Qwant Mail : le #fail de Linagora

Le cas du Wiki était encore plus problématique : « presque tous les mots de passe root des clients OBM (communautés de communes, villes, SDIS, etc...) » y étaient « exposés publiquement », ainsi que le « mot de passe administrateur du gitlab interne (root / Linagora2016) ! ». 

Non content d'offrir la « possibilité de dumper (ou supprimer, backups compris) l'ensemble des mails et contacts des plateformes clients », des droits d'« administration du cluster OVH cloud (512 vcpu, 80To storage, 4 To RAM) », le courriel déplorait également le fait d'avoir pu accéder à un dossier intitulé « CONFIDENTIAL/Qwant », capture d'écran à l'appui : « À titre d'exemple, voici ce qui est accessible par tout le monde (Il me semble que nous sommes sous NDA, et de voir un dossier CONFIDENTIAL accessible par tous... ça fait tâche si vous voyez ce que je veux dire...) ».

Déplorant « ces multiples négligences caractérisées et manquements aux règles élémentaires de sécurité et de bon sens », la SSI estimait le projet Qwant Mail infaisable : « Il nous apparaît que l'entreprise Linagora est gérée n'importe comment depuis sa création et que nous courrons tout droit à la catastrophe si nous nous associons à eux pour ce projet dans les conditions qu'elle impose », eu égard à « la simplicité enfantine avec laquelle nous avons trouvé ces différents mots de passes. Aucun exploit ou technique sortant de l'ordinaire n'ont été utilisés ».

« Toutes les gesticulations agiles/barcamp et autres seront stériles, poursuivaient-ils, tant que Linagora n'est pas correctement administrée et ne montre aucun signe rassurant quant à la maîtrise de son exposition et du sérieux qu'impose la nature de son activité ».

« Dans ces conditions, nous vous redemandons, une dernière fois, que le support du chiffrement des mails soit une option non-négociable pour toute V1 de QwantMail avec Linagora », de sorte qu'aucune donnée ne figure en clair sur les serveurs de Qwant Mail, et qu'elles soient chiffrées sur les terminaux de leurs utilisateurs, sur le principe du chiffrement bout en bout. « Le cas échéant, nous ne nous porterons pas caution de ce projet dont nous réalisons, de fait, la portée uniquement politique et dont l'intérêt nous dépasse en tant qu'employés, aussi professionnellement que d'un point de vue éthique ».

Pour eux, et en l'état, « le chiffrement futur éventuel proposé est à notre sens une chimère et le service tournera avec des mails en clairs jusqu'à "L'attaque", qui arrivera, avec certitude. Les retombées en cas de compromissions ciblées silencieuses de boites mails ou d'un dump de l'ensemble des mails (en plus en clair), seraient catastrophiques pour les utilisateurs et évidemment fatales pour Qwant. Ainsi il est de notre responsabilité de vous prévenir, ici, une dernière fois, du risque encouru, à réaliser un service d'hébergement de boîtes mails dans ces conditions et avec ce prestataire, ce après quoi nous ne répondrons plus de rien et pourrons attester de cette alerte dés lors qu'il le sera necessaire pour nous... »

En guise de conclusion, l'équipe SSI rappelait que « des solutions alternatives opensource existent toujours, on a par exemple le projet https://leap.se maintenu par RiseUp (association militante particulièrement exposée, gère depuis plusieurs années des dizaines de milliers de boites mails sensibles à l'international) ».

Elle précisait à ce titre qu'« il a été possible d'installer une instance fonctionelle en quelques heures et celle-ci répond au besoin initial : service de mails chiffrés automatiquement par le serveur de façon transparente, support d'openpgp, support mails standards, plugin Thunderbird. Cette solution necessite en l'état un peu de travail côté utilisateur, mais manque seulement de fonctionalités en facilitant l'utilisation ».

Le nom de code (et de domaine) de cette préfiguration sécurisée de Qwant Mail ? https://boitenoi.re, qui n'est plus en ligne, mais dont Google a gardé la trace.

« Le choix de Linagora engagerait notre responsabilité »

Guillaume Champeau, directeur éthique et affaires juridiques de Qwant, répondait dans la foulée qu'il ne pouvait que « donner un avis très défavorable à la poursuite des travaux avec Linagora », au motif que « rien ne serait plus désastreux, à la fois pour l'image et la responsabilité de Qwant, qu'un piratage des messages privés de nos utilisateurs ».

« Sur le plan juridique, je rappelle que c'est notre responsabilité, en tant que responsable de traitement, de s'assurer de la fiabilité de notre sous-traitant », précisait-il : « vu la sensibilité des mails et le nombre d'utilisateurs dont nous sommes susceptibles d'héberger les messages, nous avons l'obligation juridique via l'article 35 du RGPD d'effectuer un Privacy Impact Assessment (PIA) et d'adapter notre politique de sécurité au risque de violation de ces données et à la gravité d'une atteinte à leur protection ».

« On ne pourrait pas nous reprocher le choix d'un prestataire que nous pensions fiable et que nous avions correctement audité, en revanche le choix de Linagora en toute connaissance de cause engagerait notre responsabilité », concluait-il.

« Nous partageons les mêmes craintes quant aux risques de sécurités qui entourent l'entreprise Linagora, surtout pour un produit aussi sensible que le mail » leur répondait, le lendemain, Jean-Charles Chemin, en charge du projet Qwant Mail : « Je ne te cache pas que je suis extrêmement surpris et déçu d'apprendre qu'ils aient traité les failles que vous avez remontées d'une façon si légère !! »

Pour autant, il se disait « certain qu'après les premiers échanges avec vous, ils vont revoir leurs objectifs ! », mais n'en précisait pas moins qu'« au-delà de l'aspect contractuel qui doit nous couvrir, mais qui ne protégera jamais notre image de marque, je pense qu'il faut vraiment qu'on s'assure d'un investissement total de leur part sur les aspects sécurité. Si malgré cet ultime avertissement, ils ne prennent pas les choses au sérieux, nous n'aurons plus d'autre choix que de renoncer à ce projet ».

A fortiori parce qu'« en ce qui concerne le chiffrement et l'utilisation d'une solution comme leap.se, c'est vrai que ça limiterait les risques en cas d'attaques ». Cependant, « si l'on souhaite proposer une "Suite" (Mail, Agenda, Contact, Drive, Doc...) grand public, les solutions chiffrées n'existent pas ou ne sont pas du tout user-friendly. Par exemple boitenoi.re que tu conseilles n'est pas utilisable sous Windows ». Le service requiert l'installation d'un client, Bitmask, ne fonctionnant pour l'instant que sur macOS, Android et certaines versions de GNU/Linux.

« Absence de sonde, d'audits, de politique, de BugBounty et de responsable sécurité »

Lors d'un barcamp réunissant les équipes de Qwant et de Linagora du 25 février au 1er mars 2019 (dont nous nous sommes  également procurés un compte-rendu), l'équipe SSI du premier identifia par ailleurs « plusieurs anomalies » de type cross-site scripting (XSS) sur la partie client web d'OpenPaas. Elle déplorait que « Linagora [n'ait] pas mis en place de contre mesure globale efficace contre ce type d'attaque », tout en reconnaissant que « la protection contre les XSS dans les mails est beaucoup plus complexe que dans du contenu web classique ».

« D'un point de vue plus général, poursuivait-elle, les anomalies suivantes ont également pu être identifiées : 

• L'absence de sonde réseau (IDS)
• Manque de process de sécurité :
• Absence de revue de code régulières orientées sécurité
• Absence d'audits réguliers du produit et des infrastructures
• Absence de BugBounty »

Notant que « le principal besoin de Qwant est le chiffrement de bout en bout des mails en PGP (ProtonMail like) » et qu'« aujourd'hui OpenPaas ne répond pas à ce besoin », la SSI estimait qu'« après concertation des équipes il apparait qu'un reforge complet du client mail est la meilleure solution à envisager ». Elle suggérait « d'utiliser comme base le WebClient OpenSource fourni par ProtonMail qui répond à la plupart des besoins ».

La SSI de Qwant ne s'en disait pas moins prête à « accompagner Linagora afin de procéder à un transfert de compétences et de jouer le rôle d'accélérateur dans ce processus de mise en conformité sécurité » et, « sous réserve d'acter contractuellement les points cités ci-dessus le projet QwantMail peut démarrer en parallèle de la mise en conformité sécurité de Linagora ceci dans le but de perdre le moins de temps possible. Pour conclure la team SSI et la team Infra de Qwant sont favorables à cette collaboration. »

« Nous avons bien sûr décidé de porter plainte »

Contacté, Qwant nous répond qu'« il nous est impossible de commenter sur des échanges techniques et commerciaux couverts par la nécessaire confidentialité des affaires. Toutes les options sont ouvertes sur le ou les partenaires avec lesquels nous lancerons Qwant Mail. De façon générale, Qwant fait un travail systématique d'analyse profonde de la sécurité de ses services et de ses éventuels partenaires technologiques, et n'engage pas de mise en production sans avoir réuni au préalable toutes les garanties suffisantes ». Ce que l'audit permet de vérifier.

Linagora, que nous avions également contacté début novembre, a réclamé des délais pour nous répondre. À l'époque, Qwant ne lui avait pas fait suivre cet audit de sécurité, que Guillaume Champeau leur a depuis transmis, en prévision de la publication de notre enquête. Dans son email, que Linagora nous a fourni, le directeur éthique & affaires juridiques de Qwant précise : « Nous avons bien sûr décidé de porter plainte pour sa diffusion qui s'inscrit hélas dans une série de fuites de documents confidentiels soigneusement choisis et sortis de leur contexte ».

En l'espèce, nous ne publions pas l'intégralité de l'audit, mais uniquement les extraits (expurgés des constats « alarmistes », voire erronés) confirmés par Linagora. Ce, dans le contexte de nos enquêtes sur Qwant en particulier, et des questions et enjeux en matière de sécurité informatique, de protection de la vie privée et de logiciels libres et open source en général.  A fortiori parce que l'audit explique aussi pourquoi le lancement de Qwant Mail a été reporté sine die.

Guillaume Champeau y recontextualise par ailleurs les termes de cet audit : « Pour précision, aucun mail hébergé par Linagora n'a été accédé par nos équipes qui ont uniquement procédé à des constats de vraisemblance de possibilité d'accès via différents scénarios d'attaques, ce qui a ensuite donné lieu au Barcamp pour relater tous ces points et y remédier en parfaite collaboration entre vous et nous. Un message destiné à l'externe aurait bien sûr été beaucoup plus prudent dans ses conclusions ».

« Il s’agit de tests effectués sur un environnement de test »

Dans un autre email que Linagora nous a transmis, le RSSI de Qwant précise aujourd'hui qu'« à l'époque, on voyait les discussions sur le projet avancer, avec la crainte que la sécurité serait vue après le reste. Cet email avait pour but de tirer la sonnette d'alarme et bien faire prendre conscience à tous les niveaux de la direction de Qwant de l'importance de discuter de la sécurisation le plus tôt possible, pour éviter de perdre du temps sur une solution qui ne nous conviendrait pas en bout de course. Cet email et les rapports envoyés avaient pour but de faire un électrochoc, ce qui a pu fonctionner à l’époque. »

« Pour le travail de fond, conclue-t-il, après le barcamp il a été montré une réelle volonté de la part des équipes de Linagora d’aller de l’avant et de progresser. Nous nous étions mis d’accord pour implémenter des protocoles beaucoup plus sécurisés, Linagora était très à l’écoute de nos conseils et remarques afin de s’améliorer, c’est une chose que l’on ne peut pas nier ! »

Il précise par ailleurs que « pour les failles lors du barcamp que nous avons pu remonter il s’agit de tests effectués sur un environnement de test et non sur un environnement de production. Il ne prouve alors en rien que toutes ces failles étaient présentes sur l’environnement de production. »

Linagora souligne à ce titre que le mail du RSSI de Qwant a été écrit le 19 février 2019, soit quelques jours avant le Barcamp, et que « dans ce laps de temps nous avons corrigé tous les points qui avaient été partagés par Qwant », ce que confirme les conclusions du compte-rendu du barcamp.

De plus, l'absence de sonde réseau, d'audits réguliers de sécurité et de programme de bug bounty s'expliquerait du fait que « les plateformes utilisées n’étaient pas destinées à passer en production. Encore une fois, il s’agissait d’une plateforme de tests ». Conséquemment à la « la montée de la cybercriminalité, Linagora a renforcé en 2019 son dispositif lié à la gestion de la SSI. À ce titre, nous utilisons depuis quelques semaines la suite OWASP ZAP qui permet au moment du build d'OpenPaaS de faire le check du TOP 10 de l’OWASP. Ce dernier étant est un projet visant à maintenir à jour la liste des 10 risques de sécurité les plus critiques affectant les applications Web dont les injections XSS ».

Par ailleurs, et « dans le cadre du renforcement de notre SSI, nous avons programmé pour l’année 2020 la mise en place d’une certification ISO 27001 par un cabinet d’audit et de certification. L’objectif étant évidemment de garantir à nos clients la sécurité de leurs données et de valider l'organisation ainsi que le bon fonctionnement au quotidien de notre SSI ».

« C’est clairement une erreur et une faute »

« Nous ne nions donc pas avoir eu quelques problèmes de sécurité au moment où l’équipe sécurité de Qwant a regardé nos systèmes (quelle entreprise n’en a d’ailleurs jamais eus) », poursuit Linagora : « vous pouvez cependant noter la célérité avec laquelle ces problèmes ont été résolus ».

L'entreprise tient également à souligner que « les failles dont vous parlez ne concernent AUCUNEMENT le produit OpenPaaS ou la production de notre (future) service de messagerie commun avec la société Qwant, mais l’infrastructure de développement d’OpenPaaS et l’hébergement des plateformes de démonstration utilisées par Linagora : aucun de ces sujets ne remettait en cause la sécurité des infrastructures en production des clients de Linagora ».

Suite à ces travaux avec Qwant, Linagora « a par ailleurs procédé à un audit complet de son infrastructure, renforcé globalement la sécurité de son système d’information », et lancé « une campagne de changement de l’ensemble des mots de passe internes et clients et des dispositifs d’accès aux infrastructures et des applications exploitées par Linagora ».

« L'existence de mots de passe en clair dans le wiki est une faute et c’est un usage contraire à notre PSSI », reconnaît Linagora. « C'est malheureusement une pratique qui a été utilisée dans le passé par une équipe de support produit en dehors du contrôle de la SSI pour partager les infos importantes clients (contrat, numéros de contact, @IP des machines, comptes d’accès) au sein d'une base de connaissance centralisée basée sur un wiki. Nous avons depuis interdit ce mode de fonctionnement ».

À l'en croire, « le seul vrai problème que vous soulevez provient des comptes disponibles en clair sur un wiki interne normalement protégé, mais qui a été facilement accessible quelques jours. C’est clairement une erreur et une faute. Cette double erreur (comptes en clair et serveur non protégé) a été corrigée immédiatement après l’avoir identifiée. La faute (non respect des principes de base en matière de SSI en exposant des comptes en clair) n’a pas été sanctionnée, mais a permis de renforcer l’attention de la société sur ces sujets et a été le déclencheur d’une campagne de mise en conformité de grande ampleur avec notre Politique SSI. Nous n’avons pas sanctionné cette faute, parce que nous faisons confiance à nos collaborateurs. Il s’agit d’une négligence importante (par facilité) mais nous savons que l’intention n’était pas de nuire ».

Linagora « est semblable à Qwant par bien des aspects »

D'après nos informations, cette négligence ne relèverait pas seulement d'une « erreur » ni d'une « faute », mais également du hiatus existant entre les valeurs affichées par l'entreprise, et les conditions de travail en interne. Plusieurs ex-salariés nous ont en effet contacté, sous couvert d'anonymat, suite à nos précédentes enquêtes sur Qwant, au motif que leur ex-employeur « est semblable à Qwant par bien des aspects ». « Quand j'ai lu votre article sur Leandri, j'ai vu ce qu'on est beaucoup à avoir vécu avec Zapolsky », le PDG de Linagora, enchérit un autre.

Ils pointent du doigt « son utilisation de l'argent public » qui, à les en croire, relèverait plus d'une forme d'« open source & privacy washing » que d'un engagement sincère et véritable en la matière, au point de leur faire « craindre que l'aspirateur à argent public ne se remette en marche ». 

À l'instar de ce qui se passe chez Qwant, le turn-over serait très important à Linagora, et de nombreux salariés ont quitté l'entreprise ces derniers temps (jusqu'à 12 pour le seul mois de décembre 2018, sur près de 200 employés). Ceux avec qui nous nous sommes entretenus expliquent être partis après avoir découvert le hiatus séparant le discours tenu publiquement par Linagora et la réalité des développements en interne, ainsi qu'au vu de la « toxicité du management ».

Les « méthodes brutales » d'Alexandre Zapolsky avaient déjà fait l'objet d'un article de Mediapart qui, en 2017, en avait dressé un portrait peu flatteur, ressemblant étrangement à celui que nous avons pu établir d'Éric Leandri (voir Qwant : en finir avec l'omerta). Plusieurs ex-salariés de Linagora y déploraient déjà le turn-over hors norme, dû en partie aux « techniques de management cruelles, se basant sur la peur, utilisées par le PDG auprès de ses employés et de son équipe de managers », PDG qualifié de « bonimenteur au fonctionnement clanique » par une ancienne DRH.

D'après nos interlocuteurs, Zapolsky se serait depuis calmé, mais ils n'en déplorent pas moins « condescendance, harcèlement, humiliation, promesses non tenues, mépris du droit du travail » au sein de l'entreprise. La qualité du travail s'en ressentirait crûment : « Le développement logiciel ne suit aucune logique, aucune structure, aucune priorité. Tout laisse à croire qu'on fait le minimum pour justifier les financements publics dont bénéficie l'entreprise, mais bien loin de moyens nécessaires à la réalisation de l'ambition affichée. Une entreprise qui repose sur une image, mais creuse en dedans, qui ne s'enrichit que sur la pompe à fric de l'État ».

« Après 6 ans de développement et environ 13 millions d'euros de subventions publiques, OpenPaaS, le produit phare de l'entreprise destiné à équiper l'administration française et offrir une alternative libre et crédible aux GAFAM, n'est toujours pas fiable » renchérit un autre : « Nous pensions que la direction prendrait enfin la mesure du problème connu de tous, mais rien n'a changé par la suite ».

Un troisième déplore que la direction « se demandait comment ils allaient pouvoir modifier OpenPaas pour que ça puisse rentrer dans le système de Qwant ». Or, « comme ils galèrent à recruter, ils priorisent : les clients potentiels avaient plein de besoins, il fallait rajouter des fonctionnalités pour le vendre, et tous les 4 matins les objectifs changeaient, on nous demande de le faire, alors que personne n'est calé là-dedans, puis on nous demande de passer à autre chose », alors qu'ils n'avaient pas fini de boucler la demande précédente.

Un quatrième précise à ce titre qu'« OpenPaaS, qui en l'état est lui-même un prototype (pourtant développé depuis 5 ans), propose la seule implémentation connue à ce jour du serveur Apache James, qui est lui même un prototype. En résumé, QwantMail s'appuie sur la partie mail d'OpenPaaS, qui s'appuie sur James : c'est un prototype d'un prototype d'un prototype. Et tout ça, c'est développé en grande partie à l'aide de fonds publics, et son industrialisation est un échec. » 

« Il faudrait déjà qu'il y ait des responsables sécurité... »

Interrogé au sujet de Qwant Mail, l'un de nos interlocuteurs explique que « c'était utopique, intenable : les performances voulues étaient bien supérieures à ce qu'on pouvait envisager avec le produit en l'état ». « Il faudrait déjà qu'il y ait des responsables sécurité... », nous répond-il par ailleurs quand on l'interroge sur la présence de responsables sécurité dans les équipes de développement des logiciels : « Il y a eu des gens dont c'était pourtant la formation, mais on les faisait coder... juste coder ». 

« À ma connaissance, personne de calé en sécurité ne travaillait sur OpenPaas », nous a ainsi expliqué l'un des ex-salariés. « Pas de responsable de la sécurité, manque de moyen, manque d'effectifs et de personnel compétent, machines obsolètes », renchérit un troisième. « Y'a clairement pas de compétences à Linagora pour faire du mail chiffré », précise un quatrième.

Un cinquième enchaine : « Il fut un temps question d'adopter le protocole Signal dans la future application Android qui devait concurrencer WhatsApp, mais sans succès : cette tâche a été confiée à des personnes totalement étrangères au sujet. La motivation n'était pas d'implémenter le protocole pour le respect de la vie privée mais de pouvoir en faire un élément de communication. De toute façon, il n'y a pas d'ingénieur en crypto, donc impossible de designer ou d'implémenter intelligemment quoi que ce soit de ce type ».

Un sixième nous répond : « Lol : il n'y a pas ou peu de pratiques de sécurité chez Linagora. Le chiffrement E2E n'est pas implémenté ».

La SSI a été transférée à un nouveau DSI, arrivé en août

Linagora, à qui nous avons fait lire les témoignages que nous avons recueillis, les conteste vigoureusement. Nous avons retiré certaines accusations que nous n'avons pas pu recouper, mais gardé celles que nous avons pu vérifier, ou qui étaient corroborées par plusieurs anciens salariés, et bien évidemment intégré les réponses apportées par la société à celles que nous avons retenues.

« Il est totalement faux d’affirmer que nous n’avions pas de RSSI », nous répond ainsi Linagora : « depuis la création de la société, la gestion de la SSI de Linagora est sous la responsabilité directe de Michel-Marie Maudet, co-fondateur et Directeur des Opérations de Linagora. Avec 20 ans d’expérience dans Linagora et avant cela en ayant débuté sa carrière pendant plusieurs années comme expert Linux du Ministère de la Défense, Michel-Marie dispose de toutes les compétences requises pour assumer pleinement les responsabilités qui sont celles de RSSI ».

De plus, et « pour animer la gouvernance technologique, il s’appuie sur une équipe resserrée de 6 leads techniques disposant chacun d’une grande expérience professionnelle, d’un background technique Open Source très important et est bien entendu compétente concernant la gestion de la SSI au quotidien ». À sa charge, « sensibiliser l’ensemble des collaborateurs de la société aux enjeux de la sécurité informatique et des bonnes pratiques à développer pour éviter les risques cyber ».

En tout état de cause, « la société dispose bien de compétences, en particuliers au niveau de nos produits dédiés à ces domaines, PKI et gestion d’identités. Nos collaborateurs travaillent au quotidien sur des sujets de sécurité : SAML, OpenID Connect, Chiffrement, OpenSSL... Certes ces personnes ne sont pas directement comptées dans l’équipe OpenPaaS, mais nos équipes travaillent ensemble, collaborent et co-développent conjointement à chaque fois que nécessaire. A titre d’exemple, nous pouvons citer David Carella qui est expert PKI, qui dispose de plus de 10 ans d’ancienneté dans la société et de 15 d’expérience professionnelle ».

Par ailleurs, « Linagora dispose depuis plusieurs années d’un correspondant CNIL dont les missions ont évolué pour devenir aussi le responsable de traitement des données (RT) dans le cadre de la mise en œuvre du RGPD » qui, s'il est « de formation juriste, assure des séances de sensibilisation à nos collaborateurs sur les enjeux de la collecte et du traitement des données à caractère personnel et veille à l’application des mesures organisationnelles et techniques pour sécuriser les données à caractère personnel ».

Linagora n'en reconnaît pas moins que « la croissance des activités de la société et l’évolution des cyber risques nous ont amené à renforcer notre pôle informatique interne qui dispose depuis août 2019 d’un Directeur Informatique qui a en charge la sécurité opérationnelle des plateformes exploitées par Linagora ». En outre, « la responsabilité de la mise en œuvre opérationnelle de la Sécurité des Systèmes d’Informations (SSI) a été transférée à ce nouveau DSI, qui est sous l’autorité directe de Michel-Marie Maudet, qui reste notre officier de sécurité ».

Sur son site, OpenPaaS revendique le fait d'être « Privacy, Open & Ethical by Design ». « Ah oui. Ça c'était devenu une blague entre salariés et anciens de la boîte », nous rétorque l'un de nos interlocuteurs. « En interne ça veut rien dire du tout, déplore un second : Linagora n'est pas une entreprise éthique, ce qui intéresse Zapolsky, c'est de faire de l'argent ».

« C'est du buzzword », précise un troisième : « Je dirais qu'encaisser une grosse dizaine de millions d'euros d'argent public pour passer six ans à développer un logiciel de mail qui ne sait pas envoyer de mails n'est pas très éthique. Comme toutes les contradictions qui tiraillent Linagora, toutes ces entorses étaient un sujet de rires jaunes, surtout lorsqu'Alexandre se parait des atours du chevalier blanc. Le plus dur était de passer tous les jours devant la photographie représentant Richard Stallman posant dans les locaux avec les équipes. Le décalage était très troublant ».

À l'instar de ce que nous avions découvert au sujet de Qwant, ce hiatus relèverait en partie du turn-over : « des seniors avaient bien travaillé sur le projet. Mais au fur et à mesure que les rares seniors partaient, dégoûtés, ils n'ont été remplacés que par des juniors et stagiaires alors que le projet était en développement actif (et carrément pas stable) ».

Un autre qualifie ces revendications « * by design » de « simples buzzwords, l'équivalent en open source du green washing (on pourrait imaginer une nouvelle expression : open source washing / free software washing). Beaucoup, dont moi, sont venus à Linagora car ils croient sincèrement en l'open source, à l'informatique libre, à créer des alternatives à des groupes puissants. Linagora dévoie ces concepts, les met au service d'un intérêt mesquin, mauvais ».

Des accusations là encore vivement contestées par Linagora : « Il est de notre point de vue profondément injuste de nous attaquer sur cette question des valeurs, qui encore une fois sont au coeur de notre projet. Il n’y a que très peu d’entreprises à notre connaissance qui s’engagent à ce point sur le respect des grands principes du Logiciel Libre. Nous n’avons jamais été aussi engagés concernant les valeurs éthiques et open source qu’aujourd’hui. Et notre engagement ne cesse de croître. Nous vous demandons donc de prendre toute la distance nécessaire à un travail d’enquête objectif, d’éviter tout amalgame en prenant pour argent comptant ce que pourrait être des témoignages d’humeur ou pour le moins subjectifs. Il faut éviter les caricatures dans un sens comme dans un autre ».

Linagora, à qui nous avons accepté de faire lire ces témoignages avant publication, déplore qu'ils soient « tous à charges, et que les récriminations sont parfois très violentes, voire diffamatoires », et nous répond vouloir « sortir de toute polémique, de tous propos passionnels et attaques personnelles ».

Nous n'en avons pas moins décidé, au vu de la concordance des six témoignages recueillis, de publier les propos et explications qui se recoupaient, tout en mettant de côté les accusations que nous n'avons pas pu corroborer. Nous ne doutons pas que de nombreuses autres entreprises traitent de manière tout aussi légère les enjeux de sécurité informatique et de protection de la vie privée, mais c'est aussi pour illustrer les problèmes que cela peut engendrer que nous avons décidé de l'exposer : une chose est d'afficher, façon « chevaliers blancs », sa conformité RGPD, une autre est de se doter des moyens et processus de la mettre en oeuvre (et donc d'éviter le syndrome « faites de ce que dis, pas ce que je fais »).

« Il y a bien deux apprentis mais il n'y a pas de stagiaires »

« Ceci étant posé, Linagora n’est pas « hors sol », explique par ailleurs l'entreprise : « nous sommes sur un secteur en tension du point de vue de l’emploi, nous ne sommes pas les seuls à chercher des personnes talentueuses et nous connaissons comme n’importe quelle autre société des mouvements de personnel ».

Linagora présentait OpenPaas::NG, son projet initial, comme « un projet de recherche subventionné par l'état français instruit par la Bpifrance (Banque Publique d'Investissement) dans le cadre du programme PSPC (Projet Structurant Pour la Compétitivité), labéllisé par le pôle de compétitivité Cap Digital et financé par le gouvernement français dans le cadre du programme des Investissements d'Avenir ».

D'une durée de 4 ans, le projet, entamé le 1er avril 2015 afin de « créer une suite collaborative Open Source concurrente des Apps de Google ou d’Office 365 », via un financement de 11 millions d'euros, était censé finir le 31 mars 2019. Alors qu'il bénéficiait de mises à jour mensuelles depuis le lancement de sa V1.1 en juillet 2018, la dernière release d'OpenPaas date du 21 juin. Interrogée à ce sujet, Linagora nous répond travailler avec « 2 grands clients sur l'industrialisation d'OpenPaas pour réaliser des déploiements en production tout début 2020 », et a depuis mis en ligne, fin novembre, la RC1 de la prochaine version.

Linagora souligne par ailleurs que le développement d'OpenPaaS représente 50 années/homme, celui d'Apache James 125 années/homme, soit l'équivalent de 25 ETP (équivalent temps plein) par an, et qu'à ce jour, « l’équipe core d’OpenPaaS est constituée de 33 personnes et l’ancienneté moyenne de l’équipe est de 4 ans. Il y a bien deux apprentis dans ces effectifs mais il n’y a pas de stagiaire ». De plus, ses collaborateurs ont « réalisé ces dernières années près de 27 conférences internationales dont certaines en catégorie A+ (la plus prestigieuse) et a procédé à la publication de 45 articles scientifiques ».

Questionnée sur la part de ressources publiques dans son chiffre d'affaire, Linagora nous répond qu'elle « devrait valoriser dans ses comptes pour le programme OpenPaaS environ 390 000 euros de subvention dont 214 000 euros sous la forme d’avances remboursables », qu'elle va aussi valoriser dans ses comptes pour sa plateforme LINTO d'interface vocale « environ 276 000 euros », et que « ces programmes de subventions représenteront environ 5 % des revenus de la société ».

« Bienvenue Brother ! »

Évoquant notamment le scandale Cambridge Analytica, Alexandre Zapolsky plaidait, en octobre 2018, pour une « troisième voie numérique », censée « s'articuler autour de l'éthique », et permettre à notre pays de devenir celui des « Lumières 2.0 ». À l'en croire, « en positionnant le numérique français et européen autour de la notion d’éthique, de souveraineté numérique et de privacy by design (respect de la vie privée dès la conception), nous adopterons une identité propre face aux modèles chinois et américains ».

Sur son site personnel, sa biographie précise qu'« il est passionné par les enjeux de protection des données personnelles, de cybersécurité ». Membre du Conseil national du numérique au titre des personnalités issues du secteur du numérique depuis mai 2018, Alexandre Zapolsky, dont le bandeau de profil Twitter est un selfie pris avec Emmanuel Macron, précise aussi sur LinkedIn être membre du parti En Marche! «  depuis le 1er jour ».

Sur Twitter, Zapolsky qualifiait Éric Leandri, en février dernier, cinq jours seulement après l'audit de sécurité, de « mon ami », avant de lui répondre « Bienvenue Brother ! » suite à son premier tweet, début juin. Le 1er juillet, suite aux premières révélations de La Lettre A, il prenait sa défense : « Total soutient à mon collègue @Eric_Leandri ! Les jaloux et les idiots s'acharnent sur lui et sa société @Qwant_FR. Ce dénigrement est insupportable. Pour une fois qu'en France nous avons enfin un vrai leader... Moi je fais confiance à cette grande gueule ! », avant de préciser que « derrière toutes ces attaques il y a des acteurs qui ont intérêts à ce qu'aucune concurrence n'émerge ».

Il suivait en cela la ligne de défense de Leandri qui, à défaut de répondre aux questions et problèmes identifiés par les journalistes, filait la théorie du complot. Fin juillet, Zapolsky publiait un selfie de lui avec « mon copain @Eric_Leandri », à l'occasion d'une soirée pour « réfléchir à la souveraineté numérique ». 

En l'espèce, c'est précisément le hiatus existant entre les propos tenus publiquement et les conditions de travail vécues en interne qui ont entraîné plusieurs ex-salariés à nous contacter. Et, à l'instar de nos enquêtes sur Qwant, nous avons décidé d'en rendre publics les témoignages concordants à mesure qu'ils permettent de mieux comprendre ce pourquoi certaines promesses n'ont pas (encore) été tenues. 

Interrogé des dizaines de fois au sujet de Qwant Mail lors de son AMA sur Reddit, Éric Leandri a répondu que « c'est un projet qui nécessite une sécurisation totale, une qualité de service maximale dès le premier jour », que « Qwant Mail ne sera pas gratuit, parce que vous n'êtes pas le produit. Il n'y aura pas de pub, et nous n'exploiterons pas vos données ».  Le projet serait en phase de « finalisation ».

Linagora, de son côté, nous explique que « la vraie raison du fait qu’il n’y ait pas encore de Qwant Mail sur une base OpenPaaS n’est pas à chercher du côté de la sécurité mais bel et bien du temps nécessaire à finaliser un accord entre nos deux sociétés. Préalable au développement de Qwant Mail, un accord de partenariat doit être signé entre les sociétés Qwant et Linagora. À date, cet accord est toujours en discussion entre les deux sociétés ». Et d'ajouter : « nous espérons signer cet accord fin 2019/début 2020 ». Il « conditionne le démarrage des travaux et la date d'une première mise à disposition de l'offre Qwant Mail l'été 2020 ».

Dans l'interview qu'il vient d'accorder à Les Numériques, Jean-Claude Ghinozzi, le nouveau PDG de Qwant, indique que « concernant le développement d'un email avec la privacy au coeur, ce sera annoncé dans les prochaines semaines ».