Le Blog Utux

HTTP 200 GET /

Protonmail, un écosystème fermé qui vous veut du bien.

Rédigé par uTux Aucun commentaire

Voilà maintenant un peu plus de 10 ans que je gère mon propre serveur de messagerie Postfix (avec un bref passage par OpenSMTPD) mais je me pose de plus en plus la question de passer sur une offre managée qui me permettrait de ne plus avoir à m'en soucier, tout en conservant mon nom de domaine personnalisé.

Un choix facile aurait été Office365 mais l'hébergeur ne supporte plus les custom domains pour les particuliers. J'ai aussi écarté GMail car je n'aime pas l'UI et à cause de la tendance de Google à vouloir toujours afficher des informations (nom, avatar) sur vos interlocuteurs et à les ajouter en ami dans Hangouts.

Je ne connais pas tous les fournisseurs d'adresses e-mail de la planète mais il me restait OVH et Protonmail dans ma liste. Le premier est intéressant mais se base sur Microsoft Exchange + owa (Outlook Web Access) dont l'interface est très lourde et peu intuitive à mon sens. J'ai donc tenté ma chance avec Protonmail.

Une communication axée sur la sécurité

Protonmail met en avant le 100% chiffrement et l'importance accordée à la vie privée de l'utilisateur. En réalité ce n'est pas aussi simple puisque comme nous le verrons plus tard cela se fait au détriment des protocoles standards (pas d'IMAP par exemple). De plus les e-mails sont faits pour circuler, on en envoie et on en reçoit avec le monde entier, et 80% de vos interlocuteurs utilisent Office 365 ou GMail :) Donc peu importe à quel point Protonmail est sécurisé, à partir du moment où un message sort à l'extérieur il ne pourra plus être considéré comme sûr et vos métadonnées traîneront à un endroit où à un autre.

Un bon point en revanche est que l'inscription à Protonmail ne nécessite pas de coordonnées personnelles, pas plus que de carte bleue, du moins pour la période d'essai.

Une offre pas claire

Protonmail est gratuit mais pour avoir un domaine personnalisé, il faut payer. Voici ce qu'affiche la page "pricing" de ce fournisseur :

Protonmail general pricing
Gratuit ou €10/mois avec 1 an d'engagement ? Non...

Diantre ! €10 par mois alors qu'il n'y a que le mail qui m'intéresse (le packaging comprend plein d'autres services), c'est beaucoup trop cher ! Mais heureusement il y a un twist (merci Etenil pour l'info) puisqu'en cliquant sur "View Mail plans" on obtient d'autres tarifs :

Protonmail general pricing
Oh ! Un tarif à €4 par mois...

Il y a donc un plan "Mail Plus" au tarif intermédiaire un peu plus abordable mais celui-ci n'est pas mis en avant, c'est dommage car beaucoup de clients potentiels risquent de passer leur chemin. J'ai souscrit à ce service avec 30 jours d'essai gratuit.

Une souscription et une UI bien pensés

Comme dit précédemment, l'inscription ne demande pas de carte bleue ni même de coordonnées, vous devez juste choisir un identifiant principal (en @protonmail.ch ou @proton.me) et un mot de passe, ce qui est un bon point car on ne risque pas de se retrouver avec un prélèvement quand on oublie de résilier à la fin de la période d'essai.

Les champs en rose sont des informations personnelles masquées.

L'ajout d'un custom domain est déconcertant de simplicité, ainsi que la mise en place de DKIM, SPF et DMARC au niveau de vos entrées DNS. Le seul point négatif est l'absence de double authentification, c'est à dire combiner votre mot de passe sur le webmail avec une validation sur une appli générique (Microsoft ou Google authenticator, par exemple) ou en recevant un code par SMS.

Le webmail de Protonmail est plutôt intuitif et peu gourmand en ressources, il est très réactif, beaucoup plus que Outlook. Il supporte également plusieurs thèmes dont certains sombres ce que j'apprécie particulièrement.

Un système fermé

L'accès doit se faire par le webmail ou par l'application mobile iOs ou Android. Oubliez les protocoles standards tels que IMAP, Activesync, CardDav, CalDav... aucun n'est supporté. Loin d'être une question de mauvaise volonté, il semble que ce soit plutôt la nécessité de conserver le chiffrement de bout en bout qui est à l'origine de ce manque.

Pour palier à ça, Protonmail met à disposition Mail Bridge ~ une application à exécuter en local et qui spawne un serveur IMAP relié à votre compte Protonmail ~ mais l'interfaçage n'est pas parfait. Ainsi les dossiers ne sont pas supportés et certains mails que je voulais copier depuis mon ancien compte ne passent pas car "dépassant les 30MB" même si le plus gros ne faisait "que" 19 MB. Ce bridge est donc un jouet que je ne m'imagine pas utiliser tous les jours.

Cette absence de support propre de protocoles standards peut poser des soucis en terme de sauvegardes (il faut s'en remettre à la plateforme) ou de flexibilité car on imagine qu'à la vue des problèmes rencontrés sur le Mail Bridge on ne pourra pas sortir facilement de Protonmail pour migrer ailleurs.

Concernant le stockage cloud il n'existe pas de client pour Linux, il faudra donc passer par le navigateur web. En revanche le VPN supporte wireguard mais je n'ai pas testé, pas plus que le calendrier ou le gestionnaire de mots de passe.

Conclusion

La promesse de Protonmail est tenue et la sécurité n'est pas qu'un argument marketing car des efforts sont faits pour limiter la collecte de données sur l'utilisateur et assurer le chiffrement de bout en bout (il manque juste le 2FA). Néanmoins il est important d'être conscient du risque d'enfermement et de dépendance à la plateforme.

Je choisis pour le moment de donner une chance à Protonmail et vais conserver ma subscription au moins pour quelques temps, tout en ayant conscience des limitations et des risques.

N'achetez pas de laptop à écran tactile

Rédigé par uTux Aucun commentaire

J'ai un avis (plutôt péjoratif) sur les écrans tactiles inutiles et de manière générale envers les gens qui posent leurs doigts sur les écrans de PC, mais ce n'est pas le sujet car on va parler de réparation.

Là où il faut compter environ 50 euros pour une dalle LCD de rechange non officielle (ce qui est déjà assez cher je trouve), les prix deviennent démesurés lorsqu'on a affaire à du tactile. J'ai été confronté dernièrement à ce problème avec un ultrabook Sony Vaio et un HP Elitebook.

Commençons par le premier modèle :

Sony Vaio SVD1121X9EB

Nous avons affaire à un Sony Vaio SVD1121X9EB, une sorte d'hybride tablette / PC avec 4 GB de ram soudés et préinstallé sous Windows 8.1 (beurk). Une substance collante que je décrirais comme le "slime de Ghostbusters" ou du "goo" s'est un jour mise à couler de l'écran suite à quoi le rétro éclairage ne fonctionne plus correctement, la luminosité fait des nuages.

Je passe sur la procédure de démontage infinie avec à peu près 8 milliards de vis dont la moitié cachées sous les rubber pads, je passe aussi sur les doigts qui collent dès qu'on touche à la machine pour en venir directement au prix des dalles de rechange :

Sony Vaio SVD1121X9EB spare parts

Vous ne rêvez pas, il faut débourser plus de 450 euros pour un écran de rechange venant de Chine ou de Hong-Kong ! Et les prix sont pareil sur les autres plateformes. C'est simple, c'est 10x trop cher pour que la réparation soit rentable 🤦‍♂️.

Accessoirement le bootloader EFI semble hardcodé pour démarrer Windows car même après avoir installé Debian on obtient pas de menu de démarrage. Cette machine va donc finir prochainement à la déchetterie car il m'encombre.

Examinons le suivant :

HP Elitebook x360 1040 G8

Il s'agit maintenant d'un HP Elitebook x360 1040 G8 dont l'écran ne s'allume plus du tout, rendant l'appareil inutilisable sauf en utilisant la sortie HDMI. Prix des écrans de rechange :

HP Elitebook x360 1040 G8 spare parts

Les tarifs démarrent à 150 euros et cela semble presque "abordable" en comparaison du modèle précédent, mais ça reste 3x plus cher qu'une dalle non LCD. De plus je n'ai pas encore démonté l'ordinateur pour récupérer la référence exacte de la dalle et l'emplacement du connecteur.

EDIT: Il ne s'agit que de la dalle LCD, mais il faut "décoller" puis recoller la couche tactile par dessus. Un écran "complet" coûte ~$290.

En conclusion, évitez les laptop à écran tactile comme la peste car ils sont irréparables.

Exercice de pensée: par quoi remplacer Debian ?

Rédigé par uTux 5 commentaires

Actuellement en panne d'inspiration, je me permets de voler à Frederic Bezies une idée d'article. Ce dernier, utilisateur d'Archlinux depuis 14 ans, se demande vers quelle distribution il se tournerait si le projet venait à fermer. Je vais donc refaire le même exercice de pensée en version Debian car c'est mon système d'exploitation fétiche.

Utilisateur sérieux de Linux depuis 2006, je suis passé à peu près par toutes les grosses distributions : Ubuntu, Debian, Gentoo, Fedora, openSUSE, Arch, Manjaro, et même Mandriva (du temps où elle existait). Et pour les serveurs je pourrais rajouter NixOS. La seule "grosse" distribution que je n'ai jamais testé est Slackware. Et après toutes ces années d'errance, je me suis enfin stabilisé sur Debian.

Je ne dirais pas que Debian est la meilleure distribution Linux du monde car cette notion est très subjective, mais elle est de loin ma préférée. Les raisons ? Elle est simple, versatile, bien documentée avec une grosse communauté derrière. Et surtout elle ne repose pas sur une entreprise, il n'y a aucun risque de la voir rachetée du jour au lendemain par une grosse corporation. Debian est également réputée comme extrêmement stable, ennuyeuse et prévisible, dans le bon sens du terme.

Je sais que de nombreux utilisateurs reprochent à Debian de fournir des versions anciennes voire obsolètes de certains paquets mais personnellement ce n'est pas un problème. Étant utilisateur de MATE, l'environnement évolue peu et se bonifie comme du bon vin au fil des années, il n'y a pas de nouveauté clinquante tous les 6 mois. Idem pour Firefox, la cuvée ESR me convient très bien. Et quant aux logiciels tiers comme GIMP, LibreOffice, VLC, Thunderbird... je n'ai pas besoin de la dernière version. Et dans les rares cas où j'ai besoin d'un truc neuf je peux utiliser les backports, un dépôt tier, appimage, flatpak... il existe de nombreuses solutions.

Tout ça c'est bien joli, mais ça ne répond pas à la question suivante: quelle distribution pour remplacer Debian, si cette dernière venait à s'arrêter ? Je précise que je parts du principe que toutes les dérivées telles que Ubuntu s'arrêteraient aussi, basiquement il n'y aurait plus rien basé sur les paquets .deb.

  • Vous l'aurez compris en lisant cet article, je ne cherche pas de distribution en rolling release, ce qui élimine donc la famille Archlinux.
  • La Red Hat family (Rocky, Alma) semble toute indiquée, malheureusement elle est aux mains d'IBM qui s'est montré hostile vis à vis de la gratuité des distributions. Donc non.
  • openSUSE Leap est un bon choix. Étant synchronisée sur la SLES (la version payante) elle est également stable et ennuyeuse. Les deux seuls problèmes que je vois sont la dépendance à une entreprise (bien que cette dernière ne soit pas hostile à sa communauté) et YaST dont je ne comprends pas l'utilité, à part rassurer les Windowsiens.
  • Alternativement... Mageia. Je dis habituellement beaucoup de mal de cette distribution car elle n'a pas évolué depuis Mandrake, et qu'elle souffre d'un manque flagrant de moyens humains et financiers.

En conclusion, si je devais remplacer Debian, je partirais vers openSUSE ou Mageia. Et vous, que choisiriez-vous ?

Red Hat rime avec cul de sac

Rédigé par uTux 10 commentaires

Il fut une époque où je ne comprenais vraiment pas l'intérêt de Red Hat car j'y voyais une distribution payante avec très peu de logiciels disponibles dans les dépôts (même pas nginx) et des composants encore plus obsolètes que Debian. Et puis à force de voir son clone gratuit - la distribution communautaire CentOS - utilisé partout en entreprise j'ai enfin compris ce qui plaît :

  • Le support de 10 ans (à une époque j'étais naïf, je pensais que les entreprises installaient rapidement les mises à jour et n'aimaient pas se traîner des vieux logiciels... en fait c'est tout l'inverse !)
  • Les correctifs de sécurité backportés, ce qui permet de mettre à jour sans vraiment mettre à jour.
  • L'écosystème logiciel et matériel, c'est rassurant d'avoir un contrôleur SCSI dont le driver est certifié Red Hat.
  • SELinux (rires dans la salle).

Red Hat a toujours eu un modèle économique surprenant car d'un côté ils vendaient leur distribution commerciale (Red Hat Enterprise Linux - ou RHEL) et de l'autre ils sponsorisaient un clone gratuit (CentOS) identique au bug près (1:1 bug). Et pendant très longtemps, cela a permis à beaucoup de gens - particuliers et entreprises - de profiter de l'écosystème Red Hat - sans devoir payer un centime.

Phase 1 : sabordage de CentOS

Suite au rachat surprise de Red Hat par IBM en 2019, cette politique est en train de changer, et le message est clair : ils en ont marre des gens qui ne paient pas, il va falloir passer à la caisse. Ainsi l'ouverture des hostilités a commencé avec un changement de politique de CentOS :

  • CentOS 8, qui devait suivre le cycle de RHEL 8, ne sera finalement pas supportée 10 ans mais à peine un an.
  • CentOS n'a plus vocation à être un clone gratuit de RHEL mais sera un équivalent à "Windows Insider". Vous ne l'utiliserez plus pour profiter de la stabilité de Red Hat, mais pour tester les nouveautés en amont.

Ces changements ont sabordé l'intérêt même de CentOS et il n'a pas fallu longtemps avant de voir fleurir de nouveaux projets alternatifs avec pour objectif de fournir à nouveau un clone de RHEL gratuit : AlmaLinux, Rocky Linux, ou encore Oracle Linux qui existait déjà depuis presque 10 ans, mais en vrai personne n'aime Oracle et personne ne leur fait confiance :)

Phase 2 : blocage de l'accès aux sources

Là encore Red Hat ne voyait pas d'un bon œil la prolifération de clones gratuits de RHEL, ils décidèrent donc de réserver l'accès aux sources à leurs clients. Désormais, les seules sources publiques seront celles de CentOS, qui rappelons-le n'est plus la même chose que Red Hat. Or, les clones ont besoin des sources de RHEL, ce qui pose évidemment un problème.

Ce qui selon moi enfonce le clou, c'est ce communiqué de Red Hat de la part Mike McGrath, "Vice President of Core Platforms Engineering at Red Hat" (pas de traduction pour ne pas dire de bêtise). Le passage croustillant est :

I feel that much of the anger from our recent decision around the downstream sources comes from either those who do not want to pay for the time, effort and resources going into RHEL or those who want to repackage it for their own profit. This demand for RHEL code is disingenuous.

Voilà, les termes sont lâchés, ceux qui se plaignent seraient les gens qui ne paient pas. On est donc pas très loin d'une rhétorique anti open source, un retour 20 ans en arrière quand Linux était vu comme un truc d'illuminés et que l'informatique des gens sérieux c'était vendre des logiciels propriétaires en boite.

Alors oui, c'est leur droit, d'autant que le débat sur la manière de gagner de l'argent avec du logiciel gratuit est sans fin. Mais à partir du moment où Red Hat prend en otage du code source pour obliger les utilisateurs à passer à la caisse, c'est une pratique du monde propriétaire.

Red Hat est dans la légalité, dans son bon droit, mais les utilisateurs doivent comprendre que les choses n'iront pas en s'arrangeant, bien au contraire.

Conclusion

Dans mon article Le drame CentOS 8 je disais qu'il était urgent d'attendre que la situation se clarifie et qu'il ne fallait plus installer de CentOS 8. Aujourd'hui, la situation me paraît suffisamment claire : payez vos licences Red Hat ou partez chez Debian.

Il est illusoire de penser qu'il suffit de passer sous Alma ou Rocky pour résoudre le problème car l'avenir de ces distributions communautaires parait aujourd'hui incertain, d'autant que nous ne sommes pas à l'abri d'une nouvelle surprise de la part de Red Hat.

Faites des choix courageux, ne laissez pas pourrir vos infrastructures juste parce que vous n'avez pas le budget ou le temps pour vous en occuper. Ne prenez pas du CentOS juste pour avoir l'air d'un pro et affirmer fièrement à vos clients que vous travaillez avec du Red Hat. Ne croyez pas que faire les mises à jour dans 10 ans sera moins chiant que de les faire dans 5 ans, bien au contraire.

Si vous voulez rester dans la Red Hat family (CentOS, Rocky, Alma) faites-le pour de bonnes raisons. Ne restez pas volontairement prisonnier d'un écosystème qui ne veut plus de vous.

Liens

Qu'est-ce qu'on se marre chez Linux.

Rédigé par uTux 1 commentaire

Quelque part en 2010

Les gens: le problème de Linux, c'est qu'il y a trop de choix, trop de distributions, on s'y perd, si les "développeurs" s'unissaient autour d'une solution commune, on pourrait concurrencer Windows.

Systemd: bonj...

Les gens: Fuuuuuuuuuu

De nos jours, en 2023

Les gens: Y'a trop de gestionnaires de packages: deb, rpm, docker, flatpak, snap...

Canonical: on va demander aux distributions dérivées de ne pas préinstaller flatpak car on préfère se focus sur snap.

Les gens: Fuuuuuuuuu

Fil RSS des articles de cette catégorie