pylapp

Software crafter, digital punker – pylapersonne.info

GitHub et les alertes Dependabot

🇫🇷 – dimanche 24 juillet 2022

Mots clés : #GitHub, #Dependabot, #alertes, #vulnérabilités, #CVE

Un peu de contexte

Au cas où vous ne le sauriez pas, GitHub propose plusieurs outils qui concernent les fuites de données (leaks) et les vulnérabilités (flaws). Par exemple, assez récemment, GitHub a mis en place un service de détection de leaks avec notamment deux volets : un basé sur des patterns pour les dépôts publics, et un autre plus complet pour l'édition Enterprise Cloud.

Depuis plus longtemps, GitHub peut afficher les alertes Dependabot, à savoir s'il existe des flaws sur des dépendances du projet, et cette fonctionnalité est gratuite et efficace !

Dependabot

En effet, en haut de votre dépôt, parfois cette bannière peut s'afficher. Et dans ce cas, il n'y a pas d'excuse pour aller voir ce qu'il se passe. Juste un bouton sur lequel cliquer. À savoir qu'il faut être membre du projet et authentifié sur GitHub pour voir ces alertes. C'est assez logique, autant éviter d'exposer à n'importe qui que l'on a une passoire dans le projet.

Une bannière d'alerte Dependabot indiquant que des vulnérabilités ont été trouvées dans les dépendances

Ainsi, en allant voir les choses de plus près, on peut tomber sur ce genre d'énumération de potentiels ennuis. Dès le début du parcours, on distingue plusieurs éléments pertinents, dont le niveau de sévérité, un titre plus ou moins explicite, la dépendance concernée et le fichier traité. J'adore NPM et Node.js pour leur lot d'alertes de vulnérabilités, on retrouve souvent les mêmes plateformes et environnements qui exposent autant de dépendances trouées, et ce n'est pas forcément surprenant ou anormal.

Une liste d'alertes Dependabot affichant les niveaux de sévérité et les dépendances incriminées

Ainsi, en choisissant une alerte, on accède à plusieurs données intéressantes dont la sévérité, la référence CVE, les versions concernées, et le cas d'exploitation de cette vulnérabilité. C'est très instructif et ça me parait complet pour le néophyte que je suis ! Bref, en cas d'alerte, on a assez de billes en main pour corriger.

Détails d'une alerte Dependabot avec les références CVE, une description technique de comment exploiter la faille et les versions incriminées

Du coup, comment faire pour ne rien rater de ces alertes ? Comment configurer mon dépôt allez-vous me dire ?

Configurer son dépôt

Première chose à savoir : il faut être... administrateur de son dépôt. Je ne comprends pas la logique, la gestion des droits sur GitHub étant toujours aussi grossière. Pourquoi devoir être administrateur, et donc avoir tous les droits, juste pour gérer les alertes ou s'y abonner ?

Ensuite, allez faire un tour dans les réglages du dépôt pour ajouter nominativement les personnes qui seront notifiées en cas d'alertes. C'est idiot, mais de base, personne n'est ajouté. Donc une alerte sur un dépôt peu actif peut très bien apparaitre sur GitHub, mais personne ne sera courant. Bref, ajoutez dans la section “Access to alerts” les membres de votre projet.

Définition des accès avec un champ de saisie de texte pour ajouter des personnes

Ensuite, jetez un œil à la section “Code security and analysis”. Il y a plusieurs options à activer comme les alertes Dependabot (pas certain que ce soit activé par défaut) et aussi la possibilité d'ouvrir des pull requests à chaque alerte pour corriger la situation. Pas d'excuse, même pour les flemmards !

Configuration des outils par dépôt avec plusieurs boutons

Configurer son compte GitHub

Enfin, allez faire un tour sur les réglages de votre compte GitHub, en commençant par la section “Notification” où vous pouvez vous abonner à des notifications de diverses formes.

Configuration des alertes et notifications par compte GitHub avec plusieurs boutons

Dernière chose, rendez-vous dans la section “Code security and analysis”, et activez les options ci-dessous. Oui, cela ressemble beaucoup à un volet de configuration pour les dépôts, je n'ai pas encore testé les différences, surement un niveau de précision (dépôt uniquement ou tous les dépôts du comptes) différent.

Configuration des derniers éléments par compte GitHub avec plusieurs boutons

Bref

Plus d'excuse maintenant pour laisser vos comptes GitHub et dépôts seuls, abandonnés devant ces vagues de vulnérabilités pouvant compromettre le projet et bien plus encore. En 5 minutes (et je suis large), les choses sont configurées, et le minimum proposé par GitHub dans sa forme gratuite parait déjà acceptable.

De plus, posez-vous la question suivante : si des dégâts venaient à être provoqués à cause d'une faille non corrigée, sur quelle tête les ennuis vont tomber ? D'autant plus que plus ça tombe de haut, plus ça fait mal en bas 🤯. Pour avoir discuté avec des développeurs lors de conférences et meetups, dans certaines entreprises (au moins deux ESN dont je tairais les noms, juste dire que l'une respecte la règle des A et l'autre fait partie des CASSOS), il est prévu dans le contrat de travail que c'est la responsabilité pénale du salarié développeur qui est engagée.

Raison de plus pour signer vos commits (histoire de vous dédouaner en cas d'ennuis et d'envoyer la patate chaude dans la friteuse), tout en vérifiant que tout est bien configuré avec Dependabot, et que des secrets ne sont pas divulgués !

Bref, sortez couverts !

Dernière mise à jour : mardi 26 juillet 2022 Précédemment sur paper.wf

Did you enjoy reading this blog? Give me a beer 🍺 or use something else ❤️‍🔥 Licensed under CC-BY-SA 4.0. Opinions are my own. To contact me, feel free to choose the most suitable medium for you, or for example Mastodon.

Une bonne dose de café… vie privée

🇫🇷 – vendredi 19 novembre 2021

Mots clés : #ViePrivée, #cryptoparty, #chiffrofête, #Lannion, #privacy

Logo du Café Vie Privée de Lannion 2018

Bon, j’ai enfin un peu de temps pour moi pour avancer sur ce blog, et faire un retour sur un truc qui a mieux marché que prévu. Une idée lancée en l’air autour de bières entre deux copains (1) : un café vie privée, dans leur patelin au fond du Trégor.

En quelques mots, les “cafés vie privée”, ou les “install parties”, ou encore les “chiffro-fêtes” ou “cryptoparties” sont des rencontres qui sentent bon les effluves de geeks, de libristes, de libertaires et de cryptanarchistes. Mais pas que. Là où les “install parties” mettent le focus sur l’installation de systèmes d’exploitation sur ordinateurs et téléphones, les “cryptoparties” se concentrent davantage sur les sujets autour du chiffrement, et notamment l’échange de clés cryptographiques. Pour les “cafés vie privée” c’est un peu différent. On retrouve le même esprit, à savoir se poser dans un lieu convivial, papoter et faire des trucs cools, mais on va peut-être moins entrer dans le dur et être davantage dans la vulgarisation et le partage. Il en faut pour tous les goûts. Enfin bref chacun fait à sa sauce mais vous voyez l’idée.

Mais pourquoi en avoir organisé un ? Parce qu’on avait, entre potes, l’envie. Et paf.

Peu de temps après l’édition 2018 de Libre en Fête en Trégor, qui a bien cartonné soit dit en passant, Séb et moi avions une discussion, de celles qu’on retrouve autour de plusieurs pintes dans un bar entre copains (2):

« Ca te manque pas un peu l’ambiance de Libre en Fête ? – Ouais carrément. Faudrait qu’on refasse un truc. Plus petit, sans pression ni ambition. Un truc intime, 40 danseurs, 80 musiciens, 300 invités. – Genre chiffro-fête ? – Oui, mais commencer doucement pour pas perdre tout le monde. Genre un gros meetup, mais pour tout le monde, du plus geek ou plus néophyte pour oublier personne. – Ah bah un café vie privée alors ! »

Merci Séb pour l’idée !

L’idée de base donc : faire une truc tranquille, si ça attire 10 personnes c’est cool. Entre les meetups de Code d’Amor, le Libre en Fête et avant ça le Startup Weekend de Saint Brieuc, faire un truc sans trop de monde ni budget ni paperasserie ni pression c’est chouette.

Première étape: faire de la communication. Bon, service minimum, Twitter et Mastodon, et bouche à oreille. Sans prétention on a dit.

Ouais mais ok, question conne : on fait ça où ?

Ah. Ah bah oui. C’est vrai que quitte à y aller en freestyle, on n’avait rien prévu. Le lieu donc.

Déjà condition indispensable sur laquelle aucun de nous ne voulait transiger : un bar, qui sert de la bonne bière, en pinte. À Lannion, ça va, il y a des candidats. Par pure conscience professionnelle on a dû se faire un avis approfondi sur la question. On élimine ceux trop petits ou aux salles étouffantes, d’autres étaient fermés. Certains étaient commerciaux et trop bruyants. Et d’autres c’était non car on trouvait que les gérants étaient des gros cons. Ah bah oui, pour une fois on met le respect en prison.

Puis, vint l’idée lumineuse : Le Truc. Endroit super sympa, gérants adorables (merci Elise et William !), tapas et bières vraiment plaisants, et aussi, du choix pour les végans, les végétariens et ceux qui ne consomment pas d’alcool. Et en plus, cerise sur le gateau : ils avaient une toile et un vidéoprojecteur ! Nickel. Puis c’était notre repère aussi.

Salon qui semble comfortable et chaleureux avec canapé marron, chaises et tables

Sauf que, on n’avait pas encore pensé à quelque chose. Le lieu, la date, la communication ok. Mais le contenu ? Ah oui, faut que ça plaise.

D’emblée, je propose un sujet sur un thème que j’aimais bien, les cryptomonnaies. Sur le coup ce n’était pas une mauvaise idée, mais finalement on aurait dû la garder pour la fin car le sujet était un peu hardcore quand même. Déjà fallait faire digérer le concept de cryptomonnaies, et ensuite faire comprendre ce qu’il y avait sous le capot de ZCash et Monero. Aouch. Séb avait envie de parler de web fingerprinting et des usages des internets. Nickel, un sujet facile à aborder, complet, et qui va être bien intéressant. Et que les gens peuvent appliquer en rentrant à la maison !

Deux sujets c’est chouette, mais si on pouvait faire plus ?

À ce moment là ça commençait à partir en sucette, un peu. Trop d’idées d’un coup, trop de temps libre à meubler, et pas l’un pour rattraper l’autre. Alors, demandons aux copains !

Pas de chance syl de Nos Oignons était sous l’eau, pas grave, on comprend carrément. Tentons clochix alors ; bingo ! Il était super partant pour parler hygiène numérique, ça nous faisait plaisir car on aimait bien ce qu’il partageait sur les réseaux sociaux, et on avait appris un paquet de trucs grâce à lui. Allez on est fou, on tente aeris22 pour les mêmes raisons. Loupé, pas dispo et pas dans le coin, dommage ! Et je ne sais plus du tout comment, des copains de Saint Brieuc étaient chauds pour parler de leur projet de fournisseur d’accès internet associatif : FAIbreizh. Parfait ! 4 sujets, on touche à plein de choses, ça va plaire, et y’a les potos.

Là on se dit bon, on est bien.

Y’a ce qu’il faut.

On a la communication, les sujets, le lieux, le cadre et l’ambiance du lieu, on incitera le public à être cool et à pas squatter le bar sans consommer, on poussera pas à la consommation pour autant, chacun se responsabilise.

Mais… encore une fois, pas l’un pour rattraper l’autre.

« Tiens, et si on avait de goodies ? Ce serait cool. – Mais on demande à qui ? – Allez au pif, Qwant. On va demander à Tristan Nitot directement. – Genre ? – Genre. »

Et bah on a remercié Tristan pour les stickers et les flyers, ils ont fait fureur !

« Oui mais bon, FDN, FFDN, Framasoft, l’April, La Quadrature du Net… on tente ? – Allez, au culot, on tente »

On a tenté. Et j’ai jamais eu autant de goodies. Et quand ce n’était pas directement les associations qui pensaient à nous comme Framasoft et FDN, c’était les adhérents ou sympathisants des autres qui habitaient dans le coin qui venaient avec ce qu’il fallait. Tout le monde a répondu.

On s’est pas dit sur le coup que si tout le monde nous suivait comme ça, c’est que y’avait du monde intéressé. Oups.

« Bon, c’est bien tout ça, mais si on faisait des goodies « utiles » ? – Ah ouais, des caches webcams ! – Allez banzaï »

J’ai découvert Thingiverse. C’est pas bien Thingiverse. Faut vraiment pas que j’ai une imprimante 3D. Et paf les cache-webcams ! Un peu de sous dans la cagnotte participative du FabLab de Lannion et aussi dans le tiers lieu d’Orange, et hop.

Cache webcam blanc

Sauf que voilà, à un moment, on a les goodies en stock avec tout le reste mais une idée me trottait en tête… faire des affiches ? Non Séb va ronchonner, on a dit qu'on faisait un truc tranquille pour une fois, pas d'ambition. Relax. Ça ne m'a pas empêché de le revoir un soir avec deux types d'affiches à mettre partout. Elles étaient jolies (tout est relatif bien entendu), et au moins on mettait les logos de ceux qui étaient avec nous, surtout le bar quand même. Hop, une dizaine d'affiches par ci par là… et on sera bon.

Affiche Affiche

Oui mais… mais il manque un truc. Un p’tit truc en plus pour la postérité. Après tout, en une soirée bien énervé y’a moyen. Pourquoi pas un site web ?

J’en connais un qui devait éviter les baffes de l’autre. Bon à ce rythme là on n’était plus trop dans le truc tranquille. Mais y’avait un site web tout simple de fait. Avec un nom de domaine en .bzh. Quand même, bordel cafe-vie-privee-lannion.bzh ça claque.

On était bien. Bien bien bien. Un peu loin de l’idée de base dans un coin de bar avec 3 bouts de ficelles et une planche sur tréteaux, mais bon.

Sauf que la ville avait relayé l’info (on avait dû mettre ça dans l’agenda, je ne sais plus) et… les médias locaux ce sont intéressés à nous. Un. Puis deux. Puis trois. Merde, pas prévu non plus ça. Et même la radio, car le journaliste était déjà bien sensibilisé à la protection de la vie privée ! Et aussi l’info fut diffusée via l’Agenda du Libre.

Et donc c’est parti pour les articles de presse. Le seul regret, c’est qu’on voulait amorcer un truc, lancer une idée, et ensuite que chacun puisse prendre les clés du camion et continuer après nous. On ne voulait surtout pas qu’on soit identifiés comme les deux barbus qui gèrent ça. Pour ça qu’on ne voulait pas faire d’association ou de collectif à l’avenir. Mais bon, les articles de presse sans photos ni citation des personnes… allez on se plie à l’exercice. Nous qui adorons les photos en plus.

Donc on en est là.

Lieu, ambiance, sujets, goodies, goodies faits maison, copains. Affiches. Articles de presse. Site web. Annonce municipale. Bien, bien loin du truc initial, on s’est pas ménagé finalement. Et vint le jour J.

On s’installe, pépouze, no stress, on a tout le matos. Elise et William avaient tout préparé, de vrais amours, et leurs chats se demandaient ce qui allait se passer. Puis viennent les copains, avec leurs potes. Et leurs potes ont ramené des potes. On est une grosse dizaine, on va commencer. Puis ça rentre dans le bar, et nous rejoint. Une vingtaine, cool ! On commence, on attend encore quelques instants, puis encore du monde. Oui, y’avait déjà des gens qui étaient dans le bar avant notre arrivée ; on pensait qu’ils vivaient leur vie tranquille mais non, ils nous attendaient. Une trentaine de personnes, chouette. Par contre la salle dans le bar est pleine. C’est cool mais faut pas plus, allez on lance.

On démarre le premier sujet… et ça n’arrête pas. Ca rentre, ça rentre, ça rentre. Plus de place pour voir les diapos. Un peu galère pour circuler et prendre une mousse ou des tapas.

Et ça rentre encore, on en est à un quarantaine. Oui mais y’avait aussi les potes des potes de Saint Brieuc dans les embouteillages, qui arrivent plus tard.

On est presque une cinquantaine. Merde, c’était pas prévu. Et gros soucis : on n’avait pas de micro. Car autant à 10 dans un coin de salle, ça va. Mais autant de monde dans un bar bondé avec des murs épais… fallait un micro. Bon plus qu’à faire sans ! Heureusement que le bar faisait des grogs. Bobo la gorge.

Et finalement ? Ça a cartonné. Élise et William étaient contents, même si les gens auraient pu ne pa se contenter de rester à écouter sans prendre un truc. Ça par contre ça me m'a bien gonflé. Mais on m'a appris à ne pas être exigeant avec les autres, juste moi-même. Le public ? Ravi aussi, même si le sujet des cryptomonnaies au début avait bien fait flipper. Les autres sujets ont vraiment été appréciés, et ont permis d’avoir des échanges entre les uns et les autres. On commençait à créer un truc bien sympa, convivial, ouvert, respectueux et plein de partage. Les gens sont rentrés chez eux avec quelque chose à mettre en pratique, ils ne sont pas venus pour rien. Ça, ça vaut de l'or.

Et nous dans tout ça ? Foutrement contents. Ça avait cartonné. Bon, portés par l’idée on ne maitrisait plus rien et on avait bien explosé le peu d’ambition de base, mais ça valait le coup.

On s'était dit qu’on allait recommencer tous les 2 ou 3 mois, parler des OS pour smartphones, et caler des session d’échanges de clés. Y’avait moyen.

Mais… mais finalement l’un comme l’autre on a eu nos contraintes pros et persos, et finalement on a quitté la région. Séb d’abord, puis moi. On avait lancé quelques bouteilles à la mer pour que d’autres reprennent le bébé, mais ça n’a pas marché. Alors, un peu dépités quand même, on s’est dit qu’au moins on aurait fait un truc chouette au Truc, avec des bons moments et des copains qui ont bien aidé. Et que ça a servi aux gens. Les comptes Twitter et Mastodon ont été supprimés, pas fan d’avoir des comptes qui étaient inactifs.

On a gardé le site web par contre, c’est pas pour ce que coûte l’hébergement web et le nom de domaine. On en a profité pour y rendre accessibles les supports de présentation, et aussi quelques ressources pour aller plus loin. Il y aura de beaux restes.

Voilà ce que peut donner une idée lancée comme ça, entre deux potes (3), autours de bières. Faut s’attendre à tout, même au meilleur ! D’ailleurs on a refait un dossier de presse après le truc.

Extrait de Ouest France en date du 23/20/2018

(1) madame était là aussi, et je la remercie de pas s’être enfuie vu les échanges qu’on avait Seb et moi ❤ (2) mais je l’aime hein ! (3) elle va me manger tout cru 🙀

Dernière mise à jour : mercredi 9 février 2022 Précédemment sur Medium et paper.wf

Did you enjoy reading this blog? Give me a beer 🍺 or use something else ❤️‍🔥 Licensed under CC-BY-SA 4.0. Opinions are my own. To contact me, feel free to choose the most suitable medium for you, or for example Mastodon.

À propos d’hygiène numérique

🇫🇷 – mercredi 11 novembre 2020

Mots clés : #privacy, #numérique, #web, #résilience, #data

Cet article a surtout une volonté de titiller la curiosité des uns et des autres ; beaucoup de sujets sont totalement en dehors de mes compétences donc je ne m’étalerais pas dessus. Juste envie de donner quelques billes à celles et ceux qui, en 2020, se demandent comme protéger leur vie privée et leurs usages du numérique à l’ère de la surveillance généralisée et du soupçon permanent.

TL ; DR Dégagez de Facebook, arrêtez de raconter votre vie sur Instagram car on s’en branle, passez au moins sur Signal, abonnez-vous à Next Inpact faîtes des dons à La Quadrature et Framasoft, faites vos mises à jour, utilisez du liquide, naviguez via TOR, intégrez de l’open source et du libre, définissez des gros mots de passe fiables, chiffrez ce que vous pouvez, soyez des Pirates, lisez de la SF, et sortez couverts. Nous avons toutes et tous nos vies privées à cacher, et on va en chier de plus en plus ❤.

1 — Le Modèle de Menace

Derrière ce terme un peu parano se cache l’ensemble des éléments perturbateurs concernant notre vie numérique. Tout le monde n’a pas nécessairement le même modèle, quelques exemples bruts sans jugement :

  • des manifestants à Hong-Kong se méfiant du gouvernement de Pékin
  • des opposants au Kremlin cherchant à converser en toute tranquillité
  • des ZADistes, Gilets Jaunes, black-blocs, manifestants quels qu’ils soient, et aussi tristement des terroristes et fanatiques, quant à eux, voulant se protéger de la surveillance policière
  • des gardiens de la paix qui ont besoin de protéger leurs familles
  • des lanceurs d’alertes agissant en toute discrétion vis à vis de leur employeur
  • des victimes de violences conjugales ou personnes LGBTQIA+ fuyant un environnement familial toxique voire dangereux
  • des journalistes voulant échanger avec leurs sources et les protéger
  • des enquêteurs, élus, diplomates, ou toute personne ayant des postes à risque voulant s’assurer que leurs communications électroniques soient sures et fiables
  • des personnes lambda ayant simplement envie d’être tranquilles vis à vis des géants du numérique ou d’éventuels problèmes

Bref, selon de quoi on cherche à se protéger ou ce que l’on cherche à fuir, on ne mettra pas en place les mêmes méthodes.

Quelques pistes ici, sans ordonnancement particulier, que j’ai pu expérimenter ou appliquer moi-même ou juste découvrir via d’autres personnes (et des ressources vraiment intéressantes que j’invite à consulter en bas de page).

2 — L’Authentification

Déjà, revoir sérieusement la manière dont on s’authentifie à des services numériques, et ça commence par les mots de passe.

C’est toujours pénible de voir beaucoup de sites web et applications demandant des mots de passe prétendument forts alors que leur complexité est faible, et qu’il n’y a aucune politique de renouvellement régulier. Pour le coup, un bon mot de passe est très long, avec des chiffres, des lettres minuscules et majuscules, des caractères spéciaux, et est changé fréquemment. Il doit être bien entendu unique. Mais comment retenir ces informations pour le coup ? Simplement en utilisant des gestionnaires de mots de passe comme Keepass. J’aime bien cet outil qui est libre, open source, permet de générer ses mots de passe et donne des rappels sur la date à laquelle il faut les changer. Finalement on devrait dire des “phrases de passe”.

Le niveau supérieur est d’utiliser une authentification à deux facteurs. Personnellement j’aime peu la biométrie, car que ce soit ses empreintes digitales, son visage ou ses iris, aucun de ses éléments n’est révocable. Et ne me parlez pas de cette connerie de projet ALICEM. Ainsi, si l’un d’eux est subtilisé, commencera une belle galère pour prouver que ce n’était pas vous. Certains constructeurs, comme Apple, affirment que leurs systèmes de détection de visage ou d’empreinte digitale (FaceID et TouchID) sont très fiables, dans une enclave sécurisée sur la puce des iBidules. Chacun est libre de se faire son avis (après tout, la protection de la vie privée fait partie du business de la firme à la pomme) mais par moment l’histoire montre que des entreprises comme Cellebrite arrivent à casser les protections d’iPhones pour récupérer leur contenu. À relativiser finalement ?

Du coup, j’aime bien l’authentification par code généré. On peut les recevoir par méls selon les services, ou les voir se générer sur son appareil avec des apps comme Google Authenticator ou andOTP, ça sous-entend quand même de sécuriser ses boites méls et appareils. On peut aussi passer par des systèmes de clés physiques, comme les Yubikey.

3 — Les Systèmes d’Exploitation

Dans la mesure où on passe plus de X heures par jour sur son smartphone ou devant un écran, il y a un élément sur lequel on compte malgré nous : le système d’exploitation des ordinateurs, tablettes ou smartphones.

Quel est le mieux finalement ? Passer son temps et construire sa vie numérique sur une machine dont personne ou presque ne peut voir ce qu’il y a sous le capot (comme Windows), système propriétaire, fermé et en boite noire, ou utiliser un système libre et open source dont la communauté peut vérifier à ton moment le fonctionnement comme des distributions GNU/Linux type Debian ou Ubuntu ? Bien entendu, ces systèmes sont différents et ne répondent pas forcément aux mêmes besoins, il faut l’admettre. Jouer au dernier jeu vidéo qui en met plein la rétine sur Linux, c’est encore compliqué, mais s’il s’agit d’aller sur le web ou faire de la bureautique, Windows est superflu.

On peut se poser la même question pour les smartphones et tablettes. Si je prends le dernier Google Pixel avec sa version d’Android, je serais tranquille quelques petites années pour les mises à jour. Mais en contrepartie, ma vie numérique est pas mal boulottée par Google, que ce soit via l’usage d’un compte Google dans l’app, mais aussi ses Play Service> ou les autres analytics. Par contre, si je veux que mon “vieux” smartphone, plus supporté depuis “longtemps” par son constructeur, soit toujours à jour, je fais comment ? Si je veux me débarrasser du superflu de Google ou profiter de mon appareil alors qu’une citrouille à perruque a interdit dans mon pays l’usage de produits américains (comme Android, Google Maps, Google Play…), je fais comment ? C’est là qu’il faut se tourner vers des systèmes alternatifs, même si certains demandent de la patience et un peu de savoir-faire pour être installés. On retrouve LineageOS (avec la suite microG, ou OpenGapps) mais aussi /e/ qui propose de plus en plus de choses ! Ou alors, on repasse tous au Nokia 3310 et on est bon.

4 — Les Boutiques d’Apps

D’ailleurs, vu qu’on parle de mobile, il en va de même pour les boutiques d’applications. Passer par Google Play ou l’App Store revient à dépendre lourdement de Google ou Apple, même si cela présente certains avantages (notamment en terme de sécurité avec le contrôle des apps pouvant être frauduleuses ou vérolées). Si passer par celles-ci vous dérangent, ça peut valoir le coup de tester F-Droid côté Android (même si on est sur un catalogue bien différent), ou des systèmes qui “filoutent” comme Aurora ou Yalp. Côté iOS, il y aurait AltStore, mais je n’ai jamais testé.

5 — Les Mises à Jour

Et vu que l’on parle d’apps et de systèmes d’exploitation, autant aborder le sujet maintenant : les mises à jour. Il n’y a rien de pire qu’avoir un ordinateur ou un smartphone qui n’est pas à jour, notamment parce qu’il ne reçoit pas les mises à jour de sécurité. Dit autrement, ces logiciels non à jour risque d’être de vraies passoires. Dans la mesure du possible, il faut les faire, et si on peut utiliser un produit qui a un support très long, c’est mieux. Dans le cas contraire on ferait face à un appareil qui, en plus de nous avoir couté des sous à l’achat, risque de disséminer notre vie numérique et d’apporter de gros problèmes à cause d’un manque de support de la part du constructeur ou du fournisseur du système. C’est encore plus vrai pour Windows et Android.

6 — Le Web, et la Navigation

On ne va pas se mentir, au XXIème siècle la “data” est le nouvel El Dorado des entreprises ayant un pied dans le numérique. Certaines comme Criteo en font leur fond de commerce, d’autres comme Cambridge Analytica se trouvent empêtrées dans des scandales, quand ce ne sont pas des géants de la tech qui ont leur revenus essentiellement basés sur l’exploitation des données personnelles (comme Google ou Amazon), ou encore des sociétés qui ont au travers de leurs sites web une tétrachiée de mouchards (comme Le Bon Coin). Le point commun des ces entreprises ? Leurs applications web (entre autres, mais pas que). On constate vite que naviguer sur le web revient à s’exposer manifestement, que ce soit par le biais de cookies ou via le browser fingerprinting.

Pour remédier à ça, déjà dégager les navigateurs web propriétaires comme Chrime et Edge, et à la rigueur passer par Chromium ou Brave. Sinon le navigateur web de TOR er Firefox font le job, encore plus quand on les enrichit de plugins comme Privacy Badger ou No Script.

Et quand on passe par une application mobile “native”, l’affaire se corse ; c’est tout de suite moins simple de bloquer les comportements mouchards. Pour pallier à ça, il existe des apps (pour appareils mobiles comme ordinateurs) qui font office de proxy et qui peuvent filtrer les requêtes réseaux entrantes et sortantes. Ainsi, on peut bloquer plus facilement les échanges avec des services de tracking. Le fait est que, selon comment est faite l’app en question, si on bloque ce genre d’échanges on peut se retrouver avec une app non fonctionnelle. Arf. Personnellement j’aime bien, dans un environnement Apple, Charles Proxy et Little Snitch. Android, ne pas hésiter à passer par Exodus Privacy qui aide à lister les mouchards avec un travail formidable ! Sinon il y a aussi Blokada, le bloqueur de pub pour Android et iOS.

Je n’ai pas parlé non plus des moteurs de recherche. Certains sont à oublier, d’une autre époque et inefficaces comme Yahoo ou Bing. D’autres comme DuckDuckGo font carrément le job Quand à Google, on repassera pour la vie privée, et si on l’empêche d’être trop curieux sur notre historique, les résultats fournis ne sont pas aussi intéressants. D’ailleurs, le classement dans les résultats de recherche se monétise, tout comme la pub qu’on y voit. Bref, à éviter. Quant à Qwant, mbof. Y’a mieux mais y’a pire. On a aussi Startpage qui fait de la protection de la vie privée son fer de lance, jamais trop testé.

Une autre chose à faire aussi, de temps en temps, en utilisant plusieurs moteurs de recherche différents pour croiser les résultats, c’est de faire des recherches… sur soi et ses proches. L’intérêt ici n’est pas de flatter son égo, mais de voir s’il y a des choses qui nous concernent directement ou non sur les internets, comme des vieilles photos, des vieux forums ou autre chose.

7 — Une question de redondance

Vous avez votre ordinateur, votre smartphone ou votre tablette, ok. Mais il se passe quoi si on vous vole votre smartphone, ou si votre tablette tombe en panne, ou si votre ordinateur est compromis ou corrompu avec des malwares comme Petya, NotPetya ou Locki ? Si vous n’avez pas de sauvegardes de vos documents, vous êtes dans la mouise. Bye bye les photos de vacances, adios les documents importants, sayonara les recettes de tata Lucettte. D’où finalement la nécessiter de copier, sauvegarder, “redonder” ses documents importants.

On peut imaginer passer par un cloud où on met en vrac tout notre bordel de fichier, ou alors copier l’essentiel sur des disques durs externes ou des clés USB (voire des CD-ROM pour les nostalgiques). Ça aura au moins le mérite de faire des enregistrements de vos fichiers importants sur autre chose que votre appareil habituel. Faire ce genre de sauvegarde n’est pas une activité très fun, mais elle peut être salvatrice.

8 — Puisqu’on parle de cloud

Le marketing s’est emparé de manière éhontée du cloud, l’informatique en nuage, cet endroit magique où on peut mettre en vrac tout plein de trucs. Soyons honnête : le cloud reste un ensemble de machines qui ne vous appartient pas, et sur lequel vous n’avez strictement aucun contrôle, et qui peut laisser les autorités accéder au contenu. Cela peut être rassurant de savoir que ces photos de vacances sont sauvegardées chez un hébergeur cloud quelconque ; mais rien ne vous garantit qu’une personne travaillant chez cet hébergeur n’ait accès à vos photos. Question de confiance.

Du coup, lequel choisir ? À vous de voir, et je ne tiens pas à faire du placement de produit. D’une part parce que le cloud (et aussi les réseaux) sont pour moi des trucs magiques et nébuleux, d’autre part car je n’ai jamais fait d’étude comparative sérieuse entre chacun d’entre eux. Toujours est-il qu’on a par exemple Google Drive qui offre 15 Go de stockage en ligne, et ça a largement de quoi faire. Par contre, niveau vie privée on repassera. On a aussi iCloud Drive qui va chiffrer davantage certains éléments qui y sont stockés via vos iBidules. On peut citer DropBox, mais bon. Ou alors, allez faire un tour du côté des C.H.A.T.O.N.S.et des hébergeurs sérieux et propres comme Cozy Cloud (avec des tarifs vraiment dérisoires) ou Zaclys.

Il existe des solutions comme ownCloud ou NextCloud où on héberge nous-mêmes nos propres “clouds”, que ce soit à la maison ou sur de serveurs dédiés, on a l’avantage de gérer nous-même l’outil qui permet de stocker ses documents. Ça demande plus de boulot par contre. Yunohost est aussi sympa dans son genre si on peut partager des choses.

Autant on parle de documents, autant quand on parle de cloud on peut penser aussi à sa gestion des contacts, mails et calendriers. Aujourd’hui, beaucoup de personnes ont un compte Google ou MSN / Hotmail / Outlook pour gérer les mails, le carnet d’adresse et les agendas. Mais finalement, on en revient au même point : des entreprises, pas forcément vertueuses, souvent des poids lourds de la tech, peuvent (ou non) accéder à ces informations et les exploiter, le tout avec votre accord car vous n’avez pas eu envie de lire les 3 kilomètres de conditions d’utilisation. Et quand on accède aux contacts, correspondances et agenda d’une personne, on en revient au temps de la Stasi : good bye vie privée. Mais du coup, comment faire pour éviter de balancer à ces entreprises les infos perso de ses contacts ?

Une solution, par exemple, est d’aller voir chez Gandi (mon article, mes placements de produits, na !). Gandi permet d’acheter des noms de domaines (comme cafe-vie-privee-lannion.bzh), d’héberger son site web, et aussi… de gérer ses mails. Gandi, pour ça, propose différents portails comme Roundcube ou SOGo. SOGo propose une interface simple, jolie, qui gère les courriels et qui permet de gérer ses agendas et carnets d’adresses. Une rapide manipulation sur son smartphone permet de mettre en place une synchronisation entre ce service et son appareil. Ainsi, on décentralise ses contacts et agendas !

9 — Et si on chiffrait ?

On va être direct tout de suite : si un jour cet article vient à être considéré comme borderline, c’est probablement à cause de ce point (ou des autres aussi d’ailleurs). Le chiffrement peut être considéré comme un matériel de guerre. C’est dit. Et dans la mesure où des pédophiles, des trafiquants en tous genres, des fanatiques et autres terroristes aux idées courtes utilisent des messageries chiffrées (et-on-ne-dit-pas-crypter-bordel), je pense qu’à terme toute volonté pour le péquin lambda de chiffrer ses documents et échanges sera très, très mal perçu par les autorités. Après tout, si on n’a rien à cacher, où est le problème hein ?

L’intérêt de chiffrer réside dans le fait de protéger le contenu de ces appareils, de protéger ses documents, de protéger ses communications, de tout regard non autorisé. Alors oui, si des tarés chiffrent leurs smartphones qui comportent des photos de gosses nus, clairement, je n’envie pas les enquêteurs pour accéder à ces informations et j’espère qu’ils y arriveront. Mais admettons que l’on vous vole votre téléphone, ou que vous subissez un cambriolage dans lequel vos petits appareils sont volés (oh bah tiens, votre tablette ou votre disque de sauvegarde), vous allez vous sentir comment en sachant que les photos de vos enfants, vos soirées beuveries, les sextapes avec votre conjoint·e, ou vos bulletins de salaires et fichiers bancaires sont dans les mains d’inconnus ? Bon courage. Autant d’éléments qui peuvent servir à quelqu’un voulant usurper votre identité.

De nos jours, les smartphones avec les derniers systèmes proposent un moyen de chiffrer le contenu de l’appareil, c’est un bon début. Sans le mot de passe principal, on est relativement tranquille. On a même certains appareils comme les iPhones qui permettent la destruction des informations si le mot de passe de déverrouillage a été mal saisi X fois. Le FBI n’aime pas trop, mais ça ne semble pas l’arrêter pour autant.

Sinon, pour vos ordinateurs, VeraCrypt fait le travail. Cet outil permet de créer un “volume”, à savoir un dossier spécial, protégé par mot de passe, chiffré comme vous voulez, dans lequel vous pouvez mettre ce qui compte pour vous. Ainsi, si votre ordinateur est volé, ce qui est dans ce volume reste relativement protégé (du moment que vous n’y mettez pas un mot de passe bidon).

10 — Les messageries instantanées

Je vais être franc : cassez-vous de Facebook. Donc de Messenger, Instagram, WhatsApp Facebook est une des métastases du cancer qui ronge le web. WeChat semble être noyauté par Pékin Quant à TikTok ou encore Snapshat... bref. Vous n’avez aucune vie privée avec ces outils. Vos échanges sont scrutés par un des géants du web. Même si WhatsApp revendique un chiffrement de bout en bout de vos échanges, demandez-vous pourquoi son fondateur, qui a vendu son projet à Facebook pour une coquette somme, regrette et conseille de fuir l’app.

Mais laquelle choisir pour des conversations en ligne, protégées, qui se fichent des frais de roaming et depuis n’importe où dans le monde ? Franchement je n’en sais rien, car chaque outil a ses avantages, mais aucun n’est parfait et tous ont des faiblesses (notamment quand on utilise plusieurs appareils). À une époque on pouvait citer Telegram qui se retrouve dans le viseur de différents pays, et qui passerait par des technologies propriétaires (donc opaques finalement). Mais aujourd’hui j’aime bien Signal qui a le vent en poupe. On a Wikr aussi, Wire , et Keybase.io qui est par exemple utilisé par des chercheurs en cybersécurité comme fs0c131y. On a aussi Riot (maintenant rebaptisé element) qui d’ailleurs sert de base à Tchap , l’application souveraine de messagerie sécurisée de l’État français. Bref, c’et le bordel. Il faut choisir sa crémerie, et c’est casse-tête par moment. Et poil d’aisselle sur le gâteau : l’Europe songe à s’attaquer à la confidentialité des communications, entre autres via ce genre d’apps.

11 — Des VPN ou TOR

Lorsque l’on navigue sur les internets (oui, on dit “les internets”), notre connexion le plus souvent est sécurisée au travers du protocole HTTPS (je grossis les choses). Parfois certains sites web ne mettent pas à jour leurs certificats, ou ne passent que par du HTTP. Dans ce cas : fuyez-les, on est en 2020, l’histoire n’a que trop d’exemples de cas de sites web compromis ou falsifiés à cause de connexions foireuses.

On peut passer par des Virtual Private Networks (VPN) pour cacher ses communications et “sortir” dans le web à un endroit moins habituel. Clairement, il y a un paquet de ressources en ligne à ce sujet, et je ne vais pas les reprendre gauchement. Toujours est-il qu’aucune solution n’est parfaite, et là où certaines se complaisent dans la communication marketing (comme NordVPN), d’autres semblent plus sérieuses (comme ProtonVPN ?). On peut retrouver des offres VPN avec certains navigateurs, comme Brave. Certains pays tentent de bannir leur usage, curieux n’est-ce pas ?

Autrement il y a TOR, The Onion Router. Pour savoir si un outil est efficace, il suffit parfois seulement de voir comment les gouvernements s’en prennent à lui. Des pays essayent ou réussissent à bloquer l’usage de TOR ; on comprend que ça peut en gêner plus d’un d’avoir des citoyens naviguant sur le web sans surveillance. TOR permet d’avoir une connexion réseau qui passe par 3 “noeuds”, chacun allant apporter sa couche de chiffrement. L’avantage est d’avoir une communication davantage protégée des regards indiscrets, mais la navigation peut s’en trouver ralentie. Certains sites bloquent carrément l’usage de TOR, d’autres voient leur mécanisme de sécurité déclenchés. Oui, bon nombre de “gros” sites vérifient l’habitude de connexion de leurs utilisateurs ; et voir une connexion soudaine faite depuis un pays d’Europe de l’Est peut surprendre si on se connecte habituellement depuis le fin fond du Larzac TOR propose son navigateur web, Tor Browser, qui simplifie grandement son utilisation. Brave propose un système de navigation privée passant aussi par TOR. Firefox a depuis peu un plugin pour ça aussi.

D’ailleurs il y a cet article sympa de Framablog sur TOR et Nos Oignons, à lire tranquillement.

12 — Les réseaux

Le numérique a besoin du réseau, et beaucoup de choses peuvent se passer à ce niveau. D’une part, le Domain Name System (DNS). Ces éléments du réseau permettent de résoudre des adresses web (comme pylapersonne.info en adresses IP (du genre 87.98.154.146) à laquelle va se connecter l’ordinateur, la tablette, l’appareil connecté ou le smartphone. Ces DNS se trouvent parfois au coeur des mécanismes de censure ou de filtrage des réseaux. Les changer, et passer par des mécanismes différents voire plus vertueux, permet de s’affranchir de tentatives de censure ou de surveillance. Parmi les DNS, il y a ceux du Fournisseur d’Accès à Internet (FAI), on peut penser à ceux de Google (8.8.8.8), OpenDNS ou Quad9 (9.9.9.9)

Justement, puisque l’on parle des FAI, on peut imaginer que certains commercialisent les données de navigation, ou analysent les recherches faites (ou pas). D’autres comme AT&T ont été empêtrés dans certains scandales. Pour le coup, il existe des FAI associatifs (comme FDN, d’ailleurs allez voir aussi Fédération FDN) et des C.H.A.T.O.N.S qui peuvent proposer des services intéressants. Au Café Vie Privée de Lannion en 2018, l’équipe de Faibreizh avait pu parler de son projet de FAI associatif.

Dernier point, les détecteurs d’espions. Il existe des outils (comme des IMSI catchers) et divers procédés pour surveiller les réseaux et leur trafic, souvent pour des intérêts totalement légitimes, et des outils pour vérifier s’ils sont mis en place ou non comme OONI Probe. Pour cette app, il y a une simulation de trafic vesrs des sites web pouvant être tendancieux, et le comportement obtenu permet de déterminer s’il y a de la surveillance. On peut se retrouver dans une situation où le réseau est testé avec du trafic considéré comme criminel (par exemple les sites pornographiques en Egypte seraient interdits).

13 — On parle de la monnaie ?

Monopole d’état, enfin pour la monnaie fiduciaire au moins en tout cas, les échanges financiers en disent parfois très long sur notre vie privée, surtout quand on utilise le traceur par excellence proposé avec un grand sourire par les banques : la carte bleue. J’avais déjà pu en parler lors d’un café vie privée, l’usage des cartes bleues diffuse beaucoup d’informations personnelles. On y retrouve entre autres la date, le montant, et aussi le destinataire de la transaction. On est alors capable de déterminer, si certains motifs se répètent, quelles sont nos habitudes de consommation (telle boutique en ligne, tel restau, tel bar), et aussi d’autres éléments plus personnels (la pension mensuelle pour son ancien·ne conjoint·e, le prêt que l’on doit rembourser à un proche, etc).

Il y a difficilement des alternatives qui sont popularisées, il faut se contenter souvent de la monnaie fiduciaire (pièces et billets), ou alors tenter des monnaies libres locales comme la Ğ1. On peut aussi, même si c’est le parfait exemple de truc cool dont l’usage n’est pas du tout répandu, passer par certaines cryptomonnaies comme Monero ou Zcash (Europol apparement se cassant les dents sur Monero). Il y a quelques années on aurait pu parler de Bitcoin, mais l’histoire montre encore que la confidentialité des transactions n’est pas terrible du tout, comme ce fut le cas pour la résolution de l’affaire Locky ou de celle de Silk Road pour retrouver les fonds.

14 — Et quoi d’autres sinon ?

Je ne suis pas du tout un expert en sécurité, en réseau, en web ou en transactions financières, et à mon avis il faudrait un blog entier voire plusieurs bouquins pour traiter tous ces sujets.

Il y a quelques points que je n’ai pas spécialement abordés. Par exemple, dans sa vie quotidienne où le logiciel est quasiment partout, remplacer ses applications et logiciels propriétaires par des alternative libres et open source. Naviguer avec Firefox, utiliser Ubnutu, passer par Libre Office, regarder des films sur VLC, utiliser OSMAnd pour ses ballades, passer par Open Street Map, il y a finalement pas mal de choses à dégager pour des alternatives plus saines ou des ersatz pas trop pourris.

Le software a une grosse place chez nous, mais aussi le hardware. Il existe des projets d’ordinateurs portables et de smartphones qui ont été reconditionnés ou dès le début conçus pour protéger l’utilisateur et ses donnée numériques. En vrac il y a Purism avec ses ordinateurs et téléphones portables (avec du PureOS dedans), mais aussi le Pinephone ou des sites spécialisés comme Minifree ou Technoethical.

D’ailleurs, ça peut être l'occasion de faire attention à un truc auquel on pense rarement : les communications sans fil de nos appareils. Honnêtement, quand ça ne sert pas, désactivez les données cellulaires, le Bluetooth ou le WiFi. Vraiment. D‘une part car ça peut économiser un peu de batterie, d’autre part dans certains cas vos smartphones vont émettre à fond pour tenter d’accrocher une antenne, donc niveau exposition aux ondes c’est pas terrible (alors dans une voiture sur autoroute ou un TGV…). Par ailleurs, il y a tout un business mis en place concernant la “géolocalisation indoor/outdoor”, à savoir le tracking de vos passages dans les rues et magasins. Cela se fait par exemple à l’aide de beacons ou de panneaux publicitaires connectés qui vont s’amuser à choper tous les appareils à proximité qui ont leur WiFi non désactivé.

On peut aussi évoquer l’usage de messageries méls chiffrées avec notamment l’usage de clé GPG ou PGP. Là ça commence à être techniquement plus velu, et tous les logiciels de messagerie ne sont pas forcément prêts.

Il faut penser aussi à autre chose qui mériterait à mon avis un billet de blog à part : les métadonnées. Ces informations sont embarquées un peu partout dans nos vidéos, nos photos de vacances ou selfies, et en disent long sur nous. Selon l’application et l’appareil utilisés, on peut y retrouver la localisation GPS ou approximative, le modèle de l’appareil, les réglages appliqués, la date et l’heure, et aussi parfois une première analyse du contenu de la photo ou la vidéo. Ajouter donc ces souvenirs pictographiques à des siphons à données comme TikTok, Instagram ou Facebook qui font de la reconnaissance d’objets, et vous pouvez exposer à des boites étrangères tentaculaires un pan entier de votre vie privée. Moi ça ne me fait pas du tout rêver.

Bref

Dans la vie de tous les jours, utiliser ce genre d’outils n’est pas plus compliqué que ça pour la plupart, et ça en devient une routine finalement plus saine et rassurante, même si on arrive parfois à s’isoler de ces congénères qui ne comprennent pas, se foutent, ou ne veulent pas changer leurs habitudes et ça se comprend finalement (Facebook a gagné depuis longtemps).

À l’ère du capitalisme de la donnée personnelle et de la surveillance, manies dangereuses que peuvent avoir gouvernements, partis politiques, entreprises ou individus mal intentionnés, il n’y a que des arguments positifs pour être vigilant quant à ses usages du numérique.

Parfois certaines choses peuvent être rébarbatives, mais dans la où trop d’acteurs du numérique et du web se gavent sur nos vies, il est grand temps de reprendre le contrôle.

Dans la vraie vie l’affaire se corse de plus en plus, d’autant plus que l’on tend à aller vers des états autoritaires et policiers, même en France. Déjà, le fait d’utiliser TOR, Tails ou des produits open source et libres peut avoir un effet : soit de passer pour un marginal (mouarf, quand on est barbu, en short et tongs, avec un t-shirt des Foufounes Electriques c’est pas ça qui va aggraver les choses), soit d’attirer l’attention et le soupçon car “on a quelque chose à cacher”. Aaaaaaaah le “je m’en fous, j’ai rien à cacher”, ce mantra du XXIème siècle qui aurai pu être repris dans les années 1940 par les collabos. On a tous quelque chose à cacher : sa vie privée. Si ça vous choque, allez vous faire foutre. Mais effectivement, quand les relents fachistes reviennent, et ce par une majorité de partis politiques (LREM, LR, RN, même combat) avec de velléités policières, animées par le besoin viscéral de mettre en place une société de la surveillance, la Loi commence à se casser la gueule (et la technique en chie aussi).

Déjà, il existe des solutions techniques commercialisées par des boites israéliennes comme Cellebrite pour pénétrer dans des appareils et accéder à son contenu, même s’il est chiffré.

Ou autre chose où la Loi a cédé, le code permettant de déverrouiller son smartphone peut être considéré comme une convention de chiffrement. Refuser de le donner, même en garde à vue, peut donc être un délit. Ce fil Reddit est intéressant, cet article Next Inpact aussi.

Le fait d’utiliser des apps comme OONI Probe peut être risqué comme indiqué sur leur site.

Le fait de vouloir être anonyme sur le web (en partant du prédicat que c’est possible), ou être pseudonyme en énerve plus d’un. À l’heure où la plèbe est gavée aux news anxiogènes des chaines d’infos en continue, qui relayent constamment le dégueuli haineux d’un large pan du monde politique, on constate que c’est la faute des rézosssossio. Que Internet iléméchan. Que les terrorisses ils utilisent des trucs cryptés (sic) du deep dark web (mais fait chier !) et que faut surveiller tout le monde. Pour ces gens là, deux cas de figure : soit on les éduque à ces sujets, pour l’avoir fait c’est cool mais ça prend du temps, mais c’est utile (et c’est sympa à faire), soit on considère qu’ils font eux-même partie du problème. Il faut toujours une masse beuglante pour soutenir des idées nauséabondes. À ceux-là, une seule chose à dire : allez clairement vous faire foutre.

S’attaquer au chiffrement, s’attaquer à l’anonymat, c’est s’attaquer aux libertés fondamentales, dont celle d’expression. Mais des politicards de carrière comme Avia ou Ciotti n’en ont strictement rien à faire, depuis facilement 2007.

Pour paraphraser Benjamin Franklin, si vous voulez sacrifier un peu de votre liberté pour plus de sécurité, vous ne méritez ni l’une ni n’autre.

Et si vous dîtes que l’on peut faire confiance à ceux qui nous surveillent, posez-vous la question : qui gardera les gardiens ?

Chacun ses combats, mais j’imagine qu’avec ce genre de propos on risque d’être fiché pour radicalisme.

Bon, et sinon des trucs à voir ?

Quelques éléments en vrac à voir tranquillement :

Dernière mise à jour : mercredi 9 février 2022 Précédemment sur Medium et paper.wf

Did you enjoy reading this blog? Give me a beer 🍺 or use something else ❤️‍🔥 Licensed under CC-BY-SA 4.0. Opinions are my own. To contact me, feel free to choose the most suitable medium for you, or for example Mastodon.

A little story about an insignificant Android app: birth, growth and death sentence

🇺🇸 – Monday, September, 21st 2020

Mots clés : #Android, #GooglePlay, #root, #clicker, #app

How a simple app I forged was used and hacked by users before being kicked by Google without warning.

Few years ago when I was an impetuous-padawan-developer I discovered useless but must-have apps to waste time like Cookie Clicker and Woy !. The aim of Cookie Clicker was simple: tap on the screen to get more cookies. Woy ! was an app created by colleagues which helped to define notifications (useful or dumb) to send to contacts (but was removed from Google Play). Thus I started to work on an app which may help me to trigger a lot of clicks to these kinds of apps, during day and nights. Yes, I need to fill my week-ends and I wanted to spam my friend 😁.

The first issue I met was the open source license to use. 🐧

In fact I wanted to create a free project, and finally chose the MIT license. Much simpler and smaller than Apache 2.0, and didn’t want to use contaminative licences like GPL.I wasn’t yet an enough bearded linuxian. My mood was something like “use it, ant that’s it”

Text of MIT license

Next, the tools. 🛠️

Nothing original, created a repo on GitHub, listed the features I wanted to implement in a poor plain text file (too lazy to create at that time a Trello or Wekan account). I decided to upload the app on Google Play, my first baby project! I thought about alternative stores like F-Droid but decided to not use it ; youngster laziness (remember my baby-linuxian beard? I had only a moustache). First project, wanted to keep it simple.

Then, the tests. ✅

How could I ensure my software was enough stable for release? How could I ensure to find any regressions? So I decided to play with unit tests using JUnit and functional tests with Espresso and UI Automator. Nice choice! I was quite confident about the coverage of my tests (too much?), even if the core of the app was tricky to test with automated tools. I should had used TDD and clean code principles to make things cleaner and better. With hindsight I should have been more careful about the coverage of my sources (to ensure all cases have been properly tested).

Java-written functional test source code

After that, I tried to build an HTML doc using JavaDoc because I chose Java. ☕

Yes, I love comments, and Java was one of the two first programming languages I discovered, it has a special flavor for me. Maybe I wrote too much of comments in that project. But having a nice bunch of HTML pages is fun for me. The boring thing was more about the use of Java instead of Kotlin, but at that time Kotlin was not ready at all. JavaDoc was cool and quite efficient to have a quick look on the API.

Java source code sample of a click async task

First project, so first occasion to use fun third-party components. 🧱

For example I integrated a material arc menu, custom switch buttons, introduction screens, swipe selectors, and material seek bars. I tried to have a simple but nice UI. Time to get pleasure!

Then, the features. ⚙️

At that era, it was not possible for an app to make clicks outside itself ; thus no app was able to click on other components. However if the smartphone in use is rooted, let's party! A whole API is reachable, a lot of funny things can be done using a shell with sudo rights. With this low-level API all actions can be triggered, like clicks or swipes. It worked during a long time but it seems it will be the pretext for Google to use the shotgun. The use case was simple: define a list of points to tap on the screen, apply a configuration (duration of clicks, breaks between them, …), ask for sudo access and go. Simple, isn't it? The app allowed also to export configurations, use predefined scenarii and could be triggered from outside. A more curated list of features is in the README.

One of the cool part of this story was the unexpected third-party contributions, about translations. 🌍

Indeed like a naive developer I used dumbly Google Translate to translate my wording (in english and french) to other languages. In fact I saw thanks to the Play Store developer console a lot of users lived in plenty of countries, from Russia to Spain, Iran to Middle-East, Korea to South America. But the translations I integrated were awful. Users were complaining a lot about how bad it was ; the UI was not usable at all! I should had used only languages I was able to read, write and understand. DeepL was not launched. However a Russian and a German users some day send to me the translations in its mother language, and an Italian user made a pull request for new translations. Motivating! It was free, efficient and clear, thanks to these guys!

Very bad comment on Google Play Store about bad translations

The interesting thing was about the use of the app, and firstly the metrics I got. 📋

I saw there was a two-sided relationship between users and the app: love and hate. Reading the store stars, I had a big split with high stars numbers with the worst mark (1 star) and… the best (5 stars). But why? Why did I received such rude and offensive comments on a side, and enjoying and motivating comment on the other side?

App page review with 322 marks, an average rank to 3.0 and highest scores in 5 stars and 1 star.

It was because… I did not mentioned the app was for rooted device. Woops. Yes the promise was cool (click on everything!) but it was also fucking disappointing for users if the device was not capable. Thus I mentioned in CAPSLOCK in the title of the store page the app was for unleashed smartphones, and things were a bit better. saying in the description of the app was not enough.

Header of the app's page on Google Play Store with the icon, the name and screen shots.

Few months later, I asked search engines like Google and Duck Duck Go... 🦆

...to check if there were some contents about the app, like reviews, counterfeiting and videos about it. I was both kindly surprised and upset about the things I

In the hand I saw the app was available on third-party platforms, kinds of APK aggregators. I was upset: no consent was given to them to steal the app and provide it on foreign platforms. I checked also the content: I found some of the provided APK were compromised! Thank you guys, my project, my app, open sourced it, and you altered it to make I-don't-know-what operations. Sincerely, go fuck yourself. You deserve nothing, and because of you and the stupidity of some users (using blindly such tools) you give to Google too much points to say third-party stores are hazardous (even if Yalp and F-Droid are reliable!).

The other things I got, a more pleasant one, was some users hacked my app so as to use it for other things: get more followers on Instagram! From my point of view we should have the right to hack apps and use them for use cases we want, and that was pleasant to see people talking about Smooth Clicker on YouTube! It was not expected at all but it made my smile 😊. A review here and another here 😄.

However shit had finally come for my app: the Google head shot with a railgun. Painful and rough. 💥

Some day I received an email from Google whistling the end: “Hey guy, we found your app was violating our terms of uses, in fact you altered the state of the device and we disliked that. So, say goodbye to your project! Best regards ❤”. Holly crap. That was unexpected. I tried to have a look and the console but… nothing! Because the app has been blocked, every fucking thing has been hidden or disabled. Comments ? Nope. App reviews? Nope? Crash reports? Ahah, nope. Metrics about the devices of users? Stop dreaming, blocked.

Email of Google saying the app has been ssuspended because of rules 4.8 and 4.9 violations of Play Store terms of uses

Maybe I should have appealed. In fact my app did not changed the state of phones: it only triggered the sudo mode of rooted devices (but did not root them) and call ADB primitives to make clicks. Ok, the app had links in the settings page to help people to make their devices rooted using dedicated tools. But it's ok, be fair-play, it was a bit borderline 😛.

Java code which builds an ADB command and processes it in a SUDO processus

Even if I appealed it won't be very useful for me to get access to the app to make patches: in fact like a moron I formatted my laptop. Guess what was the file I forgot to save? The keystore file with keys to sign the APK 😒. In fact I had a backup, but a too old one. A full jackass. Credentials lost. Woops.

Later I saw my Git history was fucked up (in fact a certain amount of repositories I used were in a big mess). Heavy files commited (woops!), non-linear history, saved secrets, I was a newbie and also my personal email was used in commits. Bots found that and I received between 50 and 100 emails per day with scams. So, I decided to change my emails accounts and burn all my repositories. Fresh start, cleaner history, good base. Not smooth but I didn't care.

And so what?

Smooth Clicker was my first junior side project, and it was pleasant. Doc, tests, design patterns, open source, in production and hacked by people, between 50k and 100K downloads… it was incredible. The main feature with the Shell ADB commands was cool to implement, and I learned a lot. Good skills have been got and will be used in the future. I have a lot of regrets about the Google sentence: I would have liked to have a warning instead of such one-shot. But it's the game: I tried, and it not accepted. But it was a cool journey! I would liked to go further with the app but it's a sad fact: the 2.1.3 version (code name Juicy Jellyfish) will be the last.

Extract of app page saying there was between 50,000 and 100,000 downloads

Error message in Google Play saying the app is not available anymore

Dernière mise à jour : mercredi 9 février 2022 Précédemment sur Medium et paper.wf

Did you enjoy reading this blog? Give me a beer 🍺 or use something else ❤️‍🔥 Licensed under CC-BY-SA 4.0. Opinions are my own. To contact me, feel free to choose the most suitable medium for you, or for example Mastodon.

La Fête du Libre à Lannion

🇫🇷 – mercredi 22 avril 2020

Mots clés : #FêteDuLibre, #LibreEnFête, #libre, #numérique, #opensource

Tous les deux ans, un regroupement d’associations des Côtes d’Armor travaillent ensemble sur Libre en Fête en Trégor (site web, Twitter), un rassemblement convivial et familial autour de la culture du libre et du partage. Cet évènement s’inscrit lors de la Fête du Libre qui est initiée chaque année par l’April. J’aurai aimé dire que l’édition allait se faire cette année, et leur faire un p’tit coup d’pub, la dernière “grosse” édition ayant eu lieu en 2018, mais les mesures de confinement de la COVID-19 en ont décidé autrement 😔. Toutefois, je tenais à revenir sur cette belle édition du 25 mars 2018 avec plus de 700 visiteurs après plus de 6 mois d’organisation.

Les contributeurs du projet 💪

L’édition 2018 était organisée de concert par le FabLab de Lannion ainsi que Code d’Armor. À ces deux associations se sont joints prêt d’une trentaine d’acteurs, allant de la ville de Lannion et le conseil départemental, aux établissements d’enseignement avec le lycée Le Dantec, l’IUT et l’ENSSAT, tout en passant par des acteurs économiques locaux comme Anticipa, BrestTech+ ou Kristal. Et surtout, de nombreuses associations de différentes tailles, avec l’April, Nos Oignons ou Open Street Map. La liste est longue mais ci-dessous il y a un récapitulatif. On peut remarquer des associations qui sentent bon le beurre demi-doux comme An Drouizig, Infothema ou encore Nerzh Nevez, et aussi des poids lourds comme Linux Pratique et Hackable magazine !

Bref un sacré paquet d’acteurs qui fait plaisir à voir 👇.

Liste des acteurs récupérée depuis le site web linuxfr.org

Les sponsors 😘

Organiser un événement pour un public aussi nombreux, sur une seule journée, avec autant d’espaces et d’acteurs à rendre visibles exigeait d’avoir un minimum de sponsors et soutiens, ne serait-ce que pour amortir l’achat des consommables ou faciliter la communication ainsi que la création des différents supports. En effet nous ne cherchions pas vraiment à dégager des bénéfices, mais avant tout à être à l’équilibre financier, et si bénéfices il y avait, les reverser à des associations partageant les mêmes valeurs que nous. Là encore le local a joué beaucoup avec la ville et l’agglomération, mais aussi des entreprises installées dans le coin ou non comme Huawei, Ixia et Orange. Merci encore à eux 👌.

Les 6 espaces ⛱

Le coeur de l’édition costarmoricaine de Libre en Fête était composé de 6 espaces thématiques. Ces espaces devaient contenter tout le monde : les plus jeunes comme les plus grands, les geeks barbus et jeunes hackeuses en herbe, ainsi que des familles curieuses en quête d’occupation dominicale. Ces zones avaient pour but de montrer les valeurs partagées dans la “culture libre”, tout en cassant les mythes et préjugés qui pouvaient encore lui coller à la peau.

Affiche de l'espace Explorer

🤠 L’espace Explorer : numérique et territoire proposait par exemple un jeu de cartographie du Trégor façon puzzle avec des pièces découpées au laser. On pouvait aussi y retrouver de acteurs parlant de cartographie collaborative comme Open Street Map ou l’antenne lannionnaise de The Thing Network parlant objets connectés et LoRa. C’était aussi l’occasion pour la ville de parler de sa propre vision à l’horizon 2030. Les amateurs de vélos ont pu montrer leurs contributions sur les différents chemins cyclables ainsi que leur niveau de praticabilité.

Affiche de l'espace Comprendre

🧪 L’espace Comprendre : numérique et enjeux citoyens quant à lui avait peut-être le côté le plus “hard” du libre avec les problématiques relatives aux données personnelles, la neutralité du net, la surveillance en ligne, le tracking publicitaire… On pouvait aussi y trouver des choses sur l’open data et la démocratie participative et numérique. Pour retrouver les fidèles contributeurs de l’April et Nos Oignons, c’était là. Le Conseil Départemental en profitait également pour parler des données libérées et publiques. La cybersécurité et les communs étaient présentés aux visiteurs afin de les y sensibiliser, et de démystifier un peu.

🎮 Pour les amateurs de jeux, l’espace Jouer était sur le pont. On y présentait des jeux libres avec des projets issus de jeuxlibres.net via l’association LANPower et Libre Games Initiaves. Les visiteurs pouvaient (re)découvrir le rétrogaming ainsi que des consoles de jeux do it yourself. On avait même LinuxConsole.org qui proposait une distribution Linux permettant de faire tourner des jeux PC Windows ! Grâce à eux, plus aucune excuse pour dire qu’il n’y a pas de jeux sous Linux et que le système d’exploitation de Microsoft est nécessaire.

Affiche de l'espace Apprendre

💡 Un des plus gros espaces était Apprendre. Faire découvrir aux enfants Scratch et OoRoBoT, recycler son ordinateur avec une distribution GNU/Linux lors d’une install party, se fabriquer des objets du quotidien pour être résilient, découvrir des exercices libres Aleccor… il y en avait pour tous les membres de la famille ! On retrouvait aussi Code d’Armor proposant des meetups pour faciliter le réseautage et le partage des connaissances entre développeurs, la Coopérative Pédagogique Numérique du 22 qui animait des ateliers autour du numérique et les Petits Débrouillards proposant des ateliers de bricolage pour les enfants. La culture libre est autant composée de soft que de hard, de code source que de plans d’objets à bricoler ! Un bon exemple était Nerzh Nevez qui montrait comment se fabriquer une éolienne ou un chauffe-eau avec trois fois rien (mais pas mal d’huile de coude).

Affiche de l'espace Découvrir

⚙️ Enfin deux autres espaces étaient accessibles : Découvrir et Entreprendre. Dans Découvrir notamment avec PATG on pouvait essayer des logiciels libres du quotidien accessibles au plus grand nombre que ce soit pour de la bureautique, de la navigation sur les internets, jouer…

Firefox, Thunderbird, Libre Office, Gimp… beaucoup de logiciels étaient présentés pour tous les usages. Il y avait même des supports de Framasoft proposant un ensemble de logiciels selon les envies.

Affiche de l'espace Entreprendre

🕶️ Et pour l’espace Entreprendre, les sponsors et acteurs du territoire étaient là afin de parler d’open source et d’open data. Le challenge Ada Lovelace s’y terminait et le FabLab en profitait pour faire naitre des nouveaux esprits de makers avec de courts ateliers de conception d’objets connectés. Cet espace était celui des start-ups, des makers, des celles et ceux qui voulaient construire des choses, physiques ou non. Bref, du do it yourself à tous les niveaux !

Les conférences et remises de prix 🎙

Nous voulions que la journée soit dynamique et que différents formats d’échanges soient proposés. Ainsi, de nombreuses conférences ainsi qu’une table ronde ont rythmé la journée. Beaucoup de sujets ont été abordés que ce soit l’histoire du logiciel libre, l’usage et la création de distros GNU/Linux, l’open source chez Orange ou Huawei, les cryptomonnaies, la vie privée sur le net ou encore le routage en oignons avec TOR ou la cartographie participative. Nous avions la chance durant la table ronde d’avoir des élus du territoire qui animaient le débat, notamment Eric Bothorel le député de la circonscription. Tous les territoires n’ont pas la chance d’avoir un député aussi au fait du numérique et ses enjeux, avec en plus le bagage technique qui alimente le débat.

Cette journée a été également l’occasion de réaliser des remises de prix pour le concours de cartographie locale OpenStreetMap et les lauréates du challenge Ada Lovelace afin de récompenser les meilleures contributions 😀 .

Programme des conférences

Et finalement ?

Finalement, après le 2nd startup weekend de Lannion en 2012 et avant le 1er DevFest du Bout du Monde à Brest, co-organiser Libre en Fête en Trégor fut un des gros projets de Code d’Armor.

Côté organisation, c’était parfois sportif étant donné qu’il y avait de grosses attentes de notre part, beaucoup d’interlocuteurs, différentes contraintes et une organisation à garder rodée. Mais on s’en est sorti, et le public a beaucoup apprécié ! La couverture médiatique fut également bonne, avec des articles élogieux et incitant à faire de nouvelles éditions. Il y avait une réelle volonté de la ville et des acteurs locaux de s’investir dans le projet et de proposer un évènement de qualité, et le résultat faisait plaisir à voir.

Pour plus de détails, ce thread sur le blog de Infothema ou ces articles sur le blog de l’ENSSAT.

Mais s’il a connu un franc succès, c’était grâce au FabLab qui avait lancé les initiatives, aux associations qui ont voulu partager des choses, aux différents soutiens quelle que furent leurs tailles et aux très nombreux bénévoles qui étaient au rendez-vous ! On pouvait aussi compter sur la superbe patte graphiste de Nicolas qui avait fait des affiches foutrement jolies (avant de faire les identités visuelles du DevFest brestois qui étaient vraiment sympa d’ailleurs).

En organisant des rassemblements publics avec autant d’acteurs associatifs, on se rend compte que l’humain compte avant tout. On constate aussi que des personnes, sur leur temps libre ou avec la bienveillance de leur employeur, font un travail de tarés pour faire progresser les choses. Réduire la fracture numérique, sensibiliser aux usages du web, faire découvrir la programmation, faire germer des étincelles de makers, tout ça est important. Des personnes ne s’y investiront que sporadiquement, d’autres auront le besoin de toujours faire plus. Mais c’est dans ce genre d’évènements que l’on constate la richesse d’un territoire et la possibilité d’en faire quelque chose, à tous les niveaux.Et l’avantage du libre, de l’open source, des makers, c’est qu’il y a toujours des libertaires, des punks, des militant·e·s et des créati·f·ve·s qui sont là pour proposer des choses.

Alors, bordel, merci à eux 👏

Ici une vidéo de Lannion-Trégor Communauté sur l’édition 2018, et là une du FabLab de Lannion faisant le bilan, ou encore un timelapse de l’évènement.

Et si on ne devait garder qu’une image, ce serait celle-ci prise lors de l’évènement, je la trouve rigolote 😄👇

Personne âgée avec un magazine Hackable

D’ailleurs, avec ce contexte sanitaire compliqué, le FabLab a amorcé une initiative locale pour faciliter l’équipement des soignants et de celles et ceux qui sont en 1ère ligne. La liberté de créer des uns commence là où commencent les emmerdes des autres. Vous pouvez en savoir davantage sur le projet et les makers sur cette page !

Dernière mise à jour : mercredi 9 février 2022 Précédemment sur Medium et paper.wf

Did you enjoy reading this blog? Give me a beer 🍺 or use something else ❤️‍🔥 Licensed under CC-BY-SA 4.0. Opinions are my own. To contact me, feel free to choose the most suitable medium for you, or for example Mastodon.

Confinés… et on s’ennuie ?!

🇫🇷 – mardi 24 mars 2020

Mots clés : #confinement, #COVID19, #coronavirus, #numérique, #ennui

Le contexte du COVID-19 fait qu’on est parti pour être confinés un sacré moment… et il va falloir affronter un autre ennemi invisible : l’ennui. Mais c’est peut-être l’occasion de dépiler le tas de trucs que l’on a à faire pour lequel on n’avait jusque là jamais assez de temps. C’est pas parce qu’il faut en ce moment avoir moins de relations digitales qu’on peut pas faire plus de numérique :)

#1 — Faire ces $@#! de mises à jour

Entre les ordinateurs, tablettes, smartphones et autres appareils connectés dans nos maisons, on a enfin le temps de faire leurs mises à jour. Je pense entre autres à mes IDE (Xcode, Android Studio…) et aussi aux kernels et dépendances des machines sous GNU/Linux à la maison. Allez, si on est joueur, pourquoi pas refaire une configuration ArchLinux, après tout, le confinement est parti pour durer (^_^)'

#2 — Libérer ses OS

Le vieux smartphone Android qui traine dans un coin, ou cette vieille tour sous Windows qui bloque un meuble… ça fait belle lurette que leurs systèmes sont dépréciés, non ? C’est le moment de changer ça 💪 Par exemple, si vous remplaciez le système de votre appareil Android pour y mettre du LineageOS ou du /e/ ? Si vous passiez à du GNU/Linux à la maison avec Ubuntu ? Il y a pléthore de systèmes à tester, et au pire ils garderont à jour les appareils concernés un peu plus longtemps. Des détails sur les manipulations ici.

#3 — Se déGAFAMiser

Si la vie privée et sa protection vous préoccupent, avez-vous déjà pensé à revoir la gestion de vos calendriers et contacts ? Ont-il vraiment besoin d’être hébergés chez un GAFAM ? Et si vous profitiez aussi pour faire gérer vos courriels ailleurs ? Des acteurs comme, en vrac, Gandi.net, OVH, Nextcloud ou Cozy Cloud, peuvent répondre aux besoins.

#4 — Se sécuriser

Vous n’avez jamais le temps de monter un VPN chez vous ? Vous vous dîtes que vous aviez tort jusque là de vous passer de routage en oignons ? Être confiné à la maison avec moins d’activités extérieures et machinalement plus de temps à tuer peut être rentabilisé, par exemple en essayant des services de VPN ou TOR, histoire de protéger un peu plus ses échanges. D’ailleurs, ça peut être l’occasion de changer ses DNS aussi. Voire même de regarder de plus prêt la configuration de son routeur pour, par exemple, désactiver le WPS ou activer le filtrage par adresses MAC.

On peut en profiter aussi pour experimenter certains navigateurs web comme Firefox (avec des plugins comme NoScript et PrivacyBadger) ou Brave (et sa notion de BAT).

D’ailleurs ici un billet de blog abordant les problématiques de protection de la vie privée sur la toile.

#5 — Revoir ses mots de passe

Maintenant plus d’excuse pour ne pas revoir ses mots de passe de comptes numériques ! Les sorties emplettes / promenades / bars / cinémas / … peuvent être remplacées par des moments (pas funs du tout et chiants comme la pluie) pour passer à des outils libres et open source comme Keepass pour gérer finement les accès à ses comptes. Tant qu’à faire, autant les changer avec des mots de passe générés par l’outil, et plus forts.

#6 — De la redondance

Pour les nostalgiques des CD et disques durs, ou ceux qui ont un peu trop procrastiné, on peut profiter du confinement pour voir si on a bien fait des copies de ses photos et fichiers importants. Que ce soit via un NAS, des supports physiques ou des solutions cloud (cf #3), c’est le moment de faire cette e-corvée.

#7 — Apprendre des trucs

Installer Scratch ou Scratch Jr permet d’occuper les enfants, et aura le mérite de leur donner une activité constructive devant lézécrans. Il y a aussi d’autres solutions que j’avais pu évoquer lors d’une édition de la Fête de la Science comme Code Combat, Erase All Kittens, ou Thymio.

Le temps libéré peut aussi servir par exemple à apprendre à jouer d’un instrument (ou a minima voir des tutos en ligne) ou apprendre une langue étrangère. Si vous ne savez pas quoi choisir, le polonais c’est rigolo. Va falloir deux ou trois épisodes de coronavirus pour digérer le truc.

Plutôt que de binge-watcher des séries, le confinement peut être aussi utilisé pour faire de la veille ou engloutir des vidéos de conférences passées. Entre au hasard les BreizhCamp, DevFest, Pas Sage en Seine, Capitole du Libre ou DEVOXX, il y a largement de quoi faire. C’est aussi possible d’en apprendre davantage sur le numérique avec par exemple Do Not Track ou sur ce guide sur l’hygiène numérique.

#8 — Contribuer !

Si vous avez les compétences, pourquoi ne pas occuper vos soirées à contribuer au libre et à l’open source ? Renseignez-vous auprès de vos FabLab, certains projets pourraient avoir besoin d’aide. Autrement, il y a surement des choses à améliorer. L’avantage de ces projets est qu’il y a toujours des choses à faire dessus. Il y en a partout : des clients Twitter et Mastodon, gestionnaires de mots de passe, apps de météo ou de podcasts, apps éducatives… d’ailleurs, pourquoi ne pas lancer ce side-project qui n’a jamais démarré faute de temps ?
On peut aussi revenir à l’actualité en soutenant des associations comme des C.H.A.T.O.N.S qui ont besoin d’huile de coude pour leurs outils et infras, ou aussi si on a une imprimante 3D à la maison en imprimant des composants médicaux comme des respirateurs.

Bref...

Voilà quelques propositions de choses à faire ; elles auront le mérite d’occuper et de se prémunir de certains problèmes. Si on a déjà sa dose quotidienne d’écran, il reste toujours des classiques à lire qui prennent la poussière, ou encore des groupes de musique à découvrir (connaissiez-vous le folk métal mongol ?). Ou alors vous pouvez contribuer à un clip vidéo spécial confinement 🤘.

Même si on a le droit de trouver le temps long, il faut penser aux soignants, victimes et leurs proches. Quand bien même le confinement est inconfortable, nous ne devrions pas nous plaindre, et les soutenir du mieux que l’on peut !

Dernière mise à jour : mardi 24 mars 2020 Précédemment sur Medium et paper.wf

Did you enjoy reading this blog? Give me a beer 🍺 or use something else ❤️‍🔥 Licensed under CC-BY-SA 4.0. Opinions are my own. To contact me, feel free to choose the most suitable medium for you, or for example Mastodon.

DevFest Penn-ar-Bed 2019

🇫🇷 – jeudi 9 janvier 2020

Mots clés : #DevFest, #Brest, #Codedarmor, #FinistDevs, #numérique

Presque un an après, c’est le moment je trouve de faire un retour sur cette belle expérience… bon et de faire un coup de pub aussi pour l’édition à venir du DevFest du Bout du Monde !

Parce que c’est notre projet !

On a la chance en France d’avoir une tétrachiée de conférences, et ce dans plusieurs villes comme le Breizh Camp, le Capitole du Libre, Codeurs en Seine, Devoxx, Pas Sage en Seine, Riviera Dev, Sunny Tech, et aussi les DevFest. Honnêtement si on est curieux il y a toujours de quoi apprendre, même si on retrouve parfois les mêmes sujets un peu partout.

Le truc, c’est qu’en Bretagne il n’y avait pas de DevFest, et cette absence devait trotter dans la tête de certains. Et un beau jour, l’un des affreux lascars suggéra à ses compères : “Hey, et si on se mettait à deux GDG pour faire le DevFest français le plus proche de Mountain View ?”. Et boum l’idée était lancée : on allait faire notre DevFest en Bretagne histoire d’enrichir encore ce que l’on pouvait trouver dans la région.

2 Google Developers Groups

Originalité de ce projet, on était deux GDG à s’en charger. D’un part 4 membres de FinistDevs, le GDG de Brest, avec Aurélien, Horacio, Pierre et Stéphanie. D’autre part 4 membres de chez Code d’Armor, le GDG de Lannion, avec Marc, Pierre, Samuel et moi-même. Nous étions tous motivés par la même chose : offrir un beau DevFest au Bout du Monde, et le faire tourner entre nos villes respectives.

Le lieu 🐟

Le choix de la ville ne fut pas si évident : il fallait choisir celle qui avait le plus d’avantages que ce soit pour les hébergements, les salles mais aussi les moyens de transport. Pour cette édition de 2019, Brest fut retenue. L’aéroport et la gare à proximité, ainsi que les locaux de la Faculté des Lettres et Sciences Humaines étaient confortables et pratiques pour nous, et offraient davantage de facilités pour faire venir des speakers et visiteurs de loin.

L’organisation 📝

Du coup, comment s’organiser efficacement quand l’équipe est répartie sur deux départements ? Pas spécialement d’originalité à ce niveau, si ce n’est qu’il fallait trouver le bon outil de visioconférence pour faire des points réguliers, et aucun outil testé n’était suffisamment efficace finalement. Jitsi était moyennement stable avec un son assez mauvais, quant à Hangouts… clairement pas mieux. Et mensuellement des points en physique étaient faits à mi-chemin entre Brest et Lannion avec une bonne bouffe.

Les autres outils étaient assez classiques, que ce soit Google Drive pour le stockage ou Trello. Slack a beaucoup aidé aussi avec une multitude de channels dédiées par exemple au CFP, au sponsoring ou encore à la billetterie. D’ailleurs, avoir un robot sur Slack pour nous afficher les détails des ventes était un sacré plus : nous pouvions en un coup d’oeil voir le nombre de tickets vendus, ceux pour les sponsors ou les étudiants, ou encore le nombre de personnes venant via le bus que nous avions mis en place.

Le sponsoring 💰

Le sponsoring de ce genre d’évènement, où la concurrence est féroce, est assez délicat. Certaines entreprises ou établissements jouent parfaitement le jeu et sont efficaces. D’autres parfois demandent à être davantage accompagnées au vu de leurs process internes. Il arrive aussi que d’autres entreprises ne s’impliquent aucunement, que ce soit avec un refus correct ou un dédain complet. Toutefois cette problématique n’est pas inhérente aux conférences : on retrouve le même problème dans l’associatif. J’ai pu en parler un peu sur cet autre billet de blog.

Mais finalement les soutiens étaient là, et nous avons pu je pense offrir un 1er DevFest breton de qualité, merci encore à eux !

Le Call For Papers 📢

La sélection des sujets suite au CFP est toujours un exercice compliqué voire chiant à faire. Il faut par exemple savoir faire la part des choses entre les speakers que nous voulions voir, et ceux que le public aimerait avoir. Nous devions aussi faire attention à la représentation des entreprises ou des sujets pour s’assurer d’avoir une bonne mixité. Conference Hall était relativement pratique comme outil, et nous a permis de voter et trier la centaine de propositions reçues, pas mal pour une première !

D’ailleurs j’avais pu faire un autre billet de blog à ce sujet, étant donné que l’exercice est frustrant autant pour les organisateurs que les speakers et les visiteurs.

La décoration 🎈

Pour une première édition nous ne voulions pas avoir un gros poste de dépense avec la décoration. L’essentiel était avant tout de se faire connaitre et de proposer une conférence de qualité pour le public. Néanmoins nous avions pu travailler avec le FabLab de Lannion pour réaliser des éléments comme des lettres 3D et des skylines. Nous en avions même profité pour réaliser les time keepers pour les speakers.

Le rendu était pas trop mal, mais largement perfectible. Nous avions sous-estimé le temps de réalisation et devions boucler ce sujet au dernier moment.

Plus de détails rigolos sur ce billet-ci.

Merci aussi à Nicolas notre graphiste pour avoir réalisé une belle affiche !

La touche BZH ✌️

Un DevFest dans le Finistère (littéralement au bout du monde) devait forcément avoir une p’tite touche bretonne, et elle était présente avec nos partenariats.
Par exemple A L’Aise Breizh nous fournissait en T-Shirts pour les speakers, organisateurs, bénévoles et visiteurs. La distillerie Warenghem était aussi présente grâce aux bières spéciales que les visiteurs pouvaient demander dans leurs goodies. Enfin, et c’est une des plus belle réussite du projet à mon sens, les vidéos des conférences étaient 100% bretonnes. D’une part l’association 3BF Studio a fait un sacré boulot de captation et de montage des vidéos que vous pouvez retrouver ici. De plus, Triskill, groupe de métal traditionnel breton a pu nous fournir une bande son sympa (Kas a Barh) pour les vidéos ! Vous pouvez l’apprécier notamment avec l’after movie.

Les keynotes de fermeture aussi avaient également un côté beurre demi-sel (ou demi-doux). Quentin Adam de Clever Cloud (c’pas en Bretagne Nantes ?), en plus d’être sponsor et d’avoir apporté des speakers, a animé sa plénière sur l’art de faire travailler les personnes ensemble de manière efficace. La plénière de fermeture qui précédait celle-ci était davantage bretonne avec la présentation du Dr Patrick Zemb sur le monitoring prénatal ; dit autrement comment des outils (bretons 🤘 ) comme WarpScript pouvaient réduire la mortalité prénatale.

Dernier truc aussi, le marketing du DevFest. Cette première édition n’était pas parfaite, mais elle était satisfaisante. Nous avions alors décidé d’afficher les couleurs de notre DevFest, avec entre autres des hoodies bien chauds (ça caille parfois au bout du monde mine de rien) ; et le rendu n’est pas dégueu, surtout avec le logo !

Bref, cette édition 2019 du DevFest du Bout du Monde était une réussite. Parfois l’organisation n’était pas simple vu nos emplois respectifs et la distance, mais nous sommes parvenu à faire un bel évènement et nous avons de quoi être foutrement fiers !

Si ça vous tente, l’édition 2020 arrive le 28 février, et la billetterie est en ligne. Vous pouvez suivre l’actualité également via leur fil de gazouillis Twitter !

Dernière mise à jour : jeudi 9 janvier 2020 Précédemment sur Medium et paper.wf

Did you enjoy reading this blog? Give me a beer 🍺 or use something else ❤️‍🔥 Licensed under CC-BY-SA 4.0. Opinions are my own. To contact me, feel free to choose the most suitable medium for you, or for example Mastodon.

DIY is ❤

🇫🇷 – samedi 23 novembre 2019

Mots clés : #DIY, #DevFest, #FabLab, #Lannion, #Bretagne

Lors du 1er DevFest de Bretagne, le DevFest du Bout du Monde de 2019, nous avions fait le choix de miser sur le local pour réaliser une partie de la décoration. D’ailleurs, avec deux associations qui organisaient le DevFest (Code d’Armor et FinistDevs), ça nous paraissait logique de travailler de concert avec d’autres comme par exemple 3BF Studio pour la captation des conférences et le FabLab de Lannion pour le bricolage.

Retour sur nos créations, avec un bon mélange de medium, de peinture, de bière et d’huile de coude.

DES GROSSES LETTRES

Nous souhaitions avoir des lettres “géantes” histoire de s’afficher un peu. Ce genre des lettres meublent, et pouvaient être sympas sur des photos par exemple ou pour habiller des scènes. Nous avions pu voir ce que donnaient ces lettres notamment lors du premier TEDxLannion de 2018, et nous voulions tenter !

Pour faire ça, le FabLab de Lannion avait conçu un plugin pour Inkscape afin de dessiner des modèles de lettres 3D. Une fois la lettre dessinée, son corps en trois dimensions était généré, que ce soit les deux faces et aussi le ruban flex. Ce ruban avait pour but de solidariser les deux pièces pour quelles soient parfaitement emboitées.

Une fois les lettres dessinées, il suffit de les découper au… laser ! Avec de bonnes plaques de medium, les lettres sont découpées rapidement hormis les rubans flex : les enchainements de découpes pour des motifs fins, petits et précis sont longs. S’en suivit une étape de montage, collage et ponçage pour lisser les angles. Et enfin, mise en peinture ! Deux couches pour avoir un résultat propre… si on peint les objets dans un environnement où il fait plus de 10°C et si on n’a pas deux mains gauches. En février dans un atelier quand c’est bibi qui peint à 2h du matin au dernier moment, non ^^'

DeS SkyLiNeS !

Pour les fonds de scènes, nous voulions des skylines comme celles que nous avions pu voir ailleurs. Des collègues du FabLab ont imaginé une skyline pour Lannion et les Côtes d’Armor, et une autre pour Brest et le Finistère. Merci encore Inkscape ! La découpeuse laser a bien tourné pour découper rapidement les deux produits en peu de temps. Il ne restait alors qu’à les peindre et ajouter des tasseaux pour y mettre des rubans à LED afin d’illuminer le fond.

Pour la skyline de Lannion, deux modèles ont été découpés (un blanc et un noir) avec le modèle blanc légèrement plus grand à mettre derrière. La skyline brestoise avait beaucoup d’espaces vides, c’est pourquoi il aurait fallu repenser l’éclairage, mais nous manquions cruellement de temps. Pour ce qui est des tasseaux, il valait mieux les peindre aussi en blanc ; certains sont traités et peuvent réfléchir leur propre couleur sur les pièces (ici du jaune).

Le soucis des skylines est que certaines parties sont particulièrement fines et par conséquent très fragiles ; le transport et le stockage doivent être méticuleux, et nous avons eu pour le jour J un peu de casse.

D’ailleurs, il existe sur le compte GitHub du FabLab un dépôt avec un ensemble d’éléments découpables. Pour ces skylines, quelques éléments emblématiques de nos territoires ont été utilisés comme l’arsenal de Brest, le phare de Ploumanac’h, celui du Petit Minou, Brélévenez, ou encore la tour télécoms de Lannion.

Les Gardiens… du Temps !

Les derniers éléments que nous avions fait faire étaient les time keepers. En effet nous voulions avoir un moyen de mesurer le temps écoulé pendant les conférences afin que les speakers sachent combien de temps il leur restait pour parler. Nous souhaitions des solutions originales et décoratives, et voulions éviter les traditionnels panneaux ou feuilles de papier avec des chiffres écrits à la va vite dessus.

Les trenders étaient relativement simples : un socle avec peu d’électronique dedans, des LED et une partie supérieure en plexy à emboiter diffusant la lumière. Cerise sur le gateau, un portail captif accessible au travers d’un réseau Wi-Fi diffusé par le socle afin de configurer l’appareil. La partie en plexy est découpée au travers d’une découpeuse laser qui est similaire à celle pour le bois.

Si les trenders vous intéressent, vous pouvez par ailleurs jeter un coup d’oeil au dépôt GitHub associé ou sur le site du FabLab. Le résultat était très convaincant, et l’usage vraiment simple !

Bref, travailler avec plusieurs associations a du bon ! Le FabLab de Lannion étant proche de mon domicile et très équipé, je me suis improvisé peinture et bricoleur. Le résultat parfois n’était pas terrible, mais les bénévoles du FabLab étaient toujours présents pour corriger les problèmes et apporter de nouvelles idées ! Si c’était à refaire, on s’y serait pris bien plus tôt sûrement, le rush des derniers jours n’aidait pas particulièrement pour tout finaliser, et nous monopolisions beaucoup les découpeuses.

Merci encore au FabLab, et si vous vous perdez au bout du monde, le DevFest brestois arrive vite (28 février 2020) avec le call for papers qui se termine dans quelques jours.

Alors foncez !

Dernière mise à jour : samedi 23 novembre 2019 Précédemment sur Medium et paper.wf

Did you enjoy reading this blog? Give me a beer 🍺 or use something else ❤️‍🔥 Licensed under CC-BY-SA 4.0. Opinions are my own. To contact me, feel free to choose the most suitable medium for you, or for example Mastodon.

LineageOS = ❤ (a step by step guide)

🇺🇸 – Thursday, October, 10th 2019

Keywords: #LineageOS, #Cyanogen, #Android, #ROM, #AOSP

Protect your privacy, get rid of blobs with unknown-to-you behaviors, decrease the use of trackers, or keep your smartphone up-to-date to get security patches, or also postpone the replacing of your device by a newer one so as to be “greener”… there are plenty of reasons to move your smartphone from Android (stock)to LineageOS (born from the ashes of Cyanogen). Here you can find a small guide with steps to follow.

Of course, here are only the steps I follow for my 5-years-old OnePlus One. You have to be cautious with your device and the things you do on it. Some steps or files may differ from a version or device to another. I won’t be responsible of course if you break or “brick” your stuff (having a bootlooping smartphone is funny but that’s all). The steps are also compiled in this LineageOS dedicated page. More details are provided also in this wiki.

Moreover I did not try yet other altOS (alternative operating systems) like /e/, GrapheneOS or Replicant. Feel free to have a look on these projects!

You should keep in mind developers cannot do whatever they want about the apps they create and you use. In most of cases, making softwares working with “old” operating systems is always seen as a “massive cost” for chiefs and managers. Capitalism and mass market make things worse: tech giants are more focused on releasing new products than keeping the “old” up-to-date. So please, help and back free and open source projects and people who want to make things more sustainable.

Step 0: Get OS, Google apps (or not) & recovery

The first step consists on getting the binaries you have to flash (i.e. install) on your device.

➡️ One of these magic things is, of course, the operating system for your device. Go to the LineageOS download page and select your device model (for me, OnePlus One, a.k.a. “bacon”). In the selected page you may see a lot of “nightly” builds: these versions are created each night, so choosing the last is not the best idea (e.g. because of possible stability issues or unfixed bugs).

➡️️️ Another step is related to the Google applications you want to add to your device (or not). In fact in the Android ecosystem it is quite complicated to run an app, get updates or install things without any amount of Google apps (the “Gapps”). For example the Google Play Services are almost essential, and clean your device of them may prevent you to get some apps.

To choose the amount of “Google apps” you want, go to the OpenGapps project. Then choose the architecture of your device, the version of the Android OS embedded in your LineageOS ZIP and the variant. For example in my case, I can choose ARM, Android 9.0 and “pico”. In this case I have the bare minimum to get the Google Play functionality.

➡️ Another thing to download is a custom recovery. The recovery is a dedicated bootable partition with very few features like cleaning your data, change the file system or flash components. In fact it allows you to install on your device the LineageOS version you want. For instance you can choose a TWRP recovery from TeamWin. I got my file here.

➡️ Finally you should also download the Android SDK (i.e. “software development kit”). It brings a lot of tools you don’t have to care with, except adb and fastboot.This toolbox is really useful if you want to tinker with your toy. Have a look on this page to download the SDK (see the “Command line tools only” section).

Step 1: Unlock the developer mode

By default your device has its developer mode turned off. You have to enable it if you want to use adb and fastboot commands. So go to your settings, “about the phone” field, then tap many times on the “build” number. If you tapped enough, a message should warn you have enabled the mode. After this step, go back to the new “options for developers” menu which has appeared, and enable the USB debugging option. Finally, run the following command:

adb devices

It should display the list of attached devices, with the name in the right column (here for me “device” and on the left a word with digits and characters (like “2a926c99”)). Note that I use a Linux-powered computer… did I talk about privacy before? Things for macOS or Windows may be the same.

Step 2: Unlock the bootloader

The bootloader deals with the boot of your device (duh!) and loads the first programs to start. Depending to the device you use, it may be mandatory to unlock it. In fact some manufacturers lock them, so… change that. Unlocking your bootloader will allow you to change your recovery and change your OS. First, reboot your bootloader with:

adb reboot bootloader

Your device must restart in the fastboot mode, and display on the screen the “Fastboot mode” message. Note that adb and fastboot are available in the “platform-tools” folder of the SDK zip you got. Then unlock the bootloader with:

fastboot oem unlock

If it succeeded, it should display an “OKAY” message.Finally, install the recovery you got in Step 0, with:

fastboot boot RECOVERY_FILENAME.img

If it succeeded, it should display… another “OKAY” message :)

Step 3: Flash LineageOS and Gapps

The web site of LineageOS is clear enough, so you can follow their instructions (Installing LineageOS from recovery), I won’t make dumb copy/paste. They use here the sideload feature. The way I choose is using the memory of the device to store the ZIP files, and make the install from the recovery.

➡️ You have to boot your device in recovery mode and format the data of your device (caches, system and data for example). It will erase all files and data your device contains. The recovery mode can be triggered with a combination of pressed keys you have to press during several seconds until the device restart (for my bacon, it’s power + volume down buttons).
Then, upload in your device the ZIP of LineageOS and the ZIP for the Gapps you downloaded before in step 0. To do so, run:

adb push LINEAGE-ARCHIVE.zip /sdcard

adb push GAPPS-ARCHIVE.zip /sdcard

Then, from the recovery options, go to the “install” menu and choose the ZIP files you uploaded (first the system, then the Gapps). If the flashes succeeded, the device will restart to the new operating system you just freshly installed!

Step 4: Customize your device!

Once you followed the install instructions, your device will be fully functional. You can now customize it. For example, download the alternative store F-Droid from the web browser. Go to their web site, install the APK file and run the app! If you install F-Droid following this way, a security warning occurs telling you the app is not trusted. You can enable the “unknown sources” option to install the app.Be aware with this option which can be a security flaw if untrusted apps are installed, so disable it after.

From F-Droid you can download the Yalp app. Yalp allows you to download an app without using Google Play nor Google account. Useful isn’t it?

You can also install from Yalp (or F-Droid which is really another store, not a proxy like Yalp) plenty of apps respectful for your privacy. The web browser Brave, which tries to create another model for advertisement more fair and clear, and also block trackers. The Exodus privacy app, which scans in their cloud a lot of Android apps looking for trackers ans flaws, and show you the results thanks to their app. Then Ooni Probe, which tells you if web sites, services or social networks are filtered or blocked in the network you use. Fight against censorship matters, and knowing if your network is spied may be useful. P-R-I-V-A-C-Y I said. If you like Fediverse and decentralized social networks, and have a Mastodon account, get the Tusky app ;–) Twidere is also cool and rich. You don’t want to remember of your passwords? Keepass2Android is a good option :) And what if you want to see videos? NewPipe is a facade for YouTube ;–) About messaging, why not use Silence or Signal! For your mails K-9 is efficient enough. If you are looking for a navigation app, try OsmAnd why uses Open Street Map layers. You can also use the Tor Browser app to surf quite anonymously! If you use 2FA authentication, why not use andOTP?

Finally, why not encipher your device? This option protect your data, messages, SMS et other valuable details from unwanted access. The process to encrypt take some minutes, but privacy and security matter ;–)

Some things to know…

You may encounter problems while flashing the recovery or the OS, or unlocking the bootloader. Sometimes with some devices you cannot unlock the bootloader.I had to make several attempts with different versions of Gapps and recovery to make my LineageOS booting and running.Once you succeeded in having a good configuration and a working device, make a backup of your files. Thus you will be always able to flash the components which worked in the past, it saved me a lot of time

Security, privacy, keep your things as long as possible… it can be tricky to do that but the result worth it!

Last update: Thursday, October, 10th 2019 Previously on Medium and paper.wf

Did you enjoy reading this blog? Give me a beer 🍺 or use something else ❤️‍🔥 Licensed under CC-BY-SA 4.0. Opinions are my own. To contact me, feel free to choose the most suitable medium for you, or for example Mastodon.

Retours sur 6 ans dans une asso de devs

🇫🇷 – mercredi 26 juin 2019

Mots clés : #Codedarmor, #Lannion, #Bretagne, #GDG, #meetups

Arrivé en Bretagne (Lannion !) en 2012 pour terminer mes études, je tombais sur une association de développeurs récemment lancée qui avait pour ambitions d’animer la communauté des développeurs du coin à force de meetups, d’ateliers et d’évènements et de favoriser le réseautage et le partage entre personnes de la tech. En 2013, je finis par rejoindre cette bande de geeks et ce pendant 6 putain d’années. Yep, je venais de me lancer dans une belle aventure avec Code d’Armor. Retour là dessus, car j’y tiens trop 🥳

La vie associative

D'abord des rencontres, beaucoup, avec certaines vraiment belles 🤝. S’investir dans une association fait que l’on est toujours amené à rencontrer du monde. Des gens qui viennent à vos meetups, des curieux, allant du stagiaire qui débarque à l’expert barbu dans son domaine. Mais aussi des officiels, comme des élus de la ville et de l’agglomération ou des députés qui s’intéressent à ce que l’on fait et qui nous encouragent (merci Corinne, merci Eric). Aussi des rencontres avec d’autres associations comme les copains du FabLab de Lannion ou ceux du GDG du Finistère FinistDevs. On se retrouve amené aussi à échanger avec des intervenants extérieurs connus nationalement voire internationalement qui viennent de loin faire une conférence chez nous. Et dans tout ça, de vrais bons potes 🍻.

Bon, aussi de la paperasserie, impossible d’y échapper. Recherche de subventions, demande de sponsoring, réunions, il faut savoir mouiller la chemise pour faire tourner la boutique. Les rôles tournent, on essaye de toujours bouger et de se répartir les tâches 🔨.

On peut parfois compter sur certaines entreprises du coin pour nous soutenir, même si parfois elles peinent à masquer les autres qui brillent totalement par leur absence, bien trop nombreuses à mon goût. C’est rageant, frustrant et pénible, mais c’est comme ça, l’associatif taquine parfois la politique, il faut savoir secouer les cocotiers pour que des choses en tombent, faire avec l’honnêteté des uns et l’hypocrisie des autres. On peut avoir envie de baisser les bras, de laisser tomber. Mais on persévère, toujours, et on s’adapte. Et des soutiens nous font continuer, et on les remercie ❤.

Les meetups

Code d’Armor c’est avant tout une histoire d’association d’irréductibles bretons (et de au moins 1 normand, quand même). On se force tous les mois à faire des meetups, en variant les sujets techniques, ne s’interdisant rien, et démarchant des speakers de tous horizons. Et ça marche 🎉 !

Lannion est une petite ville, mais sur le plan quantitatif on y retrouve nettement plus de meetups que d’en d’autres. La fréquentation de nos conférences est remarquable aussi, on arrive à avoir des pics à 35 voire 40 personnes un midi sur un sujet, même si plus rarement on tombe à 5 ou 10, avec un moyenne de 15/20 personnes finalement. C’est le jeu, on varie les propositions, le public vient s’il en a envie. En discutant avec les copains d’autres associations homologues on se rassure en voyant nos résultats, on a de quoi être fier. La richesse est dans la diversité, et on estime que traiter une même année les thématiques de blockchains, time series, machine learning, containers et OS mobiles alternatifs apporte beaucoup pour tout le monde. Quand des acteurs locaux animent ces présentations, c’est top. Quand d’autres viennent d’ailleurs, c’est encore mieux 👍 !

C’est intéressant aussi de voir comment ça fonctionne autre part. Dans des grosses villes les meetups marchent bien le soir après le travail, et assez peu le midi. Les gens bossent en journée, partent plus tôt pour le meetup et rentrent vivre leur vie. Chez nous c’était l’inverse. La fréquentation le soir baissait et était décevante. En calant nos meetups sur la pause méridienne, on vit la fréquentation passer d’un pénible 10/15 personnes à une grosse trentaine. Les autochtones préfèrent nous rejoindre le midi.

La communication

Que faire quand vous voulez vous faire connaitre par le plus grand nombre de personnes du coin sans forcément faire tourner des sextapes ? Comment gagner de la visibilité à moindre coût ?

Déjà un site web, merci Erwan ! Ensuite, un système pour lister les événements. Au début Eventbrite, puis afin d’harmoniser les outils des GDG, Meetup a été imposé. J’estime avoir perdu au change. Une usine à gaz, moins de données accessibles pour nous (alors que basiques !). La bascule de l’un à l’autre nous a fait perdre du public, il fallait tout recommencer. Ensuite, câbler l’outil au site web et le tour était joué.

Le label Google Developers Group (GDG) aussi. Le mot “GOOGLE” en faisait fuir certains, mais en leur montrant qu’il n’y avait ni dévots ni prosélytisme, et qu’on avait surtout un gain de visibilité et de contenu, ça allait. À une époque on pouvait voir comment on se positionnait par rapport aux autres GDG, ça nous rassurait dans les moments de doute.

Ensuite, les affiches. On avait la chance d’avoir un bon graphiste dans l’asso (merci Erwan !) pour faire des affiches à poser pour annoncer nos meetups. Puis il se mit en retrait, et je pris la suite. Je ne ferais pô carrière dans ce domaine :-D Mais avec GIMP, Freepik et Flaticon il y avait moyen de faire des choses efficaces (et sur un malentendu, si on n’était pas regardant, pas trop moches !) 🎨.

Les réseaux sociaux aussi. Twitter et Google+. Oui, Google+. On y partageait des informations, mais l’audience était assez faible avant que l’outil ne soit euthanasié par Google.

Enfin, la newsletter avec Mailchimp. Interface simple, efficace, avec possibilité d’avoir des métriques sur nos campagnes. On a eu des rebonds de fréquentation grâce à une bête infolettre mensuelle. 📧

Les gros projets

On peut dire que dans l’associatif ce n’est pas la taille qui compte. Dès 2012, Code d’Armor avait repris un Startup Weekend à Lannion, grâce à ça que je l’ai connu d’ailleurs. Après on n’a pas continué, trop contraignant, et de plus en plus lourd à mettre en place 🥵.

Il y eu aussi les éditions de la Fête du Libre, à savoir Libre en Fête en Trégor. Travailler de concert avec d’autres associations de tous poils, co-gérer le projet avec le FabLab, et finalement un événement attirant plus de 700 personnes sur une journée avec de nombreux ateliers, stands et conférences. Une belle réussite, on a de quoi être fier 💪

Enfin le DevFest du Bout du Monde avec les copains de FinistDevs. Vous vous rappelez les irréductibles bretons ? Faîtes travailler ensemble deux GDG et vous aurez un DevFest au bout du monde (littéralement) avec 350 visiteurs, une dizaine de sponsors, 40 conférences et ateliers sur 4 tracks en parallèle. Et finalement une belle réussite qui fait plaisir ! Ca donne aussi envie de continuer. De faire encore mieux, plus grand, peut-être pas ailleurs. L’associatif finit parfois par être une histoire de politique, on fait avec ce que l’on nous donne ou pas.

Les vidéos

Il y eu très tôt la volonté de capitaliser sur ce que l’on faisait, avoir des traces de nos conférences. La décision fut prise rapidement d’enregistrer et mettre en ligne nos conférences. Les 1ers essais furent sympas (par exemple), mais demandaient du travail de montage. On passait aussi par les lives de Hangout ou YouTube, mais la qualité n’était pas au rendez-vous et on subissait un réseau parfois capricieux (exemple). Ensuite on filmait, en best effort. C’était déjà mieux, mais pas encore top.

Et dernièrement, on s’est équipé, suite au DevFest entre autres. On gardait notre micro USB Yeti Blue et la webcam C910 de Logitech, et on ajoutait un splitter HDMI ainsi qu’une carte AverMedia ExtremeCap. Derrière OBS sur un laptop à 8 Go de RAM et le tour était joué. On tâtonne encore sur la mise en forme, mais c’est déjà mieux. Bon, les métriques de notre chaîne YouTube ne sont pas terribles, mais on vient de loin 📽️. Un bel exemple ici.

Les p’tits trucs en plus

En plus de la vie mensuelle de l’association, du travail de communication, la recherche d’intervenants et les gros projets en parallèle, il y avait d’autres choses qui pouvaient arriver. Parfois aider un hackathon du coin avec du mentoring, une autre fois s’investir dans un Startup Weekend voisin. Mais aussi organiser un hub pour le Google Hash Code, animer des I/O Extended, et avoir des membres aller outre-Atlantique pour la Google I/O et le GDG Summit. De temps à temps avoir des personnes qui testent leurs conférences chez nous avant de les faire dans des gros rassemblements. Les années se suivent, se ressemblent et sont finalement bien remplies. Une dizaine de meetups par an en moyenne, de temps un temps un cod’apéro, et une grosse variété de sujets.

Et maintenant ?

En regardant dans le rétroviseur, en pensant à nos moyens humains (un noyau dur de ¾ personnes) et à notre situation géographique, on a de quoi être fier de nous. On se décarcasse et ça change tout. On arrive à braquer les projecteurs sur notre Trégor et à faire des choses.

Mais maintenant, je dois bouger, pour raisons familiales. Je garde de supers souvenirs, et j’ai gagné des bons potes À voir maintenant ce que je ferais, mais je vois déjà qu’il y a de quoi faire à Toulouse entre le GDG et le Capitole du Libre. Quand on est un animal associatif on trouve toujours un endroit où creuser, pour que je m’arrête ce n’est pas gagné. En tout cas, merci les copains et kenavo ! 👏

Et si vous avez du temps, n’hésitez pas à voir ce que eux ou leurs boites font :) Je pense à Marc, Samuel, Pierre, Sébastien et Kristal, Nicolas et DC Brain, mais aussi Eric, Erwan ou encore Sylvain et Cédric avec Saooti.

Dernière mise à jour : mercredi 26 juin 2019 Précédemment sur Medium et paper.wf

Did you enjoy reading this blog? Give me a beer 🍺 or use something else ❤️‍🔥 Licensed under CC-BY-SA 4.0. Opinions are my own. To contact me, feel free to choose the most suitable medium for you, or for example Mastodon.