Cette semaine, j'ai passé la semaine à Brest, pour participer à DebConf25. En français, ça donne :

• Deb pour Debian, la version de Linux la plus ouverte, que j'utilisais dans les années 2000 et que je réutilise depuis 2023, une fois que RedHat a décidé de rendre les mises à jour de CentOS payantes, ce qui a permis de remettre les cartes sur la table, refaire un point sur les différentes versions de Linux pour revenir à l'essentiel : une distribution gratuite, libre et stable, et les 25 dernières années (voire même avant, mais je ne connaissais pas avant) ont bien montré que Debian avait ces valeurs.
• Conf pour conférences, c'est en fait la conférence annuelle des contributeurs Debian. Cela regroupe à la fois des développeurs, les programmeurs qui créent et mettent à jour les logiciels comme cURL par exemple, mais aussi les packageurs, ces personnes qui créent les paquets Debian pour que les utilisateurs Debian puissent installer les logiciels en quelques clics.
• 25 pour 2025, à Brest. Il y a donc une conférence chaque année, mais elles sont toujours dans des lieux très différents aux 4 coins du monde, en 2024, c'était à Busan en Corée du Sud, en 2023, c'était à Kochi en Inde, et la dernière sur le continent européen était en 2022, à Prizren, au Kosovo en 2023. Donc c'était l'occasion de participer à cette édition, en France, ce qui est effectivement assez rare.

Comme j'ai des amis à Brest, j'en ai profité pour aller les voir, je suis arrivé lundi soir à Brest, reparti le samedi matin, et entre les 2, j'ai pu écouter des conférences, apprendre des choses, en voici quelques extraits.

Le lieu est emblématique, puisqu'il s'agit de l'école des mines de Brest, qui se trouve au Pôle Technologique, à l'IMT Atlantique, c'est donc dans une école d'ingénieurs prestigieuse que ça s'est déroulé :

En même temps, une fois rentré, l'intérieur ressemble à une université, un art brut que certains apprécieront :

Le but de cette conférence n'est pas, comme certains rassemblements, de passer un moment agréable dans un lieu prestigieux, mais plutôt de faire en sorte que les gens se rencontrent alors qu'habituellement, ils passent leurs journées chacun chez eux, devant leur ordi. Donc je suis allé écouter quelques conférences et j'ai pu discuter avec quelques personnes.

Déjà, j'ai appris dès le mardi matin, ce qu'était un BoF. A la différence d'une conférence, les BoF sont des réunions de travail qui regroupent les participants à un projet. Pour être clair, si on ne fait pas partie du projet, ce n'est pas la peine de participer à ce type de réunion, car les sujets sont très spécifiques, c'est du concret. Je suis allé à la BoF de cURL le mardi matin pour me retrouver dans une salle de classe avec 4 autres personnes qui essayaient de choisir une date et de décider s'ils iraient tous ensemble ou non à une autre rencontre avec d'autres développeurs. J'ai compris que je n'étais pas au bon endroit et je suis sorti 5 minutes après.

A part ça, j'ai pu découvrir et comprendre certaines choses, sur différents sujets. J'ai participé à un talk qui faisait le point sur les durées de vie des distributions Debian. L'équipe qui était là a expliqué que Debian était maintenue pendant 3 ans par l'équipe de sécurité de Debian, jusqu'à 5 ans par l'équipe LTS de Debian, en interne. Ensuite, c'est délégué à une Freexian qui est une société qui regroupe une partie de l'équipe LTS Debian et s'occupe de maitnenir la partie LTS d'une version pendant 5 autres années, ce qui peut amener Debian à 10 ans de support. Les détails (qui, quoi, combien ça coûte, qui peut y accéder) ont été abordés et sont détaillés sur le site de Freexian. C'était intéressant.

Il y a aussi eu un talk qui parlait de la sécurité de Debian, et comment cette sécurité fonctionne au niveau mondial avec les CVE, et différents programmes du même type. Ils ont expliqué comment étaient classés les CVE, comment chacun pouvait les déclarer et comment ils évitaient les doublons, ainsi que les autres bases de données qui sont loin derrière cette base mais qui peuvent aider dans certains domaines.

J'ai aussi assisté à un talk sur Mobian, où l'idée est de permettre à Debian de fonctionner sur des appareils mobiles, téléphones et tablettes notamment. C'était intéressant, mais j'ai bien vu que le projet était encore a ses débuts, il n'est pas mature, et les mainteneurs ont présenté un début de feuille de route. Toutefois même si ce talk n'est pas concluant, je ne vais pas me mettre à utiliser Mobian demain matin, ça m'a permis de chercher s'il existait des alternatives qui fonctionnent. Je suis allé voir différents sites, notamment /e/OS, et j'ai vu que ça fonctionnait sur mon ancien téléphone Poco F3, donc il faudra que je teste. J'ai aussi découvert les Fairphone, qui sont des téléphones avec un fort indice de réparabilité, mais surtout ce qui m'intéresse dans le cas présent, c'est qu'ils sont vendus avec Android ou avec /e/OS, qui est un Android dé-googlisé.

Un autre talk parlait du TPM. Je ne suis pas sûr d'avoir compris tout ce que ça implique, mais il a expliqué le fonctionnement de TPM2.0, la possibilité de générer des nombres aléatoires, le fait de pouvoir générer des clés par paire et aussi de gérer les clés LUKS directement dans le TPM. Le TPM permet aussi de générer un identifiant unique permettant d'identifier le matériel et ainsi de sécuriser que celui-ci n'ait pas été modifié d'un boot à l'autre, et de pouvoir, dans ce cas, récupérer la clé LUKS, ou d'utiliser cet identifiant pour vérifier cela à partir d'un logiciel. J'ai pu tester ce qui était proposé en faisant :

# apt install tpm2-tools

Et j'ai pu voir la liste des registres qui sont créés à partir du matériel pour vérifier que celui-ci est dans le même état qu'au dernier boot (en comparant les registres) avec la commande :

# tpm2_pcrread

J'ai écouté très attentivement le talk concernant JMAP. J'avais d'abord compris que JMAP pourrait être le successeur de IMAP, POP3, SMTP pour recevoir et envoyer des emails, mais c'est bien plus large que ça, et ça semble très intéressant, assez aboutit, mais pas vraiment disponible partout, car il faut changer le serveur de mail pour qu'il intègre en plus d'autres serveurs de CalDAV et CardDAV notamment. Mais je trouve toutefois ce système très intéressant, car il permet de ne fournir à l'utilisateur qu'un seul login et mot de passe, tout le reste est automatique, donc plus besoin de vérifier les configurations IMAP ou SMTP où l'une fonctionne mais pas l'autre, entre autres. A suivre.

Le dernier jour, j'ai pu suivre un talk sur FreePBX, qui décrivait en fait que ce n'était rien de plus que Debian avec Asterisk. Celui qui parlait faisait parti de l'équipe qui gère les outils de FreePBX, il a décrit comment il intégrait les mises à jour de Debian dans FreePBX, et a parlé de la configuration générale, mais sans rentrer dans des détails d'utilisation.

Je suis resté pour le dernier talk qui concernait les LLM, et notamment Lucie, le LLM français. J'ai été captivé par la description qui a été faite de cet outil qui pourrait concurrencer les plus grands, notamment dans un domaine qui est le français, car les LLM d'OpenAI ou d'Anthropic n'utilisent apparemment que 0.6% de documents en français, et pour Lucie, sponsorisé par la France, on a plus de 3 100 milliard de token (mots pour simplifier) en Français.

Puis, j'ai voulu testé une requête simple en téléchargeant Lucie sur Ollama, ce qui n'était pas simple à trouver, et j'ai demandé une requête simple de reformulation en français d'une phrase en français, et là : aucune réponse. Alors que Qwen3 me donnait une bonne réponse, j'ai demandé à Lucie plusieurs fois, sans obtenir une seule réponse, juste une ligne blanche. Après quelques essais, ça répond ... mais à côté.

Donc on va oublier Lucie, mais ça me permet, en écoutant un peu ce qui s'est dit autour de moi, de conserver Qwen3 et Qwen2.5VL et d'apprendre un peu plus à les utiliser, voire même, une idée comme ça, pourquoi ne pas créer un chatbot type ChatGPT, pour les clients de HaiSoft, ce qui me permettrait de tester, et même de profiter de ça pour mettre en place un agent simple qui pourrait, suivant les demandes, utiliser Claude, Perplexity ou répondre directement avec Qwen3. A réfléchir.

J'ai fini ces conférences comme je les ai commencées, avec un BoF, sur Jabber/XMPP, mais je suis rapidement parti car effectivement, ne faisant pas partie des personnes qui gèrent ces paquets, je ne comprends pas vraiment de quoi ils parlent.

Conclusion

Il faut être honnête, j'étais enthousiaste avant de venir, en début de semaine, vu les locaux et l'absence totale de sponsor et d'organisation, je me suis vraiment demandé où j'étais, et finalement, je suis assez content d'avoir pu écouter ces talks pour 2 raisons, qui sont souvent les 2 mêmes quelque soit le lieu de ces conférences :

1. ça permet d'apprendre des choses, de voir des paquets ou des manières de faire auxquelles je n'avais pas pensé, et finalement de m'ouvrir l'esprit à de nouvelles pratiques ou de nouveaux logiciels. J'ai aussi mieux compris certains outils de sécurité comme les CVE ou le TPM, ainsi que le fonctionnement du LTS version Debian.
2. c'est un effet colatéral, mais primordial, c'est que ça donne un peu de temps pour réver et découvrir des technos en discutant avec des gens, ou simplement en écoutant des talks et en cherchant un peu à côté. Par exemple Mobian, pas top, mais /e/OS, beaucoup plus abouti, ou encore JMAP. Je vais d'ailleurs probablement essayer de faire un fork de Thunderbird pour Android pour rajouter une fonctionnalité supplémentaire, et prendre une application libre, et la compiler, c'est déjà pas simple, alors rajouter des fonctionnalités, c'est encore plus intéressant à faire, et c'est un peu le but de ma venue ici : mieux comprendre Debian pour mieux l'utiliser et pourquoi pas contribuer.

Globalement, c'était une expérience intéressante. Ce n'est pas tous les ans en France, donc c'était intéressant d'y participer, même si ce n'était pas aussi passionnant que je pensais. Malheureusement, en France, il n'y a pas d'évènement Open Source ou pour les développeurs, sauf peut-être DevFest à Nantes, malheureusement les billets sont vendus en moins de 5 minutes et malgré 2 fenêtres ouvertes sur mon ordi, j'ai été incapable d'en acheter un pour cette année (et entre nous, je préfère les évènements en anglais, donc plutôt en Europe qu'en France, mais ça, c'est ma préférence).