Cette dépêche est initialement basée sur le journal de MariePa, qui a été complété et enrichi pour lister des solutions libres pour le travail collaboratif sécurisé. Il y est donc question de clients libres, de serveurs libres, de chiffrement bout en bout, de confidentialité des données, etc.
Sommaire
- Messagerie instantanée / visio-conférence
- Courriels
- Partage de données en ligne
- Édition collaborative
Messagerie instantanée / visio-conférence
Certains de ces services sont recensés sur LinuxFr.org avec l’étiquette visioconférence lorsqu’elle est disponible. La plupart des outils de visio-conférence fournissent le service de messagerie instantanée, par contre de nombreux logiciels de messagerie instantanée n’offrent pas de fonctionnalité de visio-conférence.
-
Element - précédemment Riot.im - pour la messagerie instantanée chiffrée ou non, en groupe ou en individuel, avec des passerelles vers les canaux IRC. Visio-conférence incluse.
- Existe avec une interface web
- Existe pour smartphone (dont F-Droid)
- Utilisation du protocole de fédération Matrix, laissant l’utilisateur choisir le serveur auquel il veut se connecter (et il existe différents serveurs libres)
-
Galène code source sur Github
- Nécessite peu de ressource au niveau du serveur.
- Voir la récente dépêche dédiée
- Serveur 100% libre (licence MIT), à utiliser avec un navigateur comme client
-
Jami : Messagerie instantanée, appels audio et vidéo, partage d’écran, conférences.
- Complètement pair à pair, ne nécessite pas de serveurs pour fonctionner
- Chiffré de bout en bout
- 100% libre (licence GPLv3, paquet GNU, High Priority Project)
- Existe pour smartphone (dont F-Droid)
- Existe pour Android TV
-
Jitsi
- Existe avec une interface web
- Existe pour smartphone (dont F-Droid)
- 100% libre (APLv2), pour les clients et le serveur Videobridge
-
NextCloud Talk : Appels audio ou vidéo en tête-à-tête ou en groupe, conférences Web et messages instantanés
- Communications entièrement chiffrées et transmises par votre propre serveur
- 100% libre (licence GPLv3)
- Existe pour smartphone (dont F-Droid)
-
Silence sur smartphone.
- application de SMS chiffrés (nécessite que vos interlocuteurs disposent de Silence pour qu’ils restent chiffrés)
- 100% libre (licence GPLv3)
Element :
Galene :
Jami :
Jitsi :
Talk (Nextcloud) :
Silence :
Courriels
Sur votre ordinateur voire votre serveur
Par ordre alphabétique :
- evolution : le client de courriel historique de GNOME (GPL/LGPL)
- Mail dans Nextcloud, particulièrement bien intégré, mais l'affichage des fils de discussion est difficile à suivre (AGPLv3).
- Rainloop dans NextCloud. Mais, le carnet d’adresses n’est pas synchronisé avec l’application Contact (AGPLv3).
- Thunderbird : dans les dernières versions, le support d’OpenPGP est inclus (le greffon Enigmail est devenu inutile). Licences MPL-1.1 / LGPL v2.1 / GPL v2 / MPL-2.0
Rainloop sur NextCloud :
Mail sur NextCloud :
Thunderbird :
GNOME Evolution (avec une surcouche de couleur pour illustrer les différentes zones dans la documentation) :
Sur smartphone
Quelques clients sont disponibles directement sur le dépôt de logiciels libres F-Droid :
- FairEmail : application de messagerie électronique entièrement fonctionnelle, open source et axée sur la confidentialité (certaines fonctionnalités nécessitent un don unique d’au minimum un euro). Licence GPL v3
- K-9 Mail : un des seuls clients de courriel pour smartphone qui permet de rédiger des messages en texte seul. Multi-compte. Très bien intégré. Licence APL v2
- SimpleEmail : logiciel libre de messagerie minimaliste et respectueuse de la vie privée. Licence GPL v3
Captures d’écran :
Services tiers
Par ordre alphabétique :
- Les CHATONS : un bel annuaire, pour ce collectif rassemblant des acteurs proposant des services en ligne libres, éthiques, décentralisés et solidaires
- Lautre.net : web et courriels, association prônant le logiciel libre, la neutralité du net et l’autonomie des membres.
À installer soi-même
Par ordre alphabétique, non seulement le client est disponible, mais aussi le volet serveur permettant l’auto-hébergement :
- AlternC : Lautre.net et Mars.net se basent sur AlternC pour leur fonctionnement
- FreedomBox
- La Brique Internet pour son propre hébergement sur un routeur, avec utilisation de Yunohost.
- Yunohost (AGPL)
Partage de données en ligne
NextCloud (AGPLv3) : pour échanger, chiffrer des documents, gérer ses rendez-vous, ses calendriers, ses contacts. Synchronisation avec le smartphone et d’autres ordinateurs. Possibilité de chiffrer les documents des utilisateurs rendant les fichiers illisibles en cas de compromission du serveur.
ownCloud (AGPLv3) : similaire à NextCloud, dont il est l'origine en 2016.
SeaFile (AGPLv3 pour le serveur, APLv2 ou GPLv2 ou 3 suivant les composants) : partages et chiffrements des fichiers.
Ces applications permettent plusieurs niveaux et mécanismes de chiffrement :
- le chiffrement en transit via le protocole HTTPS et les protocoles TLS les plus récents,
- le chiffrement au repos qui s’effectue à l’aide d’une clé maître placée dans le stockage ou dans un module matériel de sécurité,
- le chiffrement de bout-en-bout ajoute une couche de sécurité supplémentaire (si vous avez confiance dans le serveur) qui assure que les fichiers ne sont accessibles qu’aux utilisateurs prévus.
L’application de chiffrement de bout-en-bout est librement disponible et activable pour NextCloud et Seafile.
Édition collaborative
- LibreOffice Online (MPLv2) : serveur pour afficher et éditer collaborativement des documents variés dans un navigateur web
- OnlyOffice Groups (APLv2) : serveur pour la collaboration gérant les documents, les projets, le CRM et les courriels
- CryptPad (AGPLv3) : logiciel libre de collaboration chiffrée avec « équipes », partage de fichiers, et discussion chiffrée avec un groupe d’utilisateurs. Voir par exemple la dépêche sur la version 3.3 (la dernière disponible étant la 3.25)
Aller plus loin
- Journal à l’origine de la dépêche (75 clics)
# Cette dépêche mélange un peu de tout ...
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 10.
Il est question de "travail collaboratif sécurisé", ce qui fondamentalement ne veut pas dire grand chose.
Du coup comme cette terminologie n'est pas explicitée, la dépêche ressemble à une liste plus ou moins cohérente de logiciels.
Par exemple on trouve libreoffice online en alternative à cryptpad alors que l'un est un éditeur de documents bureautique en ligne et l'autre une solution chiffrée de bout en bout.
Il n'est pas fait mention de Etherpad ou Ethercalc non plus. Est-ce pour des raisons de sécurité ? Si oui, pourquoi libreoffice apparaît (à ma connaissance libreoffice online ne fait pas de chiffrement) ?
Il est également évoqué NextCloud et onlyoffice groups par exemple mais pas Tracim.
Au niveau visioconférence les solutions sont elles équivalentes ? Quelles sont les possibilités de chacune d'un point de vue sécurité ? Et d'un point de vue collaboration ?
La démarche est intéressante mais finalement le manque d'objectivité qui était le reproche principal fait à MariePa est aussi présent dans cette dépêche. Idem pour le flou autour des solutions évoquées.
Je comprends qu'une telle dépêche ne puisse avoir la prétention de présenter toutes les solutions existantes, mais là on mélange 2 thématiques (la sécurité et les solutions de travail en équipe) sans expliquer la démarche, les critères pour "définir" quelles solutions sont pertinentes.
Par exemple en tant que leader de Tracim, j'aurais tendance à me dire "ah ben dommage Tracim n'apparaît pas dans cette liste, c'est contre productif pour notre logiciel". Mais en même temps Tracim n'est pas une solution orientée chiffrement de bout en bout. Mais en même temps c'est le cas de plusieurs solutions évoquées - si on parle de Libreoffice ou Onlyoffice groups, Tracim me semble pertinent. Si on parle de chiffrement de bout en bout ça ne l'est pas (cela veut il dire que Tracim n'est pas sécurisé ? Non pas nécessairement).
Il me semble que le titre est trompeur et qu'il serait plus approprié sous une forme du type : "quelques solutions libres permettant de collaborer en ligne avec un niveau de confidentialité potentiellement fort". (Je reconnais que cette formulation un peu longue;)
Enfin dernier point lié au titre, on s'attendrait potentiellement à des conseils sur comment sécuriser ces outils, mais cf n'est pas le cas non plus. Jitsi meet par exemple peut être utilisé avec différents niveaux de confidentialité, liés à la manière de l'utiliser mais également à la manière de le configurer.
[^] # Re: Cette dépêche mélange un peu de tout ...
Posté par Benoît Sibaud (site web personnel) . Évalué à 5.
« Travail collaboratif » me semble assez explicite : la possibilité d'échanger/communiquer/travailler pour deux personnes et plus.
« sécurisé » est toujours plus relatif au contexte : chiffrement en transit, bout-en-bout, sur quel périmètre, pour quel modèle de menace, etc. D'où la précision ajoutée dans la phrase qui suit.
Par ailleurs dire que ça ne vient pas dire grand chose ne veut fondamentalement pas dire grand chose non plus :). On ne sait pas ce qui n'est pas clair ou assez précis pour toi ici.
Je ne crois pas que cette liste ait besoin d'une cohérence : une même personne ne va pas utiliser tous ces logiciels, n'a pas tous les besoins évoqués ici, et a priori elle sait si elle a besoin ou pas de visioconférence ou juste d'échanges textuels, d'un simple pad d'écriture simultanée à plusieurs ou d'un document riche type bureautique, etc.
Tu peux donc avoir ton serveur Libreoffice à toi et faire ta bureautique collaborative de façon sécurisée (avec un contrôle de toute la chaîne) ou ton serveur cryptpad perso ou même utiliser un cryptpad hébergé hier vu le chiffrement bout-en-bout.
Tous les logiciels possibles ne sont pas mentionnés et la dépêche ne prétend pas être exhaustive. Il n'est pas fait mention d'un screen partagé pour faire du vim collaboratif, ou d'une solution plus simple et complète comme Tracim effectivement. Ça pourrait faire l'objet d'une autre dépêche sur le même sujet, ou faire partie des commentaires de celle-ci (ça tombe bien). Comme d'habitude, les logiciels mentionnés sont ceux qui ont été listés lors de l'écriture collaborative de cette dépêche en rédaction (et c'est scandaleux il n'y pas LinuxFr.org de mentionné non plus :).
Comme mentionné dans la dépêche les solutions ne sont pas équivalentes : avec ou sans serveur par exemple. À moins d'avoir une liste sans fin de critères, vouloir une comparaison parfaite des fonctionnalités me semble vain (comment savoir si ce qui est important pour l'utilisateur sont le support des emojis, le fait d'être ou non en PHP, l'interconnexion possible ou non avec du SIPS, le fait de fonctionner sur Haiku, l'existence d'un support 24/7 ou que sais-je encore), et le but de la dépêche est de lister des logiciels, pas d'écrire des pages Wikipedia, les docs de ses logiciels ou de faire une réponse comparative à un appel d'offres.
Pertinentes pour qui ? La dépêche propose des solutions, elle ne dit pas « éh toi individu générique, tu as besoin de tel logiciel qui va répondre à tes besoins que je ne connais pas ».
Et oui je redis que Tracim aurait pu y figurer si quelqu'un l'avait ajouté en rédaction (ou en modération), vu que tu peux déployer ton propre serveur (sous réserve d'être capable de le faire effectivement).
Va pour un changement de titre.
À mon avis, la dépêche ne serait jamais sortie dans ce cas (entre rester en déshérence en rédaction, ou devenir obèse/indigeste et restée non finalisée, ou avoir découragé tous les contributeurs).
[^] # Re: Cette dépêche mélange un peu de tout ...
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 6.
Oui tu as complètement raison :)
Pour moi c'est la notion "c'est sécurisé" qui est floue. Par exemple si tu veux déployer sur une infrastructure en laquelle tu n'as pas totalement confiance, cryptpad me semble une bonne solution. Si en revanche ton infrastructure fait partie du "périmètre de confiance", Tracim répondra et proposera un périmètre fonctionnel plus large sur des sujets qui ne sont pas adressables (ou très difficilement) avec un chiffrement de bout-en-bout. Par exemple implémenter un moteur de recherche nécessite d'indexer le contenu (donc d'y avoir accès). Avec un chiffrement de bout-en-bout c'est relativement complexe, a fortiori dans une application web.
Un autre point important pour les notions de sécurité sur une application en ligne : il y a la sécurité "by design" dans le produit (exemples : chiffrement de bout en bout, modèles de gestion des droits d'accès, méthode de développement, etc) mais également la manière dont est déployé l'outil. Et enfin - et surtout - la manière dont est utilisé l'outil.
Pour le reste, je suis d'accord avec tes réponses. Les deux points clé de mon commentaire sont vraiment la reformulation du titre (qui est très bien comme tu viens de le faire) et la notion de sécurité qui mérite d'être clarifiée sans quoi elle apporte peu.
[^] # Re: Cette dépêche mélange un peu de tout ...
Posté par GG (site web personnel) . Évalué à 5.
Il manque Tracim, effectivement.
Tu peux proposer un paragraphe et une illustration.
Je n'avais pas pensé à Tracim parce que je ne me sers pas de Tracim. J'ai essayé de l'installer et je me suis arrêté à mi-chemin. J'ai trop de difficulté à installer certains logiciel en Python, et je n'aime pas utiliser les images Docker parce que je veux savoir ce qui est installé et comment.
Il y aurait tellement à dire pour chacun des logiciels cité.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Cette dépêche mélange un peu de tout ...
Posté par xandercagexxx . Évalué à 0.
Bonjour,
Il y a tout le nécessaire pour builder l'image docker dans le repo github de tracim (doc pour builder, dockerfile, les scripts utilisé au démarrage du container, etc.).
Les images docker de Tracim disponible sur le docker hub, sont aussi construites à partir du repo github.
Ya vraiment pas de zone d'ombre à ma connaissance.
Je serais intéressée de savoir ce qui te manque comme information pour avoir confiance dans ce qui est publiée ;)
Créer l'image prend environ 30min sur une machine de bureautique, cela ne semble pas être long pour pouvoir tester un logiciel, en ayant totalement confiance sur ce qui est construit :)
[^] # Re: Cette dépêche mélange un peu de tout ...
Posté par GG (site web personnel) . Évalué à 3.
Je n'ai pas réussi à installer Tracim jusqu'au bout.
Je n'aime pas les images Dockers, mais c'est parce que j'ai vu trop souvent un mauvais usage des images Dockers.
Je n'ai peut être pas assez bien regardé la doc.
J'ai simplement trouvé que installer Tracim et toutes les dépendances étaient vraiment terrible, et ça arrive avec beaucoup de logiciels en python, ou en php avec Pear-php d'ailleurs (à plus petite échelle).
C'est aussi parce que je ne connais pas assez bien Python.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
# Tout se passe en graphique ?
Posté par _kaos_ . Évalué à 6.
Salut,
Moi, mutt et un tmux avec un irssi dedans, ça me suffit.
/me se sent vieux…
Matricule 23415
[^] # Re: Tout se passe en graphique ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
Tu partages ton mutt dans tmux avec plusieurs personnes pour lire des courriels que tu n'envoies pas ? :)
(sinon perso ssh / mutt / znc / pass, mais ça c'est surtout lié à un profil adminsys qui n'a que des terminaux ouverts…)
[^] # Re: Tout se passe en graphique ?
Posté par _kaos_ . Évalué à 4. Dernière modification le 03 mars 2024 à 21:03.
Salut,
Nan, en vrai, je délègue tout ça à mon assistante…
Faudrait pas déconner non plus ! ;)
Aide clavier
Matricule 23415
# oh oui, une dépêche sur Tracim
Posté par tisaac (Mastodon) . Évalué à 3.
C'est bien vrai que Tracim manque dans cette dépêche.
C'est bien vrai qu'on n'a plus eu récemment de nouvelles de Tracim et plus généralement d'Algoo sur LinuxFR (en dehors de mentions dans les commentaires).
C'est bien vrai que cela fera sans doute plaisir à pas mal de personnes d'avoir des nouvelles de Tracim à travers une dépêche ;-)
J'dis ça, j'dis rien …
Surtout, ne pas tout prendre au sérieux !
[^] # Re: oh oui, une dépêche sur Tracim
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 4.
Je note :) Yen a une prévue pour la rentrée… Avec pas mal de nouveautés.
# System-D
Posté par Bruce Le Nain (site web personnel) . Évalué à 2.
Il pourrait être intéressant de mentionner System-D, logiciel open source, avec une instance en inscription libre, dont la description est «Plateforme chiffrée de projets collaboratifs».
[^] # Re: System-D
Posté par GG (site web personnel) . Évalué à 3.
Et rien dans les commentaires du journal ayant donné lieu à la dépêche? Dommage.
À cause de son nom, je l'avais éjecté de ma tête.
Il a bien évolué depuis la dernière fois. Bravo.
Peut être faire un nouveau journal sur le sujet?
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
# Nextcloud Talk - messagerie stockée en clair
Posté par Thecross . Évalué à 1.
Dans Nextcloud Talk, les conversations audio et vidéo sont chiffrées.
Par contre, les messages instantanés sont chiffrés entre le client et le serveur, mais le serveur les stocke en clair. J'avais eu l'occasion de le constater en consultant la base de donnée exportée avec
mysqldump. Il faudra donc faire confiance au serveur qui héberge l'instance Nextcloud.[^] # Re: Nextcloud Talk - messagerie stockée en clair
Posté par GG (site web personnel) . Évalué à 2.
Et, surtout, cette messagerie n'est peut être pas faite pour ça?
C'est pratique quand quelqu'un dit qu'il n'entends rien, ou ne voit rien, échange une URL… Et comme ces messages sont visibles dans l'historique, il faut aussi supprimer la room éventuellement.
Y a d'autres solutions qui chiffrent?
Beaucoup d'autres solutions n'enregistrent pas ces messages… pourquoi pas. Y a plus qu'à proposer une contribution.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Nextcloud Talk - messagerie stockée en clair
Posté par GG (site web personnel) . Évalué à 2.
D'une manière globale, pour du E2E, vous devez avoir confiance dans le serveur, à minima, sinon ça ne sert à rien. C'est tout l'intérêt d'héberger sois-même ses logiciels. Et donc de privilégier ce qui est open-source et libre, aussi bien au niveau du client que du serveur.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Nextcloud Talk - messagerie stockée en clair
Posté par Thecross . Évalué à 2.
Oui vous avez raison sur les deux points que vous soulevez, je reconnais que ma dernière phrase est superflue. Je souhaitais insister sur le fait que le serveur garde les conversations écrites en clair, contrairement aux échanges audio et vidéo qui sont chiffrés.
[^] # Re: Nextcloud Talk - messagerie stockée en clair
Posté par GG (site web personnel) . Évalué à 2.
Il manque du code pour y remédier.
Certains, dont moi, vont dire que ça n'a pas été prévu pour au niveau de la visio-conf.
Je ne sais pas ce qu'il en est de la messagerie instantanée incluse dans un des modules de NextCloud, mais c'est toujours moins problématique que d'utiliser les services de Facebook, Whatsapp, etc.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
# Messageries instantanées aux petits oignons
Posté par Arthur Accroc . Évalué à 5.
Session et Tox sont des systèmes de messagerie instantanée qui utilisent un routage en oignon, comme Tor, mais avec leurs propres nœuds.
Tox permet aussi les appels vocaux et vidéos.
Je me base sur les infos qu’ils donnent, je n’ai pas essayé.
Au moins session-desktop, session-android, qTox et Antox sont sous licence GPL.
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
# Édition collaborative
Posté par Glandos . Évalué à 2.
J'arrive un peu en retard pour parler de HedgeDoc
C'est un fork de CodiMD qui est arrivé récemment dans une nouvelle version et présente pas mal d'atout. Ce n'est pas chiffré côté client, mais bon, ce n'est pas nécessaire partout.
# Pas libre mais gratuit
Posté par StanZen . Évalué à -6.
Je me permets de partager un application qu'on a créé: Zenchat, l'alliance du tchat et de la todolist, on aimerait bien votre avis !
https://zenkit.com/en/chat/
# XMPP et protocoles
Posté par barmic 🦦 . Évalué à 7. Dernière modification le 31 décembre 2020 à 09:35.
C'est triste que xmpp n'apparaisse pas dans le coin. Je n'utilise pas donc je ne pourrai pas en parler, mais sur un site qui se fait le relais d'une dépêche mensuelle sur l'actualité du protocole et dont 2 membres sont des développeurs connus du monde xmpp, ça me paraît dommage que ça ne soit pas paru évident.
On pourra d'ailleurs remarquer comment toutes les solutions présentées travaillent dans leur coin plutôt que de tenter de s'organiser autour d'un ou 2 protocoles (pas forcément fédérés).
Mon point n'est pas de culpabiliser, mais de faire remarquer que si xmpp ne paraît être évident sur linuxfr, la popularisation du protocole est encore loin.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
# Jami
Posté par mahikeulbody . Évalué à 2.
Je découvre Jami en lisant cette dépêche et j'avoue que je suis séduit par le concept. Il ne manque (du moins pour mon usage) que la synchro des conversations entre devices d'un même compte.
Je vais tester pour voir si le concept résiste à l'épreuve pratique.
Une question : XMPP est-il compatible avec un fonctionnement pair to pair ? Si oui, c'est peut-être dommage qu'ils ne soient pas partis sur ce protocole.
[^] # Re: Jami
Posté par seveso . Évalué à 1.
Non, XMPP est un protocole qui nécessite un ou plusieurs serveurs intermédiaires pour relayer les messages ou rejoindre des salons de discussion à plusieurs.
En revanche les appels audio/vidéo et les transferts de fichiers peuvent se faire de pair à pair dans certaines conditions, et le tout chiffré de bout-en-bout.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.