit des marques pour éviter que le nom de son produit soit utilisé pour quelque chose dont personne ne veut et pour essayer d’empêcher d’autres entreprises d’utiliser le terme (comme des éditeurs de solutions anti-spam). Je croyais qu’Hormel Foods avait cessé cette lutte inutile, mais il semblerait que non, allant jusqu’à embêter Gee pour un dessin qu’il proposait sur RedBubble.

Un homme met un coup de pied dans une enveloppe pour l’envoyer dans une corbeille sur laquelle est marqué « spam »
Le dessin de Gee qui lui a valu une plainte d’Hormel Foods

Le spam dans les courriels

Chez Framasoft, nous sommes aux deux bouts de la chaîne : nous envoyons beaucoup de courriels (dans les 15 000 courriels par jour pour nos services – inscriptions, notifications, etc. – et plus de 200 000 courriels par jour pour Framalistes) et nous en recevons aussi, que ce soit au niveau de notre serveur de courriel interne ou sur Framalistes. Il y a aussi quelques autres services qui permettent d’interagir par courriel comme notre forum, Framavox et Framagit.

Deux astronautes regardant la terre. Une boîte de Spam est sur la terre. Le premier astronaute s’exclame « Mais le monde est plein de spam ! ». Le deuxième, un brassard « spam » sur le bras, braque un pistolet sur le premier astronaute et dit « Ça a toujours été ! »

Nous devons donc nous assurer, d’un côté, de ne pas passer pour des spammeur·euses et de l’autre, de nous en protéger.

Se protéger des spams par courriel

Rien de bien fantastique à ce niveau. Nous utilisons l’antispam Rspamd qui vérifie la validité du courriel par rapport à sa signature DKIM, à l’enregistrement SPF et à la politique DMARC du domaine (voir sur NextINpact pour un bon article sur le sujet). Bien entendu, cela ne vaut que si le domaine en question met en place ces mécanismes… On notera que la plupart des FAI français, s’ils vérifient bien les courriels entrants de la même façon que nous, se tamponnent allègrement le coquillard de mettre en place ces mécanismes pour leurs propres courriels. J’aimerais qu’un jour, ceux-ci arrêtent de faire de la merde 🙄 (remarquez, il semblerait que ça avance… très lentement, mais ça avance).

En plus de ces vérifications, Rspamd effectue aussi une vérification par filtrage bayésien, interroge des listes de blocage (RBL) et utilise un mécanisme de liste grise.

Thomas Bayes avec des yeux rouges (façon yeux laser)
Thomas Bayes analysant des courriels à la recherche de spam

Il y a toujours, bien évidemment des trous dans la raquette, mais le ratio spam intercepté/spam non détecté est assez haut et nous alimentons Rspamd avec les messages indésirables qui sont passés sous le radar.

Sur Framalistes, afin de ne pas risquer de supprimer de messages légitimes, nous avons forcé le passage des spams probables en modération : tout message considéré comme spam par Rspamd doit être approuvé (ou rejeté) par les modérateur·ices ou propriétaires de la liste.

(parenthèse technique)
Nous avons créé un scénario spam_status.x-spam-status dans Sympa :

title.gettext test x-spam-status  header

match([header->Subject][-1],/\*\*\*\*\*SPAM\*\*\*\*\*/) smtp,dkim,smime,md5 -> unsure
true()                                                  smtp,dkim,md5,smime -> ham

Et nous avons ajouté cette ligne à tous les scenarii de type send :

match ([msg->spam_status], /unsure/)   smtp,dkim,md5,smime   ->   editorkey

Le texte *****SPAM***** est ajouté au sujet du mail par Rspamd en cas de suspicion de spam. Si Rspamd est vraiment catégorique, le mail est directement rejeté.

Titre : « AdminSys, c’est pas drôle tous les jours. SPAM ou PAS SPAM ? ». Suit un bloc de texte où une femme propose d’envoyer des photos sexy d’elle. Un personnage : « J’hésite »
Difficile de déterminer si un message est du spam ou pas… 😅

Ne pas être considéré comme spammeur·euses

Là, c’est plus difficile. En effet, malgré notre respect de toutes les bonnes pratiques citées ci-dessus et d’autres (SPF, DKIM, DMARC…), nous restons à la merci de règles absurdes et non publiques mises en place par les autres services de courriel.

Vous mettez en place un nouveau serveur qui va envoyer des courriels ? Bon courage pour que les serveurs de Microsoft (hotmail.com, outlook.com…) l’acceptent. J’ai encore vécu ça il y a quelques mois et je ne sais toujours pas comment ça s’est débloqué (j’ai envoyé des courriels à des adresses chez eux que j’ai créées pour ça et je reclassais les courriels dans la catégorie « légitime », ça ne fonctionnait toujours pas mais quelques semaines plus tard, ça passait).

Bob l’éponge, les mains écartées et reliées par un arc-en-ciel. Texte : « It’s magic »

Votre serveur envoie beaucoup de courriels à Orange ? Pensez à limiter le nombre de courriels envoyés en même temps. Mais aussi à mettre en place un cache des connexions avec leurs serveurs. Eh oui : pas plus de X mails envoyés en même temps, mais pas plus de Y connexions par heure. Ou par minute. Ou par jour. C’est ça le problème : on n’en sait rien, on ne peut que poser la question à d’autres administrateurs de services de mail (pour cela, la liste de diffusion smtp-fr gagne à être connue. Le groupe des adminSys français, FRsAG est aussi à garder en tête).

Un autre problème est que nous ne sommes pas à l’origine du contenu de tous les courriels qui sortent de nos serveurs.
Par exemple, un spam arrivant sur une framaliste, s’il n’est pas détecté, sera envoyé à tou·tes les abonné·es de la liste, et ça peut vite faire du volume.

Les spams peuvent aussi passer de medium en medium : Framapiaf peut vous notifier par courriel d’une mention de votre identifiant dans un pouet (Ex. « Coucou @luc »). Si le pouet est un spam (« Coucou @luc, tu veux acheter une pierre magique contre les ondes 5G des reptiliens franc-maçons islamo-gauchistes partouzeurs de droite ? »), le spam se retrouve dans un courriel qui part de chez nous.

Mème avec le texte « Spam. Spam everywhere »

Certes, les courriels partant de chez nous sont aussi analysés par Rspamd et certains sont bloqués avant envoi, mais ce n’est pas efficace à 100 %.

Il y a aussi les faux positifs : que faire si nos courriels sont incorrectement classés comme spam par leurs destinataires ? Comme quelqu’un abonné sur une framaliste sans en être averti et qui d’un coup se retrouve submergé de courriels venant d’un expéditeur inconnu ?

Nous nous sommes inscrits à une boucle de rétroaction : nous recevons des notifications pour chaque courriel classé comme indésirable par un certain nombre de fournisseurs de messagerie.
Cela nous a permis (et nous permet toujours. Quotidiennement.) d’envoyer un message à de nombreuses personnes au courriel @laposte.net abonnées à des framalistes pour leur demander de ne pas nous mettre en indésirable, mais de se désabonner de la liste (en leur indiquant la marche à suivre) si elles ne souhaitent pas en recevoir les messages.

Au niveau de Framalistes, nous vérifions que les comptes possédant plus qu’un certain nombre de listes, et que les listes avec beaucoup d’abonné⋅es ne soient pas utilisées pour envoyer des messages indésirables. En effet, nous avons déjà souffert de quelques vagues de spam, nous obligeant à l’époque à modérer la création de listes en dehors des heures de travail car nous ne souhaitions pas, le matin, nous rendre compte que le service était tombé ou s’était fait bloquer pendant la nuit : l’envoi massif de courriels comme le faisaient les spammeur·euses rencontrait souvent un goulot d’étranglement au niveau du serveur, incapable de gérer autant de courriels d’un coup, ce qui faisait tomber le service.
Cette modération n’est plus active aujourd’hui, mais nous avons toujours cet outil prêt à être utilisé en cas de besoin.

Framalistes, si vous l’utilisez, a besoin de vous pour lutter contre le spam !

Petit rappel : il y a un lien de désinscription en bas de chaque courriel des framalistes. Utilisez ce lien pour vous désinscrire si vous ne souhaitez plus recevoir les messages de la liste.

Rien de plus simple que de déclarer un courriel comme étant du spam, n’est-ce pas ? Un clic dans son client mail et hop !

Eh bien non, pas pour Framalistes.

En effet, en faisant cela, vous déclarez notre serveur comme émettant du spam et non pas le serveur originel : nous risquons d’être complètement bannis et de ne plus pouvoir envoyer de courriels vers votre service de messagerie. De plus, l’apprentissage du spam (si le service de messagerie que vous utilisez fait bien son travail, les messages déclarés manuellement comme étant du spam passent dans une moulinette pour mettre à jour les règles de filtrage anti-spam) ne se fait que sur votre service de messagerie, pas chez nous.

Un chat devant un ordinateur portable, l’air halluciné. Texte : « You has spam. Glorious SPAM »

Si votre liste reçoit des spams, merci de le signaler à nom_de_la_liste-request@framalistes.org (l’adresse pour contacter les propriétaires de votre liste) : les propriétaires de la liste ont la possibilité, sur https://framalistes.org/sympa/arc/nom_de_la_liste, de supprimer un message des archives et de le signaler comme spam non détecté (n’hésitez pas à leur indiquer ce lien).

Le spam sur Framapiaf et Framasphère

Point d’antispam comme Rspamd possible sur Mastodon ou diaspora* (techniquement, il pourrait y avoir moyen de faire quelque chose, mais ça serait très compliqué).

Les serveurs Mastodon (pas que framapiaf.org, celui de Framasoft) font régulièrement l’objet de vagues d’inscription de spammeur·euses. Pour éviter l’épuisement de notre équipe de modération, nous avons décidé de modérer les inscriptions et donc d’accepter les comptes un à un.

Nous nous reposons sur les signalements des utilisateur·ices pour repérer les comptes de spam que nous aurions laissé passer et les supprimer (ce qui est très rare) ou les bloquer s’ils proviennent d’autres serveurs avec lesquels nous sommes fédérés.

Framasphère ne dispose pas, contrairement à Framapiaf de tels outils de modération : pas d’inscriptions modérées, pas de blocage de comptes distants… Nous ne pouvons que nous reposer sur les signalements et bloquer les comptes locaux.
Nous arrivons tout de même à bloquer les comptes distants, mais cela nécessite de modifier un enregistrement directement en base de données.

(parenthèse technique)
Voici comment nous bloquons les comptes distants sur Framasphère :

UPDATE people SET serialized_public_key = 'banned' WHERE guid = 'le_guid_du_compte';

Le spam sur Framaforms

Framaforms a rapidement été victime de son succès : sa fréquentation a presque triplé entre 2019 et 2020 (et l’année n’est pas terminée !), devenant aujourd’hui le service le plus utilisé de notre réseau !

Nous n’avons donc pas remarqué la création de nombreux, trop nombreux formulaires proposant, par exemple, des liens vers des sites de téléchargement illégal de films. C’est d’ailleurs suite à une réclamation d’un ayant droit que nous avons pris conscience du problème (oui, nous avons fait suite à cette réclamation : quoi que nous pensions du droit d’auteur, nous nous devons de respecter la loi).

Pic (x10) de clics provenant de recherches Google, principalement vers des formulaires de spam (warez).

La lutte contre le spam a occupé une bonne partie du temps de Théo qui a temporairement rejoint notre équipe salariée pour prêter main forte sur Framaforms :

  • détection de certains termes dans les formulaires avec mise en quarantaine (dépublication) en cas de suspicion de spam ;
  • quarantaine des formulaires ne contenant aucune question (juste la description, quoi) ;
  • interdiction de certains termes dans le titre des formulaires ;
  • intégration d’Akismet (un service anti-spam en ligne, proposé par Automattic, la société derrière https://wordpress.com/, contributrice à WordPress) ;
  • amélioration du système de CAPTCHA
  • ajout de vues permettant une gestion plus aisée des formulaires par les administrateur·ices.

Les efforts de Theo ont porté leurs fruits : la détection automatique des spams et leur dépublication tout aussi automatique limitent la pollution présente sur Framaforms (ce qui évite les réclamations, donc de monopoliser l’attention d’un salarié pour y répondre) et l’interface de gestion des spams facilite grandement le travail des administrateur·ices.

Un homme avec un lance-flamme. Texte « Kill it! Kill it with fire before it lays eggs! »
Théo s’attaquant au problème des spams sur Framaforms (allégorie)

Le spam sur Framagit

Nous avons beaucoup d’utilisateur⋅ices sur Framagit : nous avons dépassé les 90 000 inscrit⋅es. Mais pour notre malheur, la grande majorité d’entre elleux est constituée de comptes de spam !

Après des mois de ménage, nous sommes redescendus à un peu moins de 34 000 comptes, mais nous ne sommes pas dupes : il y a encore beaucoup de comptes illégitimes.

À noter cependant : ces comptes de spam ne semblent pas être dommageables pour les utilisateur⋅ices de Framagit. En effet, leur nuisance se limite généralement à mettre des liens vers un site de poker en ligne, de rencontres voire… de plombiers à Dubaï (je ne comprends pas non plus 😅).

Ceci explique en partie pourquoi nous n’avons pas lutté très activement contre le spam sur Framagit (l’autre raison étant que nous n’avions tout simplement pas de temps à y consacrer).

Nous avions déjà eu une vague de spams lors de l’ouverture de Framagit et nous avions dû interdire l’accès de notre forge logicielle à l’Inde, à l’Indonésie et au Viêt Nam, restriction active jusqu’à la semaine dernière.
Cela n’est pas dans nos habitudes mais s’il faut choisir entre ça et le risque d’épuisement professionnel d’un membre de l’équipe, Framasoft préfère faire passer l’humain avant tout (🤗).

Une grande vague de nettoyage a eu lieu en juin, où j’ai recherché des critères communs aux comptes de spam afin de les supprimer en masse… ce qui a donné lieu à une vilaine boulette lorsque j’ai choisi des critères bien trop larges, conduisant à la suppression de nombreux comptes légitimes (rétablis depuis).

Depuis, j’ai vérifié manuellement chaque compte remonté par mes recherches… soit plus de 18 000 comptes depuis septembre. Parmi ceux-ci, il devait y en avoir, à la louche (parce que mes souvenirs me trahissent), une ou deux dizaines de comptes légitimes. Heureusement ! Je crois que j’aurais assez mal pris le fait d’avoir vérifié chaque compte pour rien 😅

Nous avons désormais un script qui supprime automatiquement les comptes qui ne se sont jamais connectés dans les 10 jours suivant leur inscription : ce sont visiblement des comptes de spam qui ne reçoivent pas les mails de confirmation et donc ne se sont jamais connectés.
Ce script nous remonte aussi les comptes dont la biographie ou les liens contiennent certains termes usités par les spammeur·euses.

Nous avons recherché une solution de CAPTCHA pour Framagit, mais celui-ci ne supporte que reCaptcha, la solution d’Alphabet/Google… et il était hors de question de faire fuiter les informations (adresse IP, caractéristiques du navigateur…) et permettre le tracking de nos utilisateurs vers les services de l’infâme bête aux multiples têtes que nous combattons !

Hercule et l’hydre de Lernes
Framasoft combattant Google, allégorie

Nous avons alors recherché quelqu’un·e qui saurait développer, contre rémunération, une solution de type honeypot.
Dans le ticket que nous avons, sans aucune honte, squatté pour poser notre petite annonce, on nous a aiguillés vers une fonctionnalité d’honeypot expérimentale et cachée de Gitlab que je me suis empressé d’activer.
Il faut bien le dire : c’est très efficace ! Le nombre de comptes automatiquement supprimés par le script évoqué plus haut est descendu de près de 100 par jour à entre 0 et 2 comptes, ce qui montre bien que les scripts des spammeur·euses pour s’inscrire ne fonctionnent plus aussi bien.

Bien évidemment, il reste encore beaucoup de spam sur Framagit, et de nombreux comptes de spam sont créés chaque jour (10 ? 15 ? 20 ? Ça dépend des jours…), mais nous ne comptons pas en rester là. Le honeypot pourrait être amélioré, ou nous pourrions voir pour une intégration d’Akismet à Gitlab (il y en a déjà une, mais elle n’est pas utilisée pour vérifier les biographies des comptes).
Gitlab permet maintenant de modérer les inscriptions en les acceptant une à une (comme nous le faisons sur Framapiaf) : nous avons récemment activé cette fonctionnalité, pour voir si la charge de modération était acceptable et si cela avait un effet bénéfique.

Mème de Winnie l’ourson : Winnie, habillé normalement, l’air un peu déconfit : « Delete spam one by one ». Winnie en smoking, l’air satisfait « Install a honeypot »

Nous recevons de temps à autre (bien moins ces derniers temps, fort heureusement) des mails indiquant que Framalink est utilisé pour dissimuler des liens de hameçonnage dans des mails.

Lorsque la vague d’utilisation malveillante s’est intensifiée, j’ai développé (et amélioré au fil du temps) quelques fonctionnalités dans Lstu (le logiciel derrière Framalink) : une commande pour supprimer des raccourcis, pour rechercher les raccourcis contenant une chaîne de caractères ou provenant d’une certaine adresse IP, un système de bannissement d’adresse IP, un système de domaines interdits, empêchant le raccourcissement d’URL de tels domaines, une vérification des URL dans la base de données Google Safe Browsing (lien en anglais) avant raccourcissement et même a posteriori (je vous rassure, aucune donnée n’est envoyée à Google, la base de données est copiée et utilisée en local).

Ces efforts n’ont pas été suffisamment efficaces et nous avons été obligés de couper l’accès à l’API de Framalink, ce qui n’est pas une panacée, mais tout cela a fortement réduit nos problèmes de spam (ou pas, mais en tout cas, on a beaucoup moins de mails nous alertant de l’utilisation de Framalink pour du hameçonnage).

Notez que c’est à cause de l’utilisation de Framalink à des fins malveillantes que ce service est souvent persona non grata chez Facebook, Twitter et consorts.

Framasite

Des framasites avec de jeunes filles dénudées qui jouent au poker avec des plombiers de contrées lointaines ? Eh bien non, même pas. Les spammeurs se contentent de créer des comptes dont le nom d’utilisateur·ice est du genre « Best adult dating site, register on… ».

Et tout comme sur Framagit, beaucoup de comptes créés ne sont jamais validés (vous savez, avec l’email qui dit « cliquez sur ce lien pour finaliser votre inscription » ?).

Heureusement que ce n’est que cela, Framasite n’ayant pas d’interface d’administration permettant la suppression propre d’utilisateur·ices (« propre » voulant dire avec suppression des sites créés). Une simple suppression des comptes illégitimes en base de données suffit à faire le ménage.

Mème avec Gru des films « Moi moche et méchant » qui fait une présentation : « Faire de l’éducation populaire », « Proposer un outil pour faire des sites », « Avoir des comptes appelés « Best adult dating site » » Gru se retourne, interloqué par la page de présentation « Avoir des comptes appelés « Best adult dating site » »

Framalibre

Framalibre est aussi sujet aux spams, mais il s’agit généralement là de notices de logiciels non libres. Soit les personnes créant ces notices n’ont pas compris que Framalibre n’était dédié qu’aux logiciels libres, soit elles ont essayé d’améliorer leur référencement en ajoutant leurs logiciels.

Pour une fois, ce n’est pas bien méchant, pas bien violent (cela n’arrive pas souvent) et la vigilance de l’équipe de modération permet de supprimer (manuellement) ces notices indésirables très rapidement.

WordPress (commentaires)

Les spams dans les commentaires d’un blog sont un graaaaand classique ! Nous avons opté, sur nos sites wordpress, pour les extensions Antispam Bee et Spam Honey Pot.

C’est plutôt efficace, il est rare qu’un spam passe à travers ce système.

Drupal (inscriptions)

Nous avons quelques autres installations de Drupal autres que Framaforms et Framalibre. Les spammeurs s’inscrivent, voient qu’ils ne peuvent rien publier facilement : les Drupal en question ont les inscriptions ouvertes pour une bonne raison, mais ne permettent pas de créer des articles comme ça, hop !

Ce n’est donc, à l’heure actuelle, pas gênant.

Notre formulaire de contact

« Un formulaire de contact ? Oh chic ! » se disent les spammeurs. Là aussi, nous recevons un certain nombre de spams, tous les jours, toutes les semaines (une quarantaine par semaine), ou par une ancienne adresse de contact.

Nous nous contentons de répondre « #spam » en commentaire du ticket créé dans notre RequestTracker : cela supprime le message et empêche son expéditeur·ice de nous envoyer d’autres messages (voir sur mon wiki personnel pour commander son RequestTracker par mail).

Les faux positifs

Deux boutons : « Spam », « Pas spam ». Un homme s’essuie le front, angoissé par le choix à faire. L’homme est légendé « L’antispam »
Spam, pas spam… la vie d’un antispam n’est pas facile.

Je n’ai pas encore parlé des faux positifs : des messages légitimes détectés à tort comme étant du spam. Cela arrive forcément, quel que soit le type de plateforme, quels que soient les moyens déployés : statistiquement, il y aura toujours, un jour, une erreur du système ou des humain·es derrière (cf la boulette évoquée dans la partie « Framagit »).

Et dans l’autre sens, on aura toujours des spams qui arriveront à passer. Il est généralement difficile voire impossible de durcir les règles de détection de spam sans augmenter la proportion de faux positifs.

Conclusion

Il n’y en pas vraiment. La lutte contre le spam est un combat sans fin, un jeu du chat et de la souris qui ne se termine jamais. On tente de se protéger du mieux qu’on peut, on trouve des astuces, ça va mieux pendant un temps et ça recommence.

Il faut pas se le cacher : plus un hébergeur « grossit », plus il prend de la renommée sur Internet, plus il y a de chances que des personnes malveillantes repèrent son service et l’utilisent pour leur spam. Il y a donc un paradoxe de l’hébergement : trop petit, on est vite seul·e et débordé·e par la multiplicité des tâches à accomplir pour faire les choses correctement…

Mais trop gros, on centralise les attentions, dont celles des personnes malveillantes qui auront peu de scrupules à parasiter les ressources que vous mettez en commun. Ce qui induit encore plus de travail pour se protéger des spams et les nettoyer.

Ça vous paraît pessimiste ? Ça l’est un peu, sans doute ¯\_(ツ)_/¯

Sisyphe poussant son rocher
La lutte contre le spam (allégorie)




Quelques conseils pour télé-enseigner

Euh oui, ça va casser l’ambiance : une rentrée scolaire et universitaire un peu compliquée se profile et pour beaucoup d’enseignant⋅e⋅s qui ont appris au printemps avec plus ou moins de facilité et de bonheur à animer des cours à distance, il va peut-être falloir y revenir de temps en temps, ici ou là…

Le document ci-dessous est fourni par l’université du Cap (consulter la source en anglais) et nous l’avons traduit pour vous. Il s’agit ici d’un partage de conseils et d’astuces, entre professionnel·les de l’enseignement, qui n’a pas de prétention à l’exhaustivité ni à la recette magique.

Qui verrait dans ce texte autant d’exigences à faire peser sur les épaules du personnel enseignant n’aurait, au final, rien compris à son esprit. L’usage d’outils numériques dans l’enseignement à distance est une pratique délicate qui demande un temps de formation et d’adaptation progressive. Pas d’injonctions péremptoires ici, mais bien un ensemble de recommandations à partager entre collègues que chacun⋅e pourra librement s’approprier ou non.

Il y a d’ailleurs une recommandation qui n’apparaît pas plus bas et qu’on aimerait bien ajouter : utiliser à chaque fois que c’est possible des outils numériques libres et pas des trucs blindés de traqueurs qui vont siphonner les données personnelles de vos élèves et les vôtres d’ailleurs…

Les commentaires, comme toujours sur ce blog, sont ouverts et modérés

Logo de l’Université de Cape Town

  1. Rester simple et utiliser des technologies de bas niveau.
    Utilisez des outils qui vous sont familiers, à vous et à vos élèves, avec un apport limité de nouveaux outils pour interagir en ligne. Soyez attentifs aux inégalités d’accès et de connectivité.
  2. L’accessibilité est essentielle, et non facultative.
    Créez des formats multiples pour vos supports d’enseignement. Pour les vidéos, assurez-vous de disposer de sous-titres et de transcriptions. Vérifiez très en amont auprès de vos élèves que vous répondez à leurs besoins en matière d’accessibilité.
  3. Fournir une structure en utilisant une plateforme d’apprentissage. Pour passer à l’enseignement à distance, utilisez la plateforme connue des élèves pour créer un parcours d’apprentissage structuré. Organisez le contenu pédagogique par semaine ou par module.
  4. Utiliser ce qui est disponible.
    Vous ne disposez pas de beaucoup de temps de préparation. Quelles ressources des années précédentes pouvez-vous réutiliser ? Quelles sont les ressources externes disponibles ? Vous n’avez pas besoin de produire une vidéo de haute technologie pour un apprentissage de qualité.
  5. Continuer à enseigner de manière active.
    L’interaction en face à face sera minimale pendant une période indéterminée. Utilisez autant que possible le forum de discussion et le chat pour briser la glace et donner un sentiment de proximité.
  6. Échafauder un apprentissage par la fragmentation du contenu.
    Divisez votre cours en petits segments, organisés en fonction du temps d’activité que vous attendez de vos étudiants par semaine. Soyez explicite sur les dates d’achèvement et le temps nécessaire pour chaque activité.
  7. Indiquer un plan de cours clair.
    Ayez un plan de cours dans un endroit dédié sur votre site de cours qui détaille la structure du cours, les changements, les nouveaux délais et les évaluations et tenez-le à jour. Informez les élèves de toute modification.
  8. Être visible en ligne et rapidement joignable.
    Assurez régulièrement des « créneaux de présence » en ligne, en utilisant les forums et le chat pour répondre aux questions. Les collègues peuvent vous aider : il est important d’être disponible et de répondre rapidement.
  9. Aider les élèves à rester sur la bonne voie.
    Mettez en place de petites activités d’apprentissage obligatoires, telles que de courts quiz hebdomadaires ou des forums de discussion, pour encourager l’investissement régulier des élèves et identifier ceux qui ont des difficultés.
  10. Être indulgent⋅e avec soi-même et rester en empathie avec ses élèves. C’est une période difficile pour tout le monde. Encouragez un environnement d’attention aux autres et de soutien. Faites preuve de souplesse : des exceptions peuvent être nécessaires en fonction des exigences du cours.

​Faire plutôt ceci… mais pas cela.

Utiliser des technologies légères
Utilisez des technologies sobres, telles que du texte ou des diapos. Si vous utilisez des vidéos, prévoyez toujours des alternatives, sous-titres ou transcriptions.
Utiliser des technologies high-tech. Ne supposez pas que tous les étudiants ont un bon accès à Internet avec des données illimitées et le wifi en permanence.
Communiquer fréquemment et de façon cohérente. Toutes les instructions et tous les travaux à effectuer doivent passer d’abord par la même plateforme. L’usage d’autres canaux peut venir en complément pour que les messages soient redondants. Communiquer de façon dispersée. Utiliser plusieurs plateformes et divers canaux de façon irrégulière peut avoir pour conséquence la perte d’informations importantes pour les élèves.
Être inclusif/inclusive
Soyez bien conscient⋅e des différents environnements d’apprentissage dans lesquels peuvent se trouver les élèves, efforcez-vous d’être souple. Fournissez divers formats aux élèves. Utilisez du texte, des diapos, des transcriptions, des légendes et des fichiers audios en complément de vidéos éventuelles.
Se limiter à un seul format
Ne pas prévoir beaucoup de contextes d’apprentissage (technologies disponibles, environnement d’apprentissage, ressources, aides disponibles ou non…) et n’adopter qu’un seul format ne fera que limiter le nombre de participants.
Enseigner de façon asynchrone
Créez une expérience d’apprentissage pour les élèves qui leur permette de dépasser les obstacles (tels que le manque d’énergie électrique, de connectivité, ou le contexte social). Réalisez des activités asynchrones (p. ex : le courriel permet la communication asynchrone, mais pas le chat).
Enseigner de façon synchrone
Réaliser des interactions en ligne avec des webinaires ou des tutoriels « live » exclura certains élèves. Assurez-vous que vous proposez des moyens alternatifs.
Moins c’est mieux. Les travaux « à la maison » risquent de prendre deux fois plus de temps qu’en classe. Définissez vos priorités de façon réaliste. Avoir des demandes irréalistes. Demander un travail quotidien à terminer chaque jour aux élèves en un délai limité ne prend pas en compte les circonstances particulières dans lesquelles on enseigne à distance.
Bien organiser les ressources
Utilisez des cours structurés sur la plateforme pour lancer vos activités. Intitulez et classez clairement vos cours de façon organisée.
Laisser les élèves chercher
Demander aux élèves de chercher les ressources et supports de cours dont ils ont besoin les éloigne des activités pédagogiques essentielles.
Donner des instructions claires
Mettez bien en évidence les consignes détaillées sur ce qu’il faut faire, le délai de rendu des travaux, et précisez le temps de réalisation estimé des tâches demandées.
Donner des instructions confuses
Communiquer en longs pavés de texte avec des consignes difficiles à suivre et des tâches vagues fait perdre du temps d’apprentissage aux élèves et les démotive.
Fixer des créneaux de disponibilité en ligne
Donnez aux élèves des créneaux réguliers de rendez-vous distants où vous êtes disponibles pour les aider, répondre aux questions, clarifier une consigne, etc.
Rester disponible 24h/24
Il n’est pas question de vous rendre joignable 24/7 sans temps de pause pour vous-même hors-connexion (sauf en cas d’urgence, ça peut attendre les créneaux de votre emploi du temps que vous déterminez)
Demander des retours aux élèves
Parlez avec eux de leur charge de travail, de leur état émotionnel, de leurs matières préférées, de leur rythme de travail…
Faire un cours magistral
Enseigner de façon à ne pas laisser la parole aux élèves ni leur donner le choix peut leur donner le sentiment qu’ils sont dépassés, « perdus » ou qu’on les oublie….
Utiliser un nombre limité de nouveaux outils
Utiliser des outils familiers aux élèves et limitez le nombre de nouveaux outils pédagogiques pour l’enseignement à distance.
Essayer de multiples nouveaux outils
Essayer de nouveaux outils que vous n’aviez jamais utilisés peut occasionner quelques problèmes techniques pour vous comme pour vos élèves.
Diviser le contenu en segments digestes
Fournir du matériel pédagogique en fragments plus courts avec des objectifs d’apprentissage et des résultats d’évaluation clairs.
Donner de longs cours complets sans orientation nette.
N’imposez pas de longs articles de journaux ou des vidéos sans indication claire sur les objectifs pédagogiques et leur bénéfice.
Conserver en un seul lieu le plan détaillé du cours
Donnez en un seul endroit aux élèves un planning contenant les dates des devoirs à remettre. Avertissez-les qu’il peut y avoir des changements et indiquez comment ils seront informés.
Envoyer des mises à jour par messages successifs
Assurez-vous que les étudiants peuvent facilement trouver les informations clés sur votre cours en un seul endroit. Cela réduit l’anxiété.

 

prof au premier plan qui envoie une grosse vdéo HD sur la biologie moléculaire et donne un boulot à faire. Au deuxième plan un élève endormidevant son écran qui porteste car il télécharge à 51 octets/seconde, et un autre à l’état de squelette qui dit qu’il aura la fibre en 2023
Image réalisée avec https://framalab.org/gknd-creator/#