Remy Bertot - CTO et co-fondateur de Passbolt - Projets Libres

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : Rémy Bertot - CTO et co-fondateur de Passbolt

Intervenants : Rémy Bertot - Walid Nouh

Lieu : En ligne - Podcast Projets libres !

Date : 10 mai 2023

Durée : 57 min

Podcast

Page de présentation du podcast

Licence de la transcription : Verbatim

Illustration : À prévoir

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Description

Rémy Bertot est CTO et cofondateur de Passbolt, un logiciel de gestion de mot de passe (password manager) libre et open source.
Nous partons avec lui pour une plongée dans l'univers de Passbolt : découvrez la naissance du logiciel, sa communauté et son modèle économique. Rémy nous détaille aussi la gestion de la sécurité, les audits réguliers, ainsi que les défis à venir pour le produit.

Transcription

Walid Nouh : Bonjour et bienvenue sur Projets libres !. Je m’appelle Walid Nouh, je suis tombé dans la marmite du logiciel libre il y a plus de 20 ans. Libriste confirmé ou néophyte, venez découvrir avec moi les portraits des femmes et des hommes qui font le logiciel libre : communautés, modèles économiques, contributions, on vous dit tout.

Aujourd’hui, pour ce deuxième épisode, nous allons parler d’un logiciel que j’affectionne tout particulièrement, c’est un gestionnaire de mots de passe libre et open source qui s’appelle Passbolt, un logiciel que j’utilise depuis 2018. D’ailleurs, j’ai découvert qu’il était beaucoup plus ancien que je pensais en lisant les pages sur le site ; c’est un logiciel que je recommande à tout le monde à chaque fois que je passe dans une société. J’ai pensé à inviter Rémy Bertot qui est le CTO[Chief Technical Office] et un des cofondateurs de Passbolt après avoir vu une conférence au FOSDEM cette année, le gros salon de développeurs de logiciels libres qui se tient tous les ans à Bruxelles. Il a gentiment accepté.
Aujourd’hui nous allons parler avec lui de Passbolt, de la communauté, du modèle économique et de ce que veut dire développer un logiciel libre dans le domaine de la sécurité.
Bonjour Rémy, bienvenue sur Projets libres !. J’espère que tu vas bien.

Rémy Bertot : Oui. Je vais très bien. Merci pour l’invitation, Walid, ça me fait très plaisir.

Walid Nouh : Pour commencer, la première chose que je vais te demander : est-ce que tu peux te présenter pour nous expliquer un petit peu ton parcours et à quand remonte ton intérêt pour le logiciel libre ?

Rémy Bertot : Comme tu l’as dit je m’appelle Rémy Bertot. Je suis français d’origine et maintenant j’habite au Luxembourg depuis quelques années. Je suis ingénieur logiciel de formation. J’ai commencé mes études à Bordeaux et je les ai finies en Irlande. Mon parcours est un parcours assez classique de formation de développeur, ingénierie logicielle avec une spécialisation interaction humain/machine, donc utilisabilité, tests d’utilisabilité, ce genre de choses. Ce qui m’a toujours intéressé c’est la partie interface graphique, mais aussi comment rendre les logiciels plus accessibles en général. C’est pour cela que j’ai choisi ça.
Comme mes cofondateurs, je suis mordu d’une informatique depuis que j’ai eu la chance d’avoir un ordinateur. Mon exposition au logiciel libre vient de là, dès le départ, par curiosité, installer Linux sur le PC des parents, ce genre de choses.
Après, plus tard, on a commencé à travailler ensemble avec Kevin et Cédric ; Passbolt n’est pas notre première aventure, on avait fait des choses avant, notamment une agence de développement web juste après nos études, avec Kevin on avait 2 000 euros en poche et nous sommes partis monter une agence web en Inde basée sur les logiciels libres justement. On a pas mal développé avec les logiciels libres. On n’a pas développé des logiciels libres, on a pas mal développé sur des logiciels libres ou avec des librairies. Par exemple, on a bossé sur des logiciels qui faisaient du rendu vidéo, on a été exposés à ??? [3 min 05]. On a fait des sites web un peu dynamiques ; à l’époque jQuery c’était juste le début, on a fait des petits plugins jQuery, on a commencé à faire des petites contributions sur des formats PHP qui étaient juste émergents à l’époque, typiquement traduire la doc, ce genre de choses. Ça s’est fait assez naturellement en fait. Avec Cédric et Kevin nous étions toujours inspirés par les valeurs du logiciel libre et ce que ça représente, le fait que le savoir doit être libre et disponible à tous.

Walid Nouh : Au départ vous étiez, on va dire, utilisateurs de logiciels libres, vous n’étiez pas encore passés de l’autre côté de la barrière, mais dès le départ vous aviez la fibre entrepreneuriale.

Rémy Bertot : Oui. Faire quelque chose de nos mains était vraiment quelque chose qui nous attirait et, au final, après avoir fait du service, nous nous sommes dit « OK, pourquoi ne pas faire du produit ». On n’a pas commencé par Passbolt, on avait fait d’autres logiciels avant, un logiciel de e-learning qui s’appelait ??? [4 min 00] ; c’était une plateforme pour apprendre le français qui est en grande demande en Inde. On avait travaillé sur d’autres logiciels libres qui n’ont pas été publiés, qui étaient sous licence libre mais qui n’ont jamais été distribués. Après, plus tard, on a travaillé également sur des logiciels pas libres, par exemple on a travaillé avec Adobe ou le Parlement européen sur des logiciels propriétaires.
De fil en aiguille on s’est dit « OK, on va faire d’autres logiciels pour nous, pour l’agence web, justement pour régler les problèmes qu’on avait dans l’agence web qui étaient la gestion de mots de passe ». À l’époque il n’y avait pas grand-chose sur le marché, il y avait KeePass qui est toujours utilisé par des millions de personnes, à juste titre, c’est un projet qui est bien fait. La communauté de KeePass est assez fragmentée, il n’y a pas un seul acteur qui contrôle KeePass, ce sont vraiment plusieurs communautés, plusieurs versions. En fait il n’y avait pas la version web, il n’y avait pas la version où on peut partager, avoir de l’audit pour savoir ce que font les gens avec les mots de passe.
Typiquement, dans une agence web, vous allez avoir besoin de stocker des clefs SSH, des passwords FTP, ce genre de chose se faisait encore à l’époque, des logins sur des sites WordPress, peu importe. On avait besoin d’une solution qui soit partagée, qui soit libre. On a commencé à développer, en fait Kevin a fait une première version de ce logiciel dans les années 2012.

Walid Nouh : Sur le site il y a écrit « 2011, premier proto », j’étais vachement étonné, je pensais que c’était plus récent en fait.

Rémy Bertot : Cette première version du logiciel était utilisée en interne, n’était pas release en open source, elle était juste disponible à nos clients.
À l’époque je suis parti pour travailler ailleurs. J’en avais un peu marre de faire du service de sites, je suis parti travailler à Amsterdam pour Greenpeace International. J’ai travaillé sur un projet qui est devenu maintenant OpenSocial, je ne sais pas si vous connaissez, c’est un réseau social qui était en Drupal, ce n’est pas la technologie la plus évidente pour construire un réseau social ; c’est un logiciel qui est parti de chez Greenpeace et qui est devenu OpenSocial. En parallèle, Kevin développait Passbolt. On travaillait tous les deux, de notre côté, sur des logiciels libres.
Kevin a dit « j’ai envie de sortir de Passbolt en logiciel libre ». J’ai fait la plus grosse erreur qui a été de dire à Kevin « OK je veux bien, mais on refait depuis le début » plutôt que de fixer le logiciel existant qui avait des gros problèmes en termes de sécurité. J’ai dit « OK, on refait depuis le départ ». C’est pour cela qu’en fait il y a vraiment eu une version de 2012 à 2016 qui n’a pas été publique. On a lancé la v1 qui était déjà une v2 en public en 2016. C’était à peu près en même temps que Bitwarden qui est un autre logiciel open source de gestionnaire de mots de passe qui est développé aux États-Unis.

Walid Nouh : Les premières traces que j’ai trouvées sur GitHub c’est 2016. La question que je me suis posée : qu’est-ce qui vous a poussé dans le choix de le faire en PHP et qu’est-ce qui vous a poussé dans le choix de le faire avec une licence AGPL ?

Rémy Bertot : Dans un premier temps, le PHP c’était parce qu’on voulait que le logiciel soit self-hosting. Notre expérience dans les agences web, même dans les ONG, c’était que n’importe quel administrateur ou département IT a déjà vu passer du PHP, donc les stacks LAMP typiques sont assez résilientes, les gens ont vraiment l’habitude d’installer ce type de logiciel et de le maintenir. Donc l’idée c’était vraiment de partir sur une stack simple et résiliente, c’est-à-dire qu’il n’y ait pas beaucoup de choses qui changent dans l’optique de réduire le support derrière. On a choisi une technologie la plus simple possible. La métaphore que j’utilise souvent : si vous jetez Passbolt contre un mur, ça va ??? [ 8 min 40], il est pratiquement indestructible. On a des instances qui ont des années, elles n’ont pas de problème. C’est moins facile d’obtenir ce genre de résultat si vous prenez des technologies qui sont un petit plus cuting agequi sont, entre guillemets, un peu plus innovantes et moins rodées. C’est pour cela que nous sommes partis sur PHP à la base.

Pour la licence AGPL, l’idée c’est qu’on ne voulait pas faire ce que j’appelle du badware, c’est-à-dire du cryptoware. On ne voulait pas être là, fonctionner sur les donations. On a déjà vu avec des projets à nous, typiquement, par exemple, on a aussi contribué sur Mailvelope, un logiciel qui permet le chiffrage de données, avec Kevin et Cédric on a également beaucoup bossé sur ce logiciel. Il a un modèle un peu différent, il fonctionne sur la base des donations. Ce n’est pas un modèle économique qui m’intéressait parce que ce n’est pas prédictible. La plupart des donations viennent, en fait, de fondations, il ne faut pas se leurrer, la plupart des individus ne donnent pas à l’open source, ce sont soit des grosses entreprises, soit des grosses fondations, les grosses entreprises c’est assez rare, il faut vraiment avoir une adoption de dingue pour pouvoir avoir un modèle comme ça et généralement vous êtes dépendant de ces grosses entreprises, de une ou, si vous êtes chanceux, deux grosses entreprises qui, du jour au lendemain, peuvent vous laisser tomber. Pour les fondations c’est pareil. On l’a vu avec Mailvelope qui était financé par Open Technology Fund. Le jour où Trump est arrivé au pouvoir c’est le genre de truc où il a coupé direct et, pendant quatre ans, Mailvelope n’a plus de donations de ce côté, il faut chercher de nouveaux donateurs. Pour moi ce n’était pas vraiment un modèle économique qui m’intéressait, je voulais quelque chose qui soit sustainable dès le départ, que les gens comprennent qu’il y a de la valeur, donc il faut financer le truc pour que ça tienne la route.

La licence AGPL permet de faire ça, c’est-à-dire que le logiciel est sous licence libre. On a un service qui est disponible, les gens peuvent modifier, etc. Si quelqu’un veut rentrer en compétition avec nous, il faut qu’il rentre en compétition avec les mêmes règles du jeu. Si, par exemple, j’avais mis le logiciel en licence MIT, quelqu’un serait capable de reprendre le code de Passbolt, faire une version ??? [11 min 05] et ne rien devoir à personne. Alors qu’en AGPL, cette personne va être obligée de redistributeur le code source à ses clients. Donc là on est à peu près sur le même pied d’égalité.
Au niveau de la licence on a une petite subtilité : on n’autorise pas l’utilisation de la trade-mark Passbolt. En gros, vous avez accès au logiciel, vous pouvez le changer, mais vous n’avez pas le droit d’utiliser le nom de Passbolt. Si vous voulez le changer, et le redistribuer, il faudra changer et le distribuer sous un autre nom, vous ne pouvez pas vous servir de la visibilité de Passbolt pour construire votre écosystème.
Je trouve que c’est juste dans le sens où vous pouvez venir concurrencer Passbolt, faire un fork avec un autre nom et créer votre propre modèle économique en créant une meilleure version de Passbolt et ce ne sera pas exclusif, on pourra bénéficier de cette relation tous les deux. On l’a déjà vu dans le passé, typiquement des relations entre Red Hat et la communauté CentOS ou d’autres distributions Linux, entre Ubuntu et d’autres versions d’Ubuntu. C’est un modèle qui fonctionne assez bien, mais il faut que tout le monde ait les mêmes règles du jeu. Typiquement, nous ne voulions pas que AWS ou Google prennent l’API et fassent leur version. L’AGPL permet aussi de se protéger un peu de ce côté-là.

Walid Nouh : Là nous sommes en 2016. En gros, vous publiez la première version, les premières sources sur GitHub. Ce n’est pas parce que tu publies tes sources sur GitHub que tu as une communauté, que ton logiciel est connu. Avant vous travaillez sur une agence web et vous publiez votre première version, là je suppose que c’est quand même un certain défi. Je ne sais pas quel était votre passé dans la sécurité pour développer un logiciel comme Passbolt qui, en plus de ça, a certaines particularités, fonctionnalités assez avancées au niveau sécurité. Comment avez-fait ? Vous vous êtes entourés de personnes très compétentes en sécu, vous l’étiez déjà vous-mêmes dans l’équipe ? Comment ça s’est passé en fait ?

13’ 10

Rémy Bertot : Pour donner un peu de ??? [13 min 10], quand j’avais 16 ans, je décompilais des sharewares pour savoir comment les pieds de licence ??? fonctionnaient, Kevin ce sont des expérimentations avec le hacking de téléphones. Nous ne sommes pas sortis non plus de nulle part. Après, nous ne sommes pas nés experts sécurité. Nous nous sommes quand même pas mal basés sur un travail qui a déjà été fait par pas mal de personnes. Comme je le mentionnais auparavant, on avait ??? [13 min 50] un projet qui existait avant Passbolt, donc on a repris plein de concepts. ???, un des fondateurs de ce projet a réanimé OpenPGP.js qui est l’implémentation de OpenPGP en JavaScript qui est maintenant maintenu par l’équipe de ProtonMail, mais qui, à l’époque était maintenu par lui. Nous nous sommes forcément basés sur son travail et sur les audits de sécurité qu’il a eus pour ne pas refaire les mêmes erreurs que lui. On regardait également attentivement comment les autres audits des passwords managers, donc quelles étaient les failles que les autres passwords managers avaient et sur quoi ils s’étaient faitspawner ???.

Maintenant nous avons la chance d’être entourés et d’être constamment, entre guillemets, « sous surveillance ». On a des audits pratiquement tous les ??? [14 min 40], tout le temps et on trouve toujours des choses, ce n’est jamais fini. C’est plus un effort de chercher, de connaissances pures. Il y a une partie de recherche et de connaissances initiales, mais après il y a une partie de pratique et de rigueur en fait.

Walid Nouh : Je reviens, parce que c’est un sujet que je trouve assez intéressant : comment faites-vous pour vous faire connaître et faire votre première communauté ? Est-ce que c’est justement parce que vous aviez déjà l’habitude de travailler sur Mailvelope et d’autres projets que, finalement, ça a commencé comme ça ? Comment avez-vous réussi à vous faire connaître comparativement à d’autres projets qui auraient pu être déjà là avant ou qui sont arrivés en même temps ?

Rémy Bertot : La stratégie de lancement a été assez simple. C’est quoi ? Sur les forums qu’on connaît, sur les plateformes open source qu’on connaît on va aller parler de Passbolt . Nous sommes allés sur linuxFr, nous sommes allés sur Hacker News, on a parlé de Passbolt et là, de fil en aiguille, le truc a pris tout seul, par le bouche-à-oreille. On n’a pas fait d’effort particulier, du moins au départ. Nous étions assez surpris, en fait, que la mayonnaise prenne toute seule. Quelque part, il y avait vraiment un besoin : ce que nous faisions correspondait aux gens, à comment eux auraient voulu l’avoir fait.

Walid Nouh : Vous avez donc réussi à bâtir une communauté. Je regardais tout à l’heure les stats sur GitHub, il y a quand même pas mal de monde qui contribue, toutes ces personnes ne travaillent pas chez Passbolt, les gens sont venus d’eux-mêmes. Comment s’est passé, comment se passe ce rapport à cette communauté de gens qui gravitent autour du projet Passbolt ?

Rémy Bertot : Sur GitHub, les stats du projet sont un peu biaisées parce que, en fait, à la base il n’y avait de composer pour OpenPHP, en fait on a forké le repo, donc on a pris tous les contributeurs entre la v1 et la v2 d’OpenPHP qui sont listés comme contributeurs de Passbolt, ce que j’aime bien. De toute façon, indirectement, ils ont contribué au projet, mais ça fausse un peu les stats.
En gros, on n’a pas des centaines ou des milliers de contributeurs, on a une petite dizaine de gens qui contribuent à différents niveaux. On a beaucoup de contributeurs en termes de traduction, on a une communauté assez active de traducteurs. Après, une communauté qui nous reprend sur des petites coquilles ou qui veut, par exemple, des paramètres en plus, des petits changements, des petits ajustements de ??? [17 min 00]. On a des contributeurs qui proposent des fonctionnalités un petit peu plus grosses, mais, généralement, ils ne les proposent pas sur le cœur su produit qui est l’API ou la browser extension ou mêmes les applications mobiles maintenant, ils les proposent typiquement sur des SDK ou sur des librairies, sur des projets qu’ils ont créés pour résoudre leurs problèmes avec Passbolt. Typiquement on a Samuel ??? qui a cré le Passbolt ??, qui est écrit en Ru. Lui avait vraiment ce besoin de faire de la rotation de mots de passe dans Passbolt dans son entreprise, il ne voulait pas le faire avec une interface graphique. Il est parti, il a développé ce SDK et ensuite, au-dessus ce clip.
 ??? On a donc des contributions dans ce sens-là. On a, par exemple, un ancien employé de Passbolt, Christophe Vassort, qui a travaillé pas mal sur tout ce qui est les collections Ansible, par exemple même les nappes, créer des packages pour un Raspberry PI, ce genre de choses.
En fait les contributions sont généralement autour du produit, pour intégrer le produit, se connecter au produit, elles ne sont pas sur le cœur du produit qui est un peu, entre guillemets, « difficile d’accès » parce qu’il y a pas mal de sections : vous avez l’API, vous avez la ??? [18 min 30] et après vous avez le browser extension, il faut donc vraiment combiner ces trois éléments ensemble pour faire marcher Passbolt. L’architecture de Passbolt est un peu particulière vu que l’ensemble de l’application est pratiquement servi par la browser extension. Quand vous arrivez sur un site web qui fait tourner une instance Passbolt, l’application, la browser extension va injecter un iframe et toute l’application va être dans cet iframe. En fait, quand vous développez le serveur, vous développez sur l’API qui va être utilisée par cette application ou par les applications mobiles. Si vous vous voulez développer une nouvelle fonctionnalité, il faut vraiment comprendre les clients et le serveur ce qui n’est pas forcément évident pour les développeurs. C’est un peu compliqué de faire du chiffrage end to end, il n’y a pas beaucoup de contributeurs sur des fonctionnalités complètement transversales.

Après, nous cherchons des spécialistes. Typiquement on bosse avec ???, qui est l’un des développeurs du framework qu’on utilise pour l’API qui travaille, par exemple, sur la partie LDAP ou ce genre de choses. On a, par exemple, des clients qui demandent si on pourrait ajouter l’authentification ??? pour le plugin LDAP. Là on va travailler avec des gens qui connaissent LDAP, qui connaissent bien OpenPHP.
Ce sont des contributeurs qui viennent de la communauté open source, qui sont payés pour travailler, ce qui est, je pense, l’idéal.

Walid Nouh : En tant qu’utilisateur de Passbolt, qu’est-ce que j’ai à ma disposition pour faire par exemple des features requests, des demandes de fonctionnalités, ou pour interagir avec vous ? Comment ça marche ? Comment avez-vous structuré ce dialogue entre les personnes qui voudraient faire des retours et l’équipe de développement ?

Rémy Bertot : On a un forum qu’on appelle le Community forum, qui est sur community.passbolt.com, qui est basé sur Discourse qui est également un logiciel open source.
On a un site d’aide qui est également disponible sur GitHub. Notre site d’aide avec toutes les ressources est également disponible en Creative Commons et les gens peuvent changer tout ce qu’ils veulent. Ils peuvent soit contribuer au niveau de la documentation sur le site web, soit ils peuvent proposer des traductions avec la plateforme qu’on utilise qui est Crowding, qui n’est pas open source mais qui est gratuite pour les projets open source, pour parler des fonctionnalités ou de leurs problèmes sur le forum.
Notre process de développement commence par répondre à quatre questions : quel est le problème que vous essayez de résoudre ?, Pourquoi c’est important ?, Qui est affecté ?, et après, seulement, on va commencer à parler de solutions. Sinon, de mon expérience, parler d’abord de la solution avant de parler du problème, vous avez un marteau et plus personne n’a de clou. Le but du jeu c’est vraiment de déconstruire le problème, qui est impacté et pourquoi c’est important. Une fois qu’on a ça on essaie de construire la solution vraiment avec la communauté. Par exemple on va demander : que pensez-vous si on prend cette approche pour résoudre ce problème ? Typiquement, avec l’équipe en interne, on doit développer des ??? [21 min 40], des diagrammes de quelle utilisation, des diagrammes de séquences. On va revenir vers la communauté et on va demander à la communauté de commenter. Si vous êtes abonné par exemple à notre newsletter, on va vous envoyer un e-mail quand il y a des grosses specs qui partent et, si on hésite entre deux approches possibles, on va demander à la communauté : que pensez-vous, il faut faire plutôt l’une, plutôt l’autre ? et généralement les gens nous disent « toutes les deux ». Généralement on tranche en fonction de qui a répondu quoi et qui est plutôt notre lien c’est qu’il n’y ait pas trop de ???. Après, en fait, on fait une relesase en alpha : la première version est derrière en feature ???, c’est-à-dire que vous pouvez la libérer, mais il faut vraiment mettre les mains dans le cambouis pour mettre le flag à on. Là vous avez l’opportunité de donner du feed-back : est-ce que la fonctionnalité vous plaît ?, Est-ce que vous trouvez des bugs, etc. Après on passe en mode qu’on appelle bêta, c’est affiché à l’écran que c’est en bêta, et on fait une revue de code, normalement avec nos partenaires de ??? [23 min 00] qui font une revue de sécurité. Ils prennent tout. Ils prennent les specs, ils prennent le produit et puis les questions/réponses. Nous finançons cet audit à chaque fois qu’il y a une fonctionnalité majeure. Forcément tout cela coûte de l’argent, donc on a besoin d’avoir un modèle économique viable.

Walid Nouh : On va y revenir tout à l’heure, c’est un des sujets auquel j’ai été confronté aussi, les audits de sécu, et ce n’est pas évident. Ça me rappelle des choses quand moi-même je bossais sur un projet open source, on demandait aussi aux gens de tester les versions alpha et les versions bêta et en fait, en gros, on n’avait pas trop de tests On arrivait à la prod et c’est là que les gens commençaient à tester. On se creusait toujours la tête pour savoir comment faire en sorte que les gens testent nos versions pour nous aider à débugger le truc. On avait bien sûr des gens qui nous aidaient, mais jamais assez.

Rémy Bertot : C’est que personne ne veut être le cochon d’Inde. On a l’avantage d’avoir déjà des clients. On a des clients ou des gens qui sont en passe de devenir clients et qui attendent une fonctionnalité pour le devenir. Ce sont les premiers informés et on les accompagne vraiment. On fait l’installation avec eux, on fait une démo du truc pour qu’ils testent vraiment cette fonctionnalité. On provoque un peu cette phase de test. On a aussi beaucoup de tests en interne, on a beaucoup de tests unitaires, on a des tests Sélénium de bout en bout. Donc, quand on demande aux gens de tester, généralement on sait que ça marche, mais on trouve toujours des trucs, forcément. On ne s’attend pas à ce qu’il y ait une certaine configuration, on a toujours quelques surprises.

Walid Nouh : Si, maintenant, on passe un peu à Passbolt en tant qu’entreprise et en tant que modèle économique, vous êtes basés au Luxembourg et vous êtes combien de personnes ?

Rémy Bertot : Nous sommes à peu près 30 personnes, pour le moment 14 au Luxembourg. On n’a pas tout le staff au Luxembourg. On a pas mal de gens, la moitié, en remote. On est une boîte en remote en fait, donc on a des gens en Espagne, on a une personne aux États-Unis, en Allemagne, en Inde forcément, parce que à la base, avec Cédric et Kevin, nous étions en Inde, on a des contacts là-bas. On a également des gens qui viennent de Belgique pour travailler. Nous sommes donc assez cosmopolites de base.

Walid Nouh : Vous avez sorti la première release de Passbolt, en 2016, et là vous n’aviez pas encore monté la société Passbolt.

Rémy Bertot : En fait, on a participé à un projet d’incubation, on a participé à un concours qui s’appelle le ??? [25 min 44] au Luxembourg parce que, à la base, Kevin et Cédric sont de la région ???, ils étaient donc familiers avec ces programmes d’accélération du Luxembourg. On a eu la chance d’être sélectionnés pour pitcher et on a eu la chance de participer au programme.
Une des obligations inclue dans ce programme, c’est de construire son entreprise au Luxembourg en échange de quoi vous avez accès des subventions, vous pouvez vous installer ici. On a accès typiquement à l’écosystème ici. On avait accès au Technoport qui est un bâtiment qui sert d’incubateur, on avait des bureaux, pour commencer, avec tout ce qu’il faut, la sécurité, Internet, tout cela gratuitement. C’était vraiment un énorme avantage pour nous et c’est ce qui nous a permis de passer le cap de « OK on a réussi l’open source mais on n’a pas de business » à « OK, maintenant on va développer un business basé sur ce logiciel », justement pour pouvoir le maintenir.

Walid Nouh : Justement parce que c’est là que ça devient intéressant : quand vous avez monté la boîte quelle était votre vision du business que vous vouliez faire ? Est-ce que c’était très différent de ce qu’il est maintenant ou pas ?

Rémy Bertot : Non. Je ne dirais pas que c’était différent. En fait, on a essayé d’avoir le même modèle économique que Mailvelope, c’est-à-dire de fonctionner sur la base des donations et ça n’a pas du tout marché. C’est pour cela qu’on s’est dit « il faut vraiment qu’on ait un modèle économique qui tienne la route, avoir une entreprise ». On a essayé de la faire grossir, c’est passé par construire une version payante qui s’appelle Passbolt Pro qui est sortie en 2018. Pendant cette période, entre fin 2016 et 2018, il y a eu du développement pour ajouter des fonctionnalités. En 2020 le lancement de Passbolt Cloud qui est également une autre partie de l’offre payante. Passbolt Pro inclut du support et également des fonctionnalités en plus. Après, ces fonctionnalités en plus sont quand même sous licence AGPL.

Walid Nouh : C’est là où je voulais en venir, à cette question : est-ce que cette version pro est elle-même en AGPL ?

Rémy Bertot : Oui. En fait, il faut prendre une souscription, le logiciel demande une clef souscription et vous avez le droit de modifier le logiciel pour qu’il ne vous demande pas la clef de souscription. Dans ce cas-là, si vous faites ça, on ne vous propose pas de support.
Quand vous êtes une entreprise, typiquement vous n’avez pas envie de faire ça. Si vous êtes un individu lambda vous pouvez le faire, mais si vous êtes une grosse entreprise, ça devient un peu compliqué de maintenir votre propre version, considérant le coût pas significatif de Passbolt par rapport à l’effort d’avoir une ressource qui bosse pour compiler les applications, les packages, etc.
Ce qu’on propose c’est justement la compilation de tout cela, c’est-à-dire l’application finie et pas juste les sources. Ça fonctionne assez bien. On s’était dit « OK, les gens vont payer du support » ; les gens veulent que le logiciel fonctionne de base, même si nous, nous savons qu’ils vont avoir besoin de support. C’est un peu la partie un peu bizarre de l’équation : on sait que si on propose un module LDAP il va y avoir beaucoup de support sur du LDAP.
C’est pour cela qu’on préfère aller sur la version pro parce qu’on sait que les gens vont avoir besoin de support et on veut que les gens aient une bonne expérience, on ne veut pas qu’ils viennent tous sur le forum dire mon LDAP ne marche pas. On veut que les gens aient une bonne expérience du logiciel. C’est pour cela que nous avons développé certaines fonctionnalités dans cette version payante, ce sont justement les fonctionnalités qui créent le plus de support.

29’ 40

Walid Nouh : C’était une des questions que je me posais parce que c’est quelque chose qui est très spécifique d’un projet à un autre : qu’est-ce que tu inclus dans la version on va dire Community, qu’est-ce que tu n’inclus pas ? Sur quoi te bases-tu ? Il y en a qui vont dire que tout ce dont a besoin au quotidien on le met dans la version Community et toutes les foncrionnalités avancées on les met dans la version pro. Ce que je comprends c’est qu’en fait, pour vous, tout ce qui va générer du support on va le mettre dans la version pro.

Rémy Bertot : C’est schématisé, mais ce n’est pas uniquement ça. Il y a aussi une partie où on sait qu’en gros les plus grosses entreprises vont avoir besoin de ces fonctionnalités, on sait que ce sont des gens qui ont des budgets pour déployer ce type de logiciel. Il y a donc aussi un ciblage par rapport à cela. Typiquement, vous pouvez utiliser la Community Edition avec 10/30 personnes sans aucun problème. Si vous atteignez 500 personnes vous commencez à avoir certains problèmes que vous n’avez pas quand vous avez 30 personnes, et c’est justement là où nous mettons le curseur. Si tu as 5000utilisateurs qui utilisent Passbolt il faut passer à la caisse. Sinon tu prends le coût de forker l’application, tu prends le coût de construire les packages toi-même, peu importe.

Walid Nouh : Un autre sujet sur lequel j’ai beaucoup plus réfléchi à l’époque où je bossais sur un logiciel libre, qui n’était pas évident, pour lequel on avait regardé comment les autres logiciels faisaient : à quel moment tu backportes des fonctionnalités. Je pense en particulier il n’y a pas très longtemps vous avez backpotté la notion de Folder carrément dans la Community, il y a aussi eu les clients mobiles

Rémy Bertot : Les clients mobiles étaient toujours disponibles pour tout le monde,

Walid Nouh : Dès le départ ? D’accord.

Rémy Bertot : Folder a été descendu au mois de janvier ou févier, et on avait aussi le ??? [31 min 35] qui était aussi sur la Community Edition. La raison pour laquelle les gens nous en ont un peu voulu de mettre le tout ??? sur la version partante c’est qu’à la base Passbolt utilisait un système de clef publique/clef privée, donc il n’y a pas besoin de tout refaire. D’un point de vue sécurité ce que nous proposons en termes de login c’est un login par Challenge avec une signature, une preuve que vous avez la clef privée, c’est donc beaucoup plus fort qu’un passord et un MFA. Typiquement, c’est le même principe que les pass kees ou des trucs qui vont remplacer les mots de passe. On s’était dit le MFA c’est vraiment pour les gens qui sont dans une entreprise où ils ont besoin de cocher la case MFA, donc pas les techniciens du Libre qui savent ce qu’ils font. Ça a été mal perçu, ça a été perçu comme mesquin, c’est pour cela qu’on l’a redescendu. C’était plus facile de dire le MFA est disponible pour tout le monde que de dire d’un point de sécurité ça ne change pas grand-chose parce que l’authentification Passbolt est déjà super forte.
Au départ on est obligé aussi de répondre à la communauté par rapport à l’image qu’on a, pas nécessairement par rapport à notre rationnel, mais aussi de répondre aux humeurs des gens.

Walid Nouh : Je sais qu’à l’époque où on regardait beaucoup des logiciels dans lesquels soit, par exemple, c’était une entreprise qui finançait une fonctionnalité, cette fonctionnalité passait en fait un certain dans la version pro et ensuite elle redescendait dans la version Community ; d’autres disaient « on rajoute une fonctionnalité, on estime le temps qu’il nous faut pour la rentabiliser, une fois que c’est rentabilisé on la redescend dans la version Community ». En fait, il peut y avoir plein de modèles différents qui s’expliquent par la structure du projet, par les gens qui le gèrent, par le modèle économique et tout. En fait, c’est un truc qui n’est jamais vraiment abordé et que je trouve assez intéressant justement de comprendre parce que ça touche vraiment à la fois au modèle économique : qu’est-ce qu’il faut pour gagner de l’argent et, à la fois, comment je donne un logiciel libre qui soit assez utilisable pour que les gens l’utilisent et que, potentiellement demain, ils aient besoin d’avoir la version pro ?

Rémy Bertot : Nous n’avons pas une équation finie. Comme tu le dis, ça vient de plusieurs facteurs. Il y a aussi, par exemple, la compétition qui est facteur que tu n’as pas mentionné. Typiquement, si nous voulons faire en sorte que la version communauté soit plus attractive que celle de nos compétiteurs, il faut qu’on donne plus de trucs gratuits. C’est quelque chose qui a très bien marché avec Bitwarden qui a donné beaucoup de choses gratuites dès le départ et qui décollé plus vite que nous justement parce qu’il faisait beaucoup plus de gratuit. Son focus c’était vraiment, dans un premier temps, les utilisateurs type individuels, il avait bien compris que s’il y a de l’adoption au niveau d’une personne, potentiellement après il y a de l’adoption en entreprise. Il a vraiment un focus américain, c’est très orienté cloud. Quand ils consomment des logiciels les Américains les veulent en mode SaaS. Sa version open source, celle ??? [34 min 42], c’est vraiment un appel du pied pour que les gens aillent à l’intérieur de l’entreprise pour, après, que leur entreprise chaque la version pro.
Notre modèle est un peu différent. On veut vraiment que les gens fassent du self-hosting. On ne peut pas avoir la même stratégie.

Walid Nouh : C’est intéressant parce que si je prends une bonne partie des logiciels qui ont été créés récemment, on va dire à l’ère du cloud, pas les logiciels un peu legacy, une partie de leur modèle c’est d’attirer les gens vers la version cloud qui sont des revenus récurrents, ce qui permet de payer l’équipe de développement et tout ça et ensuite de pouvoir financer la version Community.
Là en gros, si je comprends bien ce que tu dis, le but pour vous c’est d’arriver à faire passer plutôt les gens sur la version pro, celle ???, plutôt que sur la version cloud, ou peut-être un mix des deux.

Rémy Bertot : Le but c’est que les gens qui ont des petites équipes – une petite ONG ou un petit projet – puissent utiliser la version Community et qu’ils n’aient rien à payer. C’est vraiment le but du jeu. Après, que des entreprises un petit peu plus matures, institutionnelles ou des gouvernements passent justement par la version payante.
Ce n’est pas intéressant pour moi de faire du support pour une PME où il y a un mec qui gère de l’IT, ça ne scale pas. Je vais avoir besoin de trop de ressources en termes de support. Par contre, quand j’ai une grande entreprise française qui déploie Passbolt sur tout son parc, avec une équipe IT compétente qui a choisi Passbolt parce que ça répondait à ses critères de sécurité et qui a complètement la maîtrise du hosting, là ça devient intéressant.
Il y a aussi une sélection du type de client qu’on veut. Ce n’est pas « on essaye tout et on prend ce qui ramène de l’argent ». On essaye quand même d’être efficaces parce qu’il y a des choses qui ne sont pas rentables, surtout dans le self-hosting.

Walid Nouh : Ça m’amène à la question suivante, on va finir par revenir sur la question des audits de sécu. Vous avez monté la boîte, vous avez fait la preuve qu’il y avait effectivement un modèle économique. À quel moment avez-vous levé des fonds ? À quoi ces fonds vous ont-ils servi ? Je dis cela parce que quand je bossais sur un projet libre on avait des gens qui avaient des grandes entreprises, type industrielles françaises ou autre qui venaient nous voir en disant « est-ce que vous avez fait des audits de sécurité ? » et on répondait « désolés, nous n’avons pas d’argent pour faire des audits de sécu ». Vous, en fait, directement dans le business modèle, l’audit de sécurité est un truc qui est budgétisé. À quel moment avez-vous fait une levée de fonds et à quoi a-t-elle servi ?

Rémy Bertot : En fait, à la fin du Fit 4 Start, il y a une autre ??? [37 min 33] qui est débloquée de 150 000 euros si je me souviens bien, si je ne dis pas de bêtise ; 150 000 euros ça couvre le salaire de trois personnes pendant un an, plus les frais de fonctionnement de la boîte. On est partis là-dessus et ça a servi à développer cette version commercialisable. On n’a pas levé directement.
Après, une fois qu’on a lancé cette version payante, c’est là qu’on a levé. On a levé avec des acteurs institutionnels. À l’heure actuelle, le plus gros actionnaire de Passbolt s’appelle Digital Tech Fund qui est un fonds public/privé souverain luxembourgeois. Vous avez La Poste, l’Université du Luxembourg, la Banque du Luxembourg qui ont cré un fonds d’investissement géré par un venture capitalist qui s’appelle Venture Capital, qui est un fonds luxembourgeois. C’est le plus gros actionnaire de Passbolt. On a donc levé avec eux et des business angels du Luxembourg, de France et de Belgique. En gros, on a fait un tour de table avec tout ce monde-là et, plus tard, d’autres fonds sont entrés également de Belgique et du Luxembourg. Ce sont des anciens réseaux de business angels qui ont grossi et qui ont fait des fonds un peu plus gros.
Là, maintenant, nous sommes de parler pour faire une nouvelle levée de fonds, que les gens appellent généralement série A, qui servirait justement à construire, à avoir des épaules un petit peu plus larges parce que, en face, nous avons des compétiteurs type 1Password ou même Bitwarden qui lèvent en centaines de millions d’euros. On a donc besoin, si on veut garder une place sur l’échiquier, de lever au moins avec un zéro de plus derrière pour pouvoir justement construire plus de fonctionnalités et avoir un outil commercial un petit peu plus costaud et ce genre de chose.
L’objectif c’est vraiment de garder ce caractère européen et ne pas prendre n’importe quel investissement. On veut travailler avec des gens sérieux qui comprennent l’open source, qui comprennent la cybersécurité, ce qui n’est pas forcément évident. II n’y a pas foule, mais on a de bons partenaires.

Walid Nouh : Si je reviens sur les audits, vous faites beaucoup d’audits sur toutes les nouvelles fonctionnalités ce qui n’est pas forcément le cas de tous les acteurs du secteur. Est-ce que tu peux nous en dire un peu plus sur votre philosophie qui garantit la transparence et la bonne qualité du logiciel finalement ?

Rémy Bertot : Comme tu l’as dit, le budget sécurité avait déjà une place dès le départ, même quand l’entreprise était tout e petite. On a eu la chance, en fait, d’avoir une grande entreprise d’automobiles en France, je ne peux pas dire le nom – vous vous faites une idée – qui a financé un audit de sécurité parce qu’elle voulait nous adopter en interne, qui a donc financé un premier audit de sécurité sans que nous ayons à verser quoi que ce soit. Ça a été notre premier audit de sécurité et après nous nous sommes tournés vers les partenaires que nous connaissions déjà avec Mailvelope, ??? [40 min 40]. qui sont basés en Allemagne qui ont fait les audits de ???, du protocole Ethereum, ils auditent pratiquement tout le monde, ils sont assez réputés. Nous ne faisons pas un audit pour dire qu’on a fait un audit. On a des gens qui font des audits de deux heures, six heures ! C’est superficiel. Généralement on demande à ??? de se focaliser pendant une semaine sur une partie du logiciel. Typiquement, par exemple, on va faire un audit qui est focalisé sur le mobile, ils auront une semaine avec plusieurs personnes sur les deux applications mobiles. Par exemple, quand on a sorti le système de ???, le système ??? et de clefs, pareil, ils ont passé une semaine dessus. Pareil quand on a sorti notre premier White Paper, ils avaient vraiment une semaine sur le White Paper pour dire ce qu’étaient les risques résiduels qui n’étaient pas bien décrits dans le White Paper.
C’est une des grosses différences qu’on a aussi avec les autres. Il y a une mention, en Europe, pour les programmes de passwords c’est de décrire les risque résiduels sur le White Paper. Vous avez des White Papers où tout le monde dit « ma solution est super bien ». Un White Paper ce n’est pas ça. Un White Paper c’est justement décrire ce que vous ne faites pas bien. Vous avez le droit de faire une partie sur ce que vous faites bien, forcément, vous avez écrit le système, mais il y a aussi toute une partie où ce sont les risques que nous ne gérons pas, donc toi, en tant qu’utilisateur tu dois faire attention. Typiquement, si j’ai peur que ce risque se réalise et si ce risque se réalise il y a mort d’homme donc ce n’est pas acceptable, il faut bien lire cette liste et bien la comprendre, donc faire en sorte que cette liste est accessible et compréhensible idéalement pas par des chercheurs en cybersécurité mais par des gens avec une expérience technique, c’est quelque chose qui est vraiment dans notre philosophie. Dès le départ nous avons voulu être transparents, on n’a pas voulu mentir. C’est aussi une façon de se préserver pour dire « le truc ne sera jamais parfait, en fait il n’y a pas de sécurité absolue. Si vous voulez telle fonctionnalité, vous allez devoir abandonner telle partie de la sécurité ». C’est cette balance-là qui est importante pour nous et, de la même façon, on fait des erreurs, que ces erreurs soient publiques et que les gens puissent prendre en compte « OK, il y a eu telle erreur, c’est ça l’impact pour moi, il faut que je réagisse de telle façon, il faut que j’en parle à telle personne ». Il faut que ce soit transparent. En fait, c’est dans la philosophie du Libre, pour moi c’est l’extension de cette philosophie du Libre.

Walid Nouh : Tout à fait. C’est quelque chose que j’ai toujours apprécié sur la communication à chaque fois que j’ai mis en place Passbolt, etc., ce qui n’est pas forcément le cas chez certains autres qui vont plutôt mettre un peu ça sous le tapis pour que ça ne se voie pas. C’est quelque chose que j’ai toujours apprécié. On parle souvent de logiciel libre, mais on ne parle pas forcément des standards ouverts. Pour le coup, les standards ouverts en sécu c’est quelque chose qui est hyper-important.
Une question que je me pose : est-ce que vous êtes acteurs, d’une manière ou d’une autre, dans de la normalisation ou de genre de chose ? Est-ce que vous travaillez justement sur l’évolution de protocoles ? Est-ce que vous êtes un acteur là-dedans à votre taille ou est-ce que, regroupé avec d’autres acteurs de la filière gestion de mots de passe, vous travaillez sur ces sujets ?

44’ 15

Rémy Bertot : Complètement

Récupérée de « http://wiki.april.org/index.php?title=Remy_Bertot_-_CTO_et_co-fondateur_de_Passbolt_-_Projets_Libres&oldid=106240 »