Remy Bertot - CTO et co-fondateur de Passbolt - Projets Libres

De April MediaWiki
Révision datée du 28 août 2023 à 18:43 par Morandim (discussion | contributions) (Page créée avec « Catégorie:Transcriptions '''Titre :''' Rémy Bertot - CTO et co-fondateur de Passbolt '''Intervenants :''' Rémy Bertot - Walid Nouh '''Lieu :''' En ligne - P... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à la navigationAller à la recherche


Titre : Rémy Bertot - CTO et co-fondateur de Passbolt

Intervenants : Rémy Bertot - Walid Nouh

Lieu : En ligne - Podcast Projets libres !

Date : 10 mai 2023

Durée : 57 min

Podcast

Page de présentation du podcast

Licence de la transcription : Verbatim

Illustration : À prévoir

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Description

Rémy Bertot est CTO et cofondateur de Passbolt, un logiciel de gestion de mot de passe (password manager) libre et open source.
Nous partons avec lui pour une plongée dans l'univers de Passbolt : découvrez la naissance du logiciel, sa communauté et son modèle économique. Rémy nous détaille aussi la gestion de la sécurité, les audits réguliers, ainsi que les défis à venir pour le produit.

Transcription

Walid Nouh : Bonjour et bienvenue sur Projets libres !. Je m’appelle Walid Nouh, je suis tombé dans la marmite du logiciel libre il y a plus de 20 ans. Libriste confirmé ou néophyte, venez découvrir avec moi les portraits des femmes et des hommes qui font le logiciel libre : communautés, modèles économiques, contributions, on vous dit tout.

Aujourd’hui, pour ce deuxième épisode, nous allons parler d’un logiciel que j’affectionne tout particulièrement, c’est un gestionnaire de mots de passe libre et open source qui s’appelle Passbolt, un logiciel que j’utilise depuis 2018. D’ailleurs, j’ai découvert qu’il était beaucoup plus ancien que je pensais en lisant les pages sur le site ; c’est un logiciel que je recommande à tout le monde à chaque fois que je passe dans une société. J’ai pensé à inviter Rémy Bertot qui est le CTO[Chief Technical Office] et un des cofondateurs de Passbolt après avoir vu une conférence au FOSDEM cette année, le gros salon de développeurs de logiciels libres qui se tient tous les ans à Bruxelles. Il a gentiment accepté.
Aujourd’hui nous allons parler avec lui de Passbolt, de la communauté, du modèle économique et de ce que veut dire développer un logiciel libre dans le domaine de la sécurité.
Bonjour Rémy, bienvenue sur Projets libres !. J’espère que tu vas bien.

Rémy Bertot : Oui. Je vais très bien. Merci pour l’invitation, Walid, ça me fait très plaisir.

Walid Nouh : Pour commencer, la première chose que je vais te demander : est-ce que tu peux te présenter pour nous expliquer un petit peu ton parcours et à quand remonte ton intérêt pour le logiciel libre ?

Rémy Bertot : Comme tu l’as dit je m’appelle Rémy Bertot. Je suis français d’origine et maintenant j’habite au Luxembourg depuis quelques années. Je suis ingénieur logiciel de formation. J’ai commencé mes études à Bordeaux et je les ai finies en Irlande. Mon parcours est un parcours assez classique de formation de développeur, ingénierie logicielle avec une spécialisation interaction humain/machine, donc utilisabilité, tests d’utilisabilité, ce genre de choses. Ce qui m’a toujours intéressé c’est la partie interface graphique, mais aussi comment rendre les logiciels plus accessibles en général. C’est pour cela que j’ai choisi ça.
Comme mes cofondateurs, je suis mordu d’une informatique depuis que j’ai eu la chance d’avoir un ordinateur. Mon exposition au logiciel libre vient de là, dès le départ, par curiosité, installer Linux sur le PC des parents, ce genre de choses.
Après, plus tard, on a commencé à travailler ensemble avec Kevin et Cédric ; Passbolt n’est pas notre première aventure, on avait fait des choses avant, notamment une agence de développement web juste après nos études, avec Kevin on avait 2 000 euros en poche et nous sommes partis monter une agence web en Inde basée sur les logiciels libres justement. On a pas mal développé avec les logiciels libres. On n’a pas développé des logiciels libres, on a pas mal développé sur des logiciels libres ou avec des librairies. Par exemple, on a bossé sur des logiciels qui faisaient du rendu vidéo, on a été exposés à ??? [3 min 05]. On a fait des sites web un peu dynamiques ; à l’époque jQuery c’était juste le début, on a fait des petits plugins jQuery, on a commencé à faire des petites contributions sur des formats PHP qui étaient juste émergents à l’époque, typiquement traduire la doc, ce genre de choses. Ça s’est fait assez naturellement en fait. Avec Cédric et Kevin nous étions toujours inspirés par les valeurs du logiciel libre et ce que ça représente, le fait que le savoir doit être libre et disponible à tous.

Walid Nouh : Au départ vous étiez, on va dire, utilisateurs de logiciels libres, vous n’étiez pas encore passés de l’autre côté de la barrière, mais dès le départ vous aviez la fibre entrepreneuriale.

Rémy Bertot : Oui. Faire quelque chose de nos mains était vraiment quelque chose qui nous attirait et, au final, après avoir fait du service, nous nous sommes dit « OK, pourquoi ne pas faire du produit ». On n’a pas commencé par Passbolt, on avait fait d’autres logiciels avant, un logiciel de e-learning qui s’appelait ??? [4 min 00] ; c’était une plateforme pour apprendre le français qui est en grande demande en Inde. On avait travaillé sur d’autres logiciels libres qui n’ont pas été publiés, qui étaient sous licence libre mais qui n’ont jamais été distribués. Après, plus tard, on a travaillé également sur des logiciels pas libres, par exemple on a travaillé avec Adobe ou le Parlement européen sur des logiciels propriétaires.
De fil en aiguille on s’est dit « OK, on va faire d’autres logiciels pour nous, pour l’agence web, justement pour régler les problèmes qu’on avait dans l’agence web qui étaient la gestion de mots de passe ». À l’époque il n’y avait pas grand-chose sur le marché, il y avait KeePass qui est toujours utilisé par des millions de personnes, à juste titre, c’est un projet qui est bien fait. La communauté de KeePass est assez fragmentée, il n’y a pas un seul acteur qui contrôle KeePass, ce sont vraiment plusieurs communautés, plusieurs versions. En fait il n’y avait pas la version web, il n’y avait pas la version où on peut partager, avoir de l’audit pour savoir ce que font les gens avec les mots de passe.
Typiquement, dans une agence web, vous allez avoir besoin de stocker des clefs SSH, des passwords FTP, ce genre de chose se faisait encore à l’époque, des logins sur des sites WordPress, peu importe. On avait besoin d’une solution qui soit partagée, qui soit libre. On a commencé à développer, en fait Kevin a fait une première version de ce logiciel dans les années 2012.

Walid Nouh : Sur le site il y a écrit « 2011, premier proto », j’étais vachement étonné, je pensais que c’était plus récent en fait.

Rémy Bertot : Cette première version du logiciel était utilisée en interne, n’était pas release en open source, elle était juste disponible à nos clients.
À l’époque je suis parti pour travailler ailleurs. J’en avais un peu marre de faire du service de sites, je suis parti travailler à Amsterdam pour Greenpeace International. J’ai travaillé sur un projet qui est devenu maintenant OpenSocial, je ne sais pas si vous connaissez, c’est un réseau social qui était en Drupal, ce n’est pas la technologie la plus évidente pour construire un réseau social ; c’est un logiciel qui est parti de chez Greenpeace et qui est devenu OpenSocial. En parallèle, Kevin développait Passbolt. On travaillait tous les deux, de notre côté, sur des logiciels libres.
Kevin a dit « j’ai envie de sortir de Passbolt en logiciel libre ». J’ai fait la plus grosse erreur qui a été de dire à Kevin « OK je veux bien, mais on refait depuis le début » plutôt que de fixer le logiciel existant qui avait des gros problèmes en termes de sécurité. J’ai dit « OK, on refait depuis le départ ». C’est pour cela qu’en fait il y a vraiment eu une version de 2012 à 2016 qui n’a pas été publique. On a lancé la v1 qui était déjà une v2 en public en 2016. C’était à peu près en même temps que Bitwarden qui est un autre logiciel open source de gestionnaire de mots de passe qui est développé aux États-Unis.

Walid Nouh : Les premières traces que j’ai trouvées sur GitHub c’est 2016. La question que je me suis posée : qu’est-ce qui vous a poussé dans le choix de le faire en PHP et qu’est-ce qui vous a poussé dans le choix de le faire avec une licence AGPL ?

Rémy Bertot : Dans un premier temps, le PHP c’était parce qu’on voulait que le logiciel soit self-hosting. Notre expérience dans les agences web, même dans les ONG, c’était que n’importe quel administrateur ou département IT a déjà vu passer du PHP, donc les stacks LAMP typiques sont assez résilientes, les gens ont vraiment l’habitude d’installer ce type de logiciel et de le maintenir. Donc l’idée c’était vraiment de partir sur une stack simple et résiliente, c’est-à-dire qu’il n’y ait pas beaucoup de choses qui changent dans l’optique de réduire le support derrière. On a choisi une technologie la plus simple possible. La métaphore que j’utilise souvent : si vous jetez Passbolt contre un mur, ça va ??? [ 8 min 40], il est pratiquement indestructible. On a des instances qui ont des années, elles n’ont pas de problème. C’est moins facile d’obtenir ce genre de résultat si vous prenez des technologies qui sont un petit plus cuting agequi sont, entre guillemets, un peu plus innovantes et moins rodées. C’est pour cela que nous sommes partis sur PHP à la base.

Pour la licence AGPL, l’idée c’est qu’on ne voulait pas faire ce que j’appelle du badware, c’est-à-dire du cryptoware. On ne voulait pas être là, fonctionner sur les donations. On a déjà vu avec des projets à nous, typiquement, par exemple, on a aussi contribué sur Mailvelope, un logiciel qui permet le chiffrage de données, avec Kevin et Cédric on a également beaucoup bossé sur ce logiciel. Il a un modèle un peu différent, il fonctionne sur la base des donations. Ce n’est pas un modèle économique qui m’intéressait parce que ce n’est pas prédictible. La plupart des donations viennent, en fait, de fondations, il ne faut pas se leurrer, la plupart des individus ne donnent pas à l’open source, ce sont soit des grosses entreprises, soit des grosses fondations, les grosses entreprises c’est assez rare, il faut vraiment avoir une adoption de dingue pour pouvoir avoir un modèle comme ça et généralement vous êtes dépendant de ces grosses entreprises, de une ou, si vous êtes chanceux, deux grosses entreprises qui, du jour au lendemain, peuvent vous laisser tomber. Pour les fondations c’est pareil. On l’a vu avec Mailvelope qui était financé par Open Technology Fund. Le jour où Trump est arrivé au pouvoir c’est le genre de truc où il a coupé direct et, pendant quatre ans, Mailvelope n’a plus de donations de ce côté, il faut chercher de nouveaux donateurs. Pour moi ce n’était pas vraiment un modèle économique qui m’intéressait, je voulais quelque chose qui soit sustainable dès le départ, que les gens comprennent qu’il y a de la valeur, donc il faut financer le truc pour que ça tienne la route.

La licence AGPL permet de faire ça, c’est-à-dire que le logiciel est sous licence libre. On a un service qui est disponible, les gens peuvent modifier, etc. Si quelqu’un veut rentrer en compétition avec nous, il faut qu’il rentre en compétition avec les mêmes règles du jeu. Si, par exemple, j’avais mis le logiciel en licence MIT, quelqu’un serait capable de reprendre le code de Passbolt, faire une version ??? [11 min 05] et ne rien devoir à personne. Alors qu’en AGPL, cette personne va être obligée de redistributeur le code source à ses clients. Donc là on est à peu près sur le même pied d’égalité.
Au niveau de la licence on a une petite subtilité : on n’autorise pas l’utilisation de la trade-mark Passbolt. En gros, vous avez accès au logiciel, vous pouvez le changer, mais vous n’avez pas le droit d’utiliser le nom de Passbolt. Si vous voulez le changer, et le redistribuer, il faudra changer et le distribuer sous un autre nom, vous ne pouvez pas vous servir de la visibilité de Passbolt pour construire votre écosystème.
Je trouve que c’est juste dans le sens où vous pouvez venir concurrencer Passbolt, faire un fork avec un autre nom et créer votre propre modèle économique en créant une meilleure version de Passbolt et ce ne sera pas exclusif, on pourra bénéficier de cette relation tous les deux. On l’a déjà vu dans le passé, typiquement des relations entre Red Hat et la communauté CentOS ou d’autres distributions Linux, entre Ubuntu et d’autres versions d’Ubuntu. C’est un modèle qui fonctionne assez bien, mais il faut que tout le monde ait les mêmes règles du jeu. Typiquement, nous ne voulions pas que AWS ou Google prennent l’API et fassent leur version. L’AGPL permet aussi de se protéger un peu de ce côté-là.

Walid Nouh : Là nous sommes en 2016. En gros, vous publiez la première version, les premières sources sur GitHub. Ce n’est pas parce que tu publies tes sources sur GitHub que tu as une communauté, que ton logiciel est connu. Avant vous travaillez sur une agence web et vous publiez votre première version, là je suppose que c’est quand même un certain défi. Je ne sais pas quel était votre passé dans la sécurité pour développer un logiciel comme Passbolt qui, en plus de ça, a certaines particularités, fonctionnalités assez avancées au niveau sécurité. Comment avez-fait ? Vous vous êtes entourés de personnes très compétentes en sécu, vous l’étiez déjà vous-mêmes dans l’équipe ? Comment ça s’est passé en fait ?

13’ 10

Rémy Bertot :

Récupérée de « http://wiki.april.org/index.php?title=Remy_Bertot_-_CTO_et_co-fondateur_de_Passbolt_-_Projets_Libres&oldid=106230 »