L'Agenda du Libre

Libre à vous !, notre émission de radio sur les libertés informatiques. est diffusée sur la radio associative Cause Commune, la voix des possibles.

La radio ouvre ses portes chaque premier vendredi du mois à partir de 19h30 pour une soirée « radio ouverte » avec un apéro participatif. Occasion de découvrir le studio et de rencontrer les personnes qui animent les émissions.

La prochaine soirée-rencontre « radio ouverte » aura lieu vendredi 5 juin 2026 au studio de la radio : 22 rue Bernard Dimey 75018 Paris.

Inscription (non obligatoire, mais cela facilite l'organisation) sur le bloc-notes.

À partir de 20 h il y aura en direct une émission intitulée « Comm'un vendredi » consacrée aux coulisses de la radio. le principe général est de réunir des animatrices et animateurs d’émissions de la radio pour parler de leurs émissions, de la radio, de leurs expériences. Mais aussi donner la parole aux auditrices et aux auditeurs.

Dans cet entretien, Perla Álvarez, de CLOC-Via Campesina, et Raya Radwan, de la Marche Mondiale des Femmes en Palestine, parlent de la lutte pour la terre, dans une perspective féministe, seule manière de parvenir à des relations basées sur la coopération et non sur l'exploitation.

Je suis agriculteur en Creuse et je code sur mon temps libre. J'ai commencé à m'intéresser à la question de la récupération de compte en développant ARC PVE Hub, un site destiné à fédérer une communauté de joueurs. Je n'ai jamais compris pourquoi il fallait transmettre son email pour régénérer un mot de passe — ça déplace la sécurité du compte vers un fournisseur SMTP tiers, qui n'est pas contrôlé par l'utilisateur.

J'ai donc imaginé un protocole de récupération sans email, sans SMS et sans tiers. Le travail s'est étoffé en partenariat avec un assistant IA (Claude), comme outil de réflexion et de mise en forme — j'y reviens en fin de dépêche dans une note de transparence.

L'incident de sécurité ANTS du 15 avril 2026 a publiquement illustré le problème. J'en ai eu connaissance après avoir développé SelfRecover, ce qui m'a confirmé la pertinence d'un protocole sans dépendance à l'email. SelfRecover est publié sous AGPL-3.0-or-later sur GitHub.

Cette dépêche présente le protocole, ses choix de conception, ses limites assumées, et la comparaison avec les approches existantes (Keycloak Recovery Codes en particulier, qui m'a été suggéré en relecture). Audit communautaire bienvenu.

• lien nᵒ 1 : Démo live
• lien nᵒ 2 : Code source
• lien nᵒ 3 : Whitepaper FR

Sommaire

• • Le contexte
  • Le protocole en deux phrases
  • Deux modes d'adoption
    • Mode Full — Sans email
    • Mode Lite — Avec email + mot mémorisé
    • Synthèse
  • SelfRecover vs Keycloak Recovery Codes
  • Que se passe-t-il si l'utilisateur perd son secret ?
    • Niveau 1 — Passphrase oubliée
    • Niveau 2 — Passphrase perdue, mais identifiant + mot de récupération retenus
    • Niveau 3 — Accès complètement perdu
    • Chat administrateur humain en mode restreint — état actuel
    • Évolution prévue (en réflexion) : pré-traitement optionnel par chatbot LLM local
    • Démo standalone vs implémentation de référence
    • Pourquoi assumer cette friction
    • Pour quel public
  • Modèle de menace assumé
  • Démos en ligne
  • Code et image Docker
  • Licence et philosophie
  • Note de transparence
    • Conception en partenariat avec un assistant IA
    • Plan d'audit
    • Statut du projet
    • Engagement communauté LinuxFr et culture du libre
  • Pour aller plus loin

Le contexte

Depuis l'essor du web, la réponse standard à « l'utilisateur a oublié son mot de passe » est « on lui envoie un lien de réinitialisation par email ». C'est devenu si universel qu'on oublie ce que ça implique :

• La sécurité du compte est déléguée au fournisseur de la boîte mail (Gmail, Outlook, ProtonMail). Si la boîte mail tombe, le compte aussi.
• Le canal email est régulièrement exploité par phishing : campagnes imitant des mails de réinitialisation légitimes pour capturer les mots de passe.
• Les bases de données qui stockent les emails des utilisateurs deviennent une cible massive : leur fuite expose à la fois l'identité et les vecteurs de récupération.

L'incident de sécurité ANTS illustre une autre facette du problème de gestion des données d'authentification dans les services en ligne. Détecté le 15 avril 2026 et rendu public le 20 avril, il a touché 11,7 millions de comptes selon les communiqués officiels. La cause technique identifiée est une faille d'énumération de type IDOR (Insecure Direct Object Reference) : il était possible d'accéder aux données d'un autre compte en modifiant un identifiant dans une URL. La fuite ne concerne ni les mots de passe, ni les pièces justificatives, mais les données personnelles associées aux demandes de titres.

Devant ces limites structurelles autour de l'authentification web, SelfRecover propose une inversion : conserver le secret de récupération chez l'utilisateur, et utiliser le navigateur pour faire les calculs cryptographiques nécessaires à la vérification. Le serveur ne détient plus que des dérivés, jamais les secrets bruts.

Le protocole en deux phrases

Côté navigateur, on calcule HMAC-SHA256(secret, domaine) : une fonction cryptographique standard qui combine le secret de l'utilisateur avec le nom de domaine du site, et produit une empreinte impossible à inverser. Côté serveur, on ne stocke que cette empreinte, en plus protégée par un hash adaptatif et memory-hard : Argon2id, qui est le standard moderne recommandé contre les attaques par brute force.

Deux propriétés découlent de cette construction :

• Le secret brut ne quitte jamais le poste de l'utilisateur.
• Un secret capturé sur un site A (par exemple via phishing) est mathématiquement inutilisable sur un site B : la dérivation HMAC produit des empreintes différentes pour des domaines différents. C'est de l'anti-phishing par construction, pas par convention.

Note conceptuelle : l'inspiration vient des machines à rotors historiques type Enigma. Le principe partagé est qu'une même configuration secrète, présente des deux côtés (émetteur et récepteur), permet de produire et vérifier un message dérivé. La cryptographie moderne (HMAC-SHA256 ici) repose sur des fondations mathématiques différentes, mais ce principe de dérivation contrôlée par un secret commun est resté.

Deux modes d'adoption

SelfRecover propose deux modes selon le contexte de déploiement.

Mode Full — Sans email

L'application abandonne entièrement le flow de réinitialisation par email. L'utilisateur génère une passphrase diceware à l'inscription (liste EFF de 7 776 mots, 4 à 7 mots par défaut), qu'il mémorise ou stocke dans son gestionnaire de mots de passe. Cette passphrase, combinée au nom de domaine du site via HMAC-SHA256, permet de réinitialiser le mot de passe sans aucune dépendance externe.

Pour qui : nouveaux projets qui veulent s'affranchir de SMTP dès la conception, ou services qui adoptent un modèle de menace post-fuite (l'email n'est plus considéré comme un canal de confiance).

Mode Lite — Avec email + mot mémorisé

L'application conserve le flow de réinitialisation par email habituel, mais y ajoute une étape supplémentaire : l'utilisateur saisit un mot mémorisé (choisi à l'inscription) qui est dérivé HMAC-SHA256 côté navigateur. Le mot brut n'est jamais transmis au serveur. La validation combine donc deux facteurs :

1. La possession de la boîte mail (lien reset reçu)
2. La connaissance du mot mémorisé (dérivé HMAC côté client)

Pour qui : applications existantes qui ne peuvent abandonner SMTP du jour au lendemain, mais veulent durcir progressivement leur flow de récupération. Conséquence : un email intercepté seul ne suffit plus à compromettre un compte — il faut aussi connaître le mot mémorisé.

Synthèse

SelfRecover vs Keycloak Recovery Codes

Lors de la relecture de cette dépêche, devnewton a soulevé une question importante : quelle est la différence avec les Recovery Codes de Keycloak ?

Keycloak est l'IAM (Identity and Access Management) open-source de référence, maintenu par Red Hat sous licence Apache 2.0, déployé dans de nombreuses organisations depuis plus d'une décennie. Son mécanisme de Recovery Codes est un fallback d'authentification à deux facteurs : si l'utilisateur perd son téléphone TOTP, il peut saisir un code de secours préalablement généré côté serveur.

Note importante de positionnement : les Recovery Codes Keycloak adressent le cas « j'ai perdu mon 2FA mais je connais toujours mon mot de passe principal ». Le password reset principal de Keycloak utilise, lui, le canal email standard (configuration SMTP dans l'onglet Email de l'admin console).

SelfRecover s'attaque à un cas différent : « j'ai oublié mon mot de passe principal et je ne veux pas dépendre de l'email pour le récupérer ». Concrètement :

Pour la majorité des projets qui acceptent l'email comme canal de récupération, Keycloak (et son écosystème) reste le bon choix. SelfRecover s'adresse aux applications qui veulent réduire ou supprimer leur dépendance à SMTP, et qui n'ont pas besoin de la richesse d'un IAM complet (multi-realm, OIDC/SAML, fédération d'identité, etc.).

Que se passe-t-il si l'utilisateur perd son secret ?

C'est la question critique d'un protocole de récupération. SelfRecover y répond par escalade progressive sur trois niveaux, complétée par un système de litiges et un chat administrateur pour les cas extrêmes.

Niveau 1 — Passphrase oubliée

L'utilisateur saisit son username + sa passphrase diceware (match exact). Sur succès, un nouveau mot de passe est généré et affiché une seule fois. Anti-brute force : 3 tentatives par 15 minutes, 3 blocages successifs → éjection vers L2.

Niveau 2 — Passphrase perdue, mais identifiant + mot de récupération retenus

L'utilisateur saisit son identifiant public (numéro client, identifiant métier — fourni par le site) et son mot de récupération dérivé HMAC-SHA256 côté navigateur. 3 tentatives maximum avec compteur visible. Sur 3 échecs → redirection vers L3. Un litige est automatiquement créé (LIT-XXXX), tracé en base, admin notifié. Les litiges auto-résolus sont purgés après 24 heures.

Niveau 3 — Accès complètement perdu

Entrée par un lien discret « accès perdu » sur la page de connexion. L'utilisateur saisit son identifiant public en premier (anti-timing : délai forcé de 2 à 3 secondes), puis remplit un formulaire de scoring multi-facteur :

Bonus passifs : IP connue (+5), fingerprint connu (+5).

• Score ≥ 60/100 → compte récupéré, nouveau mot de passe généré
• Score < 60/100 après 3 tentatives → le compte passe en mode restreint : l'utilisateur n'a plus accès qu'au chat administrateur, le compte n'est ni utilisable ni écrasable tant que l'admin n'a pas validé
• Cooldown : 1 heure entre tentatives

Chat administrateur humain en mode restreint — état actuel

Dans l'implémentation actuelle (déployée en production sur ARC PVE Hub), le chat L3 est un canal direct entre l'utilisateur en mode restreint et un administrateur humain du site. Pas d'intermédiaire automatisé, pas de bot.

Le canal de chat est bidirectionnel et fonctionne en polling (pas WebSocket temps réel, pour rester simple). L'admin vérifie l'identité par l'échange et décide manuellement :

Accorder la récupération : mot de passe régénéré, compteurs réinitialisés, litige clôturé, mode restreint levé.

Refuser la récupération : ban temporaire de 24 heures, pas de nouveau litige possible pendant cette fenêtre, compteur de refus incrémenté (1/3, 2/3, 3/3). À chaque clic, l'interface admin rappelle explicitement les conséquences via une modale de confirmation (ban 24h aux refus 1 et 2, suppression définitive au 3e refus).

Au 3e refus, le compte est définitivement supprimé : décision exclusivement humaine, prise en pleine connaissance de cause par l'admin via la modale d'avertissement explicite. La suppression libère l'identifiant public pour une nouvelle inscription.

Principe de design MySelf : aucune destruction de données utilisateur n'est déclenchée sans validation humaine consciente. L'interface admin explicite systématiquement les conséquences avant chaque action irréversible. Une IA peut se tromper ou être manipulée ; lui déléguer la décision de supprimer un compte créerait une surface d'attaque.

Ce mécanisme empêche un attaquant de spammer les litiges indéfiniment : chaque refus lui coûte 24 h, et trois échecs effacent toute trace. Un propriétaire légitime bloqué par erreur peut retenter après chaque fenêtre de ban, ou se réinscrire depuis zéro si totalement verrouillé.

Évolution prévue (en réflexion) : pré-traitement optionnel par chatbot LLM local

En complément du chat admin humain (qui resterait toujours disponible), une couche de pré-traitement par un agent conversationnel local (Ollama auto-hébergé) est en cours de design. Le chatbot poserait les questions initiales de vérification d'identité et estimerait si la demande est légitime. Sur estimation positive, le mot de passe serait régénéré directement ; sur doute, l'admin humain reprendrait la main.

Cette option serait configurable par site qui déploie (activable ou non), et le chatbot ne se substituerait jamais à l'admin pour les décisions destructives (suppression de compte) — ces décisions resteraient exclusivement humaines, conformément au principe MySelf énoncé plus haut.

L'enjeu principal en cours de réflexion : calibrer le seuil de confiance du chatbot pour ne pas créer un nouveau vecteur d'attaque par social engineering (un attaquant pourrait essayer de manipuler le LLM par prompts).

Démo standalone vs implémentation de référence

La démo publique (bi-self.my-self.fr/selfrecover/) ne couvre que les niveaux L1 et L2, car L3 nécessite une interface admin, un système de disputes et un dashboard — trop pour une démo à page unique.

L'implémentation de référence en production se trouve sur ARC PVE Hub, un site communautaire de joueurs ARC RAIDERS qui sert de terrain de test à l'écosystème MySelf. L1 + L2 + L3 + mode restreint + chat admin + dispute system y sont fonctionnels.

Pourquoi assumer cette friction

Dans la vie réelle, si l'on perd sa carte bancaire, son code, sa pièce d'identité, son adresse et sa date de naissance, on ne récupère pas son compte bancaire par email. On passe en agence avec preuve d'identité.

SelfRecover applique la même logique en ligne : la sécurité réelle nécessite parfois un passage par l'humain ou un processus d'identification rigoureux. Cette friction est assumée comme un trade-off conscient, pas comme une limitation à compenser.

Pour quel public

Adapté :
- Applications avec un administrateur actif et disponible pour traiter les litiges (forum communautaire, association, e-commerce indépendant, boutique en ligne militante)
- Sites où la sécurité prime sur la fluidité de récupération (services manipulant des données sensibles)
- Communautés à taille humaine (du forum de 50 membres au service de quelques milliers d'utilisateurs)

Non adapté :
- Plateformes à très grande échelle sans admin individuel (réseaux sociaux massifs, services publics avec millions d'utilisateurs) — le volume de litiges dépasse les capacités d'un humain réactif
- Services où une friction de récupération est inacceptable (gaming compétitif, services temps-réel)
- Projets sans maintenance active (l'admin doit pouvoir répondre aux litiges dans des délais raisonnables)

Pour ces cas, un IAM mature comme Keycloak avec ses mécanismes éprouvés reste plus adapté.

Modèle de menace assumé

Pour la transparence, voici les classes d'adversaires explicitement hors périmètre du protocole :

• Compromission du poste utilisateur (logiciels malveillants, RAT, keyloggers) — un attaquant qui contrôle le poste peut capturer la passphrase à la saisie, indépendamment du protocole.
• Compromission du navigateur (extensions malveillantes, exploits 0-day) — même cause, même effet : si le moteur JS qui calcule HMAC est compromis, la sortie l'est aussi.
• Coercition physique — SelfRecover n'offre pas de plausible deniability (pas de second compte caché ou décoy).
• Cryptanalyse théorique de SHA-256 / HMAC / Argon2id — un cassage mathématique de ces primitives mettrait à mal la quasi-totalité des systèmes cryptographiques modernes, pas seulement SelfRecover.

Ces limitations sont le périmètre normal d'un protocole côté navigateur. Pour les usages à plus haute exigence (cérémonies cryptographiques sensibles, génération initiale de clé maître), MySelf-Live est annoncé dans la roadmap V0.2 : une distribution Linux Live USB minimale, RAM-only, signée GPG, qui isolerait les opérations sensibles du système hôte. Pour les usages courants à fort enjeu, Tails ou Qubes OS offrent déjà ce niveau d'isolation et sont recommandés.

Démos en ligne

• Mode Full (sans email) : https://bi-self.my-self.fr/selfrecover/
• Mode Lite (email + mot mémorisé) : https://bi-self.my-self.fr/selfrecover/lite.html
• Comparatif sécurité 8 adversaires × 3 modèles : https://bi-self.my-self.fr/selfrecover/comparison.html

Aucune inscription préalable n'est requise. Les données sont éphémères côté serveur.

Code et image Docker

• Repo : https://github.com/Pierroons/my-self/tree/main/bi-self/selfrecover
• Whitepaper FR : https://github.com/Pierroons/my-self/blob/main/bi-self/selfrecover/docs/whitepaper-fr.md
• Threat model : https://github.com/Pierroons/my-self/blob/main/bi-self/selfrecover/docs/threat-model.md
• Image Docker multi-arch (amd64 + arm64) :

La démo de référence tourne sur PHP 8.0+ et SQLite (~600 lignes auditables, zéro dépendance externe). Tag GPG-signé v0.1.1, release datée du 5 mai 2026.

Licence et philosophie

AGPL-3.0-or-later. Toute version déployée publiquement doit publier ses modifications sous la même licence. Pas de capture SaaS possible.

SelfRecover est une brique du méta-projet MySelf, un écosystème de modules auto-hébergés qui couvre l'identité, la modération communautaire, le droit, et l'agriculture.

Un module complémentaire répond de manière directe à la problématique illustrée par l'incident ANTS : SelfDataGuard chiffre les données utilisateur côté client de telle sorte qu'une fuite de base de données ne livre que des blobs inexploitables. Le code est public, AGPL, en v0.1.0-beta — une dépêche dédiée pourra suivre quand le module aura plus de maturité (audit communautaire, retours d'intégration).

Note de transparence

Conception en partenariat avec un assistant IA

Ce protocole a été conçu et codé en partenariat avec un assistant IA (Claude), comme outil de réflexion, de revue critique, et d'écriture de code.

Pour être totalement transparent : je ne suis pas développeur de formation. Mon expérience technique vient du dev web amateur (ARC PVE Hub, un site destiné à fédérer une communauté de joueurs ; un outil de gestion de stock pour mon entreprise ; quelques sites perso). Pour SelfRecover, l'écriture des primitives cryptographiques et la mise en œuvre du protocole ont été largement assistées par l'IA, sur la base de mes choix architecturaux et de ma vision.

Ce qui vient de moi (humain) :
- La vision (souveraineté numérique, refus du SMTP comme canal de récupération)
- Les choix philosophiques (AGPL-3.0-or-later, fallback humain assumé, aucune destruction de données sans validation humaine consciente)
- Le contexte initial (besoin né en développant ARC PVE Hub)
- Chaque décision de trade-off d'architecture
- La responsabilité juridique et morale du code publié sous mon nom et signé GPG

Ce qui vient de l'IA :
- L'écriture des primitives cryptographiques (HMAC, dérivations, vérifications)
- L'agencement du code, la structure des fichiers
- La formalisation des paragraphes du whitepaper et de cette dépêche
- La génération de tests unitaires
- La vérification de cohérence interne

Plan d'audit

• Auto-audit interne : en cours et continu (chaque modification est relue critiquement)
• Audit communautaire : ouvert dès maintenant, je réponds aux remarques techniques avec sérieux (cette dépêche en est l'illustration directe)
• Audit tiers certifié : envisagé à moyen terme via un cabinet agréé CESTI ANSSI (Synacktiv, Quarkslab, Wavestone, ou équivalent), sous réserve de financement

Statut du projet

SelfRecover en est à la version 0.1.1, taguée GPG et signée. C'est un état PoC fonctionnel + déployé en production sur un site réel (ARC PVE Hub), mais pas encore mature pour une adoption massive dans des contextes à fort enjeu. La roadmap V0.2 (MySelf-Live, finalisation du chatbot L3, audit tiers) précisera ce périmètre.

Engagement communauté LinuxFr et culture du libre

Mon compte LinuxFr est récent, mais mon ancrage dans la culture du libre ne l'est pas : utilisateur exclusif de distributions Linux depuis quinze ans (principalement Debian), j'ai aidé plusieurs proches à migrer des PC anciens vers Debian pour leur donner une seconde vie au lieu de la déchèterie. J'arrive sur LinuxFr depuis le monde agricole/permaculture et le jeu vidéo (ARC PVE Hub), pas du milieu dev historique.

Je suis salarié couvreur dans une PME et installé en agriculture à temps partiel — mon temps libre pour le développement et la participation communautaire est compté. Je m'engage à répondre aux retours techniques sur cette dépêche et à suivre les disputes sur l'état du projet. Pour le reste (commentaires réguliers, dépêches futures sur d'autres modules MySelf — en particulier SelfDataGuard quand il sera plus mature), ce sera au gré du temps disponible, sans promesse.

Toute critique technique constructive est bienvenue. Pour les critiques sur la légitimité du projet ou la nature humain/IA de la collaboration, j'invite à juger sur les choix concrets, le code public, et la qualité des réponses à vos questions.

Pour aller plus loin

SelfRecover est un module de l'écosystème MySelf, expérimentation citoyenne sur la souveraineté numérique sous licence AGPL-3.0-or-later.

Les retours techniques, audits communautaires, propositions d'intégration et questions de fond sont les bienvenus — en commentaire de cette dépêche ou en issue sur le repo GitHub.

Si une administration ou une organisation souhaite tester le protocole en environnement isolé, l'image Docker et le Dockerfile sont à disposition. Aucune démarche commerciale n'est associée à cette publication.

Merci aux modérateurs et contributeurs de LinuxFr — Pierre Jarillon, devnewton, Florent Zara, bobble bubble — dont les retours pendant la phase de rédaction ont substantiellement amélioré cette dépêche.

Commentaires : voir le flux Atom ouvrir dans le navigateur

276e émission « Libre à vous ! » de l’April. Podcast et programme :

• sujet principal : Migrer de Windows vers un système libre sur le poste de travail avec Magali Garnero, présidente de l’April, membre de Framasoft ; Zoé Pélegry, porte-parole des mouvements Alternatiba et ANV-COP21 ; David Frissard de l’association Désobsolescence
• chronique de Gee sur « Pourquoi je fais de l’art libre »
• chronique de Benjamin Bellamy sur « La nouvelle série à la mode dont tout le monde parle sur les réseaux sociaux »
• Quoi de Libre ? Actualités et annonces concernant l’April et le monde du libre
  

• lien nᵒ 1 : Podcast de la 276ᵉ émission
• lien nᵒ 2 : Les références pour la 276ᵉ émission et les podcasts par sujets
• lien nᵒ 3 : S'abonner au podcast
• lien nᵒ 4 : S'abonner à la lettre d'actus
• lien nᵒ 5 : Libre à vous !
• lien nᵒ 6 : Radio Cause Commune

Rendez‐vous en direct chaque mardi de 15 h 30 à 17 h sur 93,1 MHz en Île‐de‐France. L’émission est diffusée simultanément sur le site Web de la radio Cause Commune. Vous pouvez nous laisser un message sur le répondeur de la radio : pour réagir à l’un des sujets de l’émission, pour partager un témoignage, vos idées, vos suggestions, vos encouragements ou pour nous poser une question. Le numéro du répondeur : +33 9 72 51 55 46. La prochaine émission sera diffusée mardi 2 juin à 15h30 (puis en podcast). Nos invitées seront la LDH et Amnesty International France. Pour avoir le regard d'assocations dont l'objet premier n'est pas "le numérique", mais qui pour autant ont développé une analyse de ces enjeux à l'aune de leur propre combat. Et plus particulièrement, des associations de défense des droits humains.

Commentaires : voir le flux Atom ouvrir dans le navigateur

Securite OpenSource Par Killian Prin-Abeil - Aukfood ⭐ Wazuh Ambassador Wazuh est au coeur de notre stack SOC open source. On l'utilise au quotidien pour surveiller nos endpoints, centraliser nos logs, gerer la conformite. Mais une question simple restait sans reponse simple : qui peut faire quoi, sur quoi, dans notre deploiement Wazuh ? WazuhHound […]

L’article WazuhHound – Cartographier votre infrastructure Wazuh avec BloodHound CE est apparu en premier sur Aukfood.

Danse, boxe, cuisine, bien-être ou encore temps d’échanges : les activités adultes des Maisons Pop continuent de rassembler les participantes dans une ambiance conviviale et dynamique. Entre découvertes artistiques, moments de détente et ateliers collectifs, chacun peut explorer, s’exprimer et partager de beaux moments avant la pause estivale.   Atelier danse Le cycle danse se […]

L’article 🌿 Des activités adultes placées sous le signe du bien-être et du partage est apparu en premier sur Les Maisons Pop de Chenôve.

Ce mercredi 27 mai, en plein cœur de la Semaine du jeu, Mélissa, ludothécaire de l’association Chouette en Jeu, et les Maisons Pop ont animé une matinée spécialement dédiée aux plus jeunes. Sous un soleil radieux, les familles ont répondu présent pour partager des moments de jeu, de sourires et de complicité. Une belle occasion […]

L’article Mercredi des p’tits joueurs et des p’tites joueuses à Chenôve : une matinée de jeu et de convivialité est apparu en premier sur Les Maisons Pop de Chenôve.

Ce sont plus de 1000 spectateurs qui se sont rendus au Cèdre les 27 avril et 18 mai 2026 pour assister à l’inter-collège et à la finale régionale organisées dans le cadre du « Trophée d’Impro Culture et Diversité ». Une audience record qui atteste de l’engouement des établissements scolaires (collèges, lycées mais également écoles élémentaires) pour […]

L’article Des jeunes improvisateurs qui font vibrer le Cèdre ! est apparu en premier sur Les Maisons Pop de Chenôve.

Une participation à la Quinzaine de la Mémoire Les Maisons Pop ont accueilli dans leurs locaux la projection du documentaire « Les Raisins du Reich » de Jean-Christophe Klotz. Cette initiative s’inscrivait dans le cadre de la Quinzaine de la Mémoire organisée par la Ville de Chenôve, avec le soutien d’associations locales d’anciens combattants. Fidèle […]

L’article 🍇 Mémoire et cinéma : les révélations des « Raisins du Reich » est apparu en premier sur Les Maisons Pop de Chenôve.

Les Maisons Pop ont eu l’honneur de clôturer la 7ᵉ édition du Festival du Film Palestinien de Dijon. À cette occasion, nous avons projeté le film « Palestine Stereo » de Rashid Masharawi. Réalisé en 2013, ce long-métrage résonne pourtant avec une actualité tragiquement toujours présente.   Une projection forte et toujours d’actualité Le film […]

L’article 🎥 Une soirée forte en émotions autour du cinéma palestinien est apparu en premier sur Les Maisons Pop de Chenôve.

Les Maisons Pop ont eu le plaisir d’accueillir, au début du mois de mai 2026, le comité de jumelage Chenôve – Limburgerhof. Pendant une dizaine de jours, le comité a présenté dans le hall de notre structure une exposition mettant en valeur ses 10 années d’existence. Les photographies et les textes témoignaient de l’excellente entente […]

L’article 🎬 Place au cinéma allemand ! est apparu en premier sur Les Maisons Pop de Chenôve.

Plusieurs services seront perturbés le mardi 2 juin entre 1h et 8h du matin pour remplacement de disques “usés”. Merci et bonne journée

L’article 🔧 ⚠️ 📢 Remplacement de disques le 02/06 1h-8h est apparu en premier sur ZACLYS.

Le forum GUTenberg : https://forum.gutenberg-asso.fr/ Sur ce forum francophone, également utilisable à la manière d'une liste de diffusion, vous pouvez demander de l'aide à des utilisateurs chevronnés, que ce soit pour de l'initiation ou des sujets pointus, mais aussi échanger des opinions sur TeX, et vous tenir au courant des dernières nouveautés. Pour vous inscrire à ce forum, envoyez un message à secretariat@gutenberg-asso.fr et en vous présentant en quelques mots (afin que nous (…)

Libre à vous !, l’émission de l’April, l’association de promotion et de défense du logiciel libre. Prenez le contrôle de vos libertés informatiques, découvrez les enjeux et l’actualité du libre.

Au programme de la 276e émission :

• Sujet principal : migrer de Windows vers un système libre sur le poste de travail, avec l’April, Alternatiba / ANV-COP21 et Désobsolescence
• chronique « Les humeurs de Gee » sur « Pourquoi je fais de l’art libre »
• chronique « Le truc que (presque) personne n’a vraiment compris mais qui nous concerne toutes et tous » de Benjamin Bellamy sur « La nouvelle série à la mode dont tout le monde parle sur les réseaux sociaux »
• Quoi de Libre ? Actualités et annonces concernant l'April et le monde du Libre

Écouter les podcasts

S'abonner au podcast

S'abonner à la lettre d'actus

L’Association Francophone Python (AFPy) organise la PyConFR 2026 du jeudi 29 octobre au dimanche 1 novembre. Pour cette 17e édition, nous sommes accueillis par l'école ESTIA de Biarritz !

• lien nᵒ 1 : PyConFR 2026
• lien nᵒ 2 : Proposer un sujet à la PyConFR 2026
• lien nᵒ 3 : Supporter l’évènement
• lien nᵒ 4 : Association Francophone Python (AFPy)
• lien nᵒ 5 : Code de conduite de la PyConFR

La PyConFR, c’est un évènement gratuit sur 4 jours autour du langage de programmation Python. Elle est composée deux jours de développements participatifs (sprints), puis de deux jours de conférences et ateliers.

L’appel à propositions est ouvert jusqu’au 31 juillet 2026. Peu importe votre niveau en Python, vous pouvez proposer un sujet de sprint, de conférence ou d’atelier ! Venez parler de développement logiciel, de diversité, de communauté, faire un retour d’expérience sur un outil, présenter votre projet, un domaine d’activité…

Comme tous les ans, nous proposons aux personnes habituellement peu représentées en conférence de l’aide pour trouver un sujet, rédiger la proposition de conférence, rédiger le support de conférence et pour répéter. Vous pouvez nous contacter à l’adresse diversite@afpy.org si vous pensez en avoir besoin.

Enfin, la PyConFR est entièrement financée par les sponsors. Si vous connaissez des sponsors potentiels, n’hésitez pas à leur parler de l’évènement !

Commentaires : voir le flux Atom ouvrir dans le navigateur

Connaissez-vous OCS Inventory NG ? C'est un logiciel pour inventorier votre parc informatique, démarré en 2000 !

Dans ce nouvel épisode nous vous proposons de découvrir sa riche et longue histoire :

• sa genèse
• l'arrivée de la Gendarmerie Nationale dans le projet
• sa collaboration avec l'outil de gestion de parc GLPI
• un fork de son agent Linux
• la transition vers un projet porté par la société FactorFX.

Bonne écoute !

• lien nᵒ 1 : Lien de l'épisode
• lien nᵒ 2 : Lien vers le site d'OCS Inventory NG
• lien nᵒ 3 : Soutenir le podcast
• lien nᵒ 4 : Lien vers l'épisode en anglais
• lien nᵒ 5 : Le site de FactorFX

Commentaires : voir le flux Atom ouvrir dans le navigateur

N. D. T. — Ceci est une traduction de la lettre d’information publiée régulièrement par l’équipe de communication de la XSF, essayant de conserver les tournures de phrase et l’esprit de l’original. Elle est réalisée et publiée conjointement sur les sites XMPP.org et LinuxFr.org selon une procédure définie.

Bienvenue dans la lettre d'information XMPP, ravi de vous retrouver ! Ce numéro couvre le mois de février 2026.

La lettre d'information XMPP vous est proposée par l'Équipe de communication de la XSF.

Comme tout autre projet accompli par la XSF, la lettre d'information est le résultat du travail volontaire de ses membres et des personnes y contribuant. Si vous êtes satisfait des services et logiciels que vous utilisez peut-être, n'hésitez pas à dire merci ou aider ces projets.

Vous souhaitez contribuer à l'équipe de communication de la XSF ? Lisez en bas de page.

Sommaire

• Annonces de la XSF
  • Logo XMPP dans Font Awesome
• Évènements XMPP
• Vidéos et conférences XMPP
• Articles XMPP
• Nouvelles des logiciels XMPP
  • Clients et Applications XMPP
  • Serveurs XMPP
  • Bibliothèques et outils XMPP
• Extensions et spécifications
  • Extensions proposées
  • Nouvelles extensions
  • Extensions déférées
  • Extensions mises à jour
  • Dernier appel
  • Extensions stables
  • Extensions dépréciées
  • Extensions rejetées
• Partagez les nouvelles
  • Contributions et traductions de la lettre d'information
• Aidez-nous à créer la lettre d'information
• Licence

Annonces de la XSF

Logo XMPP dans Font Awesome

Comme nous l'avions annoncé dans notre lettre d'information de décembre 2025, le logo officiel de XMPP est désormais intégré à Font Awesome depuis la version 7.2.0. Et le résultat est vraiment trop cool (NDLR: awesome en anglais) !

Évènements XMPP

Informations XMPP pour le DI.DAY : Quatre recettes pour utiliser un protocole de chat ouvert lors du « Digital Independence Day », l'initiative allemande (DI.DAY), proposées par la communauté XMPP pour permettre aux gens de se lancer dans la messagerie indépendante !

XMPP Sprint à Berlin (DE / EN) : l'événement se déroulera du vendredi 19 au dimanche 21 juin 2026, dans les bureaux de Wikimedia Deutschland e.V. à Berlin, en Allemagne. Si cela vous intéresse, n'hésitez pas à nous rejoindre ! Pensez simplement à vous inscrire ici, afin que nous sachions combien de personnes seront présentes et organiser l'événement au mieux. Si vous avez des questions ou des inquiétudes, rejoignez-nous sur le salon de discussion : sprints@muc.xmpp.org !

Vidéos et conférences XMPP

• Discord n'a jamais été la fin de la partie [EN] par tony-btw.
• [PT-BR] XMPP #engineeringsessions #S06E16. [PT-BR]

Articles XMPP

• Changements à venir pour Let’s Encrypt et leurs conséquences pour les opérateurs, par l'équipe Prosody pour Prosodical Thoughts [EN].
• Apprise, système de notifications push compatibles avec presque toutes les plateformes, a rétabli sa prise en charge de XMPP via Slixmpp, (après plus de 4 ans). Pour l'instant, aucune version stable n'est disponible, mais ça arrive…
• Au revoir Discord, bonjour Movim !, par Timothée Jaussoin pour le Blog Movim. [EN]
• Une (grosse) optimisation de la mémoire à venir dans Movim, par Timothée Jaussoin pour le Blog Movim. [EN]
• Aidez Movim à atteindre ses objectifs pour 2026 par Timothée Jaussoin pour le Blog Movim. [EN]
• Great Invitations, un tutoriel expliquant comment créer des invitations pour les clients les plus populaires selon la norme XEP-0401 (Ad-hoc Account Invitation Generation), issu de la section tutoriels de joinjabber.org. [EN]
• Visitez notre cuisine, par Isadora pour le blog isacloud.im. [PT_BR]
• À propos de Snikket et Prosody IM : relations et objectifs dans l'écosystème XMPP, par MattJ sur Hacker News. [EN]
• Gérer mon propre serveur XMPP, par danny pour le blog dmcc. [EN]
• MembeBot: ohhh I member : Prêt à mettre en place votre propre système de notifications d'événements de calendrier sans dépendre des géants de la tech ? par TheCoffeMaker pour Cyberdelia. [ES]
• Présentation de Wimsy : Un client XMPP multiplateforme conçu avec Flutter.

Nouvelles des logiciels XMPP

Clients et Applications XMPP

• Conversations a publié les versions 2.19.10, 2.19.11 et 2.19.12 pour Android. Ces versions apportent une refonte de la gestion des QR code et URI, une correction d'un problème de rotation pour les tablettes et permet également de supprimer les messages lors du bannissement d'un participant d'un salon public, entre autres. Vous pouvez consulter le journal des modifications pour tous les détails.
• Fluux Messenger, un client XMPP moderne, multi-plateforme, pour les communautés et organisations, les versions 0.11.3, 0.12.0, 0.12.1, 0.13.0, 0.13.1 et 0.13.2 ont été publiées, avec une liste d'ajouts, nouvelles fonctionnalités, corrections de bogues et améliorations qui bien plus longue que ce qu'on peut mentionner ici. Consultez directement le journal des modifications pour tous les détails !

• Gajim a publié sa version 2.4.4 de son application de chat XMPP gratuit et bourré de fonctionalités. Cette publication apporte la prévisualisation des liens, un grand nombre d'améliorations pour macOS, et des corrections de bogues. Merci pour toutes vos contributions ! Vous pouvez consulter le journal des modifications pour tous les détails.

• Monal a sorti sa version 6.4.18 pour iOS et macOS.
• Monocles a sorti ses versions 2.1.2 et 2.1.3 de son client de messagerie instantanée pour Android. La première publication apporte des corrections pour la rétraction des messages, les images envoyées en tant que lien et la récursion infinie du TagEditorView, ajoute le support des liens dans les posts, désactive le bouton publication après un clic pour éviter un double post, refactorise l'interface utilisateur pour la correction des messages et une évolution dans le modèle d'accès au canal social pubsub. Pour la dernière, elle ajoute la pause et reprise de story sur le dialogue supprimer, des corrections pour la gestion de la barre d'avancement et la recherche de contact pour les stories, et enfin des corrections depuis Conversations, ainsi qu'une mise à jour des traductions.
• Profanity a sorti sa version 0.16.0 de son client XMPP console écrit en C. Cette publication apporte des corrections pour la détection OTR, le démarrage OMEMO, l'écrasement des nouveaux comptes lors de l'exécution en mode multi-instance, la reconnexion lorsqu'aucun compte n'a été encore configuré, l'ajout d'une nouvelle commande /changes qui permet à l'utilisateur de comparer les modifications de la configuration d'exécution et la configuration sauvegardée, parmi de nombreux autres corrections de bogues ou améliorations. Merci de consulter le journal des modifications pour tous les détails !
• xmpp-web a sorti sa version 0.11.0 de son client léger pour serveurs XMPP.

Serveurs XMPP

• ProcessOne a le plaisir d'annoncer la publication de correction de bugs de ejabberd 26.02. Lisez le journal des modifications pour tous les détails et la liste complète des corrections et améliorations apportées par cette publication.

Bibliothèques et outils XMPP

• python-nbxmpp, une bibliothèque Python qui fournit aux applications Python un moyen d'utiliser le réseau XMPP, la version 7.1.0 a été publiée. Détails complets dans le journal des modifications.
• QXmpp, le client et serveur XMPP multi-plateforme en C++, les versions 1.13.1, 1.14.1, 1.14.2 et 1.14.3 ont été publiées. Détails complets dans le journal des modifications.
• Siltamesh, une passerelle simple entre Meshtastic et les réseaux XMPP, la version 0.2.0 a été publiée.
• Slidge : la version 0.3.7 a été publiée. Vous pouvez consulter les journaux des modifications intermédiaires de 0.3.6 à 0.3.7 pour tous les détails.
• Slixmpp, la bibliothèque XMPP pour Python 3.7+ sous licence MIT : les versions 1.13.0 et 1.13.2 ont été publiées. Vous pouvez consulter les annonces officielles ici et ici pour tous les détails.
• xmpppy, une librairie Python qui vise à fournir un environnement de script simple pour Jabber, la version 0.7.3 a été publié. L'ensemble des détails est disponible dans le journal des modifications.

Extensions et spécifications

La XMPP Standards Foundation développe des extensions à XMPP dans sa série de XEP en plus des RFC XMPP. Des développeuses, développeurs et autres personnes expertes en normes du monde entier collaborent à ces extensions, élaborant de nouvelles spécifications pour les pratiques émergentes et affinant les méthodes existantes. Proposées par n'importe qui, celles qui remportent le plus de succès finissent par être classées comme finales ou actives, selon leur type, tandis que les autres sont soigneusement archivées comme différées. Ce cycle de vie est décrit dans la XEP-0001, qui contient les définitions formelles et canoniques des types, des états et des processus. Vous pouvez en savoir plus sur le processus de normalisation ici. La communication autour des normes et des extensions se fait via la liste de diffusion des normes (archives en ligne).

Extensions proposées

Le processus de développement d'une XEP commence par la rédaction d'une idée et sa soumission à l'éditeur XMPP. Dans un délai de deux semaines, le Conseil décide d'accepter ou non cette proposition en tant que XEP expérimentale.

• Metadonnées des liens
  • Cette spécification décrit comment attacher les métadonnées d'un lien dans un message.

Nouvelles extensions

• Version 0.1.0 de la XEP-0510 (Métadonnées de contact chiffrées de bout en bout)
  • Acceptée comme Expérimentale par vote du conseil (dg)
• Version 0.1.0 de la XEP-0511 (Métadonnées des liens)
  • Acceptée comme Expérimentale par vote du conseil (dg)

Extensions déférées

Si une XEP expérimentale n’est pas mise à jour pendant plus de douze mois, elle sera retirée de la catégorie Expérimentale pour être classée comme Déférée. Si une mise à jour intervient, la XEP sera replacée dans la catégorie Expérimentale.

• Pas de XEP déférée ce mois-ci

Extensions mises à jour

• Version 1.26.0 de la XEP-0001 (XMPP Extension Protocols)

  • Affichage (et correction) des informations de gestion du code source.
  • Affichage de l'URL de publication (bien que je suppose que tous ceux qui lisent ceci l'ont trouvé depuis).
  • Affichage des contributeurs.
  • Ajout d'une clé concernant les auteurs de XEP faisant des PR s'ils n'existent pas - c'est "nouveau" plutot que de documenter l'usage actuel.
  • Ajout d'une clé concernant les PR recevant l'approbation de l'auteur de la XEP (pratique existante toutefois non documentée).
  • Ajout d'une clé concernant le Conseil (etc) ajoutant les auteurs aillant quitté (pratique existante toutefois non documentée).
  • Ajout d'une note clarifiant que la Rétraction ne signifie pas la Suppression (pratique habituelle, documentée, mais a été mal interprété par le passé). (dwd)

• Version 1.1.0 de la XEP-0143 (Guidelines for Authors of XMPP Extension Protocols)

  • Reflète la préférence pour des pull request Github pour la soumission initiale,
  • les PR ne contiennent qu'une XEP à modifier. (dwd)

• Version 0.8.0 de la XEP-0353 (Jingle Message Initiation)

  • Adapter l'usage des types JID aux cas d'usage réels :
    • Envoi des réponses JMI au JID complet de l'initiateur au lieu du JID de base
    • Envoi l'élément JMI <finish/> au JID complet des deux parties (melvo)

Dernier appel

Les derniers appels sont lancés une fois que tout le monde semble satisfait de l'état actuel d'une XEP. Une fois que le Conseil a décidé que la XEP semble prête, l'Éditeur XMPP émet un dernier appel pour recueillir des commentaires. Les commentaires recueillis lors du dernier appel peuvent aider à améliorer la XEP avant de le renvoyer au Conseil pour qu'il passe à l'état Stable.

• Pas de dernier appel de XEP ce mois-ci

Extensions stables

• Pas de XEP passant stable ce mois-ci

Extensions dépréciées

• Pas de XEP dépréciée ce mois-ci

Extensions rejetées

• Pas de XEP rejetée ce mois-ci

Partagez les nouvelles

Veuillez partager cette nouvelle sur d'autres réseaux :

• Mastodon
• Movim
• Bluesky
• LinkedIn
• YouTube
• Instance Lemmy (non officielle)
• Reddit (non officiel)
• Page Facebook XMPP (non officielle)

Consultez également notre flux RSS !

Vous recherchez des offres d'emploi ou souhaitez engager un consultant professionnel pour votre projet XMPP ? Consultez notre tableau d'affichage des offres d'emploi XMPP.

Contributions et traductions de la lettre d'information

Il s'agit d'un effort communautaire, et nous tenons à remercier les traductrices et traducteurs pour leur contribution.
Les bénévoles et les nouvelles langues sont les bienvenues !
Les traductions de la lettre d'information XMPP seront publiées ici (avec un certain retard) :

Contributions à la lettre d'information de ce mois-ci : emus, cal0pteryx, Gonzalo Raúl Nemmi, Ludovic Bocquet, sokai, XSF iTeam

Contributions à la traduction :

• Français: Adrien Bourmault (neox), anubis, seveso, impromptux
• Italien: Mario Sabatino, Roberto Resoli
• Portugais: Paulo

Aidez-nous à créer la lettre d'information

Cette lettre d'information XMPP est produite en collaboration avec la communauté XMPP. Chaque numéro mensuel est rédigé dans ce simple pad. À la fin de chaque mois, le contenu du pad est fusionné dans le dépôt GitHub de la XSF. Nous sommes toujours ravis d'accueillir de nouvelles personnes contributrices. N'hésitez pas à rejoindre la discussion dans notre groupe de discussion Comm-Team (MUC) et à nous aider ainsi à poursuivre cet effort communautaire. Vous avez un projet et souhaitez le faire connaître ? N'hésitez pas à partager vos actualités ou événements ici, et à les promouvoir auprès d'un large public.

Tâches que nous effectuons régulièrement :

• collecte d'actualités dans l'univers XMPP
• résumés courts d'actualités et d'événements
• résumé de la communication mensuelle sur les extensions (XEP)
• révision du projet de lettre d'information
• préparation d'images pour les médias
• traductions
• communication via les comptes des médias

Licence

Cette lettre d'information est publiée sous licence CC BY-SA.

Commentaires : voir le flux Atom ouvrir dans le navigateur

Lire la suite

L’article AI Act : ce que les entreprises ont appris durant la Nuit des Acteurs du Numérique Azuréens du 19 mai 2026 est apparu en premier sur Telecom Valley.

Les procédures judiciaires à l'encontre des médias se multiplient. Cet entretien avec la juriste Sophie Lemaître permet de dresser un panorama des attaques en justice menées par les États et les milieux économiques contre la société civile.

Deux journées d'études le 11 et 12 juin organisées autour de la question "qu'est-ce qui pourrait nous démasquer ?" dans le cadre de la trajectoire de recherche appelée Unbordering.
Au cours de ce programme de deux jours, nous aborderons plusieurs niveaux susceptibles de "nous démasquer" ou, à l'inverse, "de nous masquer" - de la perspective à grande échelle des frontières nationales au gros plan sur les connaissances internes et/ou héritées.
Nous nous réunirons notamment avec (…)

L'ALDIL passera le dernier weekend de mai avec vous à l'ENS pour les Journées du logiciel Libre.
Après ça, les membres seront convoqué·e·s en assemblée générale courant juin (le 18 si tout va bien).

L’article Newsletter ALDIL du mois de juin 2026 est apparu en premier sur ALDIL.