CR DES ATELIERS DU DIMANCHE

Lien vers le tableau des ateliers du dimanche

Libérons nos Android Open Source

Où en êtes vous avec Android ?

Yanngui : 3ème android depuis 2015, sur du materiel durci, plutôt sans carte sim, pas racorder au réseau pour déjà investiguer. Volonté de ne pas mette de compte google

une étape importante a été F-Droïd, même sans connaitre les retours étaient qu'on pouvait leur faire confiance. Malheureusement il manquait des applis.

Ensuite découvert aurora store : une sorte de google store avec moins de pistage

Esuite découverte d'Exodus privacy : gros boulot de collecte et d'information sur les autorisations et les trackers, avec une note correspondante.

Interrogation profonde : à partir du moment où on utilise un OS pré-installer, comment faire confiance à l'OS et aux applis par dessus. Donc déjà revenir à l'OS. Mais pas de BIOS, donc pas vraiment d'install. On parle de ROM qu'on pose sur une partition (nom donné à l'image pré-installé - équivalent d'une image disque), qui vient s'appuyer sur une device tree. Sensation d'une différence d'architecture avec le PC au niveau de cette partie.

Puis installation d'AOSP - andorid opensource project : libre dont le développement à été ouvert à la communauté. Mais on peut rajouter plein d'applications fournies par les fournisseurs qui elles viennent avec plein de trucs privateurs, potentiellement pas toujours facile à désinstaller. le logiciel Universal Android Debloater https://github.com/0x192/universal-android-debloater permet plus de désinstallation / déactivation via ADB (Android De-Bugging) que paramètres > Applications

Premières expériences de tout nettoyer

Ensuite lineageOS : un bel article sur linuxFR : https://linuxfr.org/news/installer-lineageos-sur-son-appareil-android#toc-questce-que-le-mode-root

Quelles sont les applis libres, comment proposer du libre ? F-Droïd. voire aurora store

Note : c'est une utilisation de google play en anonyme, potentiellement google pourrait décider de ne pas le laisser

F: passer sur /e/OS : plutôt content. Question sur comment faire des installations quand on vient de l'avoir.

sort de la marque à la pomme et souhaiterait passer sur un systme libéré. Mais beaucoup de temps pour prendre en main tout l'écosystème . Intéressé par d el'accompagnement, des installs

utilisateur récent de smartphone, a commencé par tenter d'installer lineage sur un téléphone qui devait être supporté et en fait non

Ensuite installation de lineageOS : super mais le souci des montées de version majeure où il faut tout réinstaller était un peu dérangeant. Puis passage /eOS sur fairephone.

Même remque que F : la crainte des installs et d'en faire une brique

Y: 2 soucis à régler qi sont dur au début :

1) Le bootlader permet booter mais parfois compliqué àactiver (combianisaon de touches.....

2) installer TWRP à la pace du recovery. Et TWRP et adb+fastboot vont permettre cette install

Encore en dumphone : téléphone basique et non smartphone. Mais risque d'y passer car limité même en espace disque. Et accessibilité en sms

planet computer qui peut être installé en multi boot et qui pourrait convenir mais rupture de stock

Besoin de tester les systèmes également en terme d'accessibilité. craintes sur l'écosystème android, et sur ces nouvelles méthodes différentes, encore plus fermé et parfois même plus infantilisante dan sla prise en main

Autre possibilité : installer debian sur cette machine.

Y: le souci c'est que ce n'est pas uné volution du pc, en terme d'architecture matériel. Mais pas le cas et donc pas beaucoup

En accessibilité : le souci est que tout le monde conseille la marque à la pomme. et du coup si il n'y a pas d'outil qui fonctionne aussi bien ça devient difficile car les autres personnes s'en sortent avec cette marque.

iphone fonctionne pour de vrai niveau accessiblité, et du coup c'est ça ou rien, pas vraiment d'alternative. Au delà de la pression social, pas d'autre choix. Donc difficile pour une position libre

installation récnte d'un lineage sur une marque bien compatible. Mais se pose la question pour un téléphoen d'un proche d'une marque plutôt fermé dont il va être compliqué de changer.

Y: la marque / le modèle sont quelques choses de déterminants dans la libération possible du smartphone. Ceci est lié au device tree fourni ou pas par le constructeur. Si le constructeur ne publit n'a pas la volonté de le publier, ce sera impossible d'installer

plutôt pas smartphone et passer smartphone par le boulot. Et du coup n' a pas pu faire le choix.

Plutôt préférence pour le smatériels reconditionné. ou alors fairephone mais le pri n'est pas négligeable

a commencé par marque à la pomme, jailbreaké pour commencer à avoir quelques libertés

Puis très google : téléphone google

Puis fairephone et installation /e/OS. OK sauf à un moment souci avec un bootloader

Reste quand même un problème avec /e/OS car certaines applis ne sont pas désinstalles puis passer sur tout nouveau fairephone avant même que /e/OS soient biensupportés. A éussi mais rencontré parfois des difficultés et challenge technique pour s'en sortir.

devrait pouvoir repasser sur lineage prochainement

Le matériel

Avant tout consulter :

- [https://wiki.lineageos.org/devices/](https://wiki.lineageos.org/devices/)

- [https://doc.e.foundation/devices](https://doc.e.foundation/devices)

- [https://www.sustaphones.com/](https://www.sustaphones.com/)

avant de choisir un matériel.

Parfois possible de récupérer du vieux matériel.

Important : voir la liste du matériel compatible sur /e/OS ou lineage selon ce qu'on cherche. Bien faire gaffe au numéro de modèle pour être sûr de la compatibilité. Nombre de mainteneur intéressant également

Il faut tout d'abord activer le mode dévellopeur et verifier la communication entre le PC et l'ordiphone via ADB et Fastboot.

Sur la page de /e/OS, tous les détail sur l'installation , surtout la première étape pour installer TWRP.

Selon la marque soit via logiciel spécifique constructeur

soit logiciel générque dispo ous linux : fastboot qui upload via l'usb TWRP dans la partition recovery. TWRP remplace le recovery proprio et permet de download la ROM libre dans la partition systeme.

fastboot et adb sont les deux outils qui vont permettre d'installer sur les partitions.

ça reste compliquéet demande du tout : mais des gens bossent dessus

autre site intéressant : XDA forum : le forum des collaborations pour installation

il y a aussi encore d'autres OS : d'autres variantes, d'autre sOS (certains ont été abandonné comme ubuntu touch, mozilla avait tenté firefox mobile) et il y a d'autre sinittives

Les distribitutions linux essayent de faire de l'OS por téléphone complètement différente d'android. Les grosses distribs avaient leur distro mobiles : mobian...

Purism a aussi participé à ses intiatives pour avoir un téléphone qui propose ces systèmes d'exploitation

Autres retours

En plus de F-Droid aussi possibilité d'installer des paquets .apk sans prise en charge des MAJ.

Ces quand même un domaine vaste avec beaucoup de cas. il faudrait d'organiser : par forum, par install party en lige où on se partage et s'entraide

aux JDLL il y avait des install party d'e/OS

et demandaient en amont d'annoncer ses modèles. petit changement de pratique et d'organisation par rapport aux installs

quelques expériences via des gull qui s'y essaieraient

Lutte contre l'obsolescence. Récup ou reconditionné

/! un thread sera probablement lancé sur le forum

Note d'information et de présentation sur le fairphone : démarche positionnement... la réparabilité et les défis (stock de rechange...)

voir aussi la coopérative commow pour location et réparabilité pour durée de vie max des fairphnes

motorola avait essayé un téléphone réparable et modlaire

Conclusion : Organisons nous pour continuer travail au long cours : ouverture d'un fil sur le forum CHATONS : https://forum.chatons.org/t/liberons-nos-android/6299

Démo «comment bien sécuriser ses mails»

Démonstrateur web permettant de comprendre SPF, DKIM et DMARC et DNS

https://git.hadoly.fr/Tandem/spf-dkim-dmarc-demo/src/branch/dev

Pré-requis : ordinateur, docker, accès internet, notion technique.Git et docker installé sur le PC.

Durée : 1h

Lieu : Réfectoire--(canapé)

Basé sur un outil développé par l'Afnic.

Vidéo de démonstration : https://youtube.com/watch?v=JscV_B5GhZ8 (YouTube)

L'outil se déploie avec Docker.

Cloner le dépôt sur son PC et suivre les indications dans le README.

Prendre la branche dev. La branche main est celle de l'afnic qui n'est pas maintenue.

Journée du conseil scientifique de l'AFNIC : Ouvert à tout le monde avant les vacances d'été.

1 fois par an et souvent avec Bortz

Difficulté : Problème du spam. Bill Gates a annoncé régler les problèmes de mail en 2 an . Echec. Brevo (ex sendinblue) envoie 250M mails/jour en moyenne.

Le Frontend : Appli web accédée par le port 8080.

3 profils

• Expéditeur
• Destinatiare
• Attaquant
  Un serveur DNS (Bind) fait autotité sur la zone locale où est installée l'application.

Création de 3 IP en réseau local. 1 adrese IPV4 et 1 adresse IPV6.

Création de 2 sous-réseaux

Le SPF indique les adresses IP légitimes pour envoyer des mails. Syntaxe stricte. Les SPF sont limitées à 10 entrées. Penser à limiter le nombre d'entrées u maximum.

Possibilité de mettre des noms de domaine à la place des IP.

Le dernier champ précise la policy.

Le champ MX définit le serveur mail. Champ A pour l'adressse IPV4 et AAA pour l'adresse IPV6.

Outils de tests de configuration mail

SWAKS : Controle de la bonne distribution des mails.

scanme.email

mail-tester.com

Scanme.

RFC 7208 SPF : https://www.rfc-editor.org/rfc/rfc7208

Quels moyens de communication sécurisés pour les militant.es

On commence par une liste des moyens de communications importants à abordés :

• Messagerie instantanée

• Mails

• Audio-Video (Visioconf, ...)

• Documents (pads, fichiers, etc.)

• Publication d'infos (hygiène numérique collective, anonymisation)

• hygiène numérique personnelle (stockage d'info perso de camarades, etc.)

• dégooglisation des téléphones (faire attention, procès du 12 décembre, fait d'avoir signal retenu à charge)

  • Celebrite, sniffeur de téléphones, marche pas sur OS custom comme GrapheneOS
  • On va pas se pencher sur les personnes qui ont un modèle de menace "très sérieux". Formations spécifiques déjà existantes.
  • Utilisation d'outils chiffrés : permet un effet blackblock donc plutôt ok
  • Retour sur les détails de l'affaire du 12 décembre.
  • Tempérer les usages en fonction du modèle de menace (en fonction du type d'action, "citoyen modèle" sur tel)
  • Rappel de la montée du fascisme.
  • Sens à conseiller des outils chiffrés si utilisent un smartphone googlisé qui expose ?
    • Dépend du modèle de menace.mail
    • En France, pas d'exploitation connue de tout ce qui se passe sur les téléphones googlisés
    • Mais éviter le clavier Google quand même
    • Fort risque d'être sur écoute ou qqn dans la masse ?
  • risque n°1: se faire saisir le tel en manif
    • pas la prise de controle à distance
  • conseils pour demain, dégooglisation n'est pas un truc faisable dans l'urgence.
  • rappeler qu'apporter son tel n'est pas toujours pertinent. Sa présence sur certains lieux était déjà un élément à charge.
  • autre élément suspect: téléphone éteint pendant les manifestations. plutot le laisser allumé, mais à la maison.
  • aller en manif avec un dumbphone vide suspect aussi en cas de GAV.
  • clean son téléphone avant d'aller en manif peut être cool (par ex. enlever signal ou autre app "suspecte")

• Recentrer la discussion : de quelle situation / modèle de menace on parle ? quels outils/pratiques adaptés ?

  • Ex : une personne infiltrée qui enregistre plus probable qu'une écoute à distance.

• Faisons un effort sur la question de déconnexion.

  • on peut pas tout contrôler sur les outils numériques
  • Apprendre à faire avec le papier, le courrier

• Qualification du modèle de mence :

  • 1e élément : protéger ses contacts

• Question : Sur une utilisation peu risquée (pas de risque d'écoute et de malware), quels outils à recommander dans les 4 grandes catégories listées

  • Conseil : Désinstaller Signal avant manif.
  • ou paramétrer messages éphémères sur Signal (+ courte durée si infos + sensible) → mais courte durée devient une métadonnée si contats à durée plus courte.
  • Jeter les gens d'une boucle Telegram leur enlève l'historique.
  • Ripple permet d'actionner des choses sur un tel en cas d'urgence (désinstaller Signal, envoyer un message)
  • Duress avec 2e code d'urgence qui wipe le téléphone
  • Wasted (même utilisation, mais pas que)

• Messagerie Instantanée

  • Signal surement meilleure solution (apps cités avant suspectes ++)
  • Proposer des applis de communications exclusives au contexte militant (signal peut avoir un usage perso)
  • Proposition à l'époque : Session, fork de Signal mais sans numéro de tel, décentralisé etc. (Peut-être un moyen de séparer communications normales et communications chaudes)
    • Bemol session : modèle économique critiquable mais en soi osef
  • Mention des profils Androïd (un profil "normal", un profil "militant" à supprimer avant action)
  • Matrix :
    • pas besoin de num, fédéré.
    • Pas besoin d'installer l'appli sur tel. (interface web et/ou ordi).
    • Chiffrement (attention, pas systématique sur groupes publics).
    • Potentiellement moins suspect que Session.
    • Quand même moins accessible. (ex. : a pu prendre 3h avec un certain public, mais peut prendre "5min" quand on a l'habitude)
    • Possibilité d'être moins sécurisé dans des cas (réactions pas chiffrées, pas de messages éphémères, peut oublier d'activer le chiffrement)
    • Option mise entre parenthèses ici, peut cependant être ok dans un contexte syndical, avec un suivi
  • DeltaChat
  • autre alternative : utiliser une messagerie rattachée à une application de jeu (détournement de finalité)
    • autre exemple : partager une boite mail et n'écrire que des brouillons qui ne partent jamais.
    • sécurité par l'obscurité, vaut ce que ça veaut
  • SimpleX : audité, open source, hébergeable. gros travail sur la protection des métadonnées, facile à installer, mais bof niveau access

• Mails

  • Proton non : chiffré mais si les flics demandent ils donnent le mail de récup.
  • Rise Up oui (création de liste par co-optation, nouveaux mails fermé en ce moment)
  • Repenser au modèle de menace : sans trucs hard, proton reste pas mal. donne les données connues : IP de connexion.
  • Rise up a annoncéêtre prêts à ne pas respecter la loi (oups on a effacé les mails)
  • FastMail bien aussi dans le genre Proton
  • SnailMail, courrier postal
  • sms, appels (!! données en clair, passe par les serveurs opérateurs donc accessible facilement, historique dispo sur au moins 1 an) (métadonnées des appels et sms (qui quand) très accessibles par la police)
  • App silence pour chiffrer les sms (-- tout est stocké sur le serveur: on connait toujours les contacts, toujours accès à l'historique, ++ pas le contenu)
  • Reco : proton mail utilisé qu'avec Tor. reco mail poubelle en mail de récup
  • Galère de bien sécuriser les mails. Un détail peut otut compromettre. Éviter les mails en général.
  • Pas même usage, mail plutôt pour faire passer des infos générales (mailing list)
  • GPG ? → pas accessible du tout.

• Pads / fichiers

  • Cryptpad (permet présentation, tableur, formulaire, ...)
  • Privatebin (effacement après visionnage, conversations temporaires)

• sur les documents etc : déterminer niveau de menace (au départ, on se sent safe et on va sur google et ça dérape) (conseil -> go direct sur cryptpad)

  • rebondissement sur la culture de sécurité, le niveau de sécurité d'un gpe est défini par le maillon faible

• Hygiène personnelle : gestionnaire de mot de passe

  • Des contenus de formation existent !

• Audio/vidéo

  • Dans Signal, on peut protéger son IP des autres (pas le cas sur Jitsi par ex.) (!! à configurer)
  • Matrix : utilisation de jitsi pour les visio
  • Matrix, Signal (jusqu'à 40 personne) : au dessus de 20 personnes c'est compliqué
  • Big blue button, centralisé
  • Opentalk : récent mais foss et chiffré.
  • Solution dévelopée par Element (Element Call - https://call.element.io ) (intégré aux clients dans le futur)

• On trouve des formations sur internet qui parlent de sécurité access à touste

• Services de streaming (Owncast) plus adaptés par apport à un zoom. Une personne parle et fait la prez, les autres intéragissent dans le chat

Présentation des outils technostructures – salle principale 11h30

Association qui a pour but de développer des outils d'organisation pour collectifs

https://technostructures.org

https://matrix.to/#/#technostructures-fr:matrix.org

kazarma - Bridge Matrix-ActivityPub

Différents modes : bridge privé (bridge uniquement les comptes du homeserver) / bridge public (bridge tout Matrix – totalement opt-in côté ActivityPub)

Fonctionnalités forward activités publiques (dans les 2 sens), messages directs

Testé avec Mastodon, Pleroma, Mobilizon, Peertube, Lemmy

Release prochainement

https://technostructures.org/projects/kazarma/

https://gitlab.com/technostructures/kazarma/kazarma

https://matrix.to/#/#kazarma-fr:matrix.asso-fare.fr

Posca - Client Matrix avec fonctionnalités sociales

Client Web/PWA

4 types de rooms : chat, forum, microblogging, media

Plutôt expérimental

https://posca.pm

https://gitlab.com/technostructures/posca/posca

https://matrix.to/#/#posca:matrix.asso-fare.fr

Scrutin.app - Vote cryptographique

Basé sur Belenios

Scrutins publiques (partage lien/qrcode) ; scrutins privés (invitation par mail)

En développement

https://demo.scrutin.app

https://scrutin.app

Mutualiser l'envoi de mails refectoire 11h30

https://forum.chatons.org/t/mutualisation-smtp/6160

Quels sont les problèmes rencontrés ?

Orange méchant

Refus sur envoi en quantité. Sentiment que ça ne marche pas.

Blocage (blacklistage) des IP

Ignorance de la stratégie des opérateurs.

• rate limit à la réception, pratiqués par certains (orange par exemple) et si c'est le cas c'est différent pour chacun

Refus de tous les mails par Microsoft, pas de rebond avec explication du refus, Besoin de savoir si le mail est bien délivré.

Sur Laposte, certains ails arrivent et d'autres pas. Ressayer plus tard. Rate limit ou antispam.

Solution : modifier le mail jusqu'à ce qu'il passe.

Souvent complexe de comprendre d'où vient le problème.

URL dans le texte ne correspond pas à l'URL écrit.

Utilisation de trop de capitales

Solution changer d'IP. Prendre un VPS ailleurs juste pour Microsoft

VPN de Chezmaison sont systématiquement blacklistés par Microsoft.

Idem avec un range Hetzner pour Paauerette.

Possibilité de dire que pour tel domaine il fait passer par tel relais. Bohwaz utilise avec Exim.

(Qui est membre de Gitoyen ? Faimaison. Globenet)

Solution : ne pas se servir du serveur pendant un moment pour que son IP disparaisse du blacklistage.

Proposition de solution commune ? Réserver un AS pour l'envoi de mail chez les CHATONS. Mais tous les oeufs dans le même panier.

Blacklistage arrive toujours à un moment ou à un autre.

Sondage : qui a du monitoring pour vérifier le volume d'envoi ?

• Personne a d'automatisme.
• Feedback loop : services chez GMail, Microsoft, SFR. Permet d'avoir une notif quand un destinataire te place dans ses spams. À prendre comme une désinscription, pour éviter d'augmenter son score auprès des gros fournisseurs.

Sondage 2 : Qui a un entete List-Unsubscribe pour se desinscrire sur les mailings list, newletters, envois en masse. List unsunscribe ? Personne (enfin si bohwaz)

Qui fait de l'envoi de masse (plus de 5 destinataires) ? Oui mais occasionnel pour la plupart.

Laurent : Délai les envois de masse, fait des pauses entre des petits lots.

Serveurs n'aiment pas que le SMTP ouvre une connexion, la ferme, la réouvre juste après... Mieux vaut faire transiter par un serveur SMTP local que juste une lib applicative.

Qui conserve la liste des adresses blacklistées globale à toutes les listes?

Suppression du mail au niveau du service qui envoie les mails chez certains chatons.

Pas au niveau du service SMTP. C'est faisable.

Beaucoup de chatons n'ont pas les compétences spécifiques au mail. Pourra compliquer si on fait de la mutualisation.

Risque de problème de vie privée si liste globale de'adresse blacklistee à l'ensemble des chatons.

Marsnet : 500 boites et 300 NL. et le pb c'est pas de nettoyage par les utilisataires.

Du coup ont fait une FAQ de bonnes pratqiues à leurs adhérents. Url ? info.marsnet.fr

• https://www.etat-services.marsnet.org/dotclear/index.php?post/2019/09/27/Eviter-les-problemes-de-mail
• http://www.etat-services.marsnet.org/dotclear/index.php?post/2019/10/09/Maintenance-des-listes
• Bonnes pratiques pour eviter que vos mails soient consideres comme des spams ou rejetes
  • http://www.etat-services.marsnet.org/dotclear/index.php?post/2019/10/08/Comment-eviter-que-vos-mails-soient-consideres-comme-des-spams-ou-rejetes
    Propose de mutualiser nos FAQ et tuto

Architecture : Avis de Pomme : Faire une structure dédiée. Pas de responsabilité partagée.

Mutualisation uniquement sur les envois de masse ou pour tous les mails ?

A priori sur tout. Important d'avoir un volume important régulier et pas des pics d'activité.

Tathoo : idée de s'associer aux FAI de la FFDN dans cette mutualisation ?

Alain : quel périmètre ? Est-ce qu'il fautêtre chaton, ffdn ? à qui s'adresse ce service ?

Alain : désaccord avec la position de Pomme : une personne qui fait ça toute la journée = maltraitance.

Les bonnes pratiques sont importantes mais insuffisantes.

Dans l'idée avoir un service intermédiaire géré par les CHATONS qui surveillerait la qualité et le volume des envois.

Le service sera le méchant en amont des services des destinataires et qui bloquera le CHATON avant que ce ne soit les hébergeurs mail qui le fassent.

Granularité à réfléchir. Si c'est un service SMTP, création de 1 user/mdp par CHATON ? par service ? par user réel ?

Bohwaz avait une idée fédérée. Moins dangereux (pas de SPOF) mais plus complexe à implémenter et gérer.

Problématique de le centralisation et l'accès à tous les mails sortants.

Question de l'existence de tels outils actuellement ?

Existence d'un CHATON qui propose un service : Omailgw par retzien. Fait de la surveillance, mais pas du côté mutualisé. Omailgw fait uniquement de l'analyse de log (a posteriori). Pas de surveillance a priori.

Proposition recadrage, on va pas régler le problème ajd. Alain prêt à faire l'animation d'un groupe de travail.

Financement : Paheko prêt à financer. Hadoly aussi, aussi prêt à servir de structure gestion financière.

Autre acteur qui souhaite devenir CHATONS : ouvaton, envoie bcp de mails.

(⌨️ avec la latence on se recoupe pas mal ⌨️)

Alain : omailgw peut quand même être une première étape. Projet au long court, exploitation et maintenance.

Proposition créer un GT consensus.

ce serait un "firewall du mail" !

Question de savoir s'il y a une urgence critique à mettre en place une telle mutualisation ?

Dans l'idée pas forcément, mais constat qu'on passe bcp de temps sur ces questions, donc serait intéressant de se libérer ce temps (en essayant d'y trouver enfin une solution).

Aussi on peut être tenté de se limiter à proposer du mail du fait de la complexité avec nos petits bras (/pattes).

Discussion / Tension fédération / centralisation.

Quel serait le rôle d'un serveur central ? Réputation suelement ? Envoi ?

constitution de liste,mutualisée d'adresse incorecte, ou ayant un haut scor de rejet

qui serait consulté par les chatons

Point d'attention si un composant dysfonctionne dans un tel logiciel.

Si base de données des blacklists down, est-ce qu'on envoie tout ? Est-ce qu'on envoie rien ?

Suggestion de penser la consistance du système suffisamment en amont.

Retour sur la question du nom du GT, un nom positif ? notion de propreté ?

Setop : faudra commencer petit. écrire un plugin de serveur SMTP ou réécriture ?

Bohwaz : Contre proposition d'éviter à devoir écrire un plugin pour chaque logiciel SMTP. Mais plutôt une brique SMTP qui se met en amont d'un vrai serveur SMTP et laisse passer ou non (avec msg d'erreur) le mail et choisit à quelle IP redirigier.

Améliorer la lisibilité des messages d'erreur.

Paheko prêt à mettre 10000€ de dév (avec des conditions sur les technos retenues, qu'elles fassent consensus).

Qui intéressé par faire le dev ?

Keo du Cloud Girofle sûrement intéressé par le dev.

Auto-hébergement multi-sites avec Proxmox barnum 11h30

Présentation de l'infra en cours d'installation de Raoull sur Proxmox

Proxmox VE : VM + conteneurs lxc

Proxmox backup serveur : backup incrémental, dédupliqué et chiffré avec namespace et dataspace.

   * - Possibilité de restaurer un fichier unique.
   * - Possibilité de lier avec d'autres backup serveur
   * - Possibilité de lier avec Proxmox VE

Infra Raoull : auto-hébergée sur 3 sites

• auto-hébergé sur des machines hébergées dans des tiers-lieu de la métropole lilloise
  • • Un r520 et des nuc (mini-pc reconditionné de l'administration publique) tous installés en proxmox
  • • installation de 2 nuc par site avec PVE. Un pour Raoull et un pour la structure qui héberge + 1 Nuc qui héberge un proxmox backup serveur.

L'objectif c'est de pouvoir remonter un service en cas de problème sur un site (~1-3h pour remonter l'infra à la main). Utilisation du serveur de backup de remonter le service.

Présentation du schéma de l'infrastructure de Raoull :

• backup sur plusieurs site et possibilité de remonter un service sur un hyperviseur rapide.
  • Chaque site se backup localement sur le proxmox backup serveur et chaque nuit, les backups serveurs se synchronisent entre eux.

Les proxmox backup serveur connaissent les clés de chaque autre serveur pour pouvoir restaurer depuis un autre serveur.

Chiffrement d'un serveur Proxmox

   * - Installation d'une brique raoullienne
   * Besoin de chiffrer les machine car installées dans sur un lieu non sécurisé. Proxmox ne propose pas de chiffrement sur l'OS de base.
       * - Installation d'un debian chiffré sur une partition LVM + LUKS
           * - Installation de debian sur LVM chiffré. 
           * - Demander de ne prendre que 20Go à l'installation. 
       * - Installation de proxmox au dessus de debian
           * - Complexité pour pouvoir faire du thinpool ([https://pve.proxmox.com/wiki/Storage:_LVM_Thin)](https://pve.proxmox.com/wiki/Storage:_LVM_Thin)). 
           * 

   * - Dropbear
       * -  Installé via paquet debian et installé dans le initramfs
       * - Lancement d'un serveur ssh avant le lancement de debian pour rentrer la clé de déchiffrement 
       * - Pas le même fingerprint que le ssh de debian
       * 

Permet de répondre au modèle de menace : Vol opportuniste du serveur et revente du disque dur

Gestion des VLANs

Possibilté de faire le réseau, firewall dans Proxmox. Mais choix non fait pour ne pas que dépendre de Proxmox.

Utilisation des VLAN dans un cœur de réseau (brique non libre : microtik)

• Accès à proxmox dans un VLAN de management (très bien documenté dans Proxmox -> VM aware) et un VLAN pour chaque VM.

Backup : Quelle taille de conteneur max ?

• -> pas de grosse taille

• mais méga grosse VM de 1T

• Attention avec PBM : refait le checksum de chaque fichier avant chaque backup donc très long

Visite découverte du Hackerspace 11:30

Mobilizon 15h00 réfectoire

présentation des intervenantes

tour de table des participant⋅es

Retour sur les usages et la connaissance de mobilizon par chaque participant

Retour de quelques actions sur le projet, connaissances

Retour de quelques difficultés

marsnet est la pour en savoir plus sur mobilizon pour ses membres qui sont des association militantes

Retour sur une tentative de déploiement utilisation dans une commune, pour l'instant non effective

Présentation, nouveautés v5 et évolutions souhaitées

Présentation d'une version V5

beta.keskonfai.fr

chaton kahuri (à vérifier)

traduction disponible en nombreuses langues

cette nouvelle version reprend d'ancien dev et inclue également quelques nouveautés

revoir le scroll horizontal > grille d'affichage des événements, avoir les évents en page d'accueil,

• Mobilizon permet de créer des sites web (tel que la page Mobilizon.fr), sur les instances ouvertes tout le monde peut s'inscrire.

• Création d'un groupe : titre, description, adresse postale, banière, logo, paramétrages (public, privé par lien)

• Création des annonces, des posts (mini blog), des événements, des ressources (pj)

• Nouveautés : corrections de bugs des tags (plus de perte/disparition), point d'intéret (POI) et adresses (ADDOK) (service géocodage longitude lattitude vers adresse et inversement)

• événement public ou pas.

• lien externe pour inscription depuisautre site

• événement sans inscrit : ne plus mentionner : perdonne d'inscrit/personne n'y av

• personnaliser son instance : logo, vignette, favicon (gestion dans menu admin)

• mise en évidence de l'heure sur les événements

• événements sur plusieurs jours : meilleures gestion de la plage temporelle

• gestion des activités : quand un événément est créé sur + de 30j (entre début et fin) il est visible dans l'onglet Activités et plus dans Événements

• pour l'instant pas sur les événements récurrents même si certains pourraient être des activités

• MobilizonEventImporter (service d'import mobilizon) : importer ses événéments dans son mobilizon (https://import.mobilizon.fr))

source possible ics, meetup, event bright :facebook dans les cartons

Pas de retour satisfaisante de facebook pour permetre cet import "pas d'homologation fb"

Permet d'importer dans n'importe quelle instance (identification OAuth)

• Test de l'importation d'un ics dans l'instance mobilizon, il est possible de créer une routine qui créera et mettra à jour directement les événements.

• aujourd'hui si un événément est démarré, il n'est plus visible dans l'agenda alors qu'il peut être en cours. avec la version 5 il continue d'être visible dès lors qu'il n'est pas terminé

• dans V5 la page d'accueil affichera l'agenda avec les événéments à venir et plus l'affichage des derniers événements créés

• localisation, filtres personnels sur la page d'accueil : sont gardés en mémoire d'une page à l'autre

• changement des filtres de localisation lorsque l'on tape une localisation : on reste sur localisation lors des recherches d'événements, avant ensuite d'avoir les filtres qui peuvent s'appliquer

Questions :

• peut-on modifier les catégories par instance ? travail prévu. Précision : pas aux utilisateurs de les gérer mais bien les instances.

• peut-on changer l'API ADDOK ? normalement oui

• peut-on envisager interopérabilité avec CAlDav (ex : nextcloud) ? ça doit dépendre du paramétrage de l'instance et du rafraichissement. Normalement, si on intègre l'ics on peut paramétrer une récurrence de rafraichissement

• Peut-on supprimer les destinations pour éviter les récurrences auto ? oui

• Est-ce qu'on peut désactiver activités ? oui, tu peux même modifier le seuil (30j par défaut). Si ce n'est pas paramétré sur l'instance l'onglet n'est pas visible

• Peut-on avoir un affichage des groupes plus condensé ? oui en mode grille ça pourrait être envisagé

• des ateliers aoutour de l'UX/UI sont ils prévus ? De nombreuses remarques sur la mise en page pourraient être discutées ? Oui il y avait quand même un peu d'UX/interopérabilité dans le financement mais pas mal de sujets. Et il faudrait aussi des gens qui fassent. Comment s'organiser aussi pour ça ?

• Est-ce simple de participer pour l'UX ? => interface vueJS et TailwindCSS. Elixir uniquement pour le backend

• Est-ce que dans Mobilizon on pourrait autohéberger le moteur de recherches ? oui (utilisation du moteur/outil/protocol ????)

• Serait-il possible de faire des listes de groupe Mobilizon qui partagent nos valeurs, notre géographie, nos activités ? sous-forme d'url ? Possibilité de rejoindre des listes publiques, de créer des groupes ou des sous-groupes

• Est-ce que tu peux relayer un événement d'un groupe qui n'est pas dans la même fédération ?

• Peut-on follow des utilisateurs ? On peut suivre des groupes mais pas d'utilisateur

• Est-ce que d'autres contributeurs avaient été solictés et notamment certaines comunautés qui avaient montré leur motivation en allemagne : Oui il y a plusieurs contributions. Les équipes allemandes aveient été pas mal solicités pour la première série des évolutions

La liste des évolutions à venir est dans le framagit. Pour la version 5.1.0 (voir paragraphe plus bas)

Retour d'expérience :

• Autorisation participations anonymes : lorsqu'une question est posée impossibilité de répondre à cette question (question privée) ; le participant est anonyme même pour l'organisateur de l'événement

• librevent : extension de navigateur qui allait directement sur fb

• l'interface est adaptée pour l'accessibilité : sobriété, simplicité, contrastes

• certaines personnes ne mettaient pas bien le lieu. On avait aussi des résultats différents selon les recherches en mots clefs ou en lieu. (ce qui est normal, le lieu n'est pas orcément en mot clef)

• gestion des filtres et des groupes : quelques comportements très peturbants dans les résultats de recherches. Amélioration de la recherche par un moteur de recherches décentralisé (annuaire officiel avec une centaine d'instance qui sont indexées régulièrement) Quand on fait une recherche on interroge ce moteur central qui est hébergé chez framasoft. Ce n'est pas un problème de l'instance qui héberge. Possible amélioration en apportant une clarté sur où on recherche (instance locale ou moteur de fédération)

  • Est-ce qu'on pourrait avoir unegestion de sous domaine de sous instance mobilizon (ex 44.mobilizon) qui renvoie vers les événements du 44 ? Ou alors une sous-uri /44 ? pourquoi pas en dns ou via le serveur web nginx ? (mais cela était surtout pour combler les problèmes de filtres)

• url simple d eliste de groupe partageable reste géniale

  • suivre des centres dintérêts, de valeurs ? fédérer des zones fines de groupes sur les autres instances. Faisait partie des souhaits mais on n'y est pas encore

  • Pouvoir promouvoir les événements d'autres ou pouvoir lier des groupes entre eux, co-organisation d'événements. Pouvoir faire des groupes amis, favoris.

  • cas d'usage : permettre au groupe "danse à Nantes", "concerts à Lille" de relayer les évènements pertinents créés hors de ces groupes

  • les vieux groupes inactifs arrivent en haut des pages. Trier les groupes pas dernière activité plutôt que par date de création croissante

• terme "modérateur" perturbe, pas cohérent par rapport aux fonctionnalités. Simple sémantique. Renommer "modérateurs" => "animateurs"

Pour les évènements : permettre à l'auteur de s'ajouter en participant

Lui permettre d'ajouter manuellement des participants ou un nombre de participants (pour gérer la jauge si des personnes se sont inscrites par un autre biais).

Permettre aux participants d'ajouter un nombre d'accompagnants (+1, +2, etc.) pour gérer les jauges

Mobilizon est accessible, facilement utilisable pour une personne avec handicap visuel. Continuer comme ça, ne rien casser !

Feuille de route

Feuille de route pour la prochaine version : https://framagit.org/framasoft/mobilizon/-/milestones/63#tab-issues

Atelier confidentiel 15:00 salle principale

Diacamma

15h00 - Barnum

Représentation du logiciel Diacamma Asso proposé au JDLL 2024 à Lyon

Mobilizon suite 16:00 réfectoire

Droits applicables aux hébergeurs 16h30, salle principale

Nouveautés de Paheko 17:00 salle principale

Paheko logiciel créé par Bowahz en 2010-2011. En 2018-2019 de nombreuses structures utilisaient le service/logiciel (qui était un peu laissé de côté). Pour financer, les assos ont été poussées à donner des sous pour le développement du logiciel.

Ajd, 90000€/an de budget. Au début, une asso à 300€

Avant la structure qui gérait était petite. En décembre 2023, l'association Paheko est créée avec Margaux et Pauline.

L'asso prend les dons et les salaires.

Membres dirigeants et payés. → asso doit rester en gestion désintéressée → dirigeants peuvent pas être payés plus de 3/4 SMIC mensuel (sauf si l'association gagne plus de 200 000 € / an).

Conseillés pas la scop finacoop pour la gestion financière.

Trois rémunérations différentes : Margaux via un groupement d'employeur (= gestion par une structure tierce qui mette à disposition la personne, cela implique un surcoût). 1 rémunération par droit d'auteur pour bohwaz (de manière rétroactive en se basant sur tout le travail de développement fourni avant l'existence de l'association).

Pauline (graphisme design) payée en autoentrepreneuse à la mission

nouvelles fonctionnalités

Avant, c'était possible de faire des plugins PHP mais complexité à les intégrer à paheko.cloud (disparité de qualité de code).

Nouveau type : des modules. Système de template HTML, avec possibilités SQL. Pas besoin de savoir prog en PHP. Bcp plus safe (pas d'exec arbitraire, moins de problème de sécu), plus simple à créer.

Plein de modules créés et disponibles par défaut.

Meilleure GED (gestion de document). Intégration avec Collabora. Et collaboration avec Collabora.

Synchronisation des documents de son asso en Webdav (compatibilité avec les applis Nextcloud/ownCloud). Ce travail a donné lieu au développement de Karadav.

Permet seulement le partage de fichiers.

Pourquoi pas onlyoffice ? → Bcp moins ouvert dans l'esprit

Collabora participe au dev de libreoffice.

Là où OnlyOffice, une partie des outils ne sont pas tous libres. Et la gestion des fonds n'est pas très transparente.

Techniquement, avec Collabora le document reste côté serveur, et OnlyOffice charge le fichier en local.

Onlyoffice fait pas d'ODT, format microsoft plutôt.

Fonction de recherche dans le contenu des documents. Le texte est extrait par Paheko pour faire de la recherche. Pour l'ODT, similaire à l'utilitaire odt2txt. Pour le PDF, utilisation de µPDF.

Versionnement des fichiers.

Remarque : ça remplace presque Nextcloud.

-> oui, dans Nextcloud le cloisonnement se fait par utilisataire, là où avec Paheko c'est prévu par association.

Chaque membre est utilisateur. Peut se connecter si dans le bon groupe.

En tant que CHATONS, peut-on proposer du Paheko ?

chatons@paheko.cloud pour des questions

Question sur la gestion des paiements sur paheko.cloud ?

C'est prévu, actuellement nettoyage de la base de code pour préparer l'arrivée d'un tel module.

4 backends de paiement : helloasso, stripe, molly et stripe/virement

New : Gestion des notes de frais avec justificatifs.

Parcours de la note : acceptation par comptable, création d'une créance au profit de ce membre.

En cours : messagerie instantanée, chat d'équipe style slack

Question : trajectoire sur l'avenir ?

En cours :

- refonte du code d'envoi de mails pour facilité l'usage de Paheko comme outil de mailing pour les assos et accepter l'ajout de pièce jointe

- suppression/anonymisation automatique des fiches des ancien·nes adhérent·es

- gestion des factures et devis

2 prochaines années :

- intégration des paiements. gérer des besoins plus spécifiques que ce qui est possible par helloasso à terme.

- intégrer les bouts de code custom utilisés par paheko.cloud dans Paheko

Pour tester Paheko :

- sur paheko.cloud possibilité de se créer un compte et l'exporter par la suite pour l'utiliser sur une autre instance. gratuit avec un exercice comptable et sans mail. pour plus, don de 5€/an, recommandé à 0.4% des recettes de l'association.

• • demo.paheko.cloud pour un test supprimé quelques jours plus tard

Contributeurices ?

→ Pas envie, pas doué pour gérer des gens, pas envie d'avoir qqn qui donne son avis sur comment faire. Veut pas devenir chef de projet, veut coder, notamment sur des trucs fun et pas rentables.

Un audit de sécurité a-t-il déjà été fait ?

Ça fait parti des projets en cours. Un audit de code est prévu en 2025 par une équipe qui bosse autour de l'amélioration de l'écosystème PHP. Cette équipe facture chère la journée, donc premiers audits spéciques à la getsion des fichiers. Et déjà mise en place d'un bug bounty depuis mars.

Habitats participatifs et/ou collaboratifs 17:00 réfectoire

reviens des rencontres des habitats participatifs + sur un lieu collectif

Thatoo : monte une coopérative d'habitant (les toits partagés)

pas tous l'historique. Début en 2012 : invitation à constituer un groupe d'habitants pour un HP. Envie de vivre ensemble à Lorient en milieux urbain. -> prendre le lieu trouvé en milieu urbain. Conviction écolo.

Max 24 habitants. Aujourd'hui 12 logements. Constitution initiale en association. En 2017 choix de la coopérative d'habitants. -> beaucoup de frein de la part des institutions, et banques qui ne connaissent pas et disent que c'est de la merde (compliqué, pas dans le modèle de spéculation immobilière)

accompagnés par un bailleur social constitués en S3C. Bailleur social et coopérative devaient démarrer en mars 2020 en même temps que le bailleur social. construction à démarré en 2024 (+30% coût de matériaux). Thatoo arrivé en 2021. Beaucoup de modification depuis le début. Production en thermique et photovoltaique (50% des besoin). Intergénérationnel studio -> T4 (dès le début).

Pour habiter nécessité de prendre des parts sociales : 18% du coût du logement sauf studio.

• Demande à rester 5 ans min dans le logement (pas gravé dans le marbre), sauf studio.

Beaucoup d'évolution du groupe :

• • départs
• • divorce
• • décès
• • nouveaux arrivants

Espaces communs :

• • Salle commune ouverte sur le quartier
• • buanderie
• • atelier (ouvert sur le quartier aussi)
• • 2 chambres d'amis
• • jardin 450m2
    -> dérogation 1/2 place de parking par logement

Plein d'obligations (ex stupide) :

• • sèche serviette dans chaque salle de bains

Montage financier : projet à 3Millions €

- 18% parts sociales

- prêt locatif social de la coopérative (beaucoup) sur 40ans

- subventions

==> loyer similaire à de l'occasion sur Lorient

Si un habitant part, la coopérative s'engage à rembourser dans les 5ans des parts qui seront revendues à un nouvel habitant.

==> fin des travaux été 2025

==> reste 1 T2 libre mais pas le temps de traiter les nombreuses candidatures.

Réunions mensuelles :

• • moment convivial puis traitement des points + GTs
    • et aussi plein de temps en petits groupes pour faire vivre la communauté

Alice : dans un habitat collectif (Antenne) (SCI + association)

• 23ha dont 18ha de forêt.

• apport de SCI : 1 part chacun et apport en compte courant d'associé. Chaque ajout, définition de règles particulières.

• Antenne lieu d'habitat et d'activité. Avant, projet "la collective " à l'initiative d'un couple qui a envoyé un mail à tous ses contacts en novembre 2016

  • • premières réunion début 2017
      • • 1 réu 1 jour par mois puis 1we / mois
      • • de 25 personne vers 11 adultes (et 8 enfants)
      • • 2 ans de discussion puis 4 ans de visite de lieu. Se connaissent au moins depuis 4 ans

• Vie du collectif complètement différente depuis que le lieu a été trouvé. En constant réajustement depuis 2 ans. Notamment du fait du quotidien.

  • • phase(s) de rêve, phase(s) de lune de miel et phase(s) désillusion
  • • habitants temporaires (1 tiny et 1 caravane en ce moment)

• personne ne vient du coin, enfants en bas age, moitié créent une activité financière. Heureuse d'être là et voit évoluer lentement.

• • Première année, beaucoup de tests puis élaguage envie de faire pareil pour la deuxième année.

  • • nécessite lacher prise et elasticité

  • Choix des activités proche de la carto des idées initiales.

  • Création d'un gouvernement pour l'antenne avec des ministères (pognon, accueil, propagande et cotillon, santé, secrétariat général, dégat des eaux, dedans/dehors [usage des lieux]…)

  • 1 batiment communs + 2 batiments avec habitations + 1 batiment chambres d'amis

  • Point d'orga hebdomadaire (dimanche soir), partage des voitures, bouffe gérée collectivement (pas de cuisine dans les espaces privés).

  • Point d'orga bihebdomadaire (mercredi soir) : 1 semaine habitants, 1 semaine asso.

Margaux : dans un lieu collectif/participatif (Moulin bleu) (SCI + association)

Très très ressemblant à l'antenne

Ovni dans le monde de l'habitat participatif

• • groupe initial de 19
• • grosse mise en commun
• • flou dans les objectifs

Projet très cher malgré l'existant.

Génèse il y a 8ans, une grosse colloc à la maison bleue en région parisienne. Des écolos qui veulent vivre autrement et prennent une maison qu'ils mettent en commun. En 2018 quelqu'un dit "je me barre rapidement" -> 1 an de recherche puis installé dans le lieu

Septembre 2018 : début recherche

           * 2019 : lieu trouvé
      mars 2020 : signature

      Recherche de lieu éprouvante, seulement 7 personne qui s'installent sur le lieu. 

SCI pour la simplicité, 850 000€ (400 000 fond propre), 13ha, ancien moulin et turbine hydro-electrique, 2500m2 d'habitation, une longère habitable en l'état.

Confinement salvateur :

• 20 personnes se retrouvent pendant 3 mois sur place. (y compris des gens qui n'ont pas investits)

Grandes idées :

• • énergie
• • accueil
• • maraichage
• • boulange

Coopérative Oasis : promeut un modèle coopératif : "pas sage". Propose prêt et accompagnement.

Beaucoup de discussions sur le modèle économique et rapport à l'argent :

• • 1 personne 1 voix
• • inégalité des parts sociales (en rééquilibrage)

Aujourd'hui :

- habitants ont 2 parts chacun

- soutient non habitants max 1 part

Tout est géré part l'association.

Besoin d'un modèle qui autorise des gens sans grand moyen à intégrer le collectif.

• Modèle repose sur 2 personnes avec gros salaire, les autres sont au RSA et lancement d'activité. Pas très sain. --> gros questionnement sur le financement et envie très forte de rester sur un accueil à prix libre.

Contribution mensuelle fonction des revenus.

Prise de conscience d'être les riches d'autres personnes.

Mise en place d'un protocole d'accueil mais chaque cas est unique et remise en question (pas forcément facile) de chaque situation.

Des gens sont partis pour certains fachés. Aujourd'hui il reste 13 personnes (dont 5 des 7 originelles)

Gouvernance :

1 réunion tous les soir au début (confinement)

1 réunion par semaine (lundi soir) maintenant

1 tableau de tâches, chaque personne se met au moins sur un tache par jour

1 demi réu / mois pour les habitants (sujet de fond) soit réu d'asso soit 2à2 (discussion avec des gens avec qui on n'a pas l'habitude

orga en groupe de travail (difficile à mettre en place au début -> difficile de déléguer et lacher prise sur des sujets)

GT : 

• accueil
• énergie
• tplm -> travaux pour la maison…

10% à 80% de personnes qui voient des psy entre 2020 et 2024 -> positif + psy de groupe

Ressources documentaires

Présenté lors des rencontres nationales de l'habitat participatif 2024 https://rnhp2024.fr/?Accueil le guide de la production immobilière participative est une étude réalisé par une agence spécialisée en socio et communication. Pas encore dispo en ligne.

https://manafactory.fr/habitat-participatif-guide-de-la-production-immobiliere-participative/

https://www.habitatparticipatif-france.fr/?AccueilHPF