Qwant Mail : le #fail de Linagora

Qwant Mail : le #fail de Linagora

login:root / mdp:Linagora2016

Avatar de l'auteur
Jean-Marc Manach

Publié dans

Internet

10/01/2020 33 minutes
118

Qwant Mail : le #fail de Linagora

L'ex PDG de Qwant avait expliqué le retard de QwantMail par un « problème de sécurité qui nous a poussé à tout reprendre ». Son équipe SSI avait en effet découvert de nombreuses failles sur une plateforme de Linagora, le « leader français du logiciel libre », destinée à tester QwantMail. Plusieurs ex-salariés déplorent une éthique « privacy by design » de façade.

Annoncé mi-juin 2018 à l'occasion de l'inauguration de son nouveau siège parisien, Qwant Mail était censé voir le jour dans une première version publique avant fin 2018. Pourquoi s'y lancer ? « Parce que les utilisateurs nous demandent du mail avec les engagements de Qwant », répondait alors Éric Léandri, son ex PDG. « L'hébergement, ce n'est pas notre métier de base, mais il y a une demande forte, alors on le fait ». Pas de service en marque blanche donc.

Six mois plus tard, et quelques jours avant Noël, Qwant annonçait avoir noué un partenariat avec Linagora. Ce dernier se présente comme « le leader français du logiciel libre » et se targue d'équiper « près de la moitié de l’État Français permettant ainsi à la France d’être parmi les champions en terme d’eGov au niveau mondial ».

Sa plateforme OpenPaaS, basée sur la suite collaborative OBM (elle-même dévelopée par Linagora), se veut une alternative à celles (mail, chat, calendrier, office etc.) des GAFAM, plus particulièrement Microsoft 365 et la G Suite de Google. Qwant Mail devait alors voir le jour avant le deuxième trimestre 2019, selon ses dirigeants, et « dans une première version test sans chiffrement ».

« Nous travaillons sur la sécurisation des échanges, précisait Michel-Marie Maudet, directeur général de Linagora. Il faut que nous puissions trouver le moyen de les chiffrer de bout en bout car les usages sont différents de ceux en entreprises que nous gérions jusque-là. La feuille de route est définie, mais cela prend du temps ». Sur Twitter, @Qwant_fr n'a eu de cesse, depuis, de répéter que « Qwant Mail arrive bientôt, promis ;-) », en vain. 

En septembre 2019, Clubic publiait une interview d'Éric Leandri, présentée comme une « sorte de droit de réponse » aux problèmes pointés du doigt par de nombreux journalistes et médias ces derniers mois (dont Next Inpact, voir Qwant : en finir avec l'omerta).

À défaut de vraiment répondre aux problèmes auxquels il était confronté, l'ex PDG de Qwant y révélait que, « s'agissant de Qwant Mail, nous avions eu un problème de sécurité l'année dernière, qui nous a poussé à tout reprendre. Nous avions réussi nous-mêmes à trouver des failles de sécurité et à nous hacker. Donc il n'était pas possible de diffuser le service en l'état ».

Les mots de passe root étaient en clair sur le wiki

Nous avons pu récupérer la copie d'un courriel intitulé « Alerte autour de Qwant Mail », adressé le 19 février dernier par l'équipe en charge de la sécurité informatique (SSI) de Qwant à la direction de la société. 

Censée « lever l'alerte une ultime fois sur le choix du partenaire Linagora pour le developpement de Qwant Mail dans les conditions y étant associées », la missive compilait une longue liste de problèmes de sécurité identifiés sur une infrastructure mise à disposition par Linagora pour prototyper Qwant Mail. « Afin de récapituler le contexte pour tous, poursuivait-il, nous avions observé les mois précédents les aberrations suivantes ».

En vrac, l'équipe SSI de Qwant avait ainsi découvert qu'y étaient « exposées » des données (« compte LDAP bot mattermost, administrateur Gitlab, Tokens admin DockerHub, Gitlab interne, Github et compte admin Jenkins ») permettant de lire mais également d'écrire « sur l'ensemble des repos » (dépôts), et donc aussi de « corrompre les builds » (versions de code exécutable), « supprimer l'organisation Linagora de Github », et même « corrompre l'ensemble des instances clients obm utilisateurs etc... ».

Le cas du Wiki était encore plus problématique : « presque tous les mots de passe root des clients OBM (communautés de communes, villes, SDIS, etc...) » y étaient « exposés publiquement », ainsi que le « mot de passe administrateur du gitlab interne (root / Linagora2016) ! ». 

Non content d'offrir la « possibilité de dumper (ou supprimer, backups compris) l'ensemble des mails et contacts des plateformes clients », des droits d'« administration du cluster OVH cloud (512 vcpu, 80To storage, 4 To RAM) », le courriel déplorait également le fait d'avoir pu accéder à un dossier intitulé « CONFIDENTIAL/Qwant », capture d'écran à l'appui : « À titre d'exemple, voici ce qui est accessible par tout le monde (Il me semble que nous sommes sous NDA, et de voir un dossier CONFIDENTIAL accessible par tous... ça fait tâche si vous voyez ce que je veux dire...) ».

QwantMail Linagora
Crédits : DR

Déplorant « ces multiples négligences caractérisées et manquements aux règles élémentaires de sécurité et de bon sens », la SSI estimait le projet Qwant Mail infaisable : « Il nous apparaît que l'entreprise Linagora est gérée n'importe comment depuis sa création et que nous courrons tout droit à la catastrophe si nous nous associons à eux pour ce projet dans les conditions qu'elle impose », eu égard à « la simplicité enfantine avec laquelle nous avons trouvé ces différents mots de passes. Aucun exploit ou technique sortant de l'ordinaire n'ont été utilisés ».

« Toutes les gesticulations agiles/barcamp et autres seront stériles, poursuivaient-ils, tant que Linagora n'est pas correctement administrée et ne montre aucun signe rassurant quant à la maîtrise de son exposition et du sérieux qu'impose la nature de son activité ».

« Dans ces conditions, nous vous redemandons, une dernière fois, que le support du chiffrement des mails soit une option non-négociable pour toute V1 de QwantMail avec Linagora », de sorte qu'aucune donnée ne figure en clair sur les serveurs de Qwant Mail, et qu'elles soient chiffrées sur les terminaux de leurs utilisateurs, sur le principe du chiffrement bout en bout. « Le cas échéant, nous ne nous porterons pas caution de ce projet dont nous réalisons, de fait, la portée uniquement politique et dont l'intérêt nous dépasse en tant qu'employés, aussi professionnellement que d'un point de vue éthique ».

Pour eux, et en l'état, « le chiffrement futur éventuel proposé est à notre sens une chimère et le service tournera avec des mails en clairs jusqu'à "L'attaque", qui arrivera, avec certitude. Les retombées en cas de compromissions ciblées silencieuses de boites mails ou d'un dump de l'ensemble des mails (en plus en clair), seraient catastrophiques pour les utilisateurs et évidemment fatales pour Qwant. Ainsi il est de notre responsabilité de vous prévenir, ici, une dernière fois, du risque encouru, à réaliser un service d'hébergement de boîtes mails dans ces conditions et avec ce prestataire, ce après quoi nous ne répondrons plus de rien et pourrons attester de cette alerte dés lors qu'il le sera necessaire pour nous... »

En guise de conclusion, l'équipe SSI rappelait que « des solutions alternatives opensource existent toujours, on a par exemple le projet https://leap.se maintenu par RiseUp (association militante particulièrement exposée, gère depuis plusieurs années des dizaines de milliers de boites mails sensibles à l'international) ».

Elle précisait à ce titre qu'« il a été possible d'installer une instance fonctionelle en quelques heures et celle-ci répond au besoin initial : service de mails chiffrés automatiquement par le serveur de façon transparente, support d'openpgp, support mails standards, plugin Thunderbird. Cette solution necessite en l'état un peu de travail côté utilisateur, mais manque seulement de fonctionalités en facilitant l'utilisation ».

Le nom de code (et de domaine) de cette préfiguration sécurisée de Qwant Mail ? https://boitenoi.re, qui n'est plus en ligne, mais dont Google a gardé la trace.

qwant mail

« Le choix de Linagora engagerait notre responsabilité »

Guillaume Champeau, directeur éthique et affaires juridiques de Qwant, répondait dans la foulée qu'il ne pouvait que « donner un avis très défavorable à la poursuite des travaux avec Linagora », au motif que « rien ne serait plus désastreux, à la fois pour l'image et la responsabilité de Qwant, qu'un piratage des messages privés de nos utilisateurs ».

« Sur le plan juridique, je rappelle que c'est notre responsabilité, en tant que responsable de traitement, de s'assurer de la fiabilité de notre sous-traitant », précisait-il : « vu la sensibilité des mails et le nombre d'utilisateurs dont nous sommes susceptibles d'héberger les messages, nous avons l'obligation juridique via l'article 35 du RGPD d'effectuer un Privacy Impact Assessment (PIA) et d'adapter notre politique de sécurité au risque de violation de ces données et à la gravité d'une atteinte à leur protection ».

« On ne pourrait pas nous reprocher le choix d'un prestataire que nous pensions fiable et que nous avions correctement audité, en revanche le choix de Linagora en toute connaissance de cause engagerait notre responsabilité », concluait-il.

« Nous partageons les mêmes craintes quant aux risques de sécurités qui entourent l'entreprise Linagora, surtout pour un produit aussi sensible que le mail » leur répondait, le lendemain, Jean-Charles Chemin, en charge du projet Qwant Mail : « Je ne te cache pas que je suis extrêmement surpris et déçu d'apprendre qu'ils aient traité les failles que vous avez remontées d'une façon si légère !! »

Pour autant, il se disait « certain qu'après les premiers échanges avec vous, ils vont revoir leurs objectifs ! », mais n'en précisait pas moins qu'« au-delà de l'aspect contractuel qui doit nous couvrir, mais qui ne protégera jamais notre image de marque, je pense qu'il faut vraiment qu'on s'assure d'un investissement total de leur part sur les aspects sécurité. Si malgré cet ultime avertissement, ils ne prennent pas les choses au sérieux, nous n'aurons plus d'autre choix que de renoncer à ce projet ».

A fortiori parce qu'« en ce qui concerne le chiffrement et l'utilisation d'une solution comme leap.se, c'est vrai que ça limiterait les risques en cas d'attaques ». Cependant, « si l'on souhaite proposer une "Suite" (Mail, Agenda, Contact, Drive, Doc...) grand public, les solutions chiffrées n'existent pas ou ne sont pas du tout user-friendly. Par exemple boitenoi.re que tu conseilles n'est pas utilisable sous Windows ». Le service requiert l'installation d'un client, Bitmask, ne fonctionnant pour l'instant que sur macOS, Android et certaines versions de GNU/Linux.

« Absence de sonde, d'audits, de politique, de BugBounty et de responsable sécurité »

Lors d'un barcamp réunissant les équipes de Qwant et de Linagora du 25 février au 1er mars 2019 (dont nous nous sommes  également procurés un compte-rendu), l'équipe SSI du premier identifia par ailleurs « plusieurs anomalies » de type cross-site scripting (XSS) sur la partie client web d'OpenPaas. Elle déplorait que « Linagora [n'ait] pas mis en place de contre mesure globale efficace contre ce type d'attaque », tout en reconnaissant que « la protection contre les XSS dans les mails est beaucoup plus complexe que dans du contenu web classique ».

« D'un point de vue plus général, poursuivait-elle, les anomalies suivantes ont également pu être identifiées : 

  • L'absence de sonde réseau (IDS)
  • Manque de process de sécurité :
    • Absence de revue de code régulières orientées sécurité
    • Absence d'audits réguliers du produit et des infrastructures
    • Absence de BugBounty »

Notant que « le principal besoin de Qwant est le chiffrement de bout en bout des mails en PGP (ProtonMail like) » et qu'« aujourd'hui OpenPaas ne répond pas à ce besoin », la SSI estimait qu'« après concertation des équipes il apparait qu'un reforge complet du client mail est la meilleure solution à envisager ». Elle suggérait « d'utiliser comme base le WebClient OpenSource fourni par ProtonMail qui répond à la plupart des besoins ».

La SSI de Qwant ne s'en disait pas moins prête à « accompagner Linagora afin de procéder à un transfert de compétences et de jouer le rôle d'accélérateur dans ce processus de mise en conformité sécurité » et, « sous réserve d'acter contractuellement les points cités ci-dessus le projet QwantMail peut démarrer en parallèle de la mise en conformité sécurité de Linagora ceci dans le but de perdre le moins de temps possible. Pour conclure la team SSI et la team Infra de Qwant sont favorables à cette collaboration. »

« Nous avons bien sûr décidé de porter plainte »

Contacté, Qwant nous répond qu'« il nous est impossible de commenter sur des échanges techniques et commerciaux couverts par la nécessaire confidentialité des affaires. Toutes les options sont ouvertes sur le ou les partenaires avec lesquels nous lancerons Qwant Mail. De façon générale, Qwant fait un travail systématique d'analyse profonde de la sécurité de ses services et de ses éventuels partenaires technologiques, et n'engage pas de mise en production sans avoir réuni au préalable toutes les garanties suffisantes ». Ce que l'audit permet de vérifier.

Linagora, que nous avions également contacté début novembre, a réclamé des délais pour nous répondre. À l'époque, Qwant ne lui avait pas fait suivre cet audit de sécurité, que Guillaume Champeau leur a depuis transmis, en prévision de la publication de notre enquête. Dans son email, que Linagora nous a fourni, le directeur éthique & affaires juridiques de Qwant précise : « Nous avons bien sûr décidé de porter plainte pour sa diffusion qui s'inscrit hélas dans une série de fuites de documents confidentiels soigneusement choisis et sortis de leur contexte ».

En l'espèce, nous ne publions pas l'intégralité de l'audit, mais uniquement les extraits (expurgés des constats « alarmistes », voire erronés) confirmés par Linagora. Ce, dans le contexte de nos enquêtes sur Qwant en particulier, et des questions et enjeux en matière de sécurité informatique, de protection de la vie privée et de logiciels libres et open source en général.  A fortiori parce que l'audit explique aussi pourquoi le lancement de Qwant Mail a été reporté sine die.

Guillaume Champeau y recontextualise par ailleurs les termes de cet audit : « Pour précision, aucun mail hébergé par Linagora n'a été accédé par nos équipes qui ont uniquement procédé à des constats de vraisemblance de possibilité d'accès via différents scénarios d'attaques, ce qui a ensuite donné lieu au Barcamp pour relater tous ces points et y remédier en parfaite collaboration entre vous et nous. Un message destiné à l'externe aurait bien sûr été beaucoup plus prudent dans ses conclusions ».

« Il s’agit de tests effectués sur un environnement de test »

Dans un autre email que Linagora nous a transmis, le RSSI de Qwant précise aujourd'hui qu'« à l'époque, on voyait les discussions sur le projet avancer, avec la crainte que la sécurité serait vue après le reste. Cet email avait pour but de tirer la sonnette d'alarme et bien faire prendre conscience à tous les niveaux de la direction de Qwant de l'importance de discuter de la sécurisation le plus tôt possible, pour éviter de perdre du temps sur une solution qui ne nous conviendrait pas en bout de course. Cet email et les rapports envoyés avaient pour but de faire un électrochoc, ce qui a pu fonctionner à l’époque. »

« Pour le travail de fond, conclue-t-il, après le barcamp il a été montré une réelle volonté de la part des équipes de Linagora d’aller de l’avant et de progresser. Nous nous étions mis d’accord pour implémenter des protocoles beaucoup plus sécurisés, Linagora était très à l’écoute de nos conseils et remarques afin de s’améliorer, c’est une chose que l’on ne peut pas nier ! »

Il précise par ailleurs que « pour les failles lors du barcamp que nous avons pu remonter il s’agit de tests effectués sur un environnement de test et non sur un environnement de production. Il ne prouve alors en rien que toutes ces failles étaient présentes sur l’environnement de production. »

Linagora souligne à ce titre que le mail du RSSI de Qwant a été écrit le 19 février 2019, soit quelques jours avant le Barcamp, et que « dans ce laps de temps nous avons corrigé tous les points qui avaient été partagés par Qwant », ce que confirme les conclusions du compte-rendu du barcamp.

De plus, l'absence de sonde réseau, d'audits réguliers de sécurité et de programme de bug bounty s'expliquerait du fait que « les plateformes utilisées n’étaient pas destinées à passer en production. Encore une fois, il s’agissait d’une plateforme de tests ». Conséquemment à la « la montée de la cybercriminalité, Linagora a renforcé en 2019 son dispositif lié à la gestion de la SSI. À ce titre, nous utilisons depuis quelques semaines la suite OWASP ZAP qui permet au moment du build d'OpenPaaS de faire le check du TOP 10 de l’OWASP. Ce dernier étant est un projet visant à maintenir à jour la liste des 10 risques de sécurité les plus critiques affectant les applications Web dont les injections XSS ».

Par ailleurs, et « dans le cadre du renforcement de notre SSI, nous avons programmé pour l’année 2020 la mise en place d’une certification ISO 27001 par un cabinet d’audit et de certification. L’objectif étant évidemment de garantir à nos clients la sécurité de leurs données et de valider l'organisation ainsi que le bon fonctionnement au quotidien de notre SSI ».

« C’est clairement une erreur et une faute »

« Nous ne nions donc pas avoir eu quelques problèmes de sécurité au moment où l’équipe sécurité de Qwant a regardé nos systèmes (quelle entreprise n’en a d’ailleurs jamais eus) », poursuit Linagora : « vous pouvez cependant noter la célérité avec laquelle ces problèmes ont été résolus ».

L'entreprise tient également à souligner que « les failles dont vous parlez ne concernent AUCUNEMENT le produit OpenPaaS ou la production de notre (future) service de messagerie commun avec la société Qwant, mais l’infrastructure de développement d’OpenPaaS et l’hébergement des plateformes de démonstration utilisées par Linagora : aucun de ces sujets ne remettait en cause la sécurité des infrastructures en production des clients de Linagora ».

Suite à ces travaux avec Qwant, Linagora « a par ailleurs procédé à un audit complet de son infrastructure, renforcé globalement la sécurité de son système d’information », et lancé « une campagne de changement de l’ensemble des mots de passe internes et clients et des dispositifs d’accès aux infrastructures et des applications exploitées par Linagora ».

« L'existence de mots de passe en clair dans le wiki est une faute et c’est un usage contraire à notre PSSI », reconnaît Linagora. « C'est malheureusement une pratique qui a été utilisée dans le passé par une équipe de support produit en dehors du contrôle de la SSI pour partager les infos importantes clients (contrat, numéros de contact, @IP des machines, comptes d’accès) au sein d'une base de connaissance centralisée basée sur un wiki. Nous avons depuis interdit ce mode de fonctionnement ».

À l'en croire, « le seul vrai problème que vous soulevez provient des comptes disponibles en clair sur un wiki interne normalement protégé, mais qui a été facilement accessible quelques jours. C’est clairement une erreur et une faute. Cette double erreur (comptes en clair et serveur non protégé) a été corrigée immédiatement après l’avoir identifiée. La faute (non respect des principes de base en matière de SSI en exposant des comptes en clair) n’a pas été sanctionnée, mais a permis de renforcer l’attention de la société sur ces sujets et a été le déclencheur d’une campagne de mise en conformité de grande ampleur avec notre Politique SSI. Nous n’avons pas sanctionné cette faute, parce que nous faisons confiance à nos collaborateurs. Il s’agit d’une négligence importante (par facilité) mais nous savons que l’intention n’était pas de nuire ».

Linagora « est semblable à Qwant par bien des aspects »

D'après nos informations, cette négligence ne relèverait pas seulement d'une « erreur » ni d'une « faute », mais également du hiatus existant entre les valeurs affichées par l'entreprise, et les conditions de travail en interne. Plusieurs ex-salariés nous ont en effet contacté, sous couvert d'anonymat, suite à nos précédentes enquêtes sur Qwant, au motif que leur ex-employeur « est semblable à Qwant par bien des aspects ». « Quand j'ai lu votre article sur Leandri, j'ai vu ce qu'on est beaucoup à avoir vécu avec Zapolsky », le PDG de Linagora, enchérit un autre.

Ils pointent du doigt « son utilisation de l'argent public » qui, à les en croire, relèverait plus d'une forme d'« open source & privacy washing » que d'un engagement sincère et véritable en la matière, au point de leur faire « craindre que l'aspirateur à argent public ne se remette en marche ». 

À l'instar de ce qui se passe chez Qwant, le turn-over serait très important à Linagora, et de nombreux salariés ont quitté l'entreprise ces derniers temps (jusqu'à 12 pour le seul mois de décembre 2018, sur près de 200 employés). Ceux avec qui nous nous sommes entretenus expliquent être partis après avoir découvert le hiatus séparant le discours tenu publiquement par Linagora et la réalité des développements en interne, ainsi qu'au vu de la « toxicité du management ».

Les « méthodes brutales » d'Alexandre Zapolsky avaient déjà fait l'objet d'un article de Mediapart qui, en 2017, en avait dressé un portrait peu flatteur, ressemblant étrangement à celui que nous avons pu établir d'Éric Leandri (voir Qwant : en finir avec l'omerta). Plusieurs ex-salariés de Linagora y déploraient déjà le turn-over hors norme, dû en partie aux « techniques de management cruelles, se basant sur la peur, utilisées par le PDG auprès de ses employés et de son équipe de managers », PDG qualifié de « bonimenteur au fonctionnement clanique » par une ancienne DRH.

D'après nos interlocuteurs, Zapolsky se serait depuis calmé, mais ils n'en déplorent pas moins « condescendance, harcèlement, humiliation, promesses non tenues, mépris du droit du travail » au sein de l'entreprise. La qualité du travail s'en ressentirait crûment : « Le développement logiciel ne suit aucune logique, aucune structure, aucune priorité. Tout laisse à croire qu'on fait le minimum pour justifier les financements publics dont bénéficie l'entreprise, mais bien loin de moyens nécessaires à la réalisation de l'ambition affichée. Une entreprise qui repose sur une image, mais creuse en dedans, qui ne s'enrichit que sur la pompe à fric de l'État ».

« Après 6 ans de développement et environ 13 millions d'euros de subventions publiques, OpenPaaS, le produit phare de l'entreprise destiné à équiper l'administration française et offrir une alternative libre et crédible aux GAFAM, n'est toujours pas fiable » renchérit un autre : « Nous pensions que la direction prendrait enfin la mesure du problème connu de tous, mais rien n'a changé par la suite ».

Un troisième déplore que la direction « se demandait comment ils allaient pouvoir modifier OpenPaas pour que ça puisse rentrer dans le système de Qwant ». Or, « comme ils galèrent à recruter, ils priorisent : les clients potentiels avaient plein de besoins, il fallait rajouter des fonctionnalités pour le vendre, et tous les 4 matins les objectifs changeaient, on nous demande de le faire, alors que personne n'est calé là-dedans, puis on nous demande de passer à autre chose », alors qu'ils n'avaient pas fini de boucler la demande précédente.

Un quatrième précise à ce titre qu'« OpenPaaS, qui en l'état est lui-même un prototype (pourtant développé depuis 5 ans), propose la seule implémentation connue à ce jour du serveur Apache James, qui est lui même un prototype. En résumé, QwantMail s'appuie sur la partie mail d'OpenPaaS, qui s'appuie sur James : c'est un prototype d'un prototype d'un prototype. Et tout ça, c'est développé en grande partie à l'aide de fonds publics, et son industrialisation est un échec. » 

« Il faudrait déjà qu'il y ait des responsables sécurité... »

Interrogé au sujet de Qwant Mail, l'un de nos interlocuteurs explique que « c'était utopique, intenable : les performances voulues étaient bien supérieures à ce qu'on pouvait envisager avec le produit en l'état ». « Il faudrait déjà qu'il y ait des responsables sécurité... », nous répond-il par ailleurs quand on l'interroge sur la présence de responsables sécurité dans les équipes de développement des logiciels : « Il y a eu des gens dont c'était pourtant la formation, mais on les faisait coder... juste coder ». 

« À ma connaissance, personne de calé en sécurité ne travaillait sur OpenPaas », nous a ainsi expliqué l'un des ex-salariés. « Pas de responsable de la sécurité, manque de moyen, manque d'effectifs et de personnel compétent, machines obsolètes », renchérit un troisième. « Y'a clairement pas de compétences à Linagora pour faire du mail chiffré », précise un quatrième.

Un cinquième enchaine : « Il fut un temps question d'adopter le protocole Signal dans la future application Android qui devait concurrencer WhatsApp, mais sans succès : cette tâche a été confiée à des personnes totalement étrangères au sujet. La motivation n'était pas d'implémenter le protocole pour le respect de la vie privée mais de pouvoir en faire un élément de communication. De toute façon, il n'y a pas d'ingénieur en crypto, donc impossible de designer ou d'implémenter intelligemment quoi que ce soit de ce type ».

Un sixième nous répond : « Lol : il n'y a pas ou peu de pratiques de sécurité chez Linagora. Le chiffrement E2E n'est pas implémenté ».

La SSI a été transférée à un nouveau DSI, arrivé en août

Linagora, à qui nous avons fait lire les témoignages que nous avons recueillis, les conteste vigoureusement. Nous avons retiré certaines accusations que nous n'avons pas pu recouper, mais gardé celles que nous avons pu vérifier, ou qui étaient corroborées par plusieurs anciens salariés, et bien évidemment intégré les réponses apportées par la société à celles que nous avons retenues.

« Il est totalement faux d’affirmer que nous n’avions pas de RSSI », nous répond ainsi Linagora : « depuis la création de la société, la gestion de la SSI de Linagora est sous la responsabilité directe de Michel-Marie Maudet, co-fondateur et Directeur des Opérations de Linagora. Avec 20 ans d’expérience dans Linagora et avant cela en ayant débuté sa carrière pendant plusieurs années comme expert Linux du Ministère de la Défense, Michel-Marie dispose de toutes les compétences requises pour assumer pleinement les responsabilités qui sont celles de RSSI ».

De plus, et « pour animer la gouvernance technologique, il s’appuie sur une équipe resserrée de 6 leads techniques disposant chacun d’une grande expérience professionnelle, d’un background technique Open Source très important et est bien entendu compétente concernant la gestion de la SSI au quotidien ». À sa charge, « sensibiliser l’ensemble des collaborateurs de la société aux enjeux de la sécurité informatique et des bonnes pratiques à développer pour éviter les risques cyber ».

En tout état de cause, « la société dispose bien de compétences, en particuliers au niveau de nos produits dédiés à ces domaines, PKI et gestion d’identités. Nos collaborateurs travaillent au quotidien sur des sujets de sécurité : SAML, OpenID Connect, Chiffrement, OpenSSL... Certes ces personnes ne sont pas directement comptées dans l’équipe OpenPaaS, mais nos équipes travaillent ensemble, collaborent et co-développent conjointement à chaque fois que nécessaire. A titre d’exemple, nous pouvons citer David Carella qui est expert PKI, qui dispose de plus de 10 ans d’ancienneté dans la société et de 15 d’expérience professionnelle ».

Par ailleurs, « Linagora dispose depuis plusieurs années d’un correspondant CNIL dont les missions ont évolué pour devenir aussi le responsable de traitement des données (RT) dans le cadre de la mise en œuvre du RGPD » qui, s'il est « de formation juriste, assure des séances de sensibilisation à nos collaborateurs sur les enjeux de la collecte et du traitement des données à caractère personnel et veille à l’application des mesures organisationnelles et techniques pour sécuriser les données à caractère personnel ».

Linagora n'en reconnaît pas moins que « la croissance des activités de la société et l’évolution des cyber risques nous ont amené à renforcer notre pôle informatique interne qui dispose depuis août 2019 d’un Directeur Informatique qui a en charge la sécurité opérationnelle des plateformes exploitées par Linagora ». En outre, « la responsabilité de la mise en œuvre opérationnelle de la Sécurité des Systèmes d’Informations (SSI) a été transférée à ce nouveau DSI, qui est sous l’autorité directe de Michel-Marie Maudet, qui reste notre officier de sécurité ».

linagora privacy design
Crédits : Linagora

Sur son site, OpenPaaS revendique le fait d'être « Privacy, Open & Ethical by Design ». « Ah oui. Ça c'était devenu une blague entre salariés et anciens de la boîte », nous rétorque l'un de nos interlocuteurs. « En interne ça veut rien dire du tout, déplore un second : Linagora n'est pas une entreprise éthique, ce qui intéresse Zapolsky, c'est de faire de l'argent ».

« C'est du buzzword », précise un troisième : « Je dirais qu'encaisser une grosse dizaine de millions d'euros d'argent public pour passer six ans à développer un logiciel de mail qui ne sait pas envoyer de mails n'est pas très éthique. Comme toutes les contradictions qui tiraillent Linagora, toutes ces entorses étaient un sujet de rires jaunes, surtout lorsqu'Alexandre se parait des atours du chevalier blanc. Le plus dur était de passer tous les jours devant la photographie représentant Richard Stallman posant dans les locaux avec les équipes. Le décalage était très troublant ».

Linagora Stallman
Crédits : Linagora

À l'instar de ce que nous avions découvert au sujet de Qwant, ce hiatus relèverait en partie du turn-over : « des seniors avaient bien travaillé sur le projet. Mais au fur et à mesure que les rares seniors partaient, dégoûtés, ils n'ont été remplacés que par des juniors et stagiaires alors que le projet était en développement actif (et carrément pas stable) ».

Un autre qualifie ces revendications « * by design » de « simples buzzwords, l'équivalent en open source du green washing (on pourrait imaginer une nouvelle expression : open source washing / free software washing). Beaucoup, dont moi, sont venus à Linagora car ils croient sincèrement en l'open source, à l'informatique libre, à créer des alternatives à des groupes puissants. Linagora dévoie ces concepts, les met au service d'un intérêt mesquin, mauvais ».

Des accusations là encore vivement contestées par Linagora : « Il est de notre point de vue profondément injuste de nous attaquer sur cette question des valeurs, qui encore une fois sont au coeur de notre projet. Il n’y a que très peu d’entreprises à notre connaissance qui s’engagent à ce point sur le respect des grands principes du Logiciel Libre. Nous n’avons jamais été aussi engagés concernant les valeurs éthiques et open source qu’aujourd’hui. Et notre engagement ne cesse de croître. Nous vous demandons donc de prendre toute la distance nécessaire à un travail d’enquête objectif, d’éviter tout amalgame en prenant pour argent comptant ce que pourrait être des témoignages d’humeur ou pour le moins subjectifs. Il faut éviter les caricatures dans un sens comme dans un autre ».

Linagora, à qui nous avons accepté de faire lire ces témoignages avant publication, déplore qu'ils soient « tous à charges, et que les récriminations sont parfois très violentes, voire diffamatoires », et nous répond vouloir « sortir de toute polémique, de tous propos passionnels et attaques personnelles ».

Nous n'en avons pas moins décidé, au vu de la concordance des six témoignages recueillis, de publier les propos et explications qui se recoupaient, tout en mettant de côté les accusations que nous n'avons pas pu corroborer. Nous ne doutons pas que de nombreuses autres entreprises traitent de manière tout aussi légère les enjeux de sécurité informatique et de protection de la vie privée, mais c'est aussi pour illustrer les problèmes que cela peut engendrer que nous avons décidé de l'exposer : une chose est d'afficher, façon « chevaliers blancs », sa conformité RGPD, une autre est de se doter des moyens et processus de la mettre en oeuvre (et donc d'éviter le syndrome « faites de ce que dis, pas ce que je fais »).

« Il y a bien deux apprentis mais il n'y a pas de stagiaires »

« Ceci étant posé, Linagora n’est pas « hors sol », explique par ailleurs l'entreprise : « nous sommes sur un secteur en tension du point de vue de l’emploi, nous ne sommes pas les seuls à chercher des personnes talentueuses et nous connaissons comme n’importe quelle autre société des mouvements de personnel ».

Linagora présentait OpenPaas::NG, son projet initial, comme « un projet de recherche subventionné par l'état français instruit par la Bpifrance (Banque Publique d'Investissement) dans le cadre du programme PSPC (Projet Structurant Pour la Compétitivité), labéllisé par le pôle de compétitivité Cap Digital et financé par le gouvernement français dans le cadre du programme des Investissements d'Avenir ».

D'une durée de 4 ans, le projet, entamé le 1er avril 2015 afin de « créer une suite collaborative Open Source concurrente des Apps de Google ou d’Office 365 », via un financement de 11 millions d'euros, était censé finir le 31 mars 2019. Alors qu'il bénéficiait de mises à jour mensuelles depuis le lancement de sa V1.1 en juillet 2018, la dernière release d'OpenPaas date du 21 juin. Interrogée à ce sujet, Linagora nous répond travailler avec « 2 grands clients sur l'industrialisation d'OpenPaas pour réaliser des déploiements en production tout début 2020 », et a depuis mis en ligne, fin novembre, la RC1 de la prochaine version.

Linagora souligne par ailleurs que le développement d'OpenPaaS représente 50 années/homme, celui d'Apache James 125 années/homme, soit l'équivalent de 25 ETP (équivalent temps plein) par an, et qu'à ce jour, « l’équipe core d’OpenPaaS est constituée de 33 personnes et l’ancienneté moyenne de l’équipe est de 4 ans. Il y a bien deux apprentis dans ces effectifs mais il n’y a pas de stagiaire ». De plus, ses collaborateurs ont « réalisé ces dernières années près de 27 conférences internationales dont certaines en catégorie A+ (la plus prestigieuse) et a procédé à la publication de 45 articles scientifiques ».

Questionnée sur la part de ressources publiques dans son chiffre d'affaire, Linagora nous répond qu'elle « devrait valoriser dans ses comptes pour le programme OpenPaaS environ 390 000 euros de subvention dont 214 000 euros sous la forme d’avances remboursables », qu'elle va aussi valoriser dans ses comptes pour sa plateforme LINTO d'interface vocale « environ 276 000 euros », et que « ces programmes de subventions représenteront environ 5 % des revenus de la société ».

« Bienvenue Brother ! »

Évoquant notamment le scandale Cambridge Analytica, Alexandre Zapolsky plaidait, en octobre 2018, pour une « troisième voie numérique », censée « s'articuler autour de l'éthique », et permettre à notre pays de devenir celui des « Lumières 2.0 ». À l'en croire, « en positionnant le numérique français et européen autour de la notion d’éthique, de souveraineté numérique et de privacy by design (respect de la vie privée dès la conception), nous adopterons une identité propre face aux modèles chinois et américains ».

Sur son site personnel, sa biographie précise qu'« il est passionné par les enjeux de protection des données personnelles, de cybersécurité ». Membre du Conseil national du numérique au titre des personnalités issues du secteur du numérique depuis mai 2018, Alexandre Zapolsky, dont le bandeau de profil Twitter est un selfie pris avec Emmanuel Macron, précise aussi sur LinkedIn être membre du parti En Marche! «  depuis le 1er jour ».

Sur Twitter, Zapolsky qualifiait Éric Leandri, en février dernier, cinq jours seulement après l'audit de sécurité, de « mon ami », avant de lui répondre « Bienvenue Brother ! » suite à son premier tweet, début juin. Le 1er juillet, suite aux premières révélations de La Lettre A, il prenait sa défense : « Total soutient à mon collègue @Eric_Leandri ! Les jaloux et les idiots s'acharnent sur lui et sa société @Qwant_FR. Ce dénigrement est insupportable. Pour une fois qu'en France nous avons enfin un vrai leader... Moi je fais confiance à cette grande gueule ! », avant de préciser que « derrière toutes ces attaques il y a des acteurs qui ont intérêts à ce qu'aucune concurrence n'émerge ».

Il suivait en cela la ligne de défense de Leandri qui, à défaut de répondre aux questions et problèmes identifiés par les journalistes, filait la théorie du complot. Fin juillet, Zapolsky publiait un selfie de lui avec « mon copain @Eric_Leandri », à l'occasion d'une soirée pour « réfléchir à la souveraineté numérique ». 

En l'espèce, c'est précisément le hiatus existant entre les propos tenus publiquement et les conditions de travail vécues en interne qui ont entraîné plusieurs ex-salariés à nous contacter. Et, à l'instar de nos enquêtes sur Qwant, nous avons décidé d'en rendre publics les témoignages concordants à mesure qu'ils permettent de mieux comprendre ce pourquoi certaines promesses n'ont pas (encore) été tenues. 

Interrogé des dizaines de fois au sujet de Qwant Mail lors de son AMA sur Reddit, Éric Leandri a répondu que « c'est un projet qui nécessite une sécurisation totale, une qualité de service maximale dès le premier jour », que « Qwant Mail ne sera pas gratuit, parce que vous n'êtes pas le produit. Il n'y aura pas de pub, et nous n'exploiterons pas vos données ».  Le projet serait en phase de « finalisation ».

Linagora, de son côté, nous explique que « la vraie raison du fait qu’il n’y ait pas encore de Qwant Mail sur une base OpenPaaS n’est pas à chercher du côté de la sécurité mais bel et bien du temps nécessaire à finaliser un accord entre nos deux sociétés. Préalable au développement de Qwant Mail, un accord de partenariat doit être signé entre les sociétés Qwant et Linagora. À date, cet accord est toujours en discussion entre les deux sociétés ». Et d'ajouter : « nous espérons signer cet accord fin 2019/début 2020 ». Il « conditionne le démarrage des travaux et la date d'une première mise à disposition de l'offre Qwant Mail l'été 2020 ».

Dans l'interview qu'il vient d'accorder à Les Numériques, Jean-Claude Ghinozzi, le nouveau PDG de Qwant, indique que « concernant le développement d'un email avec la privacy au coeur, ce sera annoncé dans les prochaines semaines ».

Écrit par Jean-Marc Manach

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les mots de passe root étaient en clair sur le wiki

« Le choix de Linagora engagerait notre responsabilité »

« Absence de sonde, d'audits, de politique, de BugBounty et de responsable sécurité »

« Nous avons bien sûr décidé de porter plainte »

« Il s’agit de tests effectués sur un environnement de test »

« C’est clairement une erreur et une faute »

Linagora « est semblable à Qwant par bien des aspects »

« Il faudrait déjà qu'il y ait des responsables sécurité... »

La SSI a été transférée à un nouveau DSI, arrivé en août

« Il y a bien deux apprentis mais il n'y a pas de stagiaires »

« Bienvenue Brother ! »

Fermer

Commentaires (118)


Pour avoir eu affaire à certains protagonistes nommés dans l’article, il y a plus de 15 ans, je ne suis guère étonné. Que ce soit pour les méthodes de management humain ou le côté “bonimenteur de foire”, même ce dernier était formidablement développé et redoutablement efficace. Dur de voir que, depuis, la firme a englouti tant d’argent public pour sculpter de la fumée.


Article qui semble, une fois de plus, bien complet <img data-src=" />

Vu la teneur des précédents rédigés par JM sur le sujet, celui-ci risque encore d’éveiller la lance à incendie du côté de Qwant.



J’ai commencé à le lire et rien que le début me laisse pantois. Et me conforte un peu plus dans l’idée que derrière des entreprises de ce type, il y surtout un brassage d’argent publique (et un énorme gaspillage), qui doit au passage finir dans certaines poches, et une question de gros égo.



Je prendrais le temps de lire le reste, tranquillement, durant le we.



Encore merci pour ce journalisme d’investigation qui, jusqu’à maintenant, a toujours visé juste et aide à ouvrir les yeux face aux discours rassurants des communications mises en place <img data-src=" />


Je comprends vraiment pas Qwant.

Essayer de répondre a une demande sur le mail quand leur produit phare n’arrive même a gagner des parts de marché.

Bordel concentrez vous sur le moteur pour renvoyer des résultats pertinents.

Laissez faire des acteurs déjà présent comme proton technologies, qui intègre le chiffrement et le respects de la vie privée&nbsp;&nbsp;


En l’espèce, Qwant avait délégué le job à Linagora, et c’est Linagora qui a foiré, et Qwant qui s’en est aperçu…


«&nbsp;Nous ne nions donc pas avoir eu quelques problèmes de sécurité au moment où l’équipe sécurité de Qwant a regardé nos systèmes (quelle entreprise n’en a d’ailleurs jamais eus) », poursuit Linagora : «&nbsp;vous pouvez cependant noter la célérité avec laquelle ces problèmes ont été résolus&nbsp;».&nbsp;Euh le mot de passe “Linagora2016” il date de 2019?&nbsp;<img data-src=" />

Si Linagora ne sais pas sécuriser OBM,&nbsp; Qwant aurait peut être dut demander a Bluemind&nbsp;&nbsp;<img data-src=" />





&nbsp;


Certes, mais ca ne change pas l’idée de mon commentaire.

Pourquoi vouloir allouer des ressources (a minima financières) au développement d’un produit qui respecte tout ce que qwant prône, non américain (GAFA), respectant la vie privée et données des utilisateurs et chiffré, quand leur moteur, a mon goût, ne tient pas la route


Merci pour ces articles passionnants ! JMM FTW ! Ces enquêtes valent largement l’abonnement


Outch, @manhack vient encore de lancer un beau pavé dans la mare de la frenchdèche… <img data-src=" />



Je ne connais Linagora que de réputation et c’est triste de lire ça. Dans les années 2000-2005, les jeunes linuxiens (dont je faisais partie) les regardais avec une grande envie…



On pourra dire ce qu’on veut mais je trouve ça bien de calmer un peu les boites “frenchtech” qui ne vivent que d’effets d’annonces et d’argent public (ceci expliquant cela je pense). Il faut assainir tout cela pour obtenir des bases sérieuses. C’est bien de se la jouer “Astérix” sur le numérique mondial mais pas avec du vent…

Être français n’excuse pas tout. <img data-src=" />



En tout cas, comme je disais ailleurs, on voit là toute la réalité de la #Frenchtech : faire de l’argent et du business en faisant porter le poids et les risques pris sur les comptes publiques.



Notre président a beau vanter ces entreprises (en même temps il a participé à leur création en tant que Ministre de l’Economie), elles ne sont qu’éphémères et elles participent, indirectement, à l’écroulement de notre économie (écroulement dans le sens où elles elles creusent réellement le déficit).

Son modèle de Startup Nation est bel et bien voué à l’échec (pour ceux qui en doutaient).








Furanku a écrit :



En tout cas, comme je disais ailleurs, on voit là toute la réalité de la #Frenchtech : faire de l’argent et du business en faisant porter le poids et les risques pris sur les comptes publiques.







Elles ne sont pas toutes comme ça quand même…







Furanku a écrit :



Notre président a beau vanter ces entreprises (en même temps il a participé à leur création en tant que Ministre de l’Economie), elles ne sont qu’éphémères et elles participent, indirectement, à l’écroulement de notre économie (écroulement dans le sens où elles elles creusent réellement le déficit).

Son modèle de Startup Nation est bel et bien voué à l’échec (pour ceux qui en doutaient).







Un bémol quand même, Linagora a été créé bien avant l’idée de la FrenchTech… Ils ont fait du chemin quand même. Néanmoins, ils semblent qu’ils ont bien réussi à prendre le pli de la pompe à subvention…

Je pense pas qu’elles participent à un écroulement quelconque (déjà que parler d’écroulement est assez étrange vu les indicateurs économiques actuels qui sont plutôt pas mal globalement et meilleurs que ces 10 ou 12 dernières années) mais c’est clairement pas la bonne façon de faire, je pense.

Le gouvernement Macron, comme tous les gvt avant lui, ne fonctionne qu’avec l’idée qu’il faut arroser d’argent publique l’économie pour qu’elle tourne alors que ce que veulent les entreprises, c’est avant tout qu’on leur lâche la grappe… et notamment en desserrant la pression fiscale.

Et vu la constance de cette idée depuis des décennies malgré les alternances gouvernementales, je ne pense pas que le gvt ait une grande influence là dessus finalement et je me demande si le lobbying interne à Bercy n’aurait pas tendance à être bien plus fort qu’on ne peut l’imaginer…

(et on pourrait se poser exactement la même question au sujet de la politique de sécurité de la France et notamment de la politique liée à la surveillance intérieure…)



«&nbsp;Linagora dispose depuis plusieurs années d’un correspondant CNIL dont les missions ont évolué pour devenir aussi le responsable de traitement des données (RT) dans le cadre de la mise en œuvre du RGPD&nbsp;»&nbsp;Le Cil qui évolue en RT -&gt; haha, celui qui a rédigé ça&nbsp;n’a pas été suffisamment&nbsp;sensibilisé et ne l’a pas fait relire à son délégué à la protection des données.&nbsp;&nbsp;


Tiens, surpris par le nombre de publis, je cherche sur le site de Linagora, je trouve ça : liste des publis



J’en prends une au hasard:&nbsp; “Parallelism and conflicting changes in Git version control systems. In Proceedings of the Fifteenth International Workshop on Collaborative Editing Systems, Portland, Oregon, United States. 2017.“Voici le PDF:https://hal.inria.fr/hal-01588482/file/iwces15_Parallelism-and-conflicting-chang… deux auteur.e.s sont du LORIA, je ne vois aucune mention de Linagora ni de OpenPaas. Étrange, non ?


D’ailleurs ça serait marrant @manhack de voir si y’en a une seule qui a été faite par linagora.


oula… que de choses qui me semblent plausibles et sont confortées par mon expérience personnelle avec certains acteurs dont il est question ici…



Je vais juste mettre mon grain de sel sur un point : “290k€ de subventions” =&gt; ça c’est une réponse à côté de la question.

&nbsp;Si le ministère a passé un contrat avec Linagora, (sous forme de prestation, en régie ou au forfait) ça n’est pas compté comme subvention. Une subvention, c’est “cadeau, je te donne X€, je n’attends ‘rien’ en retour”. Donc cette réponse n’exclut pas le fait que le ministère ait contractualisé 11M€ (ou plus, ou moins) avec Linagora. Avec, par exemple, un état mensuel d’avancement technique, ou de ressources consacrée au sujet. Et on facture chaque mois. C’est tout à fait classique dans les SSII (et ce n’est d’ailleurs pas critiquable).

Et ces millions sont bien de l’argent public, “gaspillé” dans le sens ou il n’y a toujours pas de produit à mettre en face.



Ah, et 50 années hommes, ça fait 10 000 journées de travail si je compte bien. A 500€ la journée, ça ne fait que 5M€ toujours si je compte bien. Je n’imagine pas que Linagora vende tous ses développeurs 1100€ la journée (qu’il faudrait pour faire 11M€), donc il y me semble qu’il y a une chtite bizarrerie dans ces chiffres.


J’ai entendu des histoires sur Linagora assez chaudes sur les techniques de gestion RH musclé (au premier sens du terme), ce qui est dit là ne fait que confirmer…


Merci pour le dossier très révélateur de méthodes de management toujours aussi dévastatrices… Par contre, je lis un article particulièrement à charge contre Linagora (ce que je comprends au vu des révélations), et je comprends l’association avec Qwant dans le texte, mais je me questionne sur la pertinence de le mettre dans le titre (même si Qwant cumule les casseroles, ici, à part le fait que ce sont des “copains”, Qwant a a priori plutôt fonctionné de façon normale, et même positive en repoussant les échéances).

Par ailleurs, je trouve que certains passages sont fortement des “copier-coller” de témoignagne avec un petit manque de traitement journalistique (ce que je ne trouvais pas dans les précédents dossier de JMM).

Dans tous les cas, encore une fois, merci, car le travail a dû être de longue haleine, et pas toujours très agréable (notamment le moment où vous montrez les passages à Linagora)








trou a écrit :



Voici le PDF:https://hal.inria.fr/hal-01588482/file/iwces15_Parallelism-and-conflicting-chang… deux auteur.e.s sont du LORIA, je ne vois aucune mention de Linagora ni de OpenPaas. Étrange, non ?





Erreur dans le lien, le bon, c’esthttps://hal.inria.fr/hal-01588482/file/iwces15_Parallelism-and-conflicting-chang…



Pas nécessairement, y a tout ce qui est frais de fonctionnement interne (locaux, hébergement, matériel, etc.)


Ce #fail explique en partie le retard de Qwant Mail, je ne pouvais pas ne pas le mentionner dans le titre, mais oui, l’équipe SSI de Qwant a “fait le job”; après, ça m’a effectivement pris énormément de temps, j’y bosse depuis des mois, mais ne pouvais pas ne pas “copier-coller” les témoignages puis les réponses de Linagora (après avoir fait un gros tri dans les deux cas) vu qu’il s’agit d’un “he said-she said”… Mais merci !


Merci d’avoir pris la peine d’apporter ces précisions !

Concernant Qwant, je ne suis pas du même avis. De mon très subjectif point de vue, je pense que centrer ça sur Linagora aurait eu plus de sens, avec un paragraphe (précédé d’un sous-titre) explicitement sur Qwant décrivant les liens (connaissance + retard du projet), ça aurait été tout aussi envisageable et déjà suffisant.

Concernant le C/C des commentaires, c’est vrai qu’avec l’approche “commentaire + réponse”, ça aurait probablement été difficile de faire autrement (et effectivement, il est indiqué plusieurs fois que seuls les accusations concordantes et/ou vérifiées sont reprises, déjà rien que ça, quel travail).

As I said, great job <img data-src=" />


Comme toujours, tu fait un beau travail Manhack.


ah oui, intéressant :) Le lien est très ténu quand même.


on sent bien que depuis l’article sur Qwant et le feu nourrit qui en a découlé, ça met de gros parapluies dans l’article pour se prémunir d’attaques de la boite citée (ce qui en l’empêchera pas de pester de toute façon…)



teuf à changé de numéro de téléphone? <img data-src=" />





/troll



très bon article, bravo pour le boulot!

Cela explique bien le pourquoi du retard de Qwant Mail, et doit être lu avec pas mal de recul.

Les premiers mails du SSI de Qwant étaient assez catastrophistes et présageaient un arrêt brutal et définitif du projet. on voit avec l’évolution de l’article que les erreurs insurmontables ont finalement été surmontées, et pour la plupart assez vite.


Bel article !

En passant pour Linagora, il n’y a que moi que ça choque la capture d’écran avec du webmail avec des floutages approximatifs sur leur site vitrine de l’openpaas ?


JH cherche société tech qui ne cherche pas à gagner du fric, avec des employés heureux, et qui n’a aucun retard sur ces projets&nbsp; <img data-src=" /> (même s’ils sont peu pertinents au regard des solutions existantes sur le marché)


Encore un gros pavé jeté dans la marre aux canards. Mais quel pavé, j’ai beau être déconnecté de tout ça (parce que bon, je ne suis pas un gros développeur, tout juste j’arrive à bricoler du PHP), je n’en reste pas moins stupéfait de voir tout ça et de voir surtout le gâchis que ça génère. ^^’



On est décidément pas doué pour donner les subventions et faire des partenariats avec les bonnes boîtes…

En tout cas, beau travail, attention aux tirs de ripostes par contre. <img data-src=" />


Approximatifs en effet, on devine assez facilement les noms… <img data-src=" />


Mais de quoi parle-ton ? 5, 11, voire 13 millions d’euros sont évoqués dans l’article et les commentaires à propos de ce projet OpenPass : C’est ridicule non ?&nbsp;&nbsp;



Je connais très mal de le marché du développement professionnel, et que très mal les défis quotidiens des grands projets de développements tels que ceux de Lingora. Néanmoins, je connais un peu les acheteurs publics. Pour moi, les premiers coupables ici ce sont eux. J’ai vraiment beaucoup de mal à imaginer que même avec du temps et de l’extrême bonne volonté, il soit possible de développer une alternative crédible aux solutions équivalentes développées pars un GAFAM avec un budget&nbsp; pareil… Il manque à minima un zéro, sinon deux non ?&nbsp;



Au delà du montant du projet OpenPass, quid des défaillances de la “maîtrise d’ouvrage” publique ici ?&nbsp;


Merci pour cet article, à la fois instructif et…drôle? (dans le genre tragi-comique <img data-src=" />)



C’est le risque avec les investissements publics - que certains construisent leur business pour en récolter le maximum, quitte à s’arranger avec la réalité. Je suis pas un expert en la matière, mais quand l’Etat “investit”, je pense qu’il devrait aussi devenir actionnaire et jouer un rôle de surveillance…


Que Linagora soient des nuls, ce n’est pas nouveau. Ça reste quand même la boîte à cause de qui les députés ne sont plus sous linux (infoutus de leur faire fonctionner un groupware décent en 5 ans, je comprends qu’ils aient jetés l’éponge).



Mais à ce point…


Bravo, bel article !


J’ai vu la réponse que JMM vous adresse.

Je ne crois pas que cela soit si étrange que ça.

En tout cas, j’ai bien connu un cas très similaire : j’ai publié deux papiers avant l’abandon du doctorat où il m’était interdit de donner quelconques informations qui puissent identifier l’acteur privé qui finançait mes travaux.



A mon avis, c’est monnaie courante ce genre de cas.

Étrange ? Alors pas vraiment. Gênant ? Là oui, un peu plus…


Si j’envisageais une reconversion dans le métier de développeur, ces articles de Jean-Marc Manach m’ont passablement refroidi. Il paraît que la profession est en “tension” et qu’elle rémunère bien, mais personnellement ce n’est pas une ambiance de travail qui me convient.




Et pour avoir lu quelques réactions négatives à propos de cet article, je tiens à préciser que, en tant que néophyte des métiers du numérique (et de la FrenchTech), je suis certain que toute la profession (à quelques exceptions près) travaille de cette manière là (de manière brouillonne, dans la vantardise de qualités qui n'existent pas, en affichant des ambitions irréalistes) : en l'occurrence, j'ai vu ça dans un organisme de formation en e-learning (l'Afpa pour ne pas la nommer)  qui se vante de proposer des formations à coûts réduits qui auraient quasi les qualités d'une formation en présentiel (et quand on creuse un peu, on nous dit qu'on a mal compris, mais que c'est formidable quand même malgré tous les bugues et toutes les lacunes pédagogiques).

À un moment donné, il faut revenir sur le plancher des vaches et ne pas laisser penser aux financeurs publics et au grand public que le e-learning, les Mooc et les Spoc sont aussi efficaces que les formations en présentiel tout en coutant moins cher et que le “digital” est l’alpha et l’omega de la formation du futur.








joma74fr a écrit :



Si j’envisageais une reconversion dans le métier de développeur, ces articles de Jean-Marc Manach m’ont passablement refroidi. Il paraît que la profession est en “tension” et qu’elle rémunère bien, mais personnellement ce n’est pas une ambiance de travail qui me convient.



&nbsp;

Bah , ça montre juste que les boites qui bossent dans l’opensource peuvent aussi avoir un management de merde, avec les mêmes conséquences qu’ailleurs , quelque soit le secteur.



Ironique d’ailleurs que le verdict du procès sur le management léthal à FT ait eu lieu il y a quelques jours…



De ce que j’ai pu constater de mon cas perso (mais je n’en fait pas une généralité pour autant) pour avoir bossé dans le domaine de l’opensource, c’est que quand la boite grossis, on commence à voir débarquer les cravateux&nbsp; d’HEC et autres écoles de commerces aux dents longues, poussés par les banques, aux beaux costumes et les promesses pleins la bouche.

Peu de temps après , les choses changent, l’ambiance se dégrade, les emmerdes commences , les meilleurs partent remplacés par des juniors vendus comme experts en tenant sur la réputation d’antant. Et hop ! Une boite de plus coulée - mais pas pour tout le monde, certains s’étant octroyés dans la bataille un joli magot, et sont prêt à recommencer ailleurs.



Pour un chef d’entreprise, la décision, compliquée, consiste à garder son âme mais garder sa boite, son expertise, ses employés et sa petite taille, ou bien culbuter sans se préoccuper du reste.

Et pour être honnête, le choix reviens aussi à chacun de savoir où il veux travailler, et où il ne le veux plus (Même si j’ai conscience que c’est plus facile à dire qu’a faire dans certaines situation de vie)



C’est quand même fort de café de prétendre que des problèmes de sécurité sur l’infra de développement ne peuvent en aucun cas impacter la production.


A la base, la boite a été lancée grâce à un arrangement (1er contrat) avec l’armée, dixit l’ex libriste de l’armée.


« L’hébergement, ce n’est pas notre métier de base, mais il y a une demande forte, alors on le fait »

Voila pouquoi.



Et c’est pour moi la source de nombres de problèmes de Qwant, vouloir répondre aux demandes fortes ne devrait pas être leurs motifs.


Ca existe pas :)





  • Employés heureux ca se trouve, c’est pas le soucis (bon, ca dépend de tes pré-requis aussi)

  • Société qui ne cherche pas à gagner du fric, là ca devient problèmatique, c’est un peu le but d’une société.

    Surtout que plus la boite est grosse, plus il y a des employés “non-productif” (au sens qui rapporte de l’argent, c’est tout utile un secrétaire qui va gérer la mutuelle et la paye) plus la société va chercher à gagner du fric.

  • Qui n’a aucun retard sur ces projets, aïe; le retard c’est la base pour un projet :)


+1



Il est à mon sens plus facile de sécuriser une infra de test qu’une infra de prod (l’infra est plus petite, tu as plus d’expérience lors du setup, etc)








OB a écrit :



[…] c’est que quand la boite grossis, on commence à voir débarquer les cravateux&nbsp; d’HEC et autres écoles de commerces aux dents longues, poussés par les banques, aux beaux costumes et les promesses pleins la bouche.



 Peu de temps après , les choses changent, l’ambiance se dégrade, les emmerdes commences , les meilleurs partent remplacés par des juniors vendus comme experts en tenant sur la réputation d'antant. Et hop ! Une boite de plus coulée - mais pas pour tout le monde, certains s'étant octroyés dans la bataille un joli magot, et sont prêt à recommencer ailleurs.        

[...]








 C'est le problème dans n'importe quelle entreprise aujourd'hui (même les PME de quelques salariés) : la compétence a un coût, la sécurité a un coût, le travail bien fait a un coût. Malheureusement, aujourd'hui, tout ce qui importe est ce que racontent le contrôleur de gestion et le cabinet d'audit. Et on colmate les déficiences techniques par des dépenses en marketing. C'est partout pareil (ou presque), pas seulement dans l'opensource, pas seulement dans le numérique.      






Par exemples, un consommateur veut acheter ne serait-ce qu'un lot d'assiettes : 9 chances sur 10 qu'elles soient fabriquées en Asie (peu importe si des enfants ont travaillé, si les accidents sont nombreux là-bas; car sinon, on ne les achètent pas parce que le prix est 10 fois plus élevé, peu importe si la finition ou si la solidité est meilleure, de toute façon on n'a pas confiance, et on veut consommer tout de suite, on s'en fiche du produit). Quand la région ou Pole Emploi cherche un prestataire de services : le moins-disant financièrement et le mieux disant en nombre de services emporte le marché (peu importe la qualité ou le service effectivement rendu).       






C'est le syndrome du tableur Excel ou syndrome du cadre qui reste 2 ou 3 ans à son poste avant de s'occuper d'un autre sujet qu'il ne maitrisera pas plus. C'est général à toute entreprise, pas spécifique au numérique.      






&nbsp;





OB a écrit :



[…]



 Ironique d'ailleurs que le verdict du procès sur le management léthal à FT ait eu lieu il y a quelques jours...       

[...]








Le burn-out (l'implication d'un salarié dans une structure qui se s'intéresse pas à son adéquation aux contraintes de son poste de travail) peut exister dans toute entreprise. Mais l'affaire France Telecom concerne 22 000 employés (sur env. 150 000) qu'on a voulu faire partir en moins de 5 ans, car la direction ne pouvait pas les licencier en masse : je fais la différence entre une direction qui ignore l'implication de ses salariés en s'intéressant uniquement à des problèmes économiques de court terme, et une direction qui cherche à licencier des gens en organisant un système d'humiliation et de mobilité salariale dans le seul but de rendre inconfortable le maintien de l'employé dans la structure (a qui on donne une image de performance et d'efficacité que l'employé jugé inutile ne mérite pas de représenter).




répondre aux demandes fortes ne devrait pas être leurs motifs





Sauf si ils ne cherchent pas répondre aux demandes mais uniquement à capter des fonds…








OB a écrit :



Bah , ça montre juste que les boites qui bossent dans l’opensource peuvent aussi avoir un management de merde, avec les mêmes conséquences qu’ailleurs , quelque soit le secteur.



[...]&nbsp;





&nbsp;



Le problème du monde du numérique (l'opensource y compris), c'est qu'il vend (et vante) aujourd'hui ce qu'il ne sait toujours pas faire et qu'il fera un jour (et ça va déchirer et disrupter dans tous les sens, on nous le promet). Le paroxysme de cette attitude se trouve chez Amazon et Facebook par exemples qui vantent l'un la livraison par drone et les magasins/entrepôts sans employés, l'autre l'algorithme à contenus, alors que tous les deux emploient des centaines de milliers de tâcherons ou d'employés qui nourrissent quotidiennement leurs algorithmes "tellement plus efficaces" par rapport aux compétences humaines.


Une société qui ne cherche pas a gagner du fric, c’est une société qui va obligatoirement faire faillite. Je ne pense pas que ce soit un bon plan.








joma74fr a écrit :



Le paroxysme de cette attitude se trouve chez Amazon et Facebook par exemples qui vantent l’un la livraison par drone et les magasins/entrepôts sans employés, l’autre l’algorithme à contenus, alors que tous les deux emploient des centaines de milliers de tâcherons ou d’employés qui nourrissent quotidiennement leurs algorithmes “tellement plus efficaces” par rapport aux compétences humaines.





On est d’accord.



&nbsp;





joma74fr a écrit :



&nbsp;je fais la différence entre une direction qui ignore l’implication de ses salariés en s’intéressant uniquement à des problèmes économiques de court terme, et une direction qui cherche à licencier des gens en organisant un système d’humiliation et de mobilité salariale dans le seul but de rendre inconfortable le maintien de l’employé dans la structure





Ce sont 2 exemples de management pourri, mais bon, je suis d’accord que c’est pas comparable en terme d’expérience de vie pour les gens . Et puis, bon, je ne crois pas qu’un employé passé par linagora ai eu du mal à retrouver un job ensuite, surtout à Paris.



&nbsp;





joma74fr a écrit :



C’est le syndrome du tableur Excel ou syndrome du cadre qui reste 2 ou 3 ans à son poste avant de s’occuper d’un autre sujet qu’il ne maitrisera pas plus. C’est général à toute entreprise, pas spécifique au numérique. &nbsp;





&nbsp;C’est sur que là on est d’accord.



&nbsp;

&nbsp;





joma74fr a écrit :



C’est le problème dans n’importe quelle entreprise aujourd’hui (même les PME de quelques salariés) : la compétence a un coût, la sécurité a un coût, le travail bien fait a un coût. Malheureusement, aujourd’hui, tout ce qui importe est ce que racontent le contrôleur de gestion et le cabinet d’audit. Et on colmate les déficiences techniques par des dépenses en marketing. C’est partout pareil (ou presque), pas seulement dans l’opensource, pas seulement dans le numérique.



&nbsp;

Le paradoxe que je vois la dedans est le prix:

Si on “fait tout bien” : compétence+sécurité+travail bien fait (et j’y ajouterais normes environnementales, recyclage, …) , ben tout ceci a un impact important sur le prix final.



D’or et déjà, dans une logique mondialisée comme actuellement la boite&nbsp; coule : A produit égal , pratiquement personne ira payer 2x le prix “simplement” pour l’éthique à moins de pas avoir le choix (*)



Donc il faut faire du protectionnise pour “compenser” ce coût (encore que dans ce cas ce qui me gêne c’est que les taxes douanières ne vont pas aux enfants qui font le produit mais aux états. M’enfin passons).&nbsp;



Mais quand bien même, ensuite, QUI irais acheter ces produits chers ? Et avec quel argent ? Car ca voudrait dire payer mieux, largement mieux même, les gens en général, pour qu’ils puisse se permettre d’acheter 200 ce qu’ils achetaient à 100 avant. Bizarrement, je vois pas les entreprises faire ça, elles qui préfèrent réduire l’activité plutôt que d’embaucher ou augmenter

(Et dans le contexte de concurrence mondiale ça se tient).



Alors ptet qu’il y aurait à terme un équilibre , mais ce qui fait peur à tout le monde c’est la gestion de la transition.

&nbsp;

&nbsp;





(*) Et je dit ça en étant le 1er à acheter mes composants électronique sur Aliexpress plutôt qu’en magasin physique français. Si ce n’était pas possible, je n’achèterais pas plus cher : Je n’achèterais pas du tout et je ne ferais pas mes projets perso, c’est tout.









joma74fr a écrit :



C’est le syndrome du tableur Excel ou syndrome du cadre qui reste 2 ou 3 ans à son poste avant de s’occuper d’un autre sujet qu’il ne maitrisera pas plus. C’est général à toute entreprise, pas spécifique au numérique.





N’importe quoi <img data-src=" />

Argumentaire typique des types qui ne peuvent saquer les cadres mais qui quand on leur demande de reprendre les renes et les responsabilités qui vont avec, refusent… Tu vois, moi aussi je peux dire n’importe quoi à partir de généralisations à 2 sous.









OB a écrit :



Mais quand bien même, ensuite, QUI irais acheter ces produits chers ? Et avec quel argent ? Car ca voudrait dire payer mieux, largement mieux même, les gens en général, pour qu’ils puisse se permettre d’acheter 200 ce qu’ils achetaient à 100 avant. Bizarrement, je vois pas les entreprises faire ça, elles qui préfèrent réduire l’activité plutôt que d’embaucher ou augmenter

(Et dans le contexte de concurrence mondiale ça se tient).







Le commerce équitable?&nbsp;&nbsp; Le Bio?



Dans la boite qui emploie mon père, des consultants avaient sortit que fermer une telle branche et réutiliser l’argent pour autre chose serait plus rentable.

La direction (groupe familial) avait donné son accord avant de revenir en arrière, car ils préféraient employer 40 personnes et faire un benef de 50000/an que de virer 40 personnes et espéréer avoir une rentabilité de 60000€

(c’est pas de l’informatique)



Quand je lis les commentaires d’anciens salariés, on peut voir chez certains une incompatibilité entre leur perception du monde du travail et celui d’un salarié d’entreprises.



Je comprends qu’entre l’idéalisme qui les motive et la réalité le choc puisse être brutal: mais dans ce cas ils ne trouveront jamais leur bonheur nul part et se plaindront en permanence quel que soit les efforts faits (j’en ai connu quelques un comme cela).

Je leur suggère donc, en plus de s’épancher dans NXi, de se regrouper et de monter eux mêmes leur propre boite. Le pire c’est que cela pourrait marcher et permettrait du coup de donner vie à leur idéal de travail.


“&nbsp;Société qui ne cherche pas à gagner du fric, là ca devient problèmatique, c’est un peu le but d’une société.&nbsp;”



 Heu, non, pas du tout. Ca n'a jamais été et ne sera jamais vrai par essence.&nbsp;       

Tu ne vis pas pour manger. Tu manges pour vivre. Inverser le moyen et la fin est le meilleur moyen de se planter sur le long terme.






 Pareil pour les entreprises. Qu'on nomme aussi société.       

Entreprise -&gt; Entreprendre -&gt; Volonté de concrétiser un projet, "quelque chose".&nbsp;

Société -&gt; Regroupement organisé d'individus partageant des valeurs et un objectif.&nbsp;






 Il suffit pour comprendre ça de retransposer la notion dans un contexte suffisamment ancien pour qu'il n'y ait pas d'argent, et que seul le troc fonctionne, dans un environnement où les besoins primaires ne sont pas faciles à combler au quotidien.       

Si toi personne tu ne proposes rien qui soit considéré comme utile à l'assouvissement des besoins primaires, personne ne voudra troquer avec toi, du coup tu vas galérer à assouvir tes propres besoins, et tu vas mourir.&nbsp;



&nbsp; &nbsp;



 L'argent n'a jamais été autre chose qu'un paradigme permettant de faciliter les échanges hétérogènes grâce à une référence commune.&nbsp;       

Et pour une entreprise, comme pour l'individu, ça constitue simplement une ressource primordiale (puisque permettant l'accès aux autres ressources) à gérer correctement pour assurer sa survie.

(D'ailleurs, je rappelle que techniquement une personne morale est tout aussi "mortelle" qu'une personne physique. Pour prolonger sa durée de vie au-delà de 99 ans il faut suivre une procédure spéciale -à moins que ça ait changé entre temps mais j'en doute-. Je laisse chacun réfléchir par lui-même aux raisons et implications de ce choix du législateur).&nbsp;







&nbsp;Avoir pour objectif de “gagner de l’argent” c’est n’avoir aucun objectif en fait, aucune vision, aucune dynamique de fond. Ca peut marcher dans certains cas (nouveau marché, flouze de départ permettant d’artificiellement se maintenir, ou grosse capacité à pipoter les investisseurs qui pipent rien à la technique pour se placer dans le contexte de l’article) et pour un temps (jusqu’à ce qu’un concurrent sérieux arrive où que les mensonges commencent à transpirer trop fort).&nbsp;




 Linagora semble malheureusement en constituer un magnifique exemple : 15 ans pour une entreprise c'est déjà bien (beaucoup ne dépassent même pas les trois ans) mais par rapport à la durée de vie que peuvent avoir des personnes morales bien construites c'est bien peu... Je doute qu'elle tienne encore 15 autres années.

J’ai rigolé en lisant le sous-titre… et puis j’ai lu l’article ah c’était vraiement le mot de passe root <img data-src=" /> <img data-src=" />


Faire le jugement à l’emporte pièce, de la&nbsp; capacité d’INpactiens à “résister” aux galères classiques du monde du travail, ne te grandit pas.&nbsp;

&nbsp;

Il y a toujours des difficultés dans les entreprises, on trouve toujours des gens qui sont incompétents, bornés, requins (parfois les trois à la fois) qui peuvent suffir à pourrir tout un groupe structuré.

Ca c’est “normal” et on n’y peut effectivement rien, c’est la manière dont la société humaine se construit, t’as des proportions minimales de chaque mentalité si j’ose dire. <img data-src=" /> Le truc c’est que généralement, ce sont bien des proportions gérables.&nbsp;

De la même manière, tu as des entreprises qui sont gérées par la terreur, mais dont les employés peuvent tout de même trouver leur compte&nbsp; par la thune / l’apprentissage / le fait d’agir en correspondance avec ses valeurs.



Le cas Linagora, c’est l’instrumentalisation semi-délibérée et semi-réfléchie* des pires techniques de pression et manipulation mentale (j’ai pas envie de m’étendre sur le sujet, mais je sais de quoi je parle contrairement à toi).&nbsp;

&nbsp;

Dans d’autres entreprises ça peut passer malgré tout parce qu’il y a des compensations / une distance / des contre-pouvoirs suffisants pour contenir ou réduire la nuisance psychologique qui en découle. Le problème est que rien de tout cela n’existe à Linagora puisque le pouvoir est concentré dans la famille. Plus le salaire non optimal dirons-nous gentiment. Plus la gestion de projet qui part dans tous les sens. Plus en effet la profonde dissonance cognitive entre les valeurs affichées et les actions concrètes du quotidien.



En bref, ce n’est pas du tout un cadre “normal”.



*Je dis semi car je pense pas que le PDG ait conscience de sa propre toxicité, et je doute qu’il arrive un jour à le comprendre puisqu’il n’a jamais écouté ceux qui lui disaient et lui-même ne se remet jamais en cause. Je pense que l’on pourrait sérieusement s’interroger sur sa qualification au regard de ce type d’article&nbsp;https://www.theguardian.com/science/2011/sep/01/psychopath-workplace-jobs-study il coche beaucoup de cases <img data-src=" />



@manhack d’ailleurs à ce sujet ça m’étonne que t’aies pas évoqué le différend BlueMind / Linagora avec leur opération de com nauséabonde sur le site “lavéritésurbluemind”. Là, dans la série “état d’esprit open source communautaire”, on était bien… <img data-src=" /> <img data-src=" />


AH oui apparemment Marie-Christine d’EDF n’a pas encore signée la demande d’achat !

https://open-paas.org/wp-content/uploads/2018/09/cropped-bannerop.jpg


Dans l’extrait que tu cites, je voulais dire que ce n’est pas spécifique aux entreprises du numérique (c’est “général”). Et oui, je trouve ça stupide. Par exemple chez les journalistes, les grosses boîtes comme BFMTV paient des jeunes journalistes (parce qu’un “junior” est moins cher qu’un vrai enquêteur sénior qui est spécialisé dans un sujet spécifique depuis plus longtemps) pour traiter de sujets dont ils s’occupent que 2 ou 3 ans et ensuite ils traitent d’autres sujets qui n’ont rien à voir. Le résultat est qu’ils disent n’importe quoi au grand public.




 D'où tu vois que je ne peux pas saquer les cadres ? D'où je généralise ? Tu changeras jamais mon pauvre. C'est pas parce que tu es cadre dans ta structure qu'il faut te sentir viser et imaginer que je catégorise les gens comme tu peux le faire comme là, à l'instant.

C’est ça, quand on se montre critique, c’est qu’on est idéaliste… Putain, je n’aimerais pas être ton collaborateur. Qu’est-ce qui te fait dire que ces gens qui critiquent ne se bougent pas ? C’est pas parce que tu ne critiques pas que tu es bien dans ta structure. Si vraiment ça ne va pas, c’est un coup à finir en burn out.








manhack a écrit :



En l’espèce, Qwant avait délégué le job à Linagora, et c’est Linagora qui a foiré, et Qwant qui s’en est aperçu…





Voila <img data-src=" />.



Au passage, OBM est une vraie m infâme faillée.









Citan666 a écrit :



Heu, non, pas du tout. Ca n’a jamais été et ne sera jamais vrai par essence.&nbsp;



   Tu ne vis pas pour manger. Tu manges pour vivre. Inverser le moyen et la fin est le meilleur moyen de se planter sur le long terme.     &nbsp;





&nbsp;

C’est une vision logique que je partage, mais c’est absolument pas ce que t’apprends dans TOUS les cours d’économie en France, du lycée aux écoles d’ingé en passant par les écoles de commerce ou de management.



C’est certainement un problème et ça explique, à mon sens, une partie de la déliquescence de la société mais c’est ainsi.



&nbsp;

Pour l’anecdote, lors de mes études on avait fait un “jeu d’entreprise” en cours d’éco. Il s’agissait de monter une boite fictive, et de prendre X et Y décisions de management / marketing / production /….&nbsp; . Chaque semaine ça passait sur une moulinette informatique et ça donnais les résultats (bancaires, bourse, sociaux, stock , …).



Bref, mon équipe avait “gagné”. Car on avait fini avec le plus gros C.A. de toute les boites virtuelles.

Par contre, on avait aussi la plus grosse dette, on avait viré tous les ouvriers pour sous-traiter, notre chaîne de prod était vendue,&nbsp; les salariés restant en grève après 4 mois d’impayés, et on avait un procès pour fraude au fesse.

Mais on avait “gagné” , pour les profs.

C’est là que je me suis dit qu’en tant que société humaine on était foutu.

&nbsp;



&nbsp;

&nbsp;

&nbsp;



C’est un vrai échec mais ce n’est qu’une partie de la société qui est concernée. J’ai travaillé pendant 2 ans avec Linagora, qui nous faisaient du support Linux/Unix de niveau 4, et certes, il ne s’agissait que de 6 personnes de chez eux en face de nous, mais ils étaient compétents et agréables.



Peut-être n’était-ce que l’arbre qui cache la forêt, mais c’est simplement pour dire que tout n’est pas à jeter dans cette société. Une branche ou un service est à revoir, sans doute une partie du management, mais espérons que cela servira d’électrochoc.


Ca me rappelle une aventure dans l’entreprise familiale (petit commerce alimentaire) :&nbsp;

On faisait appel à un cabinet d’experts comptables, pour certifier notre comptabilité.

Habitués à travailler avec de plus grosses entreprises, chaque année au moment du bilan ils commentaient la “santé” de notre entreprise, avec graphiques et pictogrammes explicites.

Suite au départ (volontaire) d’une partie des effectifs, on a radicalement changé notre fonctionnement : le chiffre d’affaire a été divisé par 2, la rentabilité a nettement augmenté, et la charge de travail (de chacun) divisée par … 4 !

Pour les “experts” tous les voyants étaient au rouge, ils n’ont jamais compris en quoi c’était positif …


Ce post fait du bien, merci !


MDR… Ca fait trop trop peur ton anecdote…<img data-src=" /><img data-src=" />



Cela dit ça confirme bien l’intuition que j’avais sur les causes profondes de nos problèmes actuels…



Du coup si tu me dis que c’est pareil partout, sachant que ça doit être le coeur del’enseignement depuis largement plus de 10 ans…



Oui en effet on est grave mal barrés. <img data-src=" />


Ah je te confirme qu’au niveau “technique” la plupart des gens sont pros, amènes et aussi compétents qu’ils peuvent l’être (j’entends par rapport au fait qu’ils ne peuvent pas toujours être placés au mieux par rapport à leur profil).



Ce qui est logique : la plupart viennent dans ce type de boîte parce que ce sont des passionnés. Et de mon expérience en tout cas, passionné et branleur ça va pas bien ensemble. :)



Cette boîte aurait pu devenir un monstre (au sens positif du terme) avec un autre management.


Comme le dit stratic un peu plus haut : “Une société qui ne cherche pas a gagner du fric, c’est une société qui va obligatoirement faire faillite. Je ne pense pas que ce soit un bon plan.”



Ce ne doit pas être son unique motivation , je suis d’accord avec toi, mais une société (entreprise dans notre cas) qui ne cherche pas à faire de l’argent, c’est une société dont le capital diminue et finira par disparaître.



Dans ton exemple de troc, l’objectif c’est bien d’assouvir les besoins primaires.

Aujourd’hui, l’argent est le besoin primaire des sociétés.


On est d’accord <img data-src=" /> Donc on lit ici le récit de n’importe quelle société.


Bingo <img data-src=" />


Je confirme <img data-src=" />

&nbsp;Et c’était la solution de messagerie interne lors de mon passage en 2016 chez eux aussi.


“Un pognon de dingue” que nous coute… Macron et ses LREM <img data-src=" />


&gt; Si Linagora ne sais pas sécuriser OBM, Qwant aurait peut être dut demander a Bluemind



Joli troll <img data-src=" />








joma74fr a écrit :



Dans l’extrait que tu cites, je voulais dire que ce n’est pas spécifique aux entreprises du numérique (c’est “général”). Et oui, je trouve ça stupide. Par exemple chez les journalistes, les grosses boîtes comme BFMTV paient des jeunes journalistes (parce qu’un “junior” est moins cher qu’un vrai enquêteur sénior qui est spécialisé dans un sujet spécifique depuis plus longtemps) pour traiter de sujets dont ils s’occupent que 2 ou 3 ans et ensuite ils traitent d’autres sujets qui n’ont rien à voir. Le résultat est qu’ils disent n’importe quoi au grand public.




 D'où tu vois que je ne peux pas saquer les cadres ? D'où je généralise ? Tu changeras jamais mon pauvre. C'est pas parce que tu es cadre dans ta structure qu'il faut te sentir viser et imaginer que je catégorise les gens comme tu peux le faire comme là, à l'instant.







<img data-src=" /> Je n’ai jamais dit que tu ne saquais pas les cadres: c’était pour te montrer les conneries qu’on peut dire en généralisant par exemple.

Tu as du mal à comprendre ce qu’on écrit: c’était pourtant écrit noir sur blanc (ou l’inverse)



Tu vois, moi aussi je peux dire n’importe quoi à partir de généralisations à 2 sous.



<img data-src=" />



Quant à ta deuxième réponse, tu as du loupé le qualificatif “certains” dans mon commentaire.

Que je réitère d’ailleurs: n’étant jamais mieux servi que par soit-même, les idéalistes de l’open source devraient se regrouper pour monter leurs propres solutions et travailler dans une boite qui leur correspond.

Si cela fonctionne, je serai le premier à applaudir et à utiliser leurs produits.



Bizarre .. dans mes cours d’économies ( pas de FAC/ ecole de commerce )

&nbsp;le principal but d’une entreprise est d’assurer sa&nbsp; pérennité , ( enfin je trouve ça plus vertueux dit comme ça que “ Faut du fric plus de fric !”&nbsp; )



Après ça dépend des profs comment ils apprennent








Citan666 a écrit :



@manhack d’ailleurs à ce sujet ça m’étonne que t’aies pas évoqué le différend BlueMind / Linagora avec leur opération de com nauséabonde sur le site “lavéritésurbluemind”. Là, dans la série “état d’esprit open source communautaire”, on était bien… <img data-src=" /> <img data-src=" />





L’article, qui m’a pris beaucoup de temps, était déjà fort long, et je n’avais ni le temps d’enquêter sur cette affaire connexe, ni donc d’éléments pertinents et recoupés me permettant de la lier à l’affaire en cours



Ok. Je comprends bien. <img data-src=" />



Pour info, en bref il y a toute une action en contrefaçon et concurrence déloyale parce que Linagora a racheté la boîte à l’origine d’OBM, les patrons respectifs se sont brouillés, et l’ex patron de l’ancienne boîte est partie en refonder une nouvelle en reprenant une partie du code source (libre) pour faire une nouvelle solution.&nbsp;



Entre autres actions de contre-attaque / rétorsion / défense / whatever, le PDG de Linagora a jugé bon de monter un site “laveritesurbluemind.net” dans lequel il présente de manière extrêmement engagée et partiale des extraits de mails internes de Bluemind récupérés lors d’une perquisition (et, oui, ça m’a vachement surpris aussi, apparemment rien ne t’empêche de publier des mails -pourtant données confidentielles- dès lors qu’ils ont été amenés au procès comme pièce).



Et disons que ce site reflète malheureusement très bien la vraie mentalité du PDG (et à mon sens fait honte à la communauté dans son ensemble)…


“Aujourd’hui, l’argent est le besoin primaire des sociétés.”



Ou comment réillustrer de bien belle manière ce que je dénonce : la confusion entre la fin (besoin) et le moyen.

L’argent est le moyen. Pas la fin.&nbsp;

D’ailleurs, ce n’est pas le seul moyen, même si c’est le plus usuel et le plus simple. Tu peux aussi conclure un partenariat avec d’autres sociétés dans lesquelles tu échanges des services ou tu mets en commun des moyens techniques / humains soit pour avancer dans la construction d’un nouveau produit, soit pour diminuer tes coûts.&nbsp;

Là encore, l’argent peut être utilisé comme échelle d’évaluation des apports respectifs, mais ce n’est pas systématique. Et on a bien une “entrée” qui n’est pas de l’argent mais qui aide la société à vivre.








Elwyns a écrit :



Bizarre .. dans mes cours d’économies ( pas de FAC/ ecole de commerce )

&nbsp;le principal but d’une entreprise est d’assurer sa&nbsp; pérennité , ( enfin je trouve ça plus vertueux dit comme ça que “ Faut du fric plus de fric !”&nbsp; )



Après ça dépend des profs comment ils apprennent&nbsp;





En fait, de ce que j’en comprends , au niveau des économistes il y a plusieurs courants. Dans un certain cadre,&nbsp; la pérénité d’une entreprise dépends directement de sa capacité à “faire du fric”, que ce soit ensuite pour croitre (investissement, embauches , dev à l’export, …) ou pour rémunérer les actionnaires.

Après , l’enseignement de l’économie dans les écoles a peut être changé à la lumière de ce qu’on sais aujourd’hui et de la diversité de l’objet social des entreprises qui est rendu possible.

&nbsp;



Merci pour cet article de fond, c’est très intéressant.


Très beau travail, bravo. <img data-src=" />








Furanku a écrit :



Notre président a beau vanter ces entreprises (en même temps il a participé à leur création en tant que Ministre de l’Economie), elles ne sont qu’éphémères et elles participent, indirectement, à l’écroulement de notre économie (écroulement dans le sens où elles elles creusent réellement le déficit).

Son modèle de Startup Nation est bel et bien voué à l’échec (pour ceux qui en doutaient).





Tu racontes un peu n’importe quoi.

Rien que pour reprendre la dernière phrase, “son modèle” supposé, tu en as une définition précise, un document écrit, un discours construit ?







KP2 a écrit :



Elles ne sont pas toutes comme ça quand même…



Un bémol quand même, Linagora a été créé bien avant l’idée de la FrenchTech… Ils ont fait du chemin quand même.





Nan mais attends, tu t’adresses à un grand expert #ouPas .

(bien entendu je partage ton commentaire)







KP2 a écrit :



Néanmoins, ils semblent qu’ils ont bien réussi à prendre le pli de la pompe à subvention…

Je pense pas qu’elles participent à un écroulement quelconque (déjà que parler d’écroulement est assez étrange vu les indicateurs économiques actuels qui sont plutôt pas mal globalement et meilleurs que ces 10 ou 12 dernières années) mais c’est clairement pas la bonne façon de faire, je pense.





J’ai connu Linagora à sa création, j’avais même été tenté (et j’avais un pote dans la place) quelques années après, et déjà à l’époque on jasait un peu sur la grand gueule du PDG, que j’ai parfois entendu prendre la parole dans des salons.

Clairement, son positionnement était de répondre aux appels d’offres des ministères pour fournir de la prestation, jusque-là rien de mal (et puis il avait quelques bons éléments dans ses équipes). Probable qu’il a fini par tirer sur la corde, en tous cas je crois qu’au départ il avait fait le pari d’arriver à 10 ME de CA pour sa boîte et il l’a fait.







KP2 a écrit :



Le gouvernement Macron, comme tous les gvt avant lui, ne fonctionne qu’avec l’idée qu’il faut arroser d’argent publique l’économie pour qu’elle tourne alors que ce que veulent les entreprises, c’est avant tout qu’on leur lâche la grappe… et notamment en desserrant la pression fiscale.

Et vu la constance de cette idée depuis des décennies malgré les alternances gouvernementales, je ne pense pas que le gvt ait une grande influence là dessus finalement et je me demande si le lobbying interne à Bercy n’aurait pas tendance à être bien plus fort qu’on ne peut l’imaginer…

(et on pourrait se poser exactement la même question au sujet de la politique de sécurité de la France et notamment de la politique liée à la surveillance intérieure…)





<img data-src=" />

Très bien vu.



Le gros problème de ce que tu dis (surtout sur le prix final), c’est particulièrement que si tu veux du bien fait, avec compétence et sécurité, comme ça existe aussi en Chine (les ouvriers et concepteurs chinois ne font principalement qu’exécuter la commande qu’on leur passe, aussi pourrie ou géniale soit elle) et l’organisation et le coût du travail étant plus intéressants, ils resteront moins chers à qualité égale.



Voire moins chers et de meilleures qualité et plus dans les temps sur le nucléaire <img data-src=" />


Pour ma part j’estime que se pose de plus en plus des questions de souveraineté sur la sécurité des échanges électroniques de type courriels.



&nbsp;Est-il raisonnable de laisser au secteur privé abreuvé de fonds publics un tel projet, de plus je suppose

sans réelle mise en concurrence (ce qui d’ailleurs pose de vraies question juridiques).



Une adresse de courriel devrait être un élément d’identité et géré par un service public dépendant de ministère de la Défense (ou de l’Intérieur) garantissant l’anonymat et avec des protections contre les violations comme le phishing, placé sous l’égide de la CNIL, sachant qu’on obligera personne à l’utiliser

car chacun sera libre &nbsp;d’aller dans le secteur privé s’il le souhaite



Il faudrait réinventer l’équivalent de l’ancien service public postal et le secret des correspondances qui va avec.



A noter que si ce service était gratuit, l’Europe n’aurait rien à dire sur le respect des principes d’ouverture à la concurrence qui ne s’applique que sur le secteur marchand.


Ouais bah ils feraient mieux d’installer plusieurs instances d’Exchange configuré avec TLS obligatoire et faire un plugin pour le support PGP. Ça n’a rien de compliqué à faire.


Ça peut être assez difficile pour une team sécurité de se faire entendre face au bulldozer de l’avancement fonctionnel avant tout. Même si la mise en sécurité n’est pas difficile techniquement, la réponse est toujours que c’est pas prioritaire et que ça viendra dans une v2 (laquelle v2 ne contiendra pas d’upgrade se sécurité parce que c’est pas prioritaire, mais promis la v3 corrigera tout…)



A un moment, la seule méthode qui reste, c’est de faire remonter le plus haut possible qu’en l’état, l’avis SSI sera bien négatif. Assumer de prendre une décision contraire à cet avis est plus difficile pour les grands chefs que de faire semblant de ne pas savoir.



Forcément quand tu écris qu’en l’état c’est pas validable et que tu ne crois pas à la fable de la v2 qui corrige tout, ça fait catastrophiste, mais c’est probablement ce qui se serait passé si le mail n’avait pas eu ce ton. C’est une sorte de prédiction auto-pas-réalisatrice <img data-src=" />








deathscythe0666 a écrit :



Voire moins chers et de meilleures qualité et plus dans les temps sur le nucléaire <img data-src=" />





Si tu parles de l’EPR, ils n’ont que deux parmi trois. Les raisons de retard en France ont amené à des vérifications supplémentaires en Chine, et ô surprise, ils avaient les mêmes tracas. Sans nous ça passait sous le radar, parce que leur “avance” ne sort pas de nulle part : moins de sécurité sur le chantier, moins de contrôle des résultats.

La qualité c’est là ou ils gagnent le temps et l’argent, mais c’est le plus important dans ce domaine. Une centrale en retard produit en retard ; une centrale qui explose ne produira plus jamais rien <img data-src=" />









OlivierJ a écrit :



Tu racontes un peu n’importe quoi.

Rien que pour reprendre la dernière phrase, “son modèle” supposé, tu en as une définition précise, un document écrit, un discours construit ?





Grand bien t’en fasse, libre à toi de penser cela <img data-src=" />

Mais tu n’as sérieusement jamais entendu parler de sa vision de société en mode “startup nation” ? Tu n’as jamais entendu ce terme sortir de la bouche de Macron ? Tu vis dans une grotte ?



Mon commentaire généralise volontairement. Linagora n’est pas une société récente, mais aux yeux de nos politiques elle a tout de même tout d’une “startup” car étant dans les nouvelles techno, etc. Et on voit là tout le non sens du terme tel qu’utilisé par nos politiques, qui promulguent ce type d’entreprise au comportement douteux et néfaste (en leur “offrant” des marchés publiques entre autre).



A ce titre, le dernier numéro de Virus Info fait part d’un courrier de lecteur tout à fait pertinent à ce sujet.









Furanku a écrit :



Mais tu n’as sérieusement jamais entendu parler de sa vision de société en mode “startup nation” ? Tu n’as jamais entendu ce terme sortir de la bouche de Macron ? Tu vis dans une grotte ?





Je vais me répéter : as-tu une source, au lieu de répéter des “on dit” et autres ?

(pour début d’info, l’expression “startup nation” ne désigne pas un projet de société mais s’applique à un aspect seulement, et l’expression est volontairement un peu une boutade, sans pour autant que le fond soit fantaisiste)







Furanku a écrit :



Mon commentaire généralise volontairement. Linagora n’est pas une société récente, mais aux yeux de nos politiques elle a tout de même tout d’une “startup” car étant dans les nouvelles techno, etc. Et on voit là tout le non sens du terme tel qu’utilisé par nos politiques, qui promulguent ce type d’entreprise





Là encore, des propos sans aucune démonstration concrète, juste du vague “nos politiques”, etc.







Furanku a écrit :



au comportement douteux et néfaste (en leur “offrant” des marchés publiques entre autre).





Linagora fait partie des sociétés qui répondent aux appels d’offres des marchés publics, et est en concurrence avec toutes les grandes, dont Atos et Cap, qui elles aussi vivent bien des marchés publics, je t’assure.



Bref…


Tu me fais un peu sourire, croire que les Chinois ne savent pas faire aussi bien que nous, c’est naïf voire un peu teinté de racisme (pas forcément conscient). Qu’ils mettent souvent ces critères en bas de la liste des priorités est vrai mais ça ne les empêche pas de savoir aussi faire les choses aussi bien voire mieux (par la capacité de savoir mettre les moyens financiers et humains en face de leurs ambitions) que nous. Ça fait un peu mal au c*l de l’admettre parce que la Chine a été longtemps un suiveur, mais elle prend aujourd’hui la tête sur quelques domaines, et ça va en s’accélérant.



Là où ils gagnent le temps et l’argent, c’est sur les salaires et l’organisation (qui découle notamment du fait que pouvoir avoir plus d’employés pour le même prix permet des organisations des fois plus efficaces).


<img data-src=" />



Un abonné heureux, quand je vois vos enquêtes je sais pourquoi je paye un abonnement ! Vous arrêtez pas il faut lutter face à ces gens en place publique !