Le centre de contrôle qui envoie des demandes à Major Trial

 (virtualize.sh)
1 points par GN⁺ 2025-05-17 | 1 commentaires | Partager sur WhatsApp
  • Il s’agit du cas d’une agence quasi gouvernementale utilisant une plateforme open source et abusant activement de trials à l’infini pendant 10 ans
  • Cette organisation a créé des dizaines de comptes pour continuer à utiliser l’appliance XOA sans paiement officiel
  • Malgré une assistance sincère et des explications fournies, cette organisation n’a pas cessé de contourner la licence
  • Alors qu’il existait clairement une option gratuite auto-hébergeable, elle a choisi de répéter uniquement l’abus de trial au lieu de suivre une procédure appropriée
  • Ce comportement menace la durabilité de l’open source, et des politiques de limitation plus intelligentes seront mises en place à l’avenir

🚀 Une histoire de versions d’essai et de tâtonnements

Le monde de l’open source réunit des aspects beaux, complexes, puissants et parfois difficiles à comprendre

# Vates et la réalité de la maintenance open source

  • Vates a déjà partagé les différentes difficultés liées à la maintenance de projets open source
  • Récemment, une nouvelle complexité s’est ajoutée avec l’augmentation des contributions basées sur l’IA et des faux rapports de sécurité
  • Mais cet article traite cette fois d’un cas plus concret et plus terre à terre

🧑‍🚀 Le cas singulier d’un trial sans fin

# Contexte

  • Une entreprise relevant d’un organisme quasi gouvernemental réalise 130 millions de dollars de chiffre d’affaires annuel et construit/exploite des équipements coûteux liés au spatial
  • Cette entreprise exploite des centaines de serveurs physiques et environ 4 000 VM, et fait reposer l’essentiel de son infrastructure IT sur la plateforme Vates
  • Fidèle à son logo où XCP-ng est la fusée et Xen Orchestra le satellite, cette plateforme est critique pour cette entreprise

# La méthode d’abus des trials

  • Cette organisation affirme clairement qu’elle n’est pas cliente payante, tout en n’utilisant pas non plus l’installation directe à partir du code source open source
  • À la place, elle demande à répétition le trial de 30 jours (15 auparavant) de Xen Orchestra Appliance (XOA), une VM packagée prête à l’emploi et facile à installer
  • Depuis avril 2015, elle demande des trials avec des e-mails professionnels, puis le nombre de comptes a progressivement explosé
  • La plupart des employés — développeurs, administrateurs systèmes, managers — créent des trials, en passant d’adresses du type ○○@corporate.com à des comptes Outlook ou Gmail personnels
  • Elle a montré une démarche organisée, allant jusqu’à créer plus de 60 comptes en ajoutant des chiffres aux identifiants d’e-mail

# Données publiques

  • Le comportement a été si actif et constant qu’il a été possible de produire un graphique avec le nombre réel de comptes liés aux trials
  • En cas de problème, l’organisation saisissait même son vrai nom d’entreprise, avec les noms réels des personnes

🔍 Les options proposées

  • N’importe qui peut utiliser gratuitement toutes les fonctionnalités en compilant depuis les sources, conformément à la documentation
  • L’appliance XOA est un produit commercialisé, car elle offre un environnement professionnel avec tests réguliers, mises à jour et maintien à jour en un clic
  • Le comportement de cette organisation peut être vu comme une violation manifeste du « contrat moral » implicite de l’open source

🧠 Le vrai dilemme

  • Vates a fourni aux utilisateurs une aide de bonne foi, et a sincèrement aidé même lorsqu’ils laissaient penser, au début, qu’ils avaient l’intention de tester puis d’acheter
  • Mais des questions répétitives et des configurations familières ont continué d’apparaître, jusqu’à la confirmation de plus de 60 comptes distincts
  • Après avoir été interpellée, l’entreprise a présenté des excuses vagues en disant qu’elle passerait à la version source
  • Elle a même rejeté immédiatement une proposition de remise sur volume, sans montrer le moindre intérêt pour le support professionnel
  • En réalité, elle n’est pas passée à la version source et continue toujours à abuser des trials avec des comptes personnels

# Quand l’auto-hébergement gratuit est possible

  • Avec seulement quelques commandes et une courte lecture de la documentation, un auto-hébergement complet est possible

  • Le seul inconvénient est une expérience de mise à niveau un peu moins pratique

  • Malgré cela, cette entreprise a préféré l’abus répété des trials à l’auto-hébergement gratuit

  • C’est aussi la preuve indirecte que la valeur de l’appliance XOA est reconnue jusqu’à un certain point sur le marché

💭 La suite

  • Il n’est pas prévu de perdre du temps dans une chasse sans fin
  • Mais répéter cela avec des comptes personnels tout en saisissant le vrai nom de l’entreprise dans les informations d’inscription depuis plus de 10 ans, c’est aller beaucoup trop loin
  • Ce type de comportement nuit à la santé et à la durabilité de l’écosystème open source
  • À l’avenir, l’introduction de politiques de limitation plus intelligentes pour empêcher ce type d’abus des trials est à l’étude
  • L’objectif est de ne pas bloquer les usages légitimes, tout en concentrant une énergie limitée sur le support des vrais clients et l’innovation logicielle
  • Enfin, si cette entreprise lit ceci, il est encore temps pour elle d’essayer de faire un choix raisonnable et éthique

À lire aussi

1 commentaires

 
GN⁺ 2025-05-17
Avis Hacker News

  • Dans ce type de situation, certains suggèrent de s’inspirer de la méthode de Larry Ellison et de répondre agressivement à ces entreprises : récapituler 10 ans d’utilisation et de tentatives illégales, envoyer une lettre de C&D (cessation et abstention), puis annoncer que si cela ne cesse pas sous 15 jours ou si elles n’achètent pas de licence, elles devront payer 10 ans de licences, les intérêts et des pénalités ; en cas d’action en justice, une possible violation du DMCA (Digital Millennium Copyright Act) est évoquée, avec l’insistance sur le fait que cette loi s’applique aux États-Unis et peut même entraîner une responsabilité pénale ; il est recommandé de réfléchir sérieusement, en tant que CEO, à sa responsabilité de récupérer les actifs des employés et des actionnaires

    • Comme il s’agit d’un cas manifeste de détournement, il est mentionné que l’entreprise pourrait régler l’affaire immédiatement sans aller au tribunal ; il est souligné qu’il peut y avoir plusieurs millions de dollars de pertes, en plus des pénalités ; au fond, le débat revient à déterminer combien payer à l’entreprise lésée

    • Il est proposé de commencer par une mesure directe : envoyer une facture chaque mois ; faire rédiger la facture avec un conseil juridique, l’envoyer de manière répétée, puis faire pression en menaçant d’un recouvrement si elle n’est pas payée ; cela peut prendre du temps, mais l’expérience présentée affirme qu’un recouvrement finit par être possible

  • À propos de la formule « vouloir économiser quelques sous et finir en performance artistique », certains demandent de poursuivre les efforts de traçage ; procès ou non, au minimum rendre public le nom réel de l’entreprise afin de provoquer une prise de conscience ; on espère aussi que cela pourrait avoir pour effet positif de remplacer des managers immatures

    • L’auteur hésite à contacter directement le CEO pour lui exposer la situation, mais se dit déçu à l’idée qu’il soit peut-être déjà au courant et l’autorise ; aucune action en justice n’est envisagée immédiatement, mais pointer publiquement un comportement fautif vise à sensibiliser l’écosystème ; la divulgation du nom de l’entreprise est aussi mise en attente pour l’instant

    • Il semble bien s’agir d’une violation de licence d’essai gratuit, et certains se demandent s’il refuse vraiment d’être payé pour son propre travail

    • Il est souligné qu’un billet de blog à visée de communication pourrait en réalité être plus efficace ; si Rocket Company exploite la communauté OSS, il faudrait aussi envisager une forme de réciprocité envers l’OSS

    • D’autres avancent en plaisantant que toute cette histoire pourrait en réalité n’être qu’une publicité pour le produit, une stratégie consistant à vanter sa propre offre en mentionnant même un usage non autorisé

    • Il n’existe pas beaucoup d’entreprises aérospatiales avec 130 millions de dollars de chiffre d’affaires annuel et des satellites, d’où l’hypothèse d’une entreprise précise (Planet Labs)

  • Dans un précédent emploi, une seule personne avait créé un proxy permettant à environ 100 personnes de partager un compte gratuit ; même par comparaison avec des concurrents, le coût n’était jamais mentionné et l’usage illégal continuait ; le caractère illégal avait été signalé, sans aucune réaction ; le problème n’était pas le coût, mais l’évitement du traitement du sujet ; l’attitude était de l’ignorer plutôt que d’être convaincu

    • Calcul selon lequel Rocket Company aurait pu économiser 600 000 dollars par an avec 30 serveurs par mois, soit 3 millions de dollars sur 10 ans ; il est mentionné que pour réellement faire payer le service, il faut contrôler le département IT

  • Plusieurs personnes disent apprécier l’humour de l’expression sur les quelques sous économisés qui finissent en performance artistique, ainsi que les exemples associés ; elles soulignent que les ressources internes de l’entreprise peuvent coûter davantage en masse salariale que l’achat du produit ; du point de vue d’un client, elles expriment aussi leur inquiétude face à des entreprises qui utilisent une version d’essai gratuite pour des tâches mission-critical ; il est ajouté que de tels cas existent réellement

  • Le plus décevant, pour certains, est que cette situation ne surprenne absolument pas ; ils y voient la raison pour laquelle on a commencé à exiger une carte bancaire pour les essais gratuits : non pas pour facturer discrètement, mais pour rendre les abus plus difficiles

    • Il est mentionné que l’exigence d’une carte bancaire n’a en pratique pas beaucoup d’effet, tout en ayant pour effet secondaire de compliquer la vie des utilisateurs payants ; la réalité décrite est qu’il est facile de contourner cela avec des cartes virtuelles

  • Il est recommandé d’agir via un message poli du type : « La version d’essai est terminée, nous ne pouvons donc plus délivrer de clé » ; si des demandes supplémentaires continuent en douce, il faut envisager un blocage, puis en dernier recours une action en justice ; il est souligné que l’objectif final reste de convertir ces utilisateurs en clients payants, d’où l’importance d’un ton poli mais ferme

    • Il est recommandé d’automatiser la détection du nom de l’entreprise et de ses alias connus côté backend à l’étape d’inscription, puis de renvoyer un message du type : « Vous n’êtes pas éligible au gratuit, notre équipe commerciale vous contactera bientôt ! »

  • Du point de vue d’un CTO, ce comportement relèverait entièrement de la responsabilité du CTO de Aerospace Co ; utiliser le free tier au début peut aller, mais une fois qu’il y a du chiffre d’affaires, il faut passer au payant ; certains regrettent qu’il existe des professionnels du secteur qui choisissent ce genre de comportement

    • Certains sont d’accord, tout en soulignant que le vrai savoir-faire consiste aussi à bien utiliser le free tier ; avis personnel : le free tier d’un SaaS sert à réduire les coûts initiaux ; mais à grande échelle, il atteint inévitablement ses limites

  • Une personne raconte un cas vécu dans une startup grand public, où un utilisateur abusait d’un programme de parrainage : chaque mois, il suivait consciencieusement un processus complexe pour obtenir un mois gratuit ; alors qu’il y avait très peu de différence avec le plan de base, ce niveau d’effort semble surtout motivé par le frisson ou le plaisir de battre le système

  • Il est proposé d’en faire un levier marketing sans citer de nom réel ; un exemple de client confidentiel pourrait être mis en avant de manière proactive sur une page marketing ; les cas non payés pourraient être agrégés anonymement par secteur, année et volume d’usage ; en parallèle, une enquête sur les cas avec un concours d’écriture créative et l’offre de licences payantes pourrait être lancée ; des études de cas et sondages en lien avec une business school pourraient maximiser l’effet de communication ; avec en plus une suggestion de mise à jour des conditions d’utilisation, puis l’idée que l’équipe commerciale pourrait plus tard pousser une conversion vers des licences pluriannuelles

  • Du point de vue d’un praticien, l’achat d’un SaaS lui-même peut être extrêmement difficile à cause de processus complexes comme l’« évaluation du risque fournisseur » ; l’hypothèse avancée est que ce genre de comportements d’évitement de terrain peut venir de là

    • Des exemples sont partagés pour montrer qu’en pratique, ce phénomène se produit réellement à cause de procédures d’achat excessivement lourdes