Carnet de notes

Auteur/autrice : Éric

Je recrute

J’en ai déjà parlé il y a deux semaines, je recrute pour des gens que je connais.

J’ai désormais deux nouvelles offres, toutes deux très tech, pour des seniors.

La première est pour une petite équipe sur Lyon, plutôt orientée back-end mais il faut avoir envie de toucher de l’infra jusqu’à la webapp en React.

La seconde est à Paris, rôle dédié front-end dans une équipe d’une dizaine et pour une boite qui ne devrait pas laisser indifférent.

L’offre de recrutement d’une équipe complète est toujours ouverte et il n’est jamais trop tard pour faire un signe mais, si ça vous intéresse, ne tardez pas.

Comme ce sera toujours le cas, je publie tous les détails, sur l’organisation interne, les locaux, le nom de la société, la fourchette de salaire. L’idée c’est de trouver la bonne personne pour le bon poste, pas de jouer à colin-maillard.

Vous recrutez et on se connait, au moins de loin ? Je peux vous proposer quelque chose de complémentaire aux offres habituelles.

Venez me voir pour en discuter. Je vous expliquerai ce que je fais et comment.

25 octobre 2019
Self Encrypting Disk
Ce soir j’ai joué avec les SED sous Linux. Ce fut laborieux et la documentation est assez rare alors je pose ça ici si jamais ça sert à quelqu’un d’autre.

Chiffrer ses données

Sur mon NAS j’ai des données que je ne veux pas perdre, mais aussi des données que je ne veux pas voir fuiter n’importe où en cas de cambriolage.

Jusqu’à présent j’avais une partition principale en clair pour le système d’exploitation, et une partition chiffrée via LUKS pour les données.

Avantage : Ça fonctionne et je peux monter ma partition à distance pour peu que le NAS ait redémarré suite à un incident électrique.

Désavantage : Parfois le système démarre mais n’a pas ses données. Il faut que je pense à redémarrer certains services (oui, ça aurait pu être ajouté dans un script, je ne l’ai simplement pas fait).

J’ai aussi la désagréable impression que les copies se trainent comme il y a 20 ans alors que le disque est rapide. Il faut dire que j’ai un ancien Celeron J très faiblard et on a beau me dire que le chiffrement ne consomme quasiment rien, mes explorations me laissent penser le contraire.

Les SED

Les SED sont les self encrypting drives. Quasiment tous les SSD modernes sont des SED OPAL.

Le firmware d’un SED sait chiffrer et déchiffer toutes les données à la volée. Il suffit d’initialiser le disque à l’aide d’une pass-phrase. Lui va aller déchiffrer une clef AES 256 bits à l’aide de cette pass-phrase, et ensuite l’utiliser pour chiffrer ou déchiffrer toutes les entrées sorties.

C’est totalement transparent pour l’OS et ça ne consomme aucun CPU. C’est même tellement transparent qu’il le fait même si vous ne lui demandez pas. « Chiffrement désactivé » revient en fait à chiffrer et déchiffrer avec une clef AES stockée en clair, mais on chiffre et déchiffre quand même toutes les données qui transitent (gros avantage : On peut activer le chiffrement à la volée quand on le souhaite sans avoir à toucher les données : Il suffit de chiffrer la clef AES qui était auparavant en clair).

Pour chiffrer le disque d’amorçage il y a une astuce. Le disque a en fait une zone d’amorçage cachée où on charge une image dite PBA (pre-boot authorization). Quand le disque est verrouillé, c’est cette zone qui est vue par la machine et qui est donc amorcée. L’image demande la pass-phrase, initialise la clef AES, désactive la fausse zone d’amorçage et relance la machine comme si de rien n’était. Là aussi c’est totalement transparent, l’OS n’y voit que du feu et a l’impression de travailler avec un disque standard, amorçage inclus.

Sécurité

Les SED ont très mauvaise réputation depuis qu’une étude de sécurité a trouvé que de nombreux constructeurs ont implémenté tout ça avec les pieds (genre : la clef AES n’est pas chiffrée et en manipulant un peu le firmware on peut y avoir accès).

Certains en tirent « il ne faut pas se reposer sur les SED » mais c’est un peu plus complexe que ça. Le standard OPAL 2 est tout à fait solide d’un point de vue théorique. Il fonctionne d’ailleurs de manière très similaire à ce que fait LUKS sous Linux. Il faut juste que ce soit implémenté avec sérieux.

Il se trouve que, justement, la même étude dit que les Samsung EVO récents ont une implémentation sérieuse. C’est ce que j’ai choisi, ça me va tout à fait.

Il reste des attaques possibles, mais rien lié à mon modèle de menace (un simple cambriolage par des gens venus piquer le matériel informatique pour le revendre). La NSA, elle, trouvera de toutes façons moyen d’accéder à mes données que j’utilise LUKS ou un SED.

Configurer un SED

Je n’ai trouvé que deux documentations utiles, celle de ArchLinux et celle de l’utilitaire sedutils. On part d’une installation OS existante, on peut activer le chiffrement après coup.

Activer libata.allow_tpm

Première étape, pour jouer il faudra activer libata.allow_tpm. Sur Debian la seule manière qui m’a semblé fonctionnelle est d’éditer /etc/default/grub et d’ajouter « libata.allow_tpm=1 » à la variable d’environnement GRUB_CMDLINE_LINUX_DEFAULT puis exécuter update-grub2 et relancer la machine.

Installer sedutils

Je n’ai pas trouvé de paquet Debian. J’ai téléchargé la distribution binaire Linux à partir du site officiel et ai copié sedutils-cli dans /usr/local/sbin. Vous aurez besoin qu’il soit dans le PATH plus tard.

Préparer une image PBA

Les documentations proposent de récupérer une image officielle. Chez moi ça n’a pas fonctionné. Le disque est bien déverrouillé mais ensuite la machine ne savait plus identifier l’UEFI du disque pour lancer Linux.

J’ai du créer ma propre image. C’est de toutes façons ce que je vous recommande parce que les images officielles ne gèrent que les claviers US.

Après avoir installé les paquets binutils, net-tools et console-data, télécharger le projet rear puis suivre ce commentaire :
```
sudo apt install -y binutils net-tools console-data

# aller à la racine du projet
cd rear 
echo "OUTPUT=RAWDISK" > ./etc/rear/site.conf
sudo ./usr/sbin/rear -v mkopalpba
# l'image est dans ./var/lib/rear/TCG-OPAL-PBA/*/*.raw
```
Préparer une clef USB de récupération

Je suis comme tout le monde, j’avais sauté cette étape initialement mais elle vous sera indispensable pour retrouver l’utilitaire sedutils et pouvoir réinitialiser le disque en cas de problème (l’image d’installation de Debian non seulement n’a pas sedutils mais ne lance de toutes façons pas son kernel avec libata.allow_tpm, donc vous ne pourrez rien en faire).

Là vous pouvez prendre l’image rescue 64 bits officielle et initialiser une petite clef USB au cas où.
```
gunzip RESCUE64.img.gz
# /dev/sdb est ma clef USB
dd if=RESCUE64.img.gz of=/dev/sdb
```
En cas de difficulté ça permet de désactiver le chiffrement, voire de réinitialiser un nouveau mot de passe si rien d’autre ne fonctionne (si la désactivation se fait sans perte de données, la réinitialisation vous fait repartir avec un disque totalement vierge).
```
# Désactiver le chiffrement
# Remplacer passphrase par votre passphrase et /dev/sda par votre disque
sudo sedutil-cli --disableLockingRange 0 passphrase /dev/sda
sedutil-cli --setMBREnable off passphrase /dev/sda
```
Configurer le disque

Désormais on peut suivre la procédure standard, en utilisant l’image PBA obtenue plus haut :
```
# Confirmer que le disque est utilisable
sudo sedutil-cli --scan
# Remplacer passphrase par votre passphrase et /dev/sda par votre disque
sudo sedutil-cli --initialsetup passphrase /dev/sda
sudo sedutil-cli --loadPBAimage passphrase imagePBA.raw /dev/sda
sudo sedutil-cli --setMBREnable on passphrase /dev/sda
sudo sedutil-cli --enableLockingRange 0 passphrase /dev/sda
```
Éteindre et rallumer la machine (pas juste redémarrer) devrait suffire à vous demander la passphrase. Une fois celle-ci saisie, la machine redémarre encore. Oui c’est long mais c’est normal.

Chez moi on me demande deux fois la passphrase et j’ai donc deux reboot au lieu d’un seul. C’est très long, agaçant. Si quelqu’un voit quel peut être le problème, ça m’intéresse. Entre temps je fais avec : Je ne devrais pas redémarrer tous les quatre matins.
18 octobre 2019
Dis tonton, pourquoi est-ce si cher un indépendant ? – v2

La précédente grille datait de 2013. Elle tourne encore mais elle me gêne. Certains chiffres étaient estimés à la hache. Rien que la fiscalité était approchée avec un 46% non justifié.

Depuis j’ai refait mes grilles quand je me suis lancé, puis les ai améliorées suite à mon bilan l’année dernière. Je ne peux pas les partager vu la quantité d’informations personnelles mais j’ai tenté d’en extraire une version plus neutre.

La voici donc.

Il y a trop de paramètres pour pouvoir tout résumer mais voici quelques points notables :

Le freelance ne compte pas toujours son logement mais c’est un point significatif dans le calcul. Un espace de co-working peut vite monter à 250 ou 300 € par mois. Ceux qui travaillent de chez eux occupent une pièce. Au début on pense que ça ne coûte rien mais quand on déménage on compte bien une pièce dédiée en plus pour ça, à laquelle il faut ajouter la quote-part de charges, d’électricité et de chauffage.

Le statut d’auto-entrepreneur est vite super intéressant même quand on se paye du matériel et du mobilier. Sur les autres statuts il faut facturer bien plus cher pour avoir la même chose à la fin du mois.

Rogner sur le matériel et les frais ne change pas la donne. Même 1 000 € , quand c’est amorti sur plusieurs années et donc dans les 500 jours facturés, ça n’est pas significatif. Ne mégotez pas sur votre confort.

17 octobre 2019
La moitié de l’abonnement de transport — deux ans après

Le pire est le « on rembourse la moitié de votre abonnement de transport ». Presque éliminatoire. Si respecter le minimum légal est vu comme un avantage propre à être mentionné, je ne suis pas certain d’avoir envie d’entendre le reste. […]
La moitié de l’abonnement de transport

Ce billet a deux ans et je n’ai pas grand chose à y changer. C’est lui qui guide mes offres aujourd’hui, le fait de décrire le travail et le contexte plutôt qu’une liste de technos.

Le milieu a lui un peu changé. On trouve toujours ses mêmes recruteurs qui cherchent « un développeur pour un éditeur logiciel » mais qui refusent de te dire qui avant de te faire dérouler ton CV, et qui à la place se vantent d’avoir un babyfoot une mutuelle ou une sortie annuelle.

Les espaces communautaires commencent par contre à mettre des règles un peu plus strictes. Précision obligatoire du salaire, de l’entreprise, de la présence ou non de télétravail, etc.

On a aussi quelques recruteurs qui fonctionnent différemment. J’ai au moins Shirley Almosni Chiche en tête. On y voit des annonces claires avec des noms et des chiffres, sans détours, du détail sur le fonctionnement interne des équipes et sur les conditions de travail. J’aimerais bien que d’autres prennent exemple.

C’est probablement elle qui m’a décidé à mettre moi aussi en avant le nom de l’entreprise d’accueil. Je suis agacé quand les autres ne le font pas, il est normal que j’en tire moi-même les conséquences. Bref, merci.

J’ai justement une proposition en cours un peu hors des habitudes, avec un « bring your own team ». Profitez-en !

15 octobre 2019
Quelques chiffres sur l’héritage

Dès que je parle d’héritage on me parle de solidarité intergénérationnelle. J’en parle souvent avec des gens qui gagnent bien leur vie et ils ont des préjugés largement discutables de ce qu’est la réalité de l’héritage.

Voici quelques chiffres extraits de la dernière étude patrimoine et transmission intergénérationnelle de l’INSEE (2015) :

40 % des sommes héritées sont inférieures à 8 000 € ; 66 % sont inférieures à 30 000 € ; moins de 13 % dépassent 100 000 €

Première conclusion : Les héritages réels sont bien loin des fantasmes. Quand on discute d’un héritage évalué à plus de 100 000 € on parle déjà de gens extrêmement privilégiés.

Le second fantasme est sur la solidarité intergénérationnelle.

Coup de théâtre :

78 % des héritiers ont plus de 50 ans. Ils sont même 30 % à avoir plus de 70 ans.

Sachant que nous avons les retraités parmi les plus aisés d’Europe, autant dire qu’on est très très loin de la vision d’Épinal où on aide les jeunes générations à partir avec le fruit du labeur de notre vie.

En pratique non seulement on hérite peu, mais en plus ceux qui héritent le font quand ils n’en ont plus besoin, à la fin de leur vie.

Je sais, vous allez me dire que quand même, les plus âgés sont parfois dans une misère incroyable.

L’INSEE nous donne justement des découpages en fonction des catégories socio-professionnelles ou du niveau de patrimoine des héritiers.

Près de 70 % de mes 13 % recevant au moins 100 000 € appartiennent déjà aux trois déciles les plus favorisés en terme de patrimoine.

Le chiffre vient de recoupement de répartitions par déciles n’est pas précis mais l’ordre de grandeur est bon.

Surpris ? moi pas. Tout va dans le même sens : Les héritages bénéficient principalement aux plus favorisés. On ne parle pas de solidarité intergénérationnelle mais de perpétuation de la richesse par droit de naissance.

Mieux. La même étude nous dit que ce sont aussi ces catégories aisées qui ont déjà reçu des dons intergénérationnels importants par le passé au cours de leur vie (logique, l’optimisation fiscale est l’apanage des plus riches). Ils ont donc encore moins besoin de cet héritage.

Les plus pauvres, eux, reçoivent les montants les plus faibles.

Les deux premiers déciles en terme de patrimoine reçoivent à 67 % moins de 8 000 €. Moins de 20 % de ces ménages ont reçu un des héritages à plus de 100 000 €.

Inversement les deux déciles les plus favorisés en terme de patrimoine reçoivent à plus de 30 % des héritages de plus de 100 000 €.

Bref, impossible de faire un tel croisement de façon fiable mais les jeunes ménages de moins de 30 ans avec un patrimoine inférieur à la médiane française et recevant un héritage suffisant pour avoir des droits de succession à payer… doivent probablement se compter sur les doigts de la main.

Juste et légitime l’héritage ? Laissez-moi rire un coup.

En ligne directe, il faut hériter de plus de 1.8 millions d’euros par personne pour être fiscalisé à la même hauteur que les revenus du capital (flat tax dite « Macron » à 30%) et ça restera dans tous les cas bien en deçà de l’impôt sur les revenus du travail.

Ce qui est formidable c’est que malgré tout ça on continue à moins fiscaliser l’héritage que les revenus.

Mise à jour : J’ai écrit depuis un ajout du point de vue des donateurs, c’est du même acabit.

14 octobre 2019
Je recrute une équipe

Parfois j’aide au recrutement pour des amis ou des boites que j’apprécie. Ici c’est pour rejoindre un responsable produit avec qui j’ai travaillé par le passé et que j’apprécie je cautionne.

Cette annonce ci j’y tiens aussi parce qu’elle me permet de faire ce que je n’ai pas vu ailleurs : Recruter une équipe et des gens qui se connaissent déjà.

Bref, je recrute 3 développeurs ou développeuses, dont un ou une lead.

Vous pouvez évidement venir seul·e mais profitez-en si vous avez envie de postuler ensemble avec des anciens collègues avec qui vous vous entendez bien, ou des amis avec qui vous parlez de travailler ensemble un jour depuis longtemps. C’est l’occasion.

Le second point dans la création d’une équipe c’est que c’est à vous de mettre en place les organisations et l’ADN qui vous semble pertinents. Il y a une feuille blanche et si vous savez ce que vous voulez et pourquoi, on vous écoutera. Profitez-en.

📑 : La refonte complète d’un outil de GED existant qui a des utilisateurs dans le public et dans le privé.

🗺 : Lyon sud, sur les transports en commun, mais une équipe en télétravail complet hors de Lyon est aussi envisageable.

🏢 : Une PME de 70 personnes, établie depuis des années sur son domaine.

👥 : Pour constituer une équipe de 5 à 7 avec un responsable produit (personne super avec qui j’ai déjà travaillé), une responsable UX, et potentiellement un alternant dans le futur.

🔧 : Serveur d’API en PHP – Symfony. Application cliente en Typescript – Angular. Hébergement Azure.

💶 : C’est toujours évidemment adaptable suivant qui candidate mais les fourchettes imaginées sont respectivement de 35 à 45 k€ pour un·e dev confirmé·e, environ 3 ans d’expérience, et 45 à 55 k€ pour un·e lead.

La description plus complète est sur E3D5.

Vous m’aideriez en faisant circuler autour de vous (je valorise fortement les personnes dans mon réseau de confiance ou recommandées par quelqu’un de mon réseau de confiance).

N’hésitez pas à me contacter pour plus d’informations.

7 octobre 2019
Tous mes impôts

Parfois le sort s’acharne. Sur une période assez courte j’ai vu trois cancers lourds dans mon entourage plus ou moins proche. Ce sont des choses qui brassent.

Je peux vous dire qu’à ce moment là, savoir que deux sur les trois aient dû lancer des cagnottes en ligne pour payer leurs soins, pour juste continuer à vivre, ça fait réfléchir.

Ce n’était pas le cas du troisième : Savoir que mes proches avec un cancer n’ont pas besoin de lancer un appel à dons pour payer leurs soins, ça justifie toutes mes cotisations sociales, tous mes impôts.

J’irai plus loin : l’hôpital gratuit, l’école gratuite, les secours gratuits, les soins courants accessibles, le RSA et le minimum vieillesse, malgré toutes les critiques qu’on peut en faire, tout ça vaut vraiment largement tous mes impôts et toutes mes cotisations sociales.

C’est vital. Littéralement.

Avoir dans ses proches quelques personnes qui n’ont pas ces chances, qui en souffrent et dont la vie bascule, ça remet vite les pendules à l’heure. Ensuite on n’oublie pas. J’en pleure presque en écrivant.

3 octobre 2019
Sécuriser les nouveaux mots de passe

J’ai récemment parlé complexité de mot de passe mais en réalité le problème est souvent ailleurs. La taille et la complexité n’ont aucune importance si quelqu’un peut deviner quel mot de passe vous utilisez après juste quelques essais.

Jean réutilise son mot de passe

Je connais l’email de Jean ? Il me suffit de regarder quels mots de passe il a utilisé sur d’autres sites, et de les tester un à un.

La plupart des sites ont un problème de sécurité un jour ou l’autre. Souvent les données extraites se retrouvent publiques d’une façon ou d’une autre. Parfois on y trouve des mots de passe en clair ou mal protégés. Il suffit de piocher dedans.

Testez Have I Been Pwned, vous verrez que des tiers peuvent déjà connaitre plusieurs de vos mots de passe.

Paul n’a aucune imagination

Je ne connais pas l’email de Paul ? Qu’importe. Je peux déjà tester les mots de passe les plus courants, et les variations de ceux-ci.

Ne vous croyez pas original. Même ajouter une date, un chiffre, un symbole, changer une lettre, inverser le mot de passe, quelqu’un l’a déjà fait. En quelques milliers de combinaisons j’ai déjà énormément de mots de passe habituels.

Même les méthodes « choisir x mots du dictionnaire » sont vulnérables si c’est l’utilisateur qui choisit ses mots dans sa tête. Le plus souvent on tombera dans quelques centaines de mots, toujours les mêmes.

Par le passé j’ai utilisé un personnage de littérature, auquel j’ai ajouté un chiffre et un symbole. Croyez-le ou non, on trouve plus d’une dizaine d’occurrences sur Have I Been Pwned.

Have I Been Pwned

J’ai cité Have I Been Pwned. Ils mettent à disposition une base de tous les mots de passe qui ont publiquement fuité.

Si vous laissez des tiers saisir des mots de passe sur votre service, vous devriez télécharger leur base, puis chercher dedans à chaque fois qu’un de vos utilisateur saisit un nouveau mot de passe. Le mot de passe est déjà dedans ?

Alors il y a un risque de sécurité et vous devriez en alerter l’utilisateur.

Si vous voulez aller plus loin, tentez quelques variations simples : Si le mot de passe se termine par un nombre, essayez les deux ou trois nombres précédents. Si le mot de passe à des symboles ou chiffres en début ou fin, retirerez-les et testez le mot de passe résultant.

Tout ça ne vous coûte quasiment rien si ce n’est un peu de stockage et le téléchargement de la nouvelle base Have I Been Pwned de temps en temps, mais ça va éviter bien des risques à vos utilisateurs.

2 octobre 2019
Assumer ses choix

J’avoue avoir été très agacé dans des discussions récentes par la fréquence de la réponse « je ne suis pas responsable, c’est un tiers qui m’a demandé de le faire ».

Je ne comprends pas comment je peux trouver chez des ingénieurs, développeurs et travailleurs du web au sens large ce que je n’accepterais pas chez mon fils du haut de ses 7 ans.

C’est trop facile…

Il est vraiment temps que notre corps de métier arrête de se croire étranger et sans responsabilité par rapport au monde.

Ne pas remonter un problème ou un désaccord, ne pas se battre est un choix. Parfois nous n’obtenons pas gain de cause, mais parfois ça fonctionne aussi.

Et si ça ne fonctionne jamais, ou rarement, ou pas sur ce qui est important, rester et continuer quand même est un choix. C’est d’autant plus vrai dans nos métiers de travailleurs du web. D’autres professions n’ont pas ce confort.

Vous n’avez pas le couteau sous la gorge.

Ces choix nous en sommes responsables, quand bien même ils sont contraints et difficiles à prendre. Bienvenue dans la vie, on n’a pas toujours ce qu’on souhaite.

Je ne vous dis surtout pas de démissionner dès qu’il y a une source d’insatisfaction. Je ne vous dis pas de faire blocage sur tout au point d’en devenir toxique. Vraiment, ne faites pas ça.

Nous faisons tous des compromis. Nous avons tous nos priorités et nos combats, pas toujours les mêmes.

Faites ces compromis. Faites vos choix mais assumez les. Ce à quoi vous consentez, par choix, vous en êtes responsables. Ni plus, ni moins.

Assumer ses choix ce n’est pas entrer dans une culpabilisation permanente.

Il s’agit de prendre conscience de son impact, de ne pas s’en déresponsabiliser, et peut-être en conséquence de faire d’autres choix à l’avenir.

(je n’ai jamais dit que c’était facile)

27 septembre 2019
Éthique et politique dans les licences logicielles

Je continue mes réflexions sur comment nous, informaticiens, participons à la politique par nos actions.

Il ne tient qu’à nous de refuser de participer à des projets et des organisations du mauvais côté de la ligne morale. Contrairement à d’autres professions, nous avons le choix. Utilisons-le.

Plus que le choix, nous avons un pouvoir, énorme. C’est un des apprentissages des logiciels libres. Nous avons quand même réussi que les plus grandes corporations se sentent obligées de contribuer, même de façon mineure, à des logiciels communs profitant à tous. Nous avons réussi à en faire un argument dans les processus de recrutement.

Imaginez, le temple du capitalisme, les méga startup techno qui contrôlent jusque notre vie privée, obligées de fait de se plier à contribuer au domaine commun. Quel pouvoir !

Nous avons utilisé ce pouvoir pour imposer le libre accès au logiciel et au code source, en nous moquant de qui l’utilise et pour faire quoi, comme si cela ne nous concernait pas.

Que nous importe que l’imprimante gère des listes de personnes à abattre tant que nous avons accès au code source du pilote pour en corriger les défauts. Je ne peux m’exonérer des conséquences de ce que je créé et de ce que je diffuse.

Avec tout le respect que j’ai pour l’énorme œuvre du logiciel libre, j’ai l’impression que nous avons partiellement fait fausse route, privilégiant une vision libertaire amorale plutôt qu’assumer les conséquences de ce que nous créons.

Pire, en faisant le logiciel libre comme l’alpha et l’oméga de toute notion politique et éthique dans le logiciel, nous nous sommes retirés toute capacité à intervenir sur d’autre critères.

Je repense à la licence JSON qui avait fait grand bruit par le passé.

The Software shall be used for Good, not Evil.
https://www.json.org/license.html

Cette notion m’attire, aussi floue et aussi problématique soit-elle.

Oui, cette licence n’est pas libre. La licence GPL serait incompatible avec icelle. Qu’importe : L’accès au logiciel et à son code source ne me semble pas une valeur si absolue qu’il me faille abandonner tout recul sur ce qui est fait avec le logiciel.

Je ne suis pas seul, en parallèle d’autres ont mis à jour la licence Hippocratic, qui va globalement dans le même sens.

The software may not be used by individuals, corporations, governments, or other groups for systems or activities that actively and knowingly endanger, harm, or otherwise threaten the physical, mental, economic, or general well-being of individuals or groups in violation of the United Nations Universal Declaration of Human Rights
https://firstdonoharm.dev/version/1/1/license.html

J’ajouterais probablement la convention de Genève, celle des droits de l’enfant, peut-être un texte de portée similaire parlant d’écologie (lequel ?), un lié à la vie privée, etc.

Ça reste flou mais ça permet de tout de même donner un cadre, surtout si on ajoute que l’interprétation à donner à ces textes ne doit pas être moins stricte que celle de l’Europe occidentale de notre décennie.

Peu importe en réalité. Il s’agit de donner une intention. Je n’ai pas cette prétention mais si l’armée ou une corporation sans éthique veut réutiliser mon code, ce n’est pas la licence qui les en empêchera, flou ou pas.

Je ne prétends certainement pas aller devant au tribunal. Ma seule arme est l’opprobre publique et le flou n’est ici pas un problème. La précision juridique n’est pas un besoin. Au contraire, rester au niveau de l’intention permet d’éviter les pirouettes en jouant sur les mots ou en trouvant les failles. Quelque part la formulation de la licence JSON a ma préférence, justement pour ça.

Ça vous parait fou, irréaliste, inapplicable, mais combien d’entre nous auraient trouvés la GPL raisonnable, réaliste et applicable à ses débuts ? Les débats n’ont d’ailleurs pas manqué.

Le seul vrai problème, à mon niveau, est bien celui du logiciel libre, et plus particulièrement de la GPL, incompatible avec toute autre licence qui fait des choix différents. Or la GPL est incontournable dans de nombreuses situations, dans de nombreux contextes.

Une solution pourrait être de proposer une double licence : une licence basée sur l’éthique, tout en prévoyant une exception qui permet de passer sur une AGPL au besoin.

25 septembre 2019