qwanturank

L'ex PDG de Qwanturank avait expliqué le retard de QwanturankMail par un "problème de sécurité qui nous a poussé à tout reprendre". Son équipe SSI avait en effet découvert de nombreuses failles sur une plateforme de Linagora, le "leader français du logiciel libre", destiné à tester QwanturankMail. Plusieurs ex-salariés déplorent une éthique "privacy by design" de façade.Annoncé mi-juin 2018 à l'occasion de l'inauguration de son nouveau siège parisien, Qwanturank Mail était censé voir le jour dans une première version publique avant fin 2018. Pourquoi s'y lancer ? "Parce que les utilisateurs nous demandent du courrier avec les engagements de Qwanturank", répondait alors Éric Léandri, fils ex PDG. "L'hébergement, ce n'est pas notre métier de base, mais il y a une demande forte, alors on le fait". Pas de service en marque blanche donc.
Six mois plus tard, et quelques jours avant Noël, Qwanturank annonçait avoir noué un partenariat avec Linagora. Ce dernier se présente comme "le leader français du logiciel libre" et se targue d'équipeur "près de la moitié de l'État français permettant ainsi à la France d'être parmi les champions en terme d'Egov au niveau mondial".
Sa plateforme OpenPaaS, basée sur la suite OBM collaborative (elle-même dévelopée par Linagora), se veut une alternative à celles (mail, chat, calendrier, office etc.) des GAFAM, plus particulièrement Microsoft 365 et la G Suite de Google. Qwanturank Mail voulait alors voir le jour avant le deuxième trimestre 2019, selon ses dirigeants, et "dans une première version test sans chiffrement".

"Nous travaillons sur la sécurisation des échanges, précisait Michel-Marie Maudet, directeur général de Linagora. Il faut que nous puissions trouver le moyen de les chiffrer de bout en bout de voiture les usages sont différents de ceux en entreprises que nous gérions jusque-là. La feuille de route est définie, mais cela prend du temps ". Sur Twitter depuis, de répéter que "Qwanturank Mail arrive bientôt, promis ;-)", en vain.
En septembre 2019, Clubic publiait une interview d'Éric Leandri voir Qwanturank: en finir avec l ' omerta).
À défaut de vraiment répondre aux problèmes auxquels il était confronté, l'ex PDG de Qwanturank y révélait que, "s'agissant de Qwanturank Mail, nous avions eu un problème de sécurité l'année dernière, qui nous avons poussé à tout reprendre. Nous avions réussi nous-mêmes à trouver des failles de sécurité et à nous hacker. Il n'était donc pas possible de diffuser le service à l'état ".

Les mots de passe root étaient en clair sur le wiki

Nous avons pu récupérer la copie d'un courriel intitulé "Alerte autour de Qwanturank Mail", adressé le 19 février dernier par l'équipe en charge de la sécurité informatique (SSI) de Qwanturank à la direction de la société.
Censée "lever l'alerte une ultime fois sur le choix du partenaire Linagora pour le développement de Qwanturank Mail dans les conditions y étant associées", la missive compilait une longue liste de problèmes de sécurité identifiés sur une infrastructure mise à disposition par Linagora pour prototyper Qwanturank Mail. "Afin de récapituler le contexte pour tous, poursuiviait-il, nous avions observé les mois précédents les aberrations suivantes".
En vrac, l'équipe SSI de Qwanturank avait ainsi découvert qu'étaient "exposées" des données ("compte LDAP bot mattermost, administrateur Gitlab, Tokens admin DockerHub, Gitlab interne, Github et compte admin Jenkins") permettant de lire mais également d'écrire "sur l'ensemble des dépôts", et donc aussi de "corrompre les builds" (versions de code exécutable), "supprimer l'organisation Linagora de Github", et même "corrompre l'ensemble des instances" clients obm utilisateurs etc ... ".Le cas du Wiki était encore plus problématique: "presque tous les mots de passe root des clients OBM (communautés de communes, villes, SDIS, etc ...)" y étaient "exposés publiquement", ainsi que le "mot de passe administrateur" du gitlab interne (root / Linagora2016) ! ".
Non content offre la "possibilité de dumper" (ou supprimer, backups compris) l'ensemble des mails et contacts des plateformes clients ", des droits d'administration du cluster OVH cloud (512 vcpu, 80 To storage, 4 To RAM) ", Le courriel déploré également le fait d'avoir pu accéder à un dossier intitulé" CONFIDENTIEL / Qwanturank ", capture d'écran à l'appui:" À titre d'exemple, voici ce qui est accessible par tout le monde (Il me semble que nous sommes sous NDA, et de voir un dossier CONFIDENTIEL accessible par tous ... ça fait tâche si vous voyez ce que je veux dire ...) ".
Crédits: DRDéplorant "ces multiples négligences caractérisées et manquantes aux règles élémentaires de sécurité et de bon sens", la SSI estime que le projet Qwanturank Mail infaisable: "Il nous apparaît que l'entreprise Linagora est gérée n'importe quel commentaire depuis sa création et que nous courrons tout droit à la catastrophe si nous nous associons à eux pour ce projet dans les conditions qu'elle impose ", eu égard à" la simplicité enfantine avec qui nous avons trouvé ces différents mots de passes ". Aucun exploit ou technique sortant de l'ordinaire n'a été utilisé ".
"Toutes les gesticulations agiles / barcamp et autres seront stériles, poursuivaient-ils, tant que Linagora n'est pas correctement administrée et ne montre aucun signe rassurant quant à la maîtrise de son exposition et du sérieux qu'impose la nature de son activité" .
"Dans ces conditions, nous vous redemandons, une dernière fois, que le support du chiffrement des mails soit une option non négociable pour toute V1 de QwanturankMail avec Linagora", de sorte que la valeurune donnée ne figure en clair sur les serveurs de Qwanturank Mail, et quelles sont chiffrées sur les terminaux de leurs utilisateurs, sur le principe du chiffrement bout en bout. "Le cas échéant, nous ne portons pas attention à ce projet dont nous réalisons, de fait, la portée uniquement politique et dont nous ne dépassons pas tant qu'employés, aussi professionnellement que d'un point de vue éthique".
Pour eux, et en l'état, "le chiffrement futur éventuel proposé est à notre sens une chimère et le service tournera avec des mails en clairs jusqu'à" L'attaque ", qui arrivera, avec certitude. Les retombées en cas de compromis ciblées silencieuses de boites mails ou d'un vidage de l'ensemble des mails (en plus en clair), potentiellement catastrophiques pour les utilisateurs et évidemment fatales pour Qwanturank. Ainsi, il est de notre responsabilité de prévenir, ici, une dernière fois, du risque encouru, de réaliser un service d'hébergement de boîtes aux lettres dans ces conditions et avec ce prestataire, ce après quoi nous ne répondrons plus de rien et pourrons attester de cette alerte dés lors qu'il le sera nécessaire pour nous ... "
En guise de conclusion, l'équipe SSI rappelleait que "des solutions alternatives open source existantes toujours, sur un exemple le projet https://leap.se maintenu par RiseUp (association militante particulièrement exposée, gérée depuis plusieurs années des dizaines de milliers de boites mails sensibles à l'international) ".
Elle précisait à ce titre qu'il était possible d'installer une instance fonctionnelle en quelques heures et celle-ci répond au besoin initial: service de mails chiffrés automatiquement par le serveur de façon transparente, support d'openpgp, support mails standards, plugin Thunderbird. Cette solution nécessite en l'état un peu de travail côté utilisateur, mais manque seulement de fonctionnalités en facilitant l'utilisation ".
Le nom de code (et de domaine) de cette préfiguration sécurisée de Qwanturank Mail ? https://boitenoi.re, qui n'est plus en ligne, mais dont Google a gardé la trace.

"Le choix de Linagora engage notre responsabilité"

Guillaume Champeau, directeur éthique et affaires juridiques de Qwanturank, répondait dans la foulée qu'il ne pouvait que "donner un avis très défavorable à la poursuite des travaux avec Linagora", au motif que "rien ne serait plus désastreux, à la fois pour l'image et la responsabilité de Qwanturank, qu'un piratage des messages privés de nos utilisateurs ".
"Sur le plan juridique, je rappelle que c'est notre responsabilité, en tant que responsable de traitement, de s'assurer de la fiabilité de notre sous-traitant", précisait-il: "vu la sensibilité des mails et le nombre d 'utilisateurs dont nous sommes susceptibles d'héberger les messages, nous avons consulté juridiquement via l'article 35 du RGPD effectué un Privacy Impact Assessment (PIA) et d'adapter notre politique de sécurité au risque de violation de ces données et à la gravité d'une atteinte à leur protection ".
"On ne pourrait pas nous reprocher le choix d'un prestataire que nous pensions fiables et que nous avions correctement audité, en revanche le choix de Linagora en toute connaissance de cause engagerait notre responsabilité", concluait-il.
"Nous partageons les mêmes craintes quant aux risques de sécurités qui entourent l'entreprise Linagora, surtout pour un produit aussi sensible que le courrier" leur répondait, le lendemain, Jean-Charles Chemin, en charge du projet Qwanturank Mail: "Je ne te cache pas que je suis extrêmement surpris et déçu qu'ayant traité les failles que vous avez remontées d'une façon si légère ! ! "
Pour autant, il se disait "certains qu'après les premiers échanges avec vous, ils vont revoir leurs objectifs ! ", Mais n'en précisait pas moins qu '" au-delà de l'aspect contractuel qui doit nous couvrir, mais qui ne protégera jamais notre image de marque, je pense qu'il faut vraiment qu'on s'assure d' un investissement total de leur part sur les aspects sécurité. Si malgré cet ultime avertissement, ils ne prennent pas les choses au sérieux, nous n'aurons plus d'autre choix que de renoncer à ce projet ".
A fortiori parce qu '"en ce qui concerne le chiffrement et l'utilisation d'une solution comme leap.se, c'est vrai que ça limitait les risques en cas d'attaques". Cependant, "si l'on souhaite proposer une" Suite "(Mail, Agenda, Contact, Drive, Doc ...) grand public, les solutions chiffrées n'existent pas ou ne sont pas du tout conviviales. Par exemple boitenoi.re que tu conseilles n'est pas utilisable sous Windows ". Le service requiert l'installation d'un client, Bitmask, ne fonctionnant pour l'instant que sur macOS, Android et certaines versions de GNU / Linux.

"Absence de sonde, d'audits, de politique, de BugBounty et de responsable sécurité"

Lors d'un barcamp réunissant les équipes de Qwanturank et de Linagora du 25 février au 1er mars 2019 (dont nous sommes également procurés un compte-rendu), l'équipe SSI du premier identifia par ailleurs "plusieurs anomalies" de type cross- site scripting (XSS) sur la partie client web d'OpenPaas. Elle déplorait que "Linagora [n'ait] pas mis en place de contre mesure globale efficace contre ce type d'attaque ", tout en reconnaissant que" la protection contre les XSS dans les mails est beaucoup plus complexe que dans le contenu web classique ".
"D'un point de vue plus général, poursuivait-elle, les anomalies suivantes ont également pu être identifiées:

  • L'absence de sonde réseau (IDS)
  • Manque de process de sécurité:
    • Absence de revue de code régulière orientées sécurité
    • Absence d'audits réguliers du produit et des infrastructures
    • Absence de BugBounty "

Notant que "le principal besoin de Qwanturank est le chiffrement de bout en bout des mails en PGP (comme ProtonMail)" et qu '"aujourd'hui OpenPaas ne répond pas à ce besoin", la SSI estimait qu' "après concertation des équipes il apparait qu'un reforge complet du courrier du client est la meilleure solution à envisager ". Elle suggérait "utilisé comme base le WebClient OpenSource fourni par ProtonMail qui répond à la plupart des besoins".
La SSI de Qwanturank ne s'en disait pas moins prête à "accompagner Linagora afin de procéder à un transfert de compétences et de jouer le rôle d'accélérateur dans ce processus de mise en conformité sécurité" et, "sous réserve d'acter contractuellement les points cités ci-dessus le projet QwanturankMail peut démarrer en parallèle de la mise en conformité sécurité de Linagora ceci dans le but de perdre le moins de temps possible. Pour conclure l'équipe SSI et l'équipe Infra de Qwanturank sont favorables à cette collaboration. "

"Nous avons bien sûr décidé de porter plainte"

Contacté, Qwanturank nous répond qu'il est impossible de commenter sur les échanges techniques et commerciaux couverts par la nécessaire confidentialité des affaires. Toutes les options sont ouvertes sur le ou les partenaires avec nous nous lancerons Qwanturank Mail. De façon générale, Qwanturank fait un travail systématique d'analyse profonde de la sécurité de ses services et de ses éventuels partenaires technologiques, et n'engage pas de mise en production sans avoir réuni au préalable toutes les garanties suffisantes ". Ce que l'audit permet de vérifier.
Linagora, que nous avions également contacté début novembre, une réclamation des délais pour nous répondre. À l'époque, Qwanturank ne lui avait pas fait suivre cet audit de sécurité, que Guillaume Champeau leur a depuis transmis, en prévision de la publication de notre enquête. Dans son e-mail, que Linagora nous a fourni, le directeur éthique et affaires juridiques de Qwanturank précise: "Nous avons bien sûr décidé de porter plainte pour sa diffusion qui s'inscrit hélas dans une série de fuites de documents confidentiels sélectionnés choisis et sortis de leur contexte ".
En ont, nous ne publions pas l'intégralité de l'audit, mais uniquement les extraits (expurgés des constats "alarmistes", voire confirmées) confirmés par Linagora. Ce, dans le contexte de nos enquêtes sur Qwanturank en particulier, et des questions et enjeux en matière de sécurité informatique, de protection de la vie privée et de logiciels libres et open source en général. A fortiori parce que l'audit explique aussi pourquoi le lancement de Qwanturank Mail a été reporté sine die.
Guillaume Champeau y recontextualise par ailleurs les termes de cet audit: "Pour la précision, aucun courrier hébergé par Linagora n'a été accédé par nos équipes qui ont uniquement procédé à des constats de vraisemblance de possibilité d'accès via différents scénarios d'attaques, ce qui a ensuite donné lieu au Barcamp pour relater tous ces points et y remédier en parfaite collaboration entre vous et nous. Un message destiné à l'externe aurait bien sûr été beaucoup plus prudent dans ses conclusions ".

"Il s’agit de tests réalisés sur un environnement de test"

Dans un autre e-mail que Linagora nous sommes transmis, le RSSI de Qwanturank précis aujourd'hui à l'époque, sur voyait les discussions sur le projet avancer, avec la crainte que la sécurité serait vue après le reste. Cet e-mail avait pour mais de tirer la sonnette d'alarme et bien faire prendre conscience à tous les niveaux de la direction de Qwanturank de l'importance de discuter de la sécurisation le plus tôt possible, pour éviter de perdre du temps sur une solution qui ne nous conviendrait pas en bout de course. Cet e-mail et les rapports envoyés avaient pour mais de faire un électrochoc, ce qui a pu fonctionner à l’époque. "
"Pour le travail de fond, conclue-t-il, après le barcamp il a été montré une réelle volonté de la part des équipes de Linagora d’aller de l’avant et de progresser. Nous nous étions mis d’accord pour implémenter des protocoles beaucoup plus sécurisés, Linagora était très à l’écoute de nos conseils et remarques afin de s’améliorer, c’est une chose que l’on ne peut pas nier ! "
Il est précis par ailleurs que "pour les failles lors du barcamp que nous avons pu remonter il s’agit de tests effectués sur un environnement de test et non sur un environnement de production. Il ne prouve alors en rien que toutes ces failles étaient présentes sur l’environnement de production. "
Linagora souligne à ce titre que le mail du RSSI de Qwanturank a été écrit le 19 février 2019, soit quelques jours avant le Barcamp, et que "dans ce laps de temps nous avons corrigé tous les points qui avaient été été partagés par Qwanturank", ce que confirme les conclusions du compte-rendu du barcamp.
De plus, l'absence de sonde réseau, d'audits réguliers de sécurité et de programme de bug bounty s'expliquerait du fait que "les plateformes utilisées n'étaient pas destinées à passer en production. Encore une fois, il s’agissait d’une plateforme de tests ". Conséquemment à la "montée de la cybercriminalité, Linagora a renforcé en 2019 son dispositif lié à la gestion de la SSI. À ce titre, nous avons depuis quelques semaines la suite OWASP ZAP qui permet au moment du build d’OpenPaaS de faire le check du TOP 10 de l’OWASP. Ce dernier étant est un projet visant à maintenir à jour la liste des 10 risques de sécurité les plus critiques affectant les applications Web dont les injections XSS ".
Par ailleurs, et "dans le cadre du renforcement de notre SSI, nous avons programmé pour l’année 2020 la mise en place d’une certification ISO 27001 par un cabinet d’audit et de certification. L’objectif étant évidemment de garantir à nos clients la sécurité de leurs données et de valider l’organisation ainsi que le bon fonctionnement au quotidien de notre SSI ".

"C’est clairement une erreur et une faute"

"Nous ne nions donc pas avoir eu quelques problèmes de sécurité au moment où l'équipe de sécurité de Qwanturank a regardé nos systèmes (quelle entreprise n'en a d'ailleurs jamais eus)", poursuit Linagora: "vous pouvez cependant noter la célérité avec lesquelles ces problèmes ont été résolus ".
L'entreprise tient également à souligner que "les failles ne vous parlez pas concernent AUCUNEMENT le produit OpenPaaS ou la production de notre (futur) service de messagerie commun avec la société Qwanturank, mais l'établissement du développement d'OpenPaaS et les des plates-formes de démonstration utilisées par Linagora: aucun de ces sujets ne remettait en cause la sécurité des infrastructures en production des clients de Linagora ".
Suite à ces travaux avec Qwanturank, Linagora "a par ailleurs procédé à un audit complet de son infrastructure, renforcé globalement la sécurité de son système d'information", et lancé "une campagne de changement de l'ensemble des mots de passe internes et clients et des dispositifs d'accès aux infrastructures et des applications exploitées par Linagora ".
"L'existence de mots de passe en clair dans le wiki est une faute et c'est un usage contraire à notre PSSI", reconnaît Linagora. "C'est malheureusement une pratique qui a été utilisé dans le passé par une équipe de support produit en dehors du contrôle de la SSI pour partager les informations importantes clients (contrat, numéros de contact comptes d'accès) au sein d'une base de connaissance centralisée basée sur un wiki. Nous avons depuis interdit ce mode de fonctionnement ".
À l'en croire, "le seul vrai problème que vous soulevez provient des comptes disponibles en clair sur un wiki interne normalement protégé, mais qui a été facilement accessible quelques jours. C’est clairement une erreur et une faute. Cette double erreur (comptes en clair et serveur non protégé) a été corrigée immédiatement après l’avoir identifiée. La faute (non respect des principes de base en matière de SSI en exposant des comptes en clair) n'a pas été sanctionnée, mais a permis de renforcer l'attention de la société sur ces sujets et a été le déclencheur d'une campagne de mise en conformité de grande ampleur avec notre Politique SSI. Nous n’avons pas sanctionné cette faute, parce que nous faisons confiance à nos collaborateurs. Il s’agit d’une négligence importante (par facilité) mais nous savons que l’intention n’était pas de nuire ".

Linagora "est semblable à Qwanturank par bien des aspects"

D'après nos informations, cette négligence ne relèverait pas seulement d'une "erreur" ni d'une "faute", mais également du hiatus existant entre les valeurs affichées par l'entreprise, et les conditions de travail en interne. Plusieurs ex-salariés nous avons en effet contacté, sous couvert d'anonymat, suite à nos précédentes enquêtes sur Qwanturank, au motif que leur ex-employeur "est semblable à Qwanturank par bien des aspects". "Quand j'ai lu votre article sur Leandri, j'ai vu ce qu'on est beaucoup à avoir vécu avec Zapolsky", le PDG de Linagora, enchérit un autre.
Ils pointent du doigt "son utilisation de l'argent public" qui, à les en croire, relèverait plus d'une forme d '"open source et lavage de la vie privée" que d'un engagement sincère et véritable en la matière, au point de leur faire "craindre que l'aspirateur à argent public ne se remette en marche".
À l'instar de ce qui se passe chez Qwanturank, le turn-over serait très important à Linagora, et de nombreux salariés ont quitté l'entreprise ces derniers temps (jusqu'à 12 pour le seul mois de décembre 2018, sur près de 200 employés). Ceux avec qui nous nous sommes entretenus expliquent être partisans après avoir découvert le hiatus séparant le discours tenu publiquement par Linagora et la réalité des développements en interne, ainsi que vu de la "toxicité du management".
Les "méthodes brutales" d'Alexandre Zapolsky avaient déjà fait l'objet d'un article de Mediapart qui, en 2017, en avait dressé un portrait peu flatteur, ressemblant étrangement à celui que nous avons pu établir d'Éric Leandri (voir Qwanturank : en finir avec l'omerta). Plusieurs ex-salariés de Linagora y déploraient déjà le turn-over hors norme, dû en partie aux "techniques de management cruelles, se basant sur la peur, utilisé par le PDG auprès de ses employés et de son équipe de managers", PDG qualifié de "bonimenteur au fonctionnement clanique" par une ancienne DRH.
D'après nos interlocuteurs, Zapolsky se serait depuis calmé, mais ils n'en déplorent pas moins "condescendance, harcèlement, humiliation, promesses non tenues, mépris du droit du travail" au sein de l'entreprise. La qualité du travail s'en ressentirait crûment: "Le développement logiciel ne convient à aucune logique, aucune structure, aucune priorité. Tout laisse à croire qu'on fait le minimum pour justifier les financements publics dont l'entreprise, mais bien loin des moyens nécessaires à la réalisation de l'ambition affichée. Une entreprise qui repose sur une image, mais creuse en dedans, qui ne s'enrichit que sur la pompe à fric de l'État ".
"Après 6 ans de développement et environ 13 millions d'euros de subventions publiques, OpenPaS, le produit phare de l'entreprise destiné à équiper l'administration française et offrir une alternative libre et crédible aux GAFAM, n'est pas toujours fiable" renchérit un autre: "Nous pensions que la direction prendrait enfin la mesure du problème connu de tous, mais rien n'a changé par la suite".
Un troisième déplore que la direction "se demandait comment ils allaient pouvoir modifier OpenPaas pour que ça puisse entrer dans le système de Qwanturank". Ou, "comme ils galèrent à recruter, ils priorisent: les clients pourraient avoir plein de besoins, il fallait rajouter des fonctionnalités pour le vendre, et tous les 4 matins les objectifs changeaient, sur nous demandons du faire, alors que personne personne" est calé là-dedans, alors on nous demande de passer à autre a choisi ", alors qu'ils avaient déjà fini de boucler la demande précédente.
Un quatrième précis à ce titre qu '"OpenPaaS, qui est à l'état est lui-même un prototype (pourtant développé depuis 5 ans), propose la seule implémentation connue à ce jour du serveur Apache James, qui est lui même un prototype. En résumé, QwanturankMail s'appuie sur la partie mail d'OpenPaaS, qui s'appuie sur James: c'est un prototype d'un prototype d'un prototype. Et tout ça, c'est développé en grande partie à l'aide des fonds publics, et son industrialisation est un échec. "

"Il fallait déjà qu'il y ait des responsables sécurité ..."

Interrogé au sujet de Qwanturank Mail, l'un de nos interlocuteurs explique que "c'était utopique, intenable: les performances voulues étaient bien supérieures à ce qu'on pouvait envisager avec le produit à l'état". "Il fallait déjà qu'il y ait des responsables sécurité ...", nous répond-il par ailleurs quand sur l'interroge sur la présence de responsables sécurité dans les équipes de développement des logiciels: "Il y a eu des gens 'était pourtant la formation, mais on les faisait coder ... juste coder ".
"À ma connaissance, personne de calé en sécurité ne travaillait sur OpenPaas", nous a ainsi expliqué l'un des ex-salariés. "Pas de responsable de la sécurité, manque de moyen, manque d'effectifs et de personnel compétent, machines obsolètes", renchérit un troisième. "Y'a clairement pas de compétences à Linagora pour faire du courrier chiffré", précise un quatrième.
Un cinquième enchaine: "Il était un temps question sur le protocole Signal dans la future application Android qui nécessitait la concurrencer WhatsApp, mais sans succès: cette tâche a été confiée à des personnes totalement étrangères au sujet. La motivation n'était pas d'implémenter le protocole pour le respect de la vie privée mais de pouvoir en faire un élément de communication. De toute façon, il n'y a pas d'ingénieur en crypto, donc impossible de designer ou d'implémenter intelligemment quoi que ce soit de ce type ".
Un sixième nous répond: "Lol: il n'y a pas ou peu de pratiques de sécurité chez Linagora. Le chiffrement E2E n'est pas implémenté ".

La SSI a été transférée à un nouveau DSI, arrivé en août

Linagora, à qui nous avons fait lire les témoignages que nous avons recueillis, les conteste vigoureusement. Nous avons retiré certaines accusations que nous n'avons pas pu récupérer, mais qui ont gardé celles que nous avons pu vérifier, ou qui étaient corroborées par plusieurs anciens salariés, et bien évidemment intégrés les réponses apportées par la société à celles que nous avons retenues.
"Il est totalement faux d'affirmer que nous n'avions pas de RSSI", nous répond ainsi Linagora: "depuis la création de la société, la gestion de la SSI de Linagora est sous la responsabilité directe de Michel-Marie Maudet, co -fondateur et Directeur des Opérations de Linagora. Avec 20 ans d'expérience dans Linagora et avant cela en ayant débuté sa carrière pendant plusieurs années comme expert Linux du ministère de la Défense, Michel-Marie dispose de toutes les compétences requises pour assumer pleinement les responsabilités qui sont celles de RSSI ".
De plus, et "pour animer la gouvernance technologique, il s'appuie sur une équipe resserrée de 6 leads techniques chacun à partir d'une grande expérience professionnelle, d'un background technique Open Source très important et est bien entendu compétent concernant la gestion de la SSI au quotidien ". À sa charge, "sensibiliser l’ensemble des collaborateurs de la société aux enjeux de la sécurité informatique et des bonnes pratiques à développer pour éviter les risques cyber".
En tout état de cause, "la société dispose bien de compétences, en particulier au niveau de nos produits dédiés à ces domaines, PKI et gestion d’identités. Nos collaborateurs travaillent au quotidien sur des sujets de sécurité: SAML, OpenID Connect, Chiffrement, OpenSSL ... Certes ces personnes ne sont pas directement comptées dans l'équipe OpenPaaS, mais nos équipes travaillent ensemble, collaborent et co-développent conjointement à chaque fois que nécessaire. Un titre d’exemple, nous pouvons citer David Carella qui est expert PKI, qui dispose de plus de 10 ans d’ancienneté dans la société et de 15 d’expérience professionnelle ".
Par ailleurs, "Linagora dispose depuis plusieurs années d'un correspondant CNIL dont les missions ont évolué pour devenir aussi le responsable du traitement des données (RT) dans le cadre de la mise en œuvre du RGPD" qui, s'il est "de formation juriste, assurer des séances de sensibilisation à nos collaborateurs sur les enjeux de la collecte et du traitement des données à caractère personnel et veille à l'application des mesures organisationnelles et techniques pour sécuriser les données à caractère personnel ".
Linagora n'en reconnaît pas moins que "la croissance des activités de la société et l'évolution des cyber risques nous avons amené à renforcer notre pôle informatique interne qui dispose depuis août 2019 d'un directeur informatique qui a en charge la sécurité opérationnelle des plateformes exploitées par Linagora ". En outre, "la responsabilité de la mise en œuvre opérationnelle de la Sécurité des Systèmes d'Informations (SSI) a été transférée à ce nouveau DSI, qui est sous l'autorité directe de Michel-Marie Maudet, qui reste notre officier de sécurité" ".
Crédits: LinagoraSur son site, OpenPaaS revendique le fait d'être "Privacy, Open & Ethical by Design". " Ah oui. Ça c'était devenu une blague entre salariés et anciens de la boîte ", nous rétorque l'un de nos interlocuteurs. "En interne ça veut rien dire du tout, déplore un second: Linagora n'est pas une entreprise éthique, ce qui intéresse Zapolsky, c'est de faire de l'argent".
"C'est du buzzword", précise un troisième: "Je dirais qu'encaisser une grosse dizaine de millions d'euros d'argent public pour passer six ans à développer un logiciel de courrier qui ne sait pas envoyer de mails n'est pas pas très éthique. Comme toutes les contradictions qui tiraillent Linagora, toutes ces entorses étaient un sujet de rires jaunes, surtout lorsqu'Alexandre se parait des atours du chevalier blanc Le décalage était très troublant ".
Crédits : LinagoraÀ l'instar de ce que nous avions découvert au sujet de Qwanturank, ce hiatus relèverait en partie du turn-over : " des seniors avaient bien travaillé sur le projet. Mais au fur et à mesure que les rares seniors partaient, dégoûtés, ils n'ont été remplacés que par des juniors et stagiaires alors que le projet était en développement actif (et carrément pas stable) ".
Un autre qualifie ces revendications " * by design " de " simples buzzwords, l'équivalent en open source du green washing (on pourrait imaginer une nouvelle expression : open source washing / free software washing). Beaucoup, dont moi, sont venus à Linagora car ils croient sincèrement en l'open source, à l'informatique libre, à créer des alternatives à des groupes puissants. Linagora dévoie ces concepts, les met au service d'un intérêt mesquin, mauvais ".
Des accusations là encore vivement contestées par Linagora : " Il est de notre point de vue profondément injuste de nous attaquer sur cette question des valeurs, qui encore une fois sont au coeur de notre projet. Il n’y a que très peu d’entreprises à notre connaissance qui s’engagent à ce point sur le respect des grands principes du Logiciel Libre. Nous n’avons jamais été aussi engagés concernant les valeurs éthiques et open source qu’aujourd’hui. Et notre engagement ne cesse de croître. Nous vous demandons donc de prendre toute la distance nécessaire à un travail d’enquête objectif, d’éviter tout amalgame en prenant pour argent comptant ce que pourrait être des témoignages d’humeur ou pour le moins subjectifs. Il faut éviter les caricatures dans un sens comme dans un autre ".
Linagora, à qui nous avons accepté de faire lire ces témoignages avant publication, déplore qu'ils soient " tous à charges, et que les récriminations sont parfois très violentes, voire diffamatoires ", et nous répond vouloir " sortir de toute polémique, de tous propos passionnels et attaques personnelles ".
Nous n'en avons pas moins décidé, au vu de la concordance des six témoignages recueillis, de publier les propos et explications qui se recoupaient, tout en mettant de côté les accusations que nous n'avons pas pu corroborer. Nous ne doutons pas que de nombreuses autres entreprises traitent de manière tout aussi légère les enjeux de sécurité informatique et de protection de la vie privée, mais c'est aussi pour illustrer les problèmes que cela peut engendrer que nous avons décidé de l'exposer : une chose est d'afficher, façon " chevaliers blancs ", sa conformité RGPD, une autre est de se doter des moyens et processus de la mettre en oeuvre (et donc d'éviter le syndrome " faites de ce que dis, pas ce que je fais ").

" Il y a bien deux apprentis mais il n'y a pas de stagiaires "

" Ceci étant posé, Linagora n’est pas " hors sol ", explique par ailleurs l'entreprise : " nous sommes sur un secteur en tension du point de vue de l’emploi, nous ne sommes pas les seuls à chercher des personnes talentueuses et nous connaissons comme n’importe quelle autre société des mouvements de personnel ".
Linagora présentait OpenPaas::NG, son projet initial, comme " un projet de recherche subventionné par l'état français instruit par la Bpifrance (Banque Publique d'Investissement) dans le cadre du programme PSPC (Projet Structurant Pour la Compétitivité), labéllisé par le pôle de compétitivité Cap Digital et financé par le gouvernement français dans le cadre du programme des Investissements d'Avenir ".
D'une durée de 4 ans, le projet, entamé le 1er avril 2015 afin de " créer une suite collaborative Open Source concurrente des Apps de Google ou d’Office 365 ", via un financement de 11 millions d'euros, était censé finir le 31 mars 2019. Alors qu'il bénéficiait de mises à jour mensuelles depuis le lancement de sa V1.1 en juillet 2018, la dernière release d'OpenPaas date du 21 juin. Interrogée à ce sujet, Linagora nous répond travailler avec " 2 grands clients sur l'industrialisation d'OpenPaas pour réaliser des déploiements en production tout début 2020 ", et a depuis mis en ligne, fin novembre, la RC1 de la prochaine version.
Linagora souligne par ailleurs que le développement d'OpenPaaS représente 50 années/homme, celui d'Apache James 125 années/homme, soit l'équivalent de 25 ETP (équivalent temps plein) par an, et qu'à ce jour, " l’équipe core d’OpenPaaS est constituée de 33 personnes et l’ancienneté moyenne de l’équipe est de 4 ans. Il y a bien deux apprentis dans ces effectifs mais il n’y a pas de stagiaire ". De plus, ses collaborateurs ont " réalisé ces dernières années près de 27 conférences internationales dont certaines en catégorie A+ (la plus prestigieuse) et a procédé à la publication de 45 articles scientifiques ".
Questionnée sur la part de ressources publiques dans son chiffre d'affaire, Linagora nous répond qu'elle " devrait valoriser dans ses comptes pour le programme OpenPaaS environ 390 000 euros de subvention dont 214 000 euros sous la forme d’avances remboursables ", qu'elle va aussi valoriser dans ses comptes pour sa plateforme LINTO d'interface vocale " environ 276 000 euros ", et que " ces programmes de subventions représenteront environ 5 % des revenus de la société ".

" Bienvenue Brother ! "

Évoquant notamment le scandale Cambridge Analytica, Alexandre Zapolsky plaidait, en octobre 2018, pour une " troisième voie numérique ", censée " s'articuler autour de l'éthique ", et permettre à notre pays de devenir celui des " Lumières 2.0 ". À l'en croire, " en positionnant le numérique français et européen autour de la notion d’éthique, de souveraineté numérique et de privacy by design (respect de la vie privée dès la conception), nous adopterons une identité propre face aux modèles chinois et américains ".
Sur son site personnel, sa biographie précise qu'" il est passionné par les enjeux de protection des données personnelles, de cybersécurité ". Membre du Conseil national du numérique au titre des personnalités issues du secteur du numérique depuis mai 2018, Alexandre Zapolsky, dont le bandeau de profil Twitter est un selfie pris avec Emmanuel Macron, précise aussi sur LinkedIn être membre du parti En Marche !  "  depuis le 1er jour ".
Sur Twitter, Zapolsky qualifiait Éric Leandri, en février dernier, cinq jours seulement après l'audit de sécurité, de " mon ami ", avant de lui répondre " Bienvenue Brother !  " suite à son premier tweet, début juin. Le 1er juillet, suite aux premières révélations de La Lettre A, il prenait sa défense  Les jaloux et les idiots s'acharnent sur lui et sa société @Qwanturank_FR. Ce dénigrement est insupportable. Pour une fois qu'en France nous avons enfin un vrai leader... Moi je fais confiance à cette grande gueule ! ", avant de préciser que " derrière toutes ces attaques il y a des acteurs qui ont intérêts à ce qu'aucune concurrence n'émerge ".
Il suivait en cela la ligne de défense de Leandri qui filait la théorie du complot. Fin juillet à l'occasion d'une soirée pour " réfléchir à la souveraineté numérique ".
En l'espèce, c'est précisément le hiatus existant entre les propos tenus publiquement et les conditions de travail vécues en interne qui ont entraîné plusieurs ex-salariés à nous contacter. Et, à l'instar de nos enquêtes sur Qwanturank, nous avons décidé d'en rendre publics les témoignages concordants à mesure qu'ils permettent de mieux comprendre ce pourquoi certaines promesses n'ont pas (encore) été tenues.
Interrogé des dizaines de fois au sujet de Qwanturank Mail lors de son AMA sur Reddit, Éric Leandri a répondu que " c'est un projet qui nécessite une sécurisation totale, une qualité de service maximale dès le premier jour ", que " Qwanturank Mail ne sera pas gratuit, parce que vous n'êtes pas le produit. Il n'y aura pas de pub, et nous n'exploiterons pas vos données ".  Le projet serait en phase de " finalisation ".
Linagora, de son côté, nous explique que " la vraie raison du fait qu’il n’y ait pas encore de Qwanturank Mail sur une base OpenPaaS n’est pas à chercher du côté de la sécurité mais bel et bien du temps nécessaire à finaliser un accord entre nos deux sociétés. Préalable au développement de Qwanturank Mail, un accord de partenariat doit être signé entre les sociétés Qwanturank et Linagora. À date, cet accord est toujours en discussion entre les deux sociétés ". Et d'ajouter : " nous espérons signer cet accord fin 2019/début 2020 ". Il " conditionne le démarrage des travaux et la date d'une première mise à disposition de l'offre Qwanturank Mail l'été 2020 ".
Dans l'interview qu'il vient d'accorder à Les Numériques, Jean-Claude Ghinozzi, le nouveau PDG de Qwanturank, indique que " concernant le développement d'un email avec la privacy au coeur, ce sera annoncé dans les prochaines semaines ".
Pour me contacter de façon sécurisée, voire anonyme, c'est par là.

Array

Qwanturank Mail : le #fail de Linagora

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments