Widelands est un jeu de stratégie en temps réel (solo ou multijoueur en réseau), fonctionnant sur diverses plates‐formes (dont GNU/Linux, Windows et macOS). Il s’inspirait à l’origine du célèbre jeu Settlers II de Blue Byte Software. Il intègre un moteur permettant de gérer plusieurs tribus et différents systèmes d’économie. Le jeu avait déjà été évoqué sur LinuxFr.org (mais si, rappelez‐vous, c’était il y a seulement quatorze ans). Il est codé en C++ avec la bibliothèque SDL, et est placé sous licence GPL.

La version Build 20-rc1 est parue le 22 avril 2019. La version finale Build 20 devrait paraître sous peu (déjà trois bogues identifiés et corrigés depuis la parution de la rc1). (NdM: Build 20 parue le 2 mai, avec six corrections de bogues). La version Build 19 datait de novembre 2016.

La rc1 vient corriger 404 bogues, corrections et évolutions. Citons la nouvelle tribu des Frisons (Frisians), des casernes pour le recrutement des soldats, une IA réécrite avec un algorithme génétique, ainsi qu’une interface plus riche et pourtant plus pratique.

Dans les coulisses, le grand nettoyage et la modernisation se poursuivent et, bien sûr, il y a des gains en stabilité et en performance, et des bogues en moins.

Le site LinuxFr.org peut être consulté sans compte et sans authentification. Il permet aussi de se créer un compte (voir l’aide Visite (non) authentifiée, ou pourquoi ouvrir un compte ?). Ce compte est associé à des données à caractère personnel techniques nécessaires au service rendu et des données à caractère personnel optionnelles qui sont renseignées ou non par la personne utilisant le compte.

Cette dépêche décrit les données à caractère personnel traitées, qu’elles soient ou non associées à un compte, le cycle de vie de ses données et le changement de politique concernant ce cycle de vie. Par souci de concision, on utilise l’abréviation DCP pour données à caractère personnel.

La principale nouveauté concerne les durées de conservation des DCP. À partir du 28 juin 2023 :

• les comptes inactifs pendant trois ans seront fermés et les données conservées inutiles au service supprimées ;
• les comptes fermés depuis plus d’un an verront les données associées inutiles au service supprimées.

C’est via un tweet de Hervé Schauer, reprenant l’annonce de la famille, que nous avons appris cette triste nouvelle :

« décès de Patrick Sinz le soir du 27 mai 2019 dans un accident de la route. C’était un père, un mari, un frère, un fils, un oncle, et un ami formidable, et il restera à tout jamais dans nos cœurs. »

Paix à son âme…

Il y a un an, le 20 février 2011 pour être précis, le site LinuxFr.org a migré vers une toute nouvelle version en Ruby On Rails (pour fuir Templeet). Les statistiques sur les utilisateurs du site nous apprennent qu'il y a environ 45 000 comptes qui ont été créés depuis la mise en place du site, qu'il en reste environ 42 000, dont 180 fermés et 3  900 valides et utilisés au cours des 3 derniers mois.

Les comptes créés avant la migration ont leur mot de passe stocké sous forme hachée DES 13 caractères (pas sous forme lisible, pas en clair pour résumer, mais un peu vieillot et peu sûr comme format). Les comptes créés ou utilisés après la migration ont leur mot de passe stocké sous forme hachée Blowfish 60 caractères (pas en clair et mieux protégé pour résumer).

35 000 comptes n'ont pas migré vers le nouveau format de stockage (et ont donc un mot de passe stocké dans l'ancien format). 600 comptes ont migré mais il existe encore une version de leur mot de passe de l'époque dans l'ancien format. Afin de supprimer de sa base de données les anciennes formes de mots de passe moins sûres, et parce qu'évidemment il ne nous est pas techniquement possible de convertir nous-même votre mot de passe vu que nous ne le connaissons pas, nous allons relancer par courriel tous les comptes ouverts et non utilisés depuis la migration :

• pour les comptes qui n'auront pas été utilisés entre le 20 février 2011 et le 31 mars 2012, nous les fermerons et supprimerons le mot de passe et l'adresse de courriel associée (*). Leurs contenus et commentaires resteront en ligne ;
• pour les autres comptes, l'ancienne forme du mot de passe sera supprimée de la base, tout le monde y gagnera en sécurité et cela simplifiera le schéma de notre base de données et le code de traitement des mots de passe.

La base de données « tz » (tz database) ou zoneinfo, ou encore Olson (du nom de son créateur), contient les informations sur les fuseaux horaires. Elle est utilisée par de nombreux logiciels (dont Java, PostgreSQL, MySQL — d’ailleurs, c’est le cas sur LinuxFr.org, OracleDB, PHP, Perl, Python, etc.) et systèmes d’exploitation (dont GNU/Linux, les BSD, Solaris et Mac OS X — mais pas Windows). Le 6 octobre 2011, David Olson a annoncé sur le groupe de discussion comp.time.tz qu’une plainte — l’impliquant, ainsi qu’un autre gestionnaire de cette base — avait été déposée devant la Cour fédérale de Boston (États‐Unis), et qu’en conséquence, les services FTP et liste de diffusion liés à cette base de données étaient arrêtés.

Il faut savoir que les fuseaux horaires ont varié au cours du temps (S. Colebourne évoque « entre 20 et 100 modifications distinctes sur le globe chaque année »), d’où l’intérêt de disposer d’une collection de toutes ces modifications. La base, gérée comme un projet libre, était mise à jour une quinzaine de fois par an. Elle était précédemment hébergée par les « Instituts nationaux de la santé » (National Institutes of Health, NIH) des États‐Unis (dont l’équivalent français serait l’INSERM).

La plainte vient de l’éditeur Astrolabe (éditeur d’ouvrages astrologiques) qui évoque ses ouvrages AC International Atlas et ACS American Atlas, mentionnés comme sources de la base de données tz, et poursuit donc deux personnes pour contrefaçon.

Le droit évoqué est le copyright (et non le droit sui generis des bases de données existant en Europe). On notera qu’il s’agit de données historiques factuelles, et que la jurisprudence américaine aurait plutôt tendance à exclure un copyright dessus (et donc à les placer dans le domaine public).

Le 10 octobre, une nouvelle version de la base de données a été publiée par d’autres personnes que celles visées par la plainte.

NdM : une première version de cette dépêche a été publiée le 10 octobre. Comme signalé dans les commentaires, il s’est avéré qu’il s’agissait d’une copie d’un article paru sur developpez.com, le 7 octobre. La dépêche a été entièrement réécrite et celle‐ci est publiée sous licence libre. Avec nos excuses pour ce souci dans la modération des contenus soumis par nos lecteurs.

Faisons un petit point sur une tâche régulière, répétitive et rébarbative liée à LinuxFr.org, qui n’est probablement pas significativement perçue par la plupart des lecteurs (tant mieux) : la gestion du spam, des pénibles publicitaires sans scrupule, de la plaie des SEO, des escroqueries et autres arnaques type scam ou loterie, etc. Bref, des pénibles du quotidien qui ne sont pas des vrais visiteurs du site^*, mais qui veulent juste fourguer leur camelote par n’importe quel moyen. Il s’agit d’évoquer les différentes formes que cela prend, les méthodes mises en place pour réduire ou bloquer la nuisance et d’illustrer le propos par divers exemples.

(*) : Je distingue volontairement certains visiteurs du site qui auraient aussi des comportements problématiques, mais différemment (manifestement illégal, discriminatoire, insulte, harcèlement, abus, etc.). Ça pourrait faire un autre bon sujet de dépêche, mais ce n’est pas le sujet de celle‐ci.

La législation française évolue plus ou moins fréquemment autour du numérique et d’Internet. Parmi les derniers changements (effectifs, proposés ou en discussion) :

• la probable extension de la redevance copie privée au secteur du reconditionné (voir par exemple le dernier article NextInpact et les précédents), donc un surcoût à prévoir pour les mobiles et tablettes d’occasion par exemple ;
• les accords autour de l’article 15 de la directive européenne droit d’auteur (dépêche LinuxFr.org), instaurant un droit à rémunération des éditeurs et agences pour l’usage fait de leur titre par les réseaux sociaux ou encore les moteurs de recherche (voir par exemple l’Alliance de la Presse d’Information Générale et Facebook chez NextInpact, ou précédemment Droits voisins : Les éditeurs de presse et Google trouvent un accord chez ZDNet) ;
• toujours autour de la directive européenne droit d’auteur, l’arrêté) concernant l’article 17 sur les seuils de filtrage (voir aussi l’article NextINpact) : les plateformes concernées sont celles ayant une finalité commerciale, plus de 400 000 visiteurs uniques par mois et un nombre d’œuvres mises à disposition supérieur aux seuils de l’arrêté (d’après ces informations, je dirais que seul le premier critère exclut clairement LinuxFr.org des concernés) ;
• des propositions de députés/sénateurs pour un droit opposable à un Internet fixe de qualité, pour moderniser la lutte contre la contrefaçon de marque notamment en ligne ou pour une obligation de vérification d’identité à l’entrée des plateformes (merci NextINpact 1, 2 et 3) ;
• les procédures en cours pour faire bloquer les principaux sites pornographiques au niveau des principaux fournisseurs d’accès à Internet ;
• un peu de jurisprudence sur la contrefaçon de logiciels (sur la même thématique voir aussi CUJE : un contrat de licence utilisateur final ne peut interdire la décompilation d’une application  ;
• l’adoption de la fusion Hadopi-CSA avec ajout de nouveaux outils contre le piratage, avec la naissance de l’Arcom, avec le projet de loi « relatif à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique » (dossier Assemblée nationale, décision du Conseil Constitutionnel, loi publiée au Journal officiel, merci à @rabenou pour les deux derniers liens) ;
• le décret n° 2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, pris en application du II de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique qui sera discuté en seconde partie de dépêche.

En février 2018, j’avais fait un petit point sur une tâche régulière, répétitive et rébarbative liée à LinuxFr.org, qui n’est probablement pas significativement perçue par la plupart des lecteurs (tant mieux) : la gestion du spam, des pénibles publicitaires sans scrupules, de la plaie des SEO, des escroqueries et autres arnaques type scam ou loterie, etc. Bref, des pénibles du quotidien qui ne sont pas des vrais visiteurs du site, mais qui veulent juste fourguer leur camelote par n’importe quel moyen. Il s’agit d’évoquer les différentes formes que cela prend, les méthodes mises en place pour réduire ou bloquer la nuisance et d’illustrer le propos par divers exemples.

Contexte

Je me balade sur le site, je vois un commentaire vantant un comparatif de VPN, je me dis que c’est louche (pour plein de raisons, la huitième va vous étonner, mais principalement par expérience, voir plus loin la discussion sur PreSpam), c’est un nouveau compte. OK, il s’agit donc d’un spam de type SEO sournois. Pris d’une frénésie vindicative contre le spam, je lance une recherche en base de données sur ce domaine en particulier. Une seule occurrence. Petite déception, j’étais persuadé d’en voir plus régulièrement des vendeurs de spams, euh, de VPN.

Là, paf, mauvais réflexe, je me dis qu’il suffirait de lister tous les domaines présents dans les commentaires supprimés sur les trois dernières années, de nettoyer un peu tout ça, et de relancer une recherche pour détecter du spam résiduel. Après tout, y en a juste pour cinq minutes.

Le site LinuxFr.org offre habituellement à ceux qui le font vivre la satisfaction d'avoir des contributeurs pour produire et mettre en ligne des contenus (dépêches, journaux, etc.) et des visiteurs pour les lire et en débattre. Ce début d'année vient de surcroit de nous apporter deux occasions de réjouissances supplémentaires : d'une part un don de matériel et d'hébergement, et d'autre part une nouvelle utilisation des fonctionnalités mises en place :

• suite à la dépêche précédente concernant le souci sur notre serveur baptisé zobe, l'entreprise Smile a contacté l'association LinuxFr pour nous donner trois serveurs Dell PowerEdge R410.

Merci à Smile pour le don des trois serveurs, et merci à ses trois employés qui ont géré ce don.

• plonk : Dell PowerEdge R410, Xeon 5650, 12 CPU, 16 GiB RAM, stockage 1,6 To utiles (RAID5, 4 disques), carte DRAC
• vlan : Dell PowerEdge R410, Xeon E5620, 4 CPU, 16 GiB RAM, stockage 276 Go utiles (RAID1, 2 disques), carte DRAC
• blectre : à peu près identique à vlan, débranché pour l'instant le temps qu'on décide quoi en faire et de remplacer une batterie de contrôleur RAID

L'entreprise Bearstech nous les héberge gracieusement ; elle les a installés dans le datacenter Iliad DC2 (tandis que les deux précédents zobe et gruik sont hébergés par la Fondation Free, merci à eux).

Merci à Bearstech pour l'hébergement, et merci à ses deux employés qui ont géré la récupération.

• le site Musical Artifacts est un site sans pub aidant à la diffusion de morceaux musicaux sous CC By Sa 4.0. lfzawacki a signalé dans une entrée de forum que Musical Artifacts utilise désormais l'API OAuth2 de LinuxFr.org (parmi d'autres) pour son authentification. (Une autre utilisation connue concerne la tribune).

Le 28 février 2019 est parue la version 3.0.0 de Wireshark, un logiciel libre d’analyse de paquets réseau (depuis plus de 20 ans). C’est un outil précieux pour apprendre, comprendre, analyser et déboguer des problèmes réseau ou protocolaires.

Suite à un simple lien sur le site, indiquant un changement de licence (suivi d’un autre, voir les commentaires), il m’a semblé que l’information méritait un peu plus de visibilité : des dizaines de contenus de qualité passent sous une licence libre, et un vidéaste francophone faisant de la vulgarisation et la pédagogie rejoint le « monde de la culture libre » (pour faire grandiloquent).

NdM. du 20 avril : initialement publiée le 8 avril 2019 comme l'annonce d'un passage de cette chaîne vidéo sous une licence libre (CC By selon les mentions sous les vidéos Youtube, y compris au moment de l'ajout de cette NdM, malgré d'autres sources indiquant CC-BY-NC-SA), la dépêche a été modifiée suite à la rectification par l'auteur d'Hygiène mentale lui-même dans les commentaires: mes illustrations et mes vidéos sont sous licence CC-BY-NC, ce qui n'est pas rigoureusement "Libre" mais seulement "de libre diffusion".

D’autre part, c’était une bonne occasion de pouvoir parler d’Hygiène mentale, dont j’apprécie la fond et la forme, sous forme de dépêche, car son actualité est en rapport avec le thème de LinuxFr.org.

Hygiène Mentale est une chaîne de vidéos sur l’esprit critique — « Un peu d’Esprit Critique chaque jour » —, la zététique, la méthodologie, l’étude rationnelle du paranormal et des pseudo‐sciences. La description comporte notamment la citation « Si l’on avait un vrai système éducatif dans ce pays, on y donnerait des cours d’Autodéfense‐Intellectuelle ». La série est écrite et montée par Christophe Michel. La première vidéo date de juillet 2014.

Les vidéos sont diffusées via l’instance PeerTube Skepticón, YouTube ou Dailymotion. L’auteur est présent sur Mastodon et Twitter, sur Diaspora* et Facebook.

Sur les quarante‐six vidéos disponibles sur YouTube, celles complètement réalisées pour la chaîne sont passées sous « licence de paternité Creative Commons (réutilisation autorisée) » (même si la description YouTube de la chaîne présente encore une information obsolète « Toutes les vidéos de la chaîne Hygiène Mentale sont sous licence Creative Common : CC-BY-NC-SA. » ou que les vidéos sur Skepticon.fr soient encore indiquées sous licence NC). Seules les vidéos basées des interviews de personnalités (Snowden, Randi, Russell, etc.) semblent être sous d’autres licences plus restrictives.

Rappels de la dépêche précédente : la base de données « tz » (tz database) ou zoneinfo, ou encore Olson (du nom de son créateur), contient les informations sur les fuseaux horaires. Elle est très largement utilisée. Le 6 octobre 2011, David Olson a annoncé qu’une plainte avait été déposée, et qu’en conséquence, il arrêtait la diffusion de cette base de données. La plainte pour contrefaçon vient de l’éditeur Astrolabe (éditeur d’ouvrages astrologiques). Il s’agit pourtant de données historiques factuelles, et la jurisprudence américaine aurait plutôt tendance à exclure un copyright dessus (et donc à les placer dans le domaine public).

L'Electronic Frontier Foundation, célèbre structure qui défend la liberté d'expression sur Internet, a porté plainte pour procédure abusive et frivole, car l'éditeur aurait poursuivi pour utilisation de faits, en toute connaissance de cause. Cory Doctorow qui relaie l'info sur son blog BoingBoing parle d'ailleurs de « copyright trolls » (comme on parle de « patent trolls »), de l'intimidation juridique.

L'EFF assure par ailleurs la défense d'Olson et Eggert ; elle entend démontrer « l'absurdité de la position juridique » d'Astrolabe et l'« absence de fondement suivant la loi sur le copyright ou toute autre législation ». La plainte de l'EFF évoque la règle 11 de la procédure civile fédérale américaine qui prévoit que le déposant doit conduire une investigation préalable raisonnable avant d'établir une plainte. Astrolabe dispose de 21 jours pour se rétracter (la plainte EFF semble datée du 11 janvier et leur communiqué du 12, ce qui nous mènerait aux premiers jours de février).

À l’occasion d’un passage au datacenter pour récupérer les disques de l’ancien serveur qui part au recyclage, et pour finir une migration système (avancée de deux versions de Debian dans la foulée), j’ai eu l’occasion de prendre des photos des serveurs LinuxFr.org restants, pour compléter la galerie photos.

D’abord un petit résumé de l’historique et, dans la seconde partie de la dépêche, les photos et caractéristiques détaillées :

• 1998 : un boîtier tour avec un 486 DX4 100 MHz, baptisé blob ;
• 2000 : arrivée de deux VA Linux bi‐P3 500 MHz, baptisés zobe et prout ;
• 2003 : arrivée d’un HP Netserver LT 6000 hexa‐Xeon 700 MHz, baptisé trogood. Merci à HP. Mythique panne en octobre 2007, avec horloge bouclant toutes les 5 secondes ;
• 2007 : arrivée d’un Dell PowerEdge 2950 (2U), baptisé zobe en hommage et par flemme, merci à Fotovista ;
• 2011 : arrivée d’un Dell PowerEdge R210, pas encore baptisé, merci à la fondation Free.

Sur les cinq dernières années, nous avons assisté un ballet impressionnant de changements de licences dans les « bases de données » (au sens large ici) libres (SQL ou NoSQL) : on parle ici de MariaDB (base relationnelle), Elasticsearch (moteur de recherche)/Kibana (visualisation de données), MongoDB (base orientée documents), Redis (base clé valeur), Confluent (gestion d’événements), CockroachDB (SQL distribué), Graylog (gestion de journaux système), et j’en oublie peut-être.

La trame

Les entreprises qui éditent ces bases se voient attaquées dans leur modèle (double licence libre et payante, open core, service, etc.). Selon ces entreprises, d’autres acteurs leur taillent des croupières, leur piquent leur chiffre d’affaires, se placent en intermédiaires captant la valeur, souvent avec une approche « base de données à la demande » de type opérateur d’infrastructure de cloud (mais ça pourrait aussi être un simple intégrateur de solution), et le tout sans contribuer.

Et souvent la solution retenue pour stopper ce qui est perçu comme une dérive est un changement de licence, vers une licence non-libre, respectant généralement les critères suivant :

• le code est visible / disponible (on part quand même d’une solution libre/open source, si le code n’était pas visible le changement serait brutal)
• « ça change rien pour toi utilisateur final » (soit tu ne payais pas et c’est encore le cas, soit tu payais déjà (pour le service, le support, etc.) et ça va continuer identiquement)
• il est interdit de faire du « à la demande » sans publier le code qui te permet de le faire.

Voici une série d’articles récents rapportant la réalisation de fausses factures dissimulées via des logiciels. Ils contiennent une mise en accusation inappropriée des « logiciels libres » en général, sans qu’aucune précision ne vienne éclairer les lecteurs de ces articles qui, pour la plupart, ne savent probablement pas ce que sont les « logiciels libres » et en quoi ils diffèrent des autres logiciels.

Je ne prétends pas vouloir jouer dans la même cour que les spécialistes de la vérification des faits comme Les Décodeurs (Le Monde), Factuel AFP ou CheckNews (Libération), mais regardons néanmoins le contenu de ces articles :

• France Bleu, 11 juin 2020, par Cécile Soulé (rédactrice en chef adjointe de France Bleu Lorraine‑Nord), micro‑blogging : chapô « (…) Elle avait dissimulé ses fausses factures grâce à des logiciels libres. », sous‑titre « Des fausses factures dissimulées par des logiciels libres », texte « mais elle a surtout émis des fausses factures dissimulées grâce à des logiciels libres qui ont trompé les contrôles » ; on notera que le terme logiciel libre n’est pas défini dans l’article (pas de lien vers Wikipédia ou la définition de la FSF ou même le dictionnaire de l’Académie française, pourtant peu réputé pour sa modernité) ; de plus, ce terme non défini n’apporte rien à l’article et n’est pas utilisé pour argumenter ou expliciter : le fait qu’il s’agirait de logiciels libres change‑t‑il quelque chose ? Une caractéristique particulière des logiciels libres a‑t‑elle été utilisée dans cette affaire ? Aurait‑on écrit « des fausses factures faites avec des logiciels propriétaires » ?

Selon la journaliste, contactée par un des contributeurs de cette dépêche via son compte Twitter, « c’est l’Agape la [structure victime] qui a mentionné l’utilisation de logiciels libres dans la fraude de cette salariée. » Cela ne change rien à l’intérêt de cette précision qui n’apporte rien à l’article en l’état.

• Le Républicain Lorrain, 11 juin 2020, par Sébastien Bonetti : « un mécanisme de fausses factures, rédigés avec des logiciels libres de droits » ; il ne s’agirait donc pas de logiciels libres mais de « logiciels libres de droits » ? Faut‑il comprendre « libres de droits » dans le sens du milieu musical libre de droits pour dire gratuits, sans redevance, royalty‑free, ou bien libre de droits comme entrés dans le domaine public (situation assez rare pour du logiciel), ou bien une correction abusive sur « logiciels libres » entraînant un contre‑sens ? Par ailleurs, en dehors de ce choix de mot, cette information n’est pas utilisée pour argumenter ou expliciter.

Reprises :

• Ouest France, 12 juin 2020, par NG, qui utilise comme source France Bleu : chapô « émis de fausses factures grâce à des logiciels libres », texte « émis de fausses factures grâce à des logiciels libres qui ont trompé les contrôles, indique sur son site la rédaction locale de la radio » ;
• Le Quotidien, 11 juin 2020, repris du Républicain Lorrain ;
• RTL, 11 juin 2020, qui utilise comme source le Républicain Lorrain : article beaucoup plus neutre ne mentionnant pas de logiciels libres ou libres de droit.