Aujourd’hui, nous vous proposons de sortir un peu des sentiers (re)battus du libre et des communs pour explorer un peu plus ceux de l’éducation et du partage. Stéphane Crozat, membre de Framasoft et prof. à l’Université de Technologie de Compiègne, souhaite partager ici une réflexion autour des conditions de publication des rapports de stage. Profitons du fait que le Framablog est aussi le blog des membres de l’association Framasoft pour lui donner la parole.

Chaque semestre, une partie significative des entreprises qui accueillent des stagiaires de l’Université Technologique de Compiègne dont je suis suiveur font une demande de procédure de confidentialité concernant le rapport et/ou la soutenance de l’étudiant. Je suis opposé à cette pratique.

Récemment encore une grande société française impliquée notamment dans des activités en lien avec la défense m’a fait une telle demande.

Ce semestre, j’ai pris le temps de poser mes arguments à plat, à la suite de quoi la demande a été retirée. Le mail que j’ai reçu en réponse faisait état du bien-fondé de ces arguments. Je les partage donc afin de contribuer peut-être à rendre les demandes de confidentialité plus marginales.

Préambule : la confidentialité est un droit de l’entreprise

Je ne suis pas opposé aux besoins de confidentialité des entreprises. De nombreux contextes l’exigent. À titre personnel il est par exemple évident que les informations dont je dispose sur les étudiants ne sauraient être divulguées publiquement.

Il est à noter que :

• le principe de confidentialité est inclus par défaut dans le droit de travail : « le contrat de travail est exécuté de bonne foi (article L1222–1 du Code du travail) » ce qui implique notamment la loyauté, la non-concurrence ou la confidentialité ;
• le stagiaire n’est pas complètement soumis au code du travail mais le principe de confidentialité reste présent dans la logique du stage et est communément explicité par une clause de non divulgation qui peut être ajoutée au contrat de travail ou à la convention de stage.

Donc, la confidentialité est une règle qui s’applique légitimement par défaut.

Argument 1 : Le rapport de l’étudiant est un élément de son CV, s’il est confidentiel, il ne pourra pas le produire.

Si un rapport est confidentiel, alors il ne pourra pas être produit pour faire valoir le travail réalisé, lors de la recherche d’un stage ultérieur ou lors de la recherche d’un emploi.

• Un mémoire de stage est un travail personnel significatif pour le stagiaire qui mérite de figurer au rang des choses dont il peut être fier et qu’il peut montrer. C’est le déposséder de quelque chose d’important que de lui interdire de produire le résultat de son travail.
• À défaut, c’est minorer l’importance de ce travail de restitution, ce qui peut conduire à des rapports sans intérêt, puisqu’en fin de compte personne ne les lira (à part peut-être à des fins d’évaluation, une fois, peut-être distraitement).

Proposition 1 : faire un rapport court et public

Je propose d’écrire un rapport synthétique et de bonne facture, non confidentiel et éventuellement de lui annexer un document confidentiel (qu’il n’est pas nécessaire de diffuser hors de l’entreprise).

On aura d’emblée l’ambition que ce rapport soit public, destiné à être diffusé sur le Web typiquement.

Le stagiaire cherchera à faire valoir les actions qu’il a pu mener sans divulguer d’information sensible. On peut pour cela procéder à de l’anonymisation, ou encore à la troncature d’information, sans nuire à la bonne compréhension du propos général. C’est en soi un bon exercice. La stagiaire pourra bien entendu mentionner en préambule qu’il a rédigé son rapport sous cette contrainte (un exemple d’approche : librecours.net/module/ing/rap).

Cette proposition a également le mérite de simplifier la gestion de la confidentialité et d’éviter les entre-deux inconfortables où personne ne sait exactement ce qu’il peut faire et laisser faire :

1. un rapport public accessible à tous tout le temps,
2. un rapport privé accessible à l’entreprise uniquement.

Argument 2 : La soutenance est un moment de mise en commun, cela ne peut pas fonctionner si tout le monde ne joue pas le jeu.

La soutenance est un moment d’échange entre étudiants, enseignants et entreprises. Les sessions sont organisées de telle façon que chacun profite des expériences des autres. Lorsque quelqu’un demande une soutenance confidentielle, il exclut de fait les autres de ce partage, c’est donc un appauvrissement de cette phase de restitution de stage. Si tout le monde procède ainsi, l’exercice perd tout intérêt, c’est en quelque sort un cas de dilemme du prisonnier⁶ : si personne ne se fait confiance, alors tout le monde perd.

Pour que la situation reste équitable, les soutenances confidentielles doivent se dérouler à part, en dehors de l’espace commun partagé par les autres. Ainsi ceux qui refusent de partager leur expérience se privent de la possibilité de profiter de l’expérience des autres.

C’est donc une dégradation de la situation d’apprentissage pour le stagiaire.

Proposition 2 : sélectionner ce qui est présenté en excluant ce qui est confidentiel

Je propose une soutenance non confidentielle sans information sensible. Il est possible qu’une soutenance ne porte pas sur l’ensemble du stage, c’est même souvent le cas, on peut donc se focaliser sur quelques-unes des tâches les moins sensibles et les exposer avec soin.

Le but d’une soutenance n’est pas de rendre compte dans le détail de tout ce qui a été fait, le temps ne le permettrait pas, mais de donner à voir une partie de ce que l’on a appris, ce que l’on sait faire, et, peut être en premier lieu : de communiquer des choses intéressantes au public.

Une bonne soutenance est pour moi une soutenance à l’issue de laquelle on a appris des choses que l’on ignorait grâce à la clarté de l’exposé du stagiaire.

Cela n’implique pas de révéler des secrets spécifiques, mais au contraire d’avoir été capable de monter en généralité pour présenter en dehors du contexte les compétences et connaissances acquises. C’est ce qui fait leur valeur pour le stagiaire et ses futurs collaborateurs.

Conclusion : un argument personnel complémentaire

Accepter un travail d’encadrement de stage correspond à la perspective d’instaurer un échange. On consacre un peu de temps, on fait éventuellement bénéficier un peu de son expérience lorsque c’est utile, et en échange on apprend des choses que l’on peut réinvestir dans sa propre pratique professionnelle.

Le métier d’un enseignant-chercheur consistant à publier de la connaissance au service de tous, les informations confidentielles lui sont mal utiles. Donc le bilan est négatif : on ne gagne rien et on perd un peu de ce temps si précieux pour tous.

Je refuse a priori tout engagement dans le suivi de stages comprenant des rapports ou soutenances confidentielles.

Il y a quelques mois, avant que la covid19 ne vienne chambouler notre quotidien, Angie faisait le constat que nous n’avions finalement que très peu documenté sur ce blog les démarches de passage à des outils libres réalisées au sein des organisations. Celles-ci sont pourtant nombreuses à s’être questionnées et à avoir entamé une « degooglisation ». Il nous a semblé pertinent de les interviewer pour comprendre pourquoi et comment elles se sont lancées dans cette aventure. Ce retour d’expérience est, pour Framasoft, l’occasion de prouver que c’est possible, sans ignorer les difficultés et les freins rencontrés, les écueils et erreurs à ne pas reproduire, etc. Peut-être ces quelques témoignages parviendront-ils à vous convaincre de passer au libre au sein de votre structure et à la libérer des outils des géants du Web ?

La maison d’édition Pourpenser a attiré notre attention sur Mastodon avec ses prises de position libristes. En discutant un peu nous avons compris qu’elle a joint le geste à la parole en faisant évoluer ses outils informatiques. Ça n’est pas si fréquent, une entreprise qui se dégooglise. Nous lui avons demandé un retour d’expérience.

N’hésitez pas à consulter les autres articles de cette série consacrée à l’autonomisation numérique des organisations.

Bonjour, peux-tu te présenter brièvement ? Qui es-tu ? Quel est ton parcours ?

Albert, co-fondateur des éditions Pourpenser avec ma sœur Aline en 2002.

Petit je voulais être garde forestier ou cuisinier… autant dire que j’ai raté ma vocation 🙂 (même si j’adore toujours cuisiner).

En 1987 j’avais un voisin de palier qui travaillait chez Oracle. Après les cours je passais du temps sur un ordinateur qu’il me mettait à disposition : j’ai donc commencé avec un ordi sur MS-DOS et des tables SQL.

1987, c’était aussi le tout début de la PAO. Il y avait un logiciel dont j’ai perdu le nom dans lequel je mettais le texte en forme avec des balises du genre <A>ça fait du gras</A>, je trouvais ça beaucoup plus intéressant que PageMaker et lorsque j’ai découvert Ventura Publisher qui mariait les deux mondes, j’ai été conquis.

Par la suite j’ai travaillé une dizaine d’années dans la localisation de jeux vidéo et de CD-ROM : nous traduisions le contenu et le ré-intégrions dans le code. Ma première connexion à internet remonte à 1994 avec FranceNet, j’avais 25 ans. Je découvrais ce monde avec de grands yeux en m’intéressant au logiciel libre, à la gouvernance d’internet (je me rappelle notamment de l’ISOC et des rencontres d’Autrans) et ça bousculait pas mal de schémas que je pouvais avoir.

2000 : naissance de ma fille aînée, je quitte Paris, je prends un grand break : envie de donner plus de sens à ma vie.

2002 : naissance de mon fils et création de la maison d’édition avec ma sœur.

Tu nous parles de ton entreprise ?

Dans sa forme, Pourpenser est une SARL classique. Régulièrement, nous nous posons la question de revoir les statuts mais ça demande du temps et de l’argent que nous préférons mettre ailleurs. Finalement, le mode SARL est plutôt souple et dans les faits, nous avons une organisation très… anarchique. Même si avec Aline nous sentons bien qu’en tant que fondateurs notre voix compte un peu plus, l’organisation est très horizontale et les projets partent souvent dans tous les sens.

Que fait-elle ?

Dès le départ, nous avons eu à cœur de proposer des livres « avec du sens ». Aborder des questions existentielles, des questions de sociétés ou autour de notre relation au vivant. La notion d’empreinte nous interpelle régulièrement. Ne pas laisser d’empreinte est compliqué. Mais peut-être pouvons-nous choisir de laisser une empreinte aussi légère qu’utile ? La cohérence entre le contenu des livres que nous éditons et la manière dont nous produisons et amenons ces livres aux lecteurs et lectrices a toujours été centrale… même si rester cohérent est loin d’être toujours simple.

Nous aimons dire que notre métier n’est pas de faire des livres mais de transmettre du questionnement. Ceci dit, depuis 2002, nous avons édité environ 120 titres et une soixantaines d’auteur·e·s. Nous aimons éditer des contes, des romans, des BD, des jeux, des contes musicaux qui vont amener à une discussion, à une réflexion. Mais qui sait si un jour nous n’irons pas vers du spectacle vivant, de la chanson…

Combien êtes-vous ?

Normalement, nous sommes 8 personnes à travailler quasi-quotidiennement sur le catalogue de la maison et cela fait l’équivalent d’environ 5 temps plein, mais avec la crise actuelle nous avons nettement plus de temps libre… À côté de ça, nous accompagnons une soixantaine d’auteur·e·s, travaillons avec une centaine de points de vente en direct et avons quelques dizaines de milliers de contacts lecteurs.

Est-ce que tout le monde travaille au même endroit ?

L’équipe de huit est principalement située dans l’ouest, et l’une de nous est du côté de Troyes. Nous nous réunissons environ deux fois par an et utilisons donc beaucoup le réseau pour échanger. Le confinement de mars n’a fondamentalement rien changé à notre façon de travailler en interne. Par contre, les salons et les festivals ou nous aimons présenter les livres de la maison nous manquent et le fait que les librairies fonctionnent au ralenti ne nous aide pas.

Tu dirais que les membres de l’organisation sont plutôt à l’aise avec le numérique ? Pas du tout ? Ça dépend ? Kamoulox ?

Globalement, la culture « utilisateur du numérique » est bien présente dans toute l’équipe. Mais je dirais que nous sommes surtout deux : Dominique et moi, que la question de « jouer avec » amuse. Pour le reste de l’équipe, il faut que ça fonctionne et soit efficace sans prise de tête.

Avant de lancer cette démarche, vous utilisiez quels outils / services numériques ?

Lors de la création en 2002, j’ai mis en place un site que j’avais développé depuis un ensemble de scripts PHP liés à une base MySQL. Pour la gestion interne et la facturation, j’utilisais Filemaker (lorsque je ne suis pas sur Linux, je suis sur MacOS), et au fur et à mesure de l’arrivée des outils de Google (gmail, partage de documents…) nous les avons adoptés : c’était tellement puissant et pratique pour une mini structure éclatée comme la nôtre.

Par la suite, nous avons remplacé Filemaker par une solution ERP-CRM qui était proposée en version communautaire et que j’hébergeais chez OVH (LundiMatin – LMB) et le site internet a été séparé en 2 : un site B2C avec Emajine une solution locale mais sous licence propriétaire (l’éditeur Medialibs est basé à Nantes) et un site B2B sous Prestashop.

Pour les réseaux sociaux : Facebook, Instagram Twitter, Youtube.

En interne, tout ce qui est documents de travail léger passaient par Google Drive, Hubic (solution cloud de chez OVH) et les documents plus lourds (illustrations, livres mis en page) par du transfert de fichiers (FTP ou Wetransfer).

Qu’est-ce qui posait problème ?

La version communautaire de LMB n’a jamais vraiment décollé et au bout de 3 ans nous avons été contraints de migrer vers la solution SaS, et là, nous avons vraiment eu l’impression de nous retrouver enfermés. Impossible d’avoir accès à nos tables SQL, impossible de modifier l’interface. À côté de ça une difficulté grandissante à utiliser les outils de Google pour des raisons éthiques (alors que je les portais aux nues au début des années 2000…)

Vous avez entamé une démarche en interne pour migrer vers des outils numériques plus éthiques. Qu’est-ce qui est à l’origine de cette démarche ?

La démarche est en cours et bien avancée.

J’ai croisé l’existence de Framasoft au début des années 2000 et lorsque l’association a proposé des outils comme les Framapad, framacalc et toutes les framachoses ; j’en ai profité pour diffuser ces outils plutôt que ceux de Google auprès des associations avec lesquelles j’étais en contact. Mes activités associatives m’ont ainsi permis de tester petit à petit les outils avant de les utiliser au niveau de l’entreprise.

Des outils (LMB, Médialibs) propriétaires avec de grandes difficultés et/ou coûts pour disposer de fonctionnalités propre à notre métier d’éditeur. Des facturations pour utilisation des systèmes existants plutôt que pour du développement. Un sentiment d’impuissance pour répondre à nos besoins numériques et d’une non écoute de nos problématiques : c’est à nous de nous adapter aux solutions proposées… Aucune liberté.

« un besoin de cohérence »

Quelle était votre motivation ?

La motivation principale est vraiment liée à un besoin de cohérence.

Nous imprimons localement sur des papiers labellisés, nous calculons les droits d’auteurs sur les quantités imprimées, nos envois sont préparés par une entreprise adaptée, nous avons quitté Amazon dès 2013 (après seulement 1 an d’essai)…

À titre personnel j’ai quitté Gmail en 2014 et j’avais écrit un billet sur mon blog à ce sujet. Mais ensuite, passer du perso à l’entreprise, c’était plus compliqué, plus lent aussi.

Par ailleurs nous devions faire évoluer nos systèmes d’information et remettre tout à plat.

…et vos objectifs ?

Il y a clairement plusieurs objectifs dans cette démarche.

• Une démarche militante : montrer qu’il est possible de faire autrement.
• Le souhait de mieux maîtriser les données de l’entreprise et de nos clients.
• Le besoin d’avoir des outils qui répondent au mieux à nos besoins et que nous pouvons faire évoluer.
• Quitte à développer quelque chose pour nous autant que cela serve à d’autres.
• Les fonds d’aides publiques retournent au public sous forme de licence libre.
• Création d’un réseau d’acteurs et actrices culturelles autour de la question du numérique libre.

Quel lien avec les valeurs de votre maison d’édition ?

Les concepts de liberté et de responsabilité sont régulièrement présents dans les livres que nous éditons. Réussir à gagner petit à petit en cohérence est un vrai plaisir.
Partage et permaculture… Ce que je fais sert à autre chose que mon besoin propre…

Qui a travaillé sur cette démarche ?

Aujourd’hui ce sont surtout Dominique et moi-même qui travaillons sur les tests et la mise en place des outils.

Des entreprises associées : Symétrie sur Lyon, B2CK en Belgique , Dominique Chabort au début sur la question de l’hébergement.

Un des problèmes aujourd’hui est clairement le temps insuffisant que nous parvenons à y consacrer.

Aujourd’hui, la place du SI est pour nous primordiale pour prendre soin comme nous le souhaitons de nos contacts, lecteurs, pour diffuser notre catalogue et faire notre métier.

Vous avez les compétences pour faire ça dans l’entreprise ?

Il est clair que nous avons plus que des compétences basiques. Elles sont essentiellement liées à nos parcours et à notre curiosité : si Dominique a une expérience de dev et chef de projet que je n’ai pas, depuis 1987 j’ai eu le temps de comprendre les fonctionnements, faire un peu de code, et d’assemblages de briques 😉

Combien de temps ça vous a pris ?

Je dirais que la démarche est réellement entamée depuis 2 ans (le jour ou j’ai hébergé sauvagement un serveur NextCloud sur un hébergement mutualisé chez OVH). Et aujourd’hui il nous faudrait un équivalent mi-temps pour rester dans les délais que nous souhaitons.

Ça vous a coûté de l’argent ?

Aujourd’hui ça nous coûte plus car les systèmes sont un peu en parallèle et que nous sommes passés de Google « qui ne coûte rien » à l’hébergement sur un VPS pour 400 € l’année environ. Mais en fait ce n’est pas un coût, c’est réellement un investissement.

Nous ne pensons pas que nos systèmes nous coûteront moins chers qu’actuellement. Mais nous estimons que pour la moitié du budget, chaque année, les coûts seront en réalité des investissements.

Les coûts ne seront plus pour l’utilisation des logiciels, mais pour les développements. Ainsi nous pensons maîtriser les évolutions, pour qu’ils aillent dans notre sens, avec une grande pérennité.

Quelles étapes avez-vous suivi lors de cette démarche  de dégooglisation ?

Ah… la méthodologie 🙂

Elle est totalement diffuse et varie au fil de l’eau.

Clairement, je n’ai AUCUNE méthode (c’est même très gênant par moment). Je dirais que je teste, je regarde si ça marche ou pas, et si ça marche moyen, je teste autre chose. Heureusement que Dominique me recadre un peu par moment.

Beaucoup d’échanges et de controverse. Surtout que le choix que nous faisons fait reposer la responsabilité sur nous si nous ni parvenons pas. Nous ne pouvons plus nous reposer sur « c’est le système qui ne fonctionne pas », « nous sommes bloqué·e·s par l’entreprise ». C’est ce choix qui est difficile à faire.

La démarche c’est les rencontres, les échanges, les témoignages d’expériences des uns et des autres…

Et puis surtout : qu’avons nous envie de faire, réellement…

Dans un premier cas, est-ce que cela me parle, me met en joie d’avoir un jolie SI tout neuf ? Ou cela nous aiderait au quotidien, mais aucune énergie de plus.

Dans l’option que nous prenons, l’idée de faire pour que cela aide aussi les autres éditeurs, que ce que nous créons participe à une construction globale est très réjouissant…

La stratégie est là : joie et partage.

Au début ?

Un peu perdu, peur de la complexité, comment trouver les partenaires qui ont la même philosophie que nous…

Mais finalement le monde libre n’est pas si grand, et les contacts se font bien.

Ensuite ?

Trouver les financements, et se lancer.

Et à ce jour, où en êtes-vous ?

À ce jour nous avons totalement remplacé les GoogleDrive, Hubic et Wetransfer par Nextcloud ; remplacé également GoogleHangout par Talk sur Nextcloud.

Facebook, Instagram et Twitter sont toujours là… Mais nous avons un compte sur Mastodon !

Youtube est toujours là… Mais le serveur Peertube est en cours de création et Funkwhale pour l’audio également.

Concernant l’administration de ces outils, je suis devenu un grand fan de Yunohost : une solution qui permet l’auto-hébergement de façon assez simple et avec communauté très dynamique.

Notre plus gros projet est dans le co-développement d’un ERP open source : Oplibris

Ce projet est né en 2018 après une étude du Coll.LIBRIS (l’association des éditeurs en Pays de la Loire) auprès d’une centaine d’éditeurs de livres. Nous avons constaté qu’il n’existait à ce jour aucune solution plébiscité par les éditeurs indépendants qui ont entre 10 et 1000 titres au catalogue. Nous avons rencontré un autre éditeur (Symétrie, sur Lyon) qui avait de son côté fait le même constat et commencé à utiliser Tryton. (je profite de l’occasion pour lancer un petit appel : si des dev flask et des designers ont envie de travailler ensemble sur ce projet, nous sommes preneurs !)

Migrer LMB, notre ERP actuel, vers Oplibris est vraiment notre plus gros chantier.

À partir de là, nous pourrons revoir nos sites internet qui viendront se nourrir dans ses bases et le nourrir en retour.

Combien de temps entre la décision et le début des actions ?

Entre la décision et le début des actions : environ 15 secondes. Par contre, entre le début des actions et les premières mise en place utilisateur environ 6 mois. Ceci dit, de nombreuses graines plantées depuis des années ne demandaient qu’à germer.

« Nous mettons de grosses contraintes éthiques »

Avant de migrer, avez-vous testé plusieurs outils au préalable ?

J’ai l’impression d’être toujours en test. Par exemple, Talk/Discussion sur Nextcloud ne répond qu’imparfaitement à notre besoin. Je préférerais Mattermost, mais le fait que Talk/Discussion soit inclus dans Nextcloud est un point important côté utilisateurs.

Nous mettons de grosses contraintes éthiques, de ce fait les choix se réduisent d’eux-mêmes, il ne reste plus beaucoup de solutions. Lorsqu’on en trouve une qui nous correspond c’est déjà énorme !

Avez-vous organisé un accompagnement des utilisateur⋅ices ?

L’équipe est assez réduite et plutôt que de prévoir de la documentation avec des captures écran ou de la vidéo, je préfère prendre du temps au téléphone ou en visio.

Prévoyez-vous des actions plus élaborées ?

Nous n’en sommes pas à ce stade, probablement que si le projet se développe et est apprécié par d’autres, des formations entre nous seront nécessaires.

Quels ont été les retours ?

Il y a régulièrement des remarques du genre : « Ah mais pourquoi je ne peux plus faire ça » et il faut expliquer qu’il faut faire différemment. Compliqué le changement des habitudes, ceci dit l’équipe est bien consciente de l’intérêt de la démarche.

Comment est constituée « l’équipe projet » ?

Dominique, B2CK, Symétrie.

Quelles difficultés avez-vous rencontrées ?

La difficulté majeure est de trouver le bon équilibre entre la cohérence des outils et l’efficacité nécessaire dans le cadre d’une entreprise.

Le frein majeur côté utilisateurs est de faire migrer les personnes qui utilisent encore Gmail pour le traitement de leur courriel. L’interface est si pratique et la recherche tellement puissante et rapide qu’il est compliqué de le quitter.

Une autre difficulté est d’ordre comptable et financier : comment contribuer financièrement à ce monde du logiciel libre ? Comment donner ? A quelles structures ? (aujourd’hui nos financements vont principalement au développement de Tryton).

Et l’avenir ? Envisagez-vous de continuer cette démarche pour l’appliquer à d’autres aspects de votre organisation ?

Côté création, j’aimerais beaucoup que nous puissions utiliser des outils libres tels que Scribus, Inkscape, Krita ou GIMP plutôt que la suite Adobe. Mais aujourd’hui ces outils ne sont pas adoptés par l’équipe de création car trop compliqués d’utilisation et pas nativement adaptés à l’impression en CMJN. Une alternative serait d’utiliser la suite Affinity (mais qui n’est pas open source…)

Quels conseils donneriez-vous à d’autres organisations qui se lanceraient dans la même démarche ?

Y prendre du plaisir ! Mine de rien, la démarche demande du temps et de l’attention. Il faut confier ça à des personnes qui prennent ça comme un jeu. Oubliez la notion de temps et de délais, optez pour les valeurs qui soient plus la finalité et le plaisir. Au pied de la montagne entre prendre le téléphérique ou le chemin à pied ce n’est pas le même projet, vous n’avez pas besoin des même moyens.

Le mot de la fin, pour donner envie de migrer vers les outils libres ?

Sommes-nous les outils que nous utilisons ? Libres ?

Quitter les réseaux sociaux centralisés est extrêmement complexe. Je manque encore de visibilité à ce sujet et ça risque d’être encore très long. J’ai proposé à l’équipe une migration totale sans clore les comptes mais avec un mot régulièrement posté pour dire « rejoignez-nous ici plutôt que là ». Mon rêve serait d’embarquer au moins une centaine d’entreprises dans une telle démarche pour tous faire sécession le même jour. Des volontaires ? 🙂

Aller plus loin

• Fair-play, Albert ne nous l’a jamais demandé, il sait qu’on est un peu allergique à la pub, mais on vous donne quand même le lien vers le site des Éditions Pourpenser

Crédits

• Illustrations réalisées par Albert sur Gégé  à partir de dessins de Gee
• Photo de l’équipe avec des illustrations d’Aline de Pétigny et Laura Edon
• Logo de pourpenser mis en couleurs par Galou

Gee avait publié sa BD StopConneries en réaction à StopCovid, il lui semble donc opportun de publier aujourd’hui une nouvelle BD, TousAntiConneries. N’hésitez pas à relire l’article d’origine qui reste tristement d’actualité.

Sources :

• StopCovid ou encore ? (billet de Cédric O sur Medium)
• Application StopCovid : Anticor saisit le parquet national financier (Anticor)
• StopCovid : captcha souverain, transparence sur le coût et indignation, Cédric O répond (Next INpact)
• 9M ! Et 11 439 personnes notifiées par @TousAntiCovid. On continue (tweet de Cédric O)
• Contact tracing: la Cnam en difficulté face à « la progression très brutale du nombre de patients » (TICsanté)

Crédit : Gee (Creative Commons By-Sa)

Vous ne l’avez peut-être pas remarqué car on ne s’en est pas vanté, mais certains de nos sites web ont connu de notables améliorations ces derniers mois.

Ainsi, notre page de contact et notre page de dons ont vu leur design (structuration des contenus, ergonomie, valorisation graphique, etc. ) évoluer et l’ensemble de nos sites sont désormais dotés d’un nouveau menu.

Avec cet article, nous voulons non seulement vous informer de ces mises à jour, mais aussi vous accompagner dans leur prise en main. Par ailleurs, l’ensemble de ces améliorations s’inscrit dans une démarche que nous avons envie de décrire, afin qu’elle puisse être ouverte à la critique ou, pourquoi pas, recevoir les hommages de la copie.

Un million de personnes à accompagner autonomiser

En général, quand on décide de mettre à jour un site web, c’est parce qu’on a constaté que des améliorations pouvaient y être apportées. Notre motivation première derrière ces améliorations est de permettre aux internautes utilisant nos services d’être davantage autonomes dans leurs usages. Après avoir présenté, notamment lors de la campagne Degooglisons Internet, les possibilités offertes par les logiciels libres, Framasoft souhaite offrir un accès plus simple et plus rapide à la galaxie des services, projets et ressources qu’elle met à disposition de toutes et tous.

Accueillant chaque mois plus d’un million de visiteur⋅ses sur nos sites web, nous faisons le constat que nous ne pouvons accompagner humainement chacun⋅e dans la découverte de notre univers. Et parce que cet univers est foisonnant, nous sommes conscient⋅es que c’est souvent frustrant pour vous de ne pas bénéficier de cet accompagnement. Mais, contrairement aux géants du web qui appliquent un design de l’autorité sur leurs plateformes, vous mettant dans une position infantilisante d’hyper-consommateur⋅ices, chez Framasoft, nous vous considérons comme des contributeur⋅ices. Et c’est à ce titre qu’il est pour nous essentiel de repenser nos interfaces afin que vous puissiez, en toute autonomie, davantage vous y retrouver.

En parallèle, nous avons aussi constaté que nous recevons énormément de questions via notre formulaire de contact dont les réponses sont déjà publiées dans notre foire aux questions, dans les guides d’utilisation des outils que nous proposons ou bien sur notre forum d’entraide Framacolibri. Répondre à ces demandes (en renvoyant vers ces ressources) est une tâche répétitive assez peu valorisante pour les personnes en charge du support. En nous lançant dans cette refonte, nous avions donc aussi en tête la nécessité de cesser l’augmentation de ces demandes.

Cependant, simplifier l’accès à un ensemble de contenus nous a beaucoup questionné. Comment mettre cela en œuvre ? Comment ne pas tomber dans le piège du dédale de clics ? Comment autonomiser nos utilisateur⋅ices sans que cela créé avec elleux une relation froide et distante ? En gardant en tête que sur un site web, l’internaute doit identifier rapidement où il est (est-ce la page que je souhaitais voir ?), où il peut aller (vais-je pouvoir trouver facilement ce que je cherche sur ce site ?) et d’où il vient (quel chemin m’a amené à cette page ?), nous avons décidé de repenser totalement le menu de nos sites web et l’expérience d’utilisation de notre page de contact tout en améliorant la structuration des contenus et l’ergonomie de notre page de dons.

Une page de contact actualisée

Cette nouvelle page de contact vous informe dès votre arrivée de qui nous sommes et des moyens que nous mettons à votre disposition pour vous aider lorsque vous rencontrez des difficultés. L’accès au formulaire de contact n’est plus aussi immédiat qu’auparavant car nous espérons que vous n’aurez au final plus besoin de vous en servir, ayant trouvé l’information que vous recherchiez. C’est d’ailleurs en cherchant comment résoudre au mieux vos problèmes que nous avons trouvé comment résoudre le nôtre (l’augmentation de l’activité du support).

Vous l’aurez sûrement remarqué, nous avons revu totalement le design de cette page. Pour vous accueillir, la magnifique illustration de David Revoy se veut douce et rassurante. Car même si nous ne sommes pas en mesure d’accompagner humainement chacun⋅e d’entre vous, cette page de contact ne vous laisse pas seul⋅e face à votre question. C’est d’ailleurs en étant à l’écoute de vos besoins que nous avons reformulé les intitulés des six catégories de contact. En attribuant une couleur spécifique à chacune de ces catégories, vous pouvez vérifier à chaque moment de votre navigation que vous êtes sur le bon chemin.

Structuré en 4 étapes (pré-requis, service concerné, FAQ, formulaire), ce nouveau parcours est pensé pour que vous puissiez prendre connaissance des questions auxquelles nous avons préalablement répondu dans notre foire aux questions (FAQ) avant de nous contacter. Nous vous incitons aussi très fortement à consulter nos guides et astuces d’utilisation lorsque vous avez des questions sur un service en particulier. Nous avons d’ailleurs revu et enrichi les contenus de ces deux ressources pour qu’elles soient plus faciles à comprendre.

Si vous ne trouvez réponse à votre question ni dans la FAQ, ni dans nos guides d’utilisation, peut-être votre question vaut-elle la peine d’être publiée sur notre forum. Framacolibri est un espace d’entraide où de nombreuses personnes pourront vous aider à comprendre pourquoi vous n’arrivez pas à utiliser telle fonctionnalité de tel service. D’ailleurs, dans l’article Ce que Framasoft a fait durant le (premier) confinement que nous avons publié il y a quelques jours, nous rappelions que pendant cette période si particulière, une communauté d’aidant⋅es numériques avaient spontanément proposé leur aide sur le forum (merci à elleux !). Cette dynamique d’entraide collective ne s’est pas essoufflée et nous vous invitons à en faire l’expérience.

Ce nouveau dispositif d’aiguillage (catégorie, faq, guides, forum) nous permet d’identifier au plus vite votre besoin afin d’y répondre au mieux en mettant en avant des ressources adaptées pour que vous puissiez vous les approprier. Mais il peut arriver que nos ressources ne répondent pas à votre besoin. Dans ce cas, ou si votre question doit rester confidentielle, qu’elle implique de devoir divulguer des informations personnelles et privées, alors nous vous invitons à utiliser notre formulaire de contact.

Un menu enrichi pour mieux vous orienter

Avant, tous nos sites web étaient dotés d’un menu situé, de manière très classique, en haut de toutes les pages. Ce menu vous permettait d’accéder à notre galaxie de sites web. Mais comme on est plutôt prolixe en la matière, ce menu avait grossi avec le temps et la multiplication de nos projets, ce qui ne le rendait plus vraiment utilisable facilement. C’était particulièrement le cas si vous vous rendiez sur nos sites web à partir d’un appareil mobile, doté d’un écran plus petit : certaines rubriques du menu étaient si longues qu’elles ne pouvaient s’afficher en entier. De plus, sur certains de nos services, cette barre de menu pouvait être perturbante car elle se superposait au menu de l’outil lui-même, pouvant troubler certain·es internautes.

On a donc repensé totalement la façon dont vous pouvez accéder à nos contenus dans ce nouveau menu désormais accessible via un bouton situé en haut à droite de chacun de nos sites web. Placé ainsi, il ne perturbe plus l’affichage des menus des outils que nous proposons et il s’adapte de façon automatique à la taille de votre écran. Reproduit sur l’ensemble de nos sites web, ce nouveau menu vous permet de savoir d’un seul coup d’œil que vous êtes sur l’un des sites de la galaxie Framasoft. Une fois que vous avez cliqué sur ce bouton, une barre latérale s’affiche à droite, en surimpression du site sur lequel vous êtes.

Par défaut, ce menu vous est proposé selon une vue par catégories (4 en l’occurrence) pour favoriser la découvrabilité des actions de Framasoft. Vous avez la possibilité de modifier cet affichage en sélectionnant la vue sous forme de grille pour trouver plus aisément un service ou un outil spécifique (puisqu’ils sont classés par ordre alphabétique). Nous avons aussi ajouté un bloc de recherche où vous pouvez directement indiquer ce que vous cherchez. Lorsque vous utilisez la recherche directe, il vous est proposé d’étendre votre recherche sur le web ou à l’ensemble des sites de Framasoft, au Framablog, au forum Framacolibri, à l’annuaire Framalibre ou à notre instance PeerTube de diffusion de vidéos, Framatube.

Conceptualisée en 2012, la structuration du menu n’était plus pertinente au regard de l’évolution de nos projets. Nous nous sommes donc questionné⋅es sur la meilleure façon de vous mener vers nos différents outils. Pour cela, nous avons pris en compte des remarques qui nous ont été faites. Nous avons, par exemple, décidé d’archiver certains de nos projets, certes pertinents au moment de leur création, mais n’ayant pas été mis à jour depuis plusieurs années. De plus, nous avons souhaité que ce menu vous donne accès directement à davantage d’informations. Ainsi, vous n’avez plus besoin de vous rendre sur la page d’un outil ou d’un projet pour savoir exactement de quoi il s’agit.

En plus d’un accès totalement remanié à nos contenus, ce nouveau menu s’enrichit d’un bloc intitulé Entraide qui vous donne immédiatement accès à plusieurs ressources. Notez que les contenus qui apparaissent lorsque vous cliquez sur la rubrique « Obtenir des réponses » sont adaptés au service (ou projet) que vous êtes en train de consulter. Nous vous affichons l’information la plus adaptée à votre usage pour que vous puissiez y accéder en seulement 2 clics. Notez aussi que nous utilisons le même habillage graphique pour ces ressources.

Une nouvelle peau pour notre page de dons

Alors que ça faisait un moment qu’on y pensait (quasiment 2 ans), alors qu’il s’agit du fameux « nerf de la guerre » (Framasoft ne vit que grâce à vos dons), notre page de dons a finalement fait peau neuve, elle aussi. Nous avons repensé l’organisation des contenus afin de vous apporter plus facilement des réponses, mais sans vous surcharger d’informations.

Cette page se compose désormais de 4 blocs horizontaux :

• un nouveau formulaire de dons valorisé par une illustration de David Revoy,
• 6 textes synthétiques répondant à la question Pourquoi soutenir Framasoft ?
• une présentation de Framasoft en quelques chiffres
• une liste de réponses aux Questions les plus fréquentes

Vous aurez peut-être remarqué que le design du formulaire de dons change désormais de couleur en fonction du type de dons (entourage jaune pour les dons mensuels et entourage bleu pour les dons ponctuels). Nous recevions de temps en temps un message de certain⋅es donateur⋅ices qui croyaient avoir complété leurs informations pour un don ponctuel alors qu’iels avaient réalisé un don mensuel. Nous nous sommes donc dit que cette différence n’était pas assez explicite sur le formulaire et que nous devions penser un nouveau design pour que cette situation ne se reproduise pas. C’est aussi suite à plusieurs de vos retours que nous avons ajouté à ce formulaire une case (cochée par défaut) « Je souhaite recevoir un reçu fiscal » qui automatise l’envoi de votre reçu fiscal chaque année.

En mettant à jour les textes explicitant à quoi servent vos dons, nous avons souhaité mieux expliquer comment nous fonctionnons, quelles sont nos principales actions et quelles valeurs nous portons. Ces textes sont moins longs, plus synthétiques, car nous voulons aller à l’essentiel. Nous avons repensé le bloc Framasoft en quelques chiffres pour ne faire apparaître que quelques chiffres-clés. Nous n’étions plus très à l’aise avec cet effet un peu racoleur de « performance » qui arrive lorsqu’on met en valeur certains chiffres. Nous avons choisi un affichage qui, nous l’espérons, rend sobrement compte de nos actions, sans se pavaner, et sans fausse modestie.

voir la page « Soutenir Framasoft »

Vos retours font leur chemin !

Ce n’est pas facile de réfléchir aux interfaces qui nous permettent de vous mettre en relation avec nos actions : voilà donc une bonne chose de faite ! On espère que vous partagez notre enthousiasme pour cette refonte.

Prenez le temps de vous approprier la nouvelle version de ces outils et n’hésitez pas, ensuite, à nous dire ce que vous en pensez sur le forum : ça nous permettra de réfléchir à de futures améliorations. Mais, ne vous emballez pas trop tout de même, on ne vous promet pas une nouvelle refonte tous les ans !

Un grand merci à l’équipe salarié⋅es pour le travail réalisé, et un grand merci à vous de continuer à nous soutenir.

La sécurité est pour Apple un argument marketing de poids, comme on le voit sur une page qui vante les mérites de la dernière version Big Sur de macOS  :

Sécurité. Directement  intégrée. Nous avons intégré dans le matériel et les logiciels du Mac des technologies avancées qui travaillent ensemble pour exécuter les apps de façon plus sécurisée, protéger vos données et garantir votre sécurité sur le Web.

(source)

On sait que le prix des appareils Apple les met hors de portée de beaucoup d’internautes, mais c’est un autre prix que les inconditionnels d’Apple vont devoir accepter de payer, celui de la liberté de faire « tourner » des applications. Comme l’explique ci-dessous un responsable de la sécurité chez Librem (*la traduction Framalang conserve au dernier paragraphe quelques lignes qui font la promotion de Purism/Librem), la dernière version de macOS donne l’illusion du contrôle mais verrouille l’utilisateur, tant au niveau logiciel que matériel désormais.

Article original : Apple Users Got Owned, licence CC-By-SA 4.0

Traduction Framalang : goofy, Julien / Sphinx, framasky, Steampark, mo

Apple a pris le contrôle sur ses utilisateurs

par Kyle Rankin

On entend souvent dire des pirates informatiques qu’ils ont « pris le contrôle » (en anglais owned ou pwned) d’un ordinateur. Cela ne veut pas dire qu’ils ont pris possession physiquement de l’ordinateur, mais qu’ils ont compromis l’ordinateur et qu’ils ont un contrôle à distance si étendu qu’ils peuvent en faire ce qu’ils veulent. Lorsque les pirates informatiques contrôlent un ordinateur, ils peuvent empêcher l’exécution de logiciels, installer les logiciels de leur choix et contrôler le matériel à distance, même contre la volonté du propriétaire et généralement à son insu.

Les pirates informatiques comprennent intuitivement une chose que beaucoup d’utilisateurs d’ordinateurs ne comprennent pas : la propriété n’est pas une question de possession, mais de contrôle. Si votre entreprise vous donne un ordinateur, ou même si vous apportez le vôtre, mais qu’elle contrôle à distance la façon dont vous l’utilisez et peut passer outre à vos souhaits, c’est l’ordinateur de l’entreprise, pas le vôtre. Selon cette définition, la plupart des téléphones, aujourd’hui, sont la propriété du vendeur, et non de l’utilisateur, et comme je l’ai exposé dans The General Purpose Computer in Your Pocket ⁷ :

L’un des plus beaux tours que Big Tech ait jamais joué a été de convaincre les gens que les téléphones ne sont pas des ordinateurs à usage général et qu’ils devraient suivre des règles différentes de celles des ordinateurs portables ou de bureau. Ces règles donnent commodément au vendeur un plus grand contrôle, de sorte que vous ne possédez pas un smartphone mais que vous le louez. Maintenant que le public a accepté ces nouvelles règles pour les téléphones, les vendeurs commencent à appliquer les mêmes règles aux ordinateurs portables et aux ordinateurs de bureau

L’illusion du contrôle

L’illusion selon laquelle les utilisateurs d’Apple ont le contrôle de leurs ordinateurs a été rapidement mise à mal cette semaine quand Apple a distribué dans le monde entier sa nouvelle version de macOS  « Big Sur ». Des utilisateurs ont commencé à remarquer dès la diffusion de la mise à jour qu’ils avaient des problèmes pour exécuter des applications locales : ces applications bégayaient et macOS lui-même ne répondait plus par moments, même si l’utilisateur n’avait pas encore mis à jour son OS vers Big Sur. Drôle de coïncidence que la sortie d’un nouvel OS puisse bloquer des applications locales et même des applications ne venant pas d’Apple.

Comme cet article d’Ars Technica l’explique, des utilisateurs ont été capables de déboguer ce problème assez rapidement :

Il n’a pas fallu longtemps à certains utilisateurs de Mac pour se rendre compte que trustd, le processus de macOS chargé de vérifier avec les serveurs d’Apple si une application est authentifiée, tentait de se connecter au domaine ocsp.apple.com mais échouait de manière répétée.

… ce qui a provoqué des ralentissements sur tout le système, entre autres quand les applications essayaient de se lancer. Pour résumer le problème, à chaque fois que vous lancez une application signée sur macOS, un service d’enregistrement « notarial » envoie des informations sur l’application aux serveurs d’Apple pour vérifier que les signatures concordent. Si c’est le cas, votre système d’exploitation autorise l’application à démarrer. Quand l’ordinateur est hors connexion, la vérification échoue mais l’application est encore autorisée à fonctionner. Mais quand l’ordinateur est connecté, la signature est appliquée et comme le service était actif mais lent, les applications se sont arrêtées pendant que le système d’exploitation attendait une réponse.

La prise de contrôle à distance grâce à la signature du code.

Les applications utilisent souvent la signature du code comme moyen pour l’utilisateur de détecter les altérations. Le développeur signe le logiciel avec sa clé privée et l’utilisateur peut vérifier cette signature avec une clé publique. Seul le logiciel qui n’a pas été modifié correspondra à la signature. Dans le monde du logiciel libre, les distributions comme PureOS comprennent des clés publiques installées sur l’ordinateur local, et les mises à jour de logiciels vérifient automatiquement que les signatures correspondent avant d’appliquer la mise à jour elle-même. Quand on utilise ainsi les signatures, on peut tester une application avant son installation pour savoir si elle a été modifiée, c’est ainsi que l’utilisateur bénéficie d’un contrôle total sur le processus.

Apple a fait franchir à la signature de code un pas supplémentaire en incluant ce service « notarial ». Toutes les applications signées, qu’elles viennent ou non d’Apple, doivent demander l’autorisation de démarrer au service notarial distant. Ce qui signifie que l’entreprise Apple non seulement connaît toutes les applications que vous avez installées, mais elle est informée aussi à chaque fois que vous les exécutez. Ce qui n’était autrefois qu’un service facultatif est devenu aujourd’hui obligatoire. À partir de Big Sur, vous ne pourrez plus utiliser un outil comme Little Snitch pour bloquer ce service, ni le faire passer par Tor pour gagner en confidentialité. Apple et tous ceux qui ont accès à la communication en texte brut peuvent savoir quand vous avez lancé le navigateur Tor ou d’autres outils nécessaires à la protection de la vie privée, ou encore à quelle fréquence vous utilisez des applications de la concurrence.

[Mise à jour : il semble que les services notariaux d’Apple n’envoient pas d’informations sur l’application, mais envoient plutôt des informations sur le certificat de développeur utilisé pour les signer (ce qui est plus logique étant donné la façon dont l’OSCP fonctionne). Cela signifie qu’Apple peut savoir, par exemple, que vous avez lancé une application de Mozilla, mais ne peut pas nécessairement dire si vous avez lancé Firefox ou Thunderbird. Si un développeur ne signe qu’une seule application, bien sûr, on peut établir une corrélation entre le certificat et l’application. Le service semble également mettre en cache une approbation pendant un certain temps, de sorte que le fait qu’il envoie des informations à Apple chaque fois que vous exécutez une application dépend de la fréquence à laquelle vous la lancez].

J’imagine que beaucoup de personnes ont été surprises de découvrir cette fonctionnalité, mais je soupçonne également que beaucoup l’accepteront au nom de la sécurité. Pourtant, comme c’est le cas pour de nombreuses fonctionnalités d’Apple, la sécurité est un terme de marketing alors que la véritable motivation c’est le contrôle. Alors que la signature de code permettait déjà à Apple de contrôler si vous pouviez installer ou mettre à jour un logiciel, cette fonctionnalité lui permet de contrôler si vous pouvez exécuter des applications. Apple a déjà utilisé la signature de code sur iOS pour retirer les applications de ses concurrents de l’App Store et aussi pour désactiver à distance des applications au prétexte de la sécurité ou de la confidentialité. Il n’y a aucune raison de croire qu’ils n’utiliseront pas le même pouvoir sur macOS maintenant qu’il ne peut plus être contourné. Le but ultime d’Apple avec la signature de code, son coprocesseur Secure Enclave et sa puce Silicon propriétaires, c’est de s’assurer le contrôle et la propriété totales du matériel que vend l’entreprise.

Reprenez le contrôle

Vous devriez demeurer en pleine possession des ordinateurs que vous achetez. Ni les pirates informatiques ni les vendeurs ne devraient avoir le droit de vous contrôler à distance.
Nous construisons des ordinateurs portables, des ordinateurs de bureau, des serveurs et des téléphones sûrs, respectueux de la vie privée et de la liberté, qui vous redonnent le contrôle et vous garantissent que lorsque vous achetez un ordinateur Purism, c’est vous qui en êtes vraiment propriétaire.

Voir aussi :

• Un autre article de Jeffrey Paul sur la question
• Tristan Nitot réagit vivement

Traduction : « Je ne veux pas de spam ! »

Le spam est un problème qu’à Framasoft, nous connaissons bien. Mais savez-vous à quel point ?
Je vais, dans cet article, vous dresser le tableau des soucis de spam que nous rencontrons et des contre-mesures que nous avons mises en place.

Avant cela, un peu d’histoire…

Qu’est-ce que le spam ?

Avant l’ère d’Internet, le spam n’était qu’une marque de viande en conserve.

Les Monty Python, humoristes anglais à qui l’on doit notamment les hilarants Sacré Graal ! et La vie de Brian, ont réalisé un sketch (version textuelle) dans lequel un couple, dans un restaurant, demande ce qu’il y a à la carte pour le petit déjeuner et où la serveuse ne propose que des plats avec du spam (et pas qu’un peu : « Spam, spam, spam, spam, spam, spam, baked beans, spam, spam, spam and spam. »). La femme du couple ne peut avoir de petit déjeuner sans spam, la serveuse ne lui proposant qu’encore plus de spam… (le titre de cet article est une citation de la femme du couple).

De ce sketch découle l’utilisation du terme spam pour les courriels indésirables (et tout autre message indésirable, quelle que soit la plateforme comme nous allons le voir).
De nos jours, le spam représente 50% des courriels échangés sur la planète.

Que serait une marque sans #CopyrightMadness ? Hormel Foods, l’entreprise derrière le spam a tenté d’utiliser le droit des marques pour éviter que le nom de son produit soit utilisé pour quelque chose dont personne ne veut et pour essayer d’empêcher d’autres entreprises d’utiliser le terme (comme des éditeurs de solutions anti-spam). Je croyais qu’Hormel Foods avait cessé cette lutte inutile, mais il semblerait que non, allant jusqu’à embêter Gee pour un dessin qu’il proposait sur RedBubble.

Le spam dans les courriels

Chez Framasoft, nous sommes aux deux bouts de la chaîne : nous envoyons beaucoup de courriels (dans les 15 000 courriels par jour pour nos services – inscriptions, notifications, etc. – et plus de 200 000 courriels par jour pour Framalistes) et nous en recevons aussi, que ce soit au niveau de notre serveur de courriel interne ou sur Framalistes. Il y a aussi quelques autres services qui permettent d’interagir par courriel comme notre forum, Framavox et Framagit.

Nous devons donc nous assurer, d’un côté, de ne pas passer pour des spammeur·euses et de l’autre, de nous en protéger.

Se protéger des spams par courriel

Rien de bien fantastique à ce niveau. Nous utilisons l’antispam Rspamd qui vérifie la validité du courriel par rapport à sa signature DKIM, à l’enregistrement SPF et à la politique DMARC du domaine (voir sur NextINpact pour un bon article sur le sujet). Bien entendu, cela ne vaut que si le domaine en question met en place ces mécanismes… On notera que la plupart des FAI français, s’ils vérifient bien les courriels entrants de la même façon que nous, se tamponnent allègrement le coquillard de mettre en place ces mécanismes pour leurs propres courriels. J’aimerais qu’un jour, ceux-ci arrêtent de faire de la merde 🙄 (remarquez, il semblerait que ça avance… très lentement, mais ça avance).

En plus de ces vérifications, Rspamd effectue aussi une vérification par filtrage bayésien, interroge des listes de blocage (RBL) et utilise un mécanisme de liste grise.

Il y a toujours, bien évidemment des trous dans la raquette, mais le ratio spam intercepté/spam non détecté est assez haut et nous alimentons Rspamd avec les messages indésirables qui sont passés sous le radar.

Sur Framalistes, afin de ne pas risquer de supprimer de messages légitimes, nous avons forcé le passage des spams probables en modération : tout message considéré comme spam par Rspamd doit être approuvé (ou rejeté) par les modérateur·ices ou propriétaires de la liste.

title.gettext test x-spam-status  header

match([header->Subject][-1],/\*\*\*\*\*SPAM\*\*\*\*\*/) smtp,dkim,smime,md5 -> unsure
true()                                                  smtp,dkim,md5,smime -> ham

match ([msg->spam_status], /unsure/)   smtp,dkim,md5,smime   ->   editorkey

Ne pas être considéré comme spammeur·euses

Là, c’est plus difficile. En effet, malgré notre respect de toutes les bonnes pratiques citées ci-dessus et d’autres (SPF, DKIM, DMARC…), nous restons à la merci de règles absurdes et non publiques mises en place par les autres services de courriel.

Vous mettez en place un nouveau serveur qui va envoyer des courriels ? Bon courage pour que les serveurs de Microsoft (hotmail.com, outlook.com…) l’acceptent. J’ai encore vécu ça il y a quelques mois et je ne sais toujours pas comment ça s’est débloqué (j’ai envoyé des courriels à des adresses chez eux que j’ai créées pour ça et je reclassais les courriels dans la catégorie « légitime », ça ne fonctionnait toujours pas mais quelques semaines plus tard, ça passait).

Votre serveur envoie beaucoup de courriels à Orange ? Pensez à limiter le nombre de courriels envoyés en même temps. Mais aussi à mettre en place un cache des connexions avec leurs serveurs. Eh oui : pas plus de X mails envoyés en même temps, mais pas plus de Y connexions par heure. Ou par minute. Ou par jour. C’est ça le problème : on n’en sait rien, on ne peut que poser la question à d’autres administrateurs de services de mail (pour cela, la liste de diffusion smtp-fr gagne à être connue. Le groupe des adminSys français, FRsAG est aussi à garder en tête).

Un autre problème est que nous ne sommes pas à l’origine du contenu de tous les courriels qui sortent de nos serveurs.
Par exemple, un spam arrivant sur une framaliste, s’il n’est pas détecté, sera envoyé à tou·tes les abonné·es de la liste, et ça peut vite faire du volume.

Les spams peuvent aussi passer de medium en medium : Framapiaf peut vous notifier par courriel d’une mention de votre identifiant dans un pouet (Ex. « Coucou @luc »). Si le pouet est un spam (« Coucou @luc, tu veux acheter une pierre magique contre les ondes 5G des reptiliens franc-maçons islamo-gauchistes partouzeurs de droite ? »), le spam se retrouve dans un courriel qui part de chez nous.

Certes, les courriels partant de chez nous sont aussi analysés par Rspamd et certains sont bloqués avant envoi, mais ce n’est pas efficace à 100 %.

Il y a aussi les faux positifs : que faire si nos courriels sont incorrectement classés comme spam par leurs destinataires ? Comme quelqu’un abonné sur une framaliste sans en être averti et qui d’un coup se retrouve submergé de courriels venant d’un expéditeur inconnu ?

Nous nous sommes inscrits à une boucle de rétroaction : nous recevons des notifications pour chaque courriel classé comme indésirable par un certain nombre de fournisseurs de messagerie.
Cela nous a permis (et nous permet toujours. Quotidiennement.) d’envoyer un message à de nombreuses personnes au courriel @laposte.net abonnées à des framalistes pour leur demander de ne pas nous mettre en indésirable, mais de se désabonner de la liste (en leur indiquant la marche à suivre) si elles ne souhaitent pas en recevoir les messages.

Au niveau de Framalistes, nous vérifions que les comptes possédant plus qu’un certain nombre de listes, et que les listes avec beaucoup d’abonné⋅es ne soient pas utilisées pour envoyer des messages indésirables. En effet, nous avons déjà souffert de quelques vagues de spam, nous obligeant à l’époque à modérer la création de listes en dehors des heures de travail car nous ne souhaitions pas, le matin, nous rendre compte que le service était tombé ou s’était fait bloquer pendant la nuit : l’envoi massif de courriels comme le faisaient les spammeur·euses rencontrait souvent un goulot d’étranglement au niveau du serveur, incapable de gérer autant de courriels d’un coup, ce qui faisait tomber le service.
Cette modération n’est plus active aujourd’hui, mais nous avons toujours cet outil prêt à être utilisé en cas de besoin.

Framalistes, si vous l’utilisez, a besoin de vous pour lutter contre le spam !

Petit rappel : il y a un lien de désinscription en bas de chaque courriel des framalistes. Utilisez ce lien pour vous désinscrire si vous ne souhaitez plus recevoir les messages de la liste.

Rien de plus simple que de déclarer un courriel comme étant du spam, n’est-ce pas ? Un clic dans son client mail et hop !

Eh bien non, pas pour Framalistes.

En effet, en faisant cela, vous déclarez notre serveur comme émettant du spam et non pas le serveur originel : nous risquons d’être complètement bannis et de ne plus pouvoir envoyer de courriels vers votre service de messagerie. De plus, l’apprentissage du spam (si le service de messagerie que vous utilisez fait bien son travail, les messages déclarés manuellement comme étant du spam passent dans une moulinette pour mettre à jour les règles de filtrage anti-spam) ne se fait que sur votre service de messagerie, pas chez nous.

Si votre liste reçoit des spams, merci de le signaler à nom_de_la_liste-request@framalistes.org (l’adresse pour contacter les propriétaires de votre liste) : les propriétaires de la liste ont la possibilité, sur https://framalistes.org/sympa/arc/nom_de_la_liste, de supprimer un message des archives et de le signaler comme spam non détecté (n’hésitez pas à leur indiquer ce lien).

Le spam sur Framapiaf et Framasphère

Point d’antispam comme Rspamd possible sur Mastodon ou diaspora* (techniquement, il pourrait y avoir moyen de faire quelque chose, mais ça serait très compliqué).

Les serveurs Mastodon (pas que framapiaf.org, celui de Framasoft) font régulièrement l’objet de vagues d’inscription de spammeur·euses. Pour éviter l’épuisement de notre équipe de modération, nous avons décidé de modérer les inscriptions et donc d’accepter les comptes un à un.

Nous nous reposons sur les signalements des utilisateur·ices pour repérer les comptes de spam que nous aurions laissé passer et les supprimer (ce qui est très rare) ou les bloquer s’ils proviennent d’autres serveurs avec lesquels nous sommes fédérés.

Framasphère ne dispose pas, contrairement à Framapiaf de tels outils de modération : pas d’inscriptions modérées, pas de blocage de comptes distants… Nous ne pouvons que nous reposer sur les signalements et bloquer les comptes locaux.
Nous arrivons tout de même à bloquer les comptes distants, mais cela nécessite de modifier un enregistrement directement en base de données.

UPDATE people SET serialized_public_key = 'banned' WHERE guid = 'le_guid_du_compte';

Le spam sur Framaforms

Framaforms a rapidement été victime de son succès : sa fréquentation a presque triplé entre 2019 et 2020 (et l’année n’est pas terminée !), devenant aujourd’hui le service le plus utilisé de notre réseau !

Nous n’avons donc pas remarqué la création de nombreux, trop nombreux formulaires proposant, par exemple, des liens vers des sites de téléchargement illégal de films. C’est d’ailleurs suite à une réclamation d’un ayant droit que nous avons pris conscience du problème (oui, nous avons fait suite à cette réclamation : quoi que nous pensions du droit d’auteur, nous nous devons de respecter la loi).

La lutte contre le spam a occupé une bonne partie du temps de Théo qui a temporairement rejoint notre équipe salariée pour prêter main forte sur Framaforms :

• détection de certains termes dans les formulaires avec mise en quarantaine (dépublication) en cas de suspicion de spam ;
• quarantaine des formulaires ne contenant aucune question (juste la description, quoi) ;
• interdiction de certains termes dans le titre des formulaires ;
• intégration d’Akismet (un service anti-spam en ligne, proposé par Automattic, la société derrière https://wordpress.com/, contributrice à WordPress) ;
• amélioration du système de CAPTCHA
• ajout de vues permettant une gestion plus aisée des formulaires par les administrateur·ices.

Les efforts de Theo ont porté leurs fruits : la détection automatique des spams et leur dépublication tout aussi automatique limitent la pollution présente sur Framaforms (ce qui évite les réclamations, donc de monopoliser l’attention d’un salarié pour y répondre) et l’interface de gestion des spams facilite grandement le travail des administrateur·ices.

Le spam sur Framagit

Nous avons beaucoup d’utilisateur⋅ices sur Framagit : nous avons dépassé les 90 000 inscrit⋅es. Mais pour notre malheur, la grande majorité d’entre elleux est constituée de comptes de spam !

Après des mois de ménage, nous sommes redescendus à un peu moins de 34 000 comptes, mais nous ne sommes pas dupes : il y a encore beaucoup de comptes illégitimes.

À noter cependant : ces comptes de spam ne semblent pas être dommageables pour les utilisateur⋅ices de Framagit. En effet, leur nuisance se limite généralement à mettre des liens vers un site de poker en ligne, de rencontres voire… de plombiers à Dubaï (je ne comprends pas non plus 😅).

Ceci explique en partie pourquoi nous n’avons pas lutté très activement contre le spam sur Framagit (l’autre raison étant que nous n’avions tout simplement pas de temps à y consacrer).

Nous avions déjà eu une vague de spams lors de l’ouverture de Framagit et nous avions dû interdire l’accès de notre forge logicielle à l’Inde, à l’Indonésie et au Viêt Nam, restriction active jusqu’à la semaine dernière.
Cela n’est pas dans nos habitudes mais s’il faut choisir entre ça et le risque d’épuisement professionnel d’un membre de l’équipe, Framasoft préfère faire passer l’humain avant tout (🤗).

Une grande vague de nettoyage a eu lieu en juin, où j’ai recherché des critères communs aux comptes de spam afin de les supprimer en masse… ce qui a donné lieu à une vilaine boulette lorsque j’ai choisi des critères bien trop larges, conduisant à la suppression de nombreux comptes légitimes (rétablis depuis).

Depuis, j’ai vérifié manuellement chaque compte remonté par mes recherches… soit plus de 18 000 comptes depuis septembre. Parmi ceux-ci, il devait y en avoir, à la louche (parce que mes souvenirs me trahissent), une ou deux dizaines de comptes légitimes. Heureusement ! Je crois que j’aurais assez mal pris le fait d’avoir vérifié chaque compte pour rien 😅

Nous avons désormais un script qui supprime automatiquement les comptes qui ne se sont jamais connectés dans les 10 jours suivant leur inscription : ce sont visiblement des comptes de spam qui ne reçoivent pas les mails de confirmation et donc ne se sont jamais connectés.
Ce script nous remonte aussi les comptes dont la biographie ou les liens contiennent certains termes usités par les spammeur·euses.

Nous avons recherché une solution de CAPTCHA pour Framagit, mais celui-ci ne supporte que reCaptcha, la solution d’Alphabet/Google… et il était hors de question de faire fuiter les informations (adresse IP, caractéristiques du navigateur…) et permettre le tracking de nos utilisateurs vers les services de l’infâme bête aux multiples têtes que nous combattons !

Nous avons alors recherché quelqu’un·e qui saurait développer, contre rémunération, une solution de type honeypot.
Dans le ticket que nous avons, sans aucune honte, squatté pour poser notre petite annonce, on nous a aiguillés vers une fonctionnalité d’honeypot expérimentale et cachée de Gitlab que je me suis empressé d’activer.
Il faut bien le dire : c’est très efficace ! Le nombre de comptes automatiquement supprimés par le script évoqué plus haut est descendu de près de 100 par jour à entre 0 et 2 comptes, ce qui montre bien que les scripts des spammeur·euses pour s’inscrire ne fonctionnent plus aussi bien.

Bien évidemment, il reste encore beaucoup de spam sur Framagit, et de nombreux comptes de spam sont créés chaque jour (10 ? 15 ? 20 ? Ça dépend des jours…), mais nous ne comptons pas en rester là. Le honeypot pourrait être amélioré, ou nous pourrions voir pour une intégration d’Akismet à Gitlab (il y en a déjà une, mais elle n’est pas utilisée pour vérifier les biographies des comptes).
Gitlab permet maintenant de modérer les inscriptions en les acceptant une à une (comme nous le faisons sur Framapiaf) : nous avons récemment activé cette fonctionnalité, pour voir si la charge de modération était acceptable et si cela avait un effet bénéfique.

Framalink

Nous recevons de temps à autre (bien moins ces derniers temps, fort heureusement) des mails indiquant que Framalink est utilisé pour dissimuler des liens de hameçonnage dans des mails.

Lorsque la vague d’utilisation malveillante s’est intensifiée, j’ai développé (et amélioré au fil du temps) quelques fonctionnalités dans Lstu (le logiciel derrière Framalink) : une commande pour supprimer des raccourcis, pour rechercher les raccourcis contenant une chaîne de caractères ou provenant d’une certaine adresse IP, un système de bannissement d’adresse IP, un système de domaines interdits, empêchant le raccourcissement d’URL de tels domaines, une vérification des URL dans la base de données Google Safe Browsing (lien en anglais) avant raccourcissement et même a posteriori (je vous rassure, aucune donnée n’est envoyée à Google, la base de données est copiée et utilisée en local).

Ces efforts n’ont pas été suffisamment efficaces et nous avons été obligés de couper l’accès à l’API de Framalink, ce qui n’est pas une panacée, mais tout cela a fortement réduit nos problèmes de spam (ou pas, mais en tout cas, on a beaucoup moins de mails nous alertant de l’utilisation de Framalink pour du hameçonnage).

Notez que c’est à cause de l’utilisation de Framalink à des fins malveillantes que ce service est souvent persona non grata chez Facebook, Twitter et consorts.

Framasite

Des framasites avec de jeunes filles dénudées qui jouent au poker avec des plombiers de contrées lointaines ? Eh bien non, même pas. Les spammeurs se contentent de créer des comptes dont le nom d’utilisateur·ice est du genre « Best adult dating site, register on… ».

Et tout comme sur Framagit, beaucoup de comptes créés ne sont jamais validés (vous savez, avec l’email qui dit « cliquez sur ce lien pour finaliser votre inscription » ?).

Heureusement que ce n’est que cela, Framasite n’ayant pas d’interface d’administration permettant la suppression propre d’utilisateur·ices (« propre » voulant dire avec suppression des sites créés). Une simple suppression des comptes illégitimes en base de données suffit à faire le ménage.

Framalibre

Framalibre est aussi sujet aux spams, mais il s’agit généralement là de notices de logiciels non libres. Soit les personnes créant ces notices n’ont pas compris que Framalibre n’était dédié qu’aux logiciels libres, soit elles ont essayé d’améliorer leur référencement en ajoutant leurs logiciels.

Pour une fois, ce n’est pas bien méchant, pas bien violent (cela n’arrive pas souvent) et la vigilance de l’équipe de modération permet de supprimer (manuellement) ces notices indésirables très rapidement.

WordPress (commentaires)

Les spams dans les commentaires d’un blog sont un graaaaand classique ! Nous avons opté, sur nos sites wordpress, pour les extensions Antispam Bee et Spam Honey Pot.

C’est plutôt efficace, il est rare qu’un spam passe à travers ce système.

Drupal (inscriptions)

Nous avons quelques autres installations de Drupal autres que Framaforms et Framalibre. Les spammeurs s’inscrivent, voient qu’ils ne peuvent rien publier facilement : les Drupal en question ont les inscriptions ouvertes pour une bonne raison, mais ne permettent pas de créer des articles comme ça, hop !

Ce n’est donc, à l’heure actuelle, pas gênant.

Notre formulaire de contact

« Un formulaire de contact ? Oh chic ! » se disent les spammeurs. Là aussi, nous recevons un certain nombre de spams, tous les jours, toutes les semaines (une quarantaine par semaine), ou par une ancienne adresse de contact.

Nous nous contentons de répondre « #spam » en commentaire du ticket créé dans notre RequestTracker : cela supprime le message et empêche son expéditeur·ice de nous envoyer d’autres messages (voir sur mon wiki personnel pour commander son RequestTracker par mail).

Les faux positifs

Je n’ai pas encore parlé des faux positifs : des messages légitimes détectés à tort comme étant du spam. Cela arrive forcément, quel que soit le type de plateforme, quels que soient les moyens déployés : statistiquement, il y aura toujours, un jour, une erreur du système ou des humain·es derrière (cf la boulette évoquée dans la partie « Framagit »).

Et dans l’autre sens, on aura toujours des spams qui arriveront à passer. Il est généralement difficile voire impossible de durcir les règles de détection de spam sans augmenter la proportion de faux positifs.

Conclusion

Il n’y en pas vraiment. La lutte contre le spam est un combat sans fin, un jeu du chat et de la souris qui ne se termine jamais. On tente de se protéger du mieux qu’on peut, on trouve des astuces, ça va mieux pendant un temps et ça recommence.

Il faut pas se le cacher : plus un hébergeur « grossit », plus il prend de la renommée sur Internet, plus il y a de chances que des personnes malveillantes repèrent son service et l’utilisent pour leur spam. Il y a donc un paradoxe de l’hébergement : trop petit, on est vite seul·e et débordé·e par la multiplicité des tâches à accomplir pour faire les choses correctement…

Mais trop gros, on centralise les attentions, dont celles des personnes malveillantes qui auront peu de scrupules à parasiter les ressources que vous mettez en commun. Ce qui induit encore plus de travail pour se protéger des spams et les nettoyer.

Ça vous paraît pessimiste ? Ça l’est un peu, sans doute ¯\_(ツ)_/¯