Ces start-ups qui contribuent au Libre

Posté par . Édité par Pilou, gelnior, Christophe Guilloux, baud123, Benoît Sibaud et tuiu pol. Modéré par tuiu pol. Licence CC by-sa
38
3
déc.
2012
Communauté

Il est souvent évoqué les entreprises comme Facebook, Google, HP, Novell ou Red Hat qui contribuent au libre, avec plus ou moins de controverse ou de respect des pratiques communautaires. Mais on parle moins souvent des petites sociétés.

Dans cet article nous présenterons le retour d'expérience de trois jeunes start-ups françaises de moins de deux ans, comment elles utilisent des logiciels libres et quelles interactions elles ont avec la communauté.

Note : l'article est écrit collaborativement par trois membres des trois sociétés présentées.

Sommaire

Trois start-ups

Budget Insight

Budget Insight est une société créée début 2012 qui développe une application web de gestion des comptes bancaires pour les particuliers.

Outre la centralisation automatisée des comptes, elle catégorise automatiquement les transactions, pour permettre la création de budgets personnalisés, et envoie des alertes sur les grosses transactions ou en risque de découvert. La spécificité de Budget Insight est d'avoir développé un modèle statistique, permettant de détecter les dépenses fixes et variables et, ainsi, d'anticiper l'évolution du solde sur un mois.

Budget Insight repose sur le logiciel libre weboob.

Bio Eco Forests

Bio Eco Forests propose une solution de gestion environnementale optimisée pour la gestion des espaces arborés tant urbains que forestiers. La société a été créée en septembre 2011, il y a un peu plus d'an.

Cozy Cloud

Cozy Cloud est un cloud personnel privé, comprendre une plateforme libre & autohébergeable où l'utilisateur stocke toutes ses données et installe ses propres web apps aussi facilement que sur un smartphone. Cozy Cloud vise donc à être aux serveurs ce qu'iOs a été aux smartphones, l'aspect libre en plus.

Le business modèle de Cozy Cloud étant basé sur l'hébergement de cette solution, Cozy peut rester transparent sur sa manière de faire des gains et établir une relation saine avec ses utilisateurs : « you will stay because you can leave ! » (« vous resterez car vous pouvez partir »).
Sa force pour l'utilisateur : empowerment et no lock-in (autonomisation et pas de verrouillage).

Présence du libre dans l'activité

La totalité des infrastructures internes de Budget Insight et Bio Eco Forests sont gérées par du logiciel libre. Les serveurs sont sous Debian, le gestionnaire de versions est git, le serveur de courriel postfix. Les gestionnaires de projet sont respectivement Chiliproject et Redmine.

L'application web de Budget Insight, qui elle n'est pas libre, dépend du framework yii via le serveur web Apache2, utilise la base de données MySQL, et donc intègre weboob pour la synchronisation des comptes bancaires.

L'ERP Tryton est au cœur de la solution proposée par Bio Eco Forests. Les SIG (Systèmes d'Informations Géographiques) QGIS et GRASS viennent compléter la solution.

Cozy Cloud utilise beaucoup de logiciels libres au quotidien, environnement Ubuntu par défaut, Piwik pour connaitre le nombre de visiteurs, Osqa pour les forums, Newebe pour le réseau social interne, Jenkins pour son intégration continue… Et bien sûr toutes ses stacks techniques sont basées sur des logiciels ouverts (Django, MongoDB, Redis, Railway, CouchDB…).

Contributeurs actifs

Budget Insight repose massivement sur weboob, ce qui en fait un contributeur majeur, pour ce qui concerne en tous cas les modules bancaires. La société a en effet rajouté le support pour les banques Banque Populaire, Bred, Caisse d'Épargne et CIC, ainsi que la gestion du débit différé pour d'autres banques.
De par l'exigence de disponibilité de service, elle maintient également l'ensemble des autres modules bancaires, et est réactive dans la correction des bugs. Son nombre grandissant d'utilisateurs en font une sorte de buildbot géant, faisant de ces modules les plus stables de weboob.

Bio Eco Forests a intégralement financé et supporte les développements suivants :

Cozy Cloud publie sa plateforme entièrement sous forme de logiciels libres (licence encore à définir) et fournit toutes les instructions pour l'installer sur son propre serveur.
À côté de ça, Cozy commence à produire des bibliothèques externes et contribue à certaines.

Relations avec la communauté

La société Budget Insight ayant été fondée (entre autres) par le créateur de weboob, il était important d'établir dès le départ le cadre de la collaboration entre les deux entités. C'est ce qui a été fait dans un mail envoyé à l'ensemble des contributeurs, afin notamment de préciser que weboob restera complètement indépendant de Budget Insight et que chaque contribution de la société se doit d'être dans l'intérêt premier du projet libre, en particulier les choix architecturaux qui doivent être soumis à discussion auprès des autres développeurs.

En outre, la relation entre Budget Insight et les contributeurs est un cercle vertueux, puisque si la société bénéficie librement de la valeur ajoutée que constitue weboob, elle assure l'assurance qualité de tout ce qui concerne la gestion bancaire et y contribue activement. Enfin, elle accorde aux contributeurs du projet des accès premium gratuitement, et pourra prendre à sa charge l'organisation de soirées weboob ou de boobathons.

Bio Eco Forests était présente aux rencontres des utilisateurs Tryton en 2011 et 2012. Récemment, le droit de commit sur les dépôts Tryton a été proposé à l'un des salariés de la société.

Cozy Cloud a déjà une petite communauté, constituée principalement par d'anciens stagiaires. D'autre part, des actions récentes ont été entreprises pour faciliter le développement d'applications sur la plateforme. Ce qui a notamment permis à un des early adopters de créer la première application issue d'une contribution extérieure.
Cozy a également sponsorisé les dernières JDLL et compte aider de la même manière des événements autour du langage Javascript (la plateforme tourne sur NodeJS).

Difficultés liées au libre

Outre le service indépendant, Budget Insight cherche à vendre sa solution aux banques en tant que marque blanche pour qu'elles le proposent à leurs clients. Les questions concernant les briques libres utilisées reviennent souvent, les interlocuteurs ayant la perception qu'il s'agit de solutions non professionnelles et non maintenues par des structures sérieuses.

Heureusement, il est facile de les rassurer en expliquant les parts de marchés du libre en entreprise, les sociétés qui poussent celles-ci, les avantages que nous apporte le libre en opposition au logiciel propriétaire, notamment dans notre indépendance et notre capacité à résoudre les problèmes.
Néanmoins, il s'agit d'un véritable travail d'éducation à faire, qui se rajoute au travail commercial, face à des établissements peu flexibles et frileux face à l'innovation.

Le support des types géographiques dans Tryton par Bio Eco Forests a nécessité l'utilisation de la bibliothèque PPyGIS. Plusieurs patchs ont été développés et proposés au développeur PPyGIS, mais même si ils n'ont pas été rejetés ni commentés, ils n'ont pas été appliqués. Un fork doit donc être maintenu : le projet python-dbgis, est hébergé sur le redmine de Bio Eco Forests.

En outre, bien que développés par une entreprise dont les salariés sont les principaux développeurs Tryton, les patchs ajoutant le support des types géographiques ne sont pas encore intégrés dans les dépôts du projet Tryton. Le projet Tryton étant indépendant de la société ayant réalisé les patchs, cette société ne peut donc garantir l'intégration upstream des développements réalisés.
La difficulté est ici liée aux coûts de la maintenance du fork et des patchs, coûts qui n'avaient pas été estimés/prévus.

Pour Cozy Cloud, la principale difficulté aujourd'hui est de choisir sa licence. En effet, même si la plateforme est entièrement libre, il ne faut pas qu'elle impose une licence particulière aux applications déposées dessus et développées par des tiers. De même, cela ne doit pas impacter l'infrastructure d'hébergement qui restera probablement propriétaire. Toutefois, nous souhaitons garder le côté transmission de la GPL pour s'assurer que tout le monde joue le jeu du libre. Tout ça pour dire que, sans avis exterieurs, il serait bien difficile de choisir la licence de Cozy Cloud.

Conclusion

Bien que le libre soit au cœur de l'activité de ces trois jeunes sociétés, Budget Insight a fait le choix de ne pas libérer pour l'instant l'application web, de par la sensibilité du secteur d'activité, là où Bio Eco Forest et Cozy Cloud ne produisent que du code libre.

Cependant, chacune a le libre dans ses gènes et si elles peuvent rencontrer des difficultés qui n'existent pas dans le logiciel propriétaire, elles compensent grâce aux avantages que le logiciel libre leur procure, en jouant le jeu de façon transparente et bénéfique pour la communauté.

  • # Quelques remarques

    Posté par (page perso) . Évalué à  6 .

    Dans les difficultés associées au libre il faut encore expliquer l'intérêt de prendre le support (payant) alors que le logiciel est libre et 'gratuit'.
    Le problème des bibliothèques tierces est effectivement bien décrit et 'coûte' cher même lorsque le patch est appliqué. On doit gérer sa propre version de la bibliothèque en attendant la version où le patch est intégré ce qui peut être long…
    Un point délicat (non évoqué ici) est le fossé à réduire pour obtenir des contributions extérieures (sans parler obligatoirement de code) surtout quand la base de code est conséquente.
    Le choix d'une licence est aussi très impactant (cf. spagobi qui est passé de lgpl à mpl et a augmenté ainsi son nombre de contributeurs) et la dessus la GPL n'a hélas pas bonne presse :(

    • [^] # Re: Quelques remarques

      Posté par . Évalué à  9 .

      il faut encore expliquer l'intérêt de prendre le support (payant) alors que le logiciel est libre et 'gratuit'.

      Oui, peut-être est-ce quelque chose de délicat à expliquer, mais il existe de très bons arguments pour ça, donc ça ne pose pas vraiment de problèmes à mon avis.

      Il existe quand même une question beaucoup plus compliquée, à laquelle je n'ai jamais vu de réponse convainquante : «quel est votre intérêt à améliorer la documentation et à faciliter l'installation et la gestion de l'application étant donné que le business model repose sur le support?»

      C'est à mon avis la limite de l'exercice. Le support consiste à mettre à jour (correction de bugs et de failles de sécurité), de dépanner les gens qui sont perdus avec le logiciel, d'installer le soft sur de nouvelles machines, de le porter sur une machine inhabituelle, etc. J'ai l'impression que si le logiciel est trop bon, qu'il est intuitif et s'installe très bien, et que la paramétrisation est transparente, alors les besoins en maintenance sont quantitativement assez limités, ce qui pourrait encourager le client à se passer du contrat de maintenance et gérer les petits problèmes en interne. Autrement dit, le prestataire pourrait de manière plus ou moins involontaire se passer de fournir trop d'efforts pour faciliter la maintenance, afin de justifier son contrat. N'est-ce pas une limite à l'amélioration du logiciel?

      • [^] # Re: Quelques remarques

        Posté par . Évalué à  10 .

        Chez Cozy Cloud on a de la chance, on est à des années lumières de cette démotivante perfection !

         ;-)

        Et si ce terrible danger nous devait nous guetter (dieu nous en préserve), je pense qu' un éditeur n'a pas intérêt à se reposer sur ses lauriers.

        Tout simplement parce que le business model du libre vient la "value proposition" du logiciel pour ses utilisateurs. Le "cash flow" est est une conséquence. Donc plus un éditeur améliore l'offre de valeur de son code, plus il s'assure un revenu.

        A la limite la question se poserait si le nombre d'améliorations et de corrections était fini.
        Or clairement, ce n'est pas le cas. Même à supposer que le soft soit "bug free" et que les améliorations soient de plus en plus "futiles" et que donc le logiciel ait atteint sa "limite asymptotique d'intérêt", il faut prendre en compte 2 effets :

        1/ Plus un soft est abouti, pratique, bien documenté, plus il a d'utilisateurs et donc plus il y a de besoins et donc de maintenance. (Reste à voir quand se croisent)
        Un bon exemple en ce moment est prestashop : de ce que l'on m'en a dit, c'est un très bel outil, robuste, bien documenté, bref le candidat pour justifier la fin de la maintenance et pourtant si j'ai bien compris, ils ne sont pas prêt de mettre la clé sous la porte !

        2/ un soft qui serait arrivé à son maximum d'utilité, ne peut l'être que "localement". En effet il faut prendre en compte son potentiel d'évolutions non pas en tant qu'élément isolé mais mais en étant que brique au sein d'un gigantesque "mash up" applicatif. Tel autre nouveau logiciel va rendre utile une nouvelle interface, un nouveau standard impose un nouveau développement, une nouvelle technologie d'écran avec des résolutions à 300dpi impose de repenser l'interface, une nouvelle pratique métier rend obsolète un module et en requiert un nouveau, un changement réglementaire… Bref, un logiciel un tant soit peu "complexe" n'est jamais isolé et les changements de l'écosystème technique et métier font que les besoins d'évolutions est infini.

        Bilan : plus un soft est "poli", plus il se diffuse et plus il a de cas d'usages particuliers requierant de nouvelles features car le monde bouge…

        => la "fin de l'Histoire" n'est pas pour tout de suite !

      • [^] # Re: Quelques remarques

        Posté par (page perso) . Évalué à  5 .

        Il existe quand même une question beaucoup plus compliquée, à laquelle je n'ai jamais vu de réponse convainquante : «quel est votre intérêt à améliorer la documentation et à faciliter l'installation et la gestion de l'application étant donné que le business model repose sur le support?»

        Je ne sais pas si ma réponse va te convaincre, mais je vais essayer quand même. Je pense (et c'est d'autant plus vrai que la boîte est petite) qu'avoir plein de gens qui installent ton application, même s'ils n'achètent rien au final, ne peut être que bénéfique. Cela va faire une super publicité (si l'application est bonne hein !), donner une vraie crédibilité (quand on est petit c'est difficile d'avoir l'air solide face aux gros), voire ramener des contributions. En fait j'ai envie de faire le parallèle avec ce lien : http://www.pcinpact.com/news/75567-une-etude-pointe-effets-negatifs-fermeture-megaupload.htm
        Je résume : il semblerait que les petits films, avec peu de budget publicité, bénéficiaient énormément du bouche à oreille créé par MegaUpload (la fermeture de ce dernier aurait eu un impact négatif sur ces films).

        N'est-ce pas une limite à l'amélioration du logiciel?

        Dans la pratique, quand on a comme concurrent des grosses boîtes bien installées, que leurs logiciels sont des références que les DSI choisissent pour ne pas prendre de risque, je ne pense vraiment pas que faire une application qui-ne-soit-pas-trop-bien soit vraiment une bonne idée. En plus une application professionnelle sera toujours complexe, et des tas d'améliorations seront toujours possibles, donc aucune chance qu'elle soit finie et parfaite.

        • [^] # Re: Quelques remarques

          Posté par . Évalué à  4 .

          si l'application est bonne hein !

          On sous-estime beaucoup cet aspect. On nous abreuve tellement au quotidien de merdouilles de tous les côtés qu'on en a presque oublié qu'un bon produit, quel qu'il soit, se vendra toujours (éventuellement à très bon prix si le marché le permet).

          Le mec qui écrit une bouse open source, il n'a strictement aucune chance de survivre. Celui qui écrit une bouse fermée et opaque, avec un bon marketing, il peut arriver à tenir un peu, le temps que les gens achètent, soient déçus et repartent.

          => Il ne faut surtout pas en déduire un inconvénient de l'open source !

      • [^] # Re: Quelques remarques

        Posté par (page perso) . Évalué à  2 .

        La solution devient alors de faire évoluer le logiciel assez vite et de vendre le service qui consiste à avoir fait la QA et le test ( ie, ce que fait RH avec RHEL vis à vis de tout ce qui est mis dedans dans le bouillonnement du libre ).

        Sinon, tu peux aussi dire aux gens qu'il faut aussi pensé au fait qu'un logiciel qu'on finance est un logiciel durable.

        • [^] # Re: Quelques remarques

          Posté par (page perso) . Évalué à  1 .

          Le coté 'durable' reste un vœux pieux hélas.
          De même je pense aussi qu'un logiciel même libre et relativement bien fait a besoin de marketing (en plus de la doc, de la facilité d'installation etc.) car au vu du nombre de logiciels existants il faut exister sur la scène pour vivre.
          Je pense aussi que si ton logiciel est super bon, bien documenté tu n'auras peut être que 1% des utilisateurs qui prendront du support mais que ce 1% sera bien plus que les 100% d'un monde plus réduit.

    • [^] # Re: Quelques remarques

      Posté par (page perso) . Évalué à  2 .

      spagoBI change de licence de LGPL à MPL

      J'ai trouvé une explication à l'intérêt de la MPL par rapport à la LGPL :
      http://crack-lang.blogspot.fr/2012/06/changing-our-license-to-mpl-20.html

      LGPL v3 n'autorise pas le link statique avec du code privateur de liberté, alors que MPL si.

  • # détection de rétraits frauduleux sur CB

    Posté par (page perso) . Évalué à  8 .

    catégorise automatiquement les transactions, pour permettre la création de budgets personnalisés, et envoie des alertes sur les grosses transactions
    Je ne sais pas si ça serait possible de faire une détection automatique de retraits frauduleux sur Carte Bancaire: je connais des gens qui ont mis plusieurs mois avant de s'apercevoir que quelqu'un faisait des retraits frauduleux suite à saisie du N° de CB sur un site internet non sécurisé. Je ne sais pas si ça serait facile à faire.

  • # Nous aussi :)

    Posté par (page perso) . Évalué à  6 .

    De notre côté, notre société Scub a libéré son usine logicielle Java libre Scub Foundation (une nouvelle version et un nouveau site sort fin janvier).

    On a aussi développé Square : une solution de gestion de la relation client libre pour les métiers de l'assurance et des mutuelles. On a développé cette application avec l'un de nos clients. On finit le nettoyage des sources et on libère le tout début janvier.

    http://about.me/straumat

  • # Budget Insight

    Posté par (page perso) . Évalué à  1 .

    Weboob (incluant QHaveSex, pardon QHaveDate ;-) ) qui arriver à enfanter une entreprise, fallait l'imaginer! En tous cas bravo pour cette transformation, preuve encore une fois que le libre n'est pas rempli que d'anti-capitalistes-le-mode-est-horribe qui arrivent à gueuler plus fort au point d'arriver à faire croire à des personnes extérieures qu'ils sont les seuls (parce que bon, une SAS, c'est pas très anti-capitaliste-le-mode-est-horribe  ;-) ), ce qui nuit pas mal au libre.

    Par contre, je suis curieux : Weboob est AGPL, celle-ci n'oblige-t-elle pas tout le code du site à être diffusé? Le fait de "contourner" la limite technique de l'AGPL par j'imagine un appel en ligne de commande est-il suffisant?

    Néanmoins, il s'agit d'un véritable travail d'éducation à faire, qui se rajoute au travail commercial, face à des établissements peu flexibles et frileux face à l'innovation.

    Et ça, ça ne s'arrête jamais… Bon courage, c'est un travail de tous les jours, surtout dans le milieu bancaire.

    • [^] # Re: Budget Insight

      Posté par . Évalué à  4 .

      Par contre, je suis curieux : Weboob est AGPL, celle-ci n'oblige-t-elle pas tout le code du site à être diffusé? Le fait de "contourner" la limite technique de l'AGPL par j'imagine un appel en ligne de commande est-il suffisant?

      En même temps, quand tu es l'auteur du code, tu mets la licence que tu veux.

      La moitié des modules bancaires ont été écrits par une seule et même personne, qui est à l'origine de Business Insight.

      Donc même si l'AGPL ne permettait pas ce genre d'utilisation, l'utilisation de ces modules ne poserait pas de problèmes.

      Le FN est un parti d'extrême droite

      • [^] # Re: Budget Insight

        Posté par . Évalué à  3 .

        La moitié des modules bancaires ont été écrits par une seule et même personne, qui est à l'origine de Business Insight.

        Je voulais bien sûr dire Budget Insight. Toutes mes confuses.

        Le FN est un parti d'extrême droite

    • [^] # Re: Budget Insight

      Posté par . Évalué à  4 .

      preuve encore une fois que le libre n'est pas rempli que d'anti-capitalistes-le-mode-est-horribe qui arrivent à gueuler plus fort au point d'arriver à faire croire à des personnes extérieures qu'ils sont les seuls

      Houa, tu vois vraiment le Libre comme ça ? Je comprends mieux certaines de tes réactions alors… Fais gaffe à ta parano quand même !

      • [^] # Re: Budget Insight

        Posté par (page perso) . Évalué à  -4 .

        Je vois comment les gens (que j'essaye de convaincre sur le libre) voient le libre, avec ce qu'ils ont "entendus" dessus, et des fois ce n'est pas facile pour convaincre que le libre ce n'est pas qu'eux. On peut prendre aussi quelques exemples dans les commentaires de LinuxFr (le libre devrait être NC, salauds de capitalistes qui sont des rapaces et j'en passe) que pas foule ne remet à sa place.

        • [^] # Re: Budget Insight

          Posté par . Évalué à  9 .

          On peut prendre aussi quelques exemples dans les commentaires de LinuxFr (le libre devrait être NC, salauds de capitalistes qui sont des rapaces et j'en passe) que pas foule ne remet à sa place.

          Tu plaisantes j'espère ?

          Ça fait des années que la majorité des libristes chient sur les clauses NC et ND des Creative Commons. Ça fait des années que des gens qui découvrent le libre se font expliquer pourquoi les CC, c'est pas toujours libre.

          Les licences ne permettant pas l'utilisation commerciale sont ne sont pas listés comme libre dans la liste des licences commentées sur le site de la Free Software Foundation et n'apparaissent même pas (sauf erreur de ma part) dans celle de l'OSI.

          Bref, si tu dis ça parce que tu as lu un commentaire sur ce site il y a trois ans, que tu l'as mal compris et que du coup tu considère que tout linuxfr, et même tous les libristes sont comme ça, c'est faire (encore une fois) une généralité.

          Le FN est un parti d'extrême droite

          • [^] # Re: Budget Insight

            Posté par . Évalué à  10 .

            Tu n'as pas encore compris que Zenitram était un robot écrit par pBpG en WSH.

            L'algo intercepte des mots clés qui apparaissent genre : libre, anonyme, h264, démocratie directe, … un savant mélange de logique floue, d'agents, de méthode taboue et de pleins de trucs top moumoutte en AI vont puiser des constructions grammaticale dans une DB en MapReduce pour tenir la charge.

            Après il s'engouffre dans un fil et lorsque la récursivité des commentaires fait déborder la pile de sa XBOX 360 ca lance un reboot en auto.

            Trop fort hein !

            Ca c'est du scoop

    • [^] # Re: Budget Insight

      Posté par . Évalué à  4 .

      Par contre, je suis curieux : Weboob est AGPL, celle-ci n'oblige-t-elle pas
      tout le code du site à être diffusé? Le fait de "contourner" la limite
      technique de l'AGPL par j'imagine un appel en ligne de commande est-il
      suffisant?

      En fait, weboob est utilisé pour rapatrier les données bancaires et les insérer dans la base de données. Le reste des traitements est effectué en tapant dans la base de données.

      Il n'y a pas de « contournement » de la licence, lorsqu'on a décidé de mettre weboob sous AGPL, c'était dans l'optique qu'une application web l'utilisant soit obligée de reverser ses modifications sur weboob, pas d'imposer que tout ce qui tourne autour soit libéré (ce qui serait de toute façon loufoque).

      Nous respectons donc et l'AGPL et l'esprit dans lequel weboob a été mis sous cette licence.

      • [^] # Re: Budget Insight

        Posté par (page perso) . Évalué à  1 .

        OK, je n'avais pas assez regardé l'AGPL sur ce sujet, parlons donc esprit.

        lorsqu'on a décidé de mettre weboob sous AGPL, c'était dans l'optique qu'une application web l'utilisant soit obligée de reverser ses modifications sur weboob

        Au niveau esprit voulu par les auteurs, donc ça serait pareil pour une appli non web (une appli proprio installée sur le poste) qui utilise weboob pour mettre en base de donnée et fournit le code modifié de weboob?

        pas d'imposer que tout ce qui tourne autour soit libéré (ce qui serait de toute façon loufoque).

        La GPL essaye ça, et il faut faire 36 contorsions (ou être bloqué) justement par ce truc loufoque ;-).

        • [^] # Re: Budget Insight

          Posté par . Évalué à  4 .

          Je vais continuer à ne parler qu'en "esprit", car je suis très loin d'être un spécialiste des licences.

          Au niveau esprit voulu par les auteurs, donc ça serait pareil pour une appli non web (une appli proprio installée sur le poste) qui utilise weboob pour mettre en base de donnée et fournit le code modifié de weboob?

          Si la base de donnée est externe (via MySQL, Sqlite, etc) oui. Il remplit avec Weboob, il redistribue le code de Weboob, et fait ce qu'il veut ensuite avec l'application qui accède à cette base de donnée. Là on est dans la même situation, mais en réseau. Tant que le code de Weboob est reversé, je suis content (en tant que contributeur). Et le fait est que la qualité, le nombre, et la vitesse de correction a été très fortement améliorée depuis Budget Insight, c'est un bon fonctionnement.

    • [^] # Re: Budget Insight

      Posté par . Évalué à  5 . Dernière modification : le 05/12/12 à 14:23

      En plus de la sécurité et de la licence qui sont des sujets intéressants, ce qui m'interpelle c'est que weboob est un palliatif au fait que les entreprises ne fournissent pas de webservices à leurs utilisateurs mais seulement des websites.
      Weboob, c'est juste un peu (beaucoup) mieux architecturé que ce que je peux faire avec curl, grep et autre commandes shell, mais ça reste de la bidouille.
      Cela marche bien tant que, 1/ il y a qqun pour maintenir la moulinette qui parse les pages html. 2/ l'entreprise ne s’aperçoit pas que qqun fait mumuse avec son contenu pour le remouliner dans une autre application.

      Du coup, monter une entreprise sur qqch d'aussi instable me paraît casse gueule.
      Bonne chance quand même.

      EDIT: sujet traité dans le fil "Weboob et instabilité juridique" que je pertinente.

      • [^] # Re: Budget Insight

        Posté par . Évalué à  8 .

        ce qui m'interpelle c'est que weboob est un palliatif au fait que les entreprises ne fournissent pas de webservices à leurs utilisateurs mais seulement des websites.

        Mon ce qui m'interpelle c'est que budget insight ne semble par fournir d'API. À quand un module weboob ?

        • [^] # Re: Budget Insight

          Posté par . Évalué à  3 .

          On 05/Dec - 15:35, cykl wrote:

          Mon ce qui m'interpelle c'est que budget insight ne semble par fournir d'API.
          À quand un module weboob ?

          Eh bien tu te trompes ! Nous avons développé une API pour les applications mobiles (qui sont en cours de développement). Lorsqu'elle sera stabilisée, nous publierons les spécifications.

      • [^] # Re: Budget Insight

        Posté par . Évalué à  1 .

        weboob est un palliatif au fait que les entreprises ne fournissent pas de webservices à leurs utilisateurs mais seulement des website
        
        

        Ça c'était avant, sans compter sur le Crédit Agricole, qui via son "CA Store" permet à des applications (Iphone / Droid / Winphone) d'accéder aux données bancaires des clients, moyennant un abonnement de quelques centimes par mois de ces mêmes clients. Cela semble utiliser des mécanismes normalisés (OpenID, OAuth).

        • [^] # Re: Budget Insight

          Posté par . Évalué à  1 .

          Sauf que pour avoir accès à l'API du CA Store, il faut adhérer à la coopérative et il faut que l'application soit acceptée (et pour cela il est nécessaire que ce soit une application mobile), et effectivement l'utilisateur doit payer pour l'utiliser.

          • [^] # Re: Budget Insight

            Posté par . Évalué à  1 .

            Tu as tout à fait raison, ces accès sont soumis a des conditions assez strictes. J'ai contacté ce service du Crédit Agricole pour en savoir un peu plus (j'utilise moi même un mécanisme d'aspiration maison pour controler mes comptes bancaires), et ils envisagent d'ouvrir leur API aux sites web ("des études sont en cours" m'ont ils dit).

            Je signalais juste un premier pas de cette banque, évidemment incomplet et perfectible, mais un tout petit bon début déja.

            • [^] # Re: Budget Insight

              Posté par . Évalué à  1 .

              ils envisagent d'ouvrir leur API aux sites web ("des études sont en cours" m'ont ils dit).

              En effet, d'ailleurs Budget Insight collabore avec eux à ce sujet et sera probablement la première application web disponible sur le CA Store. Néanmoins, ils imposent l'hébergement chez eux, avec des contraintes assez importantes (uniquement PHP, pas de base de données, etc.).

  • # Budget Insight, et son "haut niveau de sécurité"

    Posté par . Évalué à  -3 .

    J'ai voulu créer un compte sur Budget Insight mais mon mot de passe de 18 caractères a été refusé car il ne contient pas de chiffre… No comment…

    • [^] # Re: Budget Insight, et son "haut niveau de sécurité"

      Posté par . Évalué à  8 .

      Bonjour,

      Ainsi que je vous l'ai signalé par mail, vous avez raison, cette limitation temporaire n'est pas optimale et suite à votre remarque nous allons réaliser les modifications nécessaires.

      Néanmoins, je tiens à vous préciser que la restriction du mot de passe d'un utilisateur n'est qu'une mesure de sécurité contre lui-même, qu'elle ne remet aucunement en cause la sécurité réelle de l'application.

      Je vous invite d'ailleurs à visiter notre page sur la sécurité.

      Cordialement,

      L'équipe de Budget Insight

      • [^] # Re: Budget Insight, et son "haut niveau de sécurité"

        Posté par . Évalué à  7 .

        Bon je suis allé visiter la page "sécurité". Je ne suis pas un expert mais ça me semble un peu pipeau:

        • En gros vous dites que les données de connexion sont chiffrées et qu'on ne peut donc pas les voler. Ensuite, vous insistez sur le fait que le système ne peut pas faire de transfert mais qu'il lit simplement l'état du compte tous les jours. Cela veut donc dire, que la clef utilisée pour chiffrer la base est stockée quelque part (normal sinon ça ne servirais à rien). Au final, le fait d'être "read-only" n'importe pas tant que ça puisque compromettre les serveurs a de grandes chances de donner accès aux données chiffrées ET à la clef nécessaire pour obtenir les identifiant en clair.

        • McAfee c'est quoi ce truc ? Ils scannent votre site pour vérifier qu'il n'y a pas un site de phishing rajouté ? Si quelqu'un arrive à prendre le contrôle de votre site, il aura beaucoup plus intérêt à rester discret et à récupérer la base de données des identifiants et la clef plutôt que de défacer le site.

        • [^] # Re: Budget Insight, et son "haut niveau de sécurité"

          Posté par . Évalué à  3 .

          Après, vu ce qui est écrit dans la liste de diffusion je ne me formalise pas pour ça :

          L'objet de ce mail est également de vous faire part du lancement aujourd'hui d'une béta privée de l'application web, à laquelle j'aimerais vous inviter à la tester si vous le souhaitez.
          Bien évidement, si vous contribuez à Weboob, c'est que les aspects de sécurité et de vie privée vous importent, or Budget Insight étant une applicaton web, vous n'êtes pas la cible visée. »

        • [^] # Re: Budget Insight, et son "haut niveau de sécurité"

          Posté par . Évalué à  10 .

          En gros vous dites que les données de connexion sont chiffrées et qu'on ne peut donc pas les voler. Ensuite, vous insistez sur le fait que le système ne peut pas faire de transfert mais qu'il lit simplement l'état du compte tous les jours. Cela veut donc dire, que la clef utilisée pour chiffrer la base est stockée quelque part (normal sinon ça ne servirais à rien). Au final, le fait d'être "read-only" n'importe pas tant que ça puisque compromettre les serveurs a de grandes chances de donner accès aux données chiffrées ET à la clef nécessaire pour obtenir les identifiant en clair.

          En fait il faut voir plusieurs choses dans l'argumentaire :

          • Le fait de dire que l'application est read-only concerne le cas où l'utilisateur se fait usurper son compte Budget Insight (pas que nos serveurs aient été compromis) ;
          • Les identifiants bancaires requis pour la synchronisation ne permettent pas de réaliser de virements, puisque la Banque de France oblige les banques à nécessiter l'envoi d'une confirmation par courrier ou SMS pour l'ajout d'un bénéficiaire ;
          • Les identifiants bancaires sont chiffrés dans la base de données de manière à ce qu'ils ne soient pas déchiffrables par l'application web. Ce qui signifie que si uniquement le site se faisait compromettre, les transactions pourraient être déchiffrées (l'application web ayant besoin de lire ces informations), mais pas les identifiants bancaires ;
          • Le backend tourne sur une autre machine non accessible depuis l'extérieur. Dans le cas d'une attaque grave où le serveur web frontal serait compromis, il n'y a rien dessus qui permette de déchiffrer les identifiants bancaires (les transactions, en revanche, si).

          McAfee c'est quoi ce truc ? Ils scannent votre site pour vérifier qu'il n'y a pas un site de phishing rajouté ? Si quelqu'un arrive à prendre le contrôle de votre site, il aura beaucoup plus intérêt à rester discret et à récupérer la base de données des identifiants et la clef plutôt que de défacer le site.

          Il s'agit de robots qui tentent d'attaquer le site et le serveur, pour la découverte d'éventuelles failles. Ces tests ne sont pas exhaustifs évidement, ce qui fait que nous ne nous reposons pas dessus, néanmoins il constitue une preuve que nous sommes résistant sur l'ensemble des tests effectués par McAfee, raison pour laquelle nous le mettons en avant sur la page sécurité.

          Enfin, il faut également penser à replacer cette page dans son contexte : la majorité des utilisateurs de BI ne sont pas aussi technophiles que les
          lecteurs de linuxfr, et c'est eux qu'elle vise à rassurer.

          • [^] # Re: Budget Insight, et son "haut niveau de sécurité"

            Posté par . Évalué à  2 . Dernière modification : le 03/12/12 à 21:07

            • Les identifiants bancaires sont chiffrés dans la base de données de manière à ce qu'ils ne soient pas déchiffrables par l'application web. Ce qui signifie que si uniquement le site se faisait compromettre, les transactions pourraient être déchiffrées (l'application web ayant besoin de lire ces informations), mais pas les identifiants bancaires ;
            • Le backend tourne sur une autre machine non accessible depuis l'extérieur. Dans le cas d'une attaque grave où le serveur web frontal serait compromis, il n'y a rien dessus qui permette de déchiffrer les identifiants bancaires (les transactions, en revanche, si).

            Tel que c'est écrit ici, je vois au moins deux problèmes. De ce que je comprends, au moins fonctionnellement, l'archi ressemble à ça :

               +----+    +--------+    +--------+     +-------+     +--------+      +------+
               |user|<-->|internet| <->|frontend| <-->|backend| <-->|internet| <--> |banque|
               +----+    +--------+    +--------+     +-------+     +--------+      +------+
            
            

            Donc:

            • Comment garantissez vous qu'il ne reste aucune trace d'un couple login/password bancaire à l'inscription ou à la modification dans le frontend par l'utilisateur (par exemple, dans le swap) ?
            • Comment garantissez vous que le backend ne s'est pas fait pirater (ben oui, il faut bien qu'il accède à l'internet pour se connecter sur les sites des banques, et ce avec les données localement en clair, non ?
            • [^] # Re: Budget Insight, et son "haut niveau de sécurité"

              Posté par . Évalué à  1 .

              rahhh f*ck, dans le dessin du dessus, il faut lire banque et non backend dans la case la plus à droite. Grmbl de cop/col…

            • [^] # Re: Budget Insight, et son "haut niveau de sécurité"

              Posté par . Évalué à  1 .

              Comment garantissez vous qu'il ne reste aucune trace d'un couple login/password bancaire à l'inscription ou à la modification dans le frontend par l'utilisateur (par exemple, dans le swap) ?

              Effectivement nous ne sommes pas allé aussi loin que de s'assurer que ce n'est pas conservé dans le swap, ça devient subtil. Si tu as des suggestions à ce sujet je suis preneur.

              Comment garantissez vous que le backend ne s'est pas fait pirater (ben oui, il faut bien qu'il accède à l'internet pour se connecter sur les sites des banques, et ce avec les données localement en clair, non ?

              Sur le backend, les données sont en clair uniquement en mémoire au moment de la récupération. Les machines sont dans un VPN, le backend n'écoute aucun service sur Internet, et le frontend n'a d'accès au backend que via un canal ne permettant au premier que de donner quelques ordres au second (il n'a pas de moyen d'y accéder en ssh ou autre).

              • [^] # Re: Budget Insight, et son "haut niveau de sécurité"

                Posté par (page perso) . Évalué à  3 .

                que ce n'est pas conservé dans le swap, ça devient subtil. Si tu as des suggestions à ce sujet je suis preneur.

                man mlock :

                SYNOPSIS
                       #include <sys/mman.h>
                
                       int mlock(const void *addr, size_t len);
                       int munlock(const void *addr, size_t len);
                
                       int mlockall(int flags);
                       int munlockall(void);
                
                DESCRIPTION
                       mlock()  and  mlockall()  respectively  lock part or all of the calling
                       process's virtual address space into RAM, preventing that  memory  from
                       being  paged  to the swap area.  munlock() and munlockall() perform the
                       converse operation, respectively unlocking part or all of  the  calling
                       process's virtual address space, so that pages in the specified virtual
                       address range may once more to be swapped out if required by the kernel
                       memory manager.  Memory locking and unlocking are performed in units of
                       whole pages.
                
                
                • [^] # Re: Budget Insight, et son "haut niveau de sécurité"

                  Posté par . Évalué à  1 .

                  Ca (qui doit probablement, et il faut y faire attention, être une opération nécessitant les droits root), faire un effacement explicite d'une zone mémoire contenant des données sensibles après utilisation, limiter ce genre d'opération au maximum (c'est plus facile à auditer que s'il y en a 42 000 répartis partout dans le code).

                  • [^] # Re: Budget Insight, et son "haut niveau de sécurité"

                    Posté par (page perso) . Évalué à  3 .

                    Nécessitant les droits root

                    Rien dans le man à ce sujet.

                    #include <sys/mman.h>
                    #include <stdio.h>
                    
                    char test[4096];
                    
                    int
                    main()
                    {
                    
                      if (-1 == mlock(test, sizeof(test)))
                        perror("plop");
                    
                      return 0;
                    }
                    
                    
                    $ gcc main.c 
                    $ ./a.out 
                    $
                    
                    

                    Donc, nope, pas de droits root.

                    • [^] # Re: Budget Insight, et son "haut niveau de sécurité"

                      Posté par . Évalué à  4 . Dernière modification : le 04/12/12 à 13:50

                      Il faut que l'utilisateur dispose de la capability CAP_IPC_LOCK. Dans les environnements actuels elle n'est généralement pas retirée aux utilisateurs. Cf:

                      capsh --print | grep cap_ipc_lock
                      
                      

                      Dans le passé il fallait bien être root pour pouvoir utiliser mlock. Il y a aussi une limit sur le nombre de pages lockées.

                      Pour la petite histoire les premières version d'OS X ne vérouillaient pas la mémoire utilisée pour stocker le mot de passe de déchiffrement des disques durs. Ce programme n'étant appelé qu'au boot il faisait parti des premiers octets à être swappé. Le mot de passe était donc à disposition sur le disque. Ceci à duré pendant des mois voir des années. La faille a été fixé silencieusement. Si ma mémoire est bonne dans une update de… cups.

            • [^] # Re: Budget Insight, et son "haut niveau de sécurité"

              Posté par . Évalué à  2 .

              Je vais sans doute dire une connerie, mais si c'est effectivement un problème que le frontend ai les identifiants en clair, ne serais-ce pas pas possible d'utiliser un système de clé asymétriques pour rendre idiot le frontend ? Je m'explique, le backend a la clé privée, et le frontend a la clé publique, qu'il donne à l'utilisateur. Celui-ci chiffre ses identifiants en Javascript, les transmet au frontend, qui sont transmis au backend, qui les déchiffrent.

              Avantage : le frontend n'a jamais accès aux identifiants.

              Inconvénient :

              • Javascript obligatoire, même si une procédure dégradée (moins sécurisée) peut être conservée.
              • Si le frontend est hacké, il peut très bien donner une mauvaise page au client. Cela peut cependant être détecté, au contraire d'un piratage du frontend dans le schéma actuel.

              Conclusions c'est plus sécurisé que le système actuel, avec un coût faible.

          • [^] # Re: Budget Insight, et son "haut niveau de sécurité"

            Posté par . Évalué à  2 .

            Les identifiants bancaires requis pour la synchronisation ne permettent pas de réaliser de virements, puisque la Banque de France oblige les banques à nécessiter l'envoi d'une confirmation par courrier ou SMS pour l'ajout d'un bénéficiaire ;

            Ou bien l'emploi de la "calculette" (aussi appelée lecteur Sésame). Au Crédit Coop, ça suffit pour ajouter un destinataire. Pas besoin de courrier ou SMS.

      • [^] # Re: Budget Insight, et son "haut niveau de sécurité"

        Posté par (page perso) . Évalué à  5 .

        Pourquoi ne pas s'inspirer, par exemple, de https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/ ?

        Si je met wxcvbn123 et que ça passe alors la sécurité (pour l'utilisateur) est plutôt faible.
        Si je met monsuper motde passetassecrayoncahier ça ne passe pas, mais est-ce moins sécurisé ?

        • [^] # Re: Budget Insight, et son "haut niveau de sécurité"

          Posté par (page perso) . Évalué à  5 . Dernière modification : le 04/12/12 à 09:48

          Je pense que les calculs de l'article et de xkcd ne sont pas exacts pour le cas des mots. Je remarque tout de suite que tu as utilisé que 4 mots, des mots de taille de 5 à 6, qu'il y a un verbe pour 4 objets, que les mots sont des mots du niveau 3 ans (lexique limité), … En conclusion, la distibution utilisée pour choisir les mots est tout sauf uniforme. La formule de l'entropie simple donnée dans l'article n'a donc pas vraiment de sens, il faut utiliser la générale :

          H = - sum_{i=1}^4 P[MOT_i] log P[MOT_i]
          
          

          Mais pour la calculer, il faut des données statistiques pour avoir une estimation de la distribution. Faisons une estimation (strictement supérieure) sur base des info ci-dessus :

          $ grep '^.\{3,6\}$' /usr/share/myspell/dicts/fr_FR.dic | wc -l
             2633
          
          

          Donc, nous avons 2633 mots de taille de 3 à 6 (Dans le dict installé par défaut sur ma distrib). Si on enlève ce qui n'est pas dans les critères ci-dessus, on tombe largement en-dessous de 1000 mots (en moyenne varie probablement entre individu). Prenons 1000 et donc en suposant l'uniformité dans ces 1000 :

          H < 4*log2(1000) < 39.9 bits

          Ce qui est clairement pas beaucoup. Je suspecte que cela soit largement moins avec des données statistiques correctes sur le choix de mots par les gens.

          J'ai l'impression que pour le mode caractère, on reproche aux gens de ne pas choisir les caractères au hasard mais on fait la supposition qu'ils vont choisir les mots au hasard ? C'est pas un peu poussé du chapeau ?

  • # Weboob et instabilité juridique

    Posté par . Évalué à  9 .

    Autant il semble assez sain d'utiliser weboob si on le souhaite pour des besoins personnels, autant j'ai un peu plus de doutes dans un cadre professionnel. Il est de notoriété publique que les banques, les moteurs de recherche, bref, presque tous les fournisseurs de contenu sur Internet détestent absolument qu'on n'accède pas à leurs services à travers les interfaces officielles, pour de bonnes (risques d'hammeçonnage) et de mauvaises (revenus publicitaires, volonté de contrôle) raisons. D'ailleurs, la plupart stipulent clairement dans les conditions générales de vente que de tels accès sont rigoureusement interdits et qu'ils se réservent le droit de couper le service s'ils le détectent.

    Du coup, en tant que client, je me demande quelles sont les garanties offertes. Si les comptes de la société sont bloqués du jour au lendemain pour cette raison, il faudrait aller en justice avec la banque ou le prestataire externe pour faire valoir un droit d'accès qui n'est pas du tout évident? Qu'est-ce que la start-up garantit, en terme de continuité de service?

    • [^] # Re: Weboob et instabilité juridique

      Posté par . Évalué à  3 .

      Je ne sais pas pour la France mais il semble que dans certains pays le problème soit résolu. Si tu regardes les applis qui font exactement la même chose, Buxfer par exemple la liste des Banques supportées est bien longue et vu les années d'existence du service ca doit être officiel.

      Reste à savoir si les banques Francaise offrent les mêmes services (serveur OXF ?).

      Mais c'est clair que faire reposer sur genre de business sur du scrapping ca me semble pas une super idée… Tant d'un point de vu sécurité que viabilité.

      • [^] # Re: Weboob et instabilité juridique

        Posté par . Évalué à  3 .

        la plupart stipulent clairement dans les conditions générales de vente que de tels accès sont rigoureusement interdits et qu'ils se réservent le droit de couper le service s'ils le détectent

        J'ai envisagé de faire la même chose il y a quelques temps et j'avais regardé les conditions générales d'utilisation des services en ligne du LCL, BNP et SFR : rien n'indiquait qu'il était interdit qu'un robot se connecte à leur service.
        As tu une référence précise ?

        faire reposer sur genre de business sur du scrapping ca me semble pas une super idée…

        Pas d'accord. Plusieurs raisons :

        1. Les banques n'ont pas à s'approprier nos données. Question de principe. (Et ici je pense ne pas être le seul a en avoir :-)
        2. Comment une banque peut elle faire la différence entre un robot et un navigateur ?? une ip qui se répète et la fréquence : on peut tromper ce type d'heuristique.
        3. Je ne vois pas bien comment la banque peut contractuellement interdire un robot : "il est interdit d'utiliser un programme pour se connecter au service autre qu'un navigateur". ?? c'est quoi un robot ? un navigateur avec un plugin ?? A la limite ils pourraient dire "pas de programme qui se connecte automatiquement sans intervention humaine". Or il y a bien intervention humaine : le robot ne devine pas le login / mot de passe tout seul.
        4. Si j'étais Budget Insight et qu'une banque faisait barrage à mes robots, j'enverrai un mail aux utilisateurs concernés leur expliquant que leur banque, malgrés leur volonté, refuse de leur donner accès à leur données. Autour de ça je chercherai à organiser un "effet Streisand" qui pourrait se conclure par un "arroseur arrosé".

        => Le scrapping est une réponse "faute de mieux", c'est une solution de résistance, je plébiscite !

        • [^] # Re: Weboob et instabilité juridique

          Posté par . Évalué à  6 .

          Les banques n'ont pas à s'approprier nos données. Question de principe. (Et ici je pense ne pas être le seul a en avoir :-)

          Ce n'est pas une question de s'approprier. Il faut bien faire la différence entre une relation client - banque et une relation entreprise tierce - banque. Là y'a un intermédiaire qui vient faire son gras sur tes services en y allant à la bourrin.

          Comment une banque peut elle faire la différence entre un robot et un navigateur ?? une ip qui se répète et la fréquence : on peut tromper ce type d'heuristique.

          Je te donne un indice c'est un service centralisé. Ça se détecte et se dégomme trivialement si tu considères ça comme parasite.

          Je ne vois pas bien comment la banque peut contractuellement interdire un robot : "il est interdit d'utiliser un programme pour se connecter au service autre qu'un navigateur". ?? c'est quoi un robot ? un navigateur avec un plugin ?? A la limite ils pourraient dire "pas de programme qui se connecte automatiquement sans intervention humaine". Or il y a bien intervention humaine : le robot ne devine pas le login / mot de passe tout seul.

          Tu me sembles bien naïf ;)

          Le scrapping est une réponse "faute de mieux", c'est une solution de résistance, je plébiscite !

          En tant que client final j'approuve.

          Mais je suis capable de faire la différence entre client et un service commercial. Le scrapping pour du service c'est merdique par ce que:
          - Ton service est par définition bancal. Tu te comportes en parasite, tu n'as aucune garantie de service possible. Tu n'as aucun moyen d'assurer la viabilité de ton business
          - Tu forces tes utilisateurs à te donner bien plus de droit que nécessaire. Tu leur demande de déléguer l'accès complet à leur compte en ligne alors que ton business n'a besoin que d'un tout petit sous ensemble read-only. Tu peux voir ça comme donner ton l'accès à ton compte mail pour simplement importer tes contacts dans un réseau social, sauf que c'est tes identifiants bancaires…
          - Ca me semble vachement tisqué juridiquement. Que ca soit légal ou pas, en tant que structure de 3 personnes le jour ou tu vas faire chier un de tes fournisseurs de donnée il te tue dans la seconde. Son budget avocat journalier est supérieur à ton CA annuel…

          Non la solution c'est de forcer à fournir des accès OFX où assimilé.

          • [^] # Re: Weboob et instabilité juridique

            Posté par . Évalué à  1 .

            Le "scrapping" peut vraiment être vue comme parasitaire vis à vis de la banque, techniquement pour eux, c'est une perte de bande passante.

          • [^] # Re: Weboob et instabilité juridique

            Posté par . Évalué à  1 .

            Non la solution c'est de forcer à fournir des accès OFX où assimilé.

            Qui a parlé de naïf ici ? :-)
            Quoi, que, on doit pouvoir les forcer en … scrappant leur site :-)

            "Tu n'as aucun moyen d'assurer la viabilité de ton business"

            Si si, tant que tu peux scrapper, tu es viable.
            Or il y a des stratégies pour ne pas se faire "dégommer trivialement".

            Et puis de toute manière à mon avis il faut voir cette solution comme une solution provisoire, en attendant que le sujet murisse et que les banques finissent par faciliter la récupération. Saviez vous par exemple que la mission "fiscalité numérique" prévoit une taxation inversement proportionnelle à la restitution des données personnelles ?
            Bon, ça parait un voeux pieu limite impossible à mettre en oeuvre, mais en tout cas ça donne un espoir qu'un jour on puisse, nous utilisateurs, récupérer des informations comme nos relevés bancaires.

            • [^] # Re: Weboob et instabilité juridique

              Posté par . Évalué à  3 .

              Je ne suis toujours pas convaincu que l'accès aux données personnelles et leur récupération via un outil non-homologué soit la même chose. En fait, je suis même convaincu du contraire.

              Par exemple, la loi impose le libre accès aux données personnelles, mais cet accès ne peut se faire qu'avec l'autorisation de l'entreprise. Je contacte mon FAI, je demande l'accès à mes données, il va me donner une proécure : contactez telle ou telle personne, on vous enverra vos données par email, etc. Le droit d'accès à mes données ne me donne pas le droit de pirater leur serveur pour les récupérer (en gros, la fin ne justifie pas les moyens).

              Ici c'est pareil, la banque me propose un abonnement pour consulter mes comptes en ligne, selon SES conditions. Elle utilise un protocole standard, le HTML avec du javascript et certainement d'autres cochonneries, elle a dépensé du pognon pour développer son site et souhaite, pour des raisons qui lui sont propres, que la consultation de ce site soit l'unique point d'accès à son compte—un peu comme si elle souhaitait que la porte soit l'unique point d'accès à son agence. Si ça te fait gagner du temps de passer par la fenêtre parce que tu ne veux pas faire le tour du paté de maisons ou être filmé à l'entrée, elle s'en fout.

              Dans tous les cas, c'est une situation conflictuelle. Peut-être que certaines banques s'en foutent, peut-être même que certaines trouvent ça bien, mais potentiellement, elles peuvent très bien ne pas aimer et elles en ont le droit.

              • [^] # Re: Weboob etinstabilitéjuridique

                Posté par . Évalué à  5 .

                Eh bien j'ai plusieurs éléments à te fournir :

                • Boursorama, filiale de la Société Générale, propose un outil similaire à Budget Insight et accède aux autres banques de la même manière que weboob. Plusieurs sources différentes m'ont parlé d'un procès intenté par la BNP (je crois) à Boursorama à ce sujet, et que cette dernière aurait été relaxée. Cela dit je n'arrive pas à trouver de source. À prendre avec des pincettes, mais ça n'empêche pas Boursorama de continuer ;
                • Linxo, notre principal concurrent, a fait une levée de fonds avec le Crédit Mutuel Arkea qui est entré dans son capital, et leur filiale Fortuneo a intégré Linxo en marque blanche. Si les banques flippaient elles ne mettraient pas ce genre d'outils en œuvre ;
                • Le scrapping n'est pas passer par la fenêtre, c'est juste un robot qui va automatiser l'ouverture de la porte et la récupération des informations auprès de la guichetière, afin d'éviter que tu le fasses toi-même tous les jours ;
                • Pour OFX, nous on aimerait bien, et lorsqu'on les rencontre on leur en parle, mais il faut bien comprendre que ce n'est pas à l'ordre du jour de leur côté.
                • [^] # Re: Weboob etinstabilitéjuridique

                  Posté par (page perso) . Évalué à  4 .

                  Tu fais quand même preuve d'une certaine naïveté. Ton service peut se faire tuer à tout moment avec un petit procès.

                  Dire "il y en a d'autres qui le font donc c'est surement légal", c'est pas très solide pour construire une société dessus. Qui te dit que tes concurrents n'ont pas un accord qui rémunère la banque pour l'utilisation de son service ?

            • [^] # Re: Weboob et instabilité juridique

              Posté par . Évalué à  3 .

              Bon, ça parait un voeux pieu limite impossible à mettre en oeuvre, mais en tout cas ça donne un espoir qu'un jour on puisse, nous utilisateurs, récupérer des informations comme nos relevés bancaires.

              En tant qu'utilisateur, j'ai jamais eu de problème pour acceder à mes relevés bancaires… Ta banque ne te fournit aucun relevé de ton compte ?

          • [^] # Re: Weboob et instabilité juridique

            Posté par . Évalué à  1 .

            Je sais pas chez les autres mais la banque postale permettait à une époque de récupérer des fichiers OFX ( https://ofx.videoposte.com).

            Est-ce que WebBoob passe par là ou bien ?

            Merci.

  • # Et c'est tout ?

    Posté par . Évalué à  5 .

    Pour ma part j'ajouterai bien :

    • OpenWide (avec du P. Ficheux dedans)
    • Free Electrons: il ne vendent pas de produit mais si "société à petite échelle qui contribue à l'open source" s'applique aussi ici.
    • [^] # Re: Et c'est tout ?

      Posté par (page perso) . Évalué à  1 .

      Si on commence comme ça ;) tu peux ajouter pas mal de 'petits' éditeurs : Silverpeas, XWiki, eXo, Nuxeo, Jahia … qui contribuent à plusieurs projets libres en plus d'avoir ouvert leur code.
      NB : je ne suis pas pour les modes multilicensing proposés par certains d'entre eux ou les SLA mais ca reste du libre.

      • [^] # Re: Et c'est tout ?

        Posté par . Évalué à  1 .

        eh bien oui: je pense qu'il n'y en à pas suffisamment pour avoir une liste trop longue.
        Dû à une certaine frilosité peut-être, je voulais quand même souligner l'apport volontaire de ces 2 acteurs que je trouve majeurs, essentiellement parce que je trouve que FreeElectrons à su trouver sa place dans un milieu pas si évident -le monde Open Source- sans sacrifier ses principes.

        • [^] # Re: Et c'est tout ?

          Posté par (page perso) . Évalué à  1 .

          Je ne connais pas FreeElectrons car je ne suis pas trop dans la partie embarquée mais je trouve qu'il est délicat de mesurer l'impact des éditeurs dans le monde libre. Surtout si tu le rapporte à la taille de l'entreprise.

          • [^] # Re: Et c'est tout ?

            Posté par . Évalué à  2 .

            Alors je t'engage à aller voir, même si tu es PC, cela reste une bonne partie Linux.
            Et concernant la mesure de l'apport, certes il y à une part objective mais non négligeable : slides, pdf, originaux latex des docs, contributions à Buildroot.
            Ce qui la rend évidente.

  • # les sousous

    Posté par (page perso) . Évalué à  7 .

    Je suis peut-être un peu neuneu, mais je n'arrive pas à trouver de tarifs à Budget insight. À moins que le logiciel ne choisisse automatiquement le tarif en fonction de l'analyse des comptes du client lors du premier mois gratuit, huhu :D

    • [^] # Re: les sousous

      Posté par . Évalué à  1 .

      La version premium, qui inclus le tableau annuel, le prévisionnel et la conservation illimitée de l'historique, coûte 2.5€ par mois, ou le parrainage de trois personnes.

      À l'inscription tu as un accès aux fonctionnalités du premium à l'essai pendant trois mois.

      Ce n'est effectivement pas mentionné clairement sur le site offline, nous allons y remédier rapidement.

      • [^] # Re: les sousous

        Posté par (page perso) . Évalué à  4 .

        Je suis inscrit, c'est vraiment impressionnant, mais n'existe-t-il pas d'autre moyen de paiement que paypal?

        • [^] # Re: les sousous

          Posté par . Évalué à  2 .

          Pour l'instant non, c'était le système le plus simple à mettre en place pour effectuer des abonnements (et non des paiements one-shot).

          Néanmoins, si tu arrives à convaincre trois personnes de s'inscrire à Budget Insight, tu auras un accès premium sans avoir eu besoin de passer par la case paypal :).

  • # Comme un arbre dans la ville

    Posté par (page perso) . Évalué à  8 .

    En tout cas, si on peut dire une chose de Bio Eco Forest, c'est que vous êtes très économe en commentaires :)
    Même le site est très sobre et laconique. C'est qui la clientèle cible? Les collectivités locales?

  • # "professionnels"

    Posté par (page perso) . Évalué à  4 .

    Les questions concernant les briques libres utilisées reviennent souvent, les interlocuteurs ayant la perception qu'il s'agit de solutions non professionnelles et non maintenues par des structures sérieuses.

    Ils ne manquent pas d'air les banquiers. Ils font des interfaces web-javascript toutes pourries, refusent d'utiliser les protocoles faits pour ça, imposent leur pavé numérique lourdingue, et quand des types font du reverse pour comprendre le mécanisme de leur bazar et tenter de faire un client un minimum utilisable ce sont ceux-là qui se font traiter de "non-professionnels pas sérieux". C'est le monde à l'envers.

    • [^] # Re: "professionnels"

      Posté par (page perso) . Évalué à  6 .

      Ce qui est sérieux, c'est de signer un contrat avec un banquier pour pouvoir fait ce que fait weboob "à la mano".

      Construire une société avec une source de revenu sur un flou légal, ça me semble à moi clairement pas sérieux.

      • [^] # Re: "professionnels"

        Posté par (page perso) . Évalué à  4 .

        Si tu attends un pas flou légal avant de fournir un projet, tu ne commences jamais. Heureusement que d'autres ont passé outre le flou légal pour proposer leurs services, sinon bon nombre de projets Internet n'auraient pas vu le jour.
        Car si tu attends le moindre truc des banques (ou des ayants droits de tout et n'importe quoi), tu peux attendre longtemps ton contrat…

  • # fOSSa

    Posté par . Évalué à  1 .

    Ce thème particulier où le retour d'expérience est un sacré tremplin pour pouvoir agir/se faire une opinion sera sûrement bien évoqué au foSSa demain jeudi 6 décembre à Lille :)

    http://fossa.inria.fr/fr/archives/category/maintrack/community-management
    https://linuxfr.org/news/fossa-2012-edition-les-4-5-et-6-decembre-2012-a-lille

  • # Une autre startup qui contribue au Libre: OCamlPro

    Posté par (page perso) . Évalué à  1 .

    OCamlPro http://www.ocamlpro.com/

    Je recommande chaudement leur OPAM,
    un gestionnaire de paquets pour installer
    des librairies et des logiciels ecrits en OCaml.

    Ca se passe par la:
    https://github.com/OCamlPro/opam
    et la:
    http://opam.ocamlpro.com/

    A+,
    F.

  • # Contribution au libre

    Posté par (page perso) . Évalué à  1 .

    La société Téïcée contribue au logiciel libre en développant une solution de gestion d'Espace Publique Numérique ProxyEPN, sous licence AGPL v3.

    Plus d'informations :
    * http://www.proxyepn.org
    * http://www.teicee.com

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.