Qwant Mail : le #fail de Linagora
login:root / mdp:Linagora2016
Le 10 janvier 2020 à 14h00
33 min
Internet
Internet
L'ex PDG de Qwant avait expliqué le retard de QwantMail par un « problème de sécurité qui nous a poussé à tout reprendre ». Son équipe SSI avait en effet découvert de nombreuses failles sur une plateforme de Linagora, le « leader français du logiciel libre », destinée à tester QwantMail. Plusieurs ex-salariés déplorent une éthique « privacy by design » de façade.
Annoncé mi-juin 2018 à l'occasion de l'inauguration de son nouveau siège parisien, Qwant Mail était censé voir le jour dans une première version publique avant fin 2018. Pourquoi s'y lancer ? « Parce que les utilisateurs nous demandent du mail avec les engagements de Qwant », répondait alors Éric Léandri, son ex PDG. « L'hébergement, ce n'est pas notre métier de base, mais il y a une demande forte, alors on le fait ». Pas de service en marque blanche donc.
Six mois plus tard, et quelques jours avant Noël, Qwant annonçait avoir noué un partenariat avec Linagora. Ce dernier se présente comme « le leader français du logiciel libre » et se targue d'équiper « près de la moitié de l’État Français permettant ainsi à la France d’être parmi les champions en terme d’eGov au niveau mondial ».
Sa plateforme OpenPaaS, basée sur la suite collaborative OBM (elle-même dévelopée par Linagora), se veut une alternative à celles (mail, chat, calendrier, office etc.) des GAFAM, plus particulièrement Microsoft 365 et la G Suite de Google. Qwant Mail devait alors voir le jour avant le deuxième trimestre 2019, selon ses dirigeants, et « dans une première version test sans chiffrement ».
« Nous travaillons sur la sécurisation des échanges, précisait Michel-Marie Maudet, directeur général de Linagora. Il faut que nous puissions trouver le moyen de les chiffrer de bout en bout car les usages sont différents de ceux en entreprises que nous gérions jusque-là. La feuille de route est définie, mais cela prend du temps ». Sur Twitter, @Qwant_fr n'a eu de cesse, depuis, de répéter que « Qwant Mail arrive bientôt, promis ;-) », en vain.
En septembre 2019, Clubic publiait une interview d'Éric Leandri, présentée comme une « sorte de droit de réponse » aux problèmes pointés du doigt par de nombreux journalistes et médias ces derniers mois (dont Next Inpact, voir Qwant : en finir avec l'omerta).
À défaut de vraiment répondre aux problèmes auxquels il était confronté, l'ex PDG de Qwant y révélait que, « s'agissant de Qwant Mail, nous avions eu un problème de sécurité l'année dernière, qui nous a poussé à tout reprendre. Nous avions réussi nous-mêmes à trouver des failles de sécurité et à nous hacker. Donc il n'était pas possible de diffuser le service en l'état ».
Les mots de passe root étaient en clair sur le wiki
Nous avons pu récupérer la copie d'un courriel intitulé « Alerte autour de Qwant Mail », adressé le 19 février dernier par l'équipe en charge de la sécurité informatique (SSI) de Qwant à la direction de la société.
Censée « lever l'alerte une ultime fois sur le choix du partenaire Linagora pour le developpement de Qwant Mail dans les conditions y étant associées », la missive compilait une longue liste de problèmes de sécurité identifiés sur une infrastructure mise à disposition par Linagora pour prototyper Qwant Mail. « Afin de récapituler le contexte pour tous, poursuivait-il, nous avions observé les mois précédents les aberrations suivantes ».
En vrac, l'équipe SSI de Qwant avait ainsi découvert qu'y étaient « exposées » des données (« compte LDAP bot mattermost, administrateur Gitlab, Tokens admin DockerHub, Gitlab interne, Github et compte admin Jenkins ») permettant de lire mais également d'écrire « sur l'ensemble des repos » (dépôts), et donc aussi de « corrompre les builds » (versions de code exécutable), « supprimer l'organisation Linagora de Github », et même « corrompre l'ensemble des instances clients obm utilisateurs etc... ».
Le cas du Wiki était encore plus problématique : « presque tous les mots de passe root des clients OBM (communautés de communes, villes, SDIS, etc...) » y étaient « exposés publiquement », ainsi que le « mot de passe administrateur du gitlab interne (root / Linagora2016) ! ».
Non content d'offrir la « possibilité de dumper (ou supprimer, backups compris) l'ensemble des mails et contacts des plateformes clients », des droits d'« administration du cluster OVH cloud (512 vcpu, 80To storage, 4 To RAM) », le courriel déplorait également le fait d'avoir pu accéder à un dossier intitulé « CONFIDENTIAL/Qwant », capture d'écran à l'appui : « À titre d'exemple, voici ce qui est accessible par tout le monde (Il me semble que nous sommes sous NDA, et de voir un dossier CONFIDENTIAL accessible par tous... ça fait tâche si vous voyez ce que je veux dire...) ».
Déplorant « ces multiples négligences caractérisées et manquements aux règles élémentaires de sécurité et de bon sens », la SSI estimait le projet Qwant Mail infaisable : « Il nous apparaît que l'entreprise Linagora est gérée n'importe comment depuis sa création et que nous courrons tout droit à la catastrophe si nous nous associons à eux pour ce projet dans les conditions qu'elle impose », eu égard à « la simplicité enfantine avec laquelle nous avons trouvé ces différents mots de passes. Aucun exploit ou technique sortant de l'ordinaire n'ont été utilisés ».
« Toutes les gesticulations agiles/barcamp et autres seront stériles, poursuivaient-ils, tant que Linagora n'est pas correctement administrée et ne montre aucun signe rassurant quant à la maîtrise de son exposition et du sérieux qu'impose la nature de son activité ».
« Dans ces conditions, nous vous redemandons, une dernière fois, que le support du chiffrement des mails soit une option non-négociable pour toute V1 de QwantMail avec Linagora », de sorte qu'aucune donnée ne figure en clair sur les serveurs de Qwant Mail, et qu'elles soient chiffrées sur les terminaux de leurs utilisateurs, sur le principe du chiffrement bout en bout. « Le cas échéant, nous ne nous porterons pas caution de ce projet dont nous réalisons, de fait, la portée uniquement politique et dont l'intérêt nous dépasse en tant qu'employés, aussi professionnellement que d'un point de vue éthique ».
Pour eux, et en l'état, « le chiffrement futur éventuel proposé est à notre sens une chimère et le service tournera avec des mails en clairs jusqu'à "L'attaque", qui arrivera, avec certitude. Les retombées en cas de compromissions ciblées silencieuses de boites mails ou d'un dump de l'ensemble des mails (en plus en clair), seraient catastrophiques pour les utilisateurs et évidemment fatales pour Qwant. Ainsi il est de notre responsabilité de vous prévenir, ici, une dernière fois, du risque encouru, à réaliser un service d'hébergement de boîtes mails dans ces conditions et avec ce prestataire, ce après quoi nous ne répondrons plus de rien et pourrons attester de cette alerte dés lors qu'il le sera necessaire pour nous... »
En guise de conclusion, l'équipe SSI rappelait que « des solutions alternatives opensource existent toujours, on a par exemple le projet https://leap.se maintenu par RiseUp (association militante particulièrement exposée, gère depuis plusieurs années des dizaines de milliers de boites mails sensibles à l'international) ».
Elle précisait à ce titre qu'« il a été possible d'installer une instance fonctionelle en quelques heures et celle-ci répond au besoin initial : service de mails chiffrés automatiquement par le serveur de façon transparente, support d'openpgp, support mails standards, plugin Thunderbird. Cette solution necessite en l'état un peu de travail côté utilisateur, mais manque seulement de fonctionalités en facilitant l'utilisation ».
Le nom de code (et de domaine) de cette préfiguration sécurisée de Qwant Mail ? https://boitenoi.re, qui n'est plus en ligne, mais dont Google a gardé la trace.
« Le choix de Linagora engagerait notre responsabilité »
Guillaume Champeau, directeur éthique et affaires juridiques de Qwant, répondait dans la foulée qu'il ne pouvait que « donner un avis très défavorable à la poursuite des travaux avec Linagora », au motif que « rien ne serait plus désastreux, à la fois pour l'image et la responsabilité de Qwant, qu'un piratage des messages privés de nos utilisateurs ».
« Sur le plan juridique, je rappelle que c'est notre responsabilité, en tant que responsable de traitement, de s'assurer de la fiabilité de notre sous-traitant », précisait-il : « vu la sensibilité des mails et le nombre d'utilisateurs dont nous sommes susceptibles d'héberger les messages, nous avons l'obligation juridique via l'article 35 du RGPD d'effectuer un Privacy Impact Assessment (PIA) et d'adapter notre politique de sécurité au risque de violation de ces données et à la gravité d'une atteinte à leur protection ».
« On ne pourrait pas nous reprocher le choix d'un prestataire que nous pensions fiable et que nous avions correctement audité, en revanche le choix de Linagora en toute connaissance de cause engagerait notre responsabilité », concluait-il.
« Nous partageons les mêmes craintes quant aux risques de sécurités qui entourent l'entreprise Linagora, surtout pour un produit aussi sensible que le mail » leur répondait, le lendemain, Jean-Charles Chemin, en charge du projet Qwant Mail : « Je ne te cache pas que je suis extrêmement surpris et déçu d'apprendre qu'ils aient traité les failles que vous avez remontées d'une façon si légère !! »
Pour autant, il se disait « certain qu'après les premiers échanges avec vous, ils vont revoir leurs objectifs ! », mais n'en précisait pas moins qu'« au-delà de l'aspect contractuel qui doit nous couvrir, mais qui ne protégera jamais notre image de marque, je pense qu'il faut vraiment qu'on s'assure d'un investissement total de leur part sur les aspects sécurité. Si malgré cet ultime avertissement, ils ne prennent pas les choses au sérieux, nous n'aurons plus d'autre choix que de renoncer à ce projet ».
A fortiori parce qu'« en ce qui concerne le chiffrement et l'utilisation d'une solution comme leap.se, c'est vrai que ça limiterait les risques en cas d'attaques ». Cependant, « si l'on souhaite proposer une "Suite" (Mail, Agenda, Contact, Drive, Doc...) grand public, les solutions chiffrées n'existent pas ou ne sont pas du tout user-friendly. Par exemple boitenoi.re que tu conseilles n'est pas utilisable sous Windows ». Le service requiert l'installation d'un client, Bitmask, ne fonctionnant pour l'instant que sur macOS, Android et certaines versions de GNU/Linux.
« Absence de sonde, d'audits, de politique, de BugBounty et de responsable sécurité »
Lors d'un barcamp réunissant les équipes de Qwant et de Linagora du 25 février au 1er mars 2019 (dont nous nous sommes également procurés un compte-rendu), l'équipe SSI du premier identifia par ailleurs « plusieurs anomalies » de type cross-site scripting (XSS) sur la partie client web d'OpenPaas. Elle déplorait que « Linagora [n'ait] pas mis en place de contre mesure globale efficace contre ce type d'attaque », tout en reconnaissant que « la protection contre les XSS dans les mails est beaucoup plus complexe que dans du contenu web classique ».
« D'un point de vue plus général, poursuivait-elle, les anomalies suivantes ont également pu être identifiées :
- L'absence de sonde réseau (IDS)
- Manque de process de sécurité :
- Absence de revue de code régulières orientées sécurité
- Absence d'audits réguliers du produit et des infrastructures
- Absence de BugBounty »
Notant que « le principal besoin de Qwant est le chiffrement de bout en bout des mails en PGP (ProtonMail like) » et qu'« aujourd'hui OpenPaas ne répond pas à ce besoin », la SSI estimait qu'« après concertation des équipes il apparait qu'un reforge complet du client mail est la meilleure solution à envisager ». Elle suggérait « d'utiliser comme base le WebClient OpenSource fourni par ProtonMail qui répond à la plupart des besoins ».
La SSI de Qwant ne s'en disait pas moins prête à « accompagner Linagora afin de procéder à un transfert de compétences et de jouer le rôle d'accélérateur dans ce processus de mise en conformité sécurité » et, « sous réserve d'acter contractuellement les points cités ci-dessus le projet QwantMail peut démarrer en parallèle de la mise en conformité sécurité de Linagora ceci dans le but de perdre le moins de temps possible. Pour conclure la team SSI et la team Infra de Qwant sont favorables à cette collaboration. »
« Nous avons bien sûr décidé de porter plainte »
Contacté, Qwant nous répond qu'« il nous est impossible de commenter sur des échanges techniques et commerciaux couverts par la nécessaire confidentialité des affaires. Toutes les options sont ouvertes sur le ou les partenaires avec lesquels nous lancerons Qwant Mail. De façon générale, Qwant fait un travail systématique d'analyse profonde de la sécurité de ses services et de ses éventuels partenaires technologiques, et n'engage pas de mise en production sans avoir réuni au préalable toutes les garanties suffisantes ». Ce que l'audit permet de vérifier.
Linagora, que nous avions également contacté début novembre, a réclamé des délais pour nous répondre. À l'époque, Qwant ne lui avait pas fait suivre cet audit de sécurité, que Guillaume Champeau leur a depuis transmis, en prévision de la publication de notre enquête. Dans son email, que Linagora nous a fourni, le directeur éthique & affaires juridiques de Qwant précise : « Nous avons bien sûr décidé de porter plainte pour sa diffusion qui s'inscrit hélas dans une série de fuites de documents confidentiels soigneusement choisis et sortis de leur contexte ».
En l'espèce, nous ne publions pas l'intégralité de l'audit, mais uniquement les extraits (expurgés des constats « alarmistes », voire erronés) confirmés par Linagora. Ce, dans le contexte de nos enquêtes sur Qwant en particulier, et des questions et enjeux en matière de sécurité informatique, de protection de la vie privée et de logiciels libres et open source en général. A fortiori parce que l'audit explique aussi pourquoi le lancement de Qwant Mail a été reporté sine die.
Guillaume Champeau y recontextualise par ailleurs les termes de cet audit : « Pour précision, aucun mail hébergé par Linagora n'a été accédé par nos équipes qui ont uniquement procédé à des constats de vraisemblance de possibilité d'accès via différents scénarios d'attaques, ce qui a ensuite donné lieu au Barcamp pour relater tous ces points et y remédier en parfaite collaboration entre vous et nous. Un message destiné à l'externe aurait bien sûr été beaucoup plus prudent dans ses conclusions ».
« Il s’agit de tests effectués sur un environnement de test »
Dans un autre email que Linagora nous a transmis, le RSSI de Qwant précise aujourd'hui qu'« à l'époque, on voyait les discussions sur le projet avancer, avec la crainte que la sécurité serait vue après le reste. Cet email avait pour but de tirer la sonnette d'alarme et bien faire prendre conscience à tous les niveaux de la direction de Qwant de l'importance de discuter de la sécurisation le plus tôt possible, pour éviter de perdre du temps sur une solution qui ne nous conviendrait pas en bout de course. Cet email et les rapports envoyés avaient pour but de faire un électrochoc, ce qui a pu fonctionner à l’époque. »
« Pour le travail de fond, conclue-t-il, après le barcamp il a été montré une réelle volonté de la part des équipes de Linagora d’aller de l’avant et de progresser. Nous nous étions mis d’accord pour implémenter des protocoles beaucoup plus sécurisés, Linagora était très à l’écoute de nos conseils et remarques afin de s’améliorer, c’est une chose que l’on ne peut pas nier ! »
Il précise par ailleurs que « pour les failles lors du barcamp que nous avons pu remonter il s’agit de tests effectués sur un environnement de test et non sur un environnement de production. Il ne prouve alors en rien que toutes ces failles étaient présentes sur l’environnement de production. »
Linagora souligne à ce titre que le mail du RSSI de Qwant a été écrit le 19 février 2019, soit quelques jours avant le Barcamp, et que « dans ce laps de temps nous avons corrigé tous les points qui avaient été partagés par Qwant », ce que confirme les conclusions du compte-rendu du barcamp.
De plus, l'absence de sonde réseau, d'audits réguliers de sécurité et de programme de bug bounty s'expliquerait du fait que « les plateformes utilisées n’étaient pas destinées à passer en production. Encore une fois, il s’agissait d’une plateforme de tests ». Conséquemment à la « la montée de la cybercriminalité, Linagora a renforcé en 2019 son dispositif lié à la gestion de la SSI. À ce titre, nous utilisons depuis quelques semaines la suite OWASP ZAP qui permet au moment du build d'OpenPaaS de faire le check du TOP 10 de l’OWASP. Ce dernier étant est un projet visant à maintenir à jour la liste des 10 risques de sécurité les plus critiques affectant les applications Web dont les injections XSS ».
Par ailleurs, et « dans le cadre du renforcement de notre SSI, nous avons programmé pour l’année 2020 la mise en place d’une certification ISO 27001 par un cabinet d’audit et de certification. L’objectif étant évidemment de garantir à nos clients la sécurité de leurs données et de valider l'organisation ainsi que le bon fonctionnement au quotidien de notre SSI ».
« C’est clairement une erreur et une faute »
« Nous ne nions donc pas avoir eu quelques problèmes de sécurité au moment où l’équipe sécurité de Qwant a regardé nos systèmes (quelle entreprise n’en a d’ailleurs jamais eus) », poursuit Linagora : « vous pouvez cependant noter la célérité avec laquelle ces problèmes ont été résolus ».
L'entreprise tient également à souligner que « les failles dont vous parlez ne concernent AUCUNEMENT le produit OpenPaaS ou la production de notre (future) service de messagerie commun avec la société Qwant, mais l’infrastructure de développement d’OpenPaaS et l’hébergement des plateformes de démonstration utilisées par Linagora : aucun de ces sujets ne remettait en cause la sécurité des infrastructures en production des clients de Linagora ».
Suite à ces travaux avec Qwant, Linagora « a par ailleurs procédé à un audit complet de son infrastructure, renforcé globalement la sécurité de son système d’information », et lancé « une campagne de changement de l’ensemble des mots de passe internes et clients et des dispositifs d’accès aux infrastructures et des applications exploitées par Linagora ».
« L'existence de mots de passe en clair dans le wiki est une faute et c’est un usage contraire à notre PSSI », reconnaît Linagora. « C'est malheureusement une pratique qui a été utilisée dans le passé par une équipe de support produit en dehors du contrôle de la SSI pour partager les infos importantes clients (contrat, numéros de contact, @IP des machines, comptes d’accès) au sein d'une base de connaissance centralisée basée sur un wiki. Nous avons depuis interdit ce mode de fonctionnement ».
À l'en croire, « le seul vrai problème que vous soulevez provient des comptes disponibles en clair sur un wiki interne normalement protégé, mais qui a été facilement accessible quelques jours. C’est clairement une erreur et une faute. Cette double erreur (comptes en clair et serveur non protégé) a été corrigée immédiatement après l’avoir identifiée. La faute (non respect des principes de base en matière de SSI en exposant des comptes en clair) n’a pas été sanctionnée, mais a permis de renforcer l’attention de la société sur ces sujets et a été le déclencheur d’une campagne de mise en conformité de grande ampleur avec notre Politique SSI. Nous n’avons pas sanctionné cette faute, parce que nous faisons confiance à nos collaborateurs. Il s’agit d’une négligence importante (par facilité) mais nous savons que l’intention n’était pas de nuire ».
Linagora « est semblable à Qwant par bien des aspects »
D'après nos informations, cette négligence ne relèverait pas seulement d'une « erreur » ni d'une « faute », mais également du hiatus existant entre les valeurs affichées par l'entreprise, et les conditions de travail en interne. Plusieurs ex-salariés nous ont en effet contacté, sous couvert d'anonymat, suite à nos précédentes enquêtes sur Qwant, au motif que leur ex-employeur « est semblable à Qwant par bien des aspects ». « Quand j'ai lu votre article sur Leandri, j'ai vu ce qu'on est beaucoup à avoir vécu avec Zapolsky », le PDG de Linagora, enchérit un autre.
Ils pointent du doigt « son utilisation de l'argent public » qui, à les en croire, relèverait plus d'une forme d'« open source & privacy washing » que d'un engagement sincère et véritable en la matière, au point de leur faire « craindre que l'aspirateur à argent public ne se remette en marche ».
À l'instar de ce qui se passe chez Qwant, le turn-over serait très important à Linagora, et de nombreux salariés ont quitté l'entreprise ces derniers temps (jusqu'à 12 pour le seul mois de décembre 2018, sur près de 200 employés). Ceux avec qui nous nous sommes entretenus expliquent être partis après avoir découvert le hiatus séparant le discours tenu publiquement par Linagora et la réalité des développements en interne, ainsi qu'au vu de la « toxicité du management ».
Les « méthodes brutales » d'Alexandre Zapolsky avaient déjà fait l'objet d'un article de Mediapart qui, en 2017, en avait dressé un portrait peu flatteur, ressemblant étrangement à celui que nous avons pu établir d'Éric Leandri (voir Qwant : en finir avec l'omerta). Plusieurs ex-salariés de Linagora y déploraient déjà le turn-over hors norme, dû en partie aux « techniques de management cruelles, se basant sur la peur, utilisées par le PDG auprès de ses employés et de son équipe de managers », PDG qualifié de « bonimenteur au fonctionnement clanique » par une ancienne DRH.
D'après nos interlocuteurs, Zapolsky se serait depuis calmé, mais ils n'en déplorent pas moins « condescendance, harcèlement, humiliation, promesses non tenues, mépris du droit du travail » au sein de l'entreprise. La qualité du travail s'en ressentirait crûment : « Le développement logiciel ne suit aucune logique, aucune structure, aucune priorité. Tout laisse à croire qu'on fait le minimum pour justifier les financements publics dont bénéficie l'entreprise, mais bien loin de moyens nécessaires à la réalisation de l'ambition affichée. Une entreprise qui repose sur une image, mais creuse en dedans, qui ne s'enrichit que sur la pompe à fric de l'État ».
« Après 6 ans de développement et environ 13 millions d'euros de subventions publiques, OpenPaaS, le produit phare de l'entreprise destiné à équiper l'administration française et offrir une alternative libre et crédible aux GAFAM, n'est toujours pas fiable » renchérit un autre : « Nous pensions que la direction prendrait enfin la mesure du problème connu de tous, mais rien n'a changé par la suite ».
Un troisième déplore que la direction « se demandait comment ils allaient pouvoir modifier OpenPaas pour que ça puisse rentrer dans le système de Qwant ». Or, « comme ils galèrent à recruter, ils priorisent : les clients potentiels avaient plein de besoins, il fallait rajouter des fonctionnalités pour le vendre, et tous les 4 matins les objectifs changeaient, on nous demande de le faire, alors que personne n'est calé là-dedans, puis on nous demande de passer à autre chose », alors qu'ils n'avaient pas fini de boucler la demande précédente.
Un quatrième précise à ce titre qu'« OpenPaaS, qui en l'état est lui-même un prototype (pourtant développé depuis 5 ans), propose la seule implémentation connue à ce jour du serveur Apache James, qui est lui même un prototype. En résumé, QwantMail s'appuie sur la partie mail d'OpenPaaS, qui s'appuie sur James : c'est un prototype d'un prototype d'un prototype. Et tout ça, c'est développé en grande partie à l'aide de fonds publics, et son industrialisation est un échec. »
« Il faudrait déjà qu'il y ait des responsables sécurité... »
Interrogé au sujet de Qwant Mail, l'un de nos interlocuteurs explique que « c'était utopique, intenable : les performances voulues étaient bien supérieures à ce qu'on pouvait envisager avec le produit en l'état ». « Il faudrait déjà qu'il y ait des responsables sécurité... », nous répond-il par ailleurs quand on l'interroge sur la présence de responsables sécurité dans les équipes de développement des logiciels : « Il y a eu des gens dont c'était pourtant la formation, mais on les faisait coder... juste coder ».
« À ma connaissance, personne de calé en sécurité ne travaillait sur OpenPaas », nous a ainsi expliqué l'un des ex-salariés. « Pas de responsable de la sécurité, manque de moyen, manque d'effectifs et de personnel compétent, machines obsolètes », renchérit un troisième. « Y'a clairement pas de compétences à Linagora pour faire du mail chiffré », précise un quatrième.
Un cinquième enchaine : « Il fut un temps question d'adopter le protocole Signal dans la future application Android qui devait concurrencer WhatsApp, mais sans succès : cette tâche a été confiée à des personnes totalement étrangères au sujet. La motivation n'était pas d'implémenter le protocole pour le respect de la vie privée mais de pouvoir en faire un élément de communication. De toute façon, il n'y a pas d'ingénieur en crypto, donc impossible de designer ou d'implémenter intelligemment quoi que ce soit de ce type ».
Un sixième nous répond : « Lol : il n'y a pas ou peu de pratiques de sécurité chez Linagora. Le chiffrement E2E n'est pas implémenté ».
La SSI a été transférée à un nouveau DSI, arrivé en août
Linagora, à qui nous avons fait lire les témoignages que nous avons recueillis, les conteste vigoureusement. Nous avons retiré certaines accusations que nous n'avons pas pu recouper, mais gardé celles que nous avons pu vérifier, ou qui étaient corroborées par plusieurs anciens salariés, et bien évidemment intégré les réponses apportées par la société à celles que nous avons retenues.
« Il est totalement faux d’affirmer que nous n’avions pas de RSSI », nous répond ainsi Linagora : « depuis la création de la société, la gestion de la SSI de Linagora est sous la responsabilité directe de Michel-Marie Maudet, co-fondateur et Directeur des Opérations de Linagora. Avec 20 ans d’expérience dans Linagora et avant cela en ayant débuté sa carrière pendant plusieurs années comme expert Linux du Ministère de la Défense, Michel-Marie dispose de toutes les compétences requises pour assumer pleinement les responsabilités qui sont celles de RSSI ».
De plus, et « pour animer la gouvernance technologique, il s’appuie sur une équipe resserrée de 6 leads techniques disposant chacun d’une grande expérience professionnelle, d’un background technique Open Source très important et est bien entendu compétente concernant la gestion de la SSI au quotidien ». À sa charge, « sensibiliser l’ensemble des collaborateurs de la société aux enjeux de la sécurité informatique et des bonnes pratiques à développer pour éviter les risques cyber ».
En tout état de cause, « la société dispose bien de compétences, en particuliers au niveau de nos produits dédiés à ces domaines, PKI et gestion d’identités. Nos collaborateurs travaillent au quotidien sur des sujets de sécurité : SAML, OpenID Connect, Chiffrement, OpenSSL... Certes ces personnes ne sont pas directement comptées dans l’équipe OpenPaaS, mais nos équipes travaillent ensemble, collaborent et co-développent conjointement à chaque fois que nécessaire. A titre d’exemple, nous pouvons citer David Carella qui est expert PKI, qui dispose de plus de 10 ans d’ancienneté dans la société et de 15 d’expérience professionnelle ».
Par ailleurs, « Linagora dispose depuis plusieurs années d’un correspondant CNIL dont les missions ont évolué pour devenir aussi le responsable de traitement des données (RT) dans le cadre de la mise en œuvre du RGPD » qui, s'il est « de formation juriste, assure des séances de sensibilisation à nos collaborateurs sur les enjeux de la collecte et du traitement des données à caractère personnel et veille à l’application des mesures organisationnelles et techniques pour sécuriser les données à caractère personnel ».
Linagora n'en reconnaît pas moins que « la croissance des activités de la société et l’évolution des cyber risques nous ont amené à renforcer notre pôle informatique interne qui dispose depuis août 2019 d’un Directeur Informatique qui a en charge la sécurité opérationnelle des plateformes exploitées par Linagora ». En outre, « la responsabilité de la mise en œuvre opérationnelle de la Sécurité des Systèmes d’Informations (SSI) a été transférée à ce nouveau DSI, qui est sous l’autorité directe de Michel-Marie Maudet, qui reste notre officier de sécurité ».
Sur son site, OpenPaaS revendique le fait d'être « Privacy, Open & Ethical by Design ». « Ah oui. Ça c'était devenu une blague entre salariés et anciens de la boîte », nous rétorque l'un de nos interlocuteurs. « En interne ça veut rien dire du tout, déplore un second : Linagora n'est pas une entreprise éthique, ce qui intéresse Zapolsky, c'est de faire de l'argent ».
« C'est du buzzword », précise un troisième : « Je dirais qu'encaisser une grosse dizaine de millions d'euros d'argent public pour passer six ans à développer un logiciel de mail qui ne sait pas envoyer de mails n'est pas très éthique. Comme toutes les contradictions qui tiraillent Linagora, toutes ces entorses étaient un sujet de rires jaunes, surtout lorsqu'Alexandre se parait des atours du chevalier blanc. Le plus dur était de passer tous les jours devant la photographie représentant Richard Stallman posant dans les locaux avec les équipes. Le décalage était très troublant ».
À l'instar de ce que nous avions découvert au sujet de Qwant, ce hiatus relèverait en partie du turn-over : « des seniors avaient bien travaillé sur le projet. Mais au fur et à mesure que les rares seniors partaient, dégoûtés, ils n'ont été remplacés que par des juniors et stagiaires alors que le projet était en développement actif (et carrément pas stable) ».
Un autre qualifie ces revendications « * by design » de « simples buzzwords, l'équivalent en open source du green washing (on pourrait imaginer une nouvelle expression : open source washing / free software washing). Beaucoup, dont moi, sont venus à Linagora car ils croient sincèrement en l'open source, à l'informatique libre, à créer des alternatives à des groupes puissants. Linagora dévoie ces concepts, les met au service d'un intérêt mesquin, mauvais ».
Des accusations là encore vivement contestées par Linagora : « Il est de notre point de vue profondément injuste de nous attaquer sur cette question des valeurs, qui encore une fois sont au coeur de notre projet. Il n’y a que très peu d’entreprises à notre connaissance qui s’engagent à ce point sur le respect des grands principes du Logiciel Libre. Nous n’avons jamais été aussi engagés concernant les valeurs éthiques et open source qu’aujourd’hui. Et notre engagement ne cesse de croître. Nous vous demandons donc de prendre toute la distance nécessaire à un travail d’enquête objectif, d’éviter tout amalgame en prenant pour argent comptant ce que pourrait être des témoignages d’humeur ou pour le moins subjectifs. Il faut éviter les caricatures dans un sens comme dans un autre ».
Linagora, à qui nous avons accepté de faire lire ces témoignages avant publication, déplore qu'ils soient « tous à charges, et que les récriminations sont parfois très violentes, voire diffamatoires », et nous répond vouloir « sortir de toute polémique, de tous propos passionnels et attaques personnelles ».
Nous n'en avons pas moins décidé, au vu de la concordance des six témoignages recueillis, de publier les propos et explications qui se recoupaient, tout en mettant de côté les accusations que nous n'avons pas pu corroborer. Nous ne doutons pas que de nombreuses autres entreprises traitent de manière tout aussi légère les enjeux de sécurité informatique et de protection de la vie privée, mais c'est aussi pour illustrer les problèmes que cela peut engendrer que nous avons décidé de l'exposer : une chose est d'afficher, façon « chevaliers blancs », sa conformité RGPD, une autre est de se doter des moyens et processus de la mettre en oeuvre (et donc d'éviter le syndrome « faites de ce que dis, pas ce que je fais »).
« Il y a bien deux apprentis mais il n'y a pas de stagiaires »
« Ceci étant posé, Linagora n’est pas « hors sol », explique par ailleurs l'entreprise : « nous sommes sur un secteur en tension du point de vue de l’emploi, nous ne sommes pas les seuls à chercher des personnes talentueuses et nous connaissons comme n’importe quelle autre société des mouvements de personnel ».
Linagora présentait OpenPaas::NG, son projet initial, comme « un projet de recherche subventionné par l'état français instruit par la Bpifrance (Banque Publique d'Investissement) dans le cadre du programme PSPC (Projet Structurant Pour la Compétitivité), labéllisé par le pôle de compétitivité Cap Digital et financé par le gouvernement français dans le cadre du programme des Investissements d'Avenir ».
D'une durée de 4 ans, le projet, entamé le 1er avril 2015 afin de « créer une suite collaborative Open Source concurrente des Apps de Google ou d’Office 365 », via un financement de 11 millions d'euros, était censé finir le 31 mars 2019. Alors qu'il bénéficiait de mises à jour mensuelles depuis le lancement de sa V1.1 en juillet 2018, la dernière release d'OpenPaas date du 21 juin. Interrogée à ce sujet, Linagora nous répond travailler avec « 2 grands clients sur l'industrialisation d'OpenPaas pour réaliser des déploiements en production tout début 2020 », et a depuis mis en ligne, fin novembre, la RC1 de la prochaine version.
Linagora souligne par ailleurs que le développement d'OpenPaaS représente 50 années/homme, celui d'Apache James 125 années/homme, soit l'équivalent de 25 ETP (équivalent temps plein) par an, et qu'à ce jour, « l’équipe core d’OpenPaaS est constituée de 33 personnes et l’ancienneté moyenne de l’équipe est de 4 ans. Il y a bien deux apprentis dans ces effectifs mais il n’y a pas de stagiaire ». De plus, ses collaborateurs ont « réalisé ces dernières années près de 27 conférences internationales dont certaines en catégorie A+ (la plus prestigieuse) et a procédé à la publication de 45 articles scientifiques ».
Questionnée sur la part de ressources publiques dans son chiffre d'affaire, Linagora nous répond qu'elle « devrait valoriser dans ses comptes pour le programme OpenPaaS environ 390 000 euros de subvention dont 214 000 euros sous la forme d’avances remboursables », qu'elle va aussi valoriser dans ses comptes pour sa plateforme LINTO d'interface vocale « environ 276 000 euros », et que « ces programmes de subventions représenteront environ 5 % des revenus de la société ».
« Bienvenue Brother ! »
Évoquant notamment le scandale Cambridge Analytica, Alexandre Zapolsky plaidait, en octobre 2018, pour une « troisième voie numérique », censée « s'articuler autour de l'éthique », et permettre à notre pays de devenir celui des « Lumières 2.0 ». À l'en croire, « en positionnant le numérique français et européen autour de la notion d’éthique, de souveraineté numérique et de privacy by design (respect de la vie privée dès la conception), nous adopterons une identité propre face aux modèles chinois et américains ».
Sur son site personnel, sa biographie précise qu'« il est passionné par les enjeux de protection des données personnelles, de cybersécurité ». Membre du Conseil national du numérique au titre des personnalités issues du secteur du numérique depuis mai 2018, Alexandre Zapolsky, dont le bandeau de profil Twitter est un selfie pris avec Emmanuel Macron, précise aussi sur LinkedIn être membre du parti En Marche! « depuis le 1er jour ».
Sur Twitter, Zapolsky qualifiait Éric Leandri, en février dernier, cinq jours seulement après l'audit de sécurité, de « mon ami », avant de lui répondre « Bienvenue Brother ! » suite à son premier tweet, début juin. Le 1er juillet, suite aux premières révélations de La Lettre A, il prenait sa défense : « Total soutient à mon collègue @Eric_Leandri ! Les jaloux et les idiots s'acharnent sur lui et sa société @Qwant_FR. Ce dénigrement est insupportable. Pour une fois qu'en France nous avons enfin un vrai leader... Moi je fais confiance à cette grande gueule ! », avant de préciser que « derrière toutes ces attaques il y a des acteurs qui ont intérêts à ce qu'aucune concurrence n'émerge ».
Il suivait en cela la ligne de défense de Leandri qui, à défaut de répondre aux questions et problèmes identifiés par les journalistes, filait la théorie du complot. Fin juillet, Zapolsky publiait un selfie de lui avec « mon copain @Eric_Leandri », à l'occasion d'une soirée pour « réfléchir à la souveraineté numérique ».
En l'espèce, c'est précisément le hiatus existant entre les propos tenus publiquement et les conditions de travail vécues en interne qui ont entraîné plusieurs ex-salariés à nous contacter. Et, à l'instar de nos enquêtes sur Qwant, nous avons décidé d'en rendre publics les témoignages concordants à mesure qu'ils permettent de mieux comprendre ce pourquoi certaines promesses n'ont pas (encore) été tenues.
Interrogé des dizaines de fois au sujet de Qwant Mail lors de son AMA sur Reddit, Éric Leandri a répondu que « c'est un projet qui nécessite une sécurisation totale, une qualité de service maximale dès le premier jour », que « Qwant Mail ne sera pas gratuit, parce que vous n'êtes pas le produit. Il n'y aura pas de pub, et nous n'exploiterons pas vos données ». Le projet serait en phase de « finalisation ».
Linagora, de son côté, nous explique que « la vraie raison du fait qu’il n’y ait pas encore de Qwant Mail sur une base OpenPaaS n’est pas à chercher du côté de la sécurité mais bel et bien du temps nécessaire à finaliser un accord entre nos deux sociétés. Préalable au développement de Qwant Mail, un accord de partenariat doit être signé entre les sociétés Qwant et Linagora. À date, cet accord est toujours en discussion entre les deux sociétés ». Et d'ajouter : « nous espérons signer cet accord fin 2019/début 2020 ». Il « conditionne le démarrage des travaux et la date d'une première mise à disposition de l'offre Qwant Mail l'été 2020 ».
Dans l'interview qu'il vient d'accorder à Les Numériques, Jean-Claude Ghinozzi, le nouveau PDG de Qwant, indique que « concernant le développement d'un email avec la privacy au coeur, ce sera annoncé dans les prochaines semaines ».
Qwant Mail : le #fail de Linagora
-
Les mots de passe root étaient en clair sur le wiki
-
« Le choix de Linagora engagerait notre responsabilité »
-
« Absence de sonde, d'audits, de politique, de BugBounty et de responsable sécurité »
-
« Nous avons bien sûr décidé de porter plainte »
-
« Il s’agit de tests effectués sur un environnement de test »
-
« C’est clairement une erreur et une faute »
-
Linagora « est semblable à Qwant par bien des aspects »
-
« Il faudrait déjà qu'il y ait des responsables sécurité... »
-
La SSI a été transférée à un nouveau DSI, arrivé en août
-
« Il y a bien deux apprentis mais il n'y a pas de stagiaires »
-
« Bienvenue Brother ! »
Commentaires (115)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 10/01/2020 à 15h09
« Linagora dispose depuis plusieurs années d’un correspondant CNIL dont les missions ont évolué pour devenir aussi le responsable de traitement des données (RT) dans le cadre de la mise en œuvre du RGPD » Le Cil qui évolue en RT -> haha, celui qui a rédigé ça n’a pas été suffisamment sensibilisé et ne l’a pas fait relire à son délégué à la protection des données.
Le 10/01/2020 à 15h14
Tiens, surpris par le nombre de publis, je cherche sur le site de Linagora, je trouve ça : liste des publis
J’en prends une au hasard: “Parallelism and conflicting changes in Git version control systems. In Proceedings of the Fifteenth International Workshop on Collaborative Editing Systems, Portland, Oregon, United States. 2017.“Voici le PDF:https://hal.inria.fr/hal-01588482/file/iwces15_Parallelism-and-conflicting-chang… deux auteur.e.s sont du LORIA, je ne vois aucune mention de Linagora ni de OpenPaas. Étrange, non ?
Le 10/01/2020 à 15h19
D’ailleurs ça serait marrant @manhack de voir si y’en a une seule qui a été faite par linagora.
Le 10/01/2020 à 15h21
oula… que de choses qui me semblent plausibles et sont confortées par mon expérience personnelle avec certains acteurs dont il est question ici…
Je vais juste mettre mon grain de sel sur un point : “290k€ de subventions” => ça c’est une réponse à côté de la question.
Si le ministère a passé un contrat avec Linagora, (sous forme de prestation, en régie ou au forfait) ça n’est pas compté comme subvention. Une subvention, c’est “cadeau, je te donne X€, je n’attends ‘rien’ en retour”. Donc cette réponse n’exclut pas le fait que le ministère ait contractualisé 11M€ (ou plus, ou moins) avec Linagora. Avec, par exemple, un état mensuel d’avancement technique, ou de ressources consacrée au sujet. Et on facture chaque mois. C’est tout à fait classique dans les SSII (et ce n’est d’ailleurs pas critiquable).
Et ces millions sont bien de l’argent public, “gaspillé” dans le sens ou il n’y a toujours pas de produit à mettre en face.
Ah, et 50 années hommes, ça fait 10 000 journées de travail si je compte bien. A 500€ la journée, ça ne fait que 5M€ toujours si je compte bien. Je n’imagine pas que Linagora vende tous ses développeurs 1100€ la journée (qu’il faudrait pour faire 11M€), donc il y me semble qu’il y a une chtite bizarrerie dans ces chiffres.
Le 10/01/2020 à 15h21
J’ai entendu des histoires sur Linagora assez chaudes sur les techniques de gestion RH musclé (au premier sens du terme), ce qui est dit là ne fait que confirmer…
Le 10/01/2020 à 15h22
Merci pour le dossier très révélateur de méthodes de management toujours aussi dévastatrices… Par contre, je lis un article particulièrement à charge contre Linagora (ce que je comprends au vu des révélations), et je comprends l’association avec Qwant dans le texte, mais je me questionne sur la pertinence de le mettre dans le titre (même si Qwant cumule les casseroles, ici, à part le fait que ce sont des “copains”, Qwant a a priori plutôt fonctionné de façon normale, et même positive en repoussant les échéances).
Par ailleurs, je trouve que certains passages sont fortement des “copier-coller” de témoignagne avec un petit manque de traitement journalistique (ce que je ne trouvais pas dans les précédents dossier de JMM).
Dans tous les cas, encore une fois, merci, car le travail a dû être de longue haleine, et pas toujours très agréable (notamment le moment où vous montrez les passages à Linagora)
Le 10/01/2020 à 15h23
Le 10/01/2020 à 15h30
Pas nécessairement, y a tout ce qui est frais de fonctionnement interne (locaux, hébergement, matériel, etc.)
Le 10/01/2020 à 15h35
Ce #fail explique en partie le retard de Qwant Mail, je ne pouvais pas ne pas le mentionner dans le titre, mais oui, l’équipe SSI de Qwant a “fait le job”; après, ça m’a effectivement pris énormément de temps, j’y bosse depuis des mois, mais ne pouvais pas ne pas “copier-coller” les témoignages puis les réponses de Linagora (après avoir fait un gros tri dans les deux cas) vu qu’il s’agit d’un “he said-she said”… Mais merci !
Le 10/01/2020 à 15h44
Merci d’avoir pris la peine d’apporter ces précisions !
Concernant Qwant, je ne suis pas du même avis. De mon très subjectif point de vue, je pense que centrer ça sur Linagora aurait eu plus de sens, avec un paragraphe (précédé d’un sous-titre) explicitement sur Qwant décrivant les liens (connaissance + retard du projet), ça aurait été tout aussi envisageable et déjà suffisant.
Concernant le C/C des commentaires, c’est vrai qu’avec l’approche “commentaire + réponse”, ça aurait probablement été difficile de faire autrement (et effectivement, il est indiqué plusieurs fois que seuls les accusations concordantes et/ou vérifiées sont reprises, déjà rien que ça, quel travail).
As I said, great job " />
Le 10/01/2020 à 15h57
Comme toujours, tu fait un beau travail Manhack.
Le 10/01/2020 à 16h08
#done : https://members.loria.fr/CIgnat/projects/
Le 10/01/2020 à 16h10
ah oui, intéressant :) Le lien est très ténu quand même.
Le 10/01/2020 à 16h12
on sent bien que depuis l’article sur Qwant et le feu nourrit qui en a découlé, ça met de gros parapluies dans l’article pour se prémunir d’attaques de la boite citée (ce qui en l’empêchera pas de pester de toute façon…)
teuf à changé de numéro de téléphone? " />
/troll
très bon article, bravo pour le boulot!
Cela explique bien le pourquoi du retard de Qwant Mail, et doit être lu avec pas mal de recul.
Les premiers mails du SSI de Qwant étaient assez catastrophistes et présageaient un arrêt brutal et définitif du projet. on voit avec l’évolution de l’article que les erreurs insurmontables ont finalement été surmontées, et pour la plupart assez vite.
Le 10/01/2020 à 16h27
Bel article !
En passant pour Linagora, il n’y a que moi que ça choque la capture d’écran avec du webmail avec des floutages approximatifs sur leur site vitrine de l’openpaas ?
Le 10/01/2020 à 17h06
JH cherche société tech qui ne cherche pas à gagner du fric, avec des employés heureux, et qui n’a aucun retard sur ces projets " /> (même s’ils sont peu pertinents au regard des solutions existantes sur le marché)
Le 13/01/2020 à 11h51
Je n’ai pas lu qu’il considérait les chinois comme moins compétant mais comme moins exigeant en terme de sécurité. Pour l’EPR, il me semble qu’ils n’ont pas modifié leur conception suite à Fukushima alors qu’en France EDF a été obligé de le faire.
En revanche, les chinois ont d’excellents ouvriers ce que la France a perdu en se désindustrialisant.
Le 13/01/2020 à 12h41
Le 13/01/2020 à 12h58
Mouais, il y a des analyses (françaises) des chantiers de Taishan qui confinent à la mauvaise foi, surtout pour un peu moins perdre la face (on est devenus des brêles à force de ne rien faire; autant on est très bons en exploitation, autant en neuf, c’est même plus raccrocher les wagons c’est construire le train ce qu’on doit faire).
La vérité est surtout que les Chinois ont été plus pragmatiques, certaines erreurs trouvées ont été testées en conditions opérationnelles pour voir si les pièces satisfont malgré tout aux contraintes qu’elles doivent supporter, quand c’est le cas, elles restent en place, quand ce n’est pas le cas, elles sont changées (et ça s’est fait plus vite qu’à Flamanville grâce à la proximité de Taishan 2 qui pouvait servir de donneur de pièces, ça a permis de finir plus vite Taishan 1 et d’utiliser son RETEX sur Taishan 2, en plus avec les mêmes équipes). Avoir voulu à tout prix changer des pièces qui pouvaient remplir leur rôle (à Flamanville) a surtout été un acte politique (c’est-à-dire que ça n’a pas spécialement amélioré la sûreté mais ça a rassuré les citoyens).
Et il me semble aussi qu’ils ont commandé leurs cuves chez Mitsu au lieu des forges du Creusot après que ces dernières ont “démontré” la qualité du made in France.
Le 13/01/2020 à 13h12
On a abondamment commenté cette déclaration, on peut vouloir lui faire dire plein de choses. À la base, il s’agit d’encourager l’initiative et en particulier de favoriser la souplesse, et pas seulement via des startups (ça existe déjà). Je ne vois pas comment voir ça d’un point de vue négatif. Surtout ici où on aime la technique et l’innovation, et où beaucoup aimeraient que le vieux continent concurrence le nouveau (et les asiatiques).
Pour ma part, ayant pas mal bossé dans des grosses boîtes un peu “lourdes” (pour ne pas dire “pataude”), ça serait pas mal d’influer un peu plus d’esprit “startup”, toutes proportions gardées ; c’est-à-dire d’avoir plus de souplesse et d’agilité, de capacité à évoluer.
Tiré d’un article dans l’Obs :
« Etre une “start-up nation”, c’est enfin s’attaquer au chantier redoutable de l’innovation institutionnelle dans une économie en transition. [..]
Derrière cette idée, il y a un message d’optimisme. Soutenir les start-up, c’est se tourner vers l’avenir ; c’est aider les jeunes entrepreneurs plutôt que les vieux rentiers ; c’est embrasser le nouveau paradigme, celui du numérique, plutôt que cultiver la nostalgie d’une économie fordiste révolue. »
Le 13/01/2020 à 13h52
Le 13/01/2020 à 14h06
Je ne trouve pas que ce rapport soit de mauvaise foi.
Le 13/01/2020 à 14h14
Je ne sais pas qui est le “on”. Tu reproches à Furanku le manque de démonstration concrète, le “juste du vague”, c’est un peu étonnant.
Perso, je suis assez en accord avec lui (au sujet de Linagora qui est vue comme une startup de la french tech par nos politiques). D’ailleurs, elle est plutôt bien référencée sur le portail “Les Pépites Tech” qui se pose comme le “l’annuaire officiel des startups de la French Tech dans le monde”.
“Favoriser la souplesse”, “avoir plus de souplesse et d’agilité”, qu’est ce que ça signifie à la fin ? Vrai question hein, c’est quoi ?
Pouvoir disposer comme on l’entend des ressources humaines ? Se détacher du système social et solidaire français, cette fameuse pression fiscale ?
Scander “privacy by design” sans le faire et c’est pas grave, comme nous l’apprend ce papier de JMM ?
Je trouve bien des façons de voir ça d’un point de vue négatif oui - bien qu’il y ait certainement de bonnes choses aussi.
Étonnamment, je ne suis pas certain qu’ici on aime tant la technique et l’innovation au sens où nos gouvernements les présentent.
Si tu as pas mal connu les grosses structures, j’ai vu passer quelques startup moi (comme salarié, comme “créateur”, comme “consultant”).
De ces expériences, j’en retiens que la majorité des “entrepreneurs” ne visent que l’enrichissement personnel, qu’ils sont incapables de définir une vision et souhaitent, c’est le saint-graal, la vendre le plus rapidement au plus offrant.
Oh tiens, les acheteurs seront les mêmes rentiers évoqués dans l’article de l’Obs que tu cites. C’te blague.
Le 13/01/2020 à 14h58
Le 13/01/2020 à 15h04
Très bon article, merci.
C’est édifiant ce gaspillage d’argent public, et après on s’étonne que l’univers OpenSource ne soit pas encore vraiment pris au sérieux. Mais si les grands acteurs sont des guignols, ça ne va pas convaincre les entreprises et le public…
Le 13/01/2020 à 15h06
Le 13/01/2020 à 15h07
Du journalisme de qualité. Chapeau.
Le 13/01/2020 à 15h13
Le 13/01/2020 à 15h16
Le 13/01/2020 à 15h52
C’est pour ce genre d’article complet que je suis abonné, beau travail " />
Le 13/01/2020 à 16h21
Le 13/01/2020 à 16h46
C’est très très long à lire mais bravo. " />
Et j’ai lu tous les commentaires, j’adore vous lire !
Le 10/01/2020 à 14h12
Pour avoir eu affaire à certains protagonistes nommés dans l’article, il y a plus de 15 ans, je ne suis guère étonné. Que ce soit pour les méthodes de management humain ou le côté “bonimenteur de foire”, même ce dernier était formidablement développé et redoutablement efficace. Dur de voir que, depuis, la firme a englouti tant d’argent public pour sculpter de la fumée.
Le 10/01/2020 à 14h24
Article qui semble, une fois de plus, bien complet " />
Vu la teneur des précédents rédigés par JM sur le sujet, celui-ci risque encore d’éveiller la lance à incendie du côté de Qwant.
J’ai commencé à le lire et rien que le début me laisse pantois. Et me conforte un peu plus dans l’idée que derrière des entreprises de ce type, il y surtout un brassage d’argent publique (et un énorme gaspillage), qui doit au passage finir dans certaines poches, et une question de gros égo.
Je prendrais le temps de lire le reste, tranquillement, durant le we.
Encore merci pour ce journalisme d’investigation qui, jusqu’à maintenant, a toujours visé juste et aide à ouvrir les yeux face aux discours rassurants des communications mises en place " />
Le 10/01/2020 à 14h25
Je comprends vraiment pas Qwant.
Essayer de répondre a une demande sur le mail quand leur produit phare n’arrive même a gagner des parts de marché.
Bordel concentrez vous sur le moteur pour renvoyer des résultats pertinents.
Laissez faire des acteurs déjà présent comme proton technologies, qui intègre le chiffrement et le respects de la vie privée
Le 10/01/2020 à 14h41
En l’espèce, Qwant avait délégué le job à Linagora, et c’est Linagora qui a foiré, et Qwant qui s’en est aperçu…
Le 10/01/2020 à 14h41
« Nous ne nions donc pas avoir eu quelques problèmes de sécurité au moment où l’équipe sécurité de Qwant a regardé nos systèmes (quelle entreprise n’en a d’ailleurs jamais eus) », poursuit Linagora : « vous pouvez cependant noter la célérité avec laquelle ces problèmes ont été résolus ». Euh le mot de passe “Linagora2016” il date de 2019? " />
Si Linagora ne sais pas sécuriser OBM, Qwant aurait peut être dut demander a Bluemind " />
Le 10/01/2020 à 14h52
Certes, mais ca ne change pas l’idée de mon commentaire.
Pourquoi vouloir allouer des ressources (a minima financières) au développement d’un produit qui respecte tout ce que qwant prône, non américain (GAFA), respectant la vie privée et données des utilisateurs et chiffré, quand leur moteur, a mon goût, ne tient pas la route
Le 10/01/2020 à 14h52
Merci pour ces articles passionnants ! JMM FTW ! Ces enquêtes valent largement l’abonnement
Le 10/01/2020 à 14h52
Outch, @manhack vient encore de lancer un beau pavé dans la mare de la frenchdèche… " />
Je ne connais Linagora que de réputation et c’est triste de lire ça. Dans les années 2000-2005, les jeunes linuxiens (dont je faisais partie) les regardais avec une grande envie…
On pourra dire ce qu’on veut mais je trouve ça bien de calmer un peu les boites “frenchtech” qui ne vivent que d’effets d’annonces et d’argent public (ceci expliquant cela je pense). Il faut assainir tout cela pour obtenir des bases sérieuses. C’est bien de se la jouer “Astérix” sur le numérique mondial mais pas avec du vent…
Être français n’excuse pas tout. " />
Le 10/01/2020 à 14h58
En tout cas, comme je disais ailleurs, on voit là toute la réalité de la #Frenchtech : faire de l’argent et du business en faisant porter le poids et les risques pris sur les comptes publiques.
Notre président a beau vanter ces entreprises (en même temps il a participé à leur création en tant que Ministre de l’Economie), elles ne sont qu’éphémères et elles participent, indirectement, à l’écroulement de notre économie (écroulement dans le sens où elles elles creusent réellement le déficit).
Son modèle de Startup Nation est bel et bien voué à l’échec (pour ceux qui en doutaient).
Le 10/01/2020 à 15h08
Le 11/01/2020 à 12h29
Ca me rappelle une aventure dans l’entreprise familiale (petit commerce alimentaire) :
On faisait appel à un cabinet d’experts comptables, pour certifier notre comptabilité.
Habitués à travailler avec de plus grosses entreprises, chaque année au moment du bilan ils commentaient la “santé” de notre entreprise, avec graphiques et pictogrammes explicites.
Suite au départ (volontaire) d’une partie des effectifs, on a radicalement changé notre fonctionnement : le chiffre d’affaire a été divisé par 2, la rentabilité a nettement augmenté, et la charge de travail (de chacun) divisée par … 4 !
Pour les “experts” tous les voyants étaient au rouge, ils n’ont jamais compris en quoi c’était positif …
Le 11/01/2020 à 12h41
Ce post fait du bien, merci !
Le 11/01/2020 à 12h47
MDR… Ca fait trop trop peur ton anecdote…" />" />
Cela dit ça confirme bien l’intuition que j’avais sur les causes profondes de nos problèmes actuels…
Du coup si tu me dis que c’est pareil partout, sachant que ça doit être le coeur del’enseignement depuis largement plus de 10 ans…
Oui en effet on est grave mal barrés. " />
Le 11/01/2020 à 12h50
Ah je te confirme qu’au niveau “technique” la plupart des gens sont pros, amènes et aussi compétents qu’ils peuvent l’être (j’entends par rapport au fait qu’ils ne peuvent pas toujours être placés au mieux par rapport à leur profil).
Ce qui est logique : la plupart viennent dans ce type de boîte parce que ce sont des passionnés. Et de mon expérience en tout cas, passionné et branleur ça va pas bien ensemble. :)
Cette boîte aurait pu devenir un monstre (au sens positif du terme) avec un autre management.
Le 11/01/2020 à 13h22
Comme le dit stratic un peu plus haut : “Une société qui ne cherche pas a gagner du fric, c’est une société qui va obligatoirement faire faillite. Je ne pense pas que ce soit un bon plan.”
Ce ne doit pas être son unique motivation , je suis d’accord avec toi, mais une société (entreprise dans notre cas) qui ne cherche pas à faire de l’argent, c’est une société dont le capital diminue et finira par disparaître.
Dans ton exemple de troc, l’objectif c’est bien d’assouvir les besoins primaires.
Aujourd’hui, l’argent est le besoin primaire des sociétés.
Le 11/01/2020 à 13h48
On est d’accord " /> Donc on lit ici le récit de n’importe quelle société.
Le 11/01/2020 à 13h48
Bingo " />
Le 11/01/2020 à 16h34
Je confirme " />
Et c’était la solution de messagerie interne lors de mon passage en 2016 chez eux aussi.
Le 11/01/2020 à 19h45
“Un pognon de dingue” que nous coute… Macron et ses LREM " />
Le 11/01/2020 à 23h21
> Si Linagora ne sais pas sécuriser OBM, Qwant aurait peut être dut demander a Bluemind
Joli troll " />
Le 11/01/2020 à 23h57
Le 12/01/2020 à 06h27
Bizarre .. dans mes cours d’économies ( pas de FAC/ ecole de commerce )
le principal but d’une entreprise est d’assurer sa pérennité , ( enfin je trouve ça plus vertueux dit comme ça que “ Faut du fric plus de fric !” )
Après ça dépend des profs comment ils apprennent
Le 12/01/2020 à 08h50
Le 12/01/2020 à 10h45
Ok. Je comprends bien. " />
Pour info, en bref il y a toute une action en contrefaçon et concurrence déloyale parce que Linagora a racheté la boîte à l’origine d’OBM, les patrons respectifs se sont brouillés, et l’ex patron de l’ancienne boîte est partie en refonder une nouvelle en reprenant une partie du code source (libre) pour faire une nouvelle solution.
Entre autres actions de contre-attaque / rétorsion / défense / whatever, le PDG de Linagora a jugé bon de monter un site “laveritesurbluemind.net” dans lequel il présente de manière extrêmement engagée et partiale des extraits de mails internes de Bluemind récupérés lors d’une perquisition (et, oui, ça m’a vachement surpris aussi, apparemment rien ne t’empêche de publier des mails -pourtant données confidentielles- dès lors qu’ils ont été amenés au procès comme pièce).
Et disons que ce site reflète malheureusement très bien la vraie mentalité du PDG (et à mon sens fait honte à la communauté dans son ensemble)…
Le 12/01/2020 à 10h48
“Aujourd’hui, l’argent est le besoin primaire des sociétés.”
Ou comment réillustrer de bien belle manière ce que je dénonce : la confusion entre la fin (besoin) et le moyen.
L’argent est le moyen. Pas la fin.
D’ailleurs, ce n’est pas le seul moyen, même si c’est le plus usuel et le plus simple. Tu peux aussi conclure un partenariat avec d’autres sociétés dans lesquelles tu échanges des services ou tu mets en commun des moyens techniques / humains soit pour avancer dans la construction d’un nouveau produit, soit pour diminuer tes coûts.
Là encore, l’argent peut être utilisé comme échelle d’évaluation des apports respectifs, mais ce n’est pas systématique. Et on a bien une “entrée” qui n’est pas de l’argent mais qui aide la société à vivre.
Le 11/01/2020 à 08h07
répondre aux demandes fortes ne devrait pas être leurs motifs
Sauf si ils ne cherchent pas répondre aux demandes mais uniquement à capter des fonds…
Le 11/01/2020 à 08h07
Le 11/01/2020 à 08h19
Une société qui ne cherche pas a gagner du fric, c’est une société qui va obligatoirement faire faillite. Je ne pense pas que ce soit un bon plan.
Le 11/01/2020 à 09h38
Le 11/01/2020 à 09h55
Le 11/01/2020 à 09h58
Le 11/01/2020 à 10h00
Quand je lis les commentaires d’anciens salariés, on peut voir chez certains une incompatibilité entre leur perception du monde du travail et celui d’un salarié d’entreprises.
Je comprends qu’entre l’idéalisme qui les motive et la réalité le choc puisse être brutal: mais dans ce cas ils ne trouveront jamais leur bonheur nul part et se plaindront en permanence quel que soit les efforts faits (j’en ai connu quelques un comme cela).
Je leur suggère donc, en plus de s’épancher dans NXi, de se regrouper et de monter eux mêmes leur propre boite. Le pire c’est que cela pourrait marcher et permettrait du coup de donner vie à leur idéal de travail.
Le 11/01/2020 à 11h19
“ Société qui ne cherche pas à gagner du fric, là ca devient problèmatique, c’est un peu le but d’une société. ”
Avoir pour objectif de “gagner de l’argent” c’est n’avoir aucun objectif en fait, aucune vision, aucune dynamique de fond. Ca peut marcher dans certains cas (nouveau marché, flouze de départ permettant d’artificiellement se maintenir, ou grosse capacité à pipoter les investisseurs qui pipent rien à la technique pour se placer dans le contexte de l’article) et pour un temps (jusqu’à ce qu’un concurrent sérieux arrive où que les mensonges commencent à transpirer trop fort).
Le 11/01/2020 à 11h21
J’ai rigolé en lisant le sous-titre… et puis j’ai lu l’article ah c’était vraiement le mot de passe root " /> " />
Le 11/01/2020 à 11h36
Faire le jugement à l’emporte pièce, de la capacité d’INpactiens à “résister” aux galères classiques du monde du travail, ne te grandit pas.
Il y a toujours des difficultés dans les entreprises, on trouve toujours des gens qui sont incompétents, bornés, requins (parfois les trois à la fois) qui peuvent suffir à pourrir tout un groupe structuré.
Ca c’est “normal” et on n’y peut effectivement rien, c’est la manière dont la société humaine se construit, t’as des proportions minimales de chaque mentalité si j’ose dire. " /> Le truc c’est que généralement, ce sont bien des proportions gérables.
De la même manière, tu as des entreprises qui sont gérées par la terreur, mais dont les employés peuvent tout de même trouver leur compte par la thune / l’apprentissage / le fait d’agir en correspondance avec ses valeurs.
Le cas Linagora, c’est l’instrumentalisation semi-délibérée et semi-réfléchie* des pires techniques de pression et manipulation mentale (j’ai pas envie de m’étendre sur le sujet, mais je sais de quoi je parle contrairement à toi).
Dans d’autres entreprises ça peut passer malgré tout parce qu’il y a des compensations / une distance / des contre-pouvoirs suffisants pour contenir ou réduire la nuisance psychologique qui en découle. Le problème est que rien de tout cela n’existe à Linagora puisque le pouvoir est concentré dans la famille. Plus le salaire non optimal dirons-nous gentiment. Plus la gestion de projet qui part dans tous les sens. Plus en effet la profonde dissonance cognitive entre les valeurs affichées et les actions concrètes du quotidien.
En bref, ce n’est pas du tout un cadre “normal”.
*Je dis semi car je pense pas que le PDG ait conscience de sa propre toxicité, et je doute qu’il arrive un jour à le comprendre puisqu’il n’a jamais écouté ceux qui lui disaient et lui-même ne se remet jamais en cause. Je pense que l’on pourrait sérieusement s’interroger sur sa qualification au regard de ce type d’article The Guardianil coche beaucoup de cases " />
@manhack d’ailleurs à ce sujet ça m’étonne que t’aies pas évoqué le différend BlueMind / Linagora avec leur opération de com nauséabonde sur le site “lavéritésurbluemind”. Là, dans la série “état d’esprit open source communautaire”, on était bien… " /> " />
Le 11/01/2020 à 11h38
AH oui apparemment Marie-Christine d’EDF n’a pas encore signée la demande d’achat !
https://open-paas.org/wp-content/uploads/2018/09/cropped-bannerop.jpg
Le 11/01/2020 à 11h39
Dans l’extrait que tu cites, je voulais dire que ce n’est pas spécifique aux entreprises du numérique (c’est “général”). Et oui, je trouve ça stupide. Par exemple chez les journalistes, les grosses boîtes comme BFMTV paient des jeunes journalistes (parce qu’un “junior” est moins cher qu’un vrai enquêteur sénior qui est spécialisé dans un sujet spécifique depuis plus longtemps) pour traiter de sujets dont ils s’occupent que 2 ou 3 ans et ensuite ils traitent d’autres sujets qui n’ont rien à voir. Le résultat est qu’ils disent n’importe quoi au grand public.
Le 11/01/2020 à 11h45
C’est ça, quand on se montre critique, c’est qu’on est idéaliste… Putain, je n’aimerais pas être ton collaborateur. Qu’est-ce qui te fait dire que ces gens qui critiquent ne se bougent pas ? C’est pas parce que tu ne critiques pas que tu es bien dans ta structure. Si vraiment ça ne va pas, c’est un coup à finir en burn out.
Le 11/01/2020 à 11h51
Le 11/01/2020 à 11h54
Le 11/01/2020 à 12h18
C’est un vrai échec mais ce n’est qu’une partie de la société qui est concernée. J’ai travaillé pendant 2 ans avec Linagora, qui nous faisaient du support Linux/Unix de niveau 4, et certes, il ne s’agissait que de 6 personnes de chez eux en face de nous, mais ils étaient compétents et agréables.
Peut-être n’était-ce que l’arbre qui cache la forêt, mais c’est simplement pour dire que tout n’est pas à jeter dans cette société. Une branche ou un service est à revoir, sans doute une partie du management, mais espérons que cela servira d’électrochoc.
Le 10/01/2020 à 17h15
Encore un gros pavé jeté dans la marre aux canards. Mais quel pavé, j’ai beau être déconnecté de tout ça (parce que bon, je ne suis pas un gros développeur, tout juste j’arrive à bricoler du PHP), je n’en reste pas moins stupéfait de voir tout ça et de voir surtout le gâchis que ça génère. ^^’
On est décidément pas doué pour donner les subventions et faire des partenariats avec les bonnes boîtes…
En tout cas, beau travail, attention aux tirs de ripostes par contre. " />
Le 10/01/2020 à 17h15
Approximatifs en effet, on devine assez facilement les noms… " />
Le 10/01/2020 à 17h25
Mais de quoi parle-ton ? 5, 11, voire 13 millions d’euros sont évoqués dans l’article et les commentaires à propos de ce projet OpenPass : C’est ridicule non ?
Je connais très mal de le marché du développement professionnel, et que très mal les défis quotidiens des grands projets de développements tels que ceux de Lingora. Néanmoins, je connais un peu les acheteurs publics. Pour moi, les premiers coupables ici ce sont eux. J’ai vraiment beaucoup de mal à imaginer que même avec du temps et de l’extrême bonne volonté, il soit possible de développer une alternative crédible aux solutions équivalentes développées pars un GAFAM avec un budget pareil… Il manque à minima un zéro, sinon deux non ?
Au delà du montant du projet OpenPass, quid des défaillances de la “maîtrise d’ouvrage” publique ici ?
Le 10/01/2020 à 17h41
Merci pour cet article, à la fois instructif et…drôle? (dans le genre tragi-comique " />)
C’est le risque avec les investissements publics - que certains construisent leur business pour en récolter le maximum, quitte à s’arranger avec la réalité. Je suis pas un expert en la matière, mais quand l’Etat “investit”, je pense qu’il devrait aussi devenir actionnaire et jouer un rôle de surveillance…
Le 10/01/2020 à 18h01
Que Linagora soient des nuls, ce n’est pas nouveau. Ça reste quand même la boîte à cause de qui les députés ne sont plus sous linux (infoutus de leur faire fonctionner un groupware décent en 5 ans, je comprends qu’ils aient jetés l’éponge).
Mais à ce point…
Le 10/01/2020 à 20h01
Bravo, bel article !
Le 10/01/2020 à 20h09
J’ai vu la réponse que JMM vous adresse.
Je ne crois pas que cela soit si étrange que ça.
En tout cas, j’ai bien connu un cas très similaire : j’ai publié deux papiers avant l’abandon du doctorat où il m’était interdit de donner quelconques informations qui puissent identifier l’acteur privé qui finançait mes travaux.
A mon avis, c’est monnaie courante ce genre de cas.
Étrange ? Alors pas vraiment. Gênant ? Là oui, un peu plus…
Le 10/01/2020 à 20h10
Si j’envisageais une reconversion dans le métier de développeur, ces articles de Jean-Marc Manach m’ont passablement refroidi. Il paraît que la profession est en “tension” et qu’elle rémunère bien, mais personnellement ce n’est pas une ambiance de travail qui me convient.
Le 10/01/2020 à 20h21
À un moment donné, il faut revenir sur le plancher des vaches et ne pas laisser penser aux financeurs publics et au grand public que le e-learning, les Mooc et les Spoc sont aussi efficaces que les formations en présentiel tout en coutant moins cher et que le “digital” est l’alpha et l’omega de la formation du futur.
Le 10/01/2020 à 22h47
Le 10/01/2020 à 23h59
C’est quand même fort de café de prétendre que des problèmes de sécurité sur l’infra de développement ne peuvent en aucun cas impacter la production.
Le 11/01/2020 à 01h27
A la base, la boite a été lancée grâce à un arrangement (1er contrat) avec l’armée, dixit l’ex libriste de l’armée.
Le 11/01/2020 à 06h15
« L’hébergement, ce n’est pas notre métier de base, mais il y a une demande forte, alors on le fait »
Voila pouquoi.
Et c’est pour moi la source de nombres de problèmes de Qwant, vouloir répondre aux demandes fortes ne devrait pas être leurs motifs.
Le 11/01/2020 à 06h29
Ca existe pas :)
Surtout que plus la boite est grosse, plus il y a des employés “non-productif” (au sens qui rapporte de l’argent, c’est tout utile un secrétaire qui va gérer la mutuelle et la paye) plus la société va chercher à gagner du fric.
Le 11/01/2020 à 06h33
+1
Il est à mon sens plus facile de sécuriser une infra de test qu’une infra de prod (l’infra est plus petite, tu as plus d’expérience lors du setup, etc)
Le 11/01/2020 à 07h30
Le 12/01/2020 à 12h29
Le 12/01/2020 à 13h38
Merci pour cet article de fond, c’est très intéressant.
Le 12/01/2020 à 14h34
Très beau travail, bravo. " />
Le 12/01/2020 à 16h19
Le 12/01/2020 à 19h56
Le gros problème de ce que tu dis (surtout sur le prix final), c’est particulièrement que si tu veux du bien fait, avec compétence et sécurité, comme ça existe aussi en Chine (les ouvriers et concepteurs chinois ne font principalement qu’exécuter la commande qu’on leur passe, aussi pourrie ou géniale soit elle) et l’organisation et le coût du travail étant plus intéressants, ils resteront moins chers à qualité égale.
Voire moins chers et de meilleures qualité et plus dans les temps sur le nucléaire " />
Le 12/01/2020 à 22h16
Pour ma part j’estime que se pose de plus en plus des questions de souveraineté sur la sécurité des échanges électroniques de type courriels.
Est-il raisonnable de laisser au secteur privé abreuvé de fonds publics un tel projet, de plus je suppose
sans réelle mise en concurrence (ce qui d’ailleurs pose de vraies question juridiques).
Une adresse de courriel devrait être un élément d’identité et géré par un service public dépendant de ministère de la Défense (ou de l’Intérieur) garantissant l’anonymat et avec des protections contre les violations comme le phishing, placé sous l’égide de la CNIL, sachant qu’on obligera personne à l’utiliser
car chacun sera libre d’aller dans le secteur privé s’il le souhaite
Il faudrait réinventer l’équivalent de l’ancien service public postal et le secret des correspondances qui va avec.
A noter que si ce service était gratuit, l’Europe n’aurait rien à dire sur le respect des principes d’ouverture à la concurrence qui ne s’applique que sur le secteur marchand.
Le 13/01/2020 à 06h00
Ouais bah ils feraient mieux d’installer plusieurs instances d’Exchange configuré avec TLS obligatoire et faire un plugin pour le support PGP. Ça n’a rien de compliqué à faire.
Le 13/01/2020 à 08h39
Ça peut être assez difficile pour une team sécurité de se faire entendre face au bulldozer de l’avancement fonctionnel avant tout. Même si la mise en sécurité n’est pas difficile techniquement, la réponse est toujours que c’est pas prioritaire et que ça viendra dans une v2 (laquelle v2 ne contiendra pas d’upgrade se sécurité parce que c’est pas prioritaire, mais promis la v3 corrigera tout…)
A un moment, la seule méthode qui reste, c’est de faire remonter le plus haut possible qu’en l’état, l’avis SSI sera bien négatif. Assumer de prendre une décision contraire à cet avis est plus difficile pour les grands chefs que de faire semblant de ne pas savoir.
Forcément quand tu écris qu’en l’état c’est pas validable et que tu ne crois pas à la fable de la v2 qui corrige tout, ça fait catastrophiste, mais c’est probablement ce qui se serait passé si le mail n’avait pas eu ce ton. C’est une sorte de prédiction auto-pas-réalisatrice " />
Le 13/01/2020 à 09h02
Le 13/01/2020 à 09h07
Le 13/01/2020 à 10h21
Le 13/01/2020 à 10h22
Bref…
Le 13/01/2020 à 10h42
Tu me fais un peu sourire, croire que les Chinois ne savent pas faire aussi bien que nous, c’est naïf voire un peu teinté de racisme (pas forcément conscient). Qu’ils mettent souvent ces critères en bas de la liste des priorités est vrai mais ça ne les empêche pas de savoir aussi faire les choses aussi bien voire mieux (par la capacité de savoir mettre les moyens financiers et humains en face de leurs ambitions) que nous. Ça fait un peu mal au c*l de l’admettre parce que la Chine a été longtemps un suiveur, mais elle prend aujourd’hui la tête sur quelques domaines, et ça va en s’accélérant.
Là où ils gagnent le temps et l’argent, c’est sur les salaires et l’organisation (qui découle notamment du fait que pouvoir avoir plus d’employés pour le même prix permet des organisations des fois plus efficaces).
Le 13/01/2020 à 11h09
" />
Un abonné heureux, quand je vois vos enquêtes je sais pourquoi je paye un abonnement ! Vous arrêtez pas il faut lutter face à ces gens en place publique !
Le 13/01/2020 à 19h26
Le problème principal est que si l’infra de dev est compromise, quelqu’un peut introduire du code ou un build malicieux qui va être un vecteur d’attaque vers la prod. C’est d’ailleurs un problème qui est arrivé récemment avec npm où un dépôt logiciel a été compromis et utilisé pour déployer une version contenant une porte dérobée.
Le 13/01/2020 à 20h05
Le 13/01/2020 à 21h53
Le 13/01/2020 à 23h54
Le 14/01/2020 à 06h35
Ton employeur te paye en produits, en service ou en euros?
Il peut y avoir des à côté (voiture de service, téléphone etc) mais il y a aussi une rémunération en numéraire.
Je ne dit pas que l’argent est la finalité. Je dis que l’argent est nécessaire. Il n’existe pas de boite sans argent.
Je me trompe peut être, je veux bien un exemple
Le 14/01/2020 à 08h43
Le 15/01/2020 à 10h29
Les Chinois n’ont pas les mêmes normes que nous : c’est à peu près ce que j’ai dit par “ils sont plus pragmatiques”. Leurs normes ne poussent pas au n’importe quoi (je rejoins Jancovici et Tristan Kamin que j’ai pas lus aussi) comme les nôtres mais ne réduisent pas la sûreté de leurs installations. C’est pour ça que ça me gêne qu’on dise qu’ils sont moins regardants, c’est faux (être moins regardant voudrait dire qu’ils ne cherchent pas à atteindre le même niveau).
On a testé des composants à Flamanville mais ça n’a pas empêché que certaines pièces ont été jugées irrecevables a priori (parce que pas conformes à la demande du client, bien qu’elles puissent répondre aux contraintes techniques) là où elles ont été acceptées en Chine. Que le système et ses composants soient testés dans des conditions réelles (en fait, il me semble que c’est même au delà des paramètres attendus en fonctionnement nominal), c’est normal et heureusement !
J’ai lu le rapport cité, il dit bien (avec moults contorsions, c’est quand même écrit pour le patron d’EDF) que l’exécution a été meilleure en Chine et que les principales raisons du retard c’est la perte de compétences et l’organisation désastreuse de la gestion du projet.
Pour en revenir au sujet et à la startup nation, @malock tu fais un faux procès au président. Tu cites un discours (qui ne l’engage en rien) du PR devant les représentant de la tech française, évidemment il va leur faire la danse du ventre et leur raconter ce qu’ils ont envie d’entendre (et il ira vanter la France du terroir et des traditions devant les agriculteurs, la France bien organisée et administrée devant les fonctionnaires, etc.)
Le 15/01/2020 à 11h37
Le 15/01/2020 à 13h33
Tu pars un peu dans tous les sens. Je maintiens que la vision startup nation de Macron est là pour séduire un électorat et maintenir sa popularité (qui en a besoin), et absolument pas pour traduire une vision systémique du pays. Ensuite, dans ce qu’il dit, il y a des choses vraies : on a besoin de souplesse (un projet de recherche financé par l’ANR part d’emblée avec 2 ans de retard sur les concurrents étrangers, juste par les délais administratifs pour déposer, passer une première évaluation, puis redéposer un projet plus détaillé, puis …, mention spéciale pour certains appels où on soumet pour avoir de l’argent pour monter le dossier final).
Là où je ne te suis pas, c’est sur ce que tu en tires comme conclusion : vouloir améliorer la possibilité de monter des startup et d’arriver à prendre de l’envergure (sans devoir déménager aux USA), ce serait du techno-libéralisme ? C’est surtout un moyen d’arrêter de perdre de l’argent de tous les bouts (formation de jeunes brillants pour offrir le ROI à d’autres pays, aide au montage d’une activité pour que les fruits du développement de la boîte reviennent à d’autres, etc.).
Rien à dire sur Sarkozy et Hollande, les deux n’ont absolument rien compris des enjeux (Sarkozy a vu que les labos américains ont plein de contrats qui participent à leur financement, au lieu de chercher à comprendre pourquoi, il a singé le résultat en arrosant sélectivement les labos sur projets, Hollande a compris qu’il est bien de développer le numérique, pas de bol, le numérique et des iPads dans toutes les classes, ça n’a pas grand chose à voir).
OlivierJ a bien raison, et je ne vois absolument pas pourquoi il faut opposer les droits de l’homme avec une société techniquement avancée (c’est même des sociétés les plus avancées techniquement de l’époque que sont venus les droits de l’homme). Demain, car c’est de ça qu’il s’agit, il va bien falloir qu’on soit capable de garder des marges de manœuvre pour supporter une contraction de notre approvisionnement énergétique, tout en conservant un niveau de vie acceptable par tous et des démocraties dans lesquelles on conservera les droits de l’homme. S’imaginer que c’est en prônant le respect des droits de l’homme et en jetant tout le reste qu’on y arrivera est un leurre. La techno pour la techno, c’est débile; la science (évidemment concrétisée par la technique) pour nous aider à surmonter les aléas du futur, mille fois oui.
Le 15/01/2020 à 15h36
(…)Les startups françaises sont également innovantes et peuvent poser quelques problèmes aux grandes entreprises telles qu’EDF. Mais ça ne me dérange pas. Et j’ai d’ailleurs conseillé à EDF d’investir dans ces start-up. Elles vont probablement la perturber, et le meilleur moyen d’éviter ça, c’est de s’associer avec elles. L’état d’esprit de nombreuses grandes entreprises françaises est en train d’évoluer.(…)
Extrait de l’interview dans Forbes, le président souhaite qu’une entreprise qui a pour vocation de faire des investissements sur plusieurs décennies prenne modèle sur les startup
Le 15/01/2020 à 16h35
Le 15/01/2020 à 17h58