Pourquoi Orange limite « l’innovation »

Un de mes amis a récemment décidé de quitter les USA et de revenir en France pour devenir entrepreneur. Le voilà donc en quête d’une opportunité de profit Schumpetérienne. Il s’applique à trouver une idée sympa à développer s’appuyant sur un modèle d’affaire a priori crédible.

Pouvoir encapaciter (empower) le citoyen numérique

J’ai souvent dit que je ne voulais pas « monter ma start-up » juste par principe ou parce que c’est à la mode mais que si un jour je trouvais un besoin à satisfaire intéressant, je pourrais franchir le pas. Je n’ai pas trouvé de modèle d’affaire miracle mais le besoin est là : livrer clé en main à ceux qui souhaitent reprendre en main leur vie privée numérique un serveur personnel… sur lequel on pourrait aussi héberger ses proches.

Ces dernières années, l’affaire Snowden aidant, de nouvelles briques user-friendly se développent : le RaspberryPi2 pour le matériel, Yunohost pour l’administration système, Let’sEncrypt pour la gestion des certificats,  CaliOpen pour les échanges inter-personnels, Owncloud pour l’intégration de services ou CozyCloud pour la standardisation et l’architecture, Tahoe-LAFS pour la sauvegarde distribuée en P2P, etc. Bon il manque encore des choses, notamment en terme de redondance simple, dynamique et décentralisée mais ça avance.

Cependant, la réservation d’un nom de domaine, la configuration de la zone DNS (ou le paramétrage du GlueRegistry) et le paramétrage en local nécessitent toujours des connaissances avancées et du temps. En dehors de tout support ou toute formation additionnels, ces tâches devraient être automatisées. Bonne nouvelle : moyennant la prise en main de quelques API et beaucoup de travail, c’est possible…

… mais pas chez Orange

Là où ses concurrents proposent de l’IPv4 fixe sur de l’ADSL dégroupée, du reverse DNS, du NAT-Hairpinning/NAT-LoopBack et l’ouverture du port 25… Avec la moitié des parts de marché, le premier vendeur de Minitel haute définition français saperait le projet. À quoi bon proposer une alternative à Gmail si c’est pour passer par un relai SMTP Orange ?

Serait-ce trop demander que cette entreprise, un quart publique, devienne enfin un fournisseur d’accès à internet et fournisse les quelques services techniques qui lui incombent avant de distribuer du contenu et de se sucrer sur le dos de la neutralité des réseaux ? Serait-ce trop complexe de payer un ou deux commerciaux en moins et de faire un portail correct, simple avec les basiques d’un opérateur de réseau ? Avoir de la fibre optique dans mon salon uniquement pour pomper (et se faire pomper le portefeuille) plus vite sur OCS, Deezer et DailyMotion, non merci…

Faites votre boulot : fournissez de l’Internet !

h-12

Plus de trois mois qu’on attend la keynote de Xavier. J’espère qu’elle apportera quelque chose de nouveau et d’intéressant. En théorie et malgré ce qu’ont annoncé les médias depuis ce matin, cette keynote concernera le fixe.

Alors, qu’est-ce que Xavier va nous proposer ?

La Freebox v7 ne sera vraisemblablement pas disponible avant Noël. Annoncer les villes concernées par l’accord de mutualisation conclu avec Orange en 2011 ne justifie pas une keynote. Une Freebox « alternative » ou un accessoire du style domotique paraissent un peu léger.

Les idées de « petites » innovations insuffisantes pour faire monter Xavier sur les planches ne manquent pas. S’il s’agissait du mobile, j’aurais imaginé la désolidarisation du numéro et de la carte SIM. Si Free voulait concurrencer frontalement Google ils proposeraient de l’auto-hébergement (notamment email, fichiers…)… mais ça serait bizarre pour un FAI qui est contre le principe de neutralité du net et s’est permis de bloquer les flux d’une régie publicitaire. Free pourrait déjà proposer du reverse DNS sur de l’IPv6.

Répondre à Bouygues sur les prix du fixe n’est pas nécessaire pour Free mais pourrait être une stratégie pour affaiblir la concurrence. Mis à part intégrer l’offre AliceBox intiale et tuer définitivement la marque lowcost… je ne vois pas trop ce qui serait si révolutionnaire.

Pourvu que ça ne soit pas uniquement une « innovation » tarifaire. Je remercie Free d’avoir divisé par cinq les prix du mobile en trois ans mais la culture Free c’est également (avant tout ?) une culture de technophiles… enfin c’était. À la belle époque les pubs n’étaient pas alignées sur les spots sans saveur d’Apple. À cette époque Free ne donnait pas d’argent à un taré pour « designer » sa box (comprendre la rendre bancale et bardée de lettres idéales pour conserver la poussière et porteuses de théories scientifiques probablement non maitrisées par l’auteur). Une fois le tarif fixé à 29€99, les nouveautés proposées avaient été principalement techniques (SIP, ring back tone, Mod, Freeplayer, Multipostes…).

J’espère me tromper. J’espère que la bande de geeks répondra de nouveau présent. Le teasing est à la hauteur de mon attente : live.free.fr propose une page optimisée comme je les aime. « Surprise » en base64 dans une structure HTML sans fioriture :


  
    
  
  
    

U3VycHJpc2U=

Le G.Fast normalisé, problèmes de concurrence en perspective ?

Aujourd’hui Silicon.fr m’apprend que le G.Fast vient d’être normalisé par l’ITU. Pour rappel cette norme permet d’apporter un débit descendant d’environ un gigabit par seconde en utilisant une paire de cuivre sur les derniers mètres. Le réseau de distribution d’Orange étant de bonne qualité sur notre territoire, cela pourrait permettre aux opérateurs de proposer du très haut débit (débit descendant >= 30Mbps) en déployant de la fibre optique sur la partie amont du réseau sans avoir à rentrer dans les logements. Or c’est bien cette dernière étape qui est la plus longue et la plus coûteuse.

Quel sera l’impact réel de cette normalisation. En France, les opérateurs ne peuvent utiliser des technologies sur la boucle locale d’Orange qu’après autorisation du comité d’experts cuivre de l’ARCEP. Cette étude vise notamment à s’assurer que les signaux générés par les nouvelles technologies n’ont pas d’impacts négatif sur les lignes voisines. Dans le cas de VDSL2, il a fallu presque dix ans entre sa normalisation et l’autorisation d’exploitation par les FAI français. Pourquoi ? Je ne sais pas. La concurrence avec les réseaux fibrés pose peut-être des questions plus politiques.

Imaginons que l’ARCEP donne son accord et que des FAI soient intéressés. Ceux-ci doivent donc déployer de la fibre au plus près des logements pour ensuite installer un convertisseur opto-électrique à moins de 250 mètres (où le débit descendant chute à 150 Mbps) de la prise téléphonique des futurs abonnés. En admettant que ces convertisseurs soient fiables, durables et alimentés électriquement par le modem de l’abonné, la robustesse du réseau ne devrait pas trop en souffrir. Ma grosse interrogation concerne la concurrence entre opérateurs.

Si pour un même logement, tous les opérateurs ne disposent pas de fibres optiques dans le quartier, seulement certains pourront proposer du G.Fast. Lors d’un changement d’opérateur il faudra donc potentiellement déplacer un technicien pour rebrasser la ligne cuivre sur la collecte cuivre au point de distribution, ce qui semble très couteux. Pour éviter ce problème, on pourrait demander à Orange de mettre à disposition son réseau fibre pour le G.Fast. Se posent alors deux autres problèmes :

  • par soucis de place dans ses fourreaux et dans les NRO mais aussi par économie d’électricité(puissance des lasers) et de fibre, Orange a décidé de déployer du GPON. Chaque fibre est donc mutualisée (pour au plus 64 abonnés) en amont du point de mutualisation. Si le GFast utilise son réseau fibre, il ne sera plus possible pour les autres opérateurs de dégrouper physiquement les lignes, sauf à déployer leur réseau jusqu’au PM. Or on l’a bien vu lors de la règlementation du FTTH, l’accès à un support physique non mutualisé est une condition nécessaire à la concurrence saine entre opérateurs.
  • pour imposer aux opérateurs tiers d’utiliser la fibre Orange en amont du point de distribution, l’accès à l’ensemble de cette boucle local ne doit pas leur coûter plus cher qu’actuellement. Cela revient donc à imposer qu’Orange finance la fibre au prix de la maintenance de la boucle cuivre… alors que dans le modèle actuel Orange peut potentiellement facturer l’accès à sa boucle locale fibre bien plus cher.

Ce problème de concurrence risque d’apparaitre même sans le G.Fast : Orange a indiqué ne plus installer de ligne de cuivre dans les immeubles neufs désservis par son réseau fibre… même si ses concurrents n’en ont pas. Ce n’est que le début de la très lente extinction cuivre qui sera impactée par les recommandations de la mission Champsaur.

Je en sais pas exactement comment ni quand sera réellement utilisé le GFast sur nos lignes. Pour le moment le marché doit composer avec la fusion Numéricable/SFR/VirginMobile, un possible dégroupage du réseau FTTLA (fibre/coaxial sur un arbre DOCSIS 3.0) de Numéricable et un redécoupage des cartes de déploiement fibre entre Orange et NC-SFR.

Neutralité des réseaux : stop ou encore ?

NewtImpact nous apprend que le conseil européen version télécom s’est réuni hier à Bruxelles afin de trouver un consensus autour du paquet télécom. Fer de lance du marché unique européen voulu par Neelie Kroes (commissaire au numérique de la précédente législature), les deux principaux sujets de ce règlement sont l’extinction des frais d’itinérance sur le territoire européen au 15 décembre 2015 et la neutralité des réseaux.

La neutralité des réseaux avait tout d’abord été retirée du rapport Castillo-Vera par des amendements de compromis au sein de la commission ITRE le 18 mars puis rétablie par le parlement lors du vote de ce même rapport en plénière à Strasbourg le 3 avril. La position française allait à l’époque à l’encontre de cette garantie de traitement égalitaire des paquets sans discrimination portant sur leur émetteur, leur destinataire ou leur contenu. Concrètement un opérateur de réseau neutre fait payer le consommateur selon la classe de débit (constant) choisie et la quantité de données consommées (avec pourquoi pas d’importants quotas voire un forfait illimité) tout comme le font les fournisseurs d’énergie et dans une moindre mesure d’eau. Ce principe est nécessaire à l’innovation technologique et au maintient des libertés fondamentales sur internet.

Aucun consensus n’a pu être trouvé lors de la réunion d’hier, ce règlement (d’application immédiate, sans transposition) n’est donc pas prêt de passer en seconde lecture au parlement.

Authentification automatique chez Orange : WTF

Je viens d’arriver dans un gîte pour quelques jours de vacances avec de la famille. Mon oncle en profite donc pour me demander un coup de main : Microsoft lui demande de mettre à jour ses paramètres de sécurité avant d’accéder à sa messagerie Outlook et ça le perturbe. À la création de ce compte, il a saisi son adresse email Orange comme adresse de secours. Je vais donc pour me connecter, depuis mon ordinateur portable personnel, au webmail Orange… et là c’est le drame : je suis connecté sur le compte email du propriétaire du gîte.

Mais c’est quoi ce bordel ?!

Les ingénieurs de chez Orange croient-ils que tous les utilisateurs du réseau de madame Michu ont son entière confiance au point de lui donner accès à ses mails… autant lui livrer le numéro de carte bancaire en même temps, package fidélité ?! Croient-ils qu’elle est consciente de donner accès à toute sa correspondance, ses factures détaillées de téléphone et au moyen de changer tous ses mots de passe lorsque son fils donne le code Wifi à ses potes en soirée (il n’y pas de réseau « invité » distinct sur la Livebox) ? Non mais c’est pas croyable !

Mise à part cette absurdité de sécurité, ça entretien la croyance que la boîte email n’est accessible qu’au domicile chez les personnes les moins à l’aise avec la technologie. D’autre part ça ne les aide pas à retenir leur mot de passe d’adresse email, chose que l’on devrait connaître aussi bien que son code de carte bleue.

En cherchant il s’avère que l’on peut contourner ce comportement par défaut déviant inadmissible. Mais non, contrairement à toute logique il ne s’agit pas d’une case à décocher dans l’espace client ou dans l’interface d’administration de la Livebox, il faut créer une adresse de messagerie « secondaire » sur le compte, même si elle ne servira jamais.

Je pestais à l’automne contre le stockage des mots de passe en clair chez Free, mais là on atteint un niveau record.

J’ai acheté le Hi4G

Après 4 ans de bons et loyaux services mon Samsung Galaxy Spica est devenu difficilement utilisable et sa batterie limite son autonomie à quatre heures en veille. Il me fallait donc un nouveau smartphone avant de partir en vacances. Après avoir recherché sans succès un mobile 4G double SIM et attendu en vain que le OnePlus One soit disponible pour le commun des mortels, j’ai choisi le Hi4G.

Je le conseille à tous ceux qui souhaitent acheter un smartphone pas cher ayant un très bon rapport qualité/prix. C’est en fait un ZTE Blade Apex 2 distribué en France exclusivement par le groupe Orange en marque blanche.

Quelques points à noter :

  • il est compatible 4G catégorie 4 (jusqu’à 150 mbps en réception sur les réseaux compatibles comme Free ou Orange)
  • il possède 1024 Mo de RAM, un écran de 4″5 et un processeur Qualcomm Snapdragon 400 (1,2 GHz Quad-core), 8Go de ROM
  • il possède un port microSDHC pouvant étendre la mémoire morte à 32 Go
  • la batterie ne peut pas s’enlever
  • je n’ai pas encore trouvé de tutoriel pour le rooter

Plus de détails et un test complet sur le site de 01.net.

Ce mobile semble avoir baissé de dix euros depuis son lancement fin avril et coûte aujourd’hui 119€90 tant en boutique que sur le site internet. Sachez que vous n’êtes pas obligé de prendre la Mobicarte(gratuite) qui sera proposée par le vendeur. J’ai acheté le mien seul, sans aucune carte SIM venant de chez Orange.

Point très important : en achetant ce mobile seul ou avec une Mobicarte (ou toute offre « non engageante » Orange), il est possible d’obtenir le code de desimlockage gratuitement et immédiatement après l’achat. Je suis tombé sur un vendeur très sympa bien qu’un peu à coté de la plaque car il n’était pas au courant des procédures de desimlockage de l’opérateur pour lequel il travaille ! C’est pourtant le B.A.BA.

Conformément à la loi Hamon entrée en vigueur en juin, la garantie de conformité est de 24 mois(comme indiqué sur l’étiquette produit en boutique). Pour en bénéficier au-delà des six premiers mois, le consommateur devait auparavant prouver lui-même que le défaut était présent au moment de l’achat. Orange vendant ce téléphone sous sa propre marque, ce sont ses vendeurs qui devront assurer le service après-vente que l’on ait ou pas souscrit un abonnement chez eux.

MAJ du 10 août 2014 : Après vérifications, le dernier paragraphe de mon article comptait un certain nombre d’erreurs :

  • d’après cet article concernant la loi Hamon : Concernant le passage du délai de six mois à deux ans de la garantie légale de conformité, il faudra attendre deux ans après la publication de la loi, soit le 17 mars 2016.
  • l’inscription « SAV 24 mois » sur les étiquettes des produits en boutique Orange n’est valable que si l’on possèdes toujours la ligne Orange qui a été souscrite (ou renouvelée) en même temps que l’achat du mobile
  • le Hi4G est bien vendu sous la marque commerciale Orange mais comme ZTE apparaît bien sur l’étiquette de la boite de l’appareil, c’est ZTE qui est tenu d’assurer le service après vente constructeur en cas de défaut matériel
  • cette garantie constructeur est valable 12 mois pour les produits achetés en juillet 2014
  • pour faire valoir cette garantie constructeur gratuite de 12 mois, on peut renvoyer le produit par colis ou bien aller dans l’une des 170 boutiques PSM (Point Service Mobile) agréées par ZTE

Ivre, la FCC parle de neutralité

Depuis le petit arrangement entre Chromecast et Netflix, puis sa validation par la justice américaine, le débat sur la neutralité des réseaux a refait surface aux États-Unis. Je viens de lire un article particulièrement… étrange sur le site ZDNet dans lequel on peut lire :

Le débat sur la neutralité du net enfle depuis plusieurs semaines  à l’approche du 15 mai, date à laquelle la FCC doit s’exprimer sur son nouveau projet de régulation. Face à la mobilisation de nombreux acteurs, le régulateur américain se défend de vouloir remettre en cause la neutralité du réseau.

Dans un nouveau document le président de la FCC, Tom Wheeler, précise ses positions : la FCC entend bien autoriser les FAI à fournir de meilleurs débits aux fournisseurs de services et contenus acceptant de payer l’accès à cette « voie rapide ». La commission ajoute néanmoins qu’elle veillera à ce que ces pratiques ne discriminent pas les entreprises refusant de payer.

La FCC pense qu’autoriser et réguler ce type d’accord est le meilleur moyen de protéger la neutralité du net. Une lettre ouverte, signée par une centaine d’acteurs majeurs du Web et publiée la semaine dernière, montre que cette vision n’est pas partagée par tous.

Soit des subtilités de langage se sont perdues en cours de traduction, soit ces gens de la FCC ont besoin qu’on leur rappelle ce qu’est la neutralité des réseaux. Il est intrinsèquement impossible de réguler la neutralité des réseaux. Par définition, la neutralité est le fait de délivrer des paquets IP sans distinction de l’émetteur, du récepteur ou de leur contenu donc de manière systématique. On ne peut donc aucunement soumettre l’accès à des « voies rapides » à quelconque paiement. C’est totalement absurde.

D’autre part, comment pourrait on assurer que les entreprises refusant ne payer ne soient pas discriminées alors que le but d’un échange marchand est de procurer à un client un bien ou un service qu’on ne lui fournirait pas sans contre-partie financière ?

Hey la FCC, tu t’es vue quand t’as bu ?

PopcornTime : une piste d’archi pour Netflix ?

Outre la vente de SFR, cette semaine a été marquée par de très nombreux articles sur PopcornTime. Je l’ai testé en début de semaine et je dois avouer que c’est bluffant. C’est ce qu’on peut appeler du design, au sens anglo-saxon du terme : ce n’est pas seulement « beau » c’est surtout très pratique, très fonctionnel.

L’idée principale est de mettre à disposition des flux torrents en streaming au sein d’une interface ultra-simple permettant d’accéder aux résumés de films et aux sous-titres. Cela offre un accès immédiat aux films disponibles en torrents pour toute madame Michu anglophile.

Évidement, le droit d’auteur s’applique sur les flux que l’on télécharge. Selon les films et la localisation géographique il est donc possible que l’utilisateur se mette dans l’illégalité. Les majors faisant pression sur l’équipe ayant développé ce projet à titre totalement gracieux, ceux-ci ont choisi d’arrêter le projet(bien qu’ils ne faisaient absolument rien d’illégal). Le code, open-source, étant disponible sur Github, il va probablement être rapidement forké.

Ce qui est intéressant c’est l’architecture sous-jacente du système. Comme tout Torrent, lorsqu’un peer télécharge un ficher, il seed également. C’est à dire qu’il envoie à son tour ce fichiers à ceux qui le demandent. Plus il y a de personnes qui regardent un film, plus celui-ci est disponible rapidement. On ne divise donc pas une bande passante disponible vers un serveur unicast (comme Youtube). Cela s’apparente plus à la multiplication des pains.

Ces derniers jours on a beaucoup parlé de Netflix qui tenterait de s’installer en France d’ici l’automne. Netflix voulant diffuser ses programmes en 4K (« ultra HD »), cela pose de gros problèmes de transit car tous ses serveurs sont centralisés aux États-Unis. Il y a donc une asymétrie des volume lors de l’interco avec les FAI européens (au travers de Tiers1 comme Cogent) ce qui pose des problèmes de gros-sous(pouvant déboucher sur la non neutralité du réseau). Internet pour rappel, n’est pas fait pour avoir des échanges aussi déséquilibrés mais au contraire pour répartir le contenu et distribuer la charge.

Ne pourrait-on pas imaginer que Netflix s’inspire de l’architecture Torrent pour éviter ces problèmes d’engorgement ? Tout ça avec les DRM(verrous numériques non interopérables dignes d’un autre âge) qui vont bien pour faire plaisir aux majors bien entendu. Cela me parait économiquement, concurrentiellement et technologiquement bien plus sain que de recourir à des CDN.

Libon, enfin un début de quelque chose interopérable.

La semaine dernière Orange publiait ce communiqué, à propos de sa messagerie OTT. Je suis habituellement très critique envers Orange. Pour une fois c’est le moins arriéré des opérateurs mobiles grand-public français.

Les smartphones ont commencé à réellement se démocratiser depuis 2010 environ. En France, ce mouvement s’est accompagné des forfaits avec SMS illimités et un début de forfaits data 3G. Les opérateurs en place tout comme Free ont cependant voulu s’accrocher désespérément à leurs marges sans voire qu’avec ou sans eux, les utilisateurs, de plus en plus mobiles, passeraient à un mode de communication tout IP. Des problèmes de qualité de service rendent la chose légèrement plus délicate pour des communications vocales, mais pour des mini-message c’est techniquement très aisé.

Bilan des courses :

  • les opérateurs européens ont pu grappiller quelques euros d’itinérance SMS/MMS à l’étranger durant quatre ans de plus
  • Whatsapp est devenu leader, maintenant racheté par un géant américain
  • de nombreuses personnes ont perdu toute confidentialité dans leurs échanges, c’est particulièrement vrai en Espagne

N’aurait-il pas été plus efficace d’attribuer un compte XMMP du style numero_tel@xmpp.opérateur.fr à chaque nouvel utilisateur depuis le début de l’expansion des smartphone et de conseiller d’utiliser ce compte avec des clients mobiles en voyage ? N’aurai-t-il pas été possible d’utiliser la norme ENUM dans le DNS (comme expliqué dans mon premier article) contenant l’URL du compte XMPP associé à un numéro de téléphone ? Ce qui aurait permis de choisir librement un fournisseur de confiance pour recevoir ses message de manière transparente pour l’utilisateur ? Pourrait-on imaginer d’avoir un serveur sur son téléphone (nécessite l’IPv6) afin d’assurer que nos communications soient chiffrées directement à la source ?

Je n’ai pas encore creusé le fonctionnement de Libon. Il reposerait a priori sur une norme OpenChat apparemment dérivée d’XMPP (d’après http://blog.libon.com/status/)  et un client HTML5 serait disponible pour tous ceux ne voulant pas installer d’application. Très bien ; mais la chose la plus importante est l’interopérabilité d’infrastructure : celle de Libon me permettra-t-elle d’héberger mon propre serveur de messagerie, ou bien d’héberger mon compte chez un ami, une association ou une petite entreprise à qui je fais plus confiance que mon opérateur national ? OpenChat apporte-t-elle réellement une amélioration technique ou cette norme maison a-t-elle pour but une nouvelle fois de nous enfermer dans un éco-système ? Parle-t-on d’une extension d’XMPP qui sera documentée (comme Jingle pour la vidéo) ou bien fermée comme Whatsapp ?

Quand est-ce que les opérateurs montreront qu’ils ont compris qu’un abonnement mobile est sensiblement similaire à un abonnement fixe : on loue une connexion IP (neutre, supportant l’IPv6 si possible) a un prix mensuel fixe (la plupart du temps). La seule différence est que cette connexion IP est disponible sur tout le territoire national et peut éventuellement entraîner des frais de roaming à l’étranger. Les autres services IP (appels, SMS, TV, jeux, ristourne pour des services tiers) peuvent éventuellement augmenter le ticket moyen… mais sont périphériques.

Quand est-ce qu’ils comprendront que la mentalité « telecom » est mourante sur le marché grand-public ? L’un d’eux osera-t-il un jour innover et devancer le marché plutôt que de suivre le monde internet voire reculer pour mieux sauter ?

Je ne suis d’ordinaire pas interventionniste, mais quand on voit le risque de perte d’interopérabilité et confidentialité de nos moyens de communications, j’en viens à me demander si une régulation en la matière ne serait pas nécessaire. On ne parle pas de n’importe quel service marchand, mais d’échanges interpersonnels. Le passage à l’IP devrait, de part la nature décentralisée de l’architecture d’internet, nous libérer de l’emprise des 4 grands opérateurs nationaux et non pas concentrer le pouvoir dans un ou deux géants mondiaux.

Quitter Google : ma grande aventure

J’ai commencé à utiliser quotidiennement les services de Google (Gmail, Reader, Calendar, Talk…) en août 2010 lorsque j’ai acheté le Samsung Galaxy Spica sous Androïd que j’utilise encore aujourd’hui. Peu de temps après, j’ai commencé à discuter de l’emprise de ces grosses entreprises sur nos données personnelles avec Simon, un ami UTCen. Plus nous en parlions, plus il devenait évident qu’il faudrait tôt ou tard trouver une solution alternative. Simon s’y est mis très rapidement. Pour ma part ça a été beaucoup plus progressif. J’ai reconverti un vieux PC en serveur à l’été 2012 pour n’acheter un nom de domaine et installer un serveur email que fin novembre 2012. J’ai encore mis un an et demie avant de basculer complètement. Depuis hier, je peux le dire : j’ai enfin quitté Gmail.

Je vais essayé de faire un panorama des questions qui se posent lorsque l’on décide de s’auto-héberger. Tout d’abord je souhaite remercier les personne qui m’ont directement ou indirectement aidé dans la démarche : Simon, Jocelyn Delalande, Benjamin Sontag, les rédacteurs de www.auto-hebergement.fr et tous ceux qui aident les petits nouveaux.

Le serveur sera-t-il chez moi ou dans la salle blanche d’un hébergeur ?
Quel fournisseur d’accès à internet dois-je choisir ?
Quel nom de domaine choisir ?
Quel OS installer sur ma machine ?
Quel certificat TSL ? Quel chiffrement sur HTTP ?
Puis-je réellement héberger mes emails en toute sécurité ?
Comment chiffrer mes emails ?
Quelle méthodologie de sauvegarde mettre en place ?
Doit-on préférer les applications web ou les applications natives ?
Quelle technique d’identification utiliser ?
Quels autres services voudrais-je installer dans les mois à venir ?
Quels sont les autres services du quotidien qui me lient toujours à Google ?

Le serveur sera-t-il chez moi ou dans la salle blanche d’un hébergeur ?

J’ai choisi d’héberger moi-même physiquement mon serveur car c’est ce qui se rapproche le plus de la philosophie d’internet : chaque ordinateur connecté reçoit et émet des données(fournit des services). De plus on parle beaucoup aujourd’hui des problèmes d’interco notamment entre Google et les opérateurs de détail européen. Le peering, l’échange de données entre deux réseaux, est historiquement gratuit et équilibré. La centralisation des lieux d’hébergement et entre autres les vidéos de Youtube (et on risque de parler rapidement de Netflix) mettent en cause cette externalité positive sur laquelle repose internet. Héberger mon serveur chez moi est donc en quelque sorte un acte « militant » prouvant que l’intelligence du réseau Internet est toujours en périphérie, même aujourd’hui.

Attention cependant, ce choix implique quelques inconvénients. La disponibilité de votre serveur est tributaire du bon fonctionnement du réseau électrique et de votre connexion internet. De plus, si vous êtes soucieux de l’écologie, il faut faire attention lors du choix de votre machine. J’ai racheté l’ordinateur portable d’un ami. Je ne sais pas exactement combien il consomme mais à l’année ça doit être relativement important. Notez que l’achat d’un portable est intéressant car avec une batterie vous avez un onduleur intégré pour éviter les arrêts brutaux en cas de coupures, plus fréquentes que l’on ne croit, du réseau électrique.

Un dernier point à vérifier est votre débit en upload. Si vous souhaitez pouvoir utiliser de manière fluide votre serveur, vous devez disposer d’un débit montant correct.

Quel fournisseur d’accès à internet dois-je choisir ?

Le choix du fournisseur d’accès internet n’est pas anodin. Globalement le débit montant dont vous disposez ne dépend plus aujourd’hui du choix votre FAI mais de la qualité de votre boucle locale (je parle du cuivre). C’est physique et vous n’y pouvez rien.  En revanche, si vous souhaitez disposer de tous les services dont votre serveur aura besoin pour fonctionner de manière optimale, le choix du FAI est capital. L’idéal serait d’adhérer à un fournisseur de la Fédération French Data Network qui sont des associations locales, à taille humaine, fournissant de l’internet neutre (désolé, c’est sur Youtube) et luttant pour qu’internet redevienne neutre.

Si vous devez choisir parmi les 5 grands FAI commerciaux Français (parce que Papa ou Maman veut la télé par ADSL par exemple) je vous conseille très vivement que choisir Free qui fournit facilement les services suivants : IPv4 fixe, d’une IPv6, d’un port 25 ouvert, d’un reverse DNS IPv4. Orange est le pire : il n’en fournit aucun. Orange est resté bloqué à la mentalité minitel et ne fournit qu’un moyen de consommer goulûment des octet sur le réseau, il ne fournit pas un accès internet.

Je vais également essayer de lister mes déceptions au cours de cet article. Première déception : Free ne fournit pas encore de reverse DNS IPv6, ce qui semble compliquer les choses : il faut forcer l’envoi SMTP en IPv4 vers les serveurs vérifiant le reverse DNS en IPv6.

Quel nom de domaine choisir ?

LA grande question ! Sachez que si dans un premier temps vous souhaitez juste « jouer » avec votre serveur, vous pouvez soit utiliser votre IP, soit un domaine gratuit du genre No-ip ou des TLD en .tk. Free vous permet également de choisir gratuitement votre nom de domaine en hd.free.fr.

Au delas de la phase de test, il vous faudra louer un nom de domaine auprès d’un registar. Je vous conseille de choisir un registar qui sera capable, si un jour vous en avez besoin (peut-être même en urgence) d’étendre les services que vous lui louez à de l’hébergement email, web ou bien à un serveur complet dans ses baies. On ne sait jamais, ça peut toujours servir. Dans cette optique, je vous conseille de choisir un registar français ou européen (ie, dans l’UE). Entre les outils légaux (Patriot Act) et illégaux (cf Snowden et NSA) de nos amis États-Uniens, je préfère rester en Europe. D’autre part, je ne suis pas sur qu’il soit possible de réserver de .fr auprès d’un registar outre-atlantique.

Choisissez bien votre nom de domaine car il vous suivra probablement pour les années ou décennies à venir. Pas trop long, facile à dicter…. Évitez aussi les noms de domaine avec des caractères spéciaux (lettres accentuées, idéogramme, cyrillique…) appelés IDN. Notez qu’il y a régulièrement des promotions chez les grands registars (OVH, Gandi…).

Si votre bureau d’enregistrement vous fait des misères, il est facile de migrer son nom de domaine vers un autre registar proposant la même extension. La procédure est normalisée, automatique et rapide.

J’ai choisi OVH. Une petite déception : ne pas pouvoir choisir un TTL inférieur à 24h pour ma zone DNS.

Quel OS installer sur ma machine ?

Bien évidement, je vous conseille très très vivement d’installer une distribution GNU/Linux. Debian me paraît stable, très bien documentée et tout à fait adaptée à cette utilisation. Tous les logiciels dont vous aurez besoin seront disponibles compilés dans les dépôts.

Cependant, si vous souhaitez limiter le temps de paramétrage de votre serveur, Yunohost (dérivée de Debian) est l’idéal. Tout y est déjà pré-configuré pour un serveur complet et sécurisé. Cela dit, configurer au moins une fois tous les composants d’un serveur juste pour bidouiller est très formateur. D’autres interface web d’administration existent telles que AlternC (initié par Valentin Lacambre puis réécrit par l’équipe de l’AutreNet), le traditionnel Webmin… Cependant ces projets semblent plus orientés hébergement massif professionnel que serveur all-in-one avec intégration pré-machée pour auto-hébergement personnel.

Valentin Lacambre

Quel certificat TSL ? Quel chiffrement sur HTTP ?

Si vous souhaitez héberger un serveur web, vous serez probablement amené un jour à vouloir chiffrer certains flux en HTTPS. Par exemple, il est inconcevable d’utiliser un webmail en HTTP. Personnellement j’ai choisis de tout chiffrer par défaut. Certains crieront au gaspillage de ressources. Je suis persuadé qu’il est bien plus simple et bien plus sûr de tout chiffrer plutôt que de m’apercevoir un jour que des mots de passe ont fuité car j’ai oublié de chiffrer l’espace d’administration de mon blog ou autre.

Pour chiffrer vos flux HTTPS, il va vous falloir un certificat TLS. Vous avez plusieurs possibilités :

  • auto-signer votre propre certificat
  • le faire signer par CAcert
  • le faire signer par StartSSL
  • le faire signer par tout autre autorité de certification reconnue (cher !)

Toujours dans une démarche d’indépendance, je suis longtemps resté avec un certificat auto-signé. Cela impliquait de créer une exception de sécurité sur le navigateur de mon PC et de valider l’avertissement de sécurité lorsque j’accédais à mon serveur web depuis un autre PC. La chose s’est compliquée lorsque j’ai décidé de chiffrer tout mon blog. Il était peu envisageable de demander à mes visiteurs de valider une exception de sécurité avant d’accéder à mes saints écrits. Je devais donc faire signer mon certificat par une autorité de certification. CA-cert a l’avantage d’être communautaire mais le certificat racine de cette autorité n’est pas installé  par défaut dans tous les navigateurs web fonctionnant sous M$ Windows. J’ai donc choisi l’offre commerciale de StartSSL : certification gratuite pour un seul sous-domaine.

Ne disposant que d’un sous-domaine, j’ai configuré Apache pour réécrire automatiquement les URL de la forme xxx.dumaine.me en www.dumaine.me/xxx/

Puis-je réellement héberger mes emails en toute sécurité ?

Il est encore un peu tôt pour répondre à cette question en me fondant sur mon expérience personnelle. J’ai un serveur email sur ma machine depuis plus d’un an mais je m’en suis peu servi pour le moment. L’excellente conférence de Benjamin Sontag sur l’email (cycle de confs de l’IEUFI) montre qu’héberger son serveur email est tout à fait faisable si on prend un minimum de temps pour s’intéresser à la config pour faire les choses correctement. À défaut, vous devrez utiliser  des outils pré-configurés comme Yunohost et mettre à jour proprement votre zone DNS.

En cas de panne d’un serveur SMTP, l’émetteur répète l’envoi durant 4 au moins quatre jours (en général, c’est une convention). Afin de ne louper aucun email si je suis en vacances durant plus de quatre jours, j’ai créé un compte sur le serveur email OVH (avec les alias qui vont bien) et je l’ai mis en serveur MX secondaire. Ainsi en cas de panne de ma machine, je réceptionne les emails sans bouncer mes correspondants. D’autre part, j’utilise un client SMTP local sur mon ordinateur personnel : j’ai donc accès à mes anciens emails quand mon serveur est hors-ligne.

Le seul risque actuellement serait que mon serveur crash (panne de disque) entre la réception d’un email et la synchro IMAP sur mon PC, la nuit par exemple. Le seul moyen que je vois pour contrer la chose serait d’exécuter automatiquement un script (via un wrapper) qui duplique l’email sur un autre serveur de confiance ou un NAS dès sa réception par mon serveur SMTP. Ça me paraît un peu lourd donc pour le moment je me débrouille sans.

Comment chiffrer mes emails ?

L’extension Enigmail de Thunderbird me parait très bien fichue. Je n’ai pas encore d’extension Roundcube pour le chiffrement. Cependant, l’extension pour navigateurs web www.mailvelope.com doit permettre de chiffrer le texte de m’importe quel champ texte. Je ne l’ai pas encore testée. Cependant, l’utilité d’un webmail est de pouvoir accéder à sa messagerie en déplacement donc lors que l’on a ni le temps ni la possibilité d’installer des extensions dans son navigateur.

Un truc pratique serait de pouvoir stocker la version déchiffrée des messages sur le serveur IMAP une fois reçus. En cas de perte de certificat dans vous pourrez toujours consulter vos anciens emails.

Quelle méthodologie de sauvegarde mettre en place ?

Le plus simple est d’utiliser cron pour sauvegarder automatiquement vos fichiers et notamment les sauvegardes de vos bases de données (fichiers .sql) chaque nuit. Vous pouvez les sauvegarder sur un disque USB ou bien chiffrer les données et les envoyer dans le cloud (dropbox, gdrive, oneDrive…). Il existe également des outils pour faire des sauvegardes différentielles (on ne copie que ce qui a changé depuis la dernière sauvegarde complète)  ou incrémentales (on ne copié que ce qui a changé depuis la dernière sauvegarde incrémentale). Rsync, lui, synchronise des répertoires distants en ne transférant que ce qui a changé. Il est assez réputé.

Doit-on préférer les applications web ou les applications natives ?

Les applications web sont pratiques car elles fonctionnent partout de la même manière, indépendamment du PC. Les applications natives nécessitent de la configuration mais sont plus économe en ressource réseau (pas besoin de tout recharger à chaque fois), gardent une copie locale des données (pratique en cas de pépin sur le serveur) et donc permettent une consultation hors-ligne.

Bonne nouvelle : il n’y a pas à choisir. Le plus important ce sont les protocoles ! La plupart des applications internet sont basées sur des protocoles ouverts et standards (codifiés dans des RFC) permettant d’utiliser un même service avec plusieurs technologies. L’IMAP vous permettra de consulter vos emails chez vous, de les classer dans votre clients lourd et de les retrouver tels quel dans votre webmail quand vous serez au boulot ou bien sur votre client mobile le weekend chez belle-maman. Le webdav permet une synchro de fichiers, le carddav des contacts et le caldav des calendriers.

Une déception : il n’est visiblement pas possible de synchroniser les groupes d’appartenance des contacts avec un serveur carddav sous Owncloud et un client Thunderbird. Je ne sais pas si c’est la faute du protocole ou bien si les implémentations sont incomplètes. De plus Owncloud agrège les différents contacts des carnets d’adresse sans pouvoir retrouver quel contact appartient à quel carnet d’adresse a postériori.

 

 

 

Application Serveur Client console Client graphique natif Client web Client Androïd natif
Envoi d’email SMTP Postfix, Sendmail Mutt, SMTPS Thunderbird, Évolution Roundcube, Horde client intégré
Réception d’email IMAP Dovecot Mutt, MS IMAP Thunderbird, Évolution Roundcube, Horde client intégré
Synchro de contacts CardDav Baikal, Owncloud  pyCardDAV Thunderbird(extension SOGO connector), Évolution Roundcube, Horde, Owncloud CardDavSync, ContactSync
Synchro agenda CalDav Baikal, Owncloud  Khal Thunderbird(extention Lightning), Évolution Roundcube, Horde, Agendav, CalDavZAP, Owncloud CalendarSync, CalDAVSync
Synchro de fichiers WebDav mod_webdav d’Apache, Owncloud Cadaver Nautilus, Konqueror WebDAV File Manager
Messagerie instantanée XMPP ejabberd Poezio, FreeTalk Thunderbird, Pidgin Jappix, Owncloud Xabber (multi-proto)
Streaming de musique Ampache mod_ d’Apache, Owncloud Amarok Amdroid,

Easy Music Transfer
Visionneur de flux RSS Pas de proto de synchro newsbeuter, raggle Thunderbird, Firefox… Leed, TinyRSS, Owncloud  Feedly, FeedR

 

Nota : Owncloud n’est pas vraiment un client CardDav/CalDav à proprement parler. Il dispose d’une interface web permettant de modifier  les calendriers et contacts qu’il contient.

Owncloud permet aussi d’héberger un serveur pour Firefox Sync. Il est là aussi dommage que ce protocole ne soit pas standard et implémenté dans d’autres navigateurs de manière inter-opérable. J’utilise actuellement la version 29 en nighlty de Firefox : je ne sais pas comment utiliser la version 1 de FirefoxSync. Seule la nouvelle version Firefox Account m’est proposée et m’oblige à utiliser les serveurs de la fondation. Ce que je refuse de faire.

Owncloud ne permet pas de gérer de reminder, et encore moins d’envoyer des email ou autres messages instantanés. C’est un gros manque.

Certaines applications sont (malheureusement) indépendantes de toute normalisation ouverte et donc non interopérables. Pour d’autres une normalisation n’aurait pas beaucoup d’intérêt car elle ne sont pas destinées à échanger avec d’autres environnements. Les applications suivantes sont également installées sur mon serveur :

  • Plateforme de blog : WordPress (un peu usine à gaz mais fonctionnel)
  • un proxy HTTP anonymisant et transparent via le module apache (pour une utilisation ponctuelle mieux vaut établir un tunnel via SSH)
  • Publication de texte anonyme (Pastebin like) : Zerobin (merci SebSauvage)
  • Partage de liens : Shaarli (merci SebSauvage)
  • Réplication automatique de blog pour industrialiser l’effet Streisand : Autoblog (merci SebSauvage et pas merci à la fois : je peux plus dire de conneries et les corriger a posteriori XD)

Je trouve dommage qu’il n’y ait pas moyen de synchroniser la liste des flux RSS ni l’état (lu ou non-lu) de chaque item de ces flux. Je trouve assez décevante l’offre d’agrégateurs RSS natifs. Je n’en ai trouvé aucun pour le moment qui permette d’afficher une liste conséquente de flux sans trop scroller, de lire directement la liste des flux en scrollant, de marquer comme lu les flux qui on été srcollés et de ne pas afficher le titre des flux qui n’ont aucun item non-lu. Du coté des applications web il m’a fallu faire une petite modif du code PHP dans Leed et une petite modif de CSS dans Owncloud (pour afficher les titres des flux en plus petit).

Thunderbird ne peut pas synchroniser un carnet d’adresse par CardDav sans extension ! À l’heure de FirefoxOS c’est un sacré problème ! De plus, lorsque j’essaye d’importer mes carnets d’adresses vCard exportés avec Gmail, Thunderbird ne récupère pas les numéros de téléphone alors que cela fonctionne très bien dans Owncloud. D’autre part, la structure du carnet d’adresse est ultra figée. Je dispose d’une cinquantaine de champs qui me sont inutiles mais je ne peux apparemment pas associer plus de deux adresses email à un contact dans Thunderbird.

J’essaye de limiter le nombre de technologies tournant en permanence pour limiter le gaspillage de ressources. Ainsi j’évite tout ce qui utilise Java ainsi que node.js(Latex Sharing,  EtherpadLite, Laverna). J’essaye ainsi de me limiter à PHP et Python.

Quelle technique d’identification utiliser ?

L’authentification entre applications (le Single-Sign-On) permet de s’authentifier une fois pour toute auprès d’un service qui sera contacté par les autres applications pour propager l’identification et les paramètres (email typiquement) d’un utilisateur. Cela permet de ne gérer qu’un seul mot de passe et donc de pouvoir le changer plus souvent et plus rapidement. Certaines solutions propose une déconnexion centralisée.

Il existe de nombreux protocole de SSO sur le web. Cependant je n’ai pas trouvé de solution réellement satisfaisante :

  • OpenID est léger mais oblige à resaisir son URL à chaque connexion dans chaque appli
  • LemonLDAP est mutli-protocoles mais lourd
  • Authentic2, de entreouvert.org est en python et multi-protocoles mais me parait complexe à mettre en oeuvre

D’autre part, assez peu d’applications libres ont mis en place ces protocoles d’authentification unique. Dans l’état actuel des choses, je reste donc avec un couple login/password par application et utilise leurs cookies pour garder ma session ouverte… sur mon PC.

Quels autres services voudrais-je installer dans les mois à venir ?

C’est pas tout ça mais y’a encore du boulot !

  • passer mes boîtes emails du format mailbox au format maildir
  • réparer le plugin depublication du taux d’accès IPv6
  • réparer les QRcode shaarli
  • installer Seive
  • supprimer l’adresse IP du client envoyant l’email des headers SMTP
  • réinstaller un serveur OpenID
  • installer Spamassassin, Amavis, ClamAV
  • importer mes notes depuis ZohoNotebook dans Onwcloud : avec une archi trois niveau et un éditeur HTML ça serait mieux
  • gestionnaire de sondages (Doodle-like) : Framadate
  • gestionnaire de sondage (Google sondage like) : Limesurvey
  • creuser du coté du projet Unhosted
  • VPN : OpenVPN
  • un portail de mashup ? Posh ?
  • un moteur de recherche décentralisé : Seek
  • TOR
  • un truc léger voir intégré dans le module de document partagé de Owncloud pour faire du Latex collaboratif en ligne
  • la mm chose pour éditer de manière collaborative des feuilles de caclus/graphique et des présentations
  • un serveur SIP : Asterisk
  • solution de confs WebRTC : pour éviter au destinataire ponctuel d’installer un soft
  • héberger mon propre serveur DNS avec Bind : juste pour jouer (pas en prod) car iveau résilience c’est moyen et ça apporte peu.
  • utiliser (voire héberger ?) un DNS alternatif
  • un gestionnaire de projet (genre un redmind léger) qui permette de ticketer et parcourir les dépots Hg
  • un back up ditant, chiffré et distribué : Thaoe FS
  • un réseau social/micro blogging : (Identi.ca, Diaspora, Movim…)
  • FTPS ? utile avec SSH et WebDav ?

Faudrait aussi que je me mette à développer des plugins pour essayer d’apporter ma pierre à l’édifice et combler certains de manques que j’ai relevés. C’est ça aussi l’esprit du libre.

Quels sont les autres services du quotidien qui me lient toujours à Google ?

Pour le moment j’utilise encore quasi exclusivement le moteur de recherche Google. Je vais essayer de me mettre progressivement à DuckDuckGo et d’installer un node Seek sur mon serveur… mais Rome ne s’est pas faite en un jour. Avec DoNotTrack activé et mon compte utilisateur déconnecté, le risque pour ma vie privé est déjà assez réduit.

J’utilise encore aussi beaucoup Google Maps. OpenStreetMap est performant mais je crois qu’on va pouvoir attendre longtemps avant de y pouvoir consulter des photos prises par satellite…

Youtube… car l’effet de réseau induit par le contenu ou la masse d’utilisateurs (comme les réseaux sociaux fermés) est bien difficile à combattre… pour le moment.

Sans compter que je suis encore présent sur Facebook et assez actif sur Twitter.