Comment dégafamiser une MJC – un témoignage

Nous ouvrons volontiers nos colonnes aux témoignages de dégooglisation, en particulier quand il s’agit de structures locales tournées vers le public. C’est le cas pour l’interview que nous a donnée Fabrice, qui a entrepris de « dégafamiser » au sein de son association. Il évoque ici le cheminement suivi, depuis les constats jusqu’à l’adoption progressive d’outils libres et éthiques, avec les résistances et les passages délicats à négocier, ainsi que les alternatives qui se sont progressivement imposées. Nous souhaitons que l’exemple de son action puisse donner envie et courage (il en faut, certes) à d’autres de mener à leur tour cette « migration » émancipatrice.

Bonjour, peux-tu te présenter brièvement pour le Framablog ?
Je m’appelle Fabrice, j’ai 60 ans et après avoir passé près de 30 années sur Paris en tant que DSI, je suis venu me reposer au vert, à la grande campagne… Framasoft ? Je connais depuis très longtemps… Linux ? Aussi puisque je l’ai intégré dans une grande entreprise française, y compris sur des postes de travail, il y a fort longtemps…

Ce n’est que plus tard que j’ai pris réellement conscience du pouvoir néfaste des GAFAM et que je défends désormais un numérique Libre, simple, accessible à toutes et à tous et respectueux de nos libertés individuelles. Ayant du temps désormais à accorder aux autres, j’ai intégré une association en tant que bénévole, une asso qui compte un peu moins de 10 salariés et un budget annuel avoisinant les 400 K€.

Quel a été le déclencheur de  l’opération de dégafamisation ?

En fait, quand je suis arrivé au sein de l’association le constat était un peu triste :

  • des postes de travail (PC sous Windows 7, 8, 10) poussifs, voire inutilisables, avec 2 ou 3 antivirus qui se marchaient dessus, sans compter les utilitaires en tout genre (Ccleaner, TurboMem, etc.)
  • une multitude de comptes Gmail à gérer (plus que le nb d’utilisateurs réels dans l’asso.)
  • des partages de Drive incontrôlables
  • des disques durs portables et autres clés USB qui faisaient office aussi de « solutions de partage »
  • un niveau assez faible de compréhension de toutes ces « technologies »

Il devenait donc urgent de « réparer » et j’ai proposé à l’équipe de remettre tout cela en ordre mais en utilisant des outils libres à chaque fois que cela était possible. À ce stade-là, je pense que mes interlocuteurs ne comprenaient pas exactement de quoi je parlais, ils n’étaient pas très sensibles à la cause du Libre et surtout, ils ne voyaient pas clairement en quoi les GAFAM posaient un problème…

deux mains noires tiennent une bombe de peinture verte, un index appuie sur le haut de l'objet. Plusieurs doigts ont des traces de peinture. Dans l'angle inférieur droit le logo : MJC L'aigle en blanc
Quand on lance une dégafamisation, ce n’est pas simplement pour changer la couche de peinture…

 

En amont de votre « dégafamisation », avez-vous organisé en interne des moments pour créer du consensus sur le sujet et passer collectivement à l’action (lever aussi les éventuelles résistances au changement) ? Réunions pour présenter le projet, ateliers de réflexion, autres ?

Le responsable de la structure avait compris qu’il allait y avoir du mieux – personne ne s’occupait du numérique dans l’asso auparavant – et il a dit tout simplement « banco » à la suite de quelques démos que j’ai pu faire avec l’équipe :

  • démo d’un poste de travail sous Linux (ici c’est Mint)
  • démo de LibreOffice…

Pour être très franc, je ne pense pas que ces démos aient emballé qui que ce soit…

Franchement, il était difficile d’expliquer les mises à jour de Linux Mint à un utilisateur de Windows qui ne les faisait de toutes façons jamais, d’expliquer LibreOffice Writer à une personne qui utilise MS Word comme un bloc-notes et qui met des espaces pour centrer le titre de son document…
Néanmoins, après avoir dressé le portrait peu glorieux des GAFAM, j’ai tout de même réussi à faire passer un message : les valeurs de l’association (ici une MJC) sont à l’opposé des valeurs des GAFAM ! Sous-entendu, moins on se servira des GAFAM et plus on sera en adéquation avec nos valeurs !

Comment avez-vous organisé votre dégafamisation ? Plan stratégique machiavélique puis passage à l’opérationnel ? Ou par itérations et petit à petit, au fil de l’eau ?

Pour montrer que j’avais envie de bien faire et que mon bénévolat s’installerait dans la durée, j’ai candidaté pour participer au Conseil d’Administration et j’ai été élu. J’ai présenté le projet aux membres du C.A sans véritable plan, si ce n’est de remettre tout d’équerre avec du logiciel Libre ! Là encore, les membres du C.A n’avaient pas forcément une exacte appréhension le projet mais à partir du moment où je leur proposais mieux, ils étaient partants !

Le plan (étalé sur 12 mois) :

Priorité no1 : remettre en route les postes de travail (PC portables) afin qu’ils soient utilisables dans de bonnes conditions. Certains postes de moins de 5 ans avaient été mis au rebut car ils « ramaient »…

  • choix de la distribution : Linux Mint Cinnamon ou Linux Mint XFCE pour les machines les moins puissantes
  • choix du socle logiciel : sélection des logiciels nécessaires après analyse des besoins / observations

Priorité no 2 : stopper l’utilisation de Gmail pour la messagerie et mettre en place des boites mail (avec le nom de domaine de l’asso), boites qui avaient été achetées mais jamais utilisées…

Priorité no 3 : augmenter le niveau des compétences de base sur les outils numériques

Prorité no 4 : mettre en place un cloud privé afin de stocker, partager, gérer toutes les données de l’asso (350Go) et cesser d’utiliser les clouds des GAFAM…

Est-ce que vous avez rencontré des résistances que vous n’aviez pas anticipées, qui vous ont pris par surprise ?

Bizarrement, les plus réticents à un poste de travail Libre étaient ceux qui maîtrisaient le moins l’utilisation d’un PC…
« Nan mais tu comprends, Windows c’est quand même vachement mieux… Ah bon, pourquoi ? Ben j’sais pô…c’est mieux quoi… »

* Quand on représente la plus grosse association de sa ville, il y a de nombreux échanges avec les collectivités territoriales et, on s’arrache les cheveux à la réception des docx ou pptx tout pourris… Il en est de même avec les services de l’État et l’utilisation de certains formulaires PDF qui ont un comportement étrange…
* Quand un utilisateur resté sous Windows utilise encore des solutions Google alors que nous avons désormais tout en interne pour remplacer les services Google, je ne me bats pas…
* Quand certains matériels (un Studio de podcast par exemple) requièrent l’utilisation de Windows et ne peuvent pas fonctionner sous Linux, c’est désormais à prendre en compte dans nos achats…
* Quand Il faut aussi composer avec les services civiques et autres stagiaires qui débarquent, ne jurent que par les outils d’Adobe et expliquent au directeur que sans ces outils, leur création est diminuée…

* Quand le directeur commence à douter sur le choix des logiciels libres, je lui rappelle gentiment que le véhicule de l’asso est une Dacia et non une Tesla…
* Quand on se rend compte qu’un mail provenant des serveurs Gmail est rarement considéré comme SPAM par les autres alors que nos premiers mails avec OVH et avec notre nom de domaine ont eu du mal à « passer » les premières semaines…et de temps en temps encore maintenant…

 

dessin probablement mural illustrant les activités de la MJC avec un dessin symbolique : une main noire et une blanche s'associant par le petit doigt sur fond bleu. des coulures de couleurs tombent des doigts.

 

Est-ce qu’au contraire, il y a eu des changements que vous redoutiez et qui se sont passés comme sur des roulettes ?

Rassembler toutes les données de l’asso. et de ses utilisateurs au sein de notre cloud privé (Nextcloud) était vraiment la chose qui me faisait le plus peur et qui est « passée crème » ! Peut-être tout simplement parce que certaines personnes avaient un peu « oublié » où étaient rangées leurs affaires auparavant…

… et finalement quels outils ou services avez-vous remplacés par lesquels ?

  • Messagerie Google –> Messagerie OVH + Client Thunderbird ou Client mail de Nextcloud (pour les petits utilisateurs)
  • Gestion des Contacts Google –> Nextcloud Contacts
  • Calendrier Google –> Nextcloud Calendrier
  • MS Office –> LibreOffice
  • Drive Google, Microsoft, Apple –> Nextcloud pour les fichiers personnels et tous ceux à partager en interne comme en externe
  • Doodle –> Nextcloud Poll
  • Google Forms –> Nextcloud Forms

NB : Concernant les besoins en création graphique ou vidéo on utilise plusieurs solutions libres selon les besoins (Gimp, Krita, Inkscape, OpenShotVideo,…) et toutes les autres solutions qui étaient utilisées de manière « frauduleuse » ont été mises à la poubelle ! Nous avons néanmoins un compte payant sur canva.com

À combien estimez-vous le coût de ce changement ? Y compris les coûts indirects : perte de temps, formation, perte de données, des trucs qu’on faisait et qu’on ne peut plus faire ?

Il s’agit essentiellement de temps, que j’estime à 150 heures dont 2/3 passées en « formation/accompagnement/documentation » et 1/3 pour la mise au point des outils (postes de travail, configuration du Nextcloud).
Côté coûts directs : notre serveur Nextcloud dédié, hébergé par un CHATONS pour 360 €/an et, c’est tout, puisque les boîtes mail avaient déjà été achetées avec un hébergement web mais non utilisées…
Il n’y a eu aucune perte de données, au contraire on en a retrouvé !
À noter que les anciens mails des utilisateurs (stockés chez Google donc) n’ont pas été récupérés, à la demande des utilisateurs eux-mêmes ! Pour eux c’était l’occasion de repartir sur un truc propre !
À ma connaissance, il n’y a rien que l’on ne puisse plus faire aujourd’hui, mais nous avons conservé deux postes de travail sous Windows pour des problèmes de compatibilité matérielle.
Cerise sur le gâteau : des PC portables ont été ressuscités grâce à une distribution Linux, du coup, nous en avons trop et n’en avons pas acheté cette année !

Est-ce que votre dégafamisation a un impact direct sur votre public ou utilisez-vous des services libres uniquement en interne ? Si le public est en contact avec des solutions libres, comment y réagit-il ? Est-il informé du fait que c’est libre ?

Un impact direct ? Oui et non…

En fait, en plus de notre démarche, on invite les collectivités et autres assos à venir « voir » comment on a fait et à leur prouver que c’est possible, ce n’est pas pour autant qu’on nous a demandé de l’aide.

Pour eux, la marche peut s’avérer trop haute et ils n’ont pas forcément les compétences pour franchir le pas sans aide. Imaginez un peu, notre mairie continue de sonder la population à coups de GoogleForms alors qu’on leur a dit quantité de fois qu’il existe des alternatives plus éthiques et surtout plus légales !

Et encore oui, bien que nous utilisions essentiellement ces outils en interne le public en est informé, les « politiques » et autres collectivités qui nous soutiennent le sont aussi et ils sont toujours curieux et, de temps en temps, admiratifs ! La gestion même de nos adhérents et de nos activités se fait au travers d’une application client / serveur développée par nos soins avec LibreOffice Base. Les données personnelles de nos adhérents sont ainsi entre nos mains uniquement.

Est-ce qu’il reste des outils auxquels vous n’avez pas encore pu trouver une alternative libre et pourquoi ?
Oui… nos équipes continuent à utiliser Facebook et WhatsApp… Facebook pour promouvoir nos activités, actions et contenus auprès du grand public et WhatsApp pour discuter instantanément ensemble (en interne) ou autour d’un « projet »avec des externes. Dans ces deux cas, il y a certes de très nombreuses alternatives, mais elles sont soit incomplètes (ne couvrent pas tous les besoins), soit inconnues du grand public (donc personne n’adhère), soit trop complexes à utiliser (ex. Matrix) mais je garde un œil très attentif sur tout cela, car les usages changent vite…

photo noir/blanc de l'entrée de la MJC, chevrons jaunes pointe vers le haut pour indiquer le sens de l'entrée. on distingue le graph sur une porte : MJC Le rond-point
Entrée de la MJC

Quels conseils donneriez-vous à des structures comparables à la vôtre (MJC, Maison de quartier, centre culturel…) qui voudrait se dégafamiser aussi ? Des erreurs à ne pas commettre, des bonnes pratiques éprouvées à l’usage ?

  • Commencer par déployer une solution comme Nextcloud est une étape très fondatrice sur le thème « reprendre le contrôle de ses données » surtout dans des structures comme les nôtres où il y a une rotation de personnels assez importante (contrats courts/aidés, services civiques, volontaires européens, stagiaires, apprentis…).
  • Pour un utilisateur, le fait de retrouver ses affaires, ou les affaires des autres, dans une armoire bien rangée et bien sécurisée est un vrai bonheur. Une solution comme Nextcloud, avec ses clients de synchronisation, représente une mécanique bien huilée désormais et, accessible à chacun. L’administration de Nextcloud peut très bien être réalisée par une personne avertie (un utilisateur ++), c’est à dire une personne qui sait lire une documentation et qui est rigoureuse dans la gestion de ses utilisateurs et de leurs droits associés. Ne vous lancez pas dans l’auto-hébergement si vous n’avez pas les compétences requises ! De nombreuses structures proposent désormais « du Nextcloud » à des prix très abordables.
  • À partir du moment où ce type de solution est installée, basculez-y la gestion des contacts, la gestion des calendriers et faites la promotion, en interne, des autres outils disponibles (gestion de projets, de budget, formulaires…)
  • Fort de ce déploiement et, si votre messagerie est encore chez les GAFAM, commencez à chercher une solution ailleurs en sachant qu’il y aura des coûts, des coups et des pleurs… Cela reste un point délicat compte-tenu des problèmes exposés plus haut… Cela prend du temps mais c’est tout à fait possible ! Pour les jeunes, le mail est « ringard », pour les administratifs c’est le principal outil de communication avec le monde extérieur… Là aussi, avant de vous lancer, analysez bien les usages… Si Google vous autorise à envoyer un mail avec 50 destinataires, ce ne sera peut-être pas le cas de votre nouveau fournisseur…
  • Le poste de travail (le PC) est, de loin, un sujet sensible : c’est comme prendre la décision de jeter à la poubelle le doudou de votre enfant, doudou qui l’a endormi depuis de longues années… Commencez par recycler des matériels “obsolètes” pour Windows mais tout à fait corrects pour une distribution Linux et faites des heureux ! Montrer aux autres qu’il s’agit de systèmes non intrusifs, simple, rapides et qui disposent d’une logithèque de solutions libres et éthiques incommensurable !

Cela fait deux ans que notre asso. est dans ce mouvement et si je vous dis que l’on utilise FFMPEG pour des traitements lourds sur les médias de notre radio FM associative, traitements que l’on n’arrivait pas à faire auparavant avec un logiciel du commerce ? Si je vous dis qu’avec un simple clic-droit sur une image, un utilisateur appose le logo de notre asso en filigrane (merci nemo-action !). Si je vous dis que certains utilisateurs utilisent des scripts en ligne de commande afin de leur faciliter des traitements fastidieux sur des fichiers images, audios ou vidéos ? Elle est pas belle la vie ?

Néanmoins, cela n’empêche pas des petites remarques de-ci de-là sur l’utilisation de solutions libres plutôt que de « faire comme tout le monde » mais ça, j’en fais mon affaire et tant que je leur trouverai une solution libre et éthique pour répondre à leurs besoins alors on s’en sortira tous grandis !
Ah, j’oubliais : cela fait bien longtemps maintenant qu’il n’est plus nécessaire de mettre les mains dans le cambouis pour déployer un poste de travail sous Linux, le support est quasi proche du zéro !

Merci Fabrice d’avoir piloté cette opération et d’en avoir partagé l’expérience au lectorat du Framablog !

 




« I don’t want any spam ! »

Traduction : « Je ne veux pas de spam ! »

Le spam est un problème qu’à Framasoft, nous connaissons bien. Mais savez-vous à quel point ?
Je vais, dans cet article, vous dresser le tableau des soucis de spam que nous rencontrons et des contre-mesures que nous avons mises en place.

Avant cela, un peu d’histoire…

Qu’est-ce que le spam ?

Avant l’ère d’Internet, le spam n’était qu’une marque de viande en conserve.

Les Monty Python, humoristes anglais à qui l’on doit notamment les hilarants Sacré Graal ! et La vie de Brian, ont réalisé un sketch (version textuelle) dans lequel un couple, dans un restaurant, demande ce qu’il y a à la carte pour le petit déjeuner et où la serveuse ne propose que des plats avec du spam (et pas qu’un peu : « Spam, spam, spam, spam, spam, spam, baked beans, spam, spam, spam and spam. »). La femme du couple ne peut avoir de petit déjeuner sans spam, la serveuse ne lui proposant qu’encore plus de spam… (le titre de cet article est une citation de la femme du couple).

Un homme et une femme dans un restaurant
Capture d’écran du sketch des Monty Python sur le Spam

De ce sketch découle l’utilisation du terme spam pour les courriels indésirables (et tout autre message indésirable, quelle que soit la plateforme comme nous allons le voir).
De nos jours, le spam représente 50% des courriels échangés sur la planète.

Que serait une marque sans #CopyrightMadness ? Hormel Foods, l’entreprise derrière le spam a tenté d’utiliser le droit des marques pour éviter que le nom de son produit soit utilisé pour quelque chose dont personne ne veut et pour essayer d’empêcher d’autres entreprises d’utiliser le terme (comme des éditeurs de solutions anti-spam). Je croyais qu’Hormel Foods avait cessé cette lutte inutile, mais il semblerait que non, allant jusqu’à embêter Gee pour un dessin qu’il proposait sur RedBubble.

Un homme met un coup de pied dans une enveloppe pour l’envoyer dans une corbeille sur laquelle est marqué « spam »
Le dessin de Gee qui lui a valu une plainte d’Hormel Foods

Le spam dans les courriels

Chez Framasoft, nous sommes aux deux bouts de la chaîne : nous envoyons beaucoup de courriels (dans les 15 000 courriels par jour pour nos services – inscriptions, notifications, etc. – et plus de 200 000 courriels par jour pour Framalistes) et nous en recevons aussi, que ce soit au niveau de notre serveur de courriel interne ou sur Framalistes. Il y a aussi quelques autres services qui permettent d’interagir par courriel comme notre forum, Framavox et Framagit.

Deux astronautes regardant la terre. Une boîte de Spam est sur la terre. Le premier astronaute s’exclame « Mais le monde est plein de spam ! ». Le deuxième, un brassard « spam » sur le bras, braque un pistolet sur le premier astronaute et dit « Ça a toujours été ! »

Nous devons donc nous assurer, d’un côté, de ne pas passer pour des spammeur·euses et de l’autre, de nous en protéger.

Se protéger des spams par courriel

Rien de bien fantastique à ce niveau. Nous utilisons l’antispam Rspamd qui vérifie la validité du courriel par rapport à sa signature DKIM, à l’enregistrement SPF et à la politique DMARC du domaine (voir sur NextINpact pour un bon article sur le sujet). Bien entendu, cela ne vaut que si le domaine en question met en place ces mécanismes… On notera que la plupart des FAI français, s’ils vérifient bien les courriels entrants de la même façon que nous, se tamponnent allègrement le coquillard de mettre en place ces mécanismes pour leurs propres courriels. J’aimerais qu’un jour, ceux-ci arrêtent de faire de la merde 🙄 (remarquez, il semblerait que ça avance… très lentement, mais ça avance).

En plus de ces vérifications, Rspamd effectue aussi une vérification par filtrage bayésien, interroge des listes de blocage (RBL) et utilise un mécanisme de liste grise.

Thomas Bayes avec des yeux rouges (façon yeux laser)
Thomas Bayes analysant des courriels à la recherche de spam

Il y a toujours, bien évidemment des trous dans la raquette, mais le ratio spam intercepté/spam non détecté est assez haut et nous alimentons Rspamd avec les messages indésirables qui sont passés sous le radar.

Sur Framalistes, afin de ne pas risquer de supprimer de messages légitimes, nous avons forcé le passage des spams probables en modération : tout message considéré comme spam par Rspamd doit être approuvé (ou rejeté) par les modérateur·ices ou propriétaires de la liste.

(parenthèse technique)
Nous avons créé un scénario spam_status.x-spam-status dans Sympa :

title.gettext test x-spam-status  header

match([header->Subject][-1],/\*\*\*\*\*SPAM\*\*\*\*\*/) smtp,dkim,smime,md5 -> unsure
true()                                                  smtp,dkim,md5,smime -> ham

Et nous avons ajouté cette ligne à tous les scenarii de type send :

match ([msg->spam_status], /unsure/)   smtp,dkim,md5,smime   ->   editorkey

Le texte *****SPAM***** est ajouté au sujet du mail par Rspamd en cas de suspicion de spam. Si Rspamd est vraiment catégorique, le mail est directement rejeté.

Titre : « AdminSys, c’est pas drôle tous les jours. SPAM ou PAS SPAM ? ». Suit un bloc de texte où une femme propose d’envoyer des photos sexy d’elle. Un personnage : « J’hésite »
Difficile de déterminer si un message est du spam ou pas… 😅

Ne pas être considéré comme spammeur·euses

Là, c’est plus difficile. En effet, malgré notre respect de toutes les bonnes pratiques citées ci-dessus et d’autres (SPF, DKIM, DMARC…), nous restons à la merci de règles absurdes et non publiques mises en place par les autres services de courriel.

Vous mettez en place un nouveau serveur qui va envoyer des courriels ? Bon courage pour que les serveurs de Microsoft (hotmail.com, outlook.com…) l’acceptent. J’ai encore vécu ça il y a quelques mois et je ne sais toujours pas comment ça s’est débloqué (j’ai envoyé des courriels à des adresses chez eux que j’ai créées pour ça et je reclassais les courriels dans la catégorie « légitime », ça ne fonctionnait toujours pas mais quelques semaines plus tard, ça passait).

Bob l’éponge, les mains écartées et reliées par un arc-en-ciel. Texte : « It’s magic »

Votre serveur envoie beaucoup de courriels à Orange ? Pensez à limiter le nombre de courriels envoyés en même temps. Mais aussi à mettre en place un cache des connexions avec leurs serveurs. Eh oui : pas plus de X mails envoyés en même temps, mais pas plus de Y connexions par heure. Ou par minute. Ou par jour. C’est ça le problème : on n’en sait rien, on ne peut que poser la question à d’autres administrateurs de services de mail (pour cela, la liste de diffusion smtp-fr gagne à être connue. Le groupe des adminSys français, FRsAG est aussi à garder en tête).

Un autre problème est que nous ne sommes pas à l’origine du contenu de tous les courriels qui sortent de nos serveurs.
Par exemple, un spam arrivant sur une framaliste, s’il n’est pas détecté, sera envoyé à tou·tes les abonné·es de la liste, et ça peut vite faire du volume.

Les spams peuvent aussi passer de medium en medium : Framapiaf peut vous notifier par courriel d’une mention de votre identifiant dans un pouet (Ex. « Coucou @luc »). Si le pouet est un spam (« Coucou @luc, tu veux acheter une pierre magique contre les ondes 5G des reptiliens franc-maçons islamo-gauchistes partouzeurs de droite ? »), le spam se retrouve dans un courriel qui part de chez nous.

Mème avec le texte « Spam. Spam everywhere »

Certes, les courriels partant de chez nous sont aussi analysés par Rspamd et certains sont bloqués avant envoi, mais ce n’est pas efficace à 100 %.

Il y a aussi les faux positifs : que faire si nos courriels sont incorrectement classés comme spam par leurs destinataires ? Comme quelqu’un abonné sur une framaliste sans en être averti et qui d’un coup se retrouve submergé de courriels venant d’un expéditeur inconnu ?

Nous nous sommes inscrits à une boucle de rétroaction : nous recevons des notifications pour chaque courriel classé comme indésirable par un certain nombre de fournisseurs de messagerie.
Cela nous a permis (et nous permet toujours. Quotidiennement.) d’envoyer un message à de nombreuses personnes au courriel @laposte.net abonnées à des framalistes pour leur demander de ne pas nous mettre en indésirable, mais de se désabonner de la liste (en leur indiquant la marche à suivre) si elles ne souhaitent pas en recevoir les messages.

Au niveau de Framalistes, nous vérifions que les comptes possédant plus qu’un certain nombre de listes, et que les listes avec beaucoup d’abonné⋅es ne soient pas utilisées pour envoyer des messages indésirables. En effet, nous avons déjà souffert de quelques vagues de spam, nous obligeant à l’époque à modérer la création de listes en dehors des heures de travail car nous ne souhaitions pas, le matin, nous rendre compte que le service était tombé ou s’était fait bloquer pendant la nuit : l’envoi massif de courriels comme le faisaient les spammeur·euses rencontrait souvent un goulot d’étranglement au niveau du serveur, incapable de gérer autant de courriels d’un coup, ce qui faisait tomber le service.
Cette modération n’est plus active aujourd’hui, mais nous avons toujours cet outil prêt à être utilisé en cas de besoin.

Framalistes, si vous l’utilisez, a besoin de vous pour lutter contre le spam !

Petit rappel : il y a un lien de désinscription en bas de chaque courriel des framalistes. Utilisez ce lien pour vous désinscrire si vous ne souhaitez plus recevoir les messages de la liste.

Rien de plus simple que de déclarer un courriel comme étant du spam, n’est-ce pas ? Un clic dans son client mail et hop !

Eh bien non, pas pour Framalistes.

En effet, en faisant cela, vous déclarez notre serveur comme émettant du spam et non pas le serveur originel : nous risquons d’être complètement bannis et de ne plus pouvoir envoyer de courriels vers votre service de messagerie. De plus, l’apprentissage du spam (si le service de messagerie que vous utilisez fait bien son travail, les messages déclarés manuellement comme étant du spam passent dans une moulinette pour mettre à jour les règles de filtrage anti-spam) ne se fait que sur votre service de messagerie, pas chez nous.

Un chat devant un ordinateur portable, l’air halluciné. Texte : « You has spam. Glorious SPAM »

Si votre liste reçoit des spams, merci de le signaler à nom_de_la_liste-request@framalistes.org (l’adresse pour contacter les propriétaires de votre liste) : les propriétaires de la liste ont la possibilité, sur https://framalistes.org/sympa/arc/nom_de_la_liste, de supprimer un message des archives et de le signaler comme spam non détecté (n’hésitez pas à leur indiquer ce lien).

Le spam sur Framapiaf et Framasphère

Point d’antispam comme Rspamd possible sur Mastodon ou diaspora* (techniquement, il pourrait y avoir moyen de faire quelque chose, mais ça serait très compliqué).

Les serveurs Mastodon (pas que framapiaf.org, celui de Framasoft) font régulièrement l’objet de vagues d’inscription de spammeur·euses. Pour éviter l’épuisement de notre équipe de modération, nous avons décidé de modérer les inscriptions et donc d’accepter les comptes un à un.

Nous nous reposons sur les signalements des utilisateur·ices pour repérer les comptes de spam que nous aurions laissé passer et les supprimer (ce qui est très rare) ou les bloquer s’ils proviennent d’autres serveurs avec lesquels nous sommes fédérés.

Framasphère ne dispose pas, contrairement à Framapiaf de tels outils de modération : pas d’inscriptions modérées, pas de blocage de comptes distants… Nous ne pouvons que nous reposer sur les signalements et bloquer les comptes locaux.
Nous arrivons tout de même à bloquer les comptes distants, mais cela nécessite de modifier un enregistrement directement en base de données.

(parenthèse technique)
Voici comment nous bloquons les comptes distants sur Framasphère :

UPDATE people SET serialized_public_key = 'banned' WHERE guid = 'le_guid_du_compte';

Le spam sur Framaforms

Framaforms a rapidement été victime de son succès : sa fréquentation a presque triplé entre 2019 et 2020 (et l’année n’est pas terminée !), devenant aujourd’hui le service le plus utilisé de notre réseau !

Nous n’avons donc pas remarqué la création de nombreux, trop nombreux formulaires proposant, par exemple, des liens vers des sites de téléchargement illégal de films. C’est d’ailleurs suite à une réclamation d’un ayant droit que nous avons pris conscience du problème (oui, nous avons fait suite à cette réclamation : quoi que nous pensions du droit d’auteur, nous nous devons de respecter la loi).

Pic (x10) de clics provenant de recherches Google, principalement vers des formulaires de spam (warez).

La lutte contre le spam a occupé une bonne partie du temps de Théo qui a temporairement rejoint notre équipe salariée pour prêter main forte sur Framaforms :

  • détection de certains termes dans les formulaires avec mise en quarantaine (dépublication) en cas de suspicion de spam ;
  • quarantaine des formulaires ne contenant aucune question (juste la description, quoi) ;
  • interdiction de certains termes dans le titre des formulaires ;
  • intégration d’Akismet (un service anti-spam en ligne, proposé par Automattic, la société derrière https://wordpress.com/, contributrice à WordPress) ;
  • amélioration du système de CAPTCHA
  • ajout de vues permettant une gestion plus aisée des formulaires par les administrateur·ices.

Les efforts de Theo ont porté leurs fruits : la détection automatique des spams et leur dépublication tout aussi automatique limitent la pollution présente sur Framaforms (ce qui évite les réclamations, donc de monopoliser l’attention d’un salarié pour y répondre) et l’interface de gestion des spams facilite grandement le travail des administrateur·ices.

Un homme avec un lance-flamme. Texte « Kill it! Kill it with fire before it lays eggs! »
Théo s’attaquant au problème des spams sur Framaforms (allégorie)

Le spam sur Framagit

Nous avons beaucoup d’utilisateur⋅ices sur Framagit : nous avons dépassé les 90 000 inscrit⋅es. Mais pour notre malheur, la grande majorité d’entre elleux est constituée de comptes de spam !

Après des mois de ménage, nous sommes redescendus à un peu moins de 34 000 comptes, mais nous ne sommes pas dupes : il y a encore beaucoup de comptes illégitimes.

À noter cependant : ces comptes de spam ne semblent pas être dommageables pour les utilisateur⋅ices de Framagit. En effet, leur nuisance se limite généralement à mettre des liens vers un site de poker en ligne, de rencontres voire… de plombiers à Dubaï (je ne comprends pas non plus 😅).

Ceci explique en partie pourquoi nous n’avons pas lutté très activement contre le spam sur Framagit (l’autre raison étant que nous n’avions tout simplement pas de temps à y consacrer).

Nous avions déjà eu une vague de spams lors de l’ouverture de Framagit et nous avions dû interdire l’accès de notre forge logicielle à l’Inde, à l’Indonésie et au Viêt Nam, restriction active jusqu’à la semaine dernière.
Cela n’est pas dans nos habitudes mais s’il faut choisir entre ça et le risque d’épuisement professionnel d’un membre de l’équipe, Framasoft préfère faire passer l’humain avant tout (🤗).

Une grande vague de nettoyage a eu lieu en juin, où j’ai recherché des critères communs aux comptes de spam afin de les supprimer en masse… ce qui a donné lieu à une vilaine boulette lorsque j’ai choisi des critères bien trop larges, conduisant à la suppression de nombreux comptes légitimes (rétablis depuis).

Depuis, j’ai vérifié manuellement chaque compte remonté par mes recherches… soit plus de 18 000 comptes depuis septembre. Parmi ceux-ci, il devait y en avoir, à la louche (parce que mes souvenirs me trahissent), une ou deux dizaines de comptes légitimes. Heureusement ! Je crois que j’aurais assez mal pris le fait d’avoir vérifié chaque compte pour rien 😅

Nous avons désormais un script qui supprime automatiquement les comptes qui ne se sont jamais connectés dans les 10 jours suivant leur inscription : ce sont visiblement des comptes de spam qui ne reçoivent pas les mails de confirmation et donc ne se sont jamais connectés.
Ce script nous remonte aussi les comptes dont la biographie ou les liens contiennent certains termes usités par les spammeur·euses.

Nous avons recherché une solution de CAPTCHA pour Framagit, mais celui-ci ne supporte que reCaptcha, la solution d’Alphabet/Google… et il était hors de question de faire fuiter les informations (adresse IP, caractéristiques du navigateur…) et permettre le tracking de nos utilisateurs vers les services de l’infâme bête aux multiples têtes que nous combattons !

Hercule et l’hydre de Lernes
Framasoft combattant Google, allégorie

Nous avons alors recherché quelqu’un·e qui saurait développer, contre rémunération, une solution de type honeypot.
Dans le ticket que nous avons, sans aucune honte, squatté pour poser notre petite annonce, on nous a aiguillés vers une fonctionnalité d’honeypot expérimentale et cachée de Gitlab que je me suis empressé d’activer.
Il faut bien le dire : c’est très efficace ! Le nombre de comptes automatiquement supprimés par le script évoqué plus haut est descendu de près de 100 par jour à entre 0 et 2 comptes, ce qui montre bien que les scripts des spammeur·euses pour s’inscrire ne fonctionnent plus aussi bien.

Bien évidemment, il reste encore beaucoup de spam sur Framagit, et de nombreux comptes de spam sont créés chaque jour (10 ? 15 ? 20 ? Ça dépend des jours…), mais nous ne comptons pas en rester là. Le honeypot pourrait être amélioré, ou nous pourrions voir pour une intégration d’Akismet à Gitlab (il y en a déjà une, mais elle n’est pas utilisée pour vérifier les biographies des comptes).
Gitlab permet maintenant de modérer les inscriptions en les acceptant une à une (comme nous le faisons sur Framapiaf) : nous avons récemment activé cette fonctionnalité, pour voir si la charge de modération était acceptable et si cela avait un effet bénéfique.

Mème de Winnie l’ourson : Winnie, habillé normalement, l’air un peu déconfit : « Delete spam one by one ». Winnie en smoking, l’air satisfait « Install a honeypot »

Nous recevons de temps à autre (bien moins ces derniers temps, fort heureusement) des mails indiquant que Framalink est utilisé pour dissimuler des liens de hameçonnage dans des mails.

Lorsque la vague d’utilisation malveillante s’est intensifiée, j’ai développé (et amélioré au fil du temps) quelques fonctionnalités dans Lstu (le logiciel derrière Framalink) : une commande pour supprimer des raccourcis, pour rechercher les raccourcis contenant une chaîne de caractères ou provenant d’une certaine adresse IP, un système de bannissement d’adresse IP, un système de domaines interdits, empêchant le raccourcissement d’URL de tels domaines, une vérification des URL dans la base de données Google Safe Browsing (lien en anglais) avant raccourcissement et même a posteriori (je vous rassure, aucune donnée n’est envoyée à Google, la base de données est copiée et utilisée en local).

Ces efforts n’ont pas été suffisamment efficaces et nous avons été obligés de couper l’accès à l’API de Framalink, ce qui n’est pas une panacée, mais tout cela a fortement réduit nos problèmes de spam (ou pas, mais en tout cas, on a beaucoup moins de mails nous alertant de l’utilisation de Framalink pour du hameçonnage).

Notez que c’est à cause de l’utilisation de Framalink à des fins malveillantes que ce service est souvent persona non grata chez Facebook, Twitter et consorts.

Framasite

Des framasites avec de jeunes filles dénudées qui jouent au poker avec des plombiers de contrées lointaines ? Eh bien non, même pas. Les spammeurs se contentent de créer des comptes dont le nom d’utilisateur·ice est du genre « Best adult dating site, register on… ».

Et tout comme sur Framagit, beaucoup de comptes créés ne sont jamais validés (vous savez, avec l’email qui dit « cliquez sur ce lien pour finaliser votre inscription » ?).

Heureusement que ce n’est que cela, Framasite n’ayant pas d’interface d’administration permettant la suppression propre d’utilisateur·ices (« propre » voulant dire avec suppression des sites créés). Une simple suppression des comptes illégitimes en base de données suffit à faire le ménage.

Mème avec Gru des films « Moi moche et méchant » qui fait une présentation : « Faire de l’éducation populaire », « Proposer un outil pour faire des sites », « Avoir des comptes appelés « Best adult dating site » » Gru se retourne, interloqué par la page de présentation « Avoir des comptes appelés « Best adult dating site » »

Framalibre

Framalibre est aussi sujet aux spams, mais il s’agit généralement là de notices de logiciels non libres. Soit les personnes créant ces notices n’ont pas compris que Framalibre n’était dédié qu’aux logiciels libres, soit elles ont essayé d’améliorer leur référencement en ajoutant leurs logiciels.

Pour une fois, ce n’est pas bien méchant, pas bien violent (cela n’arrive pas souvent) et la vigilance de l’équipe de modération permet de supprimer (manuellement) ces notices indésirables très rapidement.

WordPress (commentaires)

Les spams dans les commentaires d’un blog sont un graaaaand classique ! Nous avons opté, sur nos sites wordpress, pour les extensions Antispam Bee et Spam Honey Pot.

C’est plutôt efficace, il est rare qu’un spam passe à travers ce système.

Drupal (inscriptions)

Nous avons quelques autres installations de Drupal autres que Framaforms et Framalibre. Les spammeurs s’inscrivent, voient qu’ils ne peuvent rien publier facilement : les Drupal en question ont les inscriptions ouvertes pour une bonne raison, mais ne permettent pas de créer des articles comme ça, hop !

Ce n’est donc, à l’heure actuelle, pas gênant.

Notre formulaire de contact

« Un formulaire de contact ? Oh chic ! » se disent les spammeurs. Là aussi, nous recevons un certain nombre de spams, tous les jours, toutes les semaines (une quarantaine par semaine), ou par une ancienne adresse de contact.

Nous nous contentons de répondre « #spam » en commentaire du ticket créé dans notre RequestTracker : cela supprime le message et empêche son expéditeur·ice de nous envoyer d’autres messages (voir sur mon wiki personnel pour commander son RequestTracker par mail).

Les faux positifs

Deux boutons : « Spam », « Pas spam ». Un homme s’essuie le front, angoissé par le choix à faire. L’homme est légendé « L’antispam »
Spam, pas spam… la vie d’un antispam n’est pas facile.

Je n’ai pas encore parlé des faux positifs : des messages légitimes détectés à tort comme étant du spam. Cela arrive forcément, quel que soit le type de plateforme, quels que soient les moyens déployés : statistiquement, il y aura toujours, un jour, une erreur du système ou des humain·es derrière (cf la boulette évoquée dans la partie « Framagit »).

Et dans l’autre sens, on aura toujours des spams qui arriveront à passer. Il est généralement difficile voire impossible de durcir les règles de détection de spam sans augmenter la proportion de faux positifs.

Conclusion

Il n’y en pas vraiment. La lutte contre le spam est un combat sans fin, un jeu du chat et de la souris qui ne se termine jamais. On tente de se protéger du mieux qu’on peut, on trouve des astuces, ça va mieux pendant un temps et ça recommence.

Il faut pas se le cacher : plus un hébergeur « grossit », plus il prend de la renommée sur Internet, plus il y a de chances que des personnes malveillantes repèrent son service et l’utilisent pour leur spam. Il y a donc un paradoxe de l’hébergement : trop petit, on est vite seul·e et débordé·e par la multiplicité des tâches à accomplir pour faire les choses correctement…

Mais trop gros, on centralise les attentions, dont celles des personnes malveillantes qui auront peu de scrupules à parasiter les ressources que vous mettez en commun. Ce qui induit encore plus de travail pour se protéger des spams et les nettoyer.

Ça vous paraît pessimiste ? Ça l’est un peu, sans doute ¯\_(ツ)_/¯

Sisyphe poussant son rocher
La lutte contre le spam (allégorie)




Fournisseurs d’emails, arrêtez de faire de la merde ! (#PasMonCaca)

Cet article fait écho à mon précédent article sur le pouvoir de nuisance des silos de mail.

Dans cet article, je pestais contre le pouvoir ahurissant que confère une grosse base d’utilisateurs à certains fournisseurs de mail (Gmail, Yahoo, etc).

En effet, il est quasiment impensable pour quiconque envoie des mails de passer outre leurs façons de faire, sous peine de se couper d’une grande partie des internautes.

Quand bien même on se conforme à leurs desiderata, quand bien même on met en place toutes les bonnes pratiques existantes, certains fournisseurs de mail ne font pas leur travail correctement…

Nota Bene : Framasoft n’est pas la seule structure à rencontrer les problèmes décrits ci-dessous. Des universités aux entreprises en passant par les google groups, on trouve des témoignages un peu partout sur le Web de mails qui n’arrivent pas à destination, et les administrateurs systèmes échangent souvent entre eux pour savoir si ça vient d’eux ou du serveur d’en face (vous aurez déjà deviné, d’après le titre de cet article, d’où vient généralement le problème).

“Postman.” par Alexander, William (1767-1816) licence CC0 1.0

Florilège

À tout seigneur, tout honneur, commençons par laposte.net.

laposte.net

La Poste avait tout pour fournir un service de mail propre et performant : son histoire dans les communications remonte à loin (on peut faire remonter sa généalogie au XVe siècle avec la première poste d’État de Louis XI) et si nous avons tous eu une lettre ou un colis qui s’est perdu dans les méandres des centres de tri, force est de constater que ça fonctionnait quand même très bien. En 2000, la Poste, encore entreprise publique, devait pouvoir fournir une adresse électronique à tous les Français⋅e⋅s.

Comment ne pas lui faire confiance ? Nous-mêmes, libristes avons, pendant longtemps, conseillé laposte.net à qui nous demandait un fournisseur de mail « propre », qui n’espionne pas les conversations, ne met pas de publicité…

Les choses ont bien changé.

Le prestataire de la Poste (ah bah oui, c’est un sous-traitant, vous n’imaginiez quand même pas que la Poste allait avoir des compétences en interne à l’heure des suppressions de postes de fonctionnaires ?) semble être, excusez le terme, un vrai branquignol : nous avons souvent des messages d’erreur comme 421 4.3.2 All server ports are busy (les serveurs ne sont pas correctement dimensionnés), 550 5.5.0 Service refuse. Veuillez essayer plus tard. service refused, please try later. LPN007_510 (« nope, on veut pas, revenez plus tard ») ou mon préféré, 451 4.7.1 Service unavailable – try again later (tout est vautré).

Ça fait des mois que les serveurs de laposte.net plantent régulièrement, avec en point d’orgue une panne qui a duré plusieurs jours en avril et une communication qui a mis plusieurs jours à arriver (un message pour dire qu’il y a un problème serait-il un aveu de faiblesse pour eux ?).

Résultat :

  • les mails s’accumulent sur nos serveurs, et comme on retente de les envoyer pendant quelques jours, eh bien ça ralentit le traitement des autres mails (bon, maintenant, j’ai mis en place des mailqueues séparées, mais ce n’est pas quelque chose que je devrais avoir à mettre en place !) ;
  • les utilisateurs ne reçoivent pas leurs mails de confirmation d’inscription à nos services ;
  • qui les utilisateurs contactent-ils ? Ah bah non, pas le support de la Poste, ce serait trop simple. Non, non, c’est nous. Et c’est usant. Non pas de vous répondre, mais le fait que ce soit 95 % du temps la faute à votre fournisseur de mail qui ne fait pas correctement son boulot.

Orange (wanadoo)

Ah, Orange. Tout un poème…

L’opérateur historique qui, lui aussi, a bénéficié de son aura d’ancien service public pour capter une grande majorité des internautes français lorsque vint l’heure de se choisir son premier FAI. Du coup, beaucoup de personnes ont encore une adresse wanadoo. Et comme Orange est le FAI majoritaire en France, encore plus de personnes ont une adresse orange.

J’avais déjà parlé dans mon précédent article de sa sale manie de ne pas accepter qu’on lui envoie trop de mails en une seule connexion. Imaginez un quidam qui refuse que son facteur lui apporte plus de trois lettres par tournée. Le facteur doit donc se représenter plusieurs fois s’il a plus de trois lettres à délivrer. C’est débile. Orange fait ça, mais pour le mail.

C’est le seul fournisseur que je connaisse qui impose ce genre de limite (qu’on ne vienne pas me dire que c’est pour lutter contre le spam : comment font les autres ? Hein ? Orange n’aurait pas les capacités financières et techniques de lutter plus proprement contre le spam ?).

Heureusement, ça se règle facilement, mais tout de même.

Et puis, de temps en temps, pouf, il rejette nos mails à coup de 550 5.2.0 Mail rejete. Mail rejected. ofr_506. Pourquoi ? Va savoir. Et ça se débloque tout seul au bout d’un temps.

Free

Après l’opérateur historique, voici celui qu’on surnomme le trublion du net. De temps en temps, celui-ci semble modifier les règles de son antispam, et nous voilà avec des mails 550 spam detected, quand bien même c’est le 300e mail quasi identique que nous envoyons de la journée. Et puis ça s’en va et ça revient.

Pareil avec 451 too many errors from your ip, ça bloque de temps en temps et ça repart comme c’est venu… alors qu’il s’agit majoritairement de mails de notification (framapiaf, framasphere, framagit…) et donc que les adresses ont été vérifiées ! Certes, il peut y avoir des erreurs, mais tellement peu dans le volume de mails que nous envoyons à Free… Ça arrive vraiment de façon aléatoire. Grmpf.

Facebook

On l’oublie, mais Facebook, en 2010, a proposé d’avoir une adresse mail @facebook.com (bon, ils ont arrêté les inscriptions en 2014, ce qui explique l’oubli). Et certaines personnes utilisent encore ces adresses.

Nos mails étaient bloqués de temps à autre avec un code 554 5.7.1 POL-P4 Connection refused, ce qui veut dire en gros « Revenez dans 24 ou 48 heures ». En soi, ce n’était pas forcément délirant, si jamais nous avions, pour une raison ou pour une autre, envoyé beaucoup de mails d’un coup à leurs serveurs. Mais depuis quelques semaines, il n’y a plus de déblocage : nos mails ne partent plus pour facebook.com, même en les faisant partir d’un autre serveur ou en diminuant la vitesse d’envoi.


Voilà pour les fournisseurs de mails qui font n’importe quoi avec leurs serveurs. Ils présentent tout de même l’avantage de nous permettre de comprendre pourquoi les destinataires n’ont pas reçu leurs mails, fût-ce pour de stupides raisons. Mais il y en a de plus vicieux…

Ceux qui n’amènent pas les mails à leurs destinataires (ou qui les cachent)

On ne les connaît pas bien, ce n’est que lorsque l’on nous contacte pour et que nous voyons que le mail est bien parti qu’on les repère : les fournisseurs de mails qui acceptent nos mails mais, pour une raison ou pour une autre, les envoient rejoindre le grand rien.

Eh oui, nos mails disparaissent parfois sur le serveur de votre fournisseur de messagerie. Vous ne les trouverez dans aucun dossier, pas même dans les spams.

Il s’agit le plus souvent de choix algorithmiques du fournisseur : l’antispam est vraiment sûr que ce message est frauduleux ? Bah, pas la peine d’embêter l’utilisateur, on le jette ! (ce qui est stupide car ne permettant pas la correction des faux positifs par les utilisateurs).

Encore mieux, Gmail. Comme expliqué dans notre FAQ, si vous recevez un mail identique à un que vous avez envoyé, comme un message à une framaliste à laquelle vous êtes inscrit, Gmail cachera le mail reçu de la liste. Vous l’avez envoyé, vous en connaissez le contenu, non ? Ah, vous vouliez voir quand le message arriverait, histoire d’être sûr qu’il a bien été traité par notre serveur de listes ? Pas de bol.

Ceux qui proposent une application pourrie

Les personnes qui utilisent l’application de mail Orange sur leur téléphone ont des soucis pour envoyer des messages à des framalistes. Après investigation, nous nous sommes rendus compte que l’application met l’adresse de la liste (enfin un dérivé, elle met l’adresse dédiée à la réexpédition des mails reçus par la liste) dans l’en-tête Sender.

Que cela veut-il dire et pourquoi est-ce un problème ? Cela fait croire que le mail provient du serveur des framalistes. Comme notre serveur n’est pas stupide, voyant un mail provenant soit-disant de lui-même mais passant par un serveur non-autorisé à envoyer des mails framalistes, celui-ci refuse le mail. Tout simplement. C’est une des techniques classiques de lutte contre le spam que d’agir ainsi.

“cow dung patties” par mary jane watson licence CC BY 2.0

Conclusion

Les problèmes face aux gros silos de mail sont nombreux, et sont loin d’être tous dus à une mauvaise configuration de votre serveur mail que vous chouchoutez vous-même (ou de ceux que nous configurons… Non vraiment, c’est pas nous qui pondons de telles bouses ! D’où ce joli hache-tague : c’est #PasMonCaca).

Je pense personnellement et sincèrement qu’il y a une part d’incompétence de la part de ces silos dans un certain nombre de cas. Si tout le monde jouait le jeu correctement, le mail ne serait pas aussi compliqué qu’aujourd’hui.

Que pouvez-vous faire ? Eh bien, à part changer de fournisseur de mail (connaissez-vous les CHATONS ?), vous pouvez contacter le support de votre fournisseur actuel, lui expliquer la situation et lui dire que ce n’est pas normal. Nous pouvons vous fournir, le cas échéant, les codes d’erreur retournés par son serveur pour les mails que nous vous envoyons. Peut-être qu’en étant suffisamment nombreux à râler, la situation évoluera.

Fun fact : combien des fournisseurs de mail évoqués dans cet article permettent de contacter leur serveur de mail en IPv6 ? Un seul — je vous laisse chercher lequel 😁

(Et si vous vous posez la question, oui, les serveurs de framasoft.org et framalistes.org sont accessibles en IPv6, comme toute l’infrastructure de Framasoft. Quand on veut, on peut.)

Image d’en-tête par barefootcollege, source.




Caliopen, la messagerie libre sur la rampe de lancement

Le projet Caliopen, lancé il y a trois ans, est un projet ambitieux. Alors qu’il est déjà complexe de créer un nouveau logiciel de messagerie, il s’agit de proposer un agrégateur de correspondance qui permette à chacun d’ajuster son niveau de confidentialité.

Ce logiciel libre mûrement réfléchi est tout à fait en phase avec ce que Framasoft s’efforce de promouvoir à chaque fois que des libristes donnent aux utilisateurs et utilisatrices plus d’autonomie et de maîtrise, plus de sécurité et de confidentialité.

Après une nécessaire période d’élaboration, le projet Caliopen invite tout le monde à tester la version alpha et à faire remonter les observations et suggestions. La première version grand public ce sera pour dans un an environ.

Vous êtes curieux de savoir ce que ça donne ? Nous l’étions aussi, et nous avons demandé à Laurent Chemla, qui bidouillait déjà dans l’Internet alors que vous n’étiez même pas né⋅e, de nous expliquer tout ça, puisqu’il est le père tutélaire du projet Caliopen, un projet que nous devons tous soutenir et auquel nous pouvons contribuer.

Bonjour, pourrais-tu te présenter brièvement ?

J’ai 53 ans, dont 35 passés dans les mondes de l’informatique et des réseaux. Presque une éternité dans ce milieu – en tous cas le temps d’y vivre plusieurs vies (« pirate », programmeur, hacktiviste, entrepreneur…). Mais ces temps-ci je suis surtout le porteur du projet Caliopen, même si je conserve une petite activité au sein du CA de la Quadrature du Net. Et je fais des macarons.

Le projet Caliopen arrive ce mois-ci au stade de la version alpha, mais comment ça a commencé ?

Jérémie Zimmermann est venu me sortir de ma retraite nîmoise en me poussant à relancer un très ancien projet de messagerie après les révélations de Snowden. Ça faisait déjà un petit moment que je me demandais si je pouvais encore être utile à la communauté autrement qu’en publiant quelques billets de temps en temps, alors j’ai lancé l’idée en public, pour voir, et il y a eu un tel retour que je n’ai pas pu faire autrement que d’y aller, malgré ma flemme congénitale.

Quand tu as lancé le projet publiquement (sur une liste de diffusion il me semble) quelle était la feuille de route, ou plutôt la « bible » des spécifications que tu souhaitais voir apparaître dans Caliopen ?

Très vite on a vu deux orientations se dessiner : la première, très technique, allait vers une vision maximaliste de la sécurité (réinventer SMTP pour protéger les métadonnées, garantir l’anonymat, passer par du P2P, ce genre de choses), tandis que la seconde visait à améliorer la confidentialité des échanges sans tout réinventer. Ça me semblait plus réaliste – parce que compatible avec les besoins du grand public – et c’est la direction que j’ai choisi de suivre au risque de fâcher certains contributeurs.

J’ai alors essayé de lister toutes les fonctionnalités (aujourd’hui on dirait les « User Stories ») qui sont apparues dans les échanges sur cette liste, puis de les synthétiser, et c’est avec ça que je suis allé voir Stephan Ramoin, chez Gandi, pour lui demander une aide qu’il a aussitôt accepté de donner. Le projet a ensuite évolué au rythme des échanges que j’ai pu avoir avec les techos de Gandi, puis de façon plus approfondie avec Thomas Laurent pendant la longue étape durant laquelle nous avons imaginé le design de Caliopen. C’est seulement là, après avoir défini le « pourquoi » et le « quoi » qu’on a pu vraiment commencer à réfléchir au « comment » et à chercher du monde pour le réaliser.

La question qui fâche : quand on lit articles et interviews sur Caliopen, on a l’impression que le concept est encore super flou. C’est quoi l’elevator pitch pour vendre le MVP de la start-up aux business angels des internets digitaux ? (en français : tu dis quoi pour convaincre de nouveaux partenaires financiers ?)

Ça fait bien 3 ans que le concept de base n’a pas bougé : un agrégateur de correspondances qui réunit tous nos échanges privés (emails, message Twitter ou Facebook, messageries instantanées…), sous forme de conversations, définies par ceux avec qui on discute plutôt que par le protocole utilisé pour le faire. Voilà pour ton pitch.

Ce qui est vrai c’est qu’en fonction du public auquel on s’adresse on ne présente pas forcément le même angle.  Le document qui a été soumis à BPI France pour obtenir le financement actuel fait 23 pages, très denses. Il aborde les aspects techniques, financiers, l’état du marché, la raison d’être de Caliopen, ses objectifs sociétaux, ses innovations, son design, les différents modèles économiques qui peuvent lui être appliqués… ce n’est pas quelque chose qu’on peut développer en un article ou une interview unique.

Si j’aborde Caliopen sous l’angle de la vie privée, alors j’explique par exemple le rôle des indices de confidentialité, la façon dont le simple fait d’afficher le niveau de confidentialité d’un message va influencer l’utilisateur dans ses pratiques: on n’écrit pas la même chose sur une carte postale que dans une lettre sous enveloppe. Rien que sur ce sujet, on vient de faire une conférence entière (à Paris Web et à BlendWebMix) sans aborder aucun des autres aspects du projet.

Si je l’aborde sous l’angle technique, alors je vais peut-être parler d’intégration « verticale ». Du fait qu’on ne peut pas se contenter d’un nouveau Webmail, ou d’un nouveau protocole, si on veut tenir compte de tous les aspects qui font qu’un échange est plus ou moins secret. Ce qui fait de Caliopen un ensemble de différentes briques plutôt qu’une unique porte ou fenêtre. Ou alors je vais parler de la question du chiffrement, de la diffusion des clés publiques, de TOFU et du RFC 7929…

Mais on peut aussi débattre du public visé, de design, d’économie du Web, de décentralisation… tous ces angles sont pertinents, et chacun peut permettre de présenter Caliopen avec plus ou moins de détails.

Caliopen est un projet complexe, fondé sur un objectif (la lutte contre la surveillance de masse) et basé sur un moyen (proposer un service utile à tous), qui souhaite changer les habitudes des gens en les amenant à prendre réellement conscience du niveau d’exposition de leur vie privée. Il faut plus de talent que je n’en ai pour le décrire en quelques mots.

Il reste un intérêt pour les mails ? On a l’impression que tout passe par les webmails ou encore dans des applis de communication sur mobile, non ?

Même si je ne crois pas à la disparition de l’email, c’est justement parce qu’on a fait le constat qu’aujourd’hui la correspondance numérique passe par de très nombreux services qu’on a imaginé Caliopen comme un agrégateur de tous ces échanges.

C’est un outil qui te permet de lire et d’écrire à tes contacts sans avoir à te préoccuper du service, ou de l’application, où la conversation a commencé. Tu peux commencer un dialogue avec quelqu’un par message privé sur Twitter, la poursuivre par email, puis par messagerie instantanée… ça reste une conversation: un échange privé entre deux humains, qui peuvent aborder différents sujets, partager différents contenus. Et quand tu vas vouloir chercher l’information que l’autre t’a donné l’année passée, tu vas faire comment ?

C’est à ça que Caliopen veut répondre. Pour parler moderne, c’est l’User Story centrale du projet.

C’est quoi exactement cette histoire de niveaux de confidentialité ? Quel est son but ?

Il faut revenir à l’objectif principal du projet : lutter contre la surveillance de masse que les révélations d’Edward Snowden ont démontrée.

Pour participer à cette lutte, Caliopen vise à convaincre un maximum d’utilisateurs de la valeur de leur vie privée. Et pour ça, il faut d’abord leur montrer, de manière évidente, que leurs conversations sont très majoritairement espionnables, sinon espionnées. Notre pari, c’est que quand on voit le risque d’interception, on réagit autrement que lorsqu’on est seulement informé de son existence. C’est humain : regarde l’exemple de la carte postale que je te donne plus haut.

D’où l’idée d’associer aux messages (mais aussi aux contacts, aux terminaux, et même à l’utilisateur lui-même) un niveau de confidentialité. Représenté par une icône, des couleurs, des chiffres, c’est une question de design, mais ce qui est important c’est qu’en voyant le niveau de risque, l’utilisateur ne va plus pouvoir faire semblant de l’ignorer et qu’il va accepter de changer – au moins un peu – ses pratiques et ses habitudes pour voir ce niveau augmenter.

Bien sûr, il faudra l’accompagner. Lui proposer des solutions (techniques, comportementales, contextuelles) pour améliorer son « score ». Sans le culpabiliser (ce n’est pas la bonne manière de faire) mais en le récompensant  – par une meilleure note, de nouvelles fonctionnalités, des options gratuites si le service est payant… bref par une ludification de l’expérience utilisateur. C’est notre piste en tous cas.

Et c’est en augmentant le niveau global de confidentialité des échanges qu’on veut rendre plus difficile (donc plus chère) la surveillance de tous, au point de pousser les états – et pourquoi pas les GAFAM – à changer de pratiques, eux aussi.

Financièrement, comment vit le projet Caliopen ? C’était une difficulté qui a retardé l’avancement ?

Sans doute un peu, mais je voudrais quand même dire que, même si je suis bien conscient de l’impression de lenteur que peut donner le projet, il faut se rendre compte qu’on parle d’un outil complexe, qui a démarré de zéro, avec aucun moyen, et qui s’attaque à un problème dont les racines datent de plusieurs dizaines d’années. Si c’était facile et rapide à résoudre, ça se saurait.

Dès l’instant où nous avons pris conscience qu’on n’allait pas pouvoir continuer sur le modèle du bénévolat, habituel au milieu du logiciel libre, nous avons réagi assez vite : Gandi a décidé d’embaucher à plein temps un développeur front end, sur ses fonds propres. Puis nous avons répondu à un appel à projet de BPI France qui tombait à pic et auquel Caliopen était bien adapté. Nous avons défendu notre dossier, devant un comité de sélection puis devant un panel d’experts, et nous avons obtenu de quoi financer deux ans de développement, avec une équipe dédiée et des partenaires qui nous assurent de disposer de compétences techniques rares. Et tout ça est documenté sur notre blog, depuis le début (tout est public depuis le début, d’ailleurs, même si tous les documents ne sont pas toujours faciles à retrouver, même pour nous).

Et finalement c’est qui les partenaires ?

Gandi reste le partenaire principal, auquel se sont joints Qwant et l’UPMC (avec des rôles moins larges mais tout aussi fondamentaux).

Quel est le modèle économique ? Les développeurs (ou développeuses, y’en a au fait dans l’équipe ?) sont rémunérés autrement qu’en macarons ? Combien faudra-t-il payer pour ouvrir un compte ?

Je ne suis pas sûr qu’on puisse parler de « modèle économique » pour un logiciel libre : après tout chacun pourra en faire ce qu’il voudra et lui imaginer tel ou tel modèle (économique ou non d’ailleurs).

Une fois qu’on a dit ça, on peut quand même dire qu’il ne serait pas cohérent de baser des services Caliopen sur l’exploitation des données personnelles des utilisateurs, et donc que le modèle « gratuité contre données » n’est pas adapté. Nous imaginons plutôt des services ouverts au public de type freemium, d’autres fournis par des entreprises pour leurs salariés, ou par des associations pour leurs membres. On peut aussi supposer que se créeront des services pour adapter Caliopen à des situations particulières, ou encore qu’il deviendra un outil fourni en Saas, ou vendu sous forme de package associé, par exemple, à la vente d’un nom de domaine.

Bref : les modèles économiques ce n’est pas ce qui manque le plus.

L’équipe actuelle est salariée, elle comporte des développeuses, et tu peux voir nos trombinettes sur https://www.caliopen.org

L’équipe de Caliopen

 

Trouver des développeurs ou développeuses n’est jamais une mince affaire dans le petit monde de l’open source, comment ça s’est passé pour Caliopen ?

Il faut bien comprendre que – pour le moment – Caliopen n’a pas d’existence juridique propre. Les gens qui bossent sur le projet sont des employés de Gandi (et bientôt de Qwant et de l’UPMC) qui ont soit choisi de consacrer une partie de leur temps de travail à Caliopen (ce que Gandi a rendu possible) soit été embauchés spécifiquement pour le projet. Et parfois nous avons des bénévoles qui nous rejoignent pour un bout de chemin 🙂

Le projet est encore franco-français. Tu t’en félicites (cocorico) ou ça t’angoisse ?

J’ai bien des sujets d’angoisse, mais pas celui-là. C’est un problème, c’est vrai, et nous essayons de le résoudre en allant, par exemple, faire des conférences à l’étranger (l’an dernier au FOSDEM, et cette année au 34C3 si notre soumission est acceptée). Et le site est totalement trilingue (français, anglais et italien) grâce au travail (bénévole) de Daniele Pitrolo.

D’un autre côté il faut quand même reconnaître que bosser au quotidien dans sa langue maternelle est un vrai confort dont il n’est pas facile de se passer. Même si on est tous conscients, je crois, qu’il faudra bien passer à l’anglais quand l’audience du projet deviendra un peu plus internationale, et nous comptons un peu sur les premières versions publiques pour que ça se produise.

Et au fait, c’est codé en quoi, Caliopen ? Du JavaScript surtout, d’après ce qu’on voit sur GitHub, mais nous supposons qu’il y a pas mal de technos assez pointues pour un tel projet ?

Sur GitHub, le code de Caliopen est dans un mono-repository, il n’y a donc pas de paquet (ou dépôt) spécifique au front ou au back. Le client est développé en JavaScript avec la librarie ReactJS. Le backend (l’API ReST, les workers …) sont développés en python et en Go. On n’a pas le détail mais ce doit être autour de 50% JS+css, 25% python, 25% Go. L’architecture est basée sur Cassandra et ElasticSearch.

Ce n’est pas que l’on utilise des technos pointues, mais plutôt qu’ on évite autant que possible la dette technique en intégrant le plus rapidement possible les évolutions des langages et des librairies que l’on utilise.

Donc il faut vraiment un haut niveau de compétences pour contribuer ?

Difficile à dire. Si on s’arrête sur l’aspect développement pur, les technos employées sont assez grand public, et si on a suivi un cursus standard on va facilement retrouver ses habitudes (cf. https://github.com/kamranahmedse/developer-roadmap).

Effectivement quelqu’un qui n’a pas l’habitude de développer sur ces outils (docker, Go, webpack, ES6+ …) risque d’être un peu perdu au début. Mais on est très souvent disponibles sur IRC pour répondre directement aux questions.

Néanmoins nous avons de « simples » contributions qui ne nécessitent pas de connaître les patrons de conception par cœur ou de devoir monter un cluster; par exemple proposer des corrections orthographiques, de nouvelles traductions, décrire des erreurs JavaScript dans des issues sur github, modifier un bout de css…

Ou même aider la communauté sur https://feedback.caliopen.org/ ou sur les réseaux sociaux, tout ça en fait partie.

Et bien sûr les alpha-testeurs sont bienvenus surtout s’ils font des retours d’expérience.

Qu’est-ce qui différencie le projet Caliopen d’un projet comme Protonmail ?

Protonmail est un Gmail-like orienté vers la sécurité. Caliopen est un agrégateur de correspondance privée (ce qui n’est rien-like) orienté vers l’amélioration des pratiques du grand public via l’expérience utilisateur. Protonmail est centralisé, Caliopen a prévu tout un (futur) écosystème exclusivement destiné à garantir la décentralisation des échanges. Et puis Caliopen est un logiciel libre, pas Protonmail.

Mais au-delà de ces différences techniques et philosophiques, ce sont surtout deux visions différentes, et peut-être complémentaires, de la lutte contre la surveillance de masse: Protonmail s’attaque à la protection de ceux qui sont prêts à changer leurs habitudes (et leur adresse email) parce qu’ils sont déjà convaincus qu’il faut faire certains efforts pour leur vie privée. Caliopen veut changer les habitudes de tous les autres, en leur proposant un service différent (mais utile) qui va les sensibiliser à la question. Parce qu’il faut bien se rendre compte que, malgré son succès formidable, aujourd’hui le nombre d’utilisateurs de Protonmail ne représente qu’à peine un millième du nombre d’utilisateurs de Gmail, et que quand les premiers échangent avec les seconds ils ne sont pas mieux protégés que M. Michu.

Maintenant, si tu veux bien imaginer que Caliopen est aussi un succès (on a le droit de rêver) et qu’il se crée un jour disons une dizaine de milliers de services basés sur noooootre proooojet, chacun ne gérant qu’un petit dixième du nombre d’utilisateurs de Protonmail… Eh ben sauf erreur on équilibre le nombre d’utilisateurs de Gmail et – si on a raison de croire que l’affichage des indices de confidentialité va produire un effet – on a significativement augmenté le niveau global de confidentialité.

Et peut-être même assez pour que la surveillance de masse devienne hors de prix.

Est-ce que dans la future version de Caliopen les messages seront chiffrés de bout en bout ?

À chaque fois qu’un utilisateur de Caliopen va vouloir écrire à un de ses contacts, c’est le protocole le plus sécurisé qui sera choisi par défaut pour transporter son message. Prenons un exemple et imaginons que tu m’ajoutes à tes contacts dans Caliopen : tu vas renseigner mon adresse email, mon compte Twitter, mon compte Mastodon, mon Keybase… plus tu ajouteras de moyens de contact plus Caliopen aura de choix pour m’envoyer ton message. Et il choisira le plus sécurisé par défaut (mais tu pourras décider de ne pas suivre son choix).

Plus tes messages auront pu être sécurisés, plus hauts seront leurs indices de confidentialité affichés. Et plus les indices de confidentialité de tes échanges seront hauts, plus haut sera ton propre indice global (ce qui devrait te motiver à mieux renseigner ma fiche contact afin d’y ajouter l’adresse de mon email hébergé sur un service Caliopen, parce qu’alors le protocole choisi sera le protocole intra-caliopen qui aura un très fort indice de confidentialité).

Mais l’utilisateur moyen n’aura sans doute même pas conscience de tout ça. Simplement le système fera en sorte de ne pas envoyer un message en clair s’il dispose d’un moyen plus sûr de le faire pour tel ou tel contact.

Est-ce qu’on pourra (avec un minimum de compétences, par exemple pour des CHATONS) installer Caliopen sur un serveur et proposer à des utilisateurs et utilisatrices une messagerie à la fois sécurisée et respectueuse ?

C’est fondamental, et c’est un des enjeux de Caliopen. Souvent quand je parle devant un public technique je pose la question : « combien de temps mettez-vous à installer un site Web en partant de zéro, et combien de temps pour une messagerie complète ? ». Et les réponses aujourd’hui sont bien sûr diamétralement opposées à ce qu’elle auraient été 15 ans plus tôt, parce qu’on a énormément travaillé sur la facilité d’installation d’un site, depuis des années, alors qu’on a totalement négligé la messagerie.

Si on veut que Caliopen soit massivement adopté, et c’est notre objectif, alors il faudra qu’il soit – relativement – facile à installer. Au moins assez facile pour qu’une entreprise, une administration, une association… fasse le choix de l’installer plutôt que de déléguer à Google la gestion du courrier de ses membres. Il faudra aussi qu’il soit facilement administrable, et facile à mettre à jour. Et tout ceci a été anticipé, et analysé, durant tout ce temps où tu crois qu’on n’a pas été assez vite !

On te laisse le dernier mot comme il est de coutume dans nos interviews pour le blog…

À lire tes questions j’ai conscience qu’on a encore beaucoup d’efforts à faire en termes de communication. Heureusement pour nous, Julien Dubedout nous a rejoints récemment, et je suis sûr qu’il va beaucoup améliorer tout ça. 🙂




Être un géant du mail, c’est faire la loi…

Google, Yahoo, Microsoft (Outlook.com & Hotmail) voient forcément vos emails. Que vous soyez chez eux ou pas, nombre de vos correspondant·e·s y sont (c’est mathématique !), ce qui fait que vos échanges finissent forcément par passer sur leurs serveurs. Mais ce n’est pas là le seul problème.

Quand les facteurs deviennent shérifs…

« Bonjour, c’est moi qui fais la loi ! »
Par Mennonite Church USA ArchivesAlta Hershey, Incoming Mail, 1957, No restrictions, Link

Ça, c’est côté public : « Tout le monde est chez eux, alors au final, que j’y sois ou pas, qu’est-ce que ça change ? ». En coulisses, côté serveurs justement, ça change tout. La concentration des utilisateurs est telle qu’ils peuvent de fait imposer des pratiques aux « petits » fournisseurs d’emails, de listes de diffusion, etc. Ben oui : si vous ne respectez pas les exigences de Gmail, les emails que vous enverrez vers tou·te·s leurs utilisateurs et utilisatrices peuvent passer en spam, voire être tout bonnement bloqués.

Comme pour Facebook, on se trouve face à un serpent qui se mord la queue : « Tous mes amis sont dessus, alors je peux pas aller sur un autre réseau… » (phrase entendue lors des début de Twitter, Instagram, Snapchat, et Framasphère*…). Sauf qu’en perdurant chez eux, on devient aussi une part de la masse qui leur confère un pouvoir sur la gouvernance – de fait – d’Internet !

Il n’y a pas de solutions idéale (et, s’il vous plaît, ne jugeons pas les personnes qui participent à ces silos… elles sont souvent pas très loin dans le miroir 😄) ; mais nous pensons que prendre conscience des enjeux, c’est faire avancer sa réflexion et sa démarche vers plus de libertés.

Nous reprenons donc ici un article de Luc, notre administrateur-système, qui a partagé sur son blog son expérience de « petit » serveur d’email (à savoir Framasoft, principalement pour Framalistes) face à ces Léviathans. Luc ayant placé son blog dans le domaine public, nous nous sommes permis de remixer cet article avec des précisions qu’il a faites en commentaires et des simplifications/explications sur les parties les plus techniques (à grands coups de notes intempestives 😜 ).

Le pouvoir de nuisance des silos de mail

Crédits : Illus­tra­tion de Vincent Van Gogh, Joseph Roulin assis

par Luc Didry, aka Framasky.

Quand on pense aux GAFAM, on pense surtout à leur vilaine habi­tude d’as­pi­rer les données de leurs utili­sa­teurs (et des autres aussi d’ailleurs) mais on ne pense pas souvent à leur poids déme­suré dans le domaine du mail.

Google, c’est gmail, Micro­soft, c’est hotmail, live, msn et je ne sais quels autres domaines, etc. [Outlook.com. On l’oublie souvent. – Note du Framablog]

Tout ça repré­sente un nombre plus que consé­quent d’uti­li­sa­teurs. Google reven­diquait en 2015 900 millions de comptes Gmail. Bon OK, il y en a une part qui ne doit servir qu’à avoir un compte pour son téléphone Android, mais quand même. C’est énorme.

Je n’ai pas de statis­tiques pour Micro­soft et Yahoo, mais c’est pareil : ils pèsent un certain poids dans les échanges mondiaux [nous, on en a trouvé : 1,6 milliard de comptes à eux trois en 2016 – NdF].

Ce qui nous ramène à une situa­tion des plus déplai­santes où un petit nombre d’ac­teurs peut en em***er une multi­tude.

WARNING : la liste à puce qui suit contient des exemples techniques un poil velus. Nos notes vous aideront à y survivre, mais vous avez le droit de la passer pour lire la suite des réflexions de Luc. Ah, et puis il a son franc-parler, le loustic. ^^ – NdF.

Petits exemples vécus :

  • Micro­soft bloque tout nouveau serveur mail qu’il ne connaît pas. C’est arrivé pour mon serveur perso, le serveur de mail de Frama­soft que j’ai mis en place, sa nouvelle IP [l’adresse qui permet d’indiquer où trouver un serveur – NdF] quand je l’ai migré, le serveur de listes de Frama­soft et sa nouvelle IP quand je l’ai migré. Ça me pétait une erreur 554 Message not allowed (de mémoire, je n’ai plus le message sous la main) [erreur qui fait que l’email est tout bonnement refusé – NdF]. Et pour trou­ver comment s’en débrouiller, bon courage : la page d’er­reur de Micro­soft n’in­diquait rien. Je n’ai même pas trouvé tout seul (et pour­tant j’ai cher­ché) : c’est un ami qui m’a trouvé la bonne adresse où se faire dé-black­lis­ter (notez au passage qu’il est impos­sible de faire dé-black­lis­ter une adresse ou un bloc d’adresses IPv6 [la nouvelle façon d’écrire les adresses IP, indispensable face à la croissance du nombre de machines connectées à Internet – NdF]).
  • Gmail qui, du jour au lende­main, décide de mettre tous les mails de mon domaine person­nel en spam. Ce qui ne serait pas trop gênant (hé, les faux posi­tifs, ça existe) si ce n’était pour une raison aber­rante (ou alors c’est une sacrée coïn­ci­dence) : ça s’est passé à partir du moment où j’ai activé DNSSEC [une façon de sécuriser les échanges avec les serveurs DNS [ces serveurs sont les annuaires qui font correspondre une adresse web avec l’adresse IP difficile à retenir pour les humains – NdF²]] sur mon domaine. Et ça s’est terminé dès que j’ai ajouté un enre­gis­tre­ment SPF [une vérification que les emails envoyés ne sont pas usurpés – NdF] à ce domaine. Or le DNSSEC et le SPF n’ont rien à voir ! Surtout pas dans cet ordre-là ! Qu’on ne fasse confiance à un enre­gis­tre­ment SPF que dès lors que le DNS est de confiance (grâce à DNSSEC), soit, mais pourquoi néces­si­ter du SPF si on a du DNSSEC ? [Oui, pourquoi ? – NdF qui laisse cette question aux spécialistes]
  • Yahoo. Ah, Yahoo. Yahoo a décidé de renfor­cer la lutte contre le spam (bien) mais a de fait cassé le fonc­tion­ne­ment des listes de diffu­sion tel qu’il était depuis des lustres (pas bien). En effet, quand vous envoyez un mail à une liste de diffu­sion, le mail arrive dans les boîtes des abon­nés avec votre adresse comme expé­di­teur, tout en étant envoyé par le serveur de listes [le serveur de listes se fait passer pour vous, puisque c’est bien vous qui l’avez envoyé par son intermédiaire… vous suivez ? – NdF]. Et Yahoo a publié un enre­gis­tre­ment DMARC [une sécurité de plus pour l’email… heureusement que Luc a mis des liens wikipédia, hein ? – NdF] indiquant que tout mail ayant pour expé­di­teur une adresse Yahoo doit impé­ra­ti­ve­ment prove­nir d’un serveur de Yahoo. C’est bien gentil, mais non seule­ment ça fout en l’air le fonc­tion­ne­ment des listes de diffu­sion, mais surtout ça met le bazar partout : les serveurs de mail qui respectent les enre­gis­tre­ments DMARC appliquent cette règle, pas que les serveurs de Yahoo. Notez qu’AOL fait la même chose.
  • Orange fait aussi son chieur à coup d’er­reurs Too many connections, slow down. OFR004_104 [104] [« trop de connexions, ralentissement », une erreur qui fait la joie des petits et des grands admin-sys – NdF]. C’est telle­ment connu que le moteur de recherche Google suggère de lui-même wanadoo quand on cherche Too many connections, slow down. Voici la solu­tion que j’ai utili­sée.

Pour s’en remettre, voici une image qui fait plaisir…

On peut le voir, le pouvoir de nuisance de ces silos est énorme. Et plus encore dans le cas de Yahoo qui n’im­pacte pas que les commu­ni­ca­tions entre ses serveurs et votre serveur de listes de diffu­sion, mais entre tous les serveurs et votre serveur de listes, pour peu que l’ex­pé­di­teur utilise une adresse Yahoo [on confirme : dès qu’une personne chez Yahoo utilisait Framalistes, ça devenait un beau bord… Bref, vous comprenez. Mais Luc a lutté et a fini par arranger tout cela. – NdF]. Et comme il y a encore pas mal de gens possé­dant une adresse Yahoo, il y a des chances que vous vous rencon­triez le problème un jour ou l’autre.

Je sais bien que c’est pour lutter contre le spam, et que la messagerie propre devient si compliquée que ça pourrait limite devenir un champ d’expertise à part entière, mais le problème est que quand un de ces gros acteurs tousse, ce sont tous les administrateurs de mail qui s’enrhument.

Si ces acteurs étaient de taille modeste, l’en­semble de la commu­nauté pour­rait soit leur dire d’ar­rê­ter leurs bêtises, soit les lais­ser crever dans leurs forte­resses injoi­gnables. Mais ce n’est malheu­reu­se­ment pas le cas. 🙁 « À grand pouvoir, grandes responsabilités »… Je crois avoir montré leur pouvoir de nuisance, j’aimerais qu’ils prennent leurs responsabilités.

Ils peuvent dicter leur loi, de la même façon qu’Internet Explorer 6 le faisait sur le web il y a des années et que Chrome le fait aujourd’hui (n’ayez pas peur, le titre de la vidéo est en anglais, mais la vidéo est en français). C’est surtout ça qui me dérange.

Une seule solu­tion pour faire cesser ce genre d’abus : la dégoo­gli­sa­tion ! Une décen­tra­li­sa­tion du net, le retour à un Inter­net d’avant, fait de petites briques et pas d’im­menses pans de béton.

 

PS : ne me lancez pas sur MailInB­lack, ça me donne des envies de meurtre.




Aujourd’hui, je dégooglise ma famille !

Dégoogliser le monde ? Oui, mais par où commencer ? Une fois qu’on a soi-même fait un premier effort pour se désintoxiquer des services prédateurs si pratiques, on souhaite qu’autour de soi aussi l’assuétude générale s’atténue et que peu à peu se dessine une autre tendance : que chacun ait la possibilité de reprendre la main sur sa vie numérique.

— Commençons par nos proches !

Telle est la démarche modeste et pragmatique qu’a choisie Nathanaël Leprette. Un drôle de numéro, comme vous allez le découvrir dans l’interview qui suit : une sorte de généreux citoyen du monde, un globe-trotter humanitaire… ce n’est pas un hasard si ce libriste convaincu a aussi retroussé ses manches pour proposer à son cercle familial des adresses mail personnalisées, un hébergement. Et ce n’est sans doute qu’un début…

Chez Framasoft, nous sommes ravis de voir poindre, s’épanouir et se multiplier de telles initiatives, parce que ce sont précisément ces intermédiaires convaincus et disposant d’un minimum de compétences techniques qui peuvent aider le mieux à diffuser la dégooglisation. Comme Nathanaël aujourd’hui, nombreux sont les lecteurs de ce blog qui peuvent franchir le pas ou ont déjà commencé à le faire, seuls ou dans un réseau familial, associatif, professionnel…

Faites-nous part de vos projets et de vos succès de dégooglisation quelle qu’en soit l’échelle, vous donnerez des idées aux autres et le mouvement s’accroîtra d’autant plus vite !

Bonjour Nathanaël, tu fais quoi dans la vie ?

nathanaelLepretteJe suis volontaire un peu partout sur des projets très différents mais je n’ai plus de travail rémunéré depuis trois ans et demi (parfois je paie même pour être volontaire… en Asie, c’est devenu courant). Je vis en autofinancement, sur mes épargnes, un voyage à petit budget donc 🙂

J’ai travaillé dès que j’ai pu pour mettre des sous de côté. J’ai étudié mais n’ai jamais vraiment exercé le métier d’ingénieur en Thermique du Bâtiment et Énergies Renouvelables auquel mon diplôme m’a pourtant formé.

Je voyage pour partager avec mes frères et sœurs du monde entier. Je suis parti pour les connaître. J’avais prévu un tour du monde en trois ans, cela fait 3 mois que les trois ans sont écoulés et je n’ai pas encore complètement quitté l’Asie.

Je retourne bientôt en Iran pour y apprendre pendant un an les langues perses et arabes. J’y travaillerai aussi sans doute un peu. Et puis je veux renouveler mon projet Ecole, World y Camino qui jusqu’alors m’emmenait dans les écoles du monde à la rencontre des enfants pour leur ouvrir une fenêtre sur l’ailleurs et leur proposer de participer à un relais international de dessins d’enfants.

Pour proposer des services comme l’hébergement de pages et la gestion d’adresses mail, il faut tout de même avoir des compétences que tout le monde n’a pas dans ta famille, je suppose. Tu peux nous dire comment tu t’y es pris techniquement pour pouvoir faire cette sympathique proposition à tes proches ?

J’ai eu cette idée dès le début en fait. Je veux dire, dès que j’ai compris ce qu’est Internet et le monde libre. Je suis un visiteur de Framasoft depuis de très nombreuses années (vers 2004 au moins) et j’ai toujours préféré utiliser Firefox et VLC. OpenOffice portait un autre nom à l’époque et Libre Office n’existait pas encore… « Le logiciel libre » est un concept qui m’attirait avant même de bien le comprendre. Le déclic s’est fait à la suite de deux vidéos qui ne parlaient pas de Logiciels Libre mais d’Internet, celle très connue de Benjamin Bayart sur le Minitel 2.0 et celle de Michel Serres, plus confidentielle, Les nouvelles technologies : révolution culturelle et cognitive.

C’est une phrase expliquant qu’une adresse de courriel devrait être du genre quiATquoiDOToù ou quiATnomdecompanieDOTcom qui m’a fait tilt et je me suis dit :

ça serait bien une adresse en @leprette.fr pour ma famille.

Sauf qu’à l’époque je découvrais. J’ai d’abord fait ma propre éducation, je suis passé aux Logiciels Libres, je me suis intéressé au problème des réseaux sociaux (j’ai eu assez tôt un compte Facebook mais l’ai quitté depuis). J’ai apporté mon soutien à un projet qui n’existe plus aujourd’hui qui s’appelait Beedbox (un projet d’autohébergement) que je rêvais de voir travailler en collaboration avec les réseaux sociaux décentralisés comme Movim ou Jappix, ou encore mieux acentralisé comme Newebe.

Le dernier déclic quant aux logiciels libres c’est quand Stéphane Laborde, l’auteur de la Théorie Relative de la Monnaie, fait la remarque dans un de ses podcasts que fondamentalement, ce n’est pas le logiciel qui est libre mas bien l’utilisateur du logiciel qui se voit attribuer des libertés grâce aux licences dites libres. Je crois que le raccourci que nous faisons tous de « logiciel sous licence libre » en « logiciel libre » a ralenti ma compréhension du phénomène et mon adhésion. Si le premier gars qui m’a parlé de Linux quand j’étais ado m’avait parlé des libertés utilisateurs plutôt que des logiciels, j’aurais basculé 5 ans plus tôt, lorsque j’ai quitté Windows pour Mac.
Et puis je me suis lancé. J’ai découvert l’hébergement web en mettant en place mon propre blog ainsi que celui de ma mère qui raconte ses histoires d’expat’ avec beaucoup d’humour.

Après des déboires avec HostPapa, j’ai migré chez OVH en début d’année et j’en ai profité pour acheter le nom de domaine leprette.fr en le gardant sous le coude pour plus tard. Le plus tard est venu quelques mois après, quand j’ai résidé quelque temps en Arabie Saoudite. C’est là que j’ai travaillé sur ce projet, en mai 2015.

lpretteOffre1

Ils sont nombreux, les Leprette potentiellement intéressés par ta proposition ? Et combien ont déjà dit banco ?

Les Leprette ne sont pas bien nombreux, une grosse centaine je crois et si je limite à ma famille (ceux qui ont reçu le message au sujet de leprette.fr), une quarantaine peut-être. Ensuite, combien prendront connaissance de l’offre, comprendront sa justification et son intérêt, pour eux avant tout, mais aussi pour l’Internet dans son ensemble, je l’ignore, mais sans doute très peu dans un premier temps. Peut-être qu’à force de recevoir petit à petit des courriels en xxx@leprette.fr, ils commenceront à se poser des questions, à aller lire la page web, etc.
Aujourd’hui, nous sommes 6 à utiliser une adresse en leprette.fr.
lepretteOffre2

Tu n’as pas un peu peur que ça ne te donne beaucoup de boulot : entre expliquer, dépanner, aider à installer, initier, encourager à franchir le pas, accompagner…

Je suis prêt à prendre le temps nécessaire pour les accompagner et les aider. Ils savent que, si je n’ai ni compte facebook, ni twitter etc, je réponds toujours à mes emails le plus rapidement possible. Certains savent même que je réponds à des invitations skype.

J’offre à ma famille un moyen simple de participer à la décentralisation dans l’Internet mais j’ai choisi pour l’heure la simplicité, j’ai pris un hébergement partagé chez OVH. Le jour où je serai sédentaire avec une connexion qui le permet, je me lancerai le défi de tout autohéberger.

Les explications des services sont toutes sur la page web leprette.fr. Il me manque deux inscrits pour changer de formule chez OVH et simplifier les explications en omettant mes problèmes de MYSQL et FTP…

Pour l’heure il n’y a donc aucun problème d’installation ni, à priori, de dépannage.

Et ensuite ? Que proposeras-tu à moyen ou long terme si tout se passe idéalement ? Élargir la base d’utilisateurs au-delà du cercle familial, proposer des solutions de réappropriation de ses données plus complètes (owncloud, cozy…) ? Autre chose ?

Le futur est très excitant. J’aimerai vraiment un jour pouvoir m’autohéberger mais ce n’est pas pour tout de suite et ça semble compliqué, surtout concernant le serveur de courriel. Les courriels risquant d’être facilement considérés comme spam (j’ai lu ça un jour, je n’ai jamais poussé plus loin, on verra).

Idéalement, ce serait top que chaque membre puisse même s’autohéberger chez lui et que je puisse administrer à distance leur « leprettebox » en cas de problème, mais aujourd’hui ce n’est pas pensable. Je ne sais même pas d’ailleurs si je peux rediriger des sous-nomdedomaine vers une adresse ip spécifique, celle de la box d’un membre de ma famille, et encore moins ce qu’il en serait pour les emails…

kittens
Des chatons tout excités à l’idée de fournir un jour des lepretteBox !

En attendant que tout cela soit réalisable, je continuerai avec un système de centralisation familiale avec un serveur leprette.fr, que j’espère un jour être « dédié » et qui hébergerait des cozy-cloud. Du côté de chez kimsufi j’ai trouvé des offres viables pour moi économiquement si je demande à chacun 5€/mois (l’offre d’aujourd’hui, email et espace web est à 5€/an). le KS-3 pour un minimum de 4 utilisateurs et jusqu’à 8 utilisateurs. Pour cette offre là, je n’ai pour l’heure que deux intéressés, ce qui n’est pas suffisant pour démarrer un serveur. Il m’en faudrait deux de plus pour qu’on puisse se lancer. Si cela devait arriver, alors deux questions se poseront à moi, quid du backup ? (il me faudrait un KS-1 de Kimsufi avec 2To de DD mais ils n’acceptent pas de changer leurs offres), et surtout, comment faire pour gérer les courriels ? Je suppose que je ne pourrais pas continuer avec l’offre d’OVH, il faudra les héberger sur le même serveur, ce sera à moi d’apprendre…

Je donne des coups de main de temps à autre à cozycloud. Je ne perds pas l’idée d’un réseau social familial. J’espère y voir arriver un jour Newebe ou Movim bien sûr, et même d’y installer une instance de LibreOffice online pour qu’on puisse travailler sur ses propres documents directement depuis son cozy, rêvons un peu !

Enfin, il y aura bien sûr un serveur de crypto-monnaie Ucoin pour aider les membres de ma famille à prendre en main leur participation à l’économie du libre en utilisant une Monnaie Libre, un dividende universel, dont la création monétaire est distribuée (pas de préfixe « re ») sous la forme d’un revenu de base entre tous les membres (tel que décrit par la « Théorie Relative de la Monnaie »).

[ Placement de produit : ci-dessous pub gratuite pour Cozy ]

Une des utilisatrices de @leprette.fr et qui utilise aussi un cozy (je l’ai inscrite pour l’heure à la béta de cozy-cloud) m’a confié « Je suis super contente, tu ne peux pas savoir, un cadeau de Noël quand ce n’est pas Noël ». Elle m’expliquait récemment :

« Je communique assez peu sur internet mais je ne fais pas assez attention quand j’utilise l’internet, tout en étant tellement incapable de me protéger. Je supporte très mal l’idée que des inconnus puissent s’introduire dans mon univers et dans ma vie privée. Je veux que l’on ne puisse ni identifier ni influencer mes enfants ou mes choix. Bref je vais pouvoir enfin faire une page perso et partager avec mes amis.

Avec le métier que je fais, on nous demande une totale neutralité de parole et d’opinion, le respect des coutumes et usages du pays hôte, et une stricte confidentialité de nos données. J’ai besoin d’un accès sécurisé à mes données quand je voyage, le cloud c’est une bonne idée, c’est pratique, mais, jusqu’ici je n’avais pas confiance. Souvent, je ne peux pas me permettre de me promener avec un ordi ou un disque dur qui contienne trop d’informations sur moi, mes livres, mes musiques, mes courriels… Donc j’ai bien regardé le cozy cloud et je suis définitivement intéressée. Tu me diras comment faire ? »

succesLeprette

Avec cozy, elle aura tout ce dont elle a besoin sauf l’accès à ses livres. Pour l’heure, il manque une application de lecture d’ebook. J’en parle ici, j’ai même trouvé un ebook reader en node.js en développement histoire de ne pas partir de zéro. Si quelqu’un dans le coin savait l’adapter à cozy, ce serait super cool !

Tu peux compter sur nous pour transmettre ces suggestions au cozygang. Comme il est de tradition dans nos interviews, je te laisse le mot de la fin…

Il me semble que j’ai oublié une évidence… le jour où Leprette.fr sera sur un serveur dédié, des petits services à la framasauce fleuriront. Car derrière chaque Français se cache un paysan. Je cultiverai le jardin Leprette.fr en suivant les tutos de Framasoft !

 

Crédit photos




Que reste-t-il de l’Internet que nous aimons ?

David Rovics[1] est un chanteur et compositeur américain engagé dans la tradition des Bob Dylan et Pete Seeger, il n’est pas avare de protest-songs, s’attaquant par exemple à la mondialisation, aux interventions militaires des États-Unis, aux multinationales… Il soutient divers mouvements contestataires comme Occupy Wall Street et bien d’autres. Il met son abondante discographie en libre téléchargement et déclare :

N’hésitez pas à télécharger ces chansons gratuitement. Faites-en l’usage que vous voulez. Envoyez-les à des amis, vous pouvez les graver, les copier, les passer à la radio, sur Internet, n’importe où. La musique est un bien commun. Ignorez les entreprises compères de l’industrie de la musique qui vous disent le contraire. Télécharger de musique n’est pas du vol, vous ne faites de mal à personne, je vous assure.

David_Rovics_photo-by-_Karney_Hatch_-CC-by-2.0.jpg

Mais aujourd’hui ce n’est pas de lutte politique ni de création libre qu’il nous parle. Né en 1967, il est assez âgé pour avoir vu se succéder les phases rapides du développement d’Internet et de la manière dont la communication entre les internautes en a été facilitée ou affectée.
C’est donc un peu sur l’air de « c’était mieux avant » qu’il fait part de ses inquiétudes. Bien sûr cela peut faire sourire et il en est bien conscient. Essayons toutefois d’envisager le regard rétrospectif auquel il nous invite comme un moyen d’éclairer ce qui en en train de se produire ici et maintenant : que deviennent les collectifs de médias indépendants, les réseaux développés si facilement il y a peu avec les listes de diffusion et quelle place reste-t-il aux producteurs de contenus à l’heure où chacun est invité à déverser sur sa page Facebook une notable quantité d’importance nulle ?
À l’heure où les blogueurs francophones indépendants se raréfient ou jettent l’éponge, où les activistes du libertés numériques doivent appeler au secours pour que leur structure soit financièrement viable, faut-il se résigner à un délitement progressif des espaces fabuleux de liberté que nous offrait Internet il y a quelques années à peine ?
Il n’est pas impossible que les braises encore vives rallument la flamme. Partout des îlots de résistance aux GAFAM existent et se fédèrent parfois en archipels. À notre modeste échelle par exemple, nous avons contribué avec le beau succès de Framasphère à un regain d’intérêt pour Diaspora* comme réseau alternatif. Le tissu associatif des libristes est aujourd’hui dense, multiforme, et croise souvent la trajectoire de nombreux réseaux militants : qui sait si n’émergera pas une phase nouvelle où les Facebook et autres Twitter seront aussi has been que le sont devenus les Skyblogs[2] et autres Caramail ?

Comment Facebook a tué Internet

L’arme du crime : 10 milliards de mises à jour de nos statuts

Par DAVID ROVICS
Article original paru dans le magazine Counterpunch How Facebook Killed the Internet
Traduction Framalang : KoS, simon, goofy, Bussy, r0u

Facebook a tué l’Internet, et je suis tout à fait sûr que la grande majorité des gens ne l’ont même pas remarqué.

Je vois d’ici la tête que vous faites, vous tous, et je devine vos pensées…
— Encore un qui se plaint de Facebook. Oui je sais que c’est une énorme entreprise tentaculaire, mais c’est la plateforme que nous utilisons tous.
— C’est comme se plaindre de Starbucks. Après tout, les cafés indépendants ont été chassés de la ville et vous êtes encore accro à l’expresso, qu’est-ce qu’on peut y faire ?
— Comment ça « tué » ? Qu’est-ce qui a été tué ?

Je vais essayer de vous l’expliquer. Pour commencer je précise que je ne sais pas quelle est la solution. Mais je pense que toute solution doit commencer par identifier clairement la nature du problème.

Tout d’abord, Facebook a tué l’Internet, mais si ce n’était pas Facebook, ç’aurait été autre chose. L’évolution des réseaux sociaux était probablement aussi inévitable que le développement des téléphones cellulaires qui peuvent surfer sur Internet. C’était une évolution naturelle pour Internet.

Voilà pourquoi c’est aussi particulièrement inquiétant. Parce que la solution n’est pas Znet ni Ello. La solution n’est pas dans de meilleurs réseaux sociaux, de meilleurs algorithmes, ou des réseaux sociaux gérés par une fondation sans but lucratif plutôt que par une entreprise qui brasse des milliards de dollars. De même que la réponse à une société où chacun a sa propre voiture personnelle n’est pas d’avoir davantage de véhicules électriques. Pas plus que la réponse à une société aliénée où chacun possède son propre téléphone portable pour le regarder n’est pas de monter une compagnie de téléphone dont on serait collectivement propriétaire.

Beaucoup de gens, de la base à l’élite, sont ravis du phénomène des réseaux sociaux. je suis sûr que parmi les rares personnes qui liront ceci, certaines en font partie. Nous nous répandons en expressions comme « la révolution Facebook » et nous célébrons ces nouvelles plateformes Internet qui rassemblent les gens du monde entier. Oh je ne dis pas que ces réseaux n’ont pas divers aspects positifs. Je ne prétends pas non plus que vous devriez cesser d’utiliser les plateformes de réseaux sociaux, y compris Facebook. Ce serait comme dire à un habitant du Texas qu’il devrait aller travailler en vélo, alors que l’ensemble de l’infrastructure de chaque ville de l’État est prévue pour les 4×4.

Mais nous devrions comprendre la nature de ce qui nous arrive.
conversation.png

Depuis l’époque où les journaux sont devenus monnaie courante jusqu’au début des années 1990, pour l’écrasante majorité de la population de la planète, ceux qui avaient un accès facilité à une tribune publique étaient les rares qui se préoccupaient d’écrire une lettre à son directeur de publication. Une infime portion de la population était constituée d’auteurs ou de journalistes qui accédaient ainsi à une tribune publique de façon plus ou moins occasionnelle ou régulière. Certains rédigeaient à cette époque pré-internet l’équivalent d’un billet spécial de rétrospective de fin d’année qu’ils photocopiaient et diffusaient à quelques dizaines à peine d’amis et de proches.

Au cours des années 60 on a assisté à l’émergence massive de la presse indépendante, « underground » dans chaque ville petite ou grande des États-Unis et dans bien d’autres pays. La diversité des opinions et des informations s’est considérablement accrue, et pour y avoir accès, il suffisait à n’importe qui d’habiter à proximité d’une université ou de pouvoir aller au kiosque à journaux avec quelques centimes en poche.

Dans les années 90, avec le développement de l’Internet — avec les sites web, les listes de diffusion — les communications ont littéralement explosé et la presse underground des années 60 faisait pâle figure en comparaison. La plupart des gens qui vivaient dans des pays comme les États-Unis ont cessé de se téléphoner (mais continué à se parler), j’ai pu le constater. Beaucoup de ceux qui n’écrivaient jamais une seule lettre ni rien d’autre se sont mis à utiliser leur ordinateur pour s’envoyer des mails les uns aux autres, voire à de multiples destinataires à la fois.

Nous, les quelques-uns qui avions l’habitude, avant l’ère d’Internet, de diffuser périodiquement des bulletins d’information sur nos publications, nos idées, les dates à venir de nos concerts, les produits ou services que nous cherchions à vendre, etc. eh bien nous avons été ravis de voir arriver les mails et la possibilité d’envoyer aussi facilement nos bulletins sans dépenser une fortune en affranchissement postal ni perdre un temps considérable à mettre sous enveloppes. Pendant une brève période, nous avons eu accès au même public, aux mêmes lecteurs qu’auparavant, mais nous pouvions dès lors communiquer avec eux à distance gratuitement.

C’était, pour beaucoup d’entre nous, l’âge d’or d’Internet, entre 1995 et 2005 à peu près. Il y avait le problème croissant des spams de diverses sortes. Comme les courriers indésirables d’aujourd’hui, mais en plus grand nombre encore. Les filtres anti-spam ont commencé à s’améliorer, et ont largement éliminé le problème pour nous.

Les listes de diffusion auxquelles nous étions abonnés étaient des listes de diffusion modérées. Les sites web que nous utilisions le plus étaient interactifs mais modérés, comme Indymedia. Dans toutes les villes du monde, petites ou grandes, on trouvait un collectif local Indymedia. N’importe qui pouvait poster des choses, mais il y avait des personnes en chair et en os qui décidaient si cela pouvait être publié et si oui, où le publier. Comme pour n’importe quel processus de décision collective, c’était difficile, mais beaucoup d’entre nous trouvaient que le jeu en valait la chandelle. Le résultat de ces listes de discussion et des sites Indymedia modérés fut que nous avons tous gagné une certaine aisance à découvrir et discuter des idées et des évènements qui concernaient notre ville, notre pays, notre monde.

Et puis sont arrivés le blogging et les médias sociaux. Tout individu avec un blog, une page Facebook, un compte Twitter etc. est devenu son propre diffuseur. C’est grisant n’est-ce pas ? Savoir que vous avez un public mondial de dizaines, centaines, peut-être milliers de personnes (si vous commencez à être connu ou que quelque chose devient viral) à chaque fois que vous postez quelque chose. Pouvoir mener une conversation dans les commentaires avec des gens du monde entier qui ne se rencontreront jamais. C’est vraiment fou.

Mais alors, la plupart des gens ont arrêté d’écouter. La plupart ont arrêté de jeter un œil sur Indymedia. Indymedia, dans le monde entier, est pratiquement mort[3]. Les journaux, de droite, de gauche et du centre ont déjà fermé ou sont en train de mettre la clé sous la porte, qu’ils soient en ligne ou non. Les listes de discussion n’existent plus. Les algorithmes ont remplacé les modérateurs. Les gens ont commencé à prendre les bibliothécaires pour des vestiges de l’Antiquité.

Aujourd’hui à Portland, dans l’Oregon, l’une des villes les plus engagées politiquement aux Etats-Unis, il n’y a pas de liste de discussion ou de site web qui puisse vous dire ce qui se passe dans la ville dans un format lisible et compréhensible. Il existe différents groupes avec divers sites web, pages Facebook, listes de discussion etc. mais rien pour la communauté progressiste dans son ensemble. Rien de bien efficace en tout cas. Rien d’aussi fonctionnel que les listes de diffusion qui existaient dans tout le pays il y a 15 ans de cela.

À cause des limitations techniques d’Internet pendant une brève période, il y a eu quelques années d’un « équilibre heureux » entre une petite élite qui produisait la majeure partie du contenu écrit que la plupart des gens dans le monde lisaient, et la situation dans laquelle nous nous trouvons maintenant, noyés dans un déluge d’informations, pour la plupart des bêtises sans intérêt, du bruit de fond, un brouillard épais qui vous empêche de voir au-delà de ce qu’éclairent parfois des feux de croisement.

C’était un âge d’or, mais dû surtout aux circonstances, et tout à fait temporaire. Dès qu’il a été facile pour les gens de lancer un site web, un blog, un Myspace ou une page Facebook etc. l’âge du bruit de fond a commencé, inévitablement, comme une évolution naturelle de la technologie.

Et la plupart des gens n’ont pas remarqué ce qu’il s’est passé.

Pourquoi est-ce que je dis ça ? Tout d’abord je ne sors pas ça de nulle part. J’ai discuté avec beaucoup de personnes pendant plusieurs années et beaucoup d’entre elles pensent que les médias sociaux sont la meilleure invention depuis le fil à couper le beurre. Et qu’est-ce qui les en empêche ?

Moi, je le pense, et d’autres comme moi aussi, parce que les personnes qui avaient l’habitude de lire et de répondre à ce que j’envoyais à travers ma liste de contacts ne sont plus là. Ils n’ouvrent plus leurs courriels et s’ils le font, ils ne les lisent plus. Et le média que j’utilise — blog, Facebook, Twitter, etc. — n’y change rien. Bien entendu, il reste des gens qui le font, mais la plupart s’occupent maintenant d’autres choses.

facebook_opium.png

Et que font-ils donc ? J’ai passé presque toute la semaine dernière à Tokyo, j’ai visité toute la ville, passé beaucoup d’heures dans le train chaque jour. Beaucoup de gens assis dans le train du retour, durant ma première visite au Japon en 2007, dormaient, comme maintenant. Mais ceux qui ne dormaient pas étaient presque tous en train de lire un livre. Aujourd’hui, il est difficile de voir ne serait-ce qu’un seul livre. La plupart des gens regardent leur smartphone. Et ils ne lisent pas un livre avec (oui, j’ai souvent jeté un œil). Ils jouent à des jeux, ou plus souvent, consultent leur fil de nouvelles sur Facebook. Et c’est pareil aux État-Unis et partout ailleurs où j’ai eu l’occasion de voyager.

Est-ce que ça vaut le coup de remplacer les modérateurs par des algorithmes ? Les rédacteurs par du bruit de fond ? Les journalistes d’investigation par des photos de votre chat ? Les labels indépendants et les stations de radios communautaires par une multitude de fichiers audio téléchargeables mal enregistrés ? Les collectifs de médias indépendants par des millions de mises à jour de statuts sur Facebook et Twitter ?

Je pense que non, mais voilà où nous en sommes. Comment pouvons-nous sortir de cette situation, éclaircir le brouillard, et nous remettre à utiliser notre cerveau ? Je voudrais bien le savoir.

Crédit images
David Rovics, photo par Karney Hatch (CC-by-2.0)
A conversation, dessin de Khalid Albaih (CC-by-2.0)
Facebook is the opium of the people, photo par Taco Ekkel (CC-by-2.0)

Notes

[1] Le site de David Rovics : http://www.davidrovics.com/

[2] Tiens, ils existent encore et nous incitent à ne plus bloquer les pubs…

[3] Note de la rédaction : ici l’auteur simplifie sans doute un peu trop pour suggérer une influence déclinante. Le réseau Indymedia (voir sa page Wikipédia) est relativement actif par exemple pour la France à Nantes ou Lille, Grenoble, etc.