Google, Yahoo, Microsoft (Outlook.com & Hotmail) voient forcément vos emails. Que vous soyez chez eux ou pas, nombre de vos correspondant·e·s y sont (c’est mathématique !), ce qui fait que vos échanges finissent forcément par passer sur leurs serveurs. Mais ce n’est pas là le seul problème.
Ça, c’est côté public : « Tout le monde est chez eux, alors au final, que j’y sois ou pas, qu’est-ce que ça change ? ». En coulisses, côté serveurs justement, ça change tout. La concentration des utilisateurs est telle qu’ils peuvent de fait imposer des pratiques aux « petits » fournisseurs d’emails, de listes de diffusion, etc. Ben oui : si vous ne respectez pas les exigences de Gmail, les emails que vous enverrez vers tou·te·s leurs utilisateurs et utilisatrices peuvent passer en spam, voire être tout bonnement bloqués.
Comme pour Facebook, on se trouve face à un serpent qui se mord la queue : « Tous mes amis sont dessus, alors je peux pas aller sur un autre réseau… » (phrase entendue lors des début de Twitter, Instagram, Snapchat, et Framasphère*…). Sauf qu’en perdurant chez eux, on devient aussi une part de la masse qui leur confère un pouvoir sur la gouvernance – de fait – d’Internet !
Il n’y a pas de solutions idéale (et, s’il vous plaît, ne jugeons pas les personnes qui participent à ces silos… elles sont souvent pas très loin dans le miroir 😄) ; mais nous pensons que prendre conscience des enjeux, c’est faire avancer sa réflexion et sa démarche vers plus de libertés.
Nous reprenons donc ici un article de Luc, notre administrateur-système, qui a partagé sur son blog son expérience de « petit » serveur d’email (à savoir Framasoft, principalement pour Framalistes) face à ces Léviathans. Luc ayant placé son blog dans le domaine public, nous nous sommes permis de remixer cet article avec des précisions qu’il a faites en commentaires et des simplifications/explications sur les parties les plus techniques (à grands coups de notes intempestives 😜 ).
Quand on pense aux GAFAM, on pense surtout à leur vilaine habitude d’aspirer les données de leurs utilisateurs (et des autres aussi d’ailleurs) mais on ne pense pas souvent à leur poids démesuré dans le domaine du mail.
Google, c’est gmail, Microsoft, c’est hotmail, live, msn et je ne sais quels autres domaines, etc. [Outlook.com. On l’oublie souvent. – Note du Framablog]
Tout ça représente un nombre plus que conséquent d’utilisateurs. Google revendiquait en 2015 900 millions de comptes Gmail. Bon OK, il y en a une part qui ne doit servir qu’à avoir un compte pour son téléphone Android, mais quand même. C’est énorme.
Ce qui nous ramène à une situation des plus déplaisantes où un petit nombre d’acteurs peut en em***er une multitude.
WARNING : la liste à puce qui suit contient des exemples techniques un poil velus. Nos notes vous aideront à y survivre, mais vous avez le droit de la passer pour lire la suite des réflexions de Luc. Ah, et puis il a son franc-parler, le loustic. ^^ – NdF.
Petits exemples vécus :
Microsoft bloque tout nouveau serveur mail qu’il ne connaît pas. C’est arrivé pour mon serveur perso, le serveur de mail de Framasoft que j’ai mis en place, sa nouvelle IP [l’adresse qui permet d’indiquer où trouver un serveur – NdF] quand je l’ai migré, le serveur de listes de Framasoft et sa nouvelle IP quand je l’ai migré. Ça me pétait une erreur 554 Message not allowed (de mémoire, je n’ai plus le message sous la main) [erreur qui fait que l’email est tout bonnement refusé – NdF]. Et pour trouver comment s’en débrouiller, bon courage : la page d’erreur de Microsoft n’indiquait rien. Je n’ai même pas trouvé tout seul (et pourtant j’ai cherché) : c’est un ami qui m’a trouvé la bonne adresse où se faire dé-blacklister (notez au passage qu’il est impossible de faire dé-blacklister une adresse ou un bloc d’adresses IPv6 [la nouvelle façon d’écrire les adresses IP, indispensable face à la croissance du nombre de machines connectées à Internet – NdF]).
Gmail qui, du jour au lendemain, décide de mettre tous les mails de mon domaine personnel en spam. Ce qui ne serait pas trop gênant (hé, les faux positifs, ça existe) si ce n’était pour une raison aberrante (ou alors c’est une sacrée coïncidence) : ça s’est passé à partir du moment où j’ai activé DNSSEC[une façon de sécuriser les échanges avec les serveurs DNS [ces serveurs sont les annuaires qui font correspondre une adresse web avec l’adresse IP difficile à retenir pour les humains – NdF²]] sur mon domaine. Et ça s’est terminé dès que j’ai ajouté un enregistrement SPF[une vérification que les emails envoyés ne sont pas usurpés – NdF] à ce domaine. Or le DNSSEC et le SPF n’ont rien à voir ! Surtout pas dans cet ordre-là ! Qu’on ne fasse confiance à un enregistrement SPF que dès lors que le DNS est de confiance (grâce à DNSSEC), soit, mais pourquoi nécessiter du SPF si on a du DNSSEC ? [Oui, pourquoi ? – NdF qui laisse cette question aux spécialistes]
Yahoo. Ah, Yahoo. Yahoo a décidé de renforcer la lutte contre le spam (bien) mais a de fait cassé le fonctionnement des listes de diffusion tel qu’il était depuis des lustres (pas bien). En effet, quand vous envoyez un mail à une liste de diffusion, le mail arrive dans les boîtes des abonnés avec votre adresse comme expéditeur, tout en étant envoyé par le serveur de listes [le serveur de listes se fait passer pour vous, puisque c’est bien vous qui l’avez envoyé par son intermédiaire… vous suivez ? – NdF]. Et Yahoo a publié un enregistrement DMARC[une sécurité de plus pour l’email… heureusement que Luc a mis des liens wikipédia, hein ? – NdF] indiquant que tout mail ayant pour expéditeur une adresse Yahoo doit impérativement provenir d’un serveur de Yahoo. C’est bien gentil, mais non seulement ça fout en l’air le fonctionnement des listes de diffusion, mais surtout ça met le bazar partout : les serveurs de mail qui respectent les enregistrements DMARC appliquent cette règle, pas que les serveurs de Yahoo. Notez qu’AOL fait la même chose.
Orange fait aussi son chieur à coup d’erreurs Too many connections, slow down. OFR004_104 [104][« trop de connexions, ralentissement », une erreur qui fait la joie des petits et des grands admin-sys – NdF]. C’est tellement connu que le moteur de recherche Google suggère de lui-même wanadoo quand on cherche Too many connections, slow down. Voici la solution que j’ai utilisée.
Pour s’en remettre, voici une image qui fait plaisir…
On peut le voir, le pouvoir de nuisance de ces silos est énorme. Et plus encore dans le cas de Yahoo qui n’impacte pas que les communications entre ses serveurs et votre serveur de listes de diffusion, mais entre tous les serveurs et votre serveur de listes, pour peu que l’expéditeur utilise une adresse Yahoo [on confirme : dès qu’une personne chez Yahoo utilisait Framalistes, ça devenait un beau bord… Bref, vous comprenez. Mais Luc a lutté et a fini par arranger tout cela. – NdF]. Et comme il y a encore pas mal de gens possédant une adresse Yahoo, il y a des chances que vous vous rencontriez le problème un jour ou l’autre.
Je sais bien que c’est pour lutter contre le spam, et que la messagerie propre devient si compliquée que ça pourrait limite devenir un champ d’expertise à part entière, mais le problème est que quand un de ces gros acteurs tousse, ce sont tous les administrateurs de mail qui s’enrhument.
Si ces acteurs étaient de taille modeste, l’ensemble de la communauté pourrait soit leur dire d’arrêter leurs bêtises, soit les laisser crever dans leurs forteresses injoignables. Mais ce n’est malheureusement pas le cas. 🙁 « À grand pouvoir, grandes responsabilités »… Je crois avoir montré leur pouvoir de nuisance, j’aimerais qu’ils prennent leurs responsabilités.
Ils peuvent dicter leur loi, de la même façon qu’Internet Explorer 6 le faisait sur le web il y a des années et que Chrome le fait aujourd’hui (n’ayez pas peur, le titre de la vidéo est en anglais, mais la vidéo est en français). C’est surtout ça qui me dérange.
Une seule solution pour faire cesser ce genre d’abus : la dégooglisation ! Une décentralisation du net, le retour à un Internet d’avant, fait de petites briques et pas d’immenses pans de béton.
PS : ne me lancez pas sur MailInBlack, ça me donne des envies de meurtre.
Chez soi comme au bureau, les applications vampirisent nos données
On n’en peut plus des applis ! Depuis longtemps déjà leur omniprésence est envahissante et nous en avons parlé ici et là. Comme le profit potentiel qu’elles représentent n’a pas diminué, leur harcèlement n’a fait qu’augmenter
Aujourd’hui un bref article attire notre attention sur les applications comme vecteurs d’attaques, dangereuses tant pour la vie privée que pour la vie professionnelle.
Avertissement : l’auteur est vice-président d’une entreprise qui vend de la sécurité pour mobile…aux entreprises, d’où la deuxième partie de son article qui cible l’emploi des applications dans le monde du travail, et où manifestement il « prêche pour sa paroisse ».
Il nous a semblé que sa visée intéressée n’enlève rien à la pertinence de ses mises en garde.
Ça paraît une bonne affaire : vos applis favorites pour mobile sont gratuites et en contrepartie vous regardez des pubs agaçantes.
Mais ce que vous donnez en échange va plus loin. En réalité, vous êtes obligé⋅e de céder un grand nombre d’informations privées. Les applications mobiles collectent une quantité énorme de données personnelles : votre emplacement, votre historique de navigation sur Internet, vos contacts, votre emploi du temps, votre identité et bien davantage. Et toutes ces données sont partagées instantanément avec des réseaux de publicité sur mobile, qui les utilisent pour déterminer la meilleure pub pour n’importe quel utilisateur, en tout lieu et à tout moment.
Donc le contrat n’est pas vraiment d’échanger des pubs contre des applis, c’est plutôt de la surveillance sur mobile contre des applis. En acceptant des applis gratuites et payées par la pub sur nos mobiles, nous avons consenti à un modèle économique qui implique une surveillance complète et permanente des individus. C’est ce qu’Al Gore appelait très justement une économie du harcèlement.
Pourquoi nos données personnelles, notre géolocalisation et nos déplacements sont-ils tellement convoités par les entreprises commerciales ? Parce que nous, les consommateurs, avons toujours et partout notre smartphone avec nous, et qu’il transmet sans cesse des données personnelles en tout genre. Si les annonceurs publicitaires savent qui nous sommes, où nous sommes et ce que nous faisons, ils peuvent nous envoyer des publicités plus efficacement ciblées. Cela s’appelle du marketing de proximité. C’est par exemple la pub du Rite Aid (NdT chaîne de pharmacies) qui vous envoie un message téléphonique quand vous circulez dans les rayons : « Vente flash : -10 % sur les bains de bouche ! »
Ça paraît inoffensif, juste agaçant. Mais cela va bien plus loin. Nous avons maintenant accepté un système dans lequel un site majeur de commerce en ligne peut savoir par exemple, qu’une adolescente est enceinte avant que ses parents ne le sachent, simplement en croisant les données de ses achats, son activité et ses recherches. Ce site de vente en ligne peut alors la contacter par courrier traditionnel ou électronique, ou encore la cibler via son téléphone lorsqu’elle est à proximité d’un point de vente. Nous n’avons aucune chance de voir disparaître un jour cette intrusion dans notre vie privée tant que le profit économique sera juteux pour les développeurs d’applications et les agences de publicité.
Un smartphone compromis représente une menace pas seulement pour l’employé visé mais pour l’entreprise tout entière.
D’accord, cette forme de surveillance du consommateur est intrusive et terrifiante. Mais en quoi cela menace-t-il la sécurité de l’entreprise ? C’est simple. À mesure que les appareils mobiles envahissent le monde du business, les fuites de ces appareils ouvrent la porte de l’entreprise aux piratages, aux vols de données et à des attaques paralysantes.
Si par exemple une entreprise laisse ses employés synchroniser leurs agendas et comptes mail professionnels avec leurs appareils mobiles personnels, cela ouvre la porte à toutes sortes de risques. D’un coup, les téléphones des employés contiennent les informations de contact de tout le monde dans l’organisation ou ont la possibilité d’y accéder. À fortiori, n’importe quelle autre application mobile qui demandera l’accès aux contacts et agendas des employés aura accès aux noms et titres des employés de la compagnie, aussi bien qu’aux numéros de toutes les conférences téléphoniques privées. Cette information peut facilement être utilisée pour une attaque par hameçonnage par une application malveillante ou un pirate.
Elles sont jolies les applis, non ? – Image créée par Tanja Cappell (CC BY-SA 2.0)
Pire, de nombreuses applications monétisent leurs bases d’utilisateurs en partageant les données avec des réseaux publicitaires qui repartagent et mutualisent les données avec d’autres réseaux, aussi est-il impossible de savoir exactement où vont les données et si elles sont manipulées de manière sécurisée par n’importe laquelle des nombreux utilisateurs y ayant accès. Tous ces partages signifient qu’un pirate malveillant n’a même pas besoin d’avoir accès au téléphone d’un employé pour attaquer une entreprise. Il lui suffit de pirater un réseau publicitaire qui possède les informations de millions d’utilisateurs et de partir de là.
Les informations volées peuvent aussi être utilisées pour pirater une entreprise au moyen d’une attaque de point d’eau. Supposons par exemple que des membres du comité de direction déjeunent régulièrement dans le même restaurant. Un attaquant qui a accès à leurs données de localisation pourrait facilement l’apprendre. L’attaquant suppose, à raison, que certains membres vont sur le site du restaurant pour réserver une table et regarder le menu avant le repas. En introduisant du code malveillant sur ce site mal défendu, l’attaquant peut compromettre l’ordinateur de bureau ou le téléphone d’un ou plusieurs membres du comité de direction, et de là, s’introduire dans le réseau de l’entreprise.
Un smartphone compromis représente une menace non seulement pour l’employé ciblé mais pour l’entreprise dans son entier. Des informations sur les activités des employés, à la fois pendant leur temps de travail et en dehors, combinées à des courriels, des informations sensibles ou des documents liés à l’entreprise, peuvent avoir des effets dévastateurs sur une organisation si elles tombent entre de mauvaises mains.
Que doivent donc faire les entreprises pour lutter contre cette menace ?
La première étape est d’en apprendre plus sur votre environnement mobile. Votre organisation doit savoir quelles applications les employés utilisent, ce que font ces applications et si elles sont conformes à la politique de sécurité de l’entreprise. Par exemple, existe-t-il une application de partage de documents particulièrement risquée que vous ne voulez pas que vos employés utilisent ? Est-elle déjà utilisée ? Si vous ne savez pas quelles applications vos employés utilisent pour travailler, vous naviguez à l’aveugle et vous prenez de gros risques.
Il est essentiel que votre entreprise inclue la protection contre les menaces sur mobile dans sa stratégie de sécurité générale.
Deuxièmement, vous allez avoir besoin d’une politique sur l’utilisation des appareils mobiles. La plupart des organisations ont déjà mis en place une politique pour les autres plateformes, y compris pour la gestion des pare-feux et le partage de données avec des partenaires de l’entreprise. Par exemple, si vos employés utilisent la version gratuite d’applications approuvées par l’entreprise mais avec publicité, imposez aux employés d’utiliser la version payante afin de minimiser, sinon éliminer, l’envoi aux employés de données non approuvées sous forme de publicités, même si cela n’éliminera pas la collecte incessante de données personnelles et privées.
Ensuite, votre organisation doit informer les employés sur les risques liés aux applications utilisées. Il est dans votre intérêt de donner du pouvoir aux utilisateurs en les équipant d’outils et en les entraînant afin qu’ils puissent prendre de meilleures décisions quant aux applications téléchargées. Par exemple, incitez vos employés à se poser des questions sur les applications qui demandent des permissions. Il existe beaucoup d’applications qui veulent accéder aux données de localisation, aux contacts ou à la caméra. Les employés ne doivent pas dire automatiquement oui. La plupart des applications fonctionneront très bien si la requête est rejetée, et demanderont à nouveau aux utilisateurs si la permission est vraiment nécessaire. Si une application ne dit pas pourquoi elle a besoin de cet accès, c’est mauvais signe.
Enfin, toutes ces questions peuvent être traitées avec une bonne solution de sécurité pour appareils mobiles. Toute entreprise sans solution de protection des appareils mobiles est par définition inconsciente des informations qui lui échappent et ignore d’où viennent les fuites. Elle est donc incapable de répondre aux risques présents dans son environnement. Il est donc essentiel que votre entreprise inclue la protection des appareils mobiles dans sa stratégie de sécurité afin de protéger la vie privée des employés et les données de l’entreprise de la menace toujours plus grande que représentent la surveillance des téléphones et la collecte de données.
Donnons des preuves d’amour au Logiciel Libre ! #ilovefs
Hier, c’était le « I love Free Software Day » (ou #ilovefs pour les intimes). Une occasion de (re-)donner du sens à la Saint-Valentin en déclarant votre amour à tou·te·s les contributeurs, développeuses, traducteurs, intégratrices, designers, autrices… bref, à toutes les personnes qui donnent de leur temps, leur énergie et leur savoir-faire pour faire vivre le Libre.
À nous de vous dire qu’on vous aime !
Souvent on aime, et on râle (sur telle fonctionnalité manquante, telle traduction malencontreuse, tel menu pas intuitif…). Pour cet article, on ne va pas râler, mais envoyer toute la reconnaissance, les encouragements et l’amour que nous portons à ces personnes qui changent nos vies (numériques, mais pas que) une touche de clavier après l’autre.
C’est bien connu : chez Framasoft, on ne développe (quasiment) pas de logiciels. On contribue, bien entendu, de plus en plus et en faisant de notre mieux… Mais il faut bien comprendre que tous les services que nous hébergeons et montrons n’existeraient pas sans les formidables communautés qui les développent, entretiennent et améliorent.
Alors nous saisissons cette occasion (avec un jour de retard -_-‘), car nous avons envie que vous vous joignez à nous pour envoyer vos messages bienveillants, vos contributions et vos dons (pour qui le peut et le veut) envers ces formidables initiatives.
Merci à la FSFe pour cette initiative, cliquez sur l’image pour aller voir leur site ;)
Tout notre amour et nos remerciements à…
NOTES :
Cette liste est, et sera toujours, non-exhaustive ^^
Nous avons fait de notre mieux pour trouver les liens de donations, parfois il n’y en a pas (tout dépend de chaque initiative), mais si vous en trouvez merci d’amender dans les commentaires, nous corrigerons.
De même si vous représentez les initiatives ci dessous et que vous préférez mettre en valeur d’autres liens : dites-le nous dans les com’ 😉
Beaucoup de liens mènent vers des sites en anglais, certains vous mèneront vers les comptes twitter des initiatives.
Les « Logiciels du chapeau » (Lutim, Lufi, Lstu) pour Framapic, Framadrop et Frama.link
Bon, Luc, il est un peu-beaucoup de chez nous, mais il a initialement développé ces projets sur son temps libre, et non en tant qu’administrateur système de Framasoft ;).
Nous tenons aussi à saluer et à couvrir d’amour Olivier et Antonin qui maintiennent, au sein de Framasoft, le développement de Framadate, ainsi que toutes les personnes dont le travail, la passion, et la ténacité font qu’on peut tous les jours continuer à mettre en valeur une belle trentaine de services et ainsi un peu plus Dégoogliser Internet.
Et on écarte les pattounes ! Allez, encore, encoooore…
Surveillons la surve://ance
La revue de presse de Jonas@framasoft, qui paraît quand il a le temps. Épisode No 2/n
Effacer n’est pas supprimer : votre historique de Safari demeure longtemps dans iCloud
Si vous pensez que la suppression de votre historique de navigation sur votre iPhone ou Mac va faire disparaître définitivement vos habitudes en ligne, vous vous trompez. Lourdement. Selon le PDG d’Elcomsoft qui commercialise un outil d’extraction des données du iPhone, Apple stocke l’historique de navigation de Safari dans le iCloud, en remontant à plus d’un an, peut-être bien davantage, même lorsque l’utilisateur a demandé qu’il soit effacé de la mémoire.
Jay Stanley, spécialiste de l’analyse des politiques de confidentialité à l’ACLU (Union américaine pour les libertés civiles), dit que les entreprises doivent être vigilantes et suivre les bonnes pratiques en détruisant vraiment les données des utilisateurs qui le demandent.
Il rappelle : « l’historique de navigation est un ensemble de données extrêmement sensibles. Elles révèlent les centres d’intérêt des personnes, ce qui les préoccupe, un grand nombre des pensées qui les traversent, ainsi que des informations sur leur santé et leur sexualité ».
L’article se termine par une mise à jour rassurante : Apple semble avoir corrigé le problème dans la dernière version de son OS. Cependant il est conseillé aux utilisateurs soucieux de leurs données sensibles de désactiver la synchronisation de Safari avec iCloud.
La justice vient de statuer sur les données stockées sur les serveurs de Google, dont celles du très populaire service de messagerie Gmail. Elle a donc décidé de forcer la firme à divulguer les données de n’importe lequel de ses utilisateurs quelle que soit la nationalité, que vous résidiez ou non aux États-Unis. Même si les données en question se trouvent sur des serveurs en dehors du territoire des États-Unis.
« Nersac, un poste optique ». Détail d’une carte postale française de 1910. Domaine public, image procurée par Signal mirror.
Au Mexique, les partisans d’une taxe sur les sodas, comme des nutritionnistes ou responsables de la santé publique, sont victimes de messages électroniques inquiétants ou menaçants. La taxe est destinée à réduire la consommation de boissons sucrées et donc l’obésité, mais elle se heurte évidemment aux pressions des géants voisins des boissons gazeuses, pressions relayées semble-t-il par le gouvernement mexicain lui-même.
Les liens envoyés étaient accompagnés d’une forme invasive de logiciels espions développée par NSO Group, un cyber-distributeur israélien qui vend ses outils d’espionnage exclusivement aux gouvernements et qui a des contrats avec plusieurs agences à l’intérieur du Mexique, comme le révèlent des fuites publiées l’an dernier par le New York Times.
NSO Group et les dizaines d’autres « espiogiciels » commerciaux qui sont apparus autour du globe au cours de la dernière décennie opèrent dans un marché largement non réglementé. Les fabricants de ces logiciels espions comme NSO Group, Hacking Team en Italie et Gamma Group en Grande-Bretagne assurent qu’ils vendent des outils uniquement aux gouvernements pour les enquêtes criminelles et terroristes.
Mais les services gouvernementaux ont toute latitude pour décider qui ils veulent on non pirater avec des outils d’espionnage qui peuvent tout pister de leur cible : tous les appels téléphoniques, les textos, les courriels, les frappes au clavier, la localisation, chaque son et chaque image.
Jonas rejeté par la baleine. Enluminure de la Bible de Jean XXII. École française du XIVe siècle – Domaine public (via Wikimédia Commons)
Chroniques du Léviathan
La revue de presse de Jonas@framasoft, qui paraît quand il a le temps
« Un cerveau de substitution »
Dans une interview sur les chances qu’a Qwant de rivaliser avec le moteur de recherche de Google, Éric Léandri, co-fondateur de Qwant, déclare :
Vous devez penser à l’Internet non seulement comme un moyen de communication, mais de plus en plus comme à un cerveau de substitution. Les choses qui auraient été gardées dans les limites impénétrables de votre propre esprit, ou dans le sanctuaire de votre maison, sont maintenant envoyées sur des serveurs pour que le monde ou quelques entreprises les voient. Tout ce que nous faisons est de plus en plus stocké et peut être récupéré sur demande.
« Votre historique de navigation suffit à dévoiler votre identité »
D’après un article de The Atlantic, une équipe de chercheurs de Stanford et Princeton a développé un système qui peut connecter votre profil Twitter avec votre nom et votre identité, en examinant seulement votre historique de recherche.
Cela signifie que conserver la confidentialité tout en utilisant Twitter est impossible sans renoncer à ce qui constitue le marqueur du réseau social : sa nature publique et gratuite pour tous.
L’article explique comment l’expérience a été menée et mentionne au passage quelles parades on peut éventuellement utiliser : Privacy Badger et Ghostery
Mais voici la fin de l’article :
Le conseil de sagesse qu’on nous donne généralement est qu’il faut être prudent avec ce que l’on partage. Mais ici, nous montrons que vous pouvez être dés-anonymisé simplement en naviguant et en suivant des comptes, même si vous ne partagez rien.
« Une fois vos informations stockées, on peut les modifier et en faire ce qu’on veut »
Dans l’hebdomadaire italien La Repubblica, la journaliste Stefania Maurizi interviewe le lanceur d’alerte William Binney. Celui-ci évoque entre autres un programme pour la NSA nommé ThinThread, qu’il avait développé avec son équipe et qui permettait de cibler avec précision la surveillance en visant les activités délictueuses, tout en laissant de côté les données privées.
Quelques extraits de la conversation :
Stefania Maurizi — Après le 11 septembre, la NSA a détourné votre système, supprimé les dispositifs protégeant la vie privée et a utilisé ThinThread pour espionner la population tout entière ? William Binney — La première chose qu’ils ont faite a été le programme « Stellar Wind » qui visait l’espionnage domestique (…) ils ont supprimé trois fonctionnalités de ThinThread dont l’une était la protection de la vie privée. Au lieu de prendre seulement les données pertinentes ou celles qui étaient très probablement pertinentes, ils ont absolument tout pris et ils ont étendu la surveillance à l’échelle de la planète. SM — Nous avons constaté dans les seize dernière années que la surveillance de la NSA avait échoué à prévenir des attaques terroristes. Pensez-vous que ce n’est qu’une question de temps avant que la NSA ne soit capable de le faire effectivement, ou bien qu’ils n’en auront jamais les capacités ? WB — Je pense qu’ils sont condamnés à l’échec, parce qu’ils sont enfermés dans la conviction qu’ils doivent tout collecter (…) Ils sont très bons pour collecter des données, mais ils n’ont fait aucun progrès pour essayer de savoir ce qu’ils peuvent avoir dans les données qu’ils ont collectées.[…] Ce genre de pouvoir ne devrait pas exister pour aucun gouvernement, parce qu’il crée vraiment un état totalitaire. C’est comme la Stasi dopée aux amphétamines ; au lieu de détenir des dossiers avec des documents sur tout le monde, ils archivent tout ce que vous faites de façon électronique, si bien que le jeu d’informations est beaucoup plus complet, à jour et exploitable, et ils peuvent le manipuler, et faire de vous tout ce qu’ils veulent […] SM — Donc le problème n’est pas seulement la collecte, mais aussi la manipulation des données ? WB — Oui. une fois qu’on a stocké les informations, on peut les modifier et en faire ce que l’on veut.
Léviathan dans la fresque « Le Jugement dernier » de Giacomo Rossignolo – CC-BY-SA
Next INpact : bilan après un an de respect pour nos données
Il y a un an, le site d’informations sur le numérique NextINpact publiait une annonce à contre-courant : davantage de respect pour les données des internautes qui le visitent, en dé-tricotant les mailles du profilage publicitaire sur son site.
À l’heure où les éditeurs de contenus cherchent à « optimiser » leurs revenus par une publicité de plus en plus intrusive, et où les publicitaires cherchent à maximiser le profilage et l’invisibilisation de la publicité, c’est une démarche pour le moins originale que de se dégoogliser de l’analytics en passant au logiciel libre Piwik… (si vous ne comprenez pas cette phrase, promis, juré, on l’explique plus loin !)
Quel modèle économique pour un site qui veut à la fois payer les salaires de ses journalistes, collaborateurs, administratifs tout en affirmant ses valeurs et respectant les données et les vies numériques de son lectorat ?
Un an plus tard, nous sautons sur l’occasion d’interroger l’équipe de Next INpact sur le bilan tiré de cette démarche, et les perspectives qui l’accompagnent.
Cliquez pour aller lire Next INpact
Bonjour NextINpact ! Pouvez-vous rapidement nous présenter votre équipe et votre site ?
Bonjour Framasoft ! Next INpact est un site dédié à l’informatique et au numérique qui existe depuis plus de 15 ans. Il a été créé par Christophe Neau sous le nom d’INpact Hardware en 2000. Il s’agissait alors pour une bande de passionnés de nouvelles technologies et de matériel informatique de partager les informations qu’ils glanaient au quotidien. Et même des vidéos rigolotes à travers nos fameux LIDD diffusés chaque dimanche, et depuis référencés sur un site.
Devant le succès du projet une société a été créée en 2003, le site est alors devenu PC INpact, puis Next INpact en 2014. Une manière pour nous de prendre en compte l’évolution majeure du secteur qui infuse notre quotidien bien au-delà du simple ordinateur qui trône dans le salon familial, le bureau ou la chambre des enfants. Christophe est toujours le gérant majoritaire de la société. Il détient 76 % des parts. Next INpact est donc l’un des rares sites de presse indépendants qui traite du numérique en France. Nous proposons aussi une offre d’abonnement Premium depuis 2009.
Notre vision du numérique est assez large, et ce depuis des années. Si nous nous sommes rapidement ouverts aux questions logicielles et aux problématiques d’hégémonies, c’est notre analyse de l’environnement juridique qui a fait notre différence lors de cette décennie. DADVSI, LCEN, HADOPI sont autant d’acronymes qui ont rythmé les débats parlementaires tout en secouant le secteur. Tout comme l’ont fait des lois plus récentes sur le renseignement par exemple. Nous avons toujours eu à cœur de suivre ces débats de près, de les analyser sur le fond, et de donner à chacun les clés lui permettant de se faire sa propre idée.
Nous avons toujours eu une démarche journalistique. La société a été créée comme SARL de presse dès 2003, nous avons toujours appliqué la convention collective du secteur et notre rédaction compte une dizaine de journalistes, dont une bonne partie est là depuis le début du projet. C’est notamment le cas de Marc Rees, Vincent Hermann ou David Legrand qui sont là depuis plus de 10 ans. Mais l’équipe se compose au total d’une quinzaine de personnes (développeurs, graphistes, direction, etc.) Nous sommes reconnus comme site de presse en ligne depuis quelques années maintenant, et comme titre consacré pour partie à l’Information Politique et Générale depuis l’année dernière. Nous sommes aussi membres du SPIIL (Syndicat de la Presse Indépendante d’Information en Ligne).
L’autre aspect important du projet est sa communauté. Nous sommes nés sur un slogan : « Si tu ne sais pas, demande. Si tu sais, partage ». Notre communauté a toujours été importante pour nous et nous avons toujours placé le respect de nos lecteurs assez haut dans l’échelle de nos valeurs. Ce qui explique nombre de nos choix à travers le temps.
C’est aussi grâce à notre communauté que nous continuons d’exister car, plus que notre audience, elle constitue aussi notre base d’abonnés et de soutien qui permettent d’assurer notre financement et notre rentabilité. Car oui, nous sommes rentables (à deux exercices près depuis 2003).
Commençons par la technique : il y a un an, vous avez choisi de passer de Google Analytics (outil d’analyse du comportement des internautes sur votre site, fourni par Google) à Piwik (logiciel libre permettant des analyses similaires, que nous utilisons aussi chez Framasoft)… Quel travail cela vous a-t-il demandé et quelles conséquences voyez-vous un an après ?
Historiquement nous utilisions Google Analytics pour une raison simple : l’outil est complet, gratuit et plutôt efficace. Mais il nous faut assurer une certaine cohérence. Nous ne pouvons pas avoir un regard critique sur le tracking de masse opéré par le secteur publicitaire et les GAFA sans regarder ce qu’il se passe à notre propre échelle. Analytics, comme d’autres scripts du genre, est ainsi une solution permettant à des sociétés de suivre les internautes de manière presque constante avec l’aide des sites. C’est d’ailleurs le manque de remise en question des éditeurs sur ces problématiques qui incite les lecteurs à utiliser des bloqueurs en tous genres, et les navigateurs à renforcer la mise en place de leurs solutions « anti-tracking » (comme le fait Mozilla depuis quelque temps maintenant).
Nous avons donc procédé en plusieurs étapes ces dernières années afin d’en arriver à la situation actuelle. Nous avons tout d’abord permis à nos abonnés de se passer de l’ensemble de ce qui pouvait être assimilé à des trackers sur nos pages. Outre la publicité, cela comprenait les scripts Analytics et de calcul des partages sur les réseaux sociaux. Une partie de ces options était ouverte à tous nos membres. Nous avons ensuite pris en compte le signal Do Not Track pour cette désactivation afin que même ceux qui ne disposent pas d’un compte puisse en profiter.
Mais soyons honnêtes. Pour un éditeur, disposer de statistiques fiables est important. Cela nous permet de comprendre comment les lecteurs utilisent le site, quels sont les contenus les plus lus, depuis quelles sources, etc. Ici, l’analyse ne se fait pas au niveau de chaque lecteur mais bien sur une tendance globale et sur des données anonymes. Pendant longtemps, nous avons été sans vraiment de solution alternative à Analytics. Lors de nos échanges avec la CNIL sur la question des cookies, nous avons eu l’occasion de découvrir le projet, et de le tester. Une fois qu’il nous a paru suffisamment mature, nous l’avons mis en place.
Les conseils de la CNIL qui donnent faim.
Nous l’avons d’ailleurs fait en suivant les recommandations de la CNIL qui impose notamment de ne pas récupérer les IP entières. Cela n’empêche pourtant pas des listes comme Easy Privacy de bloquer le script, ce qui ne nous permet pas de connaître le niveau de notre audience totale. Preuve que les engagements en matière de respect de la vie privée ne sont pas toujours reconnus.
Il n’y avait pas de défi technique particulier, mais il ne faut pas s’attendre à voir une majorité d’éditeurs l’utiliser demain. Ne serait-ce que pour les interactions qui existent entre Analytics et des solutions comme Adwords/Adsense ou des fonctionnalités très avancées qui ne sont pas encore en place dans un outil comme Piwik.
Au final, le problème nous semble plutôt se situer du côté du fait que Google peut utiliser les données d’Analytics pour les recouper. La CNIL devrait imposer que ce ne soit pas le cas à tout dispositif d’analyse des statistiques. Car si l’on focalise sur Analytics, nombreux sont les autres outils du genre qui font la même chose à moindre échelle.
Question technique (parce qu’il y en a un chez nous qui n’est content que quand ça parle de technique) : j’imagine que pour encaisser un trafic de la taille du vôtre, il a fallu configurer Piwik aux petits oignons. Nous c’est le plugin QueuedTracking qui nous a sauvé la mise. Et vous ? Vous auriez une petite recette magique à partager ?
Pierre-Alain (notre CTO) a un mantra : REDIS POWA !
Vous êtes allés plus loin en activant le HTTPS (connexion sécurisé sur votre site) et la prise en compte de DoNotTrack (option du navigateur pour demander aux sites de ne pas traquer nos données). Est-ce un choix évident pour un éditeur de contenus ? Un an après, quelles conclusions pouvez-vous en tirer ?
Là encore, il s’agissait d’une réflexion sur le long terme et d’une volonté de faire mieux pour le lecteur, tout en étant cohérents avec nos propres analyses. Pour HTTPS, notre premier souci était de sécuriser la phase de connexion à nos sites. En effet, encore maintenant lorsque vous entrez un mot de passe dans un formulaire de connexion, celui-ci est souvent transmis en clair dans une requête HTTP. Si vous êtes chez vous sur un réseau filaire, ce n’est pas tellement un souci. Mais dans un environnement Wi-Fi, potentiellement public (et donc non chiffré, en entreprise, etc.), cela peut être un danger, que les navigateurs commencent seulement à mettre en avant de manière assez discrète.
Lors de la préparation de la mise en place de la v6 du site début 2014, nous avons donc séparé notre gestionnaire de compte et d’abonnement qui est passé intégralement en HTTPS. Ce choix là ne devrait pas avoir à être évident ou non, tous les sites qui proposent une connexion devraient le faire avec HTTPS d’activé, et tous les navigateurs devraient afficher une alerte importante lorsque ce n’est pas le cas.
D’ailleurs, pour ça, il y a l’extension HTTPS Everywhere ;)
Ensuite nous avons migré nos abonnés Premium. Pourquoi eux seulement ? En raison de la publicité. Comme nombre d’éditeurs, notre régie ne supportait pas HTTPS, et l’activer pour tous les utilisateurs revenait à se couper de ces revenus, et donc à mettre la clef sous la porte. Cela nous permettait aussi de tester l’impact sur notre site (performances, mixed content, etc.) sur une partie de l’audience seulement. Nous avons donc fait au mieux, et même développé notre propre solution de distribution de la publicité que nous testons depuis quelques mois. Entre temps, notre prestataire a activé un support d’HTTPS que nous avons pu généraliser à la fin de l’année dernière.
Concernant Do Not Track, cela découle aussi de nos échanges avec la CNIL qui est active sur ce terrain même si ce n’est pas toujours très visible. Cela nous permet de respecter une volonté exprimée de l’utilisateur. On ne peut d’ailleurs que regretter que le standard ne soit pas plus complet et finalisé, afin qu’il puisse être réellement exploitable. Avec la mise en place du règlement européen sur les données, ce serait pourtant un formidable outil. De notre côté, nous avons la volonté de l’étendre ne serait-ce que pour bloquer certains modules intégrés parfois à nos contenus sans action de l’utilisateur (tweets, vidéos, etc.). Mais cela nous demande une modification technique un peu lourde, il faudra donc attendre encore un peu.
Enfin, vous n’avez pas aboli la publicité sur votre site, mais l’avez radicalement modifiée afin d’avoir des pratiques responsables. C’est quoi, selon vous, une publicité numérique responsable, et est-ce que les annonceurs publicitaires jouent le jeu ou le boudent ?
C’est une bonne question. Il y a sans doute autant de définitions de la publicité responsable qu’il y a d’acteurs qui proposent des solutions publicitaires. On a d’ailleurs déjà vu certains acteurs vanter leur nouvelle trouvaille vidéo comme un meilleur respect de l’internaute malgré une lecture automatique. Un comble, non ?
De notre côté nous avons constamment renforcé notre attention sur ce sujet, quitte à parfois nous mettre des bâtons dans les roues économiquement.
La responsabilité au niveau publicitaire se situe selon nous à deux niveaux : au niveau des formats mais aussi de l’image du site et de sa rédaction.
Ainsi, avec le temps nous avons banni de nombreuses solutions : Flash, interstitiels, vidéos, campagnes avec du son, etc. Plus récemment, notre engagement a été simple : des images fixes, pas de trackers. Si sur ce dernier point nous sommes en train de mettre la dernière touche, vous pouvez aller sur Next INpact et regarder le compteur, même sans DNT vous serez entre 0 et 5 trackers avec presque aucun cookie inutile. Tentez de faire la même chose avec le site d’un grand média national. Vous aurez de quoi vous faire peur tant ils ne maîtrisent plus ce qu’ils diffusent sur leurs sites.
Le second point est celui de l’éthique. Il y a quelques années, des marques sont venues nous voir pour nous demander de diffuser des publicités dans des formats qui ressemblent à des articles, vantant leur produit. Nous avons toujours refusé. L’histoire nous a montré depuis que cela n’a pas été le choix de tous, et que la frontière entre l’information et la publicité est de plus en plus poreuse, sans toujours une très grande clarté. Mais quand bien même cela serait indiqué, l’internaute peut être trompé par ce genre de dispositif. Nous nous y refusons donc malgré leur côté diablement lucratif.
Il ne faut pas oublier que la course à la publicité est aussi la course à l’audience.
On parle depuis quelque temps des « fakes news » et autre « clickbait ». Ils ne sont que le résultat de ça. La plupart des articles diffusés aujourd’hui sur des sites ne sont pas le résultat d’un choix éditorial animé par la volonté de faire connaître une information. Seulement la réponse à une question simple : « avec quels titres vais-je pouvoir faire venir des millions d’internautes sur mon site aujourd’hui, ne serait-ce que quelques secondes ? »
C’est aussi pour cela que l’on assiste à une baisse de qualité globale dans le contenu des sites qui misent uniquement sur l’accès gratuit, alors que des sites comme Arrêt sur images, Les Jours ou même Mediapart rencontrent un franc succès.
La démarche de l’abonnement est différente. Vous devez convaincre votre lecteur de votre intérêt, de l’utilité de votre démarche. Pour cela, il faut produire du contenu de fond (fut-il en accès libre, ce qui est le cas de nos analyses sur les élections ou la question du chiffrement par exemple).
« À chaque partage d’un article de Fake News, naît un chaton plus intelligent que vous. »
Quelle a été la réaction de votre lectorat à une telle annonce ? Cela a-t-il évolué en un an ?
Notre lectorat accueille forcément bien ce genre de nouvelles. Pour nous, le défi c’est de réussir à satisfaire notre communauté et à suivre notre voie, tout en gardant un modèle économique viable. Ce n’est pas toujours simple. Car aller rencontrer des annonceurs en leur proposant de simples images alors que d’autres proposent des habillages vidéo vendus aux enchères avec un ciblage parfois très avancé, ce n’est forcément pas à notre avantage.
Mais certains annonceurs sont aussi sensibles à ces questions. L’IAB est d’ailleurs l’un des acteurs qui avance le plus dans le même sens que nous. Malheureusement, ils sont largement en avance sur les mentalités de leurs membres et du secteur.
Il faut dire que la publicité n’est pas la seule source de revenu et de soutien pour votre site… Vous pouvez nous décrire votre modèle économique ?
Comme évoqué précédemment, nous proposons un abonnement Premium depuis 2009. Celui-ci représente désormais un quart de notre chiffre d’affaires. Le reste est partagé entre la publicité et nos autres services (bons plans et comparateurs que nous proposons en y infusant nos valeurs).
Nous ne demandons, ni ne touchons aucune aide directe de l’état ou de fonds privés (comme ceux de Google, de la fondation Gates, etc.)
La-question-qui-pique : si certains de vos articles sont financés par la communauté, via des abonnements, est-ce qu’il ne vous parait pas logique de les reverser à la communauté, par le biais de licences libres ?
La question est tout à fait légitime, au contraire. Pour autant, il ne faut pas oublier que les articles financés par les abonnés ne le sont pas par la communauté au sens large, la question d’une licence libre ou non n’est donc pas lié à notre modèle. Nous avons d’ailleurs fait le choix d’opter pour un paywall qui n’est pas permanent puisqu’au bout d’un mois maximum, tous nos articles sont en accès libre. Nous faisons aussi le choix de laisser dès le départ certains articles en accès libre lorsqu’ils nous paraissent d’intérêt public.
Concernant le choix d’une licence libre, c’est une question qui s’est posée un temps en interne, mais qui n’a jamais été vraiment tranchée. Notamment parce que notre matière est principalement de l’actualité chaude, qui ne fait que rarement l’objet de reprises globales. Nous avons néanmoins une pratique assez ouverte sur ce point. Outre le droit de courte citation propre à la presse, nous ne refusons jamais une reprise non commerciale, ou dans des manuels scolaires, etc.
Voyez, Next INpact, les yeux de ces libristes remplis d’espoir à l’idée que certains de vos articles passent sous licence libre ;)
Ces choix que vous avez appliqués se veulent respectueux de la vie numérique des internautes… Mais vous allez plus loin en souhaitant que d’autres sites web / éditeurs de contenus vous rejoignent et en proposant de les accompagner dans cette démarche. Cela s’est fait ? Si je fais partie de (au hasard) Madmoizelle ou de ArrêtsSurImages, comment je peux faire pour suivre votre exemple ?
Nous avons une approche assez ouverte de nos différentes démarches. C’est notamment le sens de notre implication au SPIIL ou à des conférences dans le secteur de la presse. À notre niveau, nous travaillons essentiellement sur des propositions techniques, comme notre solution de distribution de la publicité, ou notre projet d’abonnement unifié La Presse Libre. C’est aussi la mise en place de ces solutions que nos abonnés soutiennent puisque nous finançons tout en propre. Ainsi, les éditeurs qui veulent nous rejoindre dans notre démarche peuvent simplement venir nous rencontrer au SPIIL ou nous contacter.
Entre les bloqueurs de pubs (de type Ublock Origin), les anti-bloqueurs de pub qui fleurissent sur les sites web, et les anti-anti-bloqueurs de pubs… On a l’impression d’une course à l’armement dans un dialogue de sourds… Quelles évolutions voyez-vous dans ce domaine pour sortir de ce cercle vicieux ?
Nous avons du mal à être optimiste sur ce terrain. Déjà parce que les éditeurs sont encore relativement sourds sur ces questions et ont du mal à comprendre qu’ils sont les principaux artisans de leur malheur. Certes des acteurs comme l’IAB évoluent dans leur position, mais pas leurs membres et les acteurs du marché publicitaire. Preuve en est, les éditeurs en sont encore à miser sur le blocage de l’accès à leur site, proposant le plus souvent comme alternative des pages avec des centaines de trackers et de cookies tiers.
De l’autre, ceux qui gèrent les listes de blocage ne font pas toujours preuve d’un grand discernement. Ainsi, un site comme Next INpact, malgré ses engagements en termes de vie privée et de gestion raisonnable de la publicité sera bloqué comme n’importe quel autre via EasyList FR ou Easy Privacy. Si chacun dit être à l’écoute de l’internaute, nous avons du mal à voir la possibilité d’une conciliation, qui ne se décidera de toutes façons pas à notre niveau.
Nous traitons de ces questions d’un point de vue éditorial, nous cherchons à évangéliser les différents acteurs, nous multiplions les initiatives qui permettent de faire émerger des modèles hors de la simple publicité. Nous tentons de jouer notre rôle à notre niveau, en espérant que chacun finira par faire de même.
Un an après, est-ce que vous avez envie de rétro-pédaler, de simplement continuer comme ça parce que ma foi c’est déjà bien, ou d’aller encore plus loin dans votre démarche (et si oui comment) ?
Rétro-pédaler, sûrement pas. Mais nous réfléchissons constamment à trouver des manières d’améliorer les choses. 😉
Le collectif pour soutenir et s’abonner à une presse indépendante. (attention : « libre » fait ici référence à la liberté éditoriale, non aux licences libres)
En parallèle de cette évolution, vous avez voulu booster les sites web qui proposent de l’information sous abonnement avec le projet collectif La Presse Libre… C’est quoi, exactement ?
La Presse Libre est un projet sur lequel nous travaillons depuis plus de quatre ans maintenant. Il part d’un constat simple : le modèle de l’abonnement se généralise, mais il est souvent compliqué de sauter le pas, de trouver des sites qui proposent un tel modèle avec de l’information de qualité et aucun kiosque numérique n’existe pour les sites en ligne. Comme personne ne semblait décidé à le faire, et que nous ne voulions pas que cette absence d’initiative profite une fois de plus aux GAFA, nous avons décidé de créer notre propre plateforme.
Ainsi, vous pouvez vous abonner assez facilement à plusieurs sites de presse avec un seul paiement mensuel et une réduction. Avec un même budget vous pouvez donc soutenir plus de titres de presse. C’est sans engagement, vous pouvez ajouter ou retirer un site à tout moment et la grande majorité des revenus finance les éditeurs plutôt que la plateforme elle-même. Actuellement nous comptons six sites membres, mais nous espérons bien voir ce chiffre grossir cette année. Nous portons ce projet avec Arrêt sur images et Alternatives économiques avec qui nous avons créé un GIE afin de disposer d’une gestion collégiale.
Concrètement, si jamais on veut soutenir votre démarche, qu’est-ce qu’on peut faire ?
Abonnez-vous, surtout que l’on propose de superbes goodies ! Autrement, vous avez la possibilité de nous soutenir à travers le don via la plateforme J’aime l’info, qui est en partie défiscalisable en raison de notre statut de presse d’Information Politique et Générale.
La coutume sur le Framablog, c’est de vous laisser le mot de la fin…
À force de les rencontrer sur des événements libristes comme les RMLL et POSS, nous avons demandé aux ambassadeurs français d’openSUSE de nous parler de leur distribution GNU/Linux.
Salut ! Présentez-vous. Comment justifiez-vous votre existence ?
Nicolas : Je viens d’un monde pur Windows. Un jour j’ai dû monter un petit serveur web où je devais installer une version Linux de mon choix sans rien y connaître. J’ai trouvé un tuto openSUSE 10.3 expliquant comment installer un serveur Apache + PhP en deux clics avec Yast-HTTP et je suis tombé dedans. Ensuite j’ai voulu tester sur mon PC pour virer mon Windows XP LSD (si, si…). J’ai commencé en 2005 avec un dual boot pour terminer exclusivement sous openSUSE depuis 2008. J’ai pris part à la communauté, puis à la création de l’association loi 1901 en 2012 en tant que secrétaire. L’an dernier j’ai repris le flambeau en devenant président.
Formaliser une association pour la promotion d’openSUSE en France était une nécessité pour faciliter la présence des membres et ambassadeurs openSUSE aux salons. Ils étaient reconnus par le programme openSUSE international mais pas forcément légitimes vis-à-vis des organisateurs locaux. On a un système d’adhésion qui couvre le budget hébergement. Quant aux goodies en version française et les clés USB, on vend à prix coûtant pour autofinancer les rééditions. Une année on était en galère mais on a eu la chance d’avoir du sponsoring de SUSE France qui nous soutient quand ils le peuvent, que ce soit financièrement ou matériellement au travers de goodies, etc. C’est appréciable de reproduire dans l’hexagone la synergie entre la communauté opensource et l’entreprise.
Antoine : openSUSE est la première distribution que j’ai utilisée. Je l’ai découverte en 2008, dans un magazine Linux. Des amis à moi utilisaient Ubuntu et m’avait convaincu d’essayer mais je n’avais trouvé que ce magazine, avec un DVD d’openSUSE (10.3) à l’intérieur. J’ai accroché : le changement, le vert, le caméléon comme logo. Bref, je l’ai installée (dual-boot), cassée, réinstallée, recassée, etc. J’ai appris plein de trucs, notamment grâce au forum Alionet. J’ai depuis essayé d’autres distributions, « en dur » mais aussi dans des machines virtuelles. Au final, je reviens toujours vers openSUSE, parce que c’est là où je me sens le mieux.
J’ai commencé à écrire des news sur Alionet en 2014, après la mort de jluce, un des admins du site qui en écrivait plein. Je trouvais dommage de ne pas essayer de continuer ce qu’il avait commencé. J’écris des articles sur openSUSE, pour informer de l’actualité du projet ; parfois des tutos, notamment quand je vois plusieurs personnes ayant une même difficulté sur le forum ; et enfin, sur tout ce qui touche au libre en général.
Qu’est-ce qui différencie openSUSE des autres distros ?
À mon sens, c’est une distribution qui s’adresse aussi bien aux débutants qu’aux utilisateurs avancés (powerusers) avec un certain nombre de qualités :
La distribution répond aussi bien à des besoins de poste de travail, d’ordinateur portable ou encore de serveur (elle partage le même core SUSE Linux Entreprise Server). Je l’utilise sur mes propres serveurs qu’ils soient physiques ou virtualisés, mes stations de travail fixes ou portables. Quelle que soit l’utilisation, ce qu’appréciera l’utilisateur, c’est sa stabilité. D’ailleurs, il existe également des images ARM pour les Raspberry Pi, Pi2 et Pi3.
L’ensemble des environnements graphiques proposés ont le même degré de finition et d’intégration dans la distribution que ce soit sur l’ISO de base : KDE (défaut), GNOME (mon bureau par défaut), LXQt, XFCE mais aussi via les dépôts en ligne pour MATE ou Cinnamon ou encore Enlightenment.
L’outil d’administration Yast est un atout indéniable pour administrer la machine que ce soit les dépôts en ligne, l’ajout/suppression de logiciel, la gestion des services, des utilisateurs, etc. De nombreux modules sont disponibles et de nouveaux arrivent régulièrement pour suivre les évolutions technologiques comme Snapper pour gérer les instantanés (snapshots) du système de fichiers Btrfs ou encore celui pour gérer des conteneurs Dockers.
Pour les utilisateurs débutants il est possible d’installer via Yast un serveur web, FTP ou email en quelques clics. Idéal pour avoir une base fonctionnelle et ensuite « mettre les mains dedans ». D’ailleurs l’édition manuelle, n’invalide pas l’utilisation de YaST dans la majorité des cas.
Si l’utilisateur avancé ne veut pas utiliser Yast, il est tout à fait en droit d’éditer les fichiers de configurations manuellement et d’utiliser Zypper pour la gestion des paquets (un équivalent robuste de apt-get des familles DEB). Les administrateurs systèmes apprécieront également le dernier projet né : Machinery, un outil pour GNU/Linux afin d’inspecter les configurations des machines.
Ce que j’apprécie justement dans la communauté openSUSE c’est que les outils ne sont pas élitistes et profitent également aux autres distributions. Prenons par exemple l’outil OpenBuildService (OBS) qui est une forge utilisée pour construire des packages. L’instance publique utilisée pour les différentes versions d’openSUSE (et de SLES) est ouverte aux contributions, actuellement l’openSUSE Build Service héberge 47 593 projets, pour un total de 402 280 paquets dans 77 223 dépôts et est utilisée par 45 616 personnes. Il est simple et ouvert à tous de se créer un compte et packager sur cette plate-forme sans pour autant se limiter à *SUSE seulement, ni aux plates-formes Intel. Votre paquet peut-être construit pour toutes les distributions majeures (RHEL, CentOS, Fedora, SLES, openSUSE, Debian, Ubuntu, Mageia, AchLinux, etc) avec le support matériel allant des processeurs ARM jusqu’au mainframe. D’ailleurs le projet VLC utilise sa propre instance de l’OBS pour packager l’ensemble des versions du célèbre logiciel. L’instance privée permettant également la construction de logiciels pour les plateformes Windows.
Pourquoi est-elle moins connue en France qu’en Allemagne ?
Elle n’est pas populaire qu’en Allemagne, de nombreux pays l’utilisent et ce n’est pas pour rien qu’elle est souvent entre la troisième et cinquième place sur DistroWatch.
En revanche, c’est indéniable, elle reste méconnue en France. Je pense qu’il y a plusieurs raisons à cela.
D’une part, c’était une distribution payante à la base, elle n’est devenue gratuite sous l’appellation openSUSE qu’à partir la version 10.
Quand j’ai démarré Linux en 2004, j’ai commencé avec Ubuntu car j’avais des problèmes de reconnaissance de matériel, ce qui s’est clairement amélioré par la suite. À présent, je ne rencontre plus de difficulté de support matériel que ce soit sur de l’assemblé ou du constructeur même si bien évidemment, je me documente avant d’acheter. Un autre manque était le nombre de logiciels disponibles mais là encore la communauté a largement rattrapé son retard.
Ensuite, il y a eu le « scandale » des accords Novell Microsoft alors que Novell possédait SUSE. Paradoxalement, même si tout le monde a crucifié la distribution, c’est cette collaboration qui a permis à l’ensemble des distributions Linux de s’insérer sur un réseau géré en active directory 100% Windows. Comme je me fais souvent troller sur les stands avec cela, je tiens d’ailleurs à préciser que suite au rachat de Novell par Microfocus, SUSE et Novell sont deux entités distinctes et les accords liaient spécifiquement Novell et Microsoft, SUSE n’est donc plus concerné.
Pour toutes ces raisons, je pense que la communauté francophone est en retrait par rapport aux autres mais dès que l’on franchit les frontières de l’Hexagone, ce n’est plus la même répartition. C’est d’autant plus frustrant que lors d’événements du type RMLL, Solutions Linux, Paris OpenSource Summit, Capitole du Libre, des personnes viennent nous revoir d’une année à l’autre en nous disant qu’elles ne regrettent pas d’avoir essayé notre caméléon. Elles n’ont pas eu besoin de venir sur le forum chercher de l’aide. Comme toujours, les personnes qui s’inscrivent ont généralement des problèmes à résoudre, il manque les autres pour qui tout s’est bien passé.
En tout cas c’est moins facile d’avoir de l’aide… Moi aussi, je me suis battu avec une carte réseau récalcitrante et j’ai laissé tomber. Dommage, j’aimais bien. Comment on fait quand on galère ?
La communauté openSUSE francophone est clairement moins importante que celles d’autres distributions. C’est l’histoire de l’œuf ou la poule : est-ce que la communauté est petite à cause de sa popularité dans l’Hexagone ou est-ce l’inverse ?
Il existe néanmoins des moyens de trouver de l’aide sur openSUSE :
Bref, un éventail de plate-formes pour essayer de correspondre à chacun.
Vous avez tout le temps plein de goodies. Il y a des sous dans openSUSE ? Quel est le modèle économique ?
openSUSE est financée en majeure partie par SUSE, qui a lancé la distribution. L’entreprise encourage ses ingénieurs à participer à openSUSE. Du coup ils peuvent bosser sur la distribution sur une partie de leur temps de travail. Il y a aussi d’autres entreprises qui font des dons de matériel (notamment les machines pour l’openSUSE Build Service).
Concernant les goodies, lorsqu’on est ambassadeur openSUSE, il est possible via le wiki + email de prétendre à un kit stand. Il faut indiquer l’événement, le volume de personnes attendues, etc. openSUSE envoie alors un kit stand que nous devons redistribuer gratuitement. (nappe, 2 t-shirts, flyers en anglais).
En parallèle l’association Alionet a pris plusieurs initiatives :
Prendre contact avec SUSE France avec qui nous avons d’excellents contacts pour quelques goodies supplémentaires.
Éditer sur le budget de l’association propre des t-shirts et clés USB car nous n’en avions pas de la part de nos partenaires.
Nous prenons en charge l’impression de documents en français puisque openSUSE ne fournit que des informations en anglais.
Pourquoi est-elle passée en rolling release ?
En fait, elle n’est pas passée en rolling release. 😉
Le projet propose maintenant deux distributions : une « classique », openSUSE Leap, la distribution principale, l’héritière de l’openSUSE que l’on connaissait jusqu’à l’an dernier. La dénomination Leap souligne le fait qu’il y a eu un changement dans la façon de construire la distribution, en faisant une base commune avec SUSE Linux Enterprise (SLE) la distribution commerciale de SUSE. Un « saut » qui s’est traduit également dans le numéro de version : 13.2 -> 42.1.
Une en rolling release effectivement : openSUSE Tumbleweed (« virevoltant » en anglais). Elle, c’est l’héritière de « Factory », une base de code instable qui servait aux contributeurs du projet à mettre au point openSUSE ancienne formule (avant Leap). Cette base de code a évolué, s’est dotée de nouveaux outils pour finalement être considérée comme « stable » – dans le sens où ça ne casse pas, mais bien sûr ça bouge vite – et être appelée Tumbleweed.
Pourquoi faire ça ? Pour mieux répondre aux besoins de chacun : ceux qui ont besoin d’une grande stabilité ou ne veulent pas beaucoup de changements sur leur système peuvent utiliser Leap, ceux qui veulent des logiciels toujours plus récents (mais stables ; pas des préversions ou très peu) peuvent utiliser Tumbleweed.
Quoi de neuf dans la nouvelle version, justement ?
Une des nouvelles les plus intéressantes est l’arrivée de Plasma 5.8.1, la toute dernière version du bureau KDE. C’est une version estampillée LTS, c’est-à-dire que KDE va se focaliser sur la stabilité et la durée pour cette version, ce qui colle avec les objectifs de Leap. Pour la petite histoire, openSUSE et KDE se sont mis d’accord pour que leurs calendriers respectifs collent et que Leap 42.2 puisse intégrer dans de bonnes conditions cette nouvelle version de Plasma. Et pour la deuxième petite histoire : KDE chez openSUSE, c’est entièrement géré par la communauté (ça ne vient pas de SLE).
Pour les amateurs de cartes et d’embarqué, de nouveaux portages pour ARM sont disponibles.
Pour les amateurs de nouveaux systèmes de fichiers : Snapper peut utiliser les quotas Btrfs pour gérer le nettoyage des snapshots.
Pas à ma connaissance. Il y a peut être eu des signes en amont qui expliqueraient pourquoi openSUSE a revu son mode de fonctionnement en proposant deux versions : Leap et son rapprochement avec la version SUSE Linux Entreprise et la rolling release Tumbleweed face à la popularité d’Archlinux par exemple.
Ce que je constate en revanche, c’est le déclin de communauté d’entraide en général. La montée des réseaux sociaux a tué les bons vieux forums d’entraide et les mentalités ont changé. On peine à recruter des bonnes volontés mais ce n’est pas un problème exclusif à Alionet.
Comment peut-on aider au développement d’openSUSE ?
Une petite liste non-exhaustive de choses que l’on peut faire pour participer :
En parler à ses amis/ses collègues/son LUG pour mieux faire connaître les distribs ;
Demander, on trouvera quelque chose à vous faire faire ^^
Le mot de la fin est pour vous
openSUSE est un projet global vraiment passionnant avec une communauté internationale très ouverte. Sa communauté francophone bien que peu nombreuse n’en est pas moins réactive et les personnes ont toujours trouvé des réponses à leurs questions.
N’hésitez pas à tester cette distribution et à venir à notre rencontre. 🙂
Hé, en vrai, tu sais comment ça marche, toi, Wikipédia ?
Tout le monde connaît Wikipédia, chacun et chacune a son petit avis dessus, mais sait-on réellement comment cette encyclopédie collaborative fonctionne ?
Il y a 20 ans, lorsque, lors d’une soirée entre ami-e-s, on se posait une question du genre « Mais attends, comment on fait l’aspirine ? » le dialogue était souvent le même :
– Je sais pas, c’est pas avec de l’écorce de saule ?
– Oui mais ça doit être chimique, maintenant, non ?
– Je sais pas, t’as pas une encyclopédie ?
– Si, dans la bibliothèque, mais la raclette est prête.
– Bon, tant pis.
…et on en restait là. Aujourd’hui, on sort un ordiphone, on cherche la réponse sur Wikipédia, et on passe la raclette à se chamailler sur la fiabilité d’une encyclopédie où « tout le monde peut écrire n’importe quoi ».
(au fait, pour l’aspirine, on fait comme ça.) Par NEUROtiker — Travail personnel, Domaine public, Lien
En vrai, avez-vous déjà essayé d’écrire n’importe quoi sur Wikipédia… ? Savons-nous seulement comment ça marche ? Comment les articles sont-ils écrits, modifiés, corrigés, vérifiés, amendés… ?
Ça peut être impressionnant, la première fois qu’on se dit « tiens, et si moi aussi je participais à l’élaboration d’une encyclopédie ? » On peut se sentir un peu perdu·e, pas vraiment légitime, ou tout simplement ne pas savoir par quel bout commencer…
Heureusement, les membres de la communauté Wikipédia et Wikmédia France (l’association des contributeurs et contributrices à la Wikipédia francophone), ont créé un MOOC, un cours ouvert gratuit et en ligne, pour nous faire découvrir les rouages du cinquième site le plus visité au monde, et nous apprendre à nous en emparer.
L’an dernier plus de 6 000 personnes se sont inscrites à ce cours. Fort-e-s de cette expérience, l’équipe rempile pour une deuxième édition, l’occasion pour nous de les interroger et de découvrir ce que proposera ce cours.
Bonjour, avant toute chose, est-ce que vous pourriez nous présenter Wikimédia France et vos personnes ?
Jules : Bonjour ! Wikimédia France est une association française à but non-lucratif dont l’objet est « de soutenir en France la diffusion libre de la connaissance, notamment l’encyclopédie Wikipédia. » Il y a souvent des confusions à ce sujet, alors clarifions : Wikipédia est totalement rédigée par des internautes bénévoles, qui s’organisent de manière autonome et déterminent les règles du site. L’association Wikimédia France soutient les contributeurs et l’encyclopédie, mais ne participe pas à la rédaction et n’a aucun pouvoir sur la communauté ; ce n’est d’ailleurs pas la seule association à soutenir l’encyclopédie. Natacha, Alexandre, Valentin et moi-même sommes des contributrices et contributeurs bénévoles de Wikipédia ; nous faisons partie de la douzaine de bénévoles qui conçoivent le WikiMOOC. Je suis par ailleurs salarié de Wikimédia France, qui soutient l’initiative.
Une des missions de Wikimédia France, c’est justement d’inciter qui le veut à contribuer à la Wikipédia francophone… C’est pour cela que vous proposez ce MOOC ? Les cours massivement ouverts et en ligne sont un bon moyen d’inciter aux apports ?
Jules : Oui, les MOOC cumulent plusieurs avantages : bien souvent gratuits, ils sont en ligne et permettent donc de toucher un public plus nombreux qu’avec des formations en présentiel, mais aussi plus diversifié. Le MOOC s’adresse d’ailleurs à toute la francophonie, et près de la moitié des inscrits ne sont pas français.
Alexandre: Le WikiMOOC est effectivement réalisé de manière à donner envie de contribuer. Petit à petit, l’apprenant est guidé vers la rédaction d’un article. Mais il y a des façons très diverses de contribuer : ajouter des sources, des photos, corriger la mise en page, linkifier, améliorer des ébauches d’articles… Une des nouveautés de la deuxième session du WikiMOOC est de présenter des témoignages de contributeurs pour qu’ils racontent ce qu’ils font. Il est aussi plus aisé de contribuer si on ne se sent pas un étranger dans le monde de Wikipédia. Le but du WikiMOOC est aussi de faire mieux connaître ce monde aux apprenant-e-s.
Si je crains que « n’importe qui puisse écrire n’importe quoi dans Wikipédia », ce MOOC me rassurera-t-il ?
Jules : Nous l’espérons, car les choses ne sont pas aussi simples ! L’affirmation initiale, néanmoins, est exacte : n’importe qui peut écrire n’importe quoi sur Wikipédia. Mais le n’importe quoi a de fortes probabilités de ne rester sur Wikipédia qu’une vingtaine de secondes tout au plus. Car il faut étayer toute affirmation par des sources, et des sources de qualité, dont on sait qu’elles sont fiables (pas un obscur blog anonyme, donc). Pour vérifier que cette règle est bien respectée, il y a notamment un groupe de contributrices et contributeurs qui surveillent en temps réel les modifications effectuées sur les 1,8 million d’articles de Wikipédia : on les appelle avec un brin d’humour « les patrouilleurs ». C’est à ce stade que sont annulés la plupart des canulars, « vandalismes » (les dégradations volontaires d’articles) et ajouts d’opinions personnelles (totalement proscrits : on ne donne jamais son avis personnel dans un article). Certaines modifications passent évidemment entre les mailles du filet et ne seront annulées que plusieurs heures ou plusieurs jours après, par d’autres contributeurs – on manque de bras pour tout vérifier !
Finalement, à qui s’adresse ce MOOC ? Aux personnes qui veulent juste en savoir plus ? À celles qui veulent contribuer activement mais ne savent pas comment ?
Valentin : À tout le monde ! On peut effectivement s’inscrire juste pour comprendre comment Wikipédia fonctionne. Mais ce MOOC est surtout un outil permettant en quelques semaines d’assimiler l’essentiel de ce qu’il faut pour contribuer correctement. Nous voulons que de nombreuses personnes s’emparent de cet outil pour désacraliser la contribution à Wikipédia. Tout le monde utilise Wikipédia en tant que consommateur, mais trop peu de personnes viennent contribuer.
Jules : On peut se sentir un peu perdu quand on commence sur Wikipédia, seul⋅e. Le WikiMOOC est justement parfait pour être guidé dans sa découverte de l’encyclopédie, de son fonctionnement et de sa communauté.
Alexandre : Pour moi qui suis aussi universitaire, le WikiMOOC est un fabuleux point d’entrée pour un cours de Wikipédia. J’essaye donc de synchroniser mes cours avec le WikiMOOC ce semestre pour y inscrire mes étudiant-e-s, et j’encourage les collègues à faire de même !
Comme Framasoft, Wikimédia France est une association qui vit du don… Or créer un MOOC coûte cher… Comment avez-vous pu réussir ce tour de force ?
Jules : La création d’un MOOC, pour une université, se compte toujours en dizaines de milliers d’euros. Nous n’en avons dépensé « que » (ça nous paraît énorme, à vrai dire) 7 500 pour la première édition : 2 500 pour la plateforme, FUN, et 5 000 pour la réalisation des vidéos, via une association de vidéastes amateurs, beaucoup moins cher qu’avec un professionnel ! Et moitié moins pour cette seconde édition. Notre force, c’est qu’il y a une douzaine de bénévoles, contributeurs et contributrices francophones, qui bossent sur le projet ; c’est cet investissement bénévole, en temps, qui nous permet de ne pas dépenser trop. Nous réalisons nous-mêmes beaucoup de tâches (créer des visuels, tourner certaines vidéos, concevoir des tutoriels interactifs…) qui dans une université seraient sous-traitées. Nous bénéficions tout de même d’une partie importante de mon temps salarié chez Wikimédia France, même si je m’investis aussi sur du temps bénévole.
Quand il y a une personne face caméra, il y en a souvent plein en coulisses 😉 By English: Credits to Habib M’henni / Wikimedia Commons – Own work, CC BY-SA 4.0, Link
En passant, on lit de l’équipe pédagogique que « Ces trois présentateurs et présentatrices font partie d’une équipe pédagogique plus large, riche de treize wikipédiens et wikipédiennes expérimenté·e·s ». Le langage épicène, qui permet d’éviter la discrimination d’un genre, vous tient à cœur pour la wikipédia francophone ?
Natacha : Le langage épicène (ou langage non sexiste) est un langage inclusif qui tente de ne pas favoriser un genre par rapport à l’autre. Il est utilisé notamment en Suisse et au Québec, surtout dans la fonction publique. Par ailleurs, nous avons un fossé des genres sur Wikipédia – 75 000 articles sur des femmes contre 450 000 biographies d’hommes et moins de 20 % de personnes contribuant sont des femmes – ce qui introduit parfois des biais dans la façon dont les sujets sont traités. La fondation Wikimedia (qui participe au financement de Wikimédia France) en a fait un sujet de priorité depuis qu’un article du New York Times a relevé ce problème en 2011.
Par ailleurs le WikiMOOC cible toute la communauté francophone, et nommer explicitement le genre féminin peut avoir un impact sur la participation des femmes à ce dernier, alors même qu’on cherche à augmenter le nombre de contributrices ce détail peut avoir son importance !
Jules : Natacha a su nous convaincre d’utiliser le langage épicène dans le WikiMOOC ;-). Mais celui-ci n’est pas en usage systématique sur Wikipédia en français, notamment en raison de sa lourdeur visuelle, et car il n’est pas (encore ?) répandu dans les usages. Or Wikipédia a tendance (rien de systématique) à suivre les usages de la langue.
D’ailleurs, on peut parfois ne pas être d’accord avec les choix faits dans les règles que s’impose la communauté Wikipédia (éligibilité des articles, traitement des genres et des personnes trans, application du point de vue…). Quelle est la meilleure manière de faire évoluer ces positions ?
Jules : Le meilleur moyen de faire évoluer les règles de Wikipédia, ou bien les consensus qui ont émergé au coup par coup pour chaque article, c’est de s’investir dans la communauté. On voit souvent des internautes débarquer, parfois très bien intentionnés, mais très maladroits : ils arrivent et veulent tout changer. Or les contributeurs et contributrices sont souvent sur leurs gardes, notamment parce qu’il y a régulièrement des tentatives d’entrisme et de manipulation de Wikipédia à des fins idéologiques et politiques (en faveur d’une personnalité politique par exemple). Ce sont des internautes qui veulent utiliser la notoriété de Wikipédia pour faire et défaire les notoriétés, pour passer leurs idées… alors que ce n’est pas le lieu. Bref, quand on est bien intentionné, il est primordial dans un premier temps de se familiariser avec les règles ainsi que les us et usages relatifs qui guident le déroulement les discussions et les décisions. Cela évite les maladresses, et ça permet de parler le même langage que les autres contributeurs et contributrices bénévoles. Ça instaure une confiance mutuelle.
Wikipédia, c’est une encyclopédie, mais aussi nombre d’autres projets visant à partager le savoir collaborativement… vous en parlerez dans ce MOOC ?
Alexandre : Le mouvement Wikimedia contient de nombreux projets en plus de Wikipédia, comme Wikimedia Commons qui est l’endroit où les fichiers multimédia Wikipédia-compatibles sont déposés. Comment ajouter une photo est une question qui revient souvent donc le sujet est abordé. Au delà, Wikipédia et les projets « sœurs » sont une excellente école pour comprendre les enjeux du copyright et de ses abus, ce que sont les licences Creative Commons et ce qu’elles représentent politiquement. La famille des projets Wikimedia correspond au seul projet libre (libre comme dans libre discours, pas comme dans libre bière 🙂 ) accessible au et connu du grand public. À ce titre, il est une sorte de porte étendard et pour moi, le WikiMOOC a aussi pour vocation de le promouvoir.
Bon c’est bien gentil tout ça, mais ça va me demander quoi de participer à ce MOOC ? Des milliers d’heures de travail ? Un ordi surpuissant dernier cri ? Une connaissance infaillible de la calcification des hydrogénocarbonates ?
Alexandre : le point commun de tous les MOOC, c’est qu’on peut se sentir libre de les aborder à sa manière : regarder seulement les vidéos, faire les exercices ou pas, s’intéresser à une semaine mais pas à l’autre. Dans le WikiMOOC, des mécanismes pédagogiques sont prévus pour inciter les apprenant-e-s à aller le plus en profondeur possible mais tout le monde doit se sentir libre (sauf mes étudiant-e-s qui seront noté-e-s, évidemment !).
Jules : Pour rebondir sur votre question, pas besoin d’ordi surpuissant, un navigateur web à jour suffit amplement. Pour suivre la totalité du cours, il faut compter au moins trois heures de travail par semaine, mais c’est très variable d’une personne à une autre !
Du coup, si je suis convaincu, qu’est-ce que je dois faire pour m’inscrire ?
Ça paraît une bonne affaire : vos applis favorites pour mobile sont gratuites et en contrepartie vous regardez des pubs agaçantes.
