Installer 16 services en ligne sur des serveurs, c’est une chose. Assurer leur sécurité, leurs mises à jour, leur sauvegarde, en est une autre. Si on ajoute à cela un travail sur l’accueil, les réponses aux questions de chacun·e et l’accompagnement vers d’autres hébergeurs de confiance… Alors cela représente un effort quotidien de multiples personnes.

Héberger un service en ligne, ce n’est pas juste appuyer sur un bouton. C’est plusieurs personnes qui appuient sur de nombreux boutons, toute la journée. Car si on veut proposer des services en lesquels vous pouvez avoir confiance, il faut forcément mettre des humain·es derrière les machines.

Accueil des services

Nous entreprenons actuellement une campagne de mise à jour des pages d’accueil des services que nous proposons. La page d’accueil, c’est LA page de référence qui doit vous donner les bons accès et les explications que vous recherchez au premier coup d’œil.

Pour cette nouvelle version, nous avons conçu une page d’accueil qui vous permet une découverte progressive du service, au fur et à mesure de votre défilement sur la page. Le premier bandeau vous accueille avec le nom, la description, et une magnifique illustration du service… mais surtout avec de gros boutons pour l’utiliser directement. Puis des onglets vous exposent ses fonctionnalités principales, avant que l’on précise les limitations et les règles qui régissent son utilisation.

Ensuite la page d’accueil détaille comment et pourquoi nous hébergeons ce service. C’est avant tout un acte politique qui nous motive à poursuivre ce travail, et nos intentions n’étaient souvent pas bien comprises ni même connues des bénéficiaires de nos services. Désormais, nos motivations sont clairement affichées.

Ces pages d’accueil se concluent par une présentation de Framasoft et notre formulaire de don, car c’est bel et bien grâce aux dons des personnes qui soutiennent Framasoft que ces services sont utilisés gratuitement par plus d’un million de personnes chaque mois. L’objectif n’est ni de culpabiliser ni de pousser au don, mais bien de montrer concrètement que le « gratuit » est toujours financé, d’une manière ou d’une autre.

Infrastructure

On vous le confirme : le cloud, c’est loin d’être vaporeux ! Il s’agit d’ordinateurs très concrets, toujours allumés et toujours connectés (des serveurs), qu’il faut bichonner constamment.

Parce que Framasoft, c’est 43 serveurs physiques et 4 serveurs de stockage, avec des sauvegardes réparties sur 2 sites géographiques, pour éviter que les données ne soient perdues en cas d’un problème physique (incendie, inondation, séisme, etc.).

Sur 11 de ces serveurs sont installées 48 machines virtuelles, alors que les 32 autres serveurs sont utilisés directement. Virtuelles ou physiques, cela fait donc 91 machines, chacune avec son système d’exploitation, qu’il faut tenir à jour, mettre à niveau, etc.

Ces serveurs abritent les logiciels qui font tourner les services (et vous envoient vos emails de notification, etc.). Ces logiciels sont monitorés (on surveille si l’activité est normale, pour savoir quand ça rame ou quand ça surchauffe, par exemple), régulièrement mis à jour, et migrés sur une autre machine lorsqu’il y en a besoin.

Derrière ces logiciels, ces machines virtuelles, ces serveurs et cette infrastructure, il y a une petite équipe de 3 personnes (dont une à temps plein) qui se relaient et se décarcassent pour que tout fonctionne au mieux. Car si l’informatique a facilité l’automatisation, l’humain reste indispensable pour servir les serveurs.

Support

S’il y a bien un travail dont on n’imagine pas l’ampleur avant d’ouvrir un service en ligne au grand public, c’est le nombre de demandes d’aide auxquelles il faut répondre. Enfin, quand nous disons qu’ « il faut », c’est plutôt un choix : notez que les géants du Web font tout pour être injoignables et ne pas répondre à vos demandes (sauf si vous payez cher un service de support).

Or nous avons les ressources d’une petite association pour affronter des problèmes de géants. Avec un million de personnes qui utilisent nos services chaque mois, et 37 membres dans notre association (dont un salarié à plein temps sur les réponses à vos demandes), l’astuce est de trouver comment vous autonomiser au maximum.

Depuis près d’un an, nous avons remodelé notre seule et unique page de contact (vraiment, si vous voulez une réponse fiable par la personne concernée, ne nous interpellez pas sur les médias sociaux, mais bien sur contact.framasoft.org !).

Cette page a été conçue pour vous rendre indépendant·e :

• avec un accès direct aux réponses les plus courantes sur le sujet qui vous concerne (dans 90 % des cas, votre réponse se trouve déjà là) ;
• avec un lien vers le forum d’entraide où toute une communauté est présente pour vous répondre ;
• avec le formulaire de contact si votre demande ne peut pas être publique (données personnelles, invitation, etc.).

Grâce à ces outils d’autonomisation, nous sommes passé·es de 450 à 200 demandes à traiter par mois (sans compter les spams, sinon il faut doubler). Cela permet de ne pas perdre d’énergies à vous copier-coller les réponses de notre Foire aux Questions, pour mieux se consacrer aux échanges, éclaircissements, investigations, tests, etc. qui permettent de répondre à vos besoins parfois très spécifiques.

Alternatives à Framasoft

Dès le lancement de la campagne Dégooglisons Internet, nous savions que Framasoft ne pourrait pas répondre à elle seule à tous les besoins qui existent pour s’émanciper dans ses usages numériques. C’est pourquoi, sur le site degooglisons-internet.org, il y a une page qui recense des alternatives dans et hors Framasoft : des alternatives à Google Chrome, à BlablaCar ou à Gmail par exemple.

On parle souvent du travail que c’est de construire un projet, par exemple lorsqu’on ouvre un nouveau service. Mais déconstruire demande aussi un effort non négligeable, surtout lorsqu’on essaie de le faire proprement. Ainsi, pour chaque service que nous avons fermé, nous avons créé une page permettant de recenser des alternatives, souvent le même outil, proposé par des hébergeurs de confiance.

Lister, recenser et mettre en valeur des alternatives, c’est un travail régulier, car il faut se tenir à jour, répondre à ceux qui signalent leur nouvelle alternative, voir si celles qui sont présentées sont toujours pertinentes.

C’est cependant un effort logique : si l’on veut promouvoir la décentralisation, si l’on ne veut pas que tout le monde aille chez le même hébergeur et crée un nouveau géant du Web, alors il faut présenter la diversité des propositions.

C’est d’ailleurs en cela que le site entraide.chatons.org, qui avait été ouvert en urgence pour répondre aux besoins nés de la pandémie, reste une ressource très utile : 9 services en ligne, 0 compte à créer, le choix d’hébergeurs qui tourne automatiquement, pour décentraliser sans y penser.

Découvrez tout ce qu’est Frama !

Voilà qui conclut le focus de cette semaine. Vous pourrez retrouver tous les articles de cette série en cliquant sur ce lien.

Sur la page Soutenir Framasoft, vous pourrez découvrir un magnifique jeu de cartes représentant tout ce que Framasoft a fait ces derniers mois. Vous pourrez ainsi donner des couleurs à l’ensemble des activités que vous financez lorsque vous nous faites un don. Nous espérons que ces beaux visuels (merci à David Revoy !) vous donneront envie de partager la page Soutenir Framasoft tout autour de vous !

En effet, le budget de Framasoft est financé quasi-intégralement par vos dons (pour rappel, un don à Framasoft de 100 € ne vous coûtera que 34 € après défiscalisation). Comme chaque année, si ce que nous faisons vous plaît et si vous le pouvez, merci de soutenir Framasoft.

Pour aller plus loin

• Voir la nouvelle page d’accueil sur Framaforms
• Contacter Framasoft
• Notre foire aux questions
• Le forum d’entraide
• Les alternatives de Dégooglisons Internet
• Les alternatives aux services de Framasoft
• Les services sans inscriptions des CHATONS
• Illustrations : CC-By David Revoy
• Soutenir Framasoft

Vous ne l’avez peut-être pas remarqué car on ne s’en est pas vanté, mais certains de nos sites web ont connu de notables améliorations ces derniers mois.

Ainsi, notre page de contact et notre page de dons ont vu leur design (structuration des contenus, ergonomie, valorisation graphique, etc. ) évoluer et l’ensemble de nos sites sont désormais dotés d’un nouveau menu.

Avec cet article, nous voulons non seulement vous informer de ces mises à jour, mais aussi vous accompagner dans leur prise en main. Par ailleurs, l’ensemble de ces améliorations s’inscrit dans une démarche que nous avons envie de décrire, afin qu’elle puisse être ouverte à la critique ou, pourquoi pas, recevoir les hommages de la copie.

Un million de personnes à accompagner autonomiser

En général, quand on décide de mettre à jour un site web, c’est parce qu’on a constaté que des améliorations pouvaient y être apportées. Notre motivation première derrière ces améliorations est de permettre aux internautes utilisant nos services d’être davantage autonomes dans leurs usages. Après avoir présenté, notamment lors de la campagne Degooglisons Internet, les possibilités offertes par les logiciels libres, Framasoft souhaite offrir un accès plus simple et plus rapide à la galaxie des services, projets et ressources qu’elle met à disposition de toutes et tous.

Accueillant chaque mois plus d’un million de visiteur⋅ses sur nos sites web, nous faisons le constat que nous ne pouvons accompagner humainement chacun⋅e dans la découverte de notre univers. Et parce que cet univers est foisonnant, nous sommes conscient⋅es que c’est souvent frustrant pour vous de ne pas bénéficier de cet accompagnement. Mais, contrairement aux géants du web qui appliquent un design de l’autorité sur leurs plateformes, vous mettant dans une position infantilisante d’hyper-consommateur⋅ices, chez Framasoft, nous vous considérons comme des contributeur⋅ices. Et c’est à ce titre qu’il est pour nous essentiel de repenser nos interfaces afin que vous puissiez, en toute autonomie, davantage vous y retrouver.

En parallèle, nous avons aussi constaté que nous recevons énormément de questions via notre formulaire de contact dont les réponses sont déjà publiées dans notre foire aux questions, dans les guides d’utilisation des outils que nous proposons ou bien sur notre forum d’entraide Framacolibri. Répondre à ces demandes (en renvoyant vers ces ressources) est une tâche répétitive assez peu valorisante pour les personnes en charge du support. En nous lançant dans cette refonte, nous avions donc aussi en tête la nécessité de cesser l’augmentation de ces demandes.

Cependant, simplifier l’accès à un ensemble de contenus nous a beaucoup questionné. Comment mettre cela en œuvre ? Comment ne pas tomber dans le piège du dédale de clics ? Comment autonomiser nos utilisateur⋅ices sans que cela créé avec elleux une relation froide et distante ? En gardant en tête que sur un site web, l’internaute doit identifier rapidement où il est (est-ce la page que je souhaitais voir ?), où il peut aller (vais-je pouvoir trouver facilement ce que je cherche sur ce site ?) et d’où il vient (quel chemin m’a amené à cette page ?), nous avons décidé de repenser totalement le menu de nos sites web et l’expérience d’utilisation de notre page de contact tout en améliorant la structuration des contenus et l’ergonomie de notre page de dons.

Une page de contact actualisée

Cette nouvelle page de contact vous informe dès votre arrivée de qui nous sommes et des moyens que nous mettons à votre disposition pour vous aider lorsque vous rencontrez des difficultés. L’accès au formulaire de contact n’est plus aussi immédiat qu’auparavant car nous espérons que vous n’aurez au final plus besoin de vous en servir, ayant trouvé l’information que vous recherchiez. C’est d’ailleurs en cherchant comment résoudre au mieux vos problèmes que nous avons trouvé comment résoudre le nôtre (l’augmentation de l’activité du support).

Vous l’aurez sûrement remarqué, nous avons revu totalement le design de cette page. Pour vous accueillir, la magnifique illustration de David Revoy se veut douce et rassurante. Car même si nous ne sommes pas en mesure d’accompagner humainement chacun⋅e d’entre vous, cette page de contact ne vous laisse pas seul⋅e face à votre question. C’est d’ailleurs en étant à l’écoute de vos besoins que nous avons reformulé les intitulés des six catégories de contact. En attribuant une couleur spécifique à chacune de ces catégories, vous pouvez vérifier à chaque moment de votre navigation que vous êtes sur le bon chemin.

Structuré en 4 étapes (pré-requis, service concerné, FAQ, formulaire), ce nouveau parcours est pensé pour que vous puissiez prendre connaissance des questions auxquelles nous avons préalablement répondu dans notre foire aux questions (FAQ) avant de nous contacter. Nous vous incitons aussi très fortement à consulter nos guides et astuces d’utilisation lorsque vous avez des questions sur un service en particulier. Nous avons d’ailleurs revu et enrichi les contenus de ces deux ressources pour qu’elles soient plus faciles à comprendre.

Si vous ne trouvez réponse à votre question ni dans la FAQ, ni dans nos guides d’utilisation, peut-être votre question vaut-elle la peine d’être publiée sur notre forum. Framacolibri est un espace d’entraide où de nombreuses personnes pourront vous aider à comprendre pourquoi vous n’arrivez pas à utiliser telle fonctionnalité de tel service. D’ailleurs, dans l’article Ce que Framasoft a fait durant le (premier) confinement que nous avons publié il y a quelques jours, nous rappelions que pendant cette période si particulière, une communauté d’aidant⋅es numériques avaient spontanément proposé leur aide sur le forum (merci à elleux !). Cette dynamique d’entraide collective ne s’est pas essoufflée et nous vous invitons à en faire l’expérience.

Ce nouveau dispositif d’aiguillage (catégorie, faq, guides, forum) nous permet d’identifier au plus vite votre besoin afin d’y répondre au mieux en mettant en avant des ressources adaptées pour que vous puissiez vous les approprier. Mais il peut arriver que nos ressources ne répondent pas à votre besoin. Dans ce cas, ou si votre question doit rester confidentielle, qu’elle implique de devoir divulguer des informations personnelles et privées, alors nous vous invitons à utiliser notre formulaire de contact.

Un menu enrichi pour mieux vous orienter

Avant, tous nos sites web étaient dotés d’un menu situé, de manière très classique, en haut de toutes les pages. Ce menu vous permettait d’accéder à notre galaxie de sites web. Mais comme on est plutôt prolixe en la matière, ce menu avait grossi avec le temps et la multiplication de nos projets, ce qui ne le rendait plus vraiment utilisable facilement. C’était particulièrement le cas si vous vous rendiez sur nos sites web à partir d’un appareil mobile, doté d’un écran plus petit : certaines rubriques du menu étaient si longues qu’elles ne pouvaient s’afficher en entier. De plus, sur certains de nos services, cette barre de menu pouvait être perturbante car elle se superposait au menu de l’outil lui-même, pouvant troubler certain·es internautes.

On a donc repensé totalement la façon dont vous pouvez accéder à nos contenus dans ce nouveau menu désormais accessible via un bouton situé en haut à droite de chacun de nos sites web. Placé ainsi, il ne perturbe plus l’affichage des menus des outils que nous proposons et il s’adapte de façon automatique à la taille de votre écran. Reproduit sur l’ensemble de nos sites web, ce nouveau menu vous permet de savoir d’un seul coup d’œil que vous êtes sur l’un des sites de la galaxie Framasoft. Une fois que vous avez cliqué sur ce bouton, une barre latérale s’affiche à droite, en surimpression du site sur lequel vous êtes.

Par défaut, ce menu vous est proposé selon une vue par catégories (4 en l’occurrence) pour favoriser la découvrabilité des actions de Framasoft. Vous avez la possibilité de modifier cet affichage en sélectionnant la vue sous forme de grille pour trouver plus aisément un service ou un outil spécifique (puisqu’ils sont classés par ordre alphabétique). Nous avons aussi ajouté un bloc de recherche où vous pouvez directement indiquer ce que vous cherchez. Lorsque vous utilisez la recherche directe, il vous est proposé d’étendre votre recherche sur le web ou à l’ensemble des sites de Framasoft, au Framablog, au forum Framacolibri, à l’annuaire Framalibre ou à notre instance PeerTube de diffusion de vidéos, Framatube.

Conceptualisée en 2012, la structuration du menu n’était plus pertinente au regard de l’évolution de nos projets. Nous nous sommes donc questionné⋅es sur la meilleure façon de vous mener vers nos différents outils. Pour cela, nous avons pris en compte des remarques qui nous ont été faites. Nous avons, par exemple, décidé d’archiver certains de nos projets, certes pertinents au moment de leur création, mais n’ayant pas été mis à jour depuis plusieurs années. De plus, nous avons souhaité que ce menu vous donne accès directement à davantage d’informations. Ainsi, vous n’avez plus besoin de vous rendre sur la page d’un outil ou d’un projet pour savoir exactement de quoi il s’agit.

En plus d’un accès totalement remanié à nos contenus, ce nouveau menu s’enrichit d’un bloc intitulé Entraide qui vous donne immédiatement accès à plusieurs ressources. Notez que les contenus qui apparaissent lorsque vous cliquez sur la rubrique « Obtenir des réponses » sont adaptés au service (ou projet) que vous êtes en train de consulter. Nous vous affichons l’information la plus adaptée à votre usage pour que vous puissiez y accéder en seulement 2 clics. Notez aussi que nous utilisons le même habillage graphique pour ces ressources.

Une nouvelle peau pour notre page de dons

Alors que ça faisait un moment qu’on y pensait (quasiment 2 ans), alors qu’il s’agit du fameux « nerf de la guerre » (Framasoft ne vit que grâce à vos dons), notre page de dons a finalement fait peau neuve, elle aussi. Nous avons repensé l’organisation des contenus afin de vous apporter plus facilement des réponses, mais sans vous surcharger d’informations.

Cette page se compose désormais de 4 blocs horizontaux :

• un nouveau formulaire de dons valorisé par une illustration de David Revoy,
• 6 textes synthétiques répondant à la question Pourquoi soutenir Framasoft ?
• une présentation de Framasoft en quelques chiffres
• une liste de réponses aux Questions les plus fréquentes

Vous aurez peut-être remarqué que le design du formulaire de dons change désormais de couleur en fonction du type de dons (entourage jaune pour les dons mensuels et entourage bleu pour les dons ponctuels). Nous recevions de temps en temps un message de certain⋅es donateur⋅ices qui croyaient avoir complété leurs informations pour un don ponctuel alors qu’iels avaient réalisé un don mensuel. Nous nous sommes donc dit que cette différence n’était pas assez explicite sur le formulaire et que nous devions penser un nouveau design pour que cette situation ne se reproduise pas. C’est aussi suite à plusieurs de vos retours que nous avons ajouté à ce formulaire une case (cochée par défaut) « Je souhaite recevoir un reçu fiscal » qui automatise l’envoi de votre reçu fiscal chaque année.

En mettant à jour les textes explicitant à quoi servent vos dons, nous avons souhaité mieux expliquer comment nous fonctionnons, quelles sont nos principales actions et quelles valeurs nous portons. Ces textes sont moins longs, plus synthétiques, car nous voulons aller à l’essentiel. Nous avons repensé le bloc Framasoft en quelques chiffres pour ne faire apparaître que quelques chiffres-clés. Nous n’étions plus très à l’aise avec cet effet un peu racoleur de « performance » qui arrive lorsqu’on met en valeur certains chiffres. Nous avons choisi un affichage qui, nous l’espérons, rend sobrement compte de nos actions, sans se pavaner, et sans fausse modestie.

voir la page « Soutenir Framasoft »

Vos retours font leur chemin !

Ce n’est pas facile de réfléchir aux interfaces qui nous permettent de vous mettre en relation avec nos actions : voilà donc une bonne chose de faite ! On espère que vous partagez notre enthousiasme pour cette refonte.

Prenez le temps de vous approprier la nouvelle version de ces outils et n’hésitez pas, ensuite, à nous dire ce que vous en pensez sur le forum : ça nous permettra de réfléchir à de futures améliorations. Mais, ne vous emballez pas trop tout de même, on ne vous promet pas une nouvelle refonte tous les ans !

Un grand merci à l’équipe salarié⋅es pour le travail réalisé, et un grand merci à vous de continuer à nous soutenir.

Traduction : « Je ne veux pas de spam ! »

Le spam est un problème qu’à Framasoft, nous connaissons bien. Mais savez-vous à quel point ?
Je vais, dans cet article, vous dresser le tableau des soucis de spam que nous rencontrons et des contre-mesures que nous avons mises en place.

Avant cela, un peu d’histoire…

Qu’est-ce que le spam ?

Avant l’ère d’Internet, le spam n’était qu’une marque de viande en conserve.

Les Monty Python, humoristes anglais à qui l’on doit notamment les hilarants Sacré Graal ! et La vie de Brian, ont réalisé un sketch (version textuelle) dans lequel un couple, dans un restaurant, demande ce qu’il y a à la carte pour le petit déjeuner et où la serveuse ne propose que des plats avec du spam (et pas qu’un peu : « Spam, spam, spam, spam, spam, spam, baked beans, spam, spam, spam and spam. »). La femme du couple ne peut avoir de petit déjeuner sans spam, la serveuse ne lui proposant qu’encore plus de spam… (le titre de cet article est une citation de la femme du couple).

De ce sketch découle l’utilisation du terme spam pour les courriels indésirables (et tout autre message indésirable, quelle que soit la plateforme comme nous allons le voir).
De nos jours, le spam représente 50% des courriels échangés sur la planète.

Que serait une marque sans #CopyrightMadness ? Hormel Foods, l’entreprise derrière le spam a tenté d’utiliser le droit des marques pour éviter que le nom de son produit soit utilisé pour quelque chose dont personne ne veut et pour essayer d’empêcher d’autres entreprises d’utiliser le terme (comme des éditeurs de solutions anti-spam). Je croyais qu’Hormel Foods avait cessé cette lutte inutile, mais il semblerait que non, allant jusqu’à embêter Gee pour un dessin qu’il proposait sur RedBubble.

Le spam dans les courriels

Chez Framasoft, nous sommes aux deux bouts de la chaîne : nous envoyons beaucoup de courriels (dans les 15 000 courriels par jour pour nos services – inscriptions, notifications, etc. – et plus de 200 000 courriels par jour pour Framalistes) et nous en recevons aussi, que ce soit au niveau de notre serveur de courriel interne ou sur Framalistes. Il y a aussi quelques autres services qui permettent d’interagir par courriel comme notre forum, Framavox et Framagit.

Nous devons donc nous assurer, d’un côté, de ne pas passer pour des spammeur·euses et de l’autre, de nous en protéger.

Se protéger des spams par courriel

Rien de bien fantastique à ce niveau. Nous utilisons l’antispam Rspamd qui vérifie la validité du courriel par rapport à sa signature DKIM, à l’enregistrement SPF et à la politique DMARC du domaine (voir sur NextINpact pour un bon article sur le sujet). Bien entendu, cela ne vaut que si le domaine en question met en place ces mécanismes… On notera que la plupart des FAI français, s’ils vérifient bien les courriels entrants de la même façon que nous, se tamponnent allègrement le coquillard de mettre en place ces mécanismes pour leurs propres courriels. J’aimerais qu’un jour, ceux-ci arrêtent de faire de la merde 🙄 (remarquez, il semblerait que ça avance… très lentement, mais ça avance).

En plus de ces vérifications, Rspamd effectue aussi une vérification par filtrage bayésien, interroge des listes de blocage (RBL) et utilise un mécanisme de liste grise.

Il y a toujours, bien évidemment des trous dans la raquette, mais le ratio spam intercepté/spam non détecté est assez haut et nous alimentons Rspamd avec les messages indésirables qui sont passés sous le radar.

Sur Framalistes, afin de ne pas risquer de supprimer de messages légitimes, nous avons forcé le passage des spams probables en modération : tout message considéré comme spam par Rspamd doit être approuvé (ou rejeté) par les modérateur·ices ou propriétaires de la liste.

title.gettext test x-spam-status  header

match([header->Subject][-1],/\*\*\*\*\*SPAM\*\*\*\*\*/) smtp,dkim,smime,md5 -> unsure
true()                                                  smtp,dkim,md5,smime -> ham

match ([msg->spam_status], /unsure/)   smtp,dkim,md5,smime   ->   editorkey

Ne pas être considéré comme spammeur·euses

Là, c’est plus difficile. En effet, malgré notre respect de toutes les bonnes pratiques citées ci-dessus et d’autres (SPF, DKIM, DMARC…), nous restons à la merci de règles absurdes et non publiques mises en place par les autres services de courriel.

Vous mettez en place un nouveau serveur qui va envoyer des courriels ? Bon courage pour que les serveurs de Microsoft (hotmail.com, outlook.com…) l’acceptent. J’ai encore vécu ça il y a quelques mois et je ne sais toujours pas comment ça s’est débloqué (j’ai envoyé des courriels à des adresses chez eux que j’ai créées pour ça et je reclassais les courriels dans la catégorie « légitime », ça ne fonctionnait toujours pas mais quelques semaines plus tard, ça passait).

Votre serveur envoie beaucoup de courriels à Orange ? Pensez à limiter le nombre de courriels envoyés en même temps. Mais aussi à mettre en place un cache des connexions avec leurs serveurs. Eh oui : pas plus de X mails envoyés en même temps, mais pas plus de Y connexions par heure. Ou par minute. Ou par jour. C’est ça le problème : on n’en sait rien, on ne peut que poser la question à d’autres administrateurs de services de mail (pour cela, la liste de diffusion smtp-fr gagne à être connue. Le groupe des adminSys français, FRsAG est aussi à garder en tête).

Un autre problème est que nous ne sommes pas à l’origine du contenu de tous les courriels qui sortent de nos serveurs.
Par exemple, un spam arrivant sur une framaliste, s’il n’est pas détecté, sera envoyé à tou·tes les abonné·es de la liste, et ça peut vite faire du volume.

Les spams peuvent aussi passer de medium en medium : Framapiaf peut vous notifier par courriel d’une mention de votre identifiant dans un pouet (Ex. « Coucou @luc »). Si le pouet est un spam (« Coucou @luc, tu veux acheter une pierre magique contre les ondes 5G des reptiliens franc-maçons islamo-gauchistes partouzeurs de droite ? »), le spam se retrouve dans un courriel qui part de chez nous.

Certes, les courriels partant de chez nous sont aussi analysés par Rspamd et certains sont bloqués avant envoi, mais ce n’est pas efficace à 100 %.

Il y a aussi les faux positifs : que faire si nos courriels sont incorrectement classés comme spam par leurs destinataires ? Comme quelqu’un abonné sur une framaliste sans en être averti et qui d’un coup se retrouve submergé de courriels venant d’un expéditeur inconnu ?

Nous nous sommes inscrits à une boucle de rétroaction : nous recevons des notifications pour chaque courriel classé comme indésirable par un certain nombre de fournisseurs de messagerie.
Cela nous a permis (et nous permet toujours. Quotidiennement.) d’envoyer un message à de nombreuses personnes au courriel @laposte.net abonnées à des framalistes pour leur demander de ne pas nous mettre en indésirable, mais de se désabonner de la liste (en leur indiquant la marche à suivre) si elles ne souhaitent pas en recevoir les messages.

Au niveau de Framalistes, nous vérifions que les comptes possédant plus qu’un certain nombre de listes, et que les listes avec beaucoup d’abonné⋅es ne soient pas utilisées pour envoyer des messages indésirables. En effet, nous avons déjà souffert de quelques vagues de spam, nous obligeant à l’époque à modérer la création de listes en dehors des heures de travail car nous ne souhaitions pas, le matin, nous rendre compte que le service était tombé ou s’était fait bloquer pendant la nuit : l’envoi massif de courriels comme le faisaient les spammeur·euses rencontrait souvent un goulot d’étranglement au niveau du serveur, incapable de gérer autant de courriels d’un coup, ce qui faisait tomber le service.
Cette modération n’est plus active aujourd’hui, mais nous avons toujours cet outil prêt à être utilisé en cas de besoin.

Framalistes, si vous l’utilisez, a besoin de vous pour lutter contre le spam !

Petit rappel : il y a un lien de désinscription en bas de chaque courriel des framalistes. Utilisez ce lien pour vous désinscrire si vous ne souhaitez plus recevoir les messages de la liste.

Rien de plus simple que de déclarer un courriel comme étant du spam, n’est-ce pas ? Un clic dans son client mail et hop !

Eh bien non, pas pour Framalistes.

En effet, en faisant cela, vous déclarez notre serveur comme émettant du spam et non pas le serveur originel : nous risquons d’être complètement bannis et de ne plus pouvoir envoyer de courriels vers votre service de messagerie. De plus, l’apprentissage du spam (si le service de messagerie que vous utilisez fait bien son travail, les messages déclarés manuellement comme étant du spam passent dans une moulinette pour mettre à jour les règles de filtrage anti-spam) ne se fait que sur votre service de messagerie, pas chez nous.

Si votre liste reçoit des spams, merci de le signaler à nom_de_la_liste-request@framalistes.org (l’adresse pour contacter les propriétaires de votre liste) : les propriétaires de la liste ont la possibilité, sur https://framalistes.org/sympa/arc/nom_de_la_liste, de supprimer un message des archives et de le signaler comme spam non détecté (n’hésitez pas à leur indiquer ce lien).

Le spam sur Framapiaf et Framasphère

Point d’antispam comme Rspamd possible sur Mastodon ou diaspora* (techniquement, il pourrait y avoir moyen de faire quelque chose, mais ça serait très compliqué).

Les serveurs Mastodon (pas que framapiaf.org, celui de Framasoft) font régulièrement l’objet de vagues d’inscription de spammeur·euses. Pour éviter l’épuisement de notre équipe de modération, nous avons décidé de modérer les inscriptions et donc d’accepter les comptes un à un.

Nous nous reposons sur les signalements des utilisateur·ices pour repérer les comptes de spam que nous aurions laissé passer et les supprimer (ce qui est très rare) ou les bloquer s’ils proviennent d’autres serveurs avec lesquels nous sommes fédérés.

Framasphère ne dispose pas, contrairement à Framapiaf de tels outils de modération : pas d’inscriptions modérées, pas de blocage de comptes distants… Nous ne pouvons que nous reposer sur les signalements et bloquer les comptes locaux.
Nous arrivons tout de même à bloquer les comptes distants, mais cela nécessite de modifier un enregistrement directement en base de données.

UPDATE people SET serialized_public_key = 'banned' WHERE guid = 'le_guid_du_compte';

Le spam sur Framaforms

Framaforms a rapidement été victime de son succès : sa fréquentation a presque triplé entre 2019 et 2020 (et l’année n’est pas terminée !), devenant aujourd’hui le service le plus utilisé de notre réseau !

Nous n’avons donc pas remarqué la création de nombreux, trop nombreux formulaires proposant, par exemple, des liens vers des sites de téléchargement illégal de films. C’est d’ailleurs suite à une réclamation d’un ayant droit que nous avons pris conscience du problème (oui, nous avons fait suite à cette réclamation : quoi que nous pensions du droit d’auteur, nous nous devons de respecter la loi).

La lutte contre le spam a occupé une bonne partie du temps de Théo qui a temporairement rejoint notre équipe salariée pour prêter main forte sur Framaforms :

• détection de certains termes dans les formulaires avec mise en quarantaine (dépublication) en cas de suspicion de spam ;
• quarantaine des formulaires ne contenant aucune question (juste la description, quoi) ;
• interdiction de certains termes dans le titre des formulaires ;
• intégration d’Akismet (un service anti-spam en ligne, proposé par Automattic, la société derrière https://wordpress.com/, contributrice à WordPress) ;
• amélioration du système de CAPTCHA
• ajout de vues permettant une gestion plus aisée des formulaires par les administrateur·ices.

Les efforts de Theo ont porté leurs fruits : la détection automatique des spams et leur dépublication tout aussi automatique limitent la pollution présente sur Framaforms (ce qui évite les réclamations, donc de monopoliser l’attention d’un salarié pour y répondre) et l’interface de gestion des spams facilite grandement le travail des administrateur·ices.

Le spam sur Framagit

Nous avons beaucoup d’utilisateur⋅ices sur Framagit : nous avons dépassé les 90 000 inscrit⋅es. Mais pour notre malheur, la grande majorité d’entre elleux est constituée de comptes de spam !

Après des mois de ménage, nous sommes redescendus à un peu moins de 34 000 comptes, mais nous ne sommes pas dupes : il y a encore beaucoup de comptes illégitimes.

À noter cependant : ces comptes de spam ne semblent pas être dommageables pour les utilisateur⋅ices de Framagit. En effet, leur nuisance se limite généralement à mettre des liens vers un site de poker en ligne, de rencontres voire… de plombiers à Dubaï (je ne comprends pas non plus 😅).

Ceci explique en partie pourquoi nous n’avons pas lutté très activement contre le spam sur Framagit (l’autre raison étant que nous n’avions tout simplement pas de temps à y consacrer).

Nous avions déjà eu une vague de spams lors de l’ouverture de Framagit et nous avions dû interdire l’accès de notre forge logicielle à l’Inde, à l’Indonésie et au Viêt Nam, restriction active jusqu’à la semaine dernière.
Cela n’est pas dans nos habitudes mais s’il faut choisir entre ça et le risque d’épuisement professionnel d’un membre de l’équipe, Framasoft préfère faire passer l’humain avant tout (🤗).

Une grande vague de nettoyage a eu lieu en juin, où j’ai recherché des critères communs aux comptes de spam afin de les supprimer en masse… ce qui a donné lieu à une vilaine boulette lorsque j’ai choisi des critères bien trop larges, conduisant à la suppression de nombreux comptes légitimes (rétablis depuis).

Depuis, j’ai vérifié manuellement chaque compte remonté par mes recherches… soit plus de 18 000 comptes depuis septembre. Parmi ceux-ci, il devait y en avoir, à la louche (parce que mes souvenirs me trahissent), une ou deux dizaines de comptes légitimes. Heureusement ! Je crois que j’aurais assez mal pris le fait d’avoir vérifié chaque compte pour rien 😅

Nous avons désormais un script qui supprime automatiquement les comptes qui ne se sont jamais connectés dans les 10 jours suivant leur inscription : ce sont visiblement des comptes de spam qui ne reçoivent pas les mails de confirmation et donc ne se sont jamais connectés.
Ce script nous remonte aussi les comptes dont la biographie ou les liens contiennent certains termes usités par les spammeur·euses.

Nous avons recherché une solution de CAPTCHA pour Framagit, mais celui-ci ne supporte que reCaptcha, la solution d’Alphabet/Google… et il était hors de question de faire fuiter les informations (adresse IP, caractéristiques du navigateur…) et permettre le tracking de nos utilisateurs vers les services de l’infâme bête aux multiples têtes que nous combattons !

Nous avons alors recherché quelqu’un·e qui saurait développer, contre rémunération, une solution de type honeypot.
Dans le ticket que nous avons, sans aucune honte, squatté pour poser notre petite annonce, on nous a aiguillés vers une fonctionnalité d’honeypot expérimentale et cachée de Gitlab que je me suis empressé d’activer.
Il faut bien le dire : c’est très efficace ! Le nombre de comptes automatiquement supprimés par le script évoqué plus haut est descendu de près de 100 par jour à entre 0 et 2 comptes, ce qui montre bien que les scripts des spammeur·euses pour s’inscrire ne fonctionnent plus aussi bien.

Bien évidemment, il reste encore beaucoup de spam sur Framagit, et de nombreux comptes de spam sont créés chaque jour (10 ? 15 ? 20 ? Ça dépend des jours…), mais nous ne comptons pas en rester là. Le honeypot pourrait être amélioré, ou nous pourrions voir pour une intégration d’Akismet à Gitlab (il y en a déjà une, mais elle n’est pas utilisée pour vérifier les biographies des comptes).
Gitlab permet maintenant de modérer les inscriptions en les acceptant une à une (comme nous le faisons sur Framapiaf) : nous avons récemment activé cette fonctionnalité, pour voir si la charge de modération était acceptable et si cela avait un effet bénéfique.

Framalink

Nous recevons de temps à autre (bien moins ces derniers temps, fort heureusement) des mails indiquant que Framalink est utilisé pour dissimuler des liens de hameçonnage dans des mails.

Lorsque la vague d’utilisation malveillante s’est intensifiée, j’ai développé (et amélioré au fil du temps) quelques fonctionnalités dans Lstu (le logiciel derrière Framalink) : une commande pour supprimer des raccourcis, pour rechercher les raccourcis contenant une chaîne de caractères ou provenant d’une certaine adresse IP, un système de bannissement d’adresse IP, un système de domaines interdits, empêchant le raccourcissement d’URL de tels domaines, une vérification des URL dans la base de données Google Safe Browsing (lien en anglais) avant raccourcissement et même a posteriori (je vous rassure, aucune donnée n’est envoyée à Google, la base de données est copiée et utilisée en local).

Ces efforts n’ont pas été suffisamment efficaces et nous avons été obligés de couper l’accès à l’API de Framalink, ce qui n’est pas une panacée, mais tout cela a fortement réduit nos problèmes de spam (ou pas, mais en tout cas, on a beaucoup moins de mails nous alertant de l’utilisation de Framalink pour du hameçonnage).

Notez que c’est à cause de l’utilisation de Framalink à des fins malveillantes que ce service est souvent persona non grata chez Facebook, Twitter et consorts.

Framasite

Des framasites avec de jeunes filles dénudées qui jouent au poker avec des plombiers de contrées lointaines ? Eh bien non, même pas. Les spammeurs se contentent de créer des comptes dont le nom d’utilisateur·ice est du genre « Best adult dating site, register on… ».

Et tout comme sur Framagit, beaucoup de comptes créés ne sont jamais validés (vous savez, avec l’email qui dit « cliquez sur ce lien pour finaliser votre inscription » ?).

Heureusement que ce n’est que cela, Framasite n’ayant pas d’interface d’administration permettant la suppression propre d’utilisateur·ices (« propre » voulant dire avec suppression des sites créés). Une simple suppression des comptes illégitimes en base de données suffit à faire le ménage.

Framalibre

Framalibre est aussi sujet aux spams, mais il s’agit généralement là de notices de logiciels non libres. Soit les personnes créant ces notices n’ont pas compris que Framalibre n’était dédié qu’aux logiciels libres, soit elles ont essayé d’améliorer leur référencement en ajoutant leurs logiciels.

Pour une fois, ce n’est pas bien méchant, pas bien violent (cela n’arrive pas souvent) et la vigilance de l’équipe de modération permet de supprimer (manuellement) ces notices indésirables très rapidement.

WordPress (commentaires)

Les spams dans les commentaires d’un blog sont un graaaaand classique ! Nous avons opté, sur nos sites wordpress, pour les extensions Antispam Bee et Spam Honey Pot.

C’est plutôt efficace, il est rare qu’un spam passe à travers ce système.

Drupal (inscriptions)

Nous avons quelques autres installations de Drupal autres que Framaforms et Framalibre. Les spammeurs s’inscrivent, voient qu’ils ne peuvent rien publier facilement : les Drupal en question ont les inscriptions ouvertes pour une bonne raison, mais ne permettent pas de créer des articles comme ça, hop !

Ce n’est donc, à l’heure actuelle, pas gênant.

Notre formulaire de contact

« Un formulaire de contact ? Oh chic ! » se disent les spammeurs. Là aussi, nous recevons un certain nombre de spams, tous les jours, toutes les semaines (une quarantaine par semaine), ou par une ancienne adresse de contact.

Nous nous contentons de répondre « #spam » en commentaire du ticket créé dans notre RequestTracker : cela supprime le message et empêche son expéditeur·ice de nous envoyer d’autres messages (voir sur mon wiki personnel pour commander son RequestTracker par mail).

Les faux positifs

Je n’ai pas encore parlé des faux positifs : des messages légitimes détectés à tort comme étant du spam. Cela arrive forcément, quel que soit le type de plateforme, quels que soient les moyens déployés : statistiquement, il y aura toujours, un jour, une erreur du système ou des humain·es derrière (cf la boulette évoquée dans la partie « Framagit »).

Et dans l’autre sens, on aura toujours des spams qui arriveront à passer. Il est généralement difficile voire impossible de durcir les règles de détection de spam sans augmenter la proportion de faux positifs.

Conclusion

Il n’y en pas vraiment. La lutte contre le spam est un combat sans fin, un jeu du chat et de la souris qui ne se termine jamais. On tente de se protéger du mieux qu’on peut, on trouve des astuces, ça va mieux pendant un temps et ça recommence.

Il faut pas se le cacher : plus un hébergeur « grossit », plus il prend de la renommée sur Internet, plus il y a de chances que des personnes malveillantes repèrent son service et l’utilisent pour leur spam. Il y a donc un paradoxe de l’hébergement : trop petit, on est vite seul·e et débordé·e par la multiplicité des tâches à accomplir pour faire les choses correctement…

Mais trop gros, on centralise les attentions, dont celles des personnes malveillantes qui auront peu de scrupules à parasiter les ressources que vous mettez en commun. Ce qui induit encore plus de travail pour se protéger des spams et les nettoyer.

Ça vous paraît pessimiste ? Ça l’est un peu, sans doute ¯\_(ツ)_/¯