Qual è l’impatto concreto delle azioni della nostra associazione? È questa la domanda a cui ci piace rispondere alla fine dell’anno (vedi dati 2022): prendersi il tempo per quantificare le nostre azioni è essenziale per rendersi conto del servizio che possiamo fornire agli altri. Iniziamo con le Framastatistiche 2023!
Più di 1,8 milioni di persone visitano i nostri siti web ogni mese: è il doppio delle visite che Disneyland Paris riceve ogni mese! Questa cifra è aumentata del 16% rispetto all’anno scorso, quindi è pazzesco (e molto motivante) pensare che ciò che facciamo sia utile a così tante persone. E cosa significa questo, per ogni singolo servizio?
Clicca per sostenerci e aiutare Espéhef e Ahèmvé – Illustrazione CC-By David Revoy
Framadate
Framadate consente di creare dei mini-sondaggi, in particolare per trovare la fascia oraria giusta per gli appuntamenti. E in cifre, Framadate significa:
33.785.780 visite nel 2023
1,2 milioni di sondaggi ospitati nel 2023
80.000 sondaggi creati in più rispetto al 2022
Grafico che mostra il numero di visite a Framadate
Framapad
Framapad consente a più persone di scrivere sullo stesso documento. Framapad è senza dubbio uno dei più grandi servizi Etherpad al mondo, con:
510.900 pad ospitati attualmente
Diversi milioni di pad ospitati dal lancio del servizio
309.000 account su MyPads (+ 60.000 rispetto al 2022)
Oltre 5 milioni di visite nel 2023
Grafico che mostra la distribuzione dei pad in base alle nostre istanze Framapad (pad annuali, bimestrali, settimanali, semestrali, mensili e account Mypads)
Framalistes e Framagroupes
Framalistes e Framagroupes consentono di creare liste di discussione via e-mail. Poiché il server di Framalistes ha raggiunto la sua capacità massima, nel giugno 2023 abbiamo aperto Framagroupes per continuare a offrire questo servizio, che riteniamo indispensabile. Framalistes e Framagroupes sono senza dubbio i più grandi server di liste di discussione (esclusi i giganti del Web) esistenti, con:
Più di 1,1 milioni di utenti
63.900 liste aperte
Circa 280.000 e-mail inviate in media ogni giorno lavorativo
Framaforms
Framaforms semplifica la creazione di questionari online. Framaforms in cifre:
867.000 visite al mese
418.628 moduli attualmente ospitati
172.289 moduli creati quest’anno
Grafico che mostra il numero di visite a Framaforms (in aumento!)
Framacalc
Framacalc consente di creare fogli di calcolo collaborativi. È forse il più grande istanza Ethercalc del mondo, con:
4.235.879 visite nel 2023
218.000 calcoli ospitati
Grafico che mostra il numero di visite a Framacalc
Framateam
Framateam è un servizio di chat che consente di organizzare dei team suddivisi per canale. È probabilmente una delle più grandi istanze pubbliche di Mattermost al mondo, con:
148.870 utenti del servizio (di cui 5.582 si collegano ogni giorno)
29.665 team
168.102 canali di discussione
Più di 43 milioni di messaggi scambiati dal lancio del servizio
Grafico che mostra la distribuzione dei messaggi inviati a Framateam nell’arco di un mese (notare l’utilizzo molto elevato durante la settimana!)
Framagit
Framagit è una fucina di software dove gli sviluppatori possono pubblicare il proprio codice e contribuire a quello degli altri. Framagit è probabilmente uno dei più grandi server Gitlab pubblici in Francia, con:
70 679 progetti ospitati
49 642 utenti
8 966 fork
149 789 issues
91 623 Merge requests
1 764 909 note
Screenshot della home page di Framagit
Framacarte
Framacarte consente di creare mappe online. E in cifre, è:
2 770 510 visite nel 2023
6 690 utenti (+ 1 246 in un anno)
170 845 mappe ospitate (+ 33.476 in un anno)
Grafico del numero di visite a Framacarte
Framatalk
Framatalk consente di creare o di unirsi a una sala di videoconferenza. E in cifre, questo è:
656 765 visite nel 2023 (+ 45 % rispetto all’anno scorso)
Una media di 75 conferenze attive per 200 partecipanti per giorno lavorativo
Grafico che mostra l’evoluzione delle visite a Framatalk (si noti l’enorme picco durante l’anno di confinamento!)
Framindmap
Framindmap consente di creare mappe mentali. In cifre, Framindmap è:
295 379 visite nel 2023
1,13 milioni di mappe mentali ospitate
489 690 utenti
Grafico che mostra il numero di visite a Framindmap
Framavox
Framavox consente a un gruppo di persone di incontrarsi, discutere e prendere decisioni in un unico luogo. Framavox è probabilmente una delle più grandi istanze esistenti dell’eccellente software Loomio, con:
Framadrive, il servizio di archiviazione di documenti, non è più aperto alle iscrizioni, ma funziona ancora! In cifre, si tratta di:
10,8 milioni di file
4 794 utenti
2,6 TB di spazio su disco utilizzato
Framapiaf
Framapiaf, un’istanza del software di micro-blogging Mastodon, non è più aperta a nuove registrazioni ma rimane molto attiva. In cifre, si tratta di:
1 500 utenti che si sono collegati negli ultimi 30 giorni
850 utenti che hanno postato almeno un messaggio negli ultimi 30 giorni
Dorlotons Dégooglisons – Illustrazione di David Revoy
Infrastruttura tecnica
Per quanto ne sappiamo, Framasoft è il più grande fornitore associativo di servizi online al mondo. E a priori, questo modello di funzionamento associativo non esiste da nessun’altra parte! In cifre:
58 server e 60 macchine virtuali che ospitano i nostri servizi online
0,6 tonnellate di CO2 equivalenti per il consumo annuale di elettricità della nostra infrastruttura tecnica (il nostro host, Hetzner, utilizza energia idroelettrica ed eolica rinnovabile)
1 amministratore di sistema a tempo pieno e 2 addetti al supporto tecnico
I servizi online che forniamo al pubblico non sono le uniche cose che ci tengono occupati. Ecco qualche dato su alcune delle altre attività che abbiamo svolto quest’anno.
È grazie alle vostre donazioni che Espéhef e Ahèmvé sono in grado di tenere testa a Hydrooffice! Illustrazione di David Revoy
Attività interna
Framasoft conta 28 membri volontari e 11 dipendenti.
45 presentazioni nel 2023, in presenza e/o online, sulle tecnologie digitali, i beni culturali comuni e le questioni in gioco.
Più di 130 articoli pubblicati sul Framablog nel 2023
Un corso di formazione e un MOOC creato per chi ospita servizi etici
21 operatori in grado di supportare le associazioni nella loro emancipazione digitale elencati sul sito emancipasso.org
5 visite di studio in 5 Paesi europei per il progetto ECHO Network
8 anni di coordinamento del collettivo CHATONS, che attualmente comprende 91 fornitori di hosting alternativi
Abbiamo bisogno del vostro aiuto!
È grazie alle vostre donazioni che possiamo garantire la totale indipendenza finanziaria dell’associazione: la libertà di sperimentare, di continuare, di fallire, di fermarci, di portare avanti i nostri progetti, dai più seri ai più strampalati, sempre in linea con il nostro progetto associativo di educazione popolare ai temi del digitale e dei beni culturali comuni. E in cifre:
Il 93% del nostro bilancio è finanziato dalle donazioni
5 463 donatori finanziano iniziative di cui beneficiano più di 1,8 milioni di persone ogni mese
Il70 % del bilancio è destinato al pagamento degli stipendi.
Ripartizione del bilancio di Framasoft
Framasoft è un’associazione di interesse generale: tutte le donazioni fatte a noi sono deducibili fino al 66% per i contribuenti francesi. Quindi una donazione di 100 euro vi costerà in realtà solo 34 euro dopo gli sgravi fiscali.
Se vogliamo raggiungere il nostro budget per il 2024, abbiamo solo 3 giorni per raccogliere 48 000 € : non possiamo farlo senza il vostro aiuto!
What is the concrete impact of our association’s actions? That’s the question we like to answer at the end of the year: taking the time to quantify our actions is essential if we are to realise the service we can provide to others. Let’s get ready for Framastats 2023!
🦆 VS 😈: Let’s take back some ground from the tech giants!
Click to support us and help push back Hydrooffice – Illustration CC-By David Revoy
As for our online services…
More than 1.8 million people visit our websites every month: that’s twice as many people as visit Disneyland Paris every month! This figure is up 16% on last year, so it’s pretty crazy (and very motivating) to think that what we do is useful to so many people. And what about service by service?
Click here to support us and help Espéhef and Ahèmvé – Illustration CC-By David Revoy
Framadate
Framadate allows you to create mini-surveys, for example to find the right appointment time. And in figures, Framadate is:
33,785,780 visits in 2023
1.2 million hosted surveys in 2023
80,000 more surveys created than in 2022
Graph showing the number of visits (blue) and page views (orange) to Framadate
Framapad
Framapad allows several people to write on the same document. Framapad is undoubtedly one of the largest Etherpad services in the world, with:
510,900 pads currently hosted
Several million pads hosted since the launch of the service
309,000 accounts on MyPads (+ 60,000 compared to 2022)
More than 5 million visits in 2023
Graph showing the distribution of pads according to our Framapad instances (annual, bimonthly, weekly, half-yearly, monthly pads and Mypads accounts).
Framalistes and Framagroupes
Framalistes and Framagroupes allow you to create email discussion lists. As the Framalistes server had reached its maximum capacity, we opened Framagroupes in June 2023 to continue offering this service, which we consider essential. Framalistes and Framagroupes are undoubtedly the largest discussion list servers in existence (excluding the web giants), with:
more than 1.1 million users
63,900 open lists
An average of 280,000 messages sent per working day
Framaforms
Framaforms makes it easy to create online forms. Framaforms in figures:
867,000 visits per month
418,628 forms currently hosted
172.289 forms created this year
Graph showing the evolution of visits (blue) and page views (orange) to Framforms (it’s going up!)
Framacalc
Framacalc allows you to create collaborative spreadsheets. It may also be the largest Ethercalc database in the world, with:
4,235,879 visits in 2023
218,000 hosted spreadsheets
Graph showing the number of visits (blue) and page views (orange) to Framacalc
Framateam
Framateam is a chat service that allows teams to be organised by channel. It is probably one of the largest public Mattermost instances in the world, with:
148,870 users of the service (5,582 of which log on daily)
29,665 teams
168,102 discussion channels
More than 43 million messages exchanged since the launch of the service
Graph showing the distribution of messages sent to Framateam over a month (note the very high usage during the week!).
Framagit
Framagit is a software forge where developers can publish their code and contribute to the code of others. Framagit is probably one of the largest public Gitlab servers in France, with:
70,679 hosted projects
49,642 users
8,966 forks
149,789 issues
91,623 merge requests
1,764,909 commit notes
Screenshot of the Framagit homepage
Framacarte
Framacarte allows you to create maps online. And in figures, it’s:
2,770,510 visits in 2023
6,690 users (+ 1,246 in one year)
170,845 hosted maps (+ 33,476 in one year)
Graph showing the number of visits (blue) and page views (orange) to Framacarte
Framatalk
Framatalk allows you to create or join a video conference room. And in numbers, that’s
656,765 visits in 2023 (+45% compared to last year)
An average of 75 active conferences with 200 participants per working day
Graph showing the number of visits (blue) and page views (orange) to Framatalk (note the huge spike during the year of lockdowns!)
Framindmap
Framindmap allows you to create mind maps. In numbers, Framindmap is:
295,379 visits in 2023
1.13 million hosted mind maps
489,690 users
Graph showing the number of visits (blue) and page views (orange) to Framindmap
Framavox
Framavox allows a group of people to meet, discuss and make decisions in one place. Framavox is probably one of the largest existing instances of the excellent Loomio software, with:
Framadrive, the document storage service, is no longer open for registration, but it’s still working! And in numbers, that’s:
10.8 million files
4,794 users
2.6 TB of storage used
Framapiaf
Framapiaf, an installation of the microblogging software Mastodon, is no longer open to new registrations, but remains very active. In figures, there are:
1,500 users who have registered in the last 30 days
850 users who have posted at least one message in the last 30 days
The care given to our online services – Illustration by David Revoy
Technical infrastructure
To the best of our knowledge, Framasoft is the world’s largest web host for online services. And a priori, this associative operating model doesn’t exist anywhere else! In figures:
58 servers and 60 virtual machines hosting our online services
0.6 tonnes of CO2 equivalent for the annual electricity consumption of our technical infrastructure (our host, Hetzner, uses renewable hydro and wind energy)
1 full-time sysadmin and 2 technical support staff
The online services we provide to the public are not the only things that keep us busy. Here are some figures on some of the other things we’ve been up to this year.
It’s thanks to your donations that Espéhef and Ahèmvé are facing Hydrooffice. Illustration de David Revoy
Internally
Framasoft has 28 volunteers and 11 paid employees
45 presentations in 2023, face-to-face and/or online, on digital technology, the cultural commons and related issues
over 130 articles published on the Framablog in 2023
It’s thanks to your donations that we can guarantee the total financial independence of the association: the freedom to experiment, to continue, to fail, to stop, to continue our projects, from the most serious to the most mad, always in line with our associative project of popular education on digital issues and the cultural commons. And in figures:
93% of our budget comes from donations
5,463 donors finance initiatives that benefit more than 1.8 million people every month
70% of the budget is spent on salaries
Breakdown of Framasoft’s budget (in order: Human resources, Servers and domains, Operating costs, Interventions, Communication, Project services, Bank charges and tax)
Once again this year, we need you, your support, your sharing to help us regain ground on the toxic GAFAM web and multiply the number of ethical digital spaces.
If we want to balance our budget for 2024, we only have 3 days left to raise €48 000: we can’t do it without your help!
Quel est l’impact concret des actions de notre association ? C’est la question à laquelle nous aimons répondre en fin d’année (cf. chiffres 2022) : prendre le temps de chiffrer nos actions est essentiel pour réaliser le service que l’on peut rendre aux autres. En route pour les Framastats 2023 !
Cliquez pour nous soutenir et aider à repousser Hydrooffice – Illustration CC-By David Revoy
Du côté de nos services en ligne…
Plus de 1,8 million de personnes naviguent sur nos sites internet chaque mois : c’est deux fois plus de visites que n’en reçoit Disneyland Paris par mois ! Ce chiffre a augmenté de 16 % par rapport à l’année dernière, c’est assez fou (et très motivant) d’imaginer que ce que nous faisons est utile à tant de monde. Et service par service, ça donne quoi ?
Cliquez pour nous soutenir et aider Espéhef et Ahèmvé – Illustration CC-By David Revoy
Framadate
Framadate permet de créer des mini-sondages, notamment pour trouver le bon créneau de rendez-vous. Et en chiffres, Framadate c’est :
33 785 780 visites en 2023
1,2 million de sondages hébergés en 2023
80 000 sondages créés de plus par rapport à l’année 2022
Graphique présentant l’évolution des visites sur Framadate
Framapad
Framapad permet de rédiger à plusieurs sur un même document. Framapad est sans doute l’un des plus gros services Etherpad au monde avec :
510 900 pads hébergés actuellement
Plusieurs millions de pads hébergés depuis le lancement du service
309 000 comptes sur MyPads (+ 60 000 par rapport à 2022)
Plus de 5 millions de visites en 2023
Graphique présentant la répartition des pads selon nos instances Framapad (pads annuels, bimestriels, hebdomadaires, semestriels, mensuels et comptes Mypads)
Framalistes et Framagroupes
Framalistes et Framagroupes permettent de créer des listes de discussion par email. Le serveur de Framalistes étant arrivé au maximum de ses capacités, nous avons ouvert Framagroupes en juin 2023, pour continuer à proposer ce service que nous trouvons indispensable. Framalistes et Framagroupes sont certainement les plus gros serveurs de listes de discussion (hors géants du Web) qui existent, avec :
Plus d’1,1 million d’utilisateurs et utilisatrices
63 900 listes ouvertes
Environ 280 000 mails envoyés en moyenne par jour ouvré
Framaforms
Framaforms permet de créer simplement des questionnaires en ligne. Framaforms en chiffres c’est :
867 000 visites par mois
418 628 formulaires actuellement hébergés
172 289 formulaires créés cette année
Graphique présentant l’évolution des visites sur Framforms (ça grimpe !)
Framacalc
Framacalc permet de créer des tableurs collaboratifs. C’est peut-être là encore la plus grosse base Ethercalc au monde avec :
4 235 879 visites en 2023
218 000 calcs hébergés
Graphique présentant l’évolution des visites sur Framacalc
Framateam
Framateam est un service de tchat, et permet une organisation d’équipe par canaux. C’est probablement l’une des plus grosses instances Mattermost publique au monde avec :
148 870 utilisateurs et utilisatrices sur le service (dont 5 582 se connectent tous les jours)
29 665 équipes qui s’organisent
168 102 canaux de discussions
Plus de 43 millions de messages échangés depuis le lancement du service
Graphique présentant la répartition des messages envoyés sur Framateam sur un mois (on remarque une très forte utilisation en semaine !)
Framagit
Framagit est une forge logicielle, où développeurs et développeuses peuvent publier leur code et contribuer à celui des autres. Framagit est probablement un des plus gros serveurs Gitlab publics de France avec :
70 679 projets hébergés
49 642 utilisateurs et utilisatrices
8 966 forks
149 789 issues
91 623 Merge requests
1 764 909 notes
Capture écran du tableau d’accueil de Framagit
Framacarte
Framacarte permet de créer des cartes géographiques en ligne. Et en chiffres, c’est :
2 770 510 visites en 2023
6 690 utilisateurs et utilisatrices (+ 1 246 en un an)
170 845 cartes hébergées (+ 33 476 en un an)
Graphique présentant l’évolution des visites sur Framacarte
Framatalk
Framatalk permet de créer ou rejoindre un salon de vidéoconférence. Et en chiffres, c’est :
656 765 visites en 2023 (+ 45 % par rapport à l’an passé)
En moyenne 75 conférences actives pour 200 participant⋅es par jour ouvré
Graphique présentant l’évolution des visites sur Framatalk (remarquez cet énorme pic pendant l’année des confinements !)
Framindmap
Framindmap permet de créer des cartes mentales. En chiffres, Framindmap c’est :
295 379 visites en 2023
1,13 million de cartes mentales hébergées
489 690 utilisateurs et utilisatrices
Graphique présentant l’évolution des visites sur Framindmap
Framavox
Framavox permet à un collectif de se réunir, débattre et prendre des décisions, dans un seul endroit. Framavox est probablement une des plus grosses instances existantes de l’excellent logiciel Loomio, avec :
Framadrive, service de stockage de documents, n’est plus ouvert aux inscriptions, mais fonctionne toujours ! Et en chiffres, c’est :
10,8 millions de fichiers
4 794 utilisateurs et utilisatrices
2,6 To d’espace disque utilisé
Framapiaf
Framapiaf, installation du logiciel de micro-bloging Mastodon, n’est plus ouvert aux nouvelles inscriptions mais reste bien actif. En chiffres, c’est :
1 500 utilisateurs et utilisatrices s’étant connecté·es dans les 30 derniers jours
850 utilisateurs et utilisatrices ayant posté au moins un message dans les 30 derniers jours
Dorlotons Dégooglisons – Illustration de David Revoy
Infrastructure technique
Framasoft est, à notre connaissance, le plus gros hébergeur associatif de services en ligne au monde. Et a priori, ce modèle de fonctionnement associatif n’existe nulle part ailleurs ! En chiffres :
58 serveurs et 60 machines virtuelles qui hébergent nos services en ligne
0,6 tonne équivalent CO2 pour la consommation électrique annuelle de notre infrastructure technique (notre hébergeur Hetzner utilisant des énergies renouvelables hydroélectriques et éoliennes)
1 admin sys à temps plein et 2 personnes tech en soutien
Les services en ligne que nous mettons à disposition du public ne sont pas les seuls à occuper nos journées. Voilà quelques chiffres concernant d’autres actions que nous avons menées à bien cette année.
C’est grâce à vos dons que Espéhef et Ahèmvé font face à Hydrooffice ! Illustration de David Revoy
En interne
Framasoft c’est 28 membres bénévoles et 11 salarié⋅es
45 interventions en 2023, en présentiel et/ou en ligne sur le numérique, les communs culturels et leurs enjeux
Plus de 130 articles publiés sur le Framablog en 2023
C’est grâce à vos dons que nous pouvons garantir une totale indépendance financière de l’association : liberté d’expérimenter, de poursuivre, de rater, d’arrêter, de continuer nos projets, des plus sérieux aux plus loufoques, toujours en gardant le cap de notre projet associatif d’éducation populaire aux enjeux du numérique et des communs culturels. Et en chiffres :
93 % de notre budget est financé par des dons
5 463 donateur⋅ices financent des actions utiles à plus de 1,8 million de personnes chaque mois
70 % du budget est consacré à la masse salariale
Répartition du budget de Framasoft
Framasoft est une association d’intérêt général : tous les dons qui nous sont faits sont défiscalisables à hauteur de 66 % pour les contribuables français⋅es. Ainsi un don de 100 € ne vous coûtera en réalité que 34 € après défiscalisation.
Si nous voulons boucler notre budget pour 2024, il ne nous reste que 3 jours pour récolter 48 000 € : nous n’y arriverons pas sans votre aide !
Le spam est un problème qu’à Framasoft, nous connaissons bien. Mais savez-vous à quel point ?
Je vais, dans cet article, vous dresser le tableau des soucis de spam que nous rencontrons et des contre-mesures que nous avons mises en place.
Les Monty Python, humoristes anglais à qui l’on doit notamment les hilarants Sacré Graal ! et La vie de Brian, ont réalisé un sketch (version textuelle) dans lequel un couple, dans un restaurant, demande ce qu’il y a à la carte pour le petit déjeuner et où la serveuse ne propose que des plats avec du spam (et pas qu’un peu : « Spam, spam, spam, spam, spam, spam, baked beans, spam, spam, spam and spam. »). La femme du couple ne peut avoir de petit déjeuner sans spam, la serveuse ne lui proposant qu’encore plus de spam… (le titre de cet article est une citation de la femme du couple).
Capture d’écran du sketch des Monty Python sur le Spam
De ce sketch découle l’utilisation du terme spam pour les courriels indésirables (et tout autre message indésirable, quelle que soit la plateforme comme nous allons le voir).
De nos jours, le spam représente 50% des courriels échangés sur la planète.
Que serait une marque sans #CopyrightMadness ? Hormel Foods, l’entreprise derrière le spam a tenté d’utiliser le droit des marques pour éviter que le nom de son produit soit utilisé pour quelque chose dont personne ne veut et pour essayer d’empêcher d’autres entreprises d’utiliser le terme (comme des éditeurs de solutions anti-spam). Je croyais qu’Hormel Foods avait cessé cette lutte inutile, mais il semblerait que non, allant jusqu’à embêter Gee pour un dessin qu’il proposait sur RedBubble.
Le dessin de Gee qui lui a valu une plainte d’Hormel Foods
Le spam dans les courriels
Chez Framasoft, nous sommes aux deux bouts de la chaîne : nous envoyons beaucoup de courriels (dans les 15 000 courriels par jour pour nos services – inscriptions, notifications, etc. – et plus de 200 000 courriels par jour pour Framalistes) et nous en recevons aussi, que ce soit au niveau de notre serveur de courriel interne ou sur Framalistes. Il y a aussi quelques autres services qui permettent d’interagir par courriel comme notre forum, Framavox et Framagit.
Nous devons donc nous assurer, d’un côté, de ne pas passer pour des spammeur·euses et de l’autre, de nous en protéger.
En plus de ces vérifications, Rspamd effectue aussi une vérification par filtrage bayésien, interroge des listes de blocage (RBL) et utilise un mécanisme de liste grise.
Thomas Bayes analysant des courriels à la recherche de spam
Il y a toujours, bien évidemment des trous dans la raquette, mais le ratio spam intercepté/spam non détecté est assez haut et nous alimentons Rspamd avec les messages indésirables qui sont passés sous le radar.
Sur Framalistes, afin de ne pas risquer de supprimer de messages légitimes, nous avons forcé le passage des spams probables en modération : tout message considéré comme spam par Rspamd doit être approuvé (ou rejeté) par les modérateur·ices ou propriétaires de la liste.
(parenthèse technique)
Nous avons créé un scénario spam_status.x-spam-status dans Sympa :
title.gettext test x-spam-status header
match([header->Subject][-1],/\*\*\*\*\*SPAM\*\*\*\*\*/) smtp,dkim,smime,md5 -> unsure
true() smtp,dkim,md5,smime -> ham
Et nous avons ajouté cette ligne à tous les scenarii de type send :
match ([msg->spam_status], /unsure/) smtp,dkim,md5,smime -> editorkey
Le texte *****SPAM***** est ajouté au sujet du mail par Rspamd en cas de suspicion de spam. Si Rspamd est vraiment catégorique, le mail est directement rejeté.
Difficile de déterminer si un message est du spam ou pas… 😅
Vous mettez en place un nouveau serveur qui va envoyer des courriels ? Bon courage pour que les serveurs de Microsoft (hotmail.com, outlook.com…) l’acceptent. J’ai encore vécu ça il y a quelques mois et je ne sais toujours pas comment ça s’est débloqué (j’ai envoyé des courriels à des adresses chez eux que j’ai créées pour ça et je reclassais les courriels dans la catégorie « légitime », ça ne fonctionnait toujours pas mais quelques semaines plus tard, ça passait).
Votre serveur envoie beaucoup de courriels à Orange ? Pensez à limiter le nombre de courriels envoyés en même temps. Mais aussi à mettre en place un cache des connexions avec leurs serveurs. Eh oui : pas plus de X mails envoyés en même temps, mais pas plus de Y connexions par heure. Ou par minute. Ou par jour. C’est ça le problème : on n’en sait rien, on ne peut que poser la question à d’autres administrateurs de services de mail (pour cela, la liste de diffusion smtp-fr gagne à être connue. Le groupe des adminSys français, FRsAG est aussi à garder en tête).
Un autre problème est que nous ne sommes pas à l’origine du contenu de tous les courriels qui sortent de nos serveurs.
Par exemple, un spam arrivant sur une framaliste, s’il n’est pas détecté, sera envoyé à tou·tes les abonné·es de la liste, et ça peut vite faire du volume.
Les spams peuvent aussi passer de medium en medium : Framapiaf peut vous notifier par courriel d’une mention de votre identifiant dans un pouet (Ex. « Coucou @luc »). Si le pouet est un spam (« Coucou @luc, tu veux acheter une pierre magique contre les ondes 5G des reptiliens franc-maçons islamo-gauchistes partouzeurs de droite ? »), le spam se retrouve dans un courriel qui part de chez nous.
Certes, les courriels partant de chez nous sont aussi analysés par Rspamd et certains sont bloqués avant envoi, mais ce n’est pas efficace à 100 %.
Il y a aussi les faux positifs : que faire si nos courriels sont incorrectement classés comme spam par leurs destinataires ? Comme quelqu’un abonné sur une framaliste sans en être averti et qui d’un coup se retrouve submergé de courriels venant d’un expéditeur inconnu ?
Nous nous sommes inscrits à une boucle de rétroaction : nous recevons des notifications pour chaque courriel classé comme indésirable par un certain nombre de fournisseurs de messagerie.
Cela nous a permis (et nous permet toujours. Quotidiennement.) d’envoyer un message à de nombreuses personnes au courriel @laposte.net abonnées à des framalistes pour leur demander de ne pas nous mettre en indésirable, mais de se désabonner de la liste (en leur indiquant la marche à suivre) si elles ne souhaitent pas en recevoir les messages.
Au niveau de Framalistes, nous vérifions que les comptes possédant plus qu’un certain nombre de listes, et que les listes avec beaucoup d’abonné⋅es ne soient pas utilisées pour envoyer des messages indésirables. En effet, nous avons déjà souffert de quelques vagues de spam, nous obligeant à l’époque à modérer la création de listes en dehors des heures de travail car nous ne souhaitions pas, le matin, nous rendre compte que le service était tombé ou s’était fait bloquer pendant la nuit : l’envoi massif de courriels comme le faisaient les spammeur·euses rencontrait souvent un goulot d’étranglement au niveau du serveur, incapable de gérer autant de courriels d’un coup, ce qui faisait tomber le service.
Cette modération n’est plus active aujourd’hui, mais nous avons toujours cet outil prêt à être utilisé en cas de besoin.
Framalistes, si vous l’utilisez, a besoin de vous pour lutter contre le spam !
Petit rappel : il y a un lien de désinscription en bas de chaque courriel des framalistes. Utilisez ce lien pour vous désinscrire si vous ne souhaitez plus recevoir les messages de la liste.
Rien de plus simple que de déclarer un courriel comme étant du spam, n’est-ce pas ? Un clic dans son client mail et hop !
Eh bien non, pas pour Framalistes.
En effet, en faisant cela, vous déclarez notre serveur comme émettant du spam et non pas le serveur originel : nous risquons d’être complètement bannis et de ne plus pouvoir envoyer de courriels vers votre service de messagerie. De plus, l’apprentissage du spam (si le service de messagerie que vous utilisez fait bien son travail, les messages déclarés manuellement comme étant du spam passent dans une moulinette pour mettre à jour les règles de filtrage anti-spam) ne se fait que sur votre service de messagerie, pas chez nous.
Si votre liste reçoit des spams, merci de le signaler à nom_de_la_liste-request@framalistes.org (l’adresse pour contacter les propriétaires de votre liste) : les propriétaires de la liste ont la possibilité, sur https://framalistes.org/sympa/arc/nom_de_la_liste, de supprimer un message des archives et de le signaler comme spam non détecté (n’hésitez pas à leur indiquer ce lien).
Le spam sur Framapiaf et Framasphère
Point d’antispam comme Rspamd possible sur Mastodon ou diaspora* (techniquement, il pourrait y avoir moyen de faire quelque chose, mais ça serait très compliqué).
Les serveurs Mastodon (pas que framapiaf.org, celui de Framasoft) font régulièrement l’objet de vagues d’inscription de spammeur·euses. Pour éviter l’épuisement de notre équipe de modération, nous avons décidé de modérer les inscriptions et donc d’accepter les comptes un à un.
Nous nous reposons sur les signalements des utilisateur·ices pour repérer les comptes de spam que nous aurions laissé passer et les supprimer (ce qui est très rare) ou les bloquer s’ils proviennent d’autres serveurs avec lesquels nous sommes fédérés.
Framasphère ne dispose pas, contrairement à Framapiaf de tels outils de modération : pas d’inscriptions modérées, pas de blocage de comptes distants… Nous ne pouvons que nous reposer sur les signalements et bloquer les comptes locaux.
Nous arrivons tout de même à bloquer les comptes distants, mais cela nécessite de modifier un enregistrement directement en base de données.
(parenthèse technique)
Voici comment nous bloquons les comptes distants sur Framasphère :
UPDATE people SET serialized_public_key = 'banned' WHERE guid = 'le_guid_du_compte';
Le spam sur Framaforms
Framaforms a rapidement été victime de son succès : sa fréquentation a presque triplé entre 2019 et 2020 (et l’année n’est pas terminée !), devenant aujourd’hui le service le plus utilisé de notre réseau !
Nous n’avons donc pas remarqué la création de nombreux, trop nombreux formulaires proposant, par exemple, des liens vers des sites de téléchargement illégal de films. C’est d’ailleurs suite à une réclamation d’un ayant droit que nous avons pris conscience du problème (oui, nous avons fait suite à cette réclamation : quoi que nous pensions du droit d’auteur, nous nous devons de respecter la loi).
Pic (x10) de clics provenant de recherches Google, principalement vers des formulaires de spam (warez).
La lutte contre le spam a occupé une bonne partie du temps de Théo qui a temporairement rejoint notre équipe salariée pour prêter main forte sur Framaforms :
détection de certains termes dans les formulaires avec mise en quarantaine (dépublication) en cas de suspicion de spam ;
quarantaine des formulaires ne contenant aucune question (juste la description, quoi) ;
interdiction de certains termes dans le titre des formulaires ;
intégration d’Akismet (un service anti-spam en ligne, proposé par Automattic, la société derrière https://wordpress.com/, contributrice à WordPress) ;
ajout de vues permettant une gestion plus aisée des formulaires par les administrateur·ices.
Les efforts de Theo ont porté leurs fruits : la détection automatique des spams et leur dépublication tout aussi automatique limitent la pollution présente sur Framaforms (ce qui évite les réclamations, donc de monopoliser l’attention d’un salarié pour y répondre) et l’interface de gestion des spams facilite grandement le travail des administrateur·ices.
Théo s’attaquant au problème des spams sur Framaforms (allégorie)
Le spam sur Framagit
Nous avons beaucoup d’utilisateur⋅ices sur Framagit : nous avons dépassé les 90 000 inscrit⋅es. Mais pour notre malheur, la grande majorité d’entre elleux est constituée de comptes de spam !
Après des mois de ménage, nous sommes redescendus à un peu moins de 34 000 comptes, mais nous ne sommes pas dupes : il y a encore beaucoup de comptes illégitimes.
À noter cependant : ces comptes de spam ne semblent pas être dommageables pour les utilisateur⋅ices de Framagit. En effet, leur nuisance se limite généralement à mettre des liens vers un site de poker en ligne, de rencontres voire… de plombiers à Dubaï (je ne comprends pas non plus 😅).
Ceci explique en partie pourquoi nous n’avons pas lutté très activement contre le spam sur Framagit (l’autre raison étant que nous n’avions tout simplement pas de temps à y consacrer).
Nous avions déjà eu une vague de spams lors de l’ouverture de Framagit et nous avions dû interdire l’accès de notre forge logicielle à l’Inde, à l’Indonésie et au Viêt Nam, restriction active jusqu’à la semaine dernière.
Cela n’est pas dans nos habitudes mais s’il faut choisir entre ça et le risque d’épuisement professionnel d’un membre de l’équipe, Framasoft préfère faire passer l’humain avant tout (🤗).
Une grande vague de nettoyage a eu lieu en juin, où j’ai recherché des critères communs aux comptes de spam afin de les supprimer en masse… ce qui a donné lieu à une vilaine boulette lorsque j’ai choisi des critères bien trop larges, conduisant à la suppression de nombreux comptes légitimes (rétablis depuis).
Depuis, j’ai vérifié manuellement chaque compte remonté par mes recherches… soit plus de 18 000 comptes depuis septembre. Parmi ceux-ci, il devait y en avoir, à la louche (parce que mes souvenirs me trahissent), une ou deux dizaines de comptes légitimes. Heureusement ! Je crois que j’aurais assez mal pris le fait d’avoir vérifié chaque compte pour rien 😅
Nous avons désormais un script qui supprime automatiquement les comptes qui ne se sont jamais connectés dans les 10 jours suivant leur inscription : ce sont visiblement des comptes de spam qui ne reçoivent pas les mails de confirmation et donc ne se sont jamais connectés.
Ce script nous remonte aussi les comptes dont la biographie ou les liens contiennent certains termes usités par les spammeur·euses.
Nous avons recherché une solution de CAPTCHA pour Framagit, mais celui-ci ne supporte que reCaptcha, la solution d’Alphabet/Google… et il était hors de question de faire fuiter les informations (adresse IP, caractéristiques du navigateur…) et permettre le tracking de nos utilisateurs vers les services de l’infâme bête aux multiples têtes que nous combattons !
Framasoft combattant Google, allégorie
Nous avons alors recherché quelqu’un·e qui saurait développer, contre rémunération, une solution de type honeypot.
Dans le ticket que nous avons, sans aucune honte, squatté pour poser notre petite annonce, on nous a aiguillés vers une fonctionnalité d’honeypot expérimentale et cachée de Gitlab que je me suis empressé d’activer.
Il faut bien le dire : c’est très efficace ! Le nombre de comptes automatiquement supprimés par le script évoqué plus haut est descendu de près de 100 par jour à entre 0 et 2 comptes, ce qui montre bien que les scripts des spammeur·euses pour s’inscrire ne fonctionnent plus aussi bien.
Bien évidemment, il reste encore beaucoup de spam sur Framagit, et de nombreux comptes de spam sont créés chaque jour (10 ? 15 ? 20 ? Ça dépend des jours…), mais nous ne comptons pas en rester là. Le honeypot pourrait être amélioré, ou nous pourrions voir pour une intégration d’Akismet à Gitlab (il y en a déjà une, mais elle n’est pas utilisée pour vérifier les biographies des comptes).
Gitlab permet maintenant de modérer les inscriptions en les acceptant une à une (comme nous le faisons sur Framapiaf) : nous avons récemment activé cette fonctionnalité, pour voir si la charge de modération était acceptable et si cela avait un effet bénéfique.
Framalink
Nous recevons de temps à autre (bien moins ces derniers temps, fort heureusement) des mails indiquant que Framalink est utilisé pour dissimuler des liens de hameçonnage dans des mails.
Lorsque la vague d’utilisation malveillante s’est intensifiée, j’ai développé (et amélioré au fil du temps) quelques fonctionnalités dans Lstu (le logiciel derrière Framalink) : une commande pour supprimer des raccourcis, pour rechercher les raccourcis contenant une chaîne de caractères ou provenant d’une certaine adresse IP, un système de bannissement d’adresse IP, un système de domaines interdits, empêchant le raccourcissement d’URL de tels domaines, une vérification des URL dans la base de données Google Safe Browsing (lien en anglais) avant raccourcissement et même a posteriori (je vous rassure, aucune donnée n’est envoyée à Google, la base de données est copiée et utilisée en local).
Ces efforts n’ont pas été suffisamment efficaces et nous avons été obligés de couper l’accès à l’API de Framalink, ce qui n’est pas une panacée, mais tout cela a fortement réduit nos problèmes de spam (ou pas, mais en tout cas, on a beaucoup moins de mails nous alertant de l’utilisation de Framalink pour du hameçonnage).
Notez que c’est à cause de l’utilisation de Framalink à des fins malveillantes que ce service est souvent persona non grata chez Facebook, Twitter et consorts.
Framasite
Des framasites avec de jeunes filles dénudées qui jouent au poker avec des plombiers de contrées lointaines ? Eh bien non, même pas. Les spammeurs se contentent de créer des comptes dont le nom d’utilisateur·ice est du genre « Best adult dating site, register on… ».
Et tout comme sur Framagit, beaucoup de comptes créés ne sont jamais validés (vous savez, avec l’email qui dit « cliquez sur ce lien pour finaliser votre inscription » ?).
Heureusement que ce n’est que cela, Framasite n’ayant pas d’interface d’administration permettant la suppression propre d’utilisateur·ices (« propre » voulant dire avec suppression des sites créés). Une simple suppression des comptes illégitimes en base de données suffit à faire le ménage.
Framalibre
Framalibre est aussi sujet aux spams, mais il s’agit généralement là de notices de logiciels non libres. Soit les personnes créant ces notices n’ont pas compris que Framalibre n’était dédié qu’aux logiciels libres, soit elles ont essayé d’améliorer leur référencement en ajoutant leurs logiciels.
Pour une fois, ce n’est pas bien méchant, pas bien violent (cela n’arrive pas souvent) et la vigilance de l’équipe de modération permet de supprimer (manuellement) ces notices indésirables très rapidement.
WordPress (commentaires)
Les spams dans les commentaires d’un blog sont un graaaaand classique ! Nous avons opté, sur nos sites wordpress, pour les extensions Antispam Bee et Spam Honey Pot.
C’est plutôt efficace, il est rare qu’un spam passe à travers ce système.
Drupal (inscriptions)
Nous avons quelques autres installations de Drupal autres que Framaforms et Framalibre. Les spammeurs s’inscrivent, voient qu’ils ne peuvent rien publier facilement : les Drupal en question ont les inscriptions ouvertes pour une bonne raison, mais ne permettent pas de créer des articles comme ça, hop !
Ce n’est donc, à l’heure actuelle, pas gênant.
Notre formulaire de contact
« Un formulaire de contact ? Oh chic ! » se disent les spammeurs. Là aussi, nous recevons un certain nombre de spams, tous les jours, toutes les semaines (une quarantaine par semaine), ou par une ancienne adresse de contact.
Nous nous contentons de répondre « #spam » en commentaire du ticket créé dans notre RequestTracker : cela supprime le message et empêche son expéditeur·ice de nous envoyer d’autres messages (voir sur mon wiki personnel pour commander son RequestTracker par mail).
Les faux positifs
Spam, pas spam… la vie d’un antispam n’est pas facile.
Je n’ai pas encore parlé des faux positifs : des messages légitimes détectés à tort comme étant du spam. Cela arrive forcément, quel que soit le type de plateforme, quels que soient les moyens déployés : statistiquement, il y aura toujours, un jour, une erreur du système ou des humain·es derrière (cf la boulette évoquée dans la partie « Framagit »).
Et dans l’autre sens, on aura toujours des spams qui arriveront à passer. Il est généralement difficile voire impossible de durcir les règles de détection de spam sans augmenter la proportion de faux positifs.
Conclusion
Il n’y en pas vraiment. La lutte contre le spam est un combat sans fin, un jeu du chat et de la souris qui ne se termine jamais. On tente de se protéger du mieux qu’on peut, on trouve des astuces, ça va mieux pendant un temps et ça recommence.
Il faut pas se le cacher : plus un hébergeur « grossit », plus il prend de la renommée sur Internet, plus il y a de chances que des personnes malveillantes repèrent son service et l’utilisent pour leur spam. Il y a donc un paradoxe de l’hébergement : trop petit, on est vite seul·e et débordé·e par la multiplicité des tâches à accomplir pour faire les choses correctement…
Mais trop gros, on centralise les attentions, dont celles des personnes malveillantes qui auront peu de scrupules à parasiter les ressources que vous mettez en commun. Ce qui induit encore plus de travail pour se protéger des spams et les nettoyer.
Ça vous paraît pessimiste ? Ça l’est un peu, sans doute ¯\_(ツ)_/¯
La lutte contre le spam (allégorie)
Mastodon, un an après le défi
Aujourd’hui 19 février nous célébrons un anniversaire symbolique : voici exactement un an qu’un certain Eugen Roschko a répondu publiquement à Mark Zuckerberg et mentionné le réseau social Mastodon qu’il avait créé quelques mois auparavant.
Cette lettre ouverte mérite d’être relue : Eugen y réfute les prétentions de Facebook à donner du pouvoir à la communauté, explique à quel point Facebook est par essence incapable de le faire et surtout propose une voie qui restitue aux utilisateurs leur maîtrise : la fédération, telle que mise en œuvre avec Mastodon.
Ce qui nous a séduits dans ce message, ce n’est pas seulement l’audace tranquille du jeune homme, le côté David contre Goliath, c’est aussi qu’il y mettait sur la table avecson interpellation du magnat Zuckerberg un logiciel fonctionnel. Eugen Roschko avait créé quelque chose qui démontrait qu’une autre voie est possible, y compris pour les réseaux sociaux.
Peu importe ensuite si le succès a été au rendez-vous. Certes, le cap du million d’utilisateurs inscrits a été franchi en décembre dernier, mais on est évidemment assez loin des milliards d’usagers captifs de Facebook et Twitter. L’important c’est plutôt que la multiplication des instances a été phénoménale, depuis celles qui appliquent une modération et des conditions d’utilisations strictes dans l’objectif de constituer des safe spaces, jusqu’aux instances victimes de leur succès et dont il a fallu limiter les inscriptions, en passant par notre modeste et convivial Framapiaf…
Si vous découvrez tout cela et hésitez encore, rendez-vous sur cette excellente page informative qui vous aidera à choisir quelle instance pourrait vous convenir le mieux (mais rien ne vous interdira de changer d’instance ensuite à votre gré).
À relire aujourd’hui le message d’Eugen on mesure mieux qu’il s’inscrit dans un courant plus large et désormais toujours croissant de prise de conscience et de remise en question des Léviathans du Web. Une prise de conscience qui passe par la mise à disposition du public d’alternatives crédibles et respectueuses, une remise en cause qui passe par le refus de l’inféodation des utilisateurs, de l’arbitraire centralisateur et de l’espionnage étatique dans notre vie privée en ligne.
Le pouvoir de bâtir des communautés, une réponse à Mark Zuckerberg
Le manifeste de Mark Zuckerberg est peut-être animé de bonnes intentions, mais comporte une chose fondamentalement fausse :
« Dans des moments comme ceux-ci, la chose la plus importante que nous puissions faire chez Facebook est de développer l’infrastructure du réseau social pour donner aux gens la possibilité de bâtir une communauté mondiale qui fonctionne pour nous tous. »
Facebook n’est pas et ne pourra jamais être une plateforme où les gens ont le pouvoir de construire quoi que ce soit. Facebook ne peut même pas prétendre être un organisme à but non lucratif comme le sont Wikipédia ou Mozilla ; l’objectif principal de l’entreprise ne fait aucun doute : tirer profit de vous le plus possible en analysant vos données et en vous montrant des annonces publicitaires contre l’argent de l’annonceur. Un avenir où Facebook est l’infrastructure sociale mondiale, c’est un avenir sans aucun refuge contre la publicité et l’analyse des données.
Facebook ne peut tout simplement pas donner à quiconque le pouvoir de faire quoi que ce soit, parce que ce pouvoir résidera toujours, en fin de compte, dans Facebook lui-même, qui contrôle à la fois le logiciel, les serveurs et les politiques de modération.
Non, l’avenir des médias sociaux doit passer par la fédération. Le pouvoir ultime consiste à donner aux gens la capacité de créer leurs propres espaces, leurs propres communautés, de modifier le logiciel comme ils le jugent bon, mais sans sacrifier la capacité des personnes de différentes communautés à interagir les unes avec les autres. Bien sûr, tous les utilisateurs finaux n’ont pas forcément envie de gérer leur propre petit réseau social, de même que tous les citoyens ne sont pas tous intéressés par la gouvernance de leur propre petit pays. Mais je pense qu’il y a une bonne raison pour laquelle de nombreux pays se composent d’États séparés mais compatibles, et pour laquelle de nombreux pays distincts mais compatibles forment des alliances comme l’Union européenne ou l’OTAN. Un mélange entre souveraineté et union. Fédération.
Internet a connu beaucoup de hauts et de bas du côté des réseaux sociaux. MySpace. Friendfeed. Google++. App. net. Et absolument à chaque fois différentes expériences utilisateurs, de nouveaux comptes, la nécessité de convaincre vos amis de changer, ou d’avoir plusieurs comptes pour parler à tous. Pensez-vous que ce cycle s’arrêtera avec Facebook ? Les dynamiques communautaires garantissent dans une certaine mesure un cycle ascendant et descendant, mais nous pourrions arrêter de rebondir d’un site à l’autre et nous en tenir à un protocole standardisé. Le courriel n’est peut-être pas sexy, car il a été créé à une époque où les choses étaient plus simples, mais on ne peut pas s’empêcher de trouver génial qu’il fonctionne toujours, quel que soit le fournisseur qu’on choisit.
Voulez-vous vraiment que le site web, qui affiche les photos de vos amis avec la légende « vous allez leur manquer » quand vous essayez de supprimer votre compte, soit aux commandes d’une communauté mondiale ?
Je crois qu’avec Mastodon, j’ai créé un logiciel qui est vraiment une alternative crédible à Twitter. C’est un serveur de microblogging fédéré dans le prolongement de GNU Social, mais qui contrairement à GNU Social est capable de plaire aux gens qui n’ont jamais marqué un intérêt particulier pour le logiciel en lui-même. Autrement dit, il est utilisable par des personnes non techniques. Je ne sais pas si le travail que je fais est assez bon pour servir l’avenir de l’humanité, mais je pense que c’est au moins un pas sérieux dans la bonne direction.
Eugen Rochko,
Développeur de Mastodon, administrateur de mastodon.social, l’instance d’exemple
Edit 19/02/2018 : Suite à la demande de mastonautes, nous avons modifié la locution désignant les instances safe spaces dans notre introduction. En effet, en les décrivant comme « fermées comme des huîtres » notre intention était de faire un mot d’humour, et certainement pas de dénigrer l’utilité de ces instances en particulier et des safes spaces en général. Clairement, cette tournure de phrase a totalement trahi nos intentions (un bug), donc merci aux mastonautes qui nous l’ont signalé (bug report) et à celleux qui ont suggéré une façon de le dire plus proche de ce que nous pensons (bug fix). La diversité est une force du Libre et des réseaux fédérés, tout comme le dialogue, le droit à l’expérimentation et à l’erreur ;).
