Sommaire
Salut les moules,
Il s'est passé quelque chose d'assez extraordinaire ces derniers jours pour GnuPG, alors j'aimerais en parler pour que tout le monde soit au courant.
Historique
C'est en 1991 que Philip Zimmerman (rien à voir avec notre Jérémie national) écrit PGP, un logiciel permettant de chiffrer et déchiffrer les conversations entre personnes. À ma connaissance (et Wikipedia ne m'aide pas là-dessus) il n'existait pas de logiciel disponible au grand public permettant de le faire; il s'agissait donc d'une petite révolution, d'autant plus que le logiciel était gratuit, donc utilisable par tout le monde sans restrictions. Cela lui a d'ailleurs valu une enquête en 1993 par le gouvernement américain, parce que la "force" du chiffrement (128 bits minimum) était supérieure à la "force" maximale autorisée (40 bits à l'époque), enquête qui s'achève en 1996 sans suites (lire l'anecdote croustillante sur la manière qu'a utilisé Philip pour contourner cette loi…)
Après l'enquête, Philip a monté une boîte pour continuer le développement de PGP. Problème, certains algorithmes (RSA, par exemple) étaient couverts de brevets, il y avait donc un risque de se faire attaquer en utilisant le logiciel… Philip a donc, avec sa boîte, proposé une spécification ouverte du fonctionnement de PGP sans aucun algorithme couverts par ces brevets, aboutissant à OpenPGP (je link volontairement la dernière version, pas la version originale), une RFC tout ce qu'il y a de plus standard pour rester dans la transparence. Quelque temps après Stallman a fait une conférence en Allemagne, dans laquelle il a appelé tout le monde à créer une implémentation libre de ce protocole… ce qu'a fait un certain Werner Koch, présent dans l'assistance ce jour-là. C'est ainsi que GnuPG est né.
Les événements récents
GnuPG aura donc 18 ans cette année, et il aura vécu une vie assez tourmentée. Werner a lutté, plus ou moins seul, année après année pour maintenir un logiciel (qui est devenu un ensemble de logiciel) fonctionnel, gratuit, libre, le tout en vivant de dons et de contrats temporaires. Pas la joie. Il s'est même un jour posé la question d'arrêter, puis Snowden est arrivé avec ses révélations lui donnant le courage de continuer, et même de lancer une campagne de financement… qui lui rapportera au final même pas de quoi continuer pendant une année (~18 000 euros).
Sen histoire et ses déboires sont racontés dans un article de propublica au titre quelque peu provocateur mais efficace: on y apprend que Werner a porté ce projets à bouts de bras depuis le début et que le manque d'argent n'avait pas réussi à ébranler sa motivation, jusqu'à récemment.
Article publié le 5 Février avec la discussion Hacker News associée dans la même journée. À ce moment là le compteur de dons de GnuPG en est à même pas 40 000 euros, alors que la page explique qu'il faut au moins 120 000 euros pour payer les deux développeurs à temps plein nécessaires pour le bon fonctionnement de GnuPG. Mais grâce au passage sur HN, on assiste à quelque chose qui fait chaud au coeur:
- la barre se remplit en même pas une journée.
- la Core Infrastructure Initiative décide de donner 60 000 dollars à GnuPG (note: le contrat était signé avant l'article, mais divulgué seulement après)
- Facebook et Stripe décident chacun de verser 50 000 dollars chaque année à GnuPG
La Core Infrastructure Initiative
Petit aparté: cette Initiative a été montée suite à Heartbleed par quelques grandes boîtes qui ont voulu payer pour assurer la survie de protocoles ultra-importants pour la sécurité: NTP, OpenSSH et OpenSSL. Il semble qu'ils ne considèrent pas GnuPG comme une brique importante de sécurité (privacy, peut-être, mais pas sécurité) ce qui l'empêche d'être inclu dans les bénéficiaires, mais heureusement pour tout le monde ils ont fait une exception temporaire ici.
La suite
Tout va bien dans le meilleur des mondes, donc: GnuPG est financé pour plus d'une année ! Mais est-ce que tout va vraiment bien ? Il aura fallu un nombre d'années de galère et un article évoquant presque la fin de GnuPG pour que les gens se bougent et donnent suffisamment (il y avait quand même eu une campagne de dons juste avant!). On se rappellera les déboires d'OpenBSD, qui a menacé tout arrêter si quelqu'un ne payait pas l'électricité. On se rappellera les appels annuels de Jimbo Wales pour donner à Wikipedia. Les francophones se souviendront certainement du patron de LQDN qui a annoncé tout arrêter faute d'argent.
Tout s'est bien fini à chaque fois, mais est-ce qu'il y a vraiment besoin de pousser une gueulante, au point menacer de fermer si les gens ne paient pas ? N'y a-t-il pas un moyen suffisamment simple pour connecter ceux qui demandent et ceux qui sont prêts à donner ne serait-ce que 10 euros par an ? J'ai pas eu l'occasion de bien tester Flattr, mais ça m'a l'air d'être une bonne chose pour les gens qui ont la flemme de sortir leur CB pour donner une petite somme, ou pour les créateurs qui ne veulent pas passer la moitié du peu de temps qu'ils ont dans de l'administration de comptes et de paiements. Je sais pas s'il y a des alternatives (notamment je sais que les associations préfèrent des abonnements réguliers aux dons ponctuels, parce que ça leur permet de prévoir et de planifier), mais on dirait que c'est quelque chose qui manque.
En bref, encore un projet sauvé par la générosité des internautes, mais combien de temps ce système pourra-t-il tenir ?
- La page de don officielle
- La page flattr de g10code, la boîte de Werner qui s'occupe de GnuPG (remarquez qu'il n'y a même pas de bouton sur le site)
Note: Ce contenu est placé sous licence CC0
# Pas seulement privacy
Posté par nomorsad . Évalué à 9.
On parle souvent de GPG pour le chiffrement des emails mais on l'utilise aussi énormément en milieu professionnel pour les échanges de fichiers sensibles, notamment bancaire.
C'est quand même le format actuellement le plus sécurisé et interopérable pour le chiffrement de fichiers simples.
Au passage ça me rassure que les banques utilisent de plus en plus GPG+SFTP que l'ignoble PeSIT+ascii! Encore une fois merci le libre…
[^] # Re: Pas seulement privacy
Posté par Enzo Bricolo 🛠⚙🛠 . Évalué à 3.
Je croyais que les banques étaient passées à SEPA/EBICS ?
[^] # Re: Pas seulement privacy
Posté par Renault (site web personnel) . Évalué à 3.
Quoi, ils ont abandonné le COBOL ?
[^] # Re: Pas seulement privacy
Posté par Enzo Bricolo 🛠⚙🛠 . Évalué à 2.
Non, ils font toujours du COBOL.
"Pas de bol, j'aime pas le cobol !"
[^] # Re: Pas seulement privacy
Posté par rakoo (site web personnel) . Évalué à 2.
En tant qu'ignorant complet du système bancaire, je suis heureux de voir qu'ils adoptent des standards libres connus. À tout hasard, est-ce que c'est disponible au grand public, ou est-ce que c'est typiquement utilisé seulement pour ceux qui ont les bons accès, et seulement pour certains usages ?
Un exemple que j'ai, c'est qu'à ma banque pour avoir une discussion "sécurisée" avec mon conseiller, il faut passer par l'interface ouaibe en laquelle je suis obligé de faire confiance. Est-ce que certaines banques envisageraient de remplacer ça par du PGP, ou est-ce que je rêve ?
[^] # Re: Pas seulement privacy
Posté par nomorsad . Évalué à 1.
J'ai bien peur que non. Dans mon cas il s'agit d'un contexte bien particulier d'échanges inter systèmes financiers.
Les particuliers sont bien trop stupides pour se préoccuper de leur sécurité/privacy voyons !
[^] # Re: Pas seulement privacy
Posté par Enzo Bricolo 🛠⚙🛠 . Évalué à 5.
Tu veux dire que ces "streams" ne sont pas en "clear" ?
# L'urgence, ça marche
Posté par Tonton Benoit . Évalué à 6.
Ça fait longtemps que les chiens proposés à l'adoption par les refuges sont tous destinés à une euthanasie imminente.
La fin annoncé (d'un projet ou d'autre-chose) provoque des réactions autrement remises aux calendes grecques (un don ? Je verrais demain), et le comportement des entreprises ne fait pas exception. Ah le fameux Être parfaitement lucide et rationnel cher aux économistes US, il a bien du plomb dans les ailes.
[^] # Re: L'urgence, ça marche
Posté par lasher . Évalué à 2.
Faut arrêter de croire que seuls les économistes US croient en un acteur rationnel. D'une c'est faux : tout un tas d'économistes (Joseph Stiglitz, ancien chef de la banque mondiale, conseiller de Clinton, et prix Nobel d'économie) est aux antipodes de tout ça; de deux, tout un tas d'économistes européens (dont français) croient/ont cru dur comme fer aux théories de Walras et Basquiat (par exemple).
[^] # Re: L'urgence, ça marche
Posté par Tonton Benoit . Évalué à 2.
Je sait bien, mais ma sœur est en doctorat de fiscalité et c'est qu’avec des chercheurs US qu'elle à eu des conflits sur ce sujet.
Dans le milieu de la finance, au sens très large (en prenant en compte tout les chercheurs, professeurs, doctorants et pas seulement les "stars" du milieu) il me semble voir une démarcation assez nette entre les chercheurs américains d'un coté et les canadiens/européen de l'autre.
# Culture d'entreprise
Posté par Mimoza . Évalué à 10.
On culpabilise beaucoup les utilisateur particuliers, on leur demande de participer mais je ne suis pas sur que ce soit vraiment a eux d'assurer la pérennité de tels projets.
Le coup de faire des compagnes de don, des crownfunding, etc. c'est bien sympa mais c'est très ponctuel. Pour financer une nouvelle fonctionnalité, refonte ou autre pourquoi pas mais c'est pas ça qui peut leur permettre de survivre a long terme. Et le faire tous les ans, 2 ans en général ça lasse le participant.
Ce qui me sidère c'est que des entreprises n'hésite pas a dépenser des fortune dans des licences logiciels ou des prestataire a 4 chiffres par jour mais ne donnerais pas 1 copec pour des logiciels libre qu'ils utilisent intensément tous les jours, parce-que "c'est libre donc c'est gratuit".
Je pense sincèrement que c'est plus de ce coté là qu'il faudrait changer la culture d'entreprise. Si toutes les DSI qui utilisent du libre donnaient ne serais-ce que 10 à 100€/an/logiciel utilisé (suivant les moyens de chacun) je suis persuadé que la plus part des projets libres ne seront plus obligé de mendier de quoi survivre. Je ne parle même pas de compté le nombre d'installation utilisé, juste 1 don pour l'ensemble du parc.
Combien de fois j'ai entendu des DSI dire qu'ils "sont passé au libre" en n'en prenant que le coté gratuit, pas de participation/financement/promotion ou tout autre geste envers la communauté.
Oui nous avons un rôle à jouer, oui nous pouvons participer au financement. Mais je pense que agir pour changer cette culture du libre=gratuit en entreprise est bien la meilleur contribution que l'on peut apporter en tant que simple utilisateur.
Et si Google et consort n'ont plus a assurer le financement de ces projets ils pourront se consacrer a nous sortir d'autre projets qui ne feras qu'améliorer l'environnement logiciel disponible. Enfin ça c'est dans l'idéal.
[^] # Re: Culture d'entreprise
Posté par Sytoka Modon (site web personnel) . Évalué à 5.
Je suis d'accord globalement avec toi. Ceci dis, étant dans un laboratoire de recherche publique, c'est très difficile de participer puisque quasiment tous nos achats passent par des bons de commande et des factures…
[^] # Re: Culture d'entreprise
Posté par Zenitram (site web personnel) . Évalué à 1.
Du coup, c'est toi qui te fourvoit : libre != gratuit, tu peux très bien faire payer la distribution de ton logiciel libre.
Si les entreprises ne payent pas, c'est bien parce que les fournisseurs fournissent gratuitement. libre? mais je te rassure, c'est pareil pour le non libre gratuit! le libre n'a rien à voir dans ta critique.
Du coup, j'aurai envie de dire : pourquoi vouloir faire changer les autres, quand soit peut changer (en faisant payer la distribution, faire une version fournie sur le site en "shareware" etc)?
La faute n'est pas que d'un côté, un peu facile d'accuser l'autre et uniquement l'autre. Au libre d'assumer, aussi, faut pas non plus se plaindre que les gens prennent ce qu'on leur dit de prendre, un peu d'honnêteté intelectuelle.
Leurs "dons" au libre est 0.000001% de leur bénéfice, donc bon, en pratique enlever ça ne changera rien du tout dans ce qu'ils font de leur argent.
[^] # Re: Culture d'entreprise
Posté par BAud (site web personnel) . Évalué à 2.
Moi aussi, je pense que les DSI-licence de chaque grosse entreprise pourraient consacrer 10% de leur ~30 M€ de budget annuel à recenser les licences libres utilisées et y octroyer le budget restant. En ces temps où Oracle a une démarche dissuasive, cela me semblerait un juste retour de bâton, permettant aux projets d'être déployés efficacement en production.
Une simple recherche donnant :
En outre, les DBA restent impliqués du fait de leurs compétences et de leur intérêt à préserver les données de l'entreprise dans un système efficace et performant, ne cherchant pas à enfermer les données.
[^] # Re: Culture d'entreprise
Posté par Zenitram (site web personnel) . Évalué à 1. Dernière modification le 08 février 2015 à 10:04.
toi aussi tu peux le faire, et ne le fait pas.
Facile de demander aux autres de le faire…
Tu ne dis pas pourquoi ils devraient le faire. Alors pouruoi penser qu'ils pourraient. Moi aussi je pense que tu pourrais filer 100% de ton revenu à moi, bon on en fait quoi de cette phrase?
Le libre, c'est cool, tu as plein de droits, mais après on vient de faire chier à te dire que ces droits la, c'est pour la vitrine, en fait tu "pourrais" (= tu "devrais" dans la tête des gens qui causent) filer du pognon qu'on a pas dit dans la licence.
Faut assumer son libre : on n'a rien à demander (ni "pourrais") à des gens qui utilisent l'existant qu'on diffuse gratuitement.
Parce que si il y a un prix à payer, ben ça remet en discussion tout le choix de ce produit en particulier, alors jouez cartes sur table avant, dans votre offre, plutôt que d'arriver par derrière "bon maintenant tu payes s'il te plait sinon t'es un pas gentil", et les gens payeront (aux projets libres… Ou à d'autres, question de concurrence).
PS : je ne remet pas en cause le sujet du journal qui est "si j'ai pas plus de sous, j'arrête de maintenir", qui parle du futur et no nde ce qu'on a déjà donné en libre. C'est très bien d'en arriver à la, avec Core Initiative qui sponsorise la maitenance et l'évolution des projets.
[^] # Re: Culture d'entreprise
Posté par BAud (site web personnel) . Évalué à 2.
Je ne parlais pas de la licence en tant que tel, mais de la manière de gérer le Libre : rentrer dans les mêmes processus que ceux existants pour gérer la complexité des licences propriétaires.
Toi aussi tu es payé à faire du non libre parfois et tu proposes aussi du libre (en te faisant payer pour le générer) ; bin, moi, c'est pareil.
Ce n'est pas l'objet du libre effectivement, qui s'applique à un produit diffusé. Cela concerne le fait qu'un logiciel peut être libre à partir du moment où il a été payé une fois (repris d'une citation du président de l'AFUL iirc). Cela concerne bien la partie développement (quand il n'y a encore rien de fait en libre, qu'il pourrait être en proprio, comme tu le fais, avec option libre ou proprio in fine, une fois développé) et maintenance (quand il va falloir avoir la compétence pour reprendre du code libre et l'actualiser, s'il n'y a personne, bin c'est wallou, ce qui n'est pas très difficile à comprendre vu que cela arrive très souvent dans le propriétaire, le niveau dans le libre étant par nature plus accessible pour trouver un repreneur).
Tu as raison de rebondir sur le sujet, cela permet de préciser le contexte et approfondir la manière de chacun d'aborder le libre.
[^] # Re: Culture d'entreprise
Posté par Okki (site web personnel, Mastodon) . Évalué à 2.
Tous les projets libres n'ont pas cherché à se professionnaliser, histoire de pouvoir payer des gens à temps plein, en montant des entreprises de service ou en cherchant des modèle d'affaires alternatifs. Certains continuent d'être majoritairement développés par des bénévoles sur leur temps libre, juste pour le plaisir.
Par contre, même si tous ne s'en plaignent pas et ne lancent pas des campagnes de dons, certains ont fini par abandonner sans rien dire. Et quand ils continuent, tout en y prenant du plaisir, si ça reste des développements personnels sur un temps libre fatalement limité, on se retrouve avec des projets qui avancent au ralenti. Inkscape a par exemple mis près de cinq ans à sortir sa dernière version.
Et là, je trouve que les utilisateurs ont leur part de responsabilité, puisque on se retrouve dans une situation à risque. Un projet qui avance trop lentement, et à l'avenir incertain. Particuliers ou entreprises, si ces logiciels sont importants pour eux, s'ils souhaitent que le développement soit plus actif, que le code soit mieux audité, ou que le projet ai tout simplement un avenir, ils se doivent de donner.
Pour moi, c'est un peu comme l'opposition de deux points de vue. Hériter de la terre de ses ancêtres, ou emprunter celle de ses enfants. Si on doit donner à des projets libres, c'est plus pour leur futur, et par ricochet, également le notre, que pour la version qu'on a installé hier.
[^] # Re: Culture d'entreprise
Posté par BAud (site web personnel) . Évalué à 2.
Du code est effectivement plus souvent attendu que des thunes. Cela dépend des sujets, mais l'interaction sur du code permet de nouvelles utilisations, pas forcément envisagées au début. S'il y a du code, cela permet de l'intégrer et apporter quelque chose plutôt que des besoins à la réalisation hypothétique :/
Bon exemple avec inkscape, il lit le format visio désormais, mais au final c'est inutilisable vu comment cela a été intégré, autant l'ajouter à dia maintenant, qui a une finalité similaire de faire des schémas ou à modelio pour faire du TOGAF (et améliorer les schémas initiaux).
[^] # Re: Culture d'entreprise
Posté par Zenitram (site web personnel) . Évalué à 1.
Je n'ai pas dit le contraire.
Tout est dit, merci.
Le hic est que pour beaucoup d'utilisateurs, si ils doivent donner la priorité sera au voisin (moins cher ou que sais-je), c'est un calcul.
En l'occurence, encore une fois, si ça coute ben il faut le dire tout de suite et pas après, et en attendant les gens savent ce qu'ils ont : du gratuit sans aucune garantie d'évolution (c'est dans le contrat, la licence).
Il s'avère que des gens viennent faire la morale à des utilisateurs très content de l'existant et qui ne demandent rien sur le futur.
Baud ne parle pas de futur, il parle de payer pour l'existant (recenser ce qui est utilisé).
C'est surtout un problème d'incompréhension sur ce qui est fourni et ce qui est demandé par l'utilisateur, j'ai l'impression : culpabiliser toutes les entreprises y compris celle contentes avec l'existant et qui demandent rien d'autre ne va pas aider à faire comprendre le problème.
Il faut assumer : l'existant, on le fournit gratuitement, on a alors rien à demander aux gens qui utilisent, on l'a dit dans le contrat. Se plaindre du manque de don pour l'existant est renier ce qu'on a donné dans la licence.
Et tant que les gens parleront de moralité à payer pour l'existant, ben ils ocntinueront à ne pas être compris.
Bref, parlons plutôt de recenser les besoins futurs et payer pour ces besoins futurs.
Note : ça ne s'applique pas du tout qu'au libre, mais plutôt au gratuit en général. Fantasmer sur le libre qui serait une exception n'aidera pas à convaincre, car en face on va penser que la personne qui argument est un peu trop dans son délire.
[^] # Re: Culture d'entreprise
Posté par BAud (site web personnel) . Évalué à 2.
Je m'inscris en faux et pense que tu négliges la partie "processus" en (grande) entreprise qui était l'objet principal de mon post ; Qui ne connaît pas l'histoire est condamné à en répéter les erreurs :/
Tu as peut-être quitté le monde de la grande entreprise depuis trop longtemps pour t'en rappeler (et savoir que cela n'évolue pas très vite).
Je parle bien du futur :
Cela permet d'avoir un point de vue factuel et stratégique des fondations de son système d'informations, à mettre en regard des investissements (souvent de l'ordre de 30 M€ par an, déjà indiqué) et de réorienter vers ce qui apporte de la valeur et de la facilité, sans trop d'épée de Damoclès.
Tu vois bien que nous parlons de la même chose ;-) Entièrement d'accord avec toi là dessus.
[^] # Re: Culture d'entreprise
Posté par Zenitram (site web personnel) . Évalué à 1. Dernière modification le 08 février 2015 à 20:32.
Ben non, tu parles de l'existant (recenser), je parle des besoin qui ne sont pas encore remplis.
tu pars du principe que les entreprises ont forcément des besoins futurs sur les logiciels open source qu'elles utilisent.
Tu pars du principe que les entreprises vont forcémeent préférer payer pour le futur d'un logiciel open source plutôt qu'alors prendre le proprio en payant.
tu pars du princips que les entreprises se fixent un budget et après arrosent (raté : elles vont dépenser que si besoin, et donc rété pour ton "10%" qui serait générique)
Du coup, on ne risque pas de se mettre d'accord, ni de parler de la même chose. Commençons à parler du pourquoi elle fileraient le moindre €, pour leur besoin face à des outils proprio qui ont un coût connu.
Bref, il manque l'essentiel : pourquoi le faire et avantage par rapport à d'autres solutions.
Pourquoi les attaques persos?
Il faut ne pas avoir été en entreprise pour imaginer une DSI lâcher 10% parce qu'on lui demande gentiment.
[^] # Re: Culture d'entreprise
Posté par BAud (site web personnel) . Évalué à 2.
une entreprise meurt si elle arrête de se développer, ergo…
il n'y en a pas, c'est une attaque de la lenteur des grandes entreprises à changer leurs processus (il y a du monde impliqué et des processus peu clairs).
ce sont les 90% de 30 M€ qui me gênent un peu plus (et demandent pas mal de boulot, pour pas grand chose pour trouver des sources d'économie, ce qui touche justement un DSI).
[^] # Re: Culture d'entreprise
Posté par groumly . Évalué à 1.
Ben d'un autre cote, les dsi, ca fait des annees qu'on les bassine a coup de "passe au libre, c'est gratuit, ya rien a payer", c'est un peu hypocrite de se plaindre qu'ils payent pas du coup?
Sinon, quid de la responsabilite de l'auteur? Ne pourrait il pas tout simplement monter une entreprise pour supporter son development? C'est plutot la qu'est le noeud du probleme.
On voit pas le kernel ou firefox faire des campagnes de dons, j'imagine que ca doit etre possible pour gpg aussi.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
# Trop de suspense
Posté par nanard . Évalué à 3.
J'aimerai bien, mais ou ?
Allez tous vous faire spéculer.
[^] # Re: Trop de suspense
Posté par Ellendhel (site web personnel) . Évalué à 3.
Sur la page de la Wikipédia anglophone à propos de Pretty Good Privacy.
Zimmermann (qui n'est pas impliqué dans l'histoire du télégramme) s'est basé un moyen "courant" aux États-Unis : la liberté d'expression, telle que protégée par un amendement de la constitution américaine.
[^] # Re: Trop de suspense
Posté par nanard . Évalué à 6.
Pour ceux que ça intéresse, et de façon courte, il a publié le code source sous forme de livre, le premier amendement protége l'exportation de livre, et deux courts d'appel fédéral ont établie que parler de cryptographie n'était pas interdit.
Allez tous vous faire spéculer.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.