Contexte

Lorsqu’un serveur démarre, ses volumes chiffrés ne sont pas déchiffrés et pas montés. Par défaut, si les partitions ne sont pas en montage automatique il faut faire les actions à la main après le démarrage, et si les partitions sont configurées pour un montage auto alors il faut saisir la passphrase au démarrage.

Dans notre cas (chez Evolix), ce déchiffrement n’est pas fait automatiquement car nous n’avons pas mis en place de moyen de déchiffrement stocké localement de manière sécurisée.

En revanche, en utilisant le binôme « Clevis + Tang » il est possible de faire ce déchiffrement automatiquement grace à un moyen de déchiffrement distant et sécurisé.

Clevis + Tang

Clevis est un outil qui permet d’automatiser le déchiffrement. Parmi les méthodes possibles il y a l’utilisation d’une ressource réseau pour obtenir des éléments de déchiffrement.

Tang est cette ressource réseau (un très simple serveur HTTP) qui stocke et communique des éléments qui seront utilisés par Clevis pour le déchiffrement.

C’est un peu comme si on stockait la passphrase ailleurs sur le réseau pour éviter de la stocker localement. En réalité ça n’est pas la passphrase elle-même mais une partie d’une information qui va autoriser le déchiffrement. Si le serveur qui a son volume chiffré (et Clevis configuré) est séparé (en termes de réseau) du serveur Tang, alors le déchiffrement automatique ne peut pas avoir lieu.

Il est important de préciser que la partie Tang doit être protégée, car si on arrive à extraire à la fois le volume chiffré et les données de Tang, il devient possible de déchiffrer le volume.

Par exemple, si la partie Clevis et la partie Tang sont physiquement proches (dans la même baie ou salle de datacenter, ou dans 2 serveurs virtuels gérés par le même hyperviseur) il faut que les données de Tang soient stockées de manière chiffrées elles-aussi. On retrouve alors le problème de départ : comment déchiffrer le volume qui contient ces données ?

Jusque-là nous avons accepté les contraintes d’un déchiffrement manuel pour Tang, en estimant que ça sera suffisamment rare pour ne pas être problématique. Mais on peut envisager de déchiffrer automatiquement les données de Tang grâce un autre serveur Tang qui ne souffre pas des limites de proximité. On ne fait que reporter le problème, mais ça reste envisageable si on a plusieurs frontières réseau et physiques disponibles.

Il est aussi conseillé de protéger Tang au niveau réseau ; si possible avec des restrictions d’interfaces d’écoute (uniquement sur un LAN…), et à minima avec des restrictions d’IP source pour ne pas que n’importe qui puisse récupérer en HTTP les informations de Tang.

Scenarios opérationnels

Si le serveur Tang est le seul à redémarrer (pour une maintenance…), alors il faut s’y connecter (en console ou SSH), déverrouiller/monter le volume chiffré pour Tang. Et c’est tout. Tang ne doit être disponible qu’au moment du déchiffrement automatique.

Si un serveur avec Clevis redémarre et le serveur Tang est disponible, alors le déchiffrement du volume et le montage de la partition va se faire automatiquement. Il n’y a aucune action manuelle à faire.

Si un serveur avec Clevis redémarre et le serveur Tang n’est pas disponible, alors on peut faire le déchiffrement manuellement, ou bien rendre le serveur avec Tang disponible et déclencher le déverrouillage par Clevis.

Proxy HTTP

Dans certains cas on peut mettre un proxy HTTP en bordure du réseau (par exemple HAProxy), accessible depuis l’extérieur. Celui-ci va exposer le service interne à l’extérieur, tout en appliquant des logiques de filtrage. Mais souvent, on ne souhaite pas du tout exposer de tels services, même avec un filtrage par IP ou authentification.

Redirection de port par SSH

Si on dispose d’un bastion ou d’un serveur de rebond (à la fois dans le réseau publique et dans le réseau interne), on peut aussi utiliser le principe du tunnel SSH. On démarre une connexion SSH vers le serveur intermédiaire. Cette connexion SSH ouvre un port local pour lequel il va transmettre le trafic avec un certain port distant :

$ ssh -L <LOCAL_PORT>:<REMOTE_HOST>:<REMOTE_PORT> <FORWARD_HOST>`

Par exemple, ssh -L 8443:192.168.2.1:443 203.0.113.1 permettra se se connecter sur https://127.0.0.1:8443 pour en réalité contacter https://192.168.2.1:443 en passant par 203.0.113.1.

C’est bien mais limité ; on n’a qu’un seul port (à moins de faire plusieurs -L XXX), l’hôte de connexion est 127.0.0.1 au lieu de l’hôte réel et ça peut causer des soucis de certificats…

Redirection dynamique par SSH

Il est aussi possible d’utiliser le « dynamic forwarding » de SSH. On ouvre aussi une connexion vers son hôte intermédiaire, mais cette connexion servira de proxy SOCKS5.

En configurant son navigateur pour utiliser ce proxy, on y fera passer tout le trafic voulu comme pour une connexion directe. : ssh -D LOCAL_PORT FORWARD_HOST.

C’est très bien mais fastidieux car les navigateurs courants présentent des interfaces très limitées pour la configuration. Et si on ne veut pas que tout le trafic du navigateur passe par ce proxy on se retrouve à activer/désactiver ça en permanence.

Heureusement, il existe l’extension FoxyProxy qui permet de le faire de manière conditionnelle et plus ergonomique (Merci à Laurent Guerby de m’avoir fait découvrir ça pendant le FOSDEM 2026).

Il y a plusieurs mode pour l’utilisation de FoxyProxy : global, par onglet ou par motif d’URL. Si les interfaces utilisées sont sur des domaines ou IP fixes et peu nombreuses, le mieux est d’utiliser des motifs d’URL.

Une fois FoxyProxy installé dans votre navigateur, il est conseillé de l’épingler dans la barre d’outils du navigateur. On accède alors facilement à ses fonctionnalités et sa configuration.

La configuration est accessible par l’icone de l’extension, puis le bouton « Options ». On crée alors un ou plusieurs proxys. Voici un exemple de configuration :

• Nom : localhost:9090
• Type : SOCKS5
• Hostname : 127.0.0.1

Dans la section « Proxy by Patterns » on ajoute autant de lignes que souhaité, par exemple :

• Proxy By Patterns : Include / RegExp
• Nom : 10.42.*.*
• Modèles : ^(http|ws)s?://10\.42(\.\d+)(\.\d+)/

On active ensuite le mode Proxy by Patterns dans le menu déroulant de l’extension.

Si vous activez la fonctionnalité Proxy DNS vous utiliserez alors la résolution DNS du serveur de rebond (y compris les entrées de /etc/hosts).

Mise en pratique

Pour l’ouverture de la connexion SSH, vous pouvez le faire avec la ligne de commande complète : ssh -D 9090 203.0.113.1. On peut aussi ajouter une entrée dans la config SSH locale (à laquelle vous pouvez évidemment ajouter toutes les options utiles ; User, Port, clés SSH…) :

# vim ~/.ssh/config
[…]
Host bastion-forward
    Hostname 203.0.113.1
    DynamicForward 9090
[…]

On peut alors simplifier la connexion :

$ ssh bastion-forward

En se rendant sur une URL qui correspond aux motifs configurés, ou si vous êtes sur un onglet concerné, ou si vous avez activé le mode global, votre trafic sera dirigé sur le proxy SOCKS5 local et passera par votre connexion SSH.

Une DebConf est une conférence dédiée à la distribution Debian, organisée par la communauté. Elle a lieu tous les ans dans une ville différente du monde. C’est l’occasion pour quelques centaines de personnes de se rencontrer physiquement pour des discussions, travaux, présentations, et moments sociaux. Elle est reconnue comme étant un élément clé dans la cohésion de cette communauté globale. Généralement la DebConf se déroule du lundi au samedi avec un planning dense de présentations et quelques moments plus détendus pour favoriser la socialisation. Elle est souvent précédée par une semaine de DebCamp, beaucoup plus informel qui permet à des équipes spécialisées de se retrouver pour des sessions de travail en face-à-face, organisées ou impromptues

Ma première participation à une DebConf était en 2017 à Montréal. Depuis j’ai participé à l’organisation de plusieurs Mini DebConf (Toulouse 2017, Marseille 2019, Toulouse 2024). Ce sont des versions plus modestes et plus courtes, mais l’esprit reste identique.

Sans grande poésie je vais passer en revue les différents aspects qui m’ont marqué pendant ces 12 jours.

Travaux internes

Les quelques personnes d’Evolix qui étaient là ont pu se réserver quelques heures de travail, plus ou moins focalisées sur Debian et des projets internes en cours. On n’a rien révolutionné, mais on a pu faire avancer les choses sur plusieurs points. C’était cool d’avoir une occasion supplémentaire de le faire car dans le feu du quotidien, ça n’arrive pas si souvent que ça. Personnellement j’ai très peu gardé le contact avec le reste de l’activité de la boîte. J’avoue avoir beaucoup de mal à être dans deux dynamiques à la fois.

Video-team

J’avais très envie de mettre un peu les pieds dans l’équipe vidéo de Debian. C’est un pilier des événements car c’est ça qui fait que les présentations sont filmées pour être diffusées en direct puis disponibles au visionnage. Ils ont mis sur pieds il y a bien longtemps et raffinent année après année un dispositif professionnel de captation, de mixage, de diffusion… Ça résonne particulièrement avec mes hobbies donc je voulais m’impliquer plus. J’ai suivi leur formation pour la manipulation en direct : technicien son, opérateur caméra et réalisateur. J’ai pu assurer un de ces rôles pendant une quinzaine de sessions. Au delà de l’utilité pour la conférence, j’ai appris plein de choses en posant mille questions aux vétérans. La prochaine étape pourrait être de rentrer plus dans les coulisses. Ça sera peut-être pour une prochaine fois.

Contenu

Les contenus et les sujets présentés pendant une DebConf sont très variés mais tournent exclusivement autour de la distribution. Certaines pésentations sont très techniques et pointues, d’autres sont orientées sur la communication, la gouvernance, la diversité, la communication… Il y a en pour tous les goûts. Il arrive que je sois dans une salle et qu’une présentation me parle plus que la moyenne, mais généralement je me sens moyennement connecté car je n’ai pas un rôle central dans cette communauté. Je ne suis pas mainteneur de paquets, ni aucune autre équipe. Voici quelques présentations qui m’ont intéressé ou marqué :

• Semi-serious stand up comedy, 10 years later
• wcurl - one year later
• reproduce.debian.net - rebuilding what is distributed from ftp.debian.org
• Bits from APT
• Meet the Technical Committee
• debian.social BoF

DayTrip

Généralement en milieu de conférence, une journée spéciale — le Day Trip — permet à tout le monde de s’écarter des salles de travail et de présentation, pour aller passer une journée plus touristique. Il y a souvent plusieurs choix possibles. J’ai choisi l’option de la journée de balade à vélo sur l’Île d’Ouessant. Après 1h30 d’une traversée en bateau qui a tracassé l’estomac de quelques personnes, on a été accueilli par un grand soleil et des vélos rouges. Une belle crêperie a pris soin de nos papilles et nous a donné des forces pour arpenter l’île. On y a rencontré quelques chèvres, moutons et vaches, une végétation visiblement influencée par un climat marin rigoureux et plusieurs phares ou vigies. Les coups de soleil ont surpris les maladroits qui n’avaient pas anticipé.

Soirée « Cheese & Wine »

Autre tradition depuis 2004, une soirée est dédiée au partage de denrées alimentaires variées, par toutes les personnes intéressées. Ça va bien-sûr au-delà du vin et du fromage, même s’ils restent les composants phares de la soirée. Au total ce sont des dizaines de kilos de fromages et de litres de vin (ou autres alcools plus ou moins forts) qui ont été engloutis en 3 heures, après un après-midi entier nécessaire à la découpe, étiquetage, présentation… Anecdote marseillaise ; à Montréal nous avions apporté du pastis et des non connaisseurs s’étaient lancés dans une dégustation sans eau ajoutée. Ça nous avait fait bien rire à l’époque (plus qu’eux), donc cette année j’avais mis une étiquette explicite sur la bouteille : « add water : 5×1 ». Il faut croire que les gens ne lisent pas, car très peu d’eau a été ajoutée au super « Pastis de la Plaine » apporté par Grégory. Pour ma part, j’ai abusé d’un Parmesan de 150 mois, de la caïpirinha préparée par les brésiliens, de Gins de Martinique et de Suisse (et oui !). Je suis rentré repu et saoul, mais dignement !

Les langues

Il y avait des personnes de plus de 50 pays différents. Évidemment l’anglais est la langue de référence dans ces cas-là, mais occasionnellement des groupes se replient temporairement sur leur langue commune. On a beaucoup entendu d’allemand, de français, de portuguais/brésilien… On peut noter l’effort important que cela demande aux personnes dont l’anglais n’est pas la langue maternelle ou une langue massivement enseignée.

Notre présentation

Grégory et moi travaillons depuis plusieurs mois à une présentation de la manière dont nous maintenons à jour nos serveurs sous Debian. Après plusieurs itérations, nous avons préparé une version en anglais qui couvrait en 40 minutes les mises à jour mineures (de sécurité) et les majeures (changement de version). Un mauvais virus a malheureusement empêché Grégory de faire la présentation avec moi. J’ai l’impression que ça s’est bien déroulé. Il y a eu plusieurs questions pertinentes sur place et plus tard. La captation vidéo est de mauvaise qualité. Les diapos ont été coupées et le cadrage n’est pas super. Et comme pour quelques autres présentations, le son a été dégradé par l’enregistrement. Nous présenterons d’ailleurs (en français) ce même sujet au Capitole du Libre à Toulouse le samedi 14 novembre 2015.

Rencontres

La DebConf est surtout un événement social. C’est l’occasion de rencontrer ou retrouver des gens qui sont directement responsables de parties de la distribution ou de la communauté. Nous avons notamment pu discuter avec Lee Garrett qui maintient Ansible dans Debian. Nous avons mis en évidence que la version de Debian 13 est incompatible avec des serveurs en Debian 10 ou inférieur. Ça permis de discuter de solutions ou contournements possibles. J’ai aussi longuement discuté avec des personnes qui font un métier d’hébergeur/infogérant comme Evolix. Nous avons partagé des approches, techniques, difficultés… En dehors des paquets et du code on retrouve la très grande diversité de Debian au travers des humains qui la font vivre ; religions, langues, cultures, identités de genre… Dans un monde polarisé, chargé d’antagonismes, ça fait du bien de trouver de l’ouverture (d’esprit, de bras, de code).

C’est drôle qu’à la fin de mon post sur la fin de mon compte Dropbox je disais « il me reste principalement Instagram et Gmail » en oubliant complètement Twitter.
Je pense qu’à l’époque je considérais Twitter comme acquis et pas du tout problématique. Et depuis l’ouverture de mon compte en 2009 j’avais toujours eu beaucoup de chance (ou une bonne curation) et jamais ressenti de toxicité dans mon fil. Je ne suivais pas de comptes trop populaires, pas de médias mainstream. Tant que j’ai pu, j’ai utilisé un client sans pub ni bullshit d’algorithmes. Twitter a participé activement à mon instruction, à l’élargissement de mes connaissances sociales et techniques, à l’ouverture de mon esprit à des idées nouvelles et progressistes… Il a tenu une des promesses d’Internet.

Depuis le rachat de Twitter par Elon Musk, ses décisions éthiques et techniques désastreuses et enfin le naufrage d’extrême droite qu’il incarne, je ne pouvais plus supporter ça.

En janvier 2024, j’avais décidé de ne plus utiliser Twitter, pour 1 mois (comme un « dry january »), pour voir si j’arrivais à m’en détacher. Le mois s’est transformé en une année pendant laquelle je ne me suis connecté que 2 ou 3 fois. Ça a été un sevrage sans effort ni frustration. Pas de ressenti à la Trainspotting ou d’Arizona Dream pour moi.

Depuis 2019 j’utilise Mastodon sur l’instance interne d’Evolix (on en a aussi une ouverte à tou⋅tes). J’utilise aussi un client sans pub ni bullshit.
Je n’ai pas retrouvé toutes les mêmes personnes, mais j’en ai rencontré d’autres. et pour les grandes lignes je n’ai rien perdu.

J’ai aussi repris l’habitude de consulter des flux RSS de sites, blogs, médias… C’est tellement simple et propre. Ça aussi c’est une des promesses d’Internet qui est tenue.

Il y a quelques jours/semaines, j’ai téléchargé une dernière archive de mes données Twitter/X, et j’ai demandé à fermer mon compte. Je ne me fais pas d’idée, je ne pense pas qu’ils suppriment les données, mais je n’y suis plus.

Il paraît qu’il y a un risque de squatting sur les comptes fermés. Je n’ai pas trop pensé à ça (alors que j’y avais pensé en quittant Wordpress). On verra bien.

Je vais probablement écrire des bêtises ou montrer que j’ai fait des choses un peu débiles, mais je suis sûr que vous me les pointerez avec bienveillance.

Depuis les débuts de l’ADSL en France, je suis chez Free. Tout n’est pas parfait, mais j’ai toujours eu plus de raisons de rester que de partir.

J’ai la Freebox v6 « Revolution » depuis sa sortie en 2010/2011. Pendant longtemps j’ai utilisé la multitude de services : Wifi, UPnP/DLNA, passerelle DECT, stockage/seedbox, player TV/DVD/…
À une certaine période, à chaque orage je perdais ma Freebox (probablement à cause d’installations communes mal isolées) et j’ai sérieusement songé à quitter Free. Ils ne sont pas responsables des orages ni des défauts d’isolation de l’ADSL, mais l’électronique de la Freebox est notoirement peu résistante aux surtensions venant du réseau téléphonique.
J’ai donc petit-à-petit réduit ma dépendance aux services proposés, jusqu’à avoir un “vrai” routeur ainsi qu’un réseau Wifi et un système multimédia indépendants. Je n’utilise plus le DECT (plus de fixe à la maison). Par contre j’utilise encore la passerelle VoIP interne avec mon alarme qui est branchée en RJ11 sur la Freebox Server.

Je ne sais pas pourquoi mais j’ai toujours cru que passer ma Freebox Server en mode “bridge” (au lieu de “routeur”) allait me désactiver Freebox Player et la passerelle VoIP. C’est pourquoi je restais en mode “routeur” avec un double-NAT.

Aussi, mon ADSL s’est fortement dégradé dans le temps. Alors que je suis à 500m du DSLAM, mon débit max en upload s’était réduit d’environ 1 Mo/s à 450 ko/s ces derniers mois.
Très récemment (en septembre), j’ai découvert par hasard que j’étais éligible à un raccordement à la fibre optique depuis un certain temps, mais Orange qui a posé les fibres avait référencé des adresses qui n’existent pas sur le cadastre, donc les outils de tests d’éligibilité me disaient toujours d’arrêter de rêver. Il a fallu que je fouille sur les outils de l’ARCEP pour voir que j’étais éligible.
Ça a été tout un périple – je le raconterai peut-être plus tard – mais je suis raccordé à la fibre depuis début décembre.

Je dois dire d’ailleurs que le service client de Free (et la procédure de transition ADSL/Fibre) a été incroyable. J’étais resté sur des équipes sous-dimensionnées, délocalisées, limites incompétentes… Mais je constate que ça s’est énormément amélioré.

Et qu’est-ce qu’on fait quand on passe à la fibre ? On court tester à quel point ça va vite. Un copain qui héberge un “speedtest” chez lui (chez Free aussi) m’a demandé de tester la liaison entre nos deux connexions. Sauf que les services qu’il héberge ne sont accessibles qu’en IPv6 et par flemme (notamment à cause de l’empilement de routeurs chez moi) je n’avais pas fait en sorte de pouvoir faire de l’IPv6.

Après tant d’années à procrastiner, j’ai voulu faire l’effort et activer l’IPv6. Et une des approches les plus simples était de passer le Freebox Server en mode bridge. J’étais prêt à renoncer complètement au Freebox Player, mais des pages mentionnaient qu’en bidouillant un truc avec un VLAN 100… on pouvait le faire remarcher. Idem pour la passerelle VoIP qui n’était pas listée dans les services désactivés en passant en mode bridge.

Fin du contexte, début de la technique.

Lorsque la Freebox Server passe en mode bridge, elle attribue l’IP publique (probablement par DHCP) à la première machine qui la demande sur son switch ethernet.

En passant dans ce mode, j’ai perdu accès à Internet et au FreeboxOS.

Sur le switch intégré du Freebox Server j’avais aussi une sonde Atlas (86.83% d’uptime depuis avril 2012) en plus du FreePlug et de mon routeur.
Donc soit l’adresse publique a été donnée d’abord à la sonde Atlas au lieu de mon routeur, soit mon routeur n’avait pas encore refait de requête DHCP et il était resté sur son adresse locale.
J’ai eu peur d’avoir fait une belle connerie ; j’ai tout débranché du Freebox Server et rebooté mon routeur. Ça l’a forcé à refaire une requête DHCP et il a donc pris l’adresse publique. Et comme il n’avait rien changé à sa configuration de serveur DHCP, NAT… j’ai retrouvé accès à Internet et au FreeboxOS.

Pour l’accès au FreeboxOS par https://mafreebox.freebox.fr, je n’ai pas en tête le détail exact, mais je suppose que le Freebox Server intercepte les requêtes à 212.27.38.253. En tous cas on ne perd pas l’accès quand on est mode bridge. On peut toujours revenir en arrière… C’est aussi utile pour retrouver l’adresse IPv6 du lien local (pour plus tard).

Au final, j’ai rebranché ma sonde Atlas en aval du routeur et elle remarché directement. Pour le FreePlug, j’y reviens plus tard, mais y’a pas de souci.

Pour la partie IPv6, j’ai suivi des articles à droite et à gauche mais voici en gros ma configuration (valide pour EdgeOS v2.0.9-hotfix.7).

NB : J’ai mis des ****** à la place d’informations spécifiques et sans intérêt.
J’ai mis <IPV6-PREFIX> qui correspond aux 4 premiers “champs” de votre bloc d’IPv6 donné par Free.
Enfin, j’ai mis <FREEBOX-IPV6-LINK-LOCAL> pour la route statique, qui correspond à l’adresse IPv6 locale de votre Freebox Server. On récupère cette information dans FreeboxOS > Paramètres de la Freebox > Mode Avancé > Configuration IPv6 > Général.

firewall {
    all-ping enable
    broadcast-ping disable
    group {
        network-group RFC1918 {
            description "RFC1918 ranges"
            network 10.0.0.0/8
            network 172.16.0.0/12
            network 192.168.0.0/16
        }
    }
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN inbound traffic forwarded to LAN"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow ICMPv6"
            protocol icmpv6
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WAN inbound traffic to the router"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow ICMPv6"
            protocol ipv6-icmp
        }
        rule 40 {
            action accept
            description "Allow DHCPv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name IOT_IN {
        default-action accept
        description ""
        rule 1 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
        rule 3 {
            action drop
            description "Block local access"
            destination {
                group {
                    network-group RFC1918
                }
            }
            log disable
            protocol all
            source {
                group {
                }
            }
        }
    }
    name IOT_LOCAL {
        default-action drop
        description ""
        rule 1 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
        rule 3 {
            action accept
            description "Allow DNS"
            destination {
                port 53
            }
            log disable
            protocol tcp_udp
        }
        rule 4 {
            action accept
            description "Allow DHCP"
            destination {
                port 67
            }
            log disable
            protocol udp
        }
    }
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    name WAN_OUT {
        default-action accept
        description "router to WAN"
        rule 1 {
            action drop
            description "TV out (ethernet)"
            log enable
            protocol all
            source {
                mac-address ******
            }
        }
        rule 2 {
            action drop
            description "TV out (wifi)"
            log enable
            protocol all
            source {
                mac-address ******
            }
        }
        rule 3 {
            action accept
            description NTP
            destination {
                port 123
            }
            log enable
            protocol udp
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address dhcp
        address fe80::1/64
        description Internet
        duplex auto
        firewall {
            in {
                ipv6-name WANv6_IN
                name WAN_IN
            }
            local {
                ipv6-name WANv6_LOCAL
                name WAN_LOCAL
            }
            out {
                name WAN_OUT
            }
        }
        speed auto
    }
    ethernet eth1 {
        description Local
        duplex auto
        speed auto
    }
    ethernet eth2 {
        description Local
        duplex auto
        speed auto
    }
    ethernet eth3 {
        description Local
        duplex auto
        speed auto
    }
    ethernet eth4 {
        description Local
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        address 10.10.0.1/24
        address <IPV6-PREFIX>::1/64
        description Local
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag false
                max-interval 600
                other-config-flag false
                prefix <IPV6-PREFIX>::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        mtu 1500
        switch-port {
            interface eth1 {
            }
            interface eth2 {
            }
            interface eth3 {
            }
            interface eth4 {
            }
            vlan-aware disable
        }
        vif 20 {
            address 10.10.20.1/24
            description IOT
            firewall {
                in {
                    name IOT_IN
                }
                local {
                    name IOT_LOCAL
                }
            }
            mtu 1500
        }
    }
}
protocols {
    static {
        route6 ::/0 {
            next-hop <FREEBOX-IPV6-LINK-LOCAL> {
                description Freebox
                interface eth0
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name IOT {
            authoritative disable
            subnet 10.10.20.0/24 {
                default-router 10.10.20.1
                dns-server 10.10.20.1
                lease 86400
                start 10.10.20.2 {
                    stop 10.10.20.254
                }
                static-mapping shellyplugsg3-****** {
                    ip-address 10.10.20.11
                    mac-address ******
                }
            }
        }
        shared-network-name LAN {
            authoritative enable
            subnet 10.10.0.0/24 {
                default-router 10.10.0.1
                dns-server 10.10.0.1
                domain-name ******
                lease 86400
                start 10.10.0.21 {
                    stop 10.10.0.240
                }
                static-mapping TV-ethernet {
                    ip-address 10.10.0.33
                    mac-address ******
                }
                static-mapping TV-wifi {
                    ip-address 10.10.0.48
                    mac-address ******
                }
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 500
            listen-on switch0
            listen-on switch0.20
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    mdns {
        reflector
    }
    nat {
        rule 5010 {
            description "masquerade for WAN"
            outbound-interface eth0
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    unms {
        disable
    }
}
system {
    analytics-handler {
        send-analytics-report true
    }
    crash-handler {
        send-crash-report true
    }
    domain-name ******
    host-name ******
    login {
        user ****** {
            authentication {
                encrypted-password ******
            }
            level admin
        }
    }
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat enable
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Paris
}

Je précise tout de même quelques caractéristiques de la configuration de mon routeur :

• J’utilise eth0 pour le WAN et j’ai créé switch0 avec eth1-4 pour le LAN. Je n’utilise pas le PoE sur eth4.
• J’ai une TV connectée (à mon grand regret) à qui je refuse la sortie sur Internet à part pour le NTP (et en écrivant ces lignes je capte que cette règle ne s’applique qu’en IPv4 et pas encore en IPv6).
• J’ai un réseau Wifi spécial pour les objets connectés (car certains doivent accéder à Internet) qui tague les paquets avec le VLAN 20. Ça permet au routeur de les cantonner à un LAN spécial (séparé du LAN principal), tout en les laissant sortir sur Internet. Ça protège contre la latéralisation (depuis un object connecté on ne peut pas voir les ordis/NAS/téléphones/…).
• La plupart de mes appareils (ordis,NAS, téléphones…) ont une IP fixe dans la plage du DHCP, mais j’ai omis ça exprès. Vous n’avez pas besoin de savoir ce qu’il y a chez moi.

Avec cette configuration, j’ai bien de l’IPv6 sortant sans problème.

Il y a par contre un truc étrange ; lorsque je suis en SSH sur le routeur, un ping en IPv6 ne marche pas alors qu’il marche depuis un ordi sur le LAN. Je m’en fiche pas mal mais c’est probablement que j’ai raté quelque chose.

Il reste un détail, le Freebox Player. Même si la plupart du temps j’utilise un autre système multimédia, j’aime savoir que je peux utiliser le lecteur DVD/BluRay du Player.

J’avais noté que selon les Freebox il y avait des astuces pour faire marche le Player quand le Server est en mode bridge. Pour la Freebox « Révolution » il y a une histoire de VLAN 100.
Mais en branchant un câble ethernet (ou les FreePlugs) entre le Freebox Player et le switch intégré du Freebox Server, ça marche directement. Je n’ai eu aucune configuration à faire.
J’ai même essayé de reboot le Freebox Server et le routeur, pour vérifier si l’histoire du DHCP pour l’IP publique n’allait pas casser, mais non, c’est resté fonctionnel.

Je n’ai pas encore fait le test de l’appel sortant par mon alarme. Je brancherai un téléphone à la place pour essayer, mais j’ai toute raison de penser que c’est OK.

Quelques références utiles

• Freebox + routeur Wi-Fi, les différentes options - MAJ 04/2021
• FREE IPV6 sur Ubiquiti Edgerouter-8 Pro… la solution
• Enabling IPv6 Prefix Delegation on AT&T Internet for a Second Firewall (EdgeRouter 4) – Part 2
• IPv6 Firewall Rules (EdgeRouter 4) – Part 3
• Configuring IPv6 on EdgeRouter Lite

L’EFS me traque depuis longtemps pour que je donne des plaquettes mais c’est trop long pour mon emploi du temps habituel donc j’avais reporté jusque là. Et plusieurs personnes m’ont dit que c’était inconfortable, surtout le retour après la séparation du plasma et des plaquettes donc je n’étais pas si pressé que ça.
À l’occasion de quelques jours de congés j’ai pris mon courage à deux mains et j’ai transformé mon rendez-vous régulier de don de sang en don de plaquettes et plasma.

Avant le traditionnel formulaire avec les questions de santé, on m’a fait un petit prélèvement de sang pour vérifier que tout va bien (fer, plaquettes…). Tout était OK pour moi donc on m’a installé. Je pensais faire juste les plaquettes, mais ils pont pris aussi le plasma ; 1 pierre, 2 coups.

Le principe est de prélever du sang, de le passer à la centrifugeuse pour séparer le plasma et les plaquettes (qui vont dans des poches dédiées) et l’hématocrite que l’on renvoie dans le bras par la même aiguille. Un écran donne toutes les infos en temps réel : prélèvement ou retour, pression, temps écoulé, volumes collectés. Selon les mesures du prélèvement initial, la machine calcule ses paramètres. J’étais parti pour 75 minutes de don.

Le premier retour de sang est surprenant : une sensation bizarre dans le coude, mais aucune douleur. Il faut masser une balle molle pendant tout le temps pour maintenir une bonne pression.

Au bout d’un moment j’ai eu froid. C’est normal, mais pour le confort et surtout pour éviter que les vaisseaux ne se contractent il faut se réchauffer.
Le prélèvement entraîne aussi une chute de calcium, avec des picotements dans les lèvres ou un goût de fer selon les gens, mais un petit cachet de complément fait disparaître ça très vite.
Comme d’habitude avec les dons de sang… il faut bien s’hydrater pour la fluidité du sang, et donc ne pas oublier de passer aux toilettes avant de commencer. Malgré ça, l’effet diurétique du don m’a surpris vers la fin et les 15 dernières minutes étaient difficiles.

Il paraît que ça fatigue pas mal, mais 24h plus tard, je ne me sens pas vraiment plus fatigué que d’habitude.

Le technicien a été adorable. Il a répondu à toutes mes questions de curieux, m’a expliqué à quoi m’attendre sur les effets…
Toute l’équipe a été aux petits soins avant/pendant/après. Ils font tout pour que le don soit confortable.

Le temps de prélèvement était parfait pour que je regarde une série (j’ai démarré Sandman). On m’a même prêté un support pour mon téléphone. S’il ne fallait pas masser la balle, j’aurais même pu faire une sieste ;)

Au final tout s’est hyper bien passé et j’en ressort content d’avoir donné un peu de temps et de sang pour sauver des gens. J’ai pris mon prochain rendez-vous de don de sang et ils me reverront probablement pour du plasma et des plaquettes lors des prochaines vacances.

Tout le contenu que j’ai utilisé est dispo dans un dépôt GIT (diaporama, configuration complètes, images…). La vidéo est disponible sur Youtube.

La proposition

En juillet 2022, j’ai cité un Tweet de @nixCraft, pour mentionner l’utilisation du « PROXY protocol » dans un contexte de proxification de service web.

Deux jours plus tard j’ai un message de @HAProxy m’invitant à faire une proposition de présentation pour la conférence HAProxyConf prévue pour novembre à Paris.

HAProxy est un logiciel qu’on utilise beaucoup chez Evolix et que j’apprécie particulièrement. Il est présent dans de nombreuses infrastructures mises en place pour nos clients. Mais surtout il est un composant majeur de notre solution « Boost », un accélérateur web, une sorte de CDN (sans la répartition géographique).

À regret je n’avais pas participé à l’édition 2019 à Amsterdam à cause notamment du coût (trajet, hôtel, ticket d’entrée…) mais là l’occasion était rêvée.

Grégory et moi avons récemment travaillé sur une présentation dédiée aux load-balancers et au cache HTTP (très inspirée de ce qu’on fait dans Boost). Elle a été présentée à la conférence VVT et le sera à nouveau au Capitole du Libre à Toulouse (une vidéo sera probablement disponible). J’avais envie de pousser plus loin les détails techniques liés à quelques fonctionnalités internes de HAProxy et Varnish, pour un auditoire déjà familier avec les bases.

J’ai souvent présenté dans des conférences assez variées, mais presque toujours en français. Les 2 rares exceptions en anglais étaient à RuLu 2013 (en solo) et DebConf 2017 (avec Grégory), pour un résultat pas totalement satisfaisant à mon goût.

Je me sentais tout à fait capable de préparer un contenu pertinent, je n’avais plus qu’à surmonter la difficulté de le faire en anglais.

Challenge accepted!

Début septembre, j’ai eu confirmation de l’acceptation. Plus moyen de reculer.

Tout de suite j’ai compris que j’avais à faire à une organisation professionnelle : rétro-planning des moments importants, visio pour échanger questions/réponses à l’oral, proposition de gabarits de diaporama, proposition de session de répétition en ligne, prise en charge financière et logistique du transport et de l’hébergement pendant la conférence… Ça s’est avéré à la fois rassurant et stressant.

La préparation

Le repère approximatif dont j’ai souvent entendu parler – 1 heure de préparation pour 1 minute de présentation – s’est encore vérifié, au minimum. Je n’ai pas compté précisément, mais entre le travail d’écriture linéaire en français qui a servi à structurer le contenu, la traduction en anglais, la création d’images et diagrammes, la préparation des diapos et des notes du présentateur, le façonnage des extraits de configuration et enfin les nombreuses répétitions à voix haute… j’ai bien passé mes 30 à 50 heures de préparation.

C’est bien ce temps là qu’il m’a fallu pour commencer à me sentir plus ou moins à l’aise avec ce que j’avais à dire, dans quel ordre, sans réciter par cœur, sans lire bêtement mes notes et sans chaque fois tenter d’improviser un peu et buter sur la construction des phrases.

J’ai tout de même constaté l’évolution bien connue du niveau d’aisance. D’abord on dit n’importe quoi, on bloque toutes les 2 phrases. Ensuite ça commence à rentrer, on réussit à faire des répétitions avec un flot verbal correct et une gestuelle corporelle détendue. Puis en se croyant à l’aise on se concentre un peu moins, on retombe dans des tentatives d’improvisation, et la qualité du résultat baisse. Et finalement on se recentre et on retrouve confiance dans la capacité à bien faire. Par contre, reste jusqu’au bout la peur de merder le jour même, sur scène avec des lumières et des dizaines/centaines de personnes fixés sur soi.

Les orateurs avaient la possibilité d’arriver la veille, pour faire quelques essais et prendre des repères sur la scène. Pas moyen de rater cette occasion. Et c’était parfait pour se rassurer. J’ai passé deux heures avec les autres orateurs à monter quelques minutes sur scène, bien prendre en main le cliqueur et l’organisation des écrans de contrôle, se familiariser avec les caméras, les spots… Le faire pour de vrai le lendemain matin était presque devenu une formalité. Presque.

La présentation

Le diner des orateurs – tradition des conférences – était aussi un super moyen de briser la glace, se mettre à fond dans le bain de l’anglais, et voir que tous les autres sont aussi morts de trouille que soi. Ce petit lien confraternel éphémère qui se crée, pousse ensuite de s’encourager avant de monter sur scène, se féliciter à la descente, et avoir le sentiment qu’on n’est pas seul dans cet exercice aussi jouissif qu’effrayant.

Dans la programmation, j’étais le premier orateur non « interne » HAProxy ; un brin stressant de passer après des têtes d’affiche. En passant après la première pause café, j’ai pu m’équiper tranquillement (micro, cliqueur…) et satisfaire mon petit rituel déstressant : passage aux toilettes, une petite “vocalise” en coulisse pour s’éclaircir la voix et quelques “jumping jacks” pour faire rapidement monter le cardio et diluer l’adrénaline.

Sur scène, on sourit, on regarde surtout les gens et un peu ses notes. On ne tourne pas le dos au public, on ne met pas ses mains dans ses poches ni dans son dos, ni croisées devant. On parle doucement, en prenant bien sa respiration, et en prenant si possible une gorgée d’eau entre chaque partie importante. Pendant les questions on écoute bien, pour ne pas répondre à côté, mais on n’hésite pas à dire « je ne sais » ou « ça mérite une discussion plus longue ».

Une fois le moment fatidique passé, on peut enfin souffler, détendre le nœud qu’on a dans le ventre et profiter du plaisir de l’accomplissement.

Achievement unlocked!

L’avantage de passer tôt dans le programme c’est qu’on peut profiter beaucoup plus sereinement du reste de l’événement. J’ai pu écouter attentivement plusieurs présentations, mais surtout passer de vrais moments avec des personnes compétentes et agréables, à discuter de sujets techniques. Au delà des présentations (souvent disponibles en ligne après-coup), c’est surtout la possibilité des rencontres qui me motive à aller dans ces événements. Discuter de ce que font d’autres personnes avec des outils que je connais (ou pas), partager des connaissances que j’ai et éventuellement avoir des retours constructifs sur ce que j’ai pu présenter.

Je ressors de cette expérience avec la grande satisfaction d’avoir accepté un challenge nouveau – qui m’a coûté de vrais efforts – et d’avoir atteint l’objectif : transmettre des connaissances, d’une manière correcte.

Ça me donne envie de remonter la barre pour une prochaine fois ; potentiellement le FOSDEM – une autre de mes conférences favorites – ou une DebConf pour faire mieux que la fois d’avant.

Des remerciements

Merci à ma compagne et mes enfants qui ont supporté mon stress, mon attention ultra-sélective et mon absence pendant les quelques jours de déplacement…

Merci aux organisateurs de la conférence qui ont fait le pari d’accepter ma proposition, qui ont organisé un accueil confortable et chaleureux et qui m’ont permis de participer à un événement très riche en nouvelles connaissances (humaines et techniques).

Merci aux personnes rencontrées sur place, avec qui j’ai passé de très bons moments.

Merci à toutes les personnes (en particulier mes collègues) qui m’ont soutenu, encouragé et félicité.

Quelques photos

Photos: HAProxyConf, tous droits réservés

Modification du 15 novembre 2022

J’ai proposé ce sujet pour l’édition 2023 du FOSDEM (celle qui a lieu dans 10 semaines), dans 2 variantes.

Une version « main track » de 50 minutes, avec des contenus que j’avais prévus initialement mais que j’ai du retirer pour les 40 minutes de HAProxyConf.
Une version « lightning talk » de 15 minutes, avec beaucoup moins de détails, mais qui donne une idée d’ensemble intéressante.

Il y a beaucoup de propositions pour le FOSDEM, donc la concurrence est rude. Si c’est pas cette année, ça sera une prochaine.

Modification du 23 novembre 2022

HAProxy a publié un article sur son blog pour faire un récap de l’événement. C’est assez détaillé.

Modification du 25 novembre 2022

En mai 2019 on a organisé la mini-DebConf à Marseille. Quelques jours après j’ai commencé la rédaction d’un article rétrospectif. Il est resté à l’état de brouillon pendant plus de 3 ans. Je l’ai dépoussiéré et publié. J’y ai (re)découvert que j’avais été « maître de cérémonie » en anglais. J’avais complètement oublié. Et dans ce brouillon j’ai trouvé un « ressenti », pas très bien écrit mais assez similaire à celui que j’ai eu après cette HAProxyConf. Extrait :

J’ai eu 2 fois l’occasion de faire des présentations en anglais devant des gens (a fortiori des gens que j’estime et sur qui j’ai envie d’avoir un effet positif). Chaque fois j’ai énormément travaillé mon texte, répété à l’usure, jusqu’à être dans un mode plus théâtral que naturel ou spontané. Le stress a été énorme et accompagné d’un sentiment proportionnel de soulagement une fois le moment passé.
Pour cette mini-DebConf où j’ai fait le MC, je ne m’étais pas spécialement préparé (à part mes diapositives) ni répété ce que je voulais dire ou comment tourner mes phrases. J’avais clairement en tête le fond (aidé de mes supports) mais pas du tout la forme. Pourtant j’ai eu à transmettre en anglais un message important à plusieurs dizaines de personnes. Objectivement l’exercice était le même, l’enjeu était similaire.
Je suis sûr d’avoir fait plein de fautes d’anglais, j’ai probablement bafoué pas mal de règles du bon présentateur, mais il paraît que ça passait plutôt bien et puis je ne me suis pas senti perdu ni ridicule. J’ai probablement une leçon personnelle à tirer de ça, pour mes prochaines présentations, en particulier celles en anglais.

Si j’avais relu ça avant de préparer HAProxyConf, ça aurait pu m’aider à relativiser.

J’ai un compte Dropbox depuis l’ouverture du service. J’ai profité de tranches de 500 Mo offertes pour le “parrainage” de quelques personnes.

La simplicité avec laquelle on pouvait avoir une synchro entre l’espace web, l’ordinateur personnel et le téléphone m’a rapidement séduit. J’y ai surtout placé des documents auxquels je voulais pouvoir accéder rapidement de n’importe où : copies de papiers d’identité, documents de voyage…

L’intégration avec des services tiers était aussi un plus ; copie des photos envoyées à Instagram, envoi automatique des livres achetés chez Pragmatic Programmers (un excellent éditeur, soit dit en passant !) et de nombreuses autres intégrations possibles.

Dans ma démarche de reprise en main de mes données personnelles, ça faisait longtemps que j’avais identifié ce service comme très problématique. J’y ai sciemment déposé des documents sensibles qu’avec le recul je n’aurais jamais du y déposer, en particulier des données très personnelles (santé, impots, finances personnelles…).

Je ne voulais cependant pas renoncer aux fonctionnalités proposées par Dropbox. Il me fallait donc un remplaçant. C’est Nextcloud qui a répondu à mes attentes, et bien plus.

J’ai déjà un serveur (actuellement une VM hébergée chez Evolix) que je gère de A à Z, sur laquelle j’ai ce blog perso mais aussi quelques services à usage familial. L’installation est simplissime pour un sysadmin, et je pense très abordable pour une personne débrouillarde.

En peu de temps j’avais un équivalent de Dropbox, avec une infinité (théorique) d’espace disponible, une intégration Webdav avec mon ordinateur personnel, une synchro avec mon téléphone…

J’ai rapidemement testé quelques “applications”, telles que OnlyOffice (équivalent à GoogleDoc), Sondage (équivalent à Doodle), Task (un gestionnaire de todo-list) et c’est vraiment cool. Je n’y gère pas mes mails, mon calendrier et mes contacts, mais c’est proposé par défaut.

Le partage de documents va devenir encore plus facile en famille, entre amis ou dans un cadre associatif.

Un de moins. Il me reste principalement Instagram (compte privé avec juste quelques photos non personnelles) et Gmail (qui n’est plus mon mail principal).

Les mini-DebConfs sont des événements organisés par la communauté pour aider les personnes intéressées par le projet Debian à se rassembler, partager et travailler ensemble. Elles sont plus courtes, plus simples et plus fréquentes que les DebConfs annuelles.

Je ne vais pas raconter le déroulement de la conférence, Grégory l’a très bien fait sur son propre blog. Je vais plutôt partager mon ressenti et l’état d’esprit derrière cette organisation et le déroulement de l’événement.

La naissance de l’idée

Depuis de nombreuses années – probablement « Paris on Rails » en 2006 – je participe à des conférences autour des logiciels et technologies (souvent libres) que j’utilise. J’y ai toujours trouvé un esprit communautaire (au sens de ce qui nous rassemble) qui m’a beaucoup influencé.

J’ai souvent été dans les rangs des salles de conférences, et de temps en temps j’ai aussi été sur scène en tant qu’orateur. L’expérience est évidemment très différente mais les deux positions apportent des choses très complémentaires.

En 2013 j’ai organisé à Marseille un « Global Day of Code Retreat ». Ça a été ma première tentative d’organisation : trouver une vingtaine de participants, les nourrir, les guider dans les activités créatives, financer tout ça… J’ai été aidé pour la partie “coaching” mais j’ai géré l’organisation tout seul.
Il ne s’agissait que d’une journée, avec un public très réduit, mais la charge de travail et la diversité des tâches m’ont clairement appris qu’il ne fallait pas se lancer là dedans tout seul. On m’avait prévenu, mais je voulais me prouver que j’en étais capable.

En 2017, une bonne partie de l’équipe Evolix participait à la DebConf de Montreal. Il s’agit d’une conférence qui réunit plus de 500 personnes – venues du monde entier – autour du projet Debian (la meilleure et une des plus anciennes distributions GNU/Linux).
Une semaine complète dans les locaux d’une université, des dizaines de présentations (dont la nôtre), une logistique technique, repas et hébergement franchement complexe. J’étais impressionné par l’ampleur de l’événement et surtout par l’effet humain.
Ce genre de conférence est un formidable catalyseur. On y rencontre des gens très différents mais tous avec les mêmes objectifs. La diversité des origines, parcours de vie, sensibilités… est super enrichissante, pourvu qu’on y soit réceptif. Le sentiment de partage à double sens est très fort.

Lors de cette DebConf, Grégory et moi nous étions engagés à y faire une présentation, en Anglais et en duo. Depuis qu’on se fréquente et surtout depuis qu’on travaille ensemble on a tendance à se chauffer sur des idées un peu folles qui nous font sortir de notre zone de confort.

La même année on s’est rendus à Toulouse pour le « Capitole du Libre », une grande conférence sur les logiciels libres au sein de laquelle était aussi organisée une mini-DebConf. L’objectif est le même que pour les DebConf classiques, mais le périmètre, les ambitions et les moyens sont beaucoup plus modestes. C’est concentré sur 1 ou 2 jours avec des présentations qui attirent quelques dizaines de participants. Denis Briand – le principal organisateur de cette édition – nous a transmis son enthousiasme et nous a incités à organiser un événement du même type à Marseille. Il a tenté de nous rassurer sur la faisabilité de la tâche et nous a assuré du soutien de la communauté française. L’équipe vidéo DebConf – représentée sur place par Nicolas Dandrimont – nous a également quasi assuré de leur présence.

Il n’en fallait pas plus pour nous convaincre.

À la fin d’une de nos présentations, Grégory a annoncé une mini-DebConf à Marseille en 2018 ou 2019, sous le soleil des Calanques. Il aurait fallu se plonger directement dans l’organisation pour pouvoir tenir l’événement à peine 8 mois plus tard et ça ne collait pas super bien avec notre agenda. On a donc rapidement opté pour mai/juin 2019.

Un noyau d’organisation

Grégory et moi partageons beaucoup de valeurs et nous étions bien alignés sur la manière dont on voulait réaliser cette mini-DebConf. On a pris quelques semaines/mois pour rassembler nos notes à propos de l’organisation de conférences. On a sollicité des avis, relus des articles sur le thème… Fin 2018 on a officiellement lancé la machine.

Étant donné que Debian est un projet central pour Evolix, il était clair que ce chantier d’organisation serait en grande partie réalisé sur notre temps de travail, histoire d’assurer un minimum de disponibilité pour les personnes clés.

On a écrit sur un document partagé tout ce qui nous passait par la tête : quoi mettre sur les badges, quel code de conduite adopter, que type de restauration, comment prendre soin des participant⋅e⋅s en général et les orat⋅eur⋅ices en particulier… Ça n’était pas un plan de bataille, mais plutôt une sorte de cahier des charges.

On a motivé Sabiha, fraichement arrivée chez Evolix. Très organisée, suffisamment directive (dans le bon sens), rompue à l’organisation événementielle, et surtout très motivée, elle était le bon complément à notre duo.

On s’est assez naturellement réparti les grands chapitres de l’organisation. Pendant quelques semaines on a choisi un lieu et une date, un traiteur, organisé les grandes lignes des taches à réaliser, accueilli avec plaisir des propositions d’aide de la part de plusieurs personnes très motivées. On a communiqué avec la communauté Debian, motivé des orateurs potentiels et commencé à gérer les choses de plus en plus en détail.

Durant les deux semaines précédant l’événement, j’ai graduellement augmenté la proportion de mon temps passé à régler les détails. La dernière semaine je n’ai fait quasiment que ça. Avoir une telle liberté vis-à-vis de mon temps de travail a été très appréciable. Ça m’a permis de gérer beaucoup de choses, sans avoir à (trop) sacrifier mon sommeil ou ma vie de famille.

Quelques jours avant, nous avons réuni la plupart des bénévoles déjà sur place, pour présenter les zones de responsabilité et le déroulement détaillé de l’événement. Ça a permis de mettre tout le monde à la page, mais surtout ça a révélé des aspects complètement oubliés (qu’il était encore temps de rattraper) et fait émerger des idées (qu’il était temps de mettre en pratique).
Par exemple, seulement des hommes avaient réfléchi à l’occupation de l’espace et donc mal envisagé la gestion des toilettes.
Nous avions aussi prévu un espace d’expression libre et Eda — que nous connaissons par nos activités associatives et qui n’était pas encore intervenue – a proposé l’idée d’enveloppes nominatives dans lesquelles les participants pourraient se déposer des petits mots plus ou moins anonymes.
Enfin, nous voulions offrir le premier verre lors de la soirée sociale à « La Cane Bière » et nous cherchions encore une idée pour matérialiser ça. Au dernier moment Juliette a eu l’idée de découper des bouts de PCB issus de disques durs détruits et d’accrocher ça (après nettoyage et personnalisation) au tour-de-cou donnés avec les badges. Travailler sur l’accueil des participants avec créativité, respect des sensibilités diverses, dans un esprit geek et le plus écolo possible a rendu la tâche vraiment fun et satisfaisante.

Des valeurs

Bien qu’on s’attendît à des participant⋅e⋅s bienveillant⋅e⋅s et respectueu⋅x⋅ses, il était évident qu’il fallait expliciter un code de conduite. Nous l’avons mis en avant à l’inscription, dans nos différentes communications par mail, rappelé lors du discours d’accueil, affiché en grand à l’entrée de l’auditorium… Nous avons présenté les personnes référentes (hommes et femmes), annoncé une adresse mail et un numero de téléphone/Signal. Au final nous n’avons reçu aucun signalement ou plainte. On avait également proposé aux participant⋅e⋅s d’imprimer sur leur badge un pictogramme explicite et coloré pour indiquer : « OK pour être pris⋅e en photo », « demander avant », ou « ne pas me photographier ».

Attentifs à l’empreinte écologique, nous avons essayé de faire le plus neutre possible. On ne pouvait pas empêcher les participant⋅⋅e⋅s de prendre la voiture ou l’avion pour venir (d’Israël, Canada ou Australie, c’est difficile). Par contre on a pu éliminer le gaspillage alimentaire, les couverts et gobelets jetables. On a fortement limité les emballages plastiques (bouteilles…).
On a aussi choisi de limiter les « goodies » à des choses qui seraient réellement utilisées : un t-shirt (avec choix de la coupe en plus de la taille), un sticker, et un badge sans plastique.
Pas de sacs, de stylos, de plaquettes commerciales de sponsors…

Une autre idée forte était de faire le maximum pour que les participant⋅e⋅s se sentent bien pendant le temps où ils⋅elles étaient là. Sachant que pas mal de monde arriverait à Marseille en avance, nous avons ouvert le lieu au public dès vendredi 14h. Nous avions proposé à des équipes Debian de venir plusieurs jours avant pour profiter de faire un sprint.
L’équipe « vidéo » est venue dès mercredi et l’équipe « localisation française » a profité de toute la journée du vendredi. Une grande pièce, à l’écart, avec des canapés, fauteuils… étaient disponibles, notamment pour le CA de « Debian France » qui y a pu organiser une assemblée générale. On avait préparé plein d’informations utiles dans le Wiki. On a rappelé tout ça dans un long mail envoyé quelques jours avant. Et comme tout le monde ne lit pas avec attention ses mails, on a fait un PDF récapitulatif.

Au niveau alimentaire, on est parti sur une base végétarienne, avec même une majorité d’options végan, sans gluten… En travaillant avec une équipe locale (ma très chère sœur !), qui n’utilise que des produits locaux et frais, on a pu avoir une belle diversité et originalité de nourriture qui semble avoir ravi les participant⋅e⋅s.

Le coup de feu

Pendant 3 jours, j’étais à fond, littéralement. J’avais la responsabilité du lieu et des clés donc il fallait être là avant tout le monde et repartir le dernier.
Mon naturel touche-à-tout, un peu perfectionniste et surtout ma grande difficulté à déléguer a fait qu’on m’a vu courir dans tous les sens, d’un étage à l’autre.
On a pu croire que j’étais la pierre angulaire de l’organisation alors que je n’étais qu’un maillon, juste un peu plus visible que d’autres.

C’était notamment dû au fait que j’ai fait le discours de bienvenue, la moitié des interludes entre les présentations ainsi que le petit discours de fin.
Ça aussi c’était un peu nouveau pour moi.

J’ai eu 2 fois l’occasion de faire des présentations en anglais devant des gens (a fortiori des gens que j’estime et sur qui j’ai envie d’avoir un effet positif). La première était une conférence Ruby en 2011 et la seconde à la DebConf de Montréal (en duo avec Grégory) en 2017. Chaque fois j’ai énormément travaillé mon texte, répété à l’usure, jusqu’à être plus dans un mode théâtral que naturel et spontané. Le stress a été énorme et accompagné d’un sentiment proportionnel de soulagement une fois le moment passé.
Pour cette mini-DebConf où j’ai fait le MC, je ne m’étais pas spécialement préparé (à part mes diapos) ni répété ce que je voulais dire ou comment tourner mes phrases. J’avais clairement en tête le fond (aidé de mes supports) mais pas du tout la forme. Pourtant j’ai eu à transmettre en anglais un message important à plusieurs dizaines de personnes. Objectivement l’exercice était le même, l’enjeu était similaire.
Je suis sûr d’avoir fait plein de fautes d’anglais, j’ai probablement bafoué pas mal de règles du bon présentateur, mais il paraît que ça passait plutôt bien et puis je ne me suis pas senti perdu ni ridicule. J’ai probablement une leçon personnelle à tirer de ça, pour mes prochaines présentations, en particulier celles en anglais.

Fin du brouillon inachevé, écrit début juin 2019.

Mise à jour du 25 novembre 2022

J’y reviens 3 ans et demi plus tard avec fatalement une mémoire bien moins précise, donc je n’essaierai pas de le terminer. La police des blogs bien finis sait où me trouver.

Je note quand même qu’à l’époque je n’ai pas écrit la section de remerciements. Je l’écris habituellement à la fin, et la fin n’est jamais venue. C’est la seule chose que je vais essayer de compléter a posteriori, sans ordre d’importance :

• Sabiha et Grégory pour avoir formé le trépied d’un noyau d’organisation ultra-stable et efficace. Je suis tellement content d’avoir fait ça avec vous.
• Jérémy Dubois qui a fait un boulot particulier sur le réseau pour qu’on surfe sans encombre sur les Internet de 2019.
• Tout le reste de l’équipe d’Evolix qui a travaillé sur la mini-DebConf ou qui est resté concentré sur le boulot pour permettre aux autres de s’en détacher : Jessica, Anaïs, Juliette, Éric, Ludo, Bruno, Alexis, Tristan, Victor L, Benoit, Patrick, Pascaline, Quentin F.
• L’équipe vidéo de Debian (en particulier Nicolas Dandrimont et Louis-Philippe Véronneau), qui s’est déplacée du Québec, de France, d’Allemagne… pour venir faire un boulot remarquable.
• La Maison du Chant qui nous a ouvert ses portes de la manière la plus généreuse et confortable qui soit.
• Valentine et Célia, qui ont pris nos contraintes alimentaires et écologiques et en ont fait un régal pour tout le monde (sauf un carnivore un peu frustré).
• Tous les sponsors de l’événement : Debian France, Evolix, Bearstech et Logilab sans qui le financement de toute cette aventure était impossible.
• Tou⋅te⋅s les bénévoles « non Evolix » qui ont un ont donné des coups de mains précieux et/ou des idées géniales, avec une mention spéciale à Éda et Victor G nos fidèles Aïolibristes marseillais, Quentin Lejard et Alban Vidal les meilleurs gendarmes du monde (parce ce sont des amours et qu’ils sont au cœur de Debian France).
• Et enfin les malheureux⋅ses que j’ai oublié⋅e⋅s et qui peuvent me hurler dessus pour que je répare l’affront (mais avec indulgence, j’écris ça du fond de mon lit en plein covid).

J’ai aussi un recul forcément un peu plus grand. Et pour autant je ne renie rien de ce que j’avais écrit alors à chaud.

Après tout ce temps, il me reste la même fierté collective d’avoir fait de cet événement une réussite dont j’ai encore de temps en temps des échos, toujours dithyrambiques.

Ça me redonne encore plus envie de repartir dans une mini-DeConf à Marseille, avec les mêmes valeurs et le souci de satisfaire les gens qui font l’effort de venir. Et encore plus.

PS : J’ai encore du chemin à parcourir sur l’aisance à parler devant des gens (surtout en langue étrangère), car encore fortement appréhendé ma présentation à HAProxyConf il y a quelques semaines. Il faut croire que malgré mon allure assurée, j’ai toujours peur de ne pas être à la hauteur.

Nous avons fait un premier test de captation. La simple caméra utilisée ne rend pas un son fantastique, mais cela permet aux absent.e.s de profiter du contenu.

La vidéo est consultable sur YouTube et les diapos sur notre Gitea.