Présentation d'Ouvaton

Nom du futur chaton

Ouvaton

Présentation du projet

Dans un souci d’indépendance capitalistique et de mutualisation des ressources, Ouvaton est une entreprise démocratique et participative (société coopérative de consommation à forme anonyme (SA)) qui favorise l’appropriation citoyenne de l’Internet en respectant des valeurs d’égalité, de solidarité et de partage. Alors que la marchandisation du réseau s’accroît souvent au détriment de nos libertés individuelles fondamentales, Ouvaton développe, depuis 2001, une alternative libre et pérenne, dans un strict cadre éthique, au premier rang duquel se trouvent la protection des données personnelles et la liberté d’expression.

Ouvaton s’attache à proposer de l’hébergement numérique mutualisé et déploie des services techniques et des outils pratiques basés sur des logiciels libres (hébergement web, adresses électroniques, listes de diffusion, Nextcloud mutualisé, etc.) ; à ce titre, chaque membre peut disposer d’un espace personnel pour stocker ses données numériques et utiliser les outils en partage. Afin de faciliter les coopérations, la coopérative rend accessibles différentes applications à destination de ses sympathisant·es, membres et/ou sociétaires. Elles sont libres de droits, utilisables librement, et ne font pas l’objet d’analyse des données et/ou des échanges ; leurs accès peuvent varier selon le profil de l’utilisateurice.

Depuis la naissance du projet CHATONS, la coopérative se sent en accord avec le collectif et les valeurs défendues ; les membres ont envisagé plusieurs fois de faire acte de candidature mais n’avaient encore jamais franchi le pas. Par ailleurs, la coopérative suit de près le NIG, cadre de référence pour le Numérique d’Intérêt Général, et poursuivra le développement de son activité en s’inspirant des principes qui régissent cette démarche.

Forme juridique de la structure

Coopérative

Site du futur chaton

https://ouvaton.coop

Mentions légales

https://ouvaton.coop/mentions-legales/

Conditions générales d’utilisation

https://ouvaton.coop/services/cgv-cgu/

Documentation

https://documentation.ouvaton.coop

Rapports d’activité

Lien vers les informations concernant l’hébergement du chaton

https://ouvaton.coop/services/infrastructure/

Exemples de contribution au libre

• Production d’une documentation utilisateurice pour Nextcloud
• 1% du CA redistribué aux logiciels libres (ex : Paheko) ou organisations défendant les libertés (ex : La Quadrature du Net) dans le cadre de Copie Publique
• Membre de l’April

Précisions éventuelles, notamment si le chaton a des doutes sur le respect de la charte

Pour l’assistance nous utilisons la dernière version libre du logiciel Hesk

PS : Concernant les informations liées aux sauvegardes vous trouverez tout sur cette page de documentation

PS 2 : Pour les rapports d’incidence et de maintenance : c’est un dossier qui stocke nos rapports en .md, pour l’instant il est vide car il n’y en a pas eu depuis que le dossier a été mis en place

Mon futur chaton s’engage à respecter la charte CHATONS

Oui (pour changer du « on » par défaut lorsque la case est cochée)

Hello @marion !
Je fais partie de l’équipe d’audit de votre candidature. Serait-il possible d’avoir un compte (en MP) sur les services pour pouvoir terster les services ? Merciii

Hello @marion !

Je viens faire les tests d’accessibilité numérique (« a11y ») d’Ouvaton.

Je dois avouer que j’ai été très agréablement surprise par le niveau d’accessibilité de votre site ouvaton.coop. C’est rare de voir un site aussi bien conçu de ce niveau là. Et par ailleurs il est très joli.

J’ai aussi testé l’a11y du formulaire d’inscription sur OuvAdmin. Là par contre je suppose que c’est un logiciel codé il y a plus longtemps, sans vraiment de connaissances sur les bonnes pratiques pour faire des interfaces accessibles.
J’ai repéré pas mal de soucis assez importants, surtout pour la navigation au clavier et l’utilisation avec un lecteur d’écran :

Si c’est possible pour vous, et que ces retours vous intéressent, j’aimerais bien avec un compte de test sur OuvAdmin, pour tester les autres pages du logiciel

Merci @ppom pour ce retour !

Pour le site je vais pouvoir facilement le prendre en compte. J’ai passé pas mal de temps à le réaliser en début d’année et nous sommes assez fier·es du résultat.

Pour OuvAdmin, ce n’est pas la même histoire… Logiciel vieillissant, pas éco conçu ni accessible. Nous en sommes plus que conscient·es. En quatorze an de service peu de modifications lui ont été apportées

Nous avons pour projet de refondre entièrement cet outil et l’interface qui va avec. C’est un projet dans les tuyaux depuis de nombreuses années et il est urgent de le faire !

Nous serions ravi·es d’avoir des retours d’usages et pourrions sans doute créer un·e utilisateurice test rapidement. Je vais soumettre la demande à l’équipe technique.

Je te tiens au courant !

Hello @Maxime
J’avais pas vu le message, je fais la demande à l’équipe technique.

@PhilOGM si tu vois le message, tu peux transmettre à Matthieu

Le plus simple c’est de demander un compte sur ce lien : ouvadmin | inscription

Bonjour @marion et @Maxime !
j’ai bien eu le message @Marion !
Oui, le plus simple est d’ouvrir un compte via le lien indiqué par Marion. Il donne accès à la plupart des choses. Seul ce qui est réservé aux sociétaires - avec une part sociale - ne l’est pas.
Je vois avec Matthieu pour l’accès total (comme s’il y avait une part sociale) dès qu’un compte sera ouvert. (me prévenir ici en MP quand ce compte est ouvert, Maxime)

Coopérativement,
Philippe Cherpentier, pour Ouvaton.

Coucou !
Si c’est compliqué, je pense que ce n’est pas la peine de me créer une part sociale virtuelle, je viens de me créer un compte et j’ai déjà accès à presque tout, comme vous dites.

Par contre, si vous ne pensez pas faire d’évolutions sur cet outil, ça ne vaut peut-être pas le coup que je fasse l’audit ? De ce que je vois, c’est des modifications qui semblent légères de mon point de vue extérieur (mais peut-être que la base de code rend difficiles les modifications, je ne sais pas !)

De ce que je vois rapidement, les différents formulaires ont les mêmes écueils que celui de l’inscription, et il ne devrait pas y avoir de « h1 » « h2 » dans le header, il faudrait remplacer ces balises par des « p » ou des « span » par exemple.

Donc j’attends votre confirmation que vous avez l’intention de faire les corrections avant de faire un rapport complet. Vous avez bien entendu le droit de dire que vous ferez pas de modifs sur un logiciel legacy, je comprends bien la potentielle galère ^^

Bonjour !

pour ce qui relève de la structure générale d’Ouvadmin, on ne va pas pouvoir faire rapidement.

Mais il sera possible de revoir les formulaires, par exemple, en tenant compte des remarques et propositions faites pour améliorer l’accessibilité dans un délai plus raisonnable.
Donc merci beaucoup pour les remarques et propositions !

Nous savons que ça peut être compliqué pour le reste d’Ouvadmin: j’ai fait un peu d’assistance spécifique l’été dernier pour un sociétaire car effectivement certaines choses difficiles d’accès !
Donc si vous voyez des choses et des idées qui semblent simples sur l’interface Ouvadmin, nous prenons, sans assurance de pouvoir tout faire…

Philippe Cherpentier, pour Ouvaton.

Bon, je n’ai pas la motivation de faire un retour très complet sur OuvAdmin ^^
En tout cas, en faisant un petit tour, le problème des formulaires, que j’ai décrit hier, me semble être le plus criant. Les tableaux et les éléments interactifs des différents onglets (FTP, sites, mail, listes, etc) sont plutôt corrects !
L’ordre des éléments dans la navigation au clavier me perturbe, mais ça le fait. Et c’est un gros morceau à changer je pense, donc ça passera

Merci beaucoup pour ce retour !
Les formulaires vont être améliorés suivant les propositions faites.
Bonne soirée !

Hello ! J’ai pu me créer un compte, je regarde cette semaine. Bisoumiaou

A tous, n’hésitez pas à tagger @PhilOGM si je ne réponds pas, il sait souvent mieux que moi et s’il ne sait pas il transmettra la demande à qui saura
Avec ma compagne nous attendons un qui devrait plus tarder à arriver !

Voici mon retour sur la partie générale de l’audit (suite aux échanges privés avec @marion).
De mon point de vue,aucun problème bloquant n’a été identifié.
Les précisions / axes d’amélioration restants portent sur :

• Avez-vous une procédure adressée à vos adminsys pour garantir qu’ielles ne consultant pas les infos des utilisateur·ices autrement que pour des besoins de maintenance ?
• La possibilité de rencontres physiques semble difficile.
• Les informations concernant la gestion des données personnelles (qu’on trouve principalement les mentions légales et pas dans les CGU) pourraient être améliorées.
  Perso, je suis prêt à vous accompagner où vous allez

Hello,
Voilà mon retour sur la partie technique. Bon déjà je suis pas du tout expert, donc j’ai certainement loupé des trucs.

Ensuite, je relève des trucs qui me semblent en général pas très grave, c’est ok de nous dire que vous les réglerez pas (mais aussi c’est à chaque membre du collectif de considérer à quel point c’est grave). Bref, tout ça pour dire que j’imagine qu’avec une telle infrastructure ya forcément des trucs pas bien décommissionnés, des machin·es qui traînent. Et en tant que membre du Cloud Girofle on vous jettera pas la pierre, on est loin d’être parfait·es.

C’est trop chouette de pouvoir lire sur votre forum que ça fait dix ans qu’ouvaton souhaite n’utiliser que des logiciels libres, mais que la dernière brique non libre n’a été enlevée que… cette année. Bravo à vous !

Première remarque : OuvAdmin | Inscription le lien vers les CGU est mort

Globalement j’ai pas pu auditer toute l’infrastructure, à cause de la quantité de sous-domaines présents (plusieurs centaines listés par crt.sh)

Sous-domaines en *.ouvaton.org.

Crt.sh m’a pointé vers plusieurs centaines de sous-domaines en ouvaton.org. Je comprends que ce sont des pages perso des membres. Je m’attendais à en trouver plus, sans doute j’en ai manquées.
• Statistiques : beaucoup de sites indisponibles, qui pointe vers des répertoires vides, ou vers un placeholder qui suggère que l’espace n’a jamais été initialisé
• Parmi les sites disponibles, au moins un héberge en wordpress pas du tout à jour (v4.7.31).
• J’imagine que c’est pas l’objet de la coopérative de faire la police sur ce qui est écrit sur les sites, mais ça fait bizarre de lire « des SDF ont leur tente dans une rue, comment faire passer les encombrants pour qu’ils embarquent tout ? »

Question :
• Comment est gérée la situation où des membres hébergent du logiciel non mis à jour
• Comment est gérée l’isolement entre les sites hébergés ?

Domaines en *.ouvaton.coop

• Webmail :
◦ Snappymail semble à jour (v2.38)
◦ Roundcube (j’aime le petit lien vers l’aide en bas de la page de login)
• tickets : le sous-domaine semble pas utilisé
• texte : PasteBin en version qui date d’il y a plus d’un an. J’ai pas l’impression que ça soit un souci
• sondage : je serais pas surpris que le Limesurvey qui y est hébergé date d’avant 2018.
• snappymail : redirige vers un sous-domaine avec une typo https://sm.ouvato.coop/
• qrcode : vu le style le logiciel a pas l’air tout jeune, et pas à la dernière version. Je sais pas quel peut être l’impact.
• Pwdpusher : 502 au moment du test
• pp80, pp81 : c’est le retour de la commande phpinfo(). J’imagine qu’il y a une raison de rendre ça public, vu que c’est l’objet du sous-domaine ?
• Pp74, pp73, pp56 : idem, mais ça commence à faire vieux, non ?^^
• phpmyadmin : en version 5.2.2 (jan. 2025)
• mastodon : en version 4.4.7
• latex : de ce que je comprends, le logiciel proposé, sharelatex, a fusionné avec overleaf en 2017, j’imagine que le logiciel est pas très à jour (mais j’ai pas pu vérifier)
• git : forgejo est en version 1.21 (avril 2024, et la branche 1 est « discontinuée »), la dernière version est la version 13 (suis-je le seul à ne pas comprendre le naming scheme de forgejo ?
• Forums : Discourse est en version récente
• Compta : la version de Dolibarr (14.0.1) date de… 2021, j’imagine qu’il y a ptet une mise à jour à faire, surtout si ça contient les infos personnelles des membres ?
• Clue : ça héberge le logiciel policyd, je sais pas ce que c’est, mais le copyright indique 2008 du coup je me demande si c’est nécessaire qu’il soit accessibles
• panel-vitry : Sous-domaines avec des certificats invalides
• J’ai beaucoup rigolé en lisant que vous avez eu un domaine quandvaton.ouvaton.coop. Chapeau !
• Listes : Sympa est en version 6.2.60, sorti en… 2021. Je sais pas quelle est la vitesse d’évolution de ce logiciel, mais… peut-être qu’une mise à jour…
• PDF : waouh un outil d’édition de PDF en ligne, youpi ! (en version d’il y a un mois)

Question sur les services en libre accès : plusieurs chatons ont eu des soucis de détournements de services en libre accès (raccourcisseurs d’URL, visio, hébergement de fichiers anonyme), comment est-ce que vous gérez ça ?

Remarques sur la configuration

• Les sites sont notés B ou mieux : je n’ai pas tout regardé, mais au moins les domaines suivants ne sont pas B :
  • rc.ouvaton.coop est noté C
  • sondage.ouvaton.coop est noté D
  • clue.ouvaton.coop est noté F
  • panel-vitry.ouvaton.coop est noté F
  • listes.ouvaton.coop est noté D
  • pdf.ouvaton.coop est noté C
  • ouvaton.link est noté D
  • ouvadmin.ouvaton.coop est noté D
  • mespads.ouvaton.coop est noté C
  • documentation.ouvaton.coop est noté C
  • mumble.ouvaton.coop est noté C
  • qrcode.ouvaton.coop est noté D
• Les serveurs mails sont notés D ou plus. : le serveur principal est [noté G](CryptCheck) : support d’anciens protocoles

Infos non trouvées

Ensuite, il y a quelques trucs que je n’ai pas trouvés sur le site :

• déjà mentionné par @acnh38 : « Engagement des adminsys : les personnes qui ont des accès administrateurs, bénévoles ou salariées s’engagent sur une charte concernant des points de confidentialité et de prudence. »
• " Le site indique le degré de contrôle que le CHATON a sur son infrastructure." → de manière générale, je trouverais ça intéressant de détailler la relation qui lie Ouvaton à Octopuce, je n’ai pas trouvé d’infos là-dessus.
• « Si le CHATON dépend d’un tiers pour héberger ses services (location de serveurs…), la structure est transparente sur les dispositions contractuelles concernant la protection des données hébergées. » → je suis pas sûr d’avoir l’info
• « En cas de location de serveurs (virtuels ou dédiés), le fournisseur s’engage contractuellement à ne pas accéder aux données. » → ça concerne Octopuce, je n’ai pas trouvé d’info là-dessus
• La documentation détaille l’infrastructure globale.
  • Niveau de contrôle sur l’infrastructure (accès root ?).
  • Topologie de l’infrastructure.
  • Forme de l’infrastructure (VPS, hébergement web, serveur dédié ?).
  • Caractéristiques matérielles (processeur, RAM).
  • Système d’exploitation installé sur son ou ses systèmes et sa version, technologies de virtualisation utilisées le cas échéant…
  • (optionnel) Liste des paquets installés.
  • → j’ai bien trouvé la page infrastructure, mais elle n’a pas ce niveau de détail
• « Les procédures récurrentes du CHATON sont documentées (éventuellement dans une partie privée). Exemple : comment faire des sauvegardes, des statistiques, comment créer un compte, un vps à une nouvelle personne… » → je n’ai pas trouvé d’infos là-dessus
• « Un document ou un paragraphe décrivant les pratiques et mesures de sécurité pour protéger les données et l’infrastructure du futur CHATON existe. »
• « Un document sur les durées de rétention des logs existe. » → je n’ai pas trouvé
• " Sur le site, il y a un lien vers le code source de chaque service. " → je n’ai pas trouvé

Je m’excuse pour le retour de l’audit un peu en retard, c’est complètement ma faute. Je suis disponible pour échanger sur tous ces points/questions. Vu la quantité de services, je mesure l’ampleur des questions.

Bravo à vous, bon courage pour le temps de réponse aux questions !

Bonjour Maxime !
Bien vu toutes les questions !

On va mettre un peu de temps pour répondre à tout ça (promis, on est entrain…)

Bonne nuit !
Philippe C.

Hello !
Oui c’est un gros morceau, certaines questions que je pose sont des questions ouvertes, où tous les membres du collectif ne sont pas forcément d’accord, mais votre réponse enrichira le collectif dans tous les cas.

Bon courage, n’hésitez pas si des choses ne sont pas claires !

Je crois bien que ça nous enrichira aussi côté Ouvaton en nous permettant de combler certaines lacunes qui sont révélées et auxquelles on n’avait pas forcément pensé.

Clairement, @Maxime a fait un énorme boulot sur cet audit !

Du coup, je rajoute encore une question. Vous êtes annoncé uniquement en ipv4. À quand ipv6 ? Des bises

Bonjour @Maxime, @acnh38 et @stephane

On travaille avec l’équipe pour répondre à tout ça et on a (presque) une réponse pour chaque point !

On vous partagera ça bientôt