[Vote] Clarification sur les exceptions aux 100% libre

Super initiative dans l’ensemble, ce texte est important, merci !
Résolution 7 : on aurait bien indiqué une notion de volume, comme pour les mails.

Je ne maîtrise pas assez la question des licences de la résolution 8 pour me prononcer.
Même si je ne les aime pas trop, je ne vois pas comment faire sans la 9, la 11 et la 16.

3a : La notion de DPI a peu d’importance de nos jours, tout est chiffré avec TLS et ce sont les SNI dans l’entête qui sont analysés. Si le routeur n’a pas de capacité matérielle de faire cette analyse, il peut retransmettre les paquets, tronqués à la taille nécessaire, ailleurs.
10 : même avis que ce message et les 2 qui suivent : [Phase d'amendement] Clarification sur les exceptions aux 100% libre - #11 par n-peugnet
11 : à retravailler, même remarque que Olivier [Vote] Clarification sur les exceptions aux 100% libre - #10 par olivier
15 : à rejeter, même avis que Meewan [Vote] Clarification sur les exceptions aux 100% libre - #4 par Meewan
17 : à rejecter, même avis que Meewan [Vote] Clarification sur les exceptions aux 100% libre - #4 par Meewan

Merci pour toute cette organisation

Résolution 1 : on pense qu’il serait chouette de dissocier les résolutions « résolubles dans le court terme » des autres (ex: on voit pas comment on pourrait avoir une solution Libre au système bancaire privateur, i.e résolution 16). Par exemple les résolutions 7, 8, 9, 13, 15 pourraient être retirés si un effort est fait dans ce sens par le collectif. Donc pourquoi pas les passer dans la liste des exceptions directement autorisées par la charte ? on se demande d’ailleurs pourquoi la forge logicielle propriétaire est considérée comme « indispensable »?
Remarque : le Cloud Girofle a ses serveurs chez OVH, il faut donc nous retirer de la liste des chatons non concernés pour « l’usage de services d’hébergement propriétaires tiers » (sans doute une mauvaise manip de notre part dans le pad, deso pour ça)

Résolution 2 : on trouve que la formulation est confuse, entre 1ère et 2ème phrase - j’ai d’abord compris phrase 1 on peut s’ajouter de manière autonome puis phrase 2 on ne peut pas sans décision du collectif. Ajouter un alinéa entre les 2 ? ou écrire « d’une exception » ?

Résolution 7 : précisez, comme dans la résolution 9, que c’est ok dans le cas où le chaton a dispose d’un volume de mails à envoyer qui justifie cette exception

Résolution 8 : on utilisait ElasticSearch avant leur changement de licence, peut-être qu’un jour on s’en resservira…

Résolution 9 : la mention « hors GAFAM » nous gêne, ça exclut AWS mais pas MailChimp alors que MailChimp est sur la même logique de spam. Avec cette formulation, Framasoft peut rester mais Paheko peut pas rentrer

Résolution 13 et 15 : est-ce qu’on veut avoir des données qui arrivent sur des serveurs dont on pourrait se passer ? des alternatives libres existent pour ça on peut faire entre chatons.

Résolution 17 : on trouve bizarre que des chatons développent des outils non libres

Il est difficile de prendre 17 décisions en 3 semaines. Est-ce que les modalités de prise de décision récemment actées sont adaptées pour de tels sujets ? peut-être découper en plusieurs phases de vote ? (pas une critique du processus )

Remarque de Margaux qui a eu besoin d’un dictionnaire pour comprendre les résolutions : besoin d’accompagnement à la compréhension des points. Ajouter des liens vers les discussions forum par exemple, éviter les acronymes ou les expliciter entre parenthèses (DPI par exemple, outillages/scriptings…). Je veux bien aider à penser qq chose quand le vote sera passé

Merci à tous ceux qui ont travaillé sur le sujet. C’est très clair et j’ai pu répondre rapidement en comprennent ce que vous avez voulu inclure malgré mon peu de temps investi.

Voici nos commentaires :

• 3a : Il faudrait définir DPI (Deep Packet Inspection) sinon en cherchant on trouve plutôt des articles autour des Point par Pouce pour les lecteurs non averti ou carrément pas le mettre comme la résolution 3b
• 8 : Chez RésiLien, nous hébergeons Outline qui est sous licence BSD …
• 9 : Nous utilisons aussi Mailjet pour l’ensemble de nos mails (transactionnel et newsletter)
• 11 : J’ai bossé sur cette problématique chez Cozy et clairement c’est complexe de contourner les services de notifications sans proposer un système complexe ou vider les batteries… Il existe des alternatives comme Gotify mais c’était qu’au début en 2018)
• 12 : Nous sommes entrain de migrer nos DNS chez nous petit à petit au fur et à mesure que nos noms de domaines expires
• 13: Nous envoyons nos backups actuellement chez Scalways mais nous avons un projet de migrer sur un cluster Garage en interne depuis plusieurs années…

3a: A rejeter : On ne peut pas savoir avec certitude si un matériel réseau fait du DPI ou non, et c’est un critère arbitraire. La question que doit se poser le CHATON est plutôt « est-ce que je peux faire confiance en mon infrastructure réseau ? ». Si la réponse est non, il doit mettre en oeuvre les techniques standard pour protéger les communications et données de ses usagers sur son infrastructure, en l’occurrence un chiffrement adapté.
Et dans tous les cas, les communications transitant via Internet doivent être chiffrées.

5, 6, 10: A retravailler : L’objet de ces services est précisément d’assurer l’interopérabilité avec le reste du monde, y compris des services propriétaires. La responsabilité du CHATON se limite à l’infrastructure qu’il met en place pour mettre en oeuvre et opérer ce service. Il me semble donc hors-sujet d’inclure la qualité propriétaire ou non des infrastructures tierces. Dans ces cas de figure, ces services ne sont pas en violation de la charte.
Ces exceptions devraient se limiter à considérer la mise en oeuvre de composant propriétaires au sein de l’infrastructure du CHATON rendues nécessaires à la mise en oeuvre de ces fonctionnalités (par exemple l’intégration d’une librairie non-libre implémentant le protocole de WhatsApp ou autre).

8: A retravailler : Si je ne remets pas en cause la validité de ces exceptions, cette règle me semble manquer de cohérence. Si possible il faudrait une règle plus générique (e.g. une liste de licences autorisées en sus des licences reconnues par la FSF).
A défaut, si l’objet est de nommer explicitement une liste d’outils acceptables (pour lesquels on sait qu’une alternative libre n’existe pas), il faudrait peut-être créer une règle par outil.

7, 9, 15: Abstention : D’un côté, ces exceptions me semblent discutables, d’un autre côté je comprend bien la difficulté d’opérer une infrastructure de grande envergure. Il se pose à ce moment la difficulté de concilier le respect des principes avec le facteur d’impact (cad la force de frappe des services offerts).

9. Il pourrait être intéressant d’avoir des précisions sur le volume.
10. Ne pas faire mention des GAFAM explicitement mais trouver une formulation plus englobante.
11. Pourquoi ne pas les publier sous license libre même s’il ne sont utile pour personne ?

Merci pour votre travail, c’est apprécié

Explication sur les votes
Très bien : D’accord sur le fond et la forme
Bien : On aimerait avoir une meilleure solution mais celle-ci est tout à fait acceptable
Assez bien : On n’en a pas mis
Passable : solutions qu’on aimerait voir disparaître mais pour lesquelles nous ne connaissons pas de solutions libres.
A retravailler : (Réso 7) Si certains services anti-spam propriétaires semblent acceptables (Askimet peut-être), d’autres nous semblent parfaitement inacceptables. On imagine que ce type de service est presque indispensable pour des sites web qui souhaitent la contribution de leurs utilisateurs
A rejeter : Il nous semble que la notion de DPI connu est ingérable par les chatons.

Rés 3a : retirer la mention de « routeurs non libres » puisque ça existe, clarifier « DPI », dans le cas d’un suricata mis en place par le chaton pour protéger les usagers, il y a bien du Deep Packet Inspection sans que ça pose problème.
Rés 8: clarifier le type de licence
Rés 10: à clarifier
Rés 11: pour nous ça ne concerne pas les hébergeurs
Rés 12: ça nous parait assez simple de monter un bind/unbound ou de faire appel à un autre chaton pour utiliser ses NS
Rés 13: on a le sentiment qu’en tant que chatons, on devrait pouvoir faire autrement et s’entraider dans ce sens si besoin
Rés 15: si c’est par exemple OVH qui ping un serveur pour vérifier qu’il fonctionne OK, si c’est toute une solution externe non libre style « Amazon watch » qui collecte beaucoup de données c’est non
Rés 17: si c’est quelques scripts OK mais si c’est tout un logiciel non

Ici indiquez ce que vous voulez dire pour expliquer vos positions.

Correction orthographique en haut dans le texte (juste après le rappel de l’article de la charte) : quelque soit la situation => quelle que soit la situation
7 : susceptibles
9 : contre le tracking opéré par ces services, alors que des outils libres existent
10 : on n’a pas vraiment le choix
12 : à clarifier : on peut avoir un glue record et les NS déclarés chez un registraire sans pour autant y héberger toute la zone
16 : a-t-on le choix ? d’autre part, orthographe : ce sont les services ou le paiement qui est propriétaire ? (accorder « propriétaire » en fonction)

Point 1 : Lautre.net est hébergé dans un Data-Center (Équinix PA 3 [si je ne dis pas de bétises) sur son propre matériel.
Points 4 à 9 : Ne concerne pas Lautre.net (pour le moment)
Le point 10 me semble superflu, un peu comme avoir un site web, accessible aux navigateurs propriétaires. « je » trouve que c’est du pinaillage.
Point 11 : Ne concerne pas Lautre.net (pour le moment)
Point 12 : Ne concerne pas Lautre.net (pour le moment), mais les membres peuvent décider autrement pour leur domaines.
Point 17: Gros chantier d’homogénisation d’AlternC en cours. Il y a un gros travail. Il reste des scripts dont on veut se débarraser.

• l’usage d’outils propriétaires sur les ordinateurs utilisés par les bénévoles ou salarié·es du chaton: le KBK n’est pas concerné, sauf si n’importe quel laptop est cponsidéré comme propriétaire, les full opensources étant vraiment rares … mais si c’est le cas, il n’y a aps grand mon de en full libre sur cette planète…
• l’usage de services d’hébergement propriétaires tiers: le KBK n’est pas concerné

• une décision extraordinaire du collectif CHATONS: je suis peut-etre passé à coté, mais qu’est ce qu’une décision extraordinaire ?

• même remarque que pour 1

• le KBK est également concerné, nous utilisons SearxNG

• le KBK utilise invidious, la base d’un proxy étant justement de proxyfier, je vois pas vraiment en quoi c’est un pb, c’est l’identité sur serveur qui est leakée vers youtube

• si je ne me trompe pas, les licences sont en cours de changement, mais le mouvement n’est pas terminé

• si on accepte quand c’est hors gafam, pourquoi ne pas accepter également les gafam ?
• sauf erreur de ma part, il y a des solutions libres

• autant interdire tous les mails dans ce cas, ça n’a pas de sens

• ces services sans push perdent 80% de leur intéret pour l’utilisateur final, donc si le service existe, de facto il utilise le push, c’est à l’utilisatuer final d’accpeter ou non les push sur son device, pas à nous de brider son usage.

• pour les mêmes raisons que les points précédents, ça n’a aucun sens, de plus, les infos DNS sont des infos publiques.

• quel est le pb si c’est chiffré ? on peut aussi prohiber les disks durs ayant un PCB non libres et ouverts, et là on va bien rigoler …

Bon, en fait, in fine, nous ne voyons pas vraiment l’intéret de ces exceptions.
Soit il y a du libre et on l’utilise, et si on ne l’utilise pas on se justifie clairement sur son site vitrine,
Soit il n’y a pas d’alternative libre et dans ce cas, idem , on l’explique sur son site.
à trop préciser, on place des embuches à de futurs chatons pour nous rejondre, et on pousse d’autres à nous quitter,
j’ai un peu l’impression qu’on se tire une balle dans le pied à vouloir trop bien faire.