Remy Bertot - CTO et co-fondateur de Passbolt - Projets Libres

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : Rémy Bertot - CTO et co-fondateur de Passbolt

Intervenants : Rémy Bertot - Walid Nouh

Lieu : En ligne - Podcast Projets libres !

Date : 10 mai 2023

Durée : 57 min

Podcast

Page de présentation du podcast

Licence de la transcription : Verbatim

Illustration : À prévoir

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Description

Rémy Bertot est CTO et cofondateur de Passbolt, un logiciel de gestion de mot de passe (password manager) libre et open source.
Nous partons avec lui pour une plongée dans l'univers de Passbolt : découvrez la naissance du logiciel, sa communauté et son modèle économique. Rémy nous détaille aussi la gestion de la sécurité, les audits réguliers, ainsi que les défis à venir pour le produit.

Transcription

Walid Nouh : Bonjour et bienvenue sur Projets libres !. Je m’appelle Walid Nouh, je suis tombé dans la marmite du logiciel libre il y a plus de 20 ans. Libriste confirmé ou néophyte, venez découvrir avec moi les portraits des femmes et des hommes qui font le logiciel libre : communautés, modèles économiques, contributions, on vous dit tout.

Aujourd’hui, pour ce deuxième épisode, nous allons parler d’un logiciel que j’affectionne tout particulièrement, c’est un gestionnaire de mots de passe libre et open source qui s’appelle Passbolt, un logiciel que j’utilise depuis 2018. D’ailleurs, j’ai découvert qu’il était beaucoup plus ancien que je pensais en lisant les pages sur le site ; c’est un logiciel que je recommande à tout le monde à chaque fois que je passe dans une société. J’ai pensé à inviter Rémy Bertot qui est le CTO[Chief Technical Office] et un des cofondateurs de Passbolt après avoir vu une conférence au FOSDEM cette année, le gros salon de développeurs de logiciels libres qui se tient tous les ans à Bruxelles. Il a gentiment accepté.
Aujourd’hui nous allons parler avec lui de Passbolt, de la communauté, du modèle économique et de ce que veut dire développer un logiciel libre dans le domaine de la sécurité.
Bonjour Rémy, bienvenue sur Projets libres !. J’espère que tu vas bien.

Rémy Bertot : Oui. Je vais très bien. Merci pour l’invitation, Walid, ça me fait très plaisir.

Walid Nouh : Pour commencer, la première chose que je vais te demander : est-ce que tu peux te présenter pour nous expliquer un petit peu ton parcours et à quand remonte ton intérêt pour le logiciel libre ?

Rémy Bertot : Comme tu l’as dit je m’appelle Rémy Bertot. Je suis français d’origine et maintenant j’habite au Luxembourg depuis quelques années. Je suis ingénieur logiciel de formation. J’ai commencé mes études à Bordeaux et je les ai finies en Irlande. Mon parcours est un parcours assez classique de formation de développeur, ingénierie logicielle avec une spécialisation interaction humain/machine, donc utilisabilité, tests d’utilisabilité, ce genre de choses. Ce qui m’a toujours intéressé c’est la partie interface graphique, mais aussi comment rendre les logiciels plus accessibles en général. C’est pour cela que j’ai choisi ça.
Comme mes cofondateurs, je suis mordu d’une informatique depuis que j’ai eu la chance d’avoir un ordinateur. Mon exposition au logiciel libre vient de là, dès le départ, par curiosité, installer Linux sur le PC des parents, ce genre de choses.
Après, plus tard, on a commencé à travailler ensemble avec Kevin et Cédric ; Passbolt n’est pas notre première aventure, on avait fait des choses avant, notamment une agence de développement web juste après nos études, avec Kevin on avait 2 000 euros en poche et nous sommes partis monter une agence web en Inde basée sur les logiciels libres justement. On a pas mal développé avec les logiciels libres. On n’a pas développé des logiciels libres, on a pas mal développé sur des logiciels libres ou avec des librairies. Par exemple, on a bossé sur des logiciels qui faisaient du rendu vidéo, on a été exposés à ??? [3 min 05]. On a fait des sites web un peu dynamiques ; à l’époque jQuery c’était juste le début, on a fait des petits plugins jQuery, on a commencé à faire des petites contributions sur des formats PHP qui étaient juste émergents à l’époque, typiquement traduire la doc, ce genre de choses. Ça s’est fait assez naturellement en fait. Avec Cédric et Kevin nous étions toujours inspirés par les valeurs du logiciel libre et ce que ça représente, le fait que le savoir doit être libre et disponible à tous.

Walid Nouh : Au départ vous étiez, on va dire, utilisateurs de logiciels libres, vous n’étiez pas encore passés de l’autre côté de la barrière, mais dès le départ vous aviez la fibre entrepreneuriale.

Rémy Bertot : Oui. Faire quelque chose de nos mains était vraiment quelque chose qui nous attirait et, au final, après avoir fait du service, nous nous sommes dit « OK, pourquoi ne pas faire du produit ». On n’a pas commencé par Passbolt, on avait fait d’autres logiciels avant, un logiciel de e-learning qui s’appelait ??? [4 min 00] ; c’était une plateforme pour apprendre le français qui est en grande demande en Inde. On avait travaillé sur d’autres logiciels libres qui n’ont pas été publiés, qui étaient sous licence libre mais qui n’ont jamais été distribués. Après, plus tard, on a travaillé également sur des logiciels pas libres, par exemple on a travaillé avec Adobe ou le Parlement européen sur des logiciels propriétaires.
De fil en aiguille on s’est dit « OK, on va faire d’autres logiciels pour nous, pour l’agence web, justement pour régler les problèmes qu’on avait dans l’agence web qui étaient la gestion de mots de passe ». À l’époque il n’y avait pas grand-chose sur le marché, il y avait KeePass qui est toujours utilisé par des millions de personnes, à juste titre, c’est un projet qui est bien fait. La communauté de KeePass est assez fragmentée, il n’y a pas un seul acteur qui contrôle KeePass, ce sont vraiment plusieurs communautés, plusieurs versions. En fait il n’y avait pas la version web, il n’y avait pas la version où on peut partager, avoir de l’audit pour savoir ce que font les gens avec les mots de passe.
Typiquement, dans une agence web, vous allez avoir besoin de stocker des clefs SSH, des passwords FTP, ce genre de chose se faisait encore à l’époque, des logins sur des sites WordPress, peu importe. On avait besoin d’une solution qui soit partagée, qui soit libre. On a commencé à développer, en fait Kevin a fait une première version de ce logiciel dans les années 2012.

Walid Nouh : Sur le site il y a écrit « 2011, premier proto », j’étais vachement étonné, je pensais que c’était plus récent en fait.

Rémy Bertot : Cette première version du logiciel était utilisée en interne, n’était pas release en open source, elle était juste disponible à nos clients.
À l’époque je suis parti pour travailler ailleurs. J’en avais un peu marre de faire du service de sites, je suis parti travailler à Amsterdam pour Greenpeace International. J’ai travaillé sur un projet qui est devenu maintenant OpenSocial, je ne sais pas si vous connaissez, c’est un réseau social qui était en Drupal, ce n’est pas la technologie la plus évidente pour construire un réseau social ; c’est un logiciel qui est parti de chez Greenpeace et qui est devenu OpenSocial. En parallèle, Kevin développait Passbolt. On travaillait tous les deux, de notre côté, sur des logiciels libres.
Kevin a dit « j’ai envie de sortir de Passbolt en logiciel libre ». J’ai fait la plus grosse erreur qui a été de dire à Kevin « OK je veux bien, mais on refait depuis le début » plutôt que de fixer le logiciel existant qui avait des gros problèmes en termes de sécurité. J’ai dit « OK, on refait depuis le départ ». C’est pour cela qu’en fait il y a vraiment eu une version de 2012 à 2016 qui n’a pas été publique. On a lancé la v1 qui était déjà une v2 en public en 2016. C’était à peu près en même temps que Bitwarden qui est un autre logiciel open source de gestionnaire de mots de passe qui est développé aux États-Unis.

Walid Nouh : Les premières traces que j’ai trouvées sur GitHub c’est 2016. La question que je me suis posée : qu’est-ce qui vous a poussé dans le choix de le faire en PHP et qu’est-ce qui vous a poussé dans le choix de le faire avec une licence AGPL ?

Rémy Bertot : Dans un premier temps, le PHP c’était parce qu’on voulait que le logiciel soit self-hosting. Notre expérience dans les agences web, même dans les ONG, c’était que n’importe quel administrateur ou département IT a déjà vu passer du PHP, donc les stacks LAMP typiques sont assez résilientes, les gens ont vraiment l’habitude d’installer ce type de logiciel et de le maintenir. Donc l’idée c’était vraiment de partir sur une stack simple et résiliente, c’est-à-dire qu’il n’y ait pas beaucoup de choses qui changent dans l’optique de réduire le support derrière. On a choisi une technologie la plus simple possible. La métaphore que j’utilise souvent : si vous jetez Passbolt contre un mur, ça va ??? [ 8 min 40], il est pratiquement indestructible. On a des instances qui ont des années, elles n’ont pas de problème. C’est moins facile d’obtenir ce genre de résultat si vous prenez des technologies qui sont un petit plus cuting agequi sont, entre guillemets, un peu plus innovantes et moins rodées. C’est pour cela que nous sommes partis sur PHP à la base.

Pour la licence AGPL, l’idée c’est qu’on ne voulait pas faire ce que j’appelle du badware, c’est-à-dire du cryptoware. On ne voulait pas être là, fonctionner sur les donations. On a déjà vu avec des projets à nous, typiquement, par exemple, on a aussi contribué sur Mailvelope, un logiciel qui permet le chiffrage de données, avec Kevin et Cédric on a également beaucoup bossé sur ce logiciel. Il a un modèle un peu différent, il fonctionne sur la base des donations. Ce n’est pas un modèle économique qui m’intéressait parce que ce n’est pas prédictible. La plupart des donations viennent, en fait, de fondations, il ne faut pas se leurrer, la plupart des individus ne donnent pas à l’open source, ce sont soit des grosses entreprises, soit des grosses fondations, les grosses entreprises c’est assez rare, il faut vraiment avoir une adoption de dingue pour pouvoir avoir un modèle comme ça et généralement vous êtes dépendant de ces grosses entreprises, de une ou, si vous êtes chanceux, deux grosses entreprises qui, du jour au lendemain, peuvent vous laisser tomber. Pour les fondations c’est pareil. On l’a vu avec Mailvelope qui était financé par Open Technology Fund. Le jour où Trump est arrivé au pouvoir c’est le genre de truc où il a coupé direct et, pendant quatre ans, Mailvelope n’a plus de donations de ce côté, il faut chercher de nouveaux donateurs. Pour moi ce n’était pas vraiment un modèle économique qui m’intéressait, je voulais quelque chose qui soit sustainable dès le départ, que les gens comprennent qu’il y a de la valeur, donc il faut financer le truc pour que ça tienne la route.

La licence AGPL permet de faire ça, c’est-à-dire que le logiciel est sous licence libre. On a un service qui est disponible, les gens peuvent modifier, etc. Si quelqu’un veut rentrer en compétition avec nous, il faut qu’il rentre en compétition avec les mêmes règles du jeu. Si, par exemple, j’avais mis le logiciel en licence MIT, quelqu’un serait capable de reprendre le code de Passbolt, faire une version ??? [11 min 05] et ne rien devoir à personne. Alors qu’en AGPL, cette personne va être obligée de redistributeur le code source à ses clients. Donc là on est à peu près sur le même pied d’égalité.
Au niveau de la licence on a une petite subtilité : on n’autorise pas l’utilisation de la trade-mark Passbolt. En gros, vous avez accès au logiciel, vous pouvez le changer, mais vous n’avez pas le droit d’utiliser le nom de Passbolt. Si vous voulez le changer, et le redistribuer, il faudra changer et le distribuer sous un autre nom, vous ne pouvez pas vous servir de la visibilité de Passbolt pour construire votre écosystème.
Je trouve que c’est juste dans le sens où vous pouvez venir concurrencer Passbolt, faire un fork avec un autre nom et créer votre propre modèle économique en créant une meilleure version de Passbolt et ce ne sera pas exclusif, on pourra bénéficier de cette relation tous les deux. On l’a déjà vu dans le passé, typiquement des relations entre Red Hat et la communauté CentOS ou d’autres distributions Linux, entre Ubuntu et d’autres versions d’Ubuntu. C’est un modèle qui fonctionne assez bien, mais il faut que tout le monde ait les mêmes règles du jeu. Typiquement, nous ne voulions pas que AWS ou Google prennent l’API et fassent leur version. L’AGPL permet aussi de se protéger un peu de ce côté-là.

Walid Nouh : Là nous sommes en 2016. En gros, vous publiez la première version, les premières sources sur GitHub. Ce n’est pas parce que tu publies tes sources sur GitHub que tu as une communauté, que ton logiciel est connu. Avant vous travaillez sur une agence web et vous publiez votre première version, là je suppose que c’est quand même un certain défi. Je ne sais pas quel était votre passé dans la sécurité pour développer un logiciel comme Passbolt qui, en plus de ça, a certaines particularités, fonctionnalités assez avancées au niveau sécurité. Comment avez-fait ? Vous vous êtes entourés de personnes très compétentes en sécu, vous l’étiez déjà vous-mêmes dans l’équipe ? Comment ça s’est passé en fait ?

13’ 10

Rémy Bertot : Pour donner un peu de ??? [13 min 10], quand j’avais 16 ans, je décompilais des sharewares pour savoir comment les pieds de licence ??? fonctionnaient, Kevin ce sont des expérimentations avec le hacking de téléphones. Nous ne sommes pas sortis non plus de nulle part. Après, nous ne sommes pas nés experts sécurité. Nous nous sommes quand même pas mal basés sur un travail qui a déjà été fait par pas mal de personnes. Comme je le mentionnais auparavant, on avait ??? [13 min 50] un projet qui existait avant Passbolt, donc on a repris plein de concepts. ???, un des fondateurs de ce projet a réanimé OpenPGP.js qui est l’implémentation de OpenPGP en JavaScript qui est maintenant maintenu par l’équipe de ProtonMail, mais qui, à l’époque était maintenu par lui. Nous nous sommes forcément basés sur son travail et sur les audits de sécurité qu’il a eus pour ne pas refaire les mêmes erreurs que lui. On regardait également attentivement comment les autres audits des passwords managers, donc quelles étaient les failles que les autres passwords managers avaient et sur quoi ils s’étaient faitspawner ???.

Maintenant nous avons la chance d’être entourés et d’être constamment, entre guillemets, « sous surveillance ». On a des audits pratiquement tous les ??? [14 min 40], tout le temps et on trouve toujours des choses, ce n’est jamais fini. C’est plus un effort de chercher, de connaissances pures. Il y a une partie de recherche et de connaissances initiales, mais après il y a une partie de pratique et de rigueur en fait.

Walid Nouh : Je reviens, parce que c’est un sujet que je trouve assez intéressant : comment faites-vous pour vous faire connaître et faire votre première communauté ? Est-ce que c’est justement parce que vous aviez déjà l’habitude de travailler sur Mailvelope et d’autres projets que, finalement, ça a commencé comme ça ? Comment avez-vous réussi à vous faire connaître comparativement à d’autres projets qui auraient pu être déjà là avant ou qui sont arrivés en même temps ?

Rémy Bertot : La stratégie de lancement a été assez simple. C’est quoi ? Sur les forums qu’on connaît, sur les plateformes open source qu’on connaît on va aller parler de Passbolt . Nous sommes allés sur linuxFr, nous sommes allés sur Hacker News, on a parlé de Passbolt et là, de fil en aiguille, le truc a pris tout seul, par le bouche-à-oreille. On n’a pas fait d’effort particulier, du moins au départ. Nous étions assez surpris, en fait, que la mayonnaise prenne toute seule. Quelque part, il y avait vraiment un besoin : ce que nous faisions correspondait aux gens, à comment eux auraient voulu l’avoir fait.

Walid Nouh : Vous avez donc réussi à bâtir une communauté. Je regardais tout à l’heure les stats sur GitHub, il y a quand même pas mal de monde qui contribue, toutes ces personnes ne travaillent pas chez Passbolt, les gens sont venus d’eux-mêmes. Comment s’est passé, comment se passe ce rapport à cette communauté de gens qui gravitent autour du projet Passbolt ?

Rémy Bertot : Sur GitHub, les stats du projet sont un peu biaisées parce que, en fait, à la base il n’y avait de composer pour OpenPHP, en fait on a forké le repo, donc on a pris tous les contributeurs entre la v1 et la v2 d’OpenPHP qui sont listés comme contributeurs de Passbolt, ce que j’aime bien. De toute façon, indirectement, ils ont contribué au projet, mais ça fausse un peu les stats.
En gros, on n’a pas des centaines ou des milliers de contributeurs, on a une petite dizaine de gens qui contribuent à différents niveaux. On a beaucoup de contributeurs en termes de traduction, on a une communauté assez active de traducteurs. Après, une communauté qui nous reprend sur des petites coquilles ou qui veut, par exemple, des paramètres en plus, des petits changements, des petits ajustements de ??? [17 min 00]. On a des contributeurs qui proposent des fonctionnalités un petit peu plus grosses, mais, généralement, ils ne les proposent pas sur le cœur su produit qui est l’API ou la browser extension ou mêmes les applications mobiles maintenant, ils les proposent typiquement sur des SDK ou sur des librairies, sur des projets qu’ils ont créés pour résoudre leurs problèmes avec Passbolt. Typiquement on a Samuel ??? qui a cré le Passbolt ??, qui est écrit en Ru. Lui avait vraiment ce besoin de faire de la rotation de mots de passe dans Passbolt dans son entreprise, il ne voulait pas le faire avec une interface graphique. Il est parti, il a développé ce SDK et ensuite, au-dessus ce clip.
 ??? On a donc des contributions dans ce sens-là. On a, par exemple, un ancien employé de Passbolt, Christophe Vassort, qui a travaillé pas mal sur tout ce qui est les collections Ansible, par exemple même les nappes, créer des packages pour un Raspberry PI, ce genre de choses.
En fait les contributions sont généralement autour du produit, pour intégrer le produit, se connecter au produit, elles ne sont pas sur le cœur du produit qui est un peu, entre guillemets, « difficile d’accès » parce qu’il y a pas mal de sections : vous avez l’API, vous avez la ??? [18 min 30] et après vous avez le browser extension, il faut donc vraiment combiner ces trois éléments ensemble pour faire marcher Passbolt. L’architecture de Passbolt est un peu particulière vu que l’ensemble de l’application est pratiquement servi par la browser extension. Quand vous arrivez sur un site web qui fait tourner une instance Passbolt, l’application, la browser extension va injecter un iframe et toute l’application va être dans cet iframe. En fait, quand vous développez le serveur, vous développez sur l’API qui va être utilisée par cette application ou par les applications mobiles. Si vous vous voulez développer une nouvelle fonctionnalité, il faut vraiment comprendre les clients et le serveur ce qui n’est pas forcément évident pour les développeurs. C’est un peu compliqué de faire du chiffrage end to end, il n’y a pas beaucoup de contributeurs sur des fonctionnalités complètement transversales.

Après, nous cherchons des spécialistes. Typiquement on bosse avec ???, qui est l’un des développeurs du framework qu’on utilise pour l’API qui travaille, par exemple, sur la partie LDAP ou ce genre de choses. On a, par exemple, des clients qui demandent si on pourrait ajouter l’authentification ??? pour le plugin LDAP. Là on va travailler avec des gens qui connaissent LDAP, qui connaissent bien OpenPHP.
Ce sont des contributeurs qui viennent de la communauté open source, qui sont payés pour travailler, ce qui est, je pense, l’idéal.

Walid Nouh : En tant qu’utilisateur de Passbolt, qu’est-ce que j’ai à ma disposition pour faire par exemple des features requests, des demandes de fonctionnalités, ou pour interagir avec vous ? Comment ça marche ? Comment avez-vous structuré ce dialogue entre les personnes qui voudraient faire des retours et l’équipe de développement ?

Rémy Bertot : On a un forum qu’on appelle le Community forum, qui est sur community.passbolt.com, qui est basé sur Discourse qui est également un logiciel open source.
On a un site d’aide qui est également disponible sur GitHub. Notre site d’aide avec toutes les ressources est également disponible en Creative Commons et les gens peuvent changer tout ce qu’ils veulent. Ils peuvent soit contribuer au niveau de la documentation sur le site web, soit ils peuvent proposer des traductions avec la plateforme qu’on utilise qui est Crowding, qui n’est pas open source mais qui est gratuite pour les projets open source, pour parler des fonctionnalités ou de leurs problèmes sur le forum.
Notre process de développement commence par répondre à quatre questions : quel est le problème que vous essayez de résoudre ?, Pourquoi c’est important ?, Qui est affecté ?, et après, seulement, on va commencer à parler de solutions. Sinon, de mon expérience, parler d’abord de la solution avant de parler du problème, vous avez un marteau et plus personne n’a de clou. Le but du jeu c’est vraiment de déconstruire le problème, qui est impacté et pourquoi c’est important. Une fois qu’on a ça on essaie de construire la solution vraiment avec la communauté. Par exemple on va demander : que pensez-vous si on prend cette approche pour résoudre ce problème ? Typiquement, avec l’équipe en interne, on doit développer des ??? [21 min 40], des diagrammes de quelle utilisation, des diagrammes de séquences. On va revenir vers la communauté et on va demander à la communauté de commenter. Si vous êtes abonné par exemple à notre newsletter, on va vous envoyer un e-mail quand il y a des grosses specs qui partent et, si on hésite entre deux approches possibles, on va demander à la communauté : que pensez-vous, il faut faire plutôt l’une, plutôt l’autre ? et généralement les gens nous disent « toutes les deux ». Généralement on tranche en fonction de qui a répondu quoi et qui est plutôt notre lien c’est qu’il n’y ait pas trop de ???. Après, en fait, on fait une relesase en alpha : la première version est derrière en feature ???, c’est-à-dire que vous pouvez la libérer, mais il faut vraiment mettre les mains dans le cambouis pour mettre le flag à on. Là vous avez l’opportunité de donner du feed-back : est-ce que la fonctionnalité vous plaît ?, Est-ce que vous trouvez des bugs, etc. Après on passe en mode qu’on appelle bêta, c’est affiché à l’écran que c’est en bêta, et on fait une revue de code, normalement avec nos partenaires de ??? [23 min 00] qui font une revue de sécurité. Ils prennent tout. Ils prennent les specs, ils prennent le produit et puis les questions/réponses. Nous finançons cet audit à chaque fois qu’il y a une fonctionnalité majeure. Forcément tout cela coûte de l’argent, donc on a besoin d’avoir un modèle économique viable.

Walid Nouh : On va y revenir tout à l’heure, c’est un des sujets auquel j’ai été confronté aussi, les audits de sécu, et ce n’est pas évident. Ça me rappelle des choses quand moi-même je bossais sur un projet open source, on demandait aussi aux gens de tester les versions alpha et les versions bêta et en fait, en gros, on n’avait pas trop de tests On arrivait à la prod et c’est là que les gens commençaient à tester. On se creusait toujours la tête pour savoir comment faire en sorte que les gens testent nos versions pour nous aider à débugger le truc. On avait bien sûr des gens qui nous aidaient, mais jamais assez.

Rémy Bertot : C’est que personne ne veut être le cochon d’Inde. On a l’avantage d’avoir déjà des clients. On a des clients ou des gens qui sont en passe de devenir clients et qui attendent une fonctionnalité pour le devenir. Ce sont les premiers informés et on les accompagne vraiment. On fait l’installation avec eux, on fait une démo du truc pour qu’ils testent vraiment cette fonctionnalité. On provoque un peu cette phase de test. On a aussi beaucoup de tests en interne, on a beaucoup de tests unitaires, on a des tests Sélénium de bout en bout. Donc, quand on demande aux gens de tester, généralement on sait que ça marche, mais on trouve toujours des trucs, forcément. On ne s’attend pas à ce qu’il y ait une certaine configuration, on a toujours quelques surprises.

Walid Nouh : Si, maintenant, on passe un peu à Passbolt en tant qu’entreprise et en tant que modèle économique, vous êtes basés au Luxembourg et vous êtes combien de personnes ?

Rémy Bertot : Nous sommes à peu près 30 personnes, pour le moment 14 au Luxembourg. On n’a pas tout le staff au Luxembourg. On a pas mal de gens, la moitié, en remote. On est une boîte en remote en fait, donc on a des gens en Espagne, on a une personne aux États-Unis, en Allemagne, en Inde forcément, parce que à la base, avec Cédric et Kevin, nous étions en Inde, on a des contacts là-bas. On a également des gens qui viennent de Belgique pour travailler. Nous sommes donc assez cosmopolites de base.

Walid Nouh : Vous avez sorti la première release de Passbolt, en 2016, et là vous n’aviez pas encore monté la société Passbolt.

Rémy Bertot : En fait, on a participé à un projet d’incubation, on a participé à un concours qui s’appelle le ??? [25 min 44] au Luxembourg parce que, à la base, Kevin et Cédric sont de la région ???, ils étaient donc familiers avec ces programmes d’accélération du Luxembourg. On a eu la chance d’être sélectionnés pour pitcher et on a eu la chance de participer au programme.
Une des obligations inclue dans ce programme, c’est de construire son entreprise au Luxembourg en échange de quoi vous avez accès des subventions, vous pouvez vous installer ici. On a accès typiquement à l’écosystème ici. On avait accès au Technoport qui est un bâtiment qui sert d’incubateur, on avait des bureaux, pour commencer, avec tout ce qu’il faut, la sécurité, Internet, tout cela gratuitement. C’était vraiment un énorme avantage pour nous et c’est ce qui nous a permis de passer le cap de « OK on a réussi l’open source mais on n’a pas de business » à « OK, maintenant on va développer un business basé sur ce logiciel », justement pour pouvoir le maintenir.

Walid Nouh : Justement parce que c’est là que ça devient intéressant : quand vous avez monté la boîte quelle était votre vision du business que vous vouliez faire ? Est-ce que c’était très différent de ce qu’il est maintenant ou pas ?

Rémy Bertot : Non. Je ne dirais pas que c’était différent. En fait, on a essayé d’avoir le même modèle économique que Mailvelope, c’est-à-dire de fonctionner sur la base des donations et ça n’a pas du tout marché. C’est pour cela qu’on s’est dit « il faut vraiment qu’on ait un modèle économique qui tienne la route, avoir une entreprise ». On a essayé de la faire grossir, c’est passé par construire une version payante qui s’appelle Passbolt Pro qui est sortie en 2018. Pendant cette période, entre fin 2016 et 2018, il y a eu du développement pour ajouter des fonctionnalités. En 2020 le lancement de Passbolt Cloud qui est également une autre partie de l’offre payante. Passbolt Pro inclut du support et également des fonctionnalités en plus. Après, ces fonctionnalités en plus sont quand même sous licence AGPL.

Walid Nouh : C’est là où je voulais en venir, à cette question : est-ce que cette version pro est elle-même en AGPL ?

Rémy Bertot : Oui. En fait, il faut prendre une souscription, le logiciel demande une clef souscription et vous avez le droit de modifier le logiciel pour qu’il ne vous demande pas la clef de souscription. Dans ce cas-là, si vous faites ça, on ne vous propose pas de support.
Quand vous êtes une entreprise, typiquement vous n’avez pas envie de faire ça. Si vous êtes un individu lambda vous pouvez le faire, mais si vous êtes une grosse entreprise, ça devient un peu compliqué de maintenir votre propre version, considérant le coût pas significatif de Passbolt par rapport à l’effort d’avoir une ressource qui bosse pour compiler les applications, les packages, etc.
Ce qu’on propose c’est justement la compilation de tout cela, c’est-à-dire l’application finie et pas juste les sources. Ça fonctionne assez bien. On s’était dit « OK, les gens vont payer du support » ; les gens veulent que le logiciel fonctionne de base, même si nous, nous savons qu’ils vont avoir besoin de support. C’est un peu la partie un peu bizarre de l’équation : on sait que si on propose un module LDAP il va y avoir beaucoup de support sur du LDAP.
C’est pour cela qu’on préfère aller sur la version pro parce qu’on sait que les gens vont avoir besoin de support et on veut que les gens aient une bonne expérience, on ne veut pas qu’ils viennent tous sur le forum dire mon LDAP ne marche pas. On veut que les gens aient une bonne expérience du logiciel. C’est pour cela que nous avons développé certaines fonctionnalités dans cette version payante, ce sont justement les fonctionnalités qui créent le plus de support.

29’ 40

Walid Nouh : C’était

Récupérée de « http://wiki.april.org/index.php?title=Remy_Bertot_-_CTO_et_co-fondateur_de_Passbolt_-_Projets_Libres&oldid=106232 »