Hugo - planet FSFE

Voici des posts que j'envoie au planète FSFE francophone.

En Allemagne, un arrêt intéressant relatif à la licence GNU GPL version 3 rendu au mois de juillet pour la cour d'appel de Halle (Saxe-Anhalt).

Les conditions de résiliation (section 8) — si elles offrent « une seconde chance » au licencié qui remédie à ses manquements sous 30 jours (sec. 8, 3e alinéa) — n'empêchent pas l'ayant-droit d'obtenir la réparation du préjudice résultant des manquements du licencié.

Conditions de résiliation de la GPL-3 :

8. Termination.

You may not propagate or modify a covered work except as expressly provided under this License. Any attempt otherwise to propagate or modify it is void, and will automatically terminate your rights under this License (including any patent licenses granted under the third paragraph of section 11).

However, if you cease all violation of this License, then your license from a particular copyright holder is reinstated (a) provisionally, unless and until the copyright holder explicitly and finally terminates your license, and (b) permanently, if the copyright holder fails to notify you of the violation by some reasonable means prior to 60 days after the cessation.

Moreover, your license from a particular copyright holder is reinstated permanently if the copyright holder notifies you of the violation by some reasonable means, this is the first time you have received notice of violation of this License (for any work) from that copyright holder, and you cure the violation prior to 30 days after your receipt of the notice.

Termination of your rights under this section does not terminate the licenses of parties who have received copies or rights from you under this License. If your rights have been terminated and not permanently reinstated, you do not qualify to receive new licenses for the same material under section 10.

Extrait de l'arrêt (traduit par JBB) :

Contrary to the Defendant’s opinion, section 8 para. 3 of the GPL version 3 of 29 June 2007 does not preclude the asserted claim. This is the case because even though the provision grants reinstatement of the licence to the violator on the condition that the violation is remedied within 30 days of receipt of a corresponding notice, as the Chamber would expect in light of Mr.           affidavit. However, this granting of the right to continue using the licence cannot be interpreted to mean that the licensor at the same time had the intention of waiving his right to demand a cease and desist declaration with a penalty clause from the (first time) violator. Despite the fact that the licensor thereby affords the violator a “second chance” to use the licence, it does, on the other hand, have an interest worth protecting in the lasting prevention of further infringements after the first infringement has occurred. If the interpretation of the Defendant was correct, this would in effect be tantamount to an invitation to every user of the licence to violate the terms of the licence in the secure knowledge that he would only need to reckon with having to submit a cease and desist declaration with a penalty clause or a cease and desist order issued by a court upon discovery of the second case of infringement. Based upon an equitable interpretation of section 8 para. 3 GPL version 3 of 29 June 2007, neither the pre-trial warning letter to the Defendant nor the assertion of the claim for injunctive relief through the courts appear to be meaningless or in bad faith.


Plus d'informations sur la licence GPL-3

Hier, j'étais au loop avec Okhin pour refaire le chiffrement de mon serveur mail, que je viens de réinstaller (Kolab 3.4, Debian 8).

Voici quelques liens qui nous ont été utiles :

  • How to create a self-signed SSL Certificate

    Attention cependant, en suivant ces instructions on crée un certificat avec le flag CA false alors que pour utiliser un certificat autosigné sur Android, il faut absolument que le flag CA soit true (voir ci-dessous).

    Finalement, voici la commande qui m'a permis de faire le certificat, dans /etc/ssl/private/:

    openssl req -x509 -new -key totosh.ampoliros.net.key -out totosh.ampoliros.net.csr -days 730
    

    Cette commande remplace l'étape 2. L'étape 4 n'est donc pas nécessaire semble-t-il.

    Ensuite, je copie totosh.ampoliros.net.csr vers /etc/ssl/certs/totosh.ampoliros.net.crt puis je configure mes services pour utiliser ce certificat ainsi que la clé privée générée à l'étape 1.

  • Je veux HTTPS

    Utilisé pour configurer Apache2.

  • Exemples de configuration Postfix de Benjamin Sonntag

    Sans oublier de générer dh2048.pem:

    openssl dhparam -out /etc/ssl/private/dh2048.pem -outform PEM -2 2048
    
  • Securing all Kolab Services

    Utilisé pour configurer Cyrus IMAPD.

Importer un certificat autosigné dans Android

Normalement, avec la commande openssl donnée plus haut, on génère un certificat autosigné acceptable pour Android.

On peut par exemple utiliser l'application CAdroid pour importer le certificat.

Si on est root sur l'Android, on peut aussi copier le certificat directement dans le système en passant par adb. C'est la solution que j'ai choisie.

Installing CAcert certificates on Android as 'system' credentials without lockscreen - instructions

(En passant: j'ai un bug sur CyanogenMod qui m'enmpêche pour le moment de modifier les paramètres de sécurité. Je suis donc passé par adb pour autoriser l'installation de sources autres que Google avec la commande: adb shell settings put secure install_non_market_apps 1.)

Le Journal du Net publiait la semaine dernière Comment se repérer dans la jungle des licences open source. L’article a été pas mal partagé sur Twitter. Malheureusement, il souffre de plusieurs approximations dommageables.

Voici 5 rectifications :

1. Licences libres et licences « open source », c’est pareil

L’article semble semer la confusion en essayant de diviser et de cataloguer les licences.

Les licences libres et les licences open source forment une seule et même catégorie. Autrement dit, il n’y a pas de différence entre ces types de licences : une licence non-copyleft comme la licence MIT est autant une licence libre qu’une licence « open source », une licence copyleft comme la GNU GPL est autant une licence libre qu’une licence « open source ». La preuve? Il suffit de regarder la liste des licences maintenues par l’Open Source Initiative et la liste maintenue par GNU pour constater qu’en pratique, les critères sont les mêmes puisqu’on aboutit aux mêmes résultats

Pour mieux comprendre les raisons historiques de l’existence de ces deux termes, l’article de Björn en fait l’exposé.

2. Le copyleft, ce n’est pas un virus

On qualifie de licence copyleft une licence libre qui contient des obligations supplémentaires de manière à sauvegarder les libertés des utilisateurs. Autrement dit, une clause copyleft interdit d’interdire.

L’article utilise le terme « contaminant » pour qualifier ce type de clause. Ce vocabulaire nous vient directement de la propagande de Microsoft de la fin des années 1990, qui se référait au logiciel libre comme un « cancer ». Il est temps de s’écarter du vocabulaire de la pathologie ! Le logiciel libre n’est pas un mal incurable, c’est un vecteur de libertés. (Si vous cherchez absolument à remplacer le mot copyleft par un mot du langage courant, clause d’hérédité ou héréditaire fonctionne plutôt bien).

Ainsi, le qualificatif de « contaminant » est on ne peut plus approximatif. Si on s’intéresse à l’analogie, on voit qu’elle ne tient pas. Si quelqu’un me contamine de sa maladie, je suis passif : je subis, je reçois la contamination et j’en fais les frais. C’est le contact d’un autre qui est la source de ma misère. Ce qui m’amène à une troisième approximation de l’article…

3. Ce qui déclenche le copyleft, c’est la distribution, pas la publication

Les licences libres étant principalement des licences de droits d’auteur (ou copyright selon la juridiction), l’acte qui déclenche les obligations relatives à la clause copyleft coïncide avec l’acte auquel le droit d’auteur attache des obligations.

Ainsi, en droit d’auteur, on ne peut pas distribuer une copie d’une œuvre (ici, un logiciel) sans la permission de son ou ses auteurs. La distribution, c’est la transmission d’une copie d’une personne, physique ou morale, à une autre personne. C’est cet acte là, tout à fait volontaire, qui déclenche les obligations relatives au droit d’auteur, qui requiert l’autorisation. Cette autorisation est déjà donnée par une licence libre, la clause copyleft en est cependant une condition. (On voit bien ici à quel point l’analogie avec la contamination épidémique est mauvaise.)

Plus spécifiquement, cette condition :

  • concerne uniquement les développements du logiciel qui sont eux mêmes basés sur le logiciel publié sous licence copyleft; et non les logiciels qui fonctionnent indépendamment
  • il ne s’agit pas d’une condition de publication des modifications, en effet il est tout à fait possible de respecter la licence simplement en distribuant avec les binaires distribué aux tiers, l’intégralité des sources correspondantes[^gpl6]
    • si ce n’est pas le cas, il y a alors pendant trois ans obligation d’offrir aux tiers à qui on a distribué une copie la possibilité de demander les sources (voir les détails de la licence pour plus de précisions)

[^gpl6]: Dans la GPL-3.0 voir le paragraphe « 6. Conveying Non-Source Forms »

Par conséquent, il a bien été montré que c’est la distribution du logiciel qui déclenche les obligations.[^agpl] Ainsi, on peut tout à fait prendre un logiciel libre sous licence copyleft, y apporter pléthores de modifications, et garder ces modifications privées voire secrètes si bon vous semble. Ça fait partie des libertés intégrantes du logiciel libre : on peut les utiliser pour tout usage, l’utilisation n’est absolument pas restreinte ; et on peut les modifier de façon à ce qu’ils fonctionnent comme on l’entend.

[^agpl]: Une précision importante toutefois, il peut exister d’autres cas de figure où les obligations du copyleft sont déclenchées. Par exemple, dans la licence AGPL, la réunion de deux conditions déclenche aussi ces obligations (section 13): 1) la modification du code source, 2) l’interaction des utilisateurs avec le logiciel par l’intermédiaire du réseau (par exemple dans le cas d’une application web).

4. Pas de distinction entre libre d’un côté et commercial de l’autre

Contrairement à ce qui est suggéré dans l’article, qui oppose d’un côté des licences libres et d’un autre côté des licences commerciales ; il n’y a en réalité pas de raison de procéder à une distinction.

Comme il vient d’être souligné, un logiciel libre est forcément utilisable sans restriction. Une clause qui limite l’utilisation du logiciel à une activité non-commerciale est donc fondamentalement incompatible avec une licence de logiciel libre.

Il y a d’un côté les licences libres, qui sont généralement des licences publiques -- c’est-à-dire que chacun peut les utiliser pour ses propres logiciels à destination du public ; et de l’autre côté, les licences propriétaires qui sont généralement des licences spécifiques ou spéciales, qui sont utilisées seulement par quelques entreprises et pas forcément à destination du public mais au contraire parfois pour des logiciels écrits spécialement avec des modifications propres au client (ce qu’il est tout à fait possible de faire avec une licence libre par ailleurs, le client jouira ainsi également des libertés conférées par les licences).

5. La licence GNU GPL est applicable en France/en Europe

Pour s’en convaincre, il suffit de constater que la licence GPL-2.0 a bien été appliquée par des ayants droit en Allemagne à plusieurs reprises (par exemple contre Skype). Bien qu’en France la licence n’ait pas vraiment fait l’objet d’un examen poussé par un juge (le fait qu’il y ait peu de litiges est en soi une bonne nouvelle en fait), son invocation ici et là[^jpFrIncomp] n’a pas entraîné la déclaration de son incompatibilité[^formalismes].

[^jpFrIncomp]: Educaffix contre CNRS, ou encore EDU4 contre AFPA, et d'autres décisions encore...

[^formalismes]: Certaines dispositions du code de la propriété intellectuelle sont parfois avancées pour expliquer que la licence GNU GPL serait nulle en droit français... c'est en réalité un argument purement académique, car on voit mal qui irait invoquer une telle nullité ! D'une part, c'est une stratégie désastreuse pour celui qu'on accuserait de ne pas respecter la licence car, sans licence valide, c'est la contrefaçon automatiquement -- d'autre part, cette nullité relative n'est en réalité invocable que par l'ayant droit lui-même. Non seulement cette situation est peu envisageable car il s'agirait de se tirer une balle dans le pied, d'autre part la ratio legis de cette disposition du code pourrait nous amener à considérer qu'elle n'est pas applicable aux cas d'espèce du logiciel libre. Une discussion donc tout à fait académique mais sans impact sur la réalité.

(Seule la loi Toubon pourrait causer quelques problèmes, mais rien de très grave en réalité ; ça se résout très bien en utilisant des doubles licences et ça ne vaut pas dans tous les cas. Les administrations publiques peuvent très bien faire développer et utiliser des logiciels libres et elles le font déjà !)


Quoiqu’il en soit, l’objectif de l’article est louable et le petit tableau récapitulatif partagé sur Twitter est assez utile.

Pour bien s’y repérer, il y a heureusement plusieurs moyens :

  • Le livre de Benjamin Jean, Option Libre. Du bon usage des licences libres.
  • L’International Free and Open Source Software Law Book qui permet d’aborder les aspects juridiques de plusieurs juridictions, dont la France.
  • L’International Free and Open Source Software Law Review ou IFOSSLR qui permet d’aller dans le détail avec plusieurs articles à chaque édition.

Sinon, la communauté du logiciel libre est également là pour aider chacun à s’y repérer. L’équipe juridique de la FSFE répond régulièrement à ce genre de questions.

La FSFE : Free Software Foundation Europe

La FSFE (fondation européenne du logiciel libre) œuvre depuis 2001 pour la promotion du Logiciel Libre en Europe. Présentation de l’organisation, ses campagnes, ses groupes d’expertise juridique et retour sur plus de 10 ans d’activisme : des procès gagnés contre Microsoft au niveau de l’Union européenne aux batailles contre les brevets logiciels et les DRM. Quels seront les défis pour le logiciel libre que nous aurons à relever ensemble ?

diapos (speakerdeck.com)

Posted

Mais qui est donc Madame Michu ? La grand’mère, l’utilisateur inexpérimenté, le critère absolu du concepteur d’une interface pour juger de l’expérience-utilisateur, l’ignare qui n’y connaît rien à rien et qui s’en fout, l’inconnu qui meta:ignore mais ne demande qu’à apprendre… Tout ça à la fois ?

Le fait est que « Madame Michu » est une expression employée pour désigner une personne abstraite, qui n’existe pas réellement. C’est une fiction, prise pour une réalité, c’est-à-dire une hypostase comme on en trouve de nombreuses en droit par exemple : le bon père de famille en droit civil français, l’homme du métier en droit des brevets (et ses cousins anglo-américains, les « persons having ordinary skills in the art »), etc.

Certes, c’est simplificateur. Mais les mots sont des simplificateurs nécessaires à l’articulation et la communication de la pensée. Comme beaucoup d’autres termes, l’objectif de Madame Michu n’est pas de rendre compte exactement d’une réalité. On sait bien que, en vrai, Madame Michu n’existe pas. Ce n’est pas à ce critère qu’on peut juger l’efficacité de l’expression, ni qu’on peut en déduire son contenu.

En tout cas, je n’utilise pas l’expression car la plupart du temps je la trouve inadaptée à communiquer ce que j’essaye de dire. Mais je suppose que si j’avais à la placer quelque part, Madame Michu pour moi est à l’autre bout de l’utilisateur-Turing, autrement dit comme disait Ted Nelson, c’est « just a user » !

Ça n’est pas dénigrant ou élitiste pour autant ! On est tous passé par là. L’utilisateur, c’est un itinéraire de progression qui va dans une direction, dans un rythme propre à chacun. C’est comme lorsque Benjamin Bayart nous parle de l’internaute qui débarque. L’internaute qui débarque, c’est Madame Michu ! Même si ça peut être un monsieur (le seul fait qu’on lui donne un genre est en soi une raison pour rejeter le terme à mon humble avis, il faut utiliser quelque chose de plus englobant).

En attendant, l’expression a certainement ses défauts. Mais ne faisons pas de procès d’intention forcément à ceux qui l’utilisent. La plupart du temps où j’ai entendu le terme, c’est lorsqu’on essaye de se donner du mal pour rendre quelque chose meilleur, pour communiquer autour d’un sujet important. Et le simple fait qu’on s’inquiète suffisamment de la personne de Madame Michu pour avoir eu besoin de la nommer est en soi un bon signe.

PS : c’est fou ce qu’on peut dire de plus construit lorsqu’on se détache cinq petites minutes du carcan à 140 signes qu’est Twitter.

(initalement publié sur blogs.fsfe.org)

Mardi soir, Nicolas organisait le 2e MutterWare. Mais qu’est-ce que c’est que ça ?

Le MutterWare est une réunion d’utilisateurs de Mutt qui veulent partager leurs bonnes pratiques et quelques astuces bien utiles. Les non-utilisateurs de mutt curieux sont bienvenus, surtout s’ils sont légèrement blasés de leur client email ☺

Le nom est inspiré directement du TupperVIM organisé chez Mozilla, à Paris.

Pour cette deuxième édition, nous avons cette fois été invités à admirer les bureaux somptueux de Mozilla boulevard Montmartre. Voir la photo prise par Yoann :

Démonstration par Paul
Mutterware

Encore une fois, ce MutterWare était un bon mélange entre utilisateurs (très) expérimentés, et non-utilisateurs de Mutt curieux de voir comment fonctionne le machin et prêts à ouvrir leur terminal pour commencer à configurer la bête !

Quelques informations ont été ajoutées au wiki de la FSFE : https://wiki.fsfe.org/groups/Paris/Mutterware.

Pour ma part, j’insisterai sur cette très bonne page qui permet de démarrer sur Mutt. C’est en anglais mais c’est bien écrit. Cette page a cependant deux défauts à mon avis : elle se concentre sur l’usage à partir d’un serveur mail chez Google (or Gmail a des tas de particularités pas très orthodoxes) et elle se limite à un seul compte. Or je ne sais pas pour vous mais moi, j’ai deux comptes : l’un est plus, « personnel ».

Enfin, la cerise sur le gâteau, c’est Emmanuel qui l’a apportée en me montrant l’outil t-prot, qui permet de nous débarrasser de toutes ces petites choses qui peuvent être désagréables dans le mail : les gens qui font des citations trop longues, les gens qui font du top-posting ou encore les gens ont des signatures de 3 kilomètres. T-prot a aussi des fonctions particulières pour Mutt, comme par exemple l’argument --pgp-move qui déplace les informations relatives aux signatures openPGP d’un email vers le bas, et non vers le haut comme c’est le cas par défaut, ce qui permet d’avoir accès plus directement au contenu du mail, sans avoir à scroller ! Plus d’infos sur la config T-prote d’Emmanuel sur le wiki.

Du coup, j’ai touché pas mal à ma config (dispo sur https://github.com/hugoroy/.mutt). Tout est désormais plus sobre depuis que j’ai modifié les barres de statuts, retiré la barre d’aide, et remplacé quelques codes couleurs. Lire ses mails sur Mutt est encore plus plaisant qu’avant ☺

À bientôt pour la 3e édition ! N’hésitez pas à vous inscrire sur la liste fsfe Paris https://lists.fsfe.org/mailman/listinfo/paris ou à nous rejoindre sur irc #fellows-paris.