Automattic a-t-il commis un vol dans l’open source ?

• Imaginez qu’Apple considère Spotify comme une menace et prenne des mesures déloyales à son encontre, puis que Spotify attaque Apple en justice pour cela. Et qu’en réponse, Apple fasse ceci ?
  • verrouiller Spotify hors de l’écosystème des développeurs et rendre impossibles les mises à jour de l’app sur l’App Store
  • déclarer qu’« il faut faire quelque chose » parce que Spotify ne peut pas fournir les mises à jour nécessaires
  • transférer discrètement à Apple la propriété de l’app Spotify sur l’App Store
  • modifier le code pour supprimer la manière de passer d’une app gratuite à des fonctionnalités payantes
  • les utilisateurs existants de Spotify sur l’App Store deviennent désormais des utilisateurs d’Apple. Seuls les utilisateurs de l’app Spotify sur des plateformes hors App Store restent des utilisateurs de Spotify
  • lorsqu’on l’interroge sur l’équité de la situation, affirmer que l’équipe App Store agit indépendamment d’Apple
• Bien sûr, cela n’arriverait jamais. Ce serait non seulement anticoncurrentiel, mais aussi juridiquement douteux
• Pourtant, si l’on remplace Apple par Automattic, l’App Store par WordPress.org et Spotify par l’un des plugins WordPress les plus populaires, le CEO d’Automattic est accusé d’avoir orchestré quelque chose de très similaire
• Automattic s’est approprié la propriété d’un plugin appelé Advanced Custom Fields (ACF), créé par WP Engine, son plus grand concurrent
• Cet épisode est une honte sans précédent dans l’histoire de l’open source sur le web

Résumé du conflit d’entreprise entre Automattic et WP Engine

• Automattic est l’entreprise à l’origine du CMS open source WordPress, qui propulse 43 % des pages web et 65 % du marché des CMS
• La popularité de WordPress s’explique par sa licence GPL permissive, ses thèmes puissants, ses nombreuses options de personnalisation, sa marque forte, ses investissements massifs en développement et ses 20 années d’existence
• Automattic est l’entreprise financée par du capital-risque derrière WordPress, son principal contributeur, et celle qui contrôle commercialement la marque WordPress
• WP Engine est un challenger parmi les services d’hébergement WordPress managé les plus populaires, avec un chiffre d’affaires annuel estimé à environ 400 M$, contre environ 500 M$ pour Automattic
• Automattic a levé 980 M$ de capital-risque en 2021 pour une valorisation de 7,5 Md$, tandis que WP Engine a reçu 250 M$ de private equity de Silver Lake Partners en 2018

Automattic et WP Engine sont engagés dans un conflit d’entreprise total, et au cours des deux dernières semaines, Automattic a lancé la série d’attaques suivante :

• Insulte/riposte : aux insultes publiques d’Automattic, WP Engine a répondu par une mise en demeure
• Mise en demeure/conformité : Automattic a envoyé une mise en demeure pour violation de marque, et WP Engine semble avoir répondu en mettant à jour son usage de la marque pour relever de l’usage loyal
• Blocage/contournement : la WordPress Foundation (WordPress.org) a bloqué l’accès de WP Engine au répertoire de plugins de WordPress.org, et WP Engine a développé une solution de contournement qui ne dépend pas de ce répertoire
• Contre-attaque judiciaire : WP Engine a porté plainte contre Automattic en parlant d’« une affaire d’abus de pouvoir, d’extorsion et de cupidité ». L’entreprise affirme qu’Automattic a dissimulé le fait que la marque WordPress avait été secrètement transférée à Automattic, et que ses actes ont causé un préjudice économique à WP Engine et à la communauté WordPress
• Bloqué sur WordPress.org : bien que la plainte de WP Engine vise Automattic et son CEO, WordPress.org a interdit à toute personne liée à WP Engine d’accéder au site et de mettre à jour des plugins. Le répertoire de plugins de WordPress.org est la manière dont la plupart des sites WordPress mettent à jour leurs plugins
  > La WordPress Foundation et Automattic sont totalement imbriquées, et la WordPress Foundation semble représenter les intérêts commerciaux d’Automattic. Matt Mullenweg, fondateur et CEO d’Automattic, a récemment confirmé qu’il possédait personnellement WordPress.org. En raison de ces liens étroits, le reste de cet article désignera Automattic comme « l’acteur » pour inclure aussi les actions de WordPress.org ou de la WordPress Foundation. D’un point de vue commercial, les événements actuels sont motivés par les intérêts d’Automattic.

La controverse sur la prise de contrôle du plugin de WP Engine

• Le 13 octobre, Matt Mullenweg, CEO d’Automattic et propriétaire de la WordPress Foundation, a annoncé sur le Slack WordPress qu’il « forkait » Advanced Custom Fields (ACF)
• La réaction a été entièrement négative. L’annonce commençait ainsi :
  > « Au nom de l’équipe de sécurité WordPress, nous annonçons le déclenchement du point 18 des règles du répertoire de plugins pour forker Advanced Custom Fields (ACF) en un nouveau plugin appelé Secure Custom Fields. SCF a été mis à jour pour retirer les upsells commerciaux et corriger des problèmes de sécurité. »
• Le plugin ACF est le plugin le plus installé créé par WP Engine, et le 28e plugin WordPress le plus populaire au total
• Automattic affirme qu’il s’agit d’un « fork », mais ce n’est pas vrai :
  • Automattic a le droit de forker le plugin, et l’a effectivement fait, mais remplace en même temps ce plugin dans le répertoire et transfère discrètement vers ce fork plus de 2 millions de clients ACF
  • l’URL reste la même, et les avis existants aussi. Les avis qui signalent l’incident sont activement supprimés
  • plus de 2 millions de clients ayant installé ce plugin au cours des dix dernières années appartiennent désormais au nouveau propriétaire
• Pour revenir à l’exemple Apple/Spotify, c’est comme si Apple « pillait » l’app Spotify et tous ses utilisateurs tout en excluant Spotify de l’écosystème
• Dans sa mise en demeure, Automattic affirmait que « WP Engine ne contribue presque en rien à WordPress », mais Automattic s’est emparé de 2 millions de sites utilisant un plugin, contribution de WP Engine à WordPress, qui a rencontré un immense succès pendant plus de dix ans
• L’action d’Automattic ressemble à certains égards à une attaque de supply chain :
  • lorsqu’un acteur prend discrètement le contrôle d’un plugin dans un répertoire et déploie des changements fonctionnels sans communication publique, cela est considéré comme une attaque de supply chain ; c’est exactement ce qui s’est produit ici
  • non seulement Automattic a pris possession du plugin ACF, mais l’entreprise a aussi déployé de petites modifications de logique métier sans prévenir les clients, ce qui a cassé des centaines de sites
• Les actes d’Automattic semblent viser à réduire les revenus de WP Engine :
  • l’annonce de Matt Mullenweg contenait la formule « pour retirer les upsells commerciaux »
  • WP Engine tire des revenus significatifs du plugin ACF Pro

WP Engine est-il désormais le seul fournisseur d’hébergement WordPress de niveau entreprise ?

• Tous les fournisseurs WordPress qui utilisent le répertoire de plugins de WordPress.org se sont retrouvés impliqués dans une attaque de supply chain menée par Automattic elle-même
  • exception notable : WP Engine. Bloqué il y a quelques semaines, il fait partie des rares fournisseurs managés à ne pas utiliser le répertoire de plugins de WordPress.org pour les mises à jour
  • en conséquence, les clients de WP Engine n’ont pas subi la prise de contrôle silencieuse du plugin ACF
• Pour les entreprises qui accordent de l’importance à la sécurité de la supply chain, cet épisode est un scénario cauchemardesque
  • Automattic a montré qu’elle était prête à s’approprier les plugins qu’elle souhaite, et aussi à déployer discrètement des changements à peine testés
  • cela signifie qu’il est irresponsable pour les entreprises et les administrations de dépendre du répertoire de plugins de WordPress.org
• Ironiquement, Automattic a peut-être créé, dans sa guerre contre WP Engine, la meilleure publicité possible pour son plus grand concurrent
  • WP Engine a désormais une preuve qu’il est immunisé contre les prises de contrôle non autorisées de plugins
  • non seulement le plugin ACF, mais aussi plusieurs packages comme Nitropack ne peuvent plus soumettre de mises à jour au répertoire de plugins WordPress. Sauf pour les clients de WP Engine !

Perspectives

• Il y a deux semaines, je spéculais sur la manière dont ce conflit pourrait se terminer, mais je n’aurais jamais imaginé qu’Automattic utiliserait le gestionnaire de plugins WordPress pour s’emparer du plugin d’une autre entreprise et récupérer 2 millions d’utilisateurs
• Automattic semble ne pas se soucier des dégâts causés à elle-même ou à l’écosystème WordPress au sens large, et utilisera la WordPress Foundation pour pousser son propre agenda. Il pourrait en résulter ce qui suit :
  • les clients entreprises et les administrations hésiteront à migrer vers WordPress
  • les concurrents de WordPress en profiteront
  • WP Engine tentera d’accélérer sa croissance sur le segment entreprise
  • Automattic paraîtra de plus en plus imprévisible
  • la plupart des sites WordPress ne verront aucun changement
• Malheureusement, Automattic semble avoir abandonné une éthique précieuse, quoique non écrite, afin de faire mal à WP Engine
  • mais exploiter une plateforme neutre (le gestionnaire de plugins WordPress) ne devrait pas être une manière de gagner en affaires
  • et surtout pas dans l’open source
• Imaginez ce qui se passerait si Microsoft s’emparait d’un package populaire d’un concurrent sur npm
  • si une chose aussi impensable arrivait, la confiance et l’usage du système de packages npm s’effondreraient, et comme Microsoft est lui-même un acteur majeur, les régulateurs antitrust pourraient intervenir et sanctionner l’entreprise
• WP Engine engagera nécessairement sa défense sur le terrain juridique et n’aura probablement rien d’autre à faire que de continuer à se comporter de manière civilisée pour poursuivre la conquête de parts de marché face à Automattic
• J’espère que les protagonistes de ce conflit vont se calmer et mettre fin à cette bataille publique. Chaque coup porté blesse clairement l’adversaire, mais les observateurs prennent eux aussi des coups de plus en plus durs
  • plus ce feuilleton durera, plus les observateurs neutres quitteront WordPress avec l’intention de ne jamais revenir
• Quel que soit le résultat, Automattic restera à jamais dans les mémoires comme la première entreprise à avoir franchi une ligne éthique dans les logiciels web open source
• pour avoir nui à son plus grand concurrent en s’emparant d’un plugin activement maintenu par une autre équipe, en utilisant une fondation à but non lucratif pour mener une attaque planifiée à l’avance et en ignorant l’éthique de l’open source
• « Automattic, il est temps de concurrencer loyalement »

L’avis de GN⁺

• L’action d’Automattic semble avoir sacrifié la précieuse éthique de l’open source pour nuire à un concurrent
• On le comprend facilement en imaginant ce qui se passerait si Microsoft, propriétaire de npm, s’emparait d’un package populaire d’un concurrent. Dans ce cas, la confiance envers npm s’effondrerait
• WP Engine devrait engager une riposte juridique et pourrait continuer à prendre des parts de marché à Automattic simplement en conservant une attitude civilisée
• On espère que les deux camps vont se calmer et mettre fin à leur bataille publique. Plus le conflit dure, plus les observateurs neutres quitteront WordPress
• Automattic sera désormais remembered comme la première entreprise à avoir franchi une ligne éthique dans les logiciels web open source. En cause : une attaque planifiée à l’avance, menée via une fondation à but non lucratif pour nuire à son plus grand concurrent, au mépris de l’éthique open source
• Il est temps pour Automattic de concurrencer loyalement