Il ne faut pas perdre de vue, d’une part, que le besoin d’inventer et de découvrir se développe, comme tout autre, en se satisfaisant; d’autre part, que toute invention se réduit au croisement heureux, dans un cerveau intelligent, d’un courant d’imitation, soit avec un autre courant d’imitation qui le renforce, soit avec une perception extérieure intense, qui fait paraître sous un jour imprévu une idée reçue, ou avec le sentiment vif d’un besoin de la nature qui trouve dans un procédé usuel des ressources inespérées.

Gabriel Tarde, Les lois de l’imitation, 1895, 2^eéd.(1^re éd. 1890), p. 47.

Je recherche en disque vinyle de « bonnes versions » — que ça soit par la qualité de l’enregistrement ou de l’interprétation — du Sacre du Printemps de Stravinsky et de la Symphonie nº 9 de Dvořák, dite « Du Nouveau Monde ». À chacun la sienne, je ne demande que le conseil d’une version préférée.

Vendredi, c’est trolldi.

En discutant avec Martin à propos des contraintes techniques de pump.io , ce dernier m’a dirigé vers le rapport d’erreur #786 qu’il avait rédigé. Le pitch : les certificats CACert entraînent des erreurs dans le déploiement de pump.io. En fait, n’importe quel certificat n’ayant pas été certifié par une autorité centrale rend son déploiement désastreux. Ce n’est pas un bug, mais une fonctionnalité. Retour sur le suicide de pump.io et la marginalisation des utilisateurs.

CACert’s root certificate is included in distributions worthy of being one. I don’t see where StartSSL is more reliable than CACert. Do you even remember DigiNotar? Staying with such centralized conceptions of certificates issuers is irrelevant when you’re trying to build a decentralized or federated network. Moreover, such decisions will repel enthousiast adopters. If one user cannot afford an arbitrary trusted certificate, or has to use a load-balancer because he has multiple services on a single machine, he can go f*ck himself. It’s like you don’t want anybody, and certainly not « poor » individuals, to use your program.

Au delà de l’énervement premier, je tiens à expliciter ce que cible ma critique : non pas la mise à l’écart de CAcert (je ne me fais pas prosélyte pour le coup, et je peux comprendre qu’il ne remplisse pas les spécificité requises de l’un ou l’autre même si je peux ne pas non plus être d’accord), mais les réquisits techniques utilisés comme moyens de ségrégation et de marginalisation de la communauté d’un logiciel libre.

Résumons en français les contraintes inhérentes à pump.io.

Le programme monopolise la moitié du trafic web (en front sur le port 443, voir les déboires d’installation). Donc si tu n’as qu’un petit hébergement sur lequel tu as aussi d’autres services Web (au hasard un blog ou un agrégateur de flux RSS), sacrifie ton port 443. Mais tu pourrais avoir besoin d’une interface chiffrée pour quelque autre programme, ou tout simplement ne pas avoir envie d’utiliser uniquement pump.io sur HTTPS. Qu’à cela ne tienne, il faudra que tu aies des URLs moches ou que tu t’essaies à la virtualisation. Bref, va te faire voir, petit utilisateur qui voudrait déployer pump.io à titre de service Web standard sur ton petit serveur.

Si tu trouves que quelque chose est mal pensé, mal conçu, ou mérite d’être revu, tu n’as qu‘à faire les modifications toi-même. Admettons, le projet se veut libre, donc son code est ouvert et implique une liberté de modification. Malheur à toi cependant si tu ne sais pas coder. Il y a ici une confusion entre un développeur et un utilisateur, confusion entre liberté de modifier et devoir de le faire. En somme, un pur élitisme de développeur. Et cela ne concerne pas ces développeurs aussi compétents soient-ils qui maîtrisent pas node.js.

Revenons au bug cité plus haut : si tu es trop pauvre pour te payer un certificat tout joli et bien validé, ou si tu es trop libriste pour consentir à te soumettre à une autorité de certification centralisée (comme StartSSL qui est conseillé), te voilà logé à la même adresse que ce peuple d’utilisateurs indigents. Nous mêlons ici deux formes d’autoritarisme : celui du développement, et celui des autorités de certification qui est le moyen technique pour marginaliser les amateurs.

Le souci est certes technique, et à titre d’usager je n’ai qu’une critique à apporter. Je vois une contradiction entre un réseau décentralisé et le recours à une autorité de certification par définition centrale (DANE n’était pas intégré par NSS ou OpenSSL). D’ailleurs, elle n’apporte pas nécessairement plus de sécurité, cf. DigiNotar et l’aspect critique d’une autorité de certification pouvant émettre des certificats frauduleux malgré tout. Ta garantie ? Ton portefeuille.

En corollaire, les problèmes liés soit à la certification soit à l’adressage ne sont pas des défauts du développement, mais le symptôme d’utilisateurs qui ne se soumettent pas aux contraintes du programme, ces mêmes utilisateurs étant tenus par des contraintes matérielles ou pécuniaires qui, j’en fais partie, les détourneront de pump.io. J’applaudis, je n’ai jamais vu de communauté se faire assassiner plus prestement, ni de projet open-source aussi peu libre.

Je peux expliquer le logiciel libre en 3 mots :  liberté, égalité, fraternité. [...] Liberté parce que ce sont les logiciels qui respectent la liberté de leurs utilisateurs, égalité parce que [...] personne n’a de pouvoir sur personne et fraternité parce que nous encourageons la coopération entre les utilisateurs. — rms, Logiciels libres et Éducation.

Un projet libre sans communauté est un projet mort.

Un projet libre où la coopération est synonyme d’autoritarisme est un projet mort.

Un projet libre où il n’y a aucune égalité entre le développeur et l’usager est un projet mort.

Un projet libre sans communauté, sans coopération, sans égalité, n’est pas un projet libre.

Assistons au suicide de pump.io. Qui restera-t-il autour pour veiller sur son lit de mort ? Quelques éclairés qui ont trouvé le moyen de s’adapter ou se rangeront à ce qui a été décidé pour eux ? Des clients potentiels, ceux qui peuvent payer ?

« Mladic » est la piste d’ouverture de « ‘Allelujah! Don’t Bend! Ascend! », le premier album studio en 10 ans du collectif canadien Godspeed You! Black Emperor (GY!BE). Je me souviens encore de « Yanqui U.X.O. », sorti en 2002. Des spasmes d’excitation me remuent le ventre, réminiscence des nuits entières à écouter GY!BE au casque, des frissons qui remontaient la nuque jusqu’au sommet du crâne. Fermer les yeux et se laisser emporter.

«Mladic » est un mur de son, une mélopée enivrée et fiévreuse ondoyant entre Swans, Earth et GY!BE eux-mêmes, une pièce de 20 minutes, une progression paniquante et effrénée, d’une violence sourde et profonde, qui se clôt sur les percussions endiablées des étudiants québécois, enfin, le son des casseroles du Printemps Érable.

Tension de jouissance auditive. À écouter, sinon à réécouter, encore et encore. À se procurer certainement.

Pour une utilisation épisodique, l’utilisation d’un VPN peut grandement dépanner. Pour moi, il s’agit surtout de contourner les dispositions d’impotents ayant rendu indisponibles sous ma latitude l’un ou l’autre contenu. Bref, le VPN contre ceux qui veulent mettre des frontières dans les Internets.

Cela dit, beaucoup de solutions gratuites pèchent par un logiciel « maison » sale, opaque, la plupart du temps indisponible pour autre chose que Windows ou Apple Mac OS. Client OpenVPN revampé ou saleté infectieuse, impossible de savoir ce qu’il fait vraiment ou ce qu’il cherche à joindre. J’ai donc cherché des solutions de VPN gratuit « propre », donnant un fichier de configuration (OpenVPN bien souvent) qu’il me suffit d’importer dans Network Manager, le gestionnaire de connexion de GNOME.

Freedom-IP

Freedom-IP est un service gratuit et communautaire dont la communication en français, ce qui parfois fait plaisir dans mes moments de grande flemme intellectuelle. Ayant remporté beaucoup de succès et d’emmerdements suite à la fermeture de Megaupload, les inscriptions avaient dû être endiguées au maximum afin de pouvoir « tenir la charge » des joyeux collégiens voulant participer à quelque DDoS — pardon, à la révolution internautique — tout en utilisant un VPN gratuit. Dorénavant, un dossier d’inscription est exigé, mais le service en vaut bien la peine.

• Trafic illimité et sans aucun filtrage (sauf pour le serveur FR, où le P2P est interdit, cf. législation française en la matière) ;
• Pas de données conservées (logs, IP, trafic, etc.);
• Infrastructure localisée aux Pays-Bas (connexions sortantes : NL, CH, DE, UK, IT, FR).

Petit plus : il est possible de parrainer 5 amis, mais gardez bien à l’esprit que lorsque vous parrainez un filleul, l’opération est définitive. Vous ne pourrez ni modifier ni supprimer votre parrainage.

Petit moins : l’omniprésence de la publicité sur le site peut être comprise pour le financement du service, mais est totalement incompréhensible quand le service se veut pour l’anonymat ; n’y a-t-il pas pire flics des Internets que les régies publicitaires ?

Mullvad

Mullvad est un service que j’apprécie particulièrement, que ce soit pour son offre gratuite (restreinte, oui) ou son offre payante. À vrai dire, c’est même celui que je recommande entre tous, et pas parce que je suis fanatique de taupes à casque de mineur. Notez que l’offre gratuite est très courte : à peine trois heures, assez pour se rendre compte de la fiabilité de leur service.

Privacy is a universal right.

We don’t tell anyone anything.

We don’t log our users’ activities.

When Swedish law requires us to divulge information about our customers we make sure not to have that information stored, so that we have nothing to give out.

Ce que l’on peut traduire par : La vie privée est un droit universel. Nous ne disons rien à personne. Nous n’enregistrons pas les activités de nos utilisateurs. Quand la loi Suédoise nous contraint à divulguer quelque information sur nos client, nous nous assurons de n’en avoir aucune d’enregistrée, afin de n’avoir rien à communiquer.

Ce point est néanmoins à nuancer de peu, ce qui est fait à la fin de cette page : les payements par carte bancaire laissent des traces auprès des banques, ou des prestataires de paiement, et Mullvad ne peut effacer ces traces-là. Ainsi est-il proposé deux méthodes de paiement plutôt intéressante : le billet dans l’enveloppe, ou le Bitcoin.

Il est possible d’obtenir un compte à l’essai, ma foi fort complet, permettant d’accéder au service de Mullvad via leur logiciel dédié (une archive .deb installant tout ce qu’il faut pour utiliser NetworkManager et OpenVPN, et configurant le tout), ou une configuration OpenVPN ou PPTP à importer par soi-même dans NetworkManager. Pour Arch Linux, quelques manipulations restent à faire, voir ArchWiki: Mullvad.

Atout : l’excellente fiabilité du service, je n’ai jamais été pris au dépourvu même en utilisant un compte gratuit temporairement.

Désavantage : j’ai trouvé que l’accès au service était difficile pour peu que l’on n’utilise pas Debian ou une distribution dérivée.

World NeighborHood

WNh est le service de VPN proposé par Telecomix, que j’utilise majoritairement aujourd’hui. C’est la solution parmi les plus complètes, puisqu’elle comprend outre le traditionnel VPN un ensemble de services plus ou moins intéressants pour les initiés : une résolution interne des domaines en *.wnh, sorte de darknet à la disposition de habitués, suivie de services cachés TOR et I2P.

Leur wiki est malheureusement en rade, heureusement reste le GitHub de KheOps qui contient toutes les informations nécessaires. Voir chez NeoSting pour une configuration facile avec Network Manager.

Bien : le nom d’utilisateur et le mot de passe peuvent être choisis n’importe comment, aucune authentification casse-tête n’est à prévoir.

Pas bien : le service est parfois en rade, suspendu par l’équipe à chaque menace d’intrusion. Très chiant, mais c’est pour la bonne cause.

Morale de l’histoire : pour un service volontaire financé par des hacktivistes, WNh est tout bonnement excellent. S’il n’est soumis à aucun bridage, ce service est à utiliser avec précaution : ne l’utilisez qu’en cas de réel besoin. Passez votre chemin si vous désirez télécharger le film Vacances_À_La_Plage_Avec_La_Famille_HDRip.mkv en faisant porter le chapeau à quelqu’un d’autre.

Discontinué

Pendant longtemps Arethusa proposait un VPN gratuit, ce qui ne semble plus être le cas. Il reste la solution payante, évidemment, que je n’ai pas essayée.