Le centre de contrôle appelle Major Trial
(virtualize.sh)- Vates révèle le cas d’une entreprise spatiale à caractère semi-public réalisant environ 130 millions de dollars de chiffre d’affaires annuel, qui a réutilisé à répétition l’essai gratuit de Xen Orchestra Appliance pendant près de 10 ans
- Cette organisation exploite des centaines d’hôtes physiques et environ 4 000 VM, et fait tourner une part importante de sa pile IT sur la plateforme de Vates, sans être cliente payante ni utilisatrice gratuite de l’installation depuis les sources
- Ces essais répétés ont commencé en avril 2015 avec une adresse e-mail d’entreprise, puis ont continué avec des adresses Outlook et Gmail personnelles et des comptes incrémentaux comme
johndoe01,johndoe02, en indiquant à chaque fois le même nom d’entreprise - Xen Orchestra peut être utilisé gratuitement avec toutes ses fonctionnalités lorsqu’il est installé depuis les sources, mais XOA est un produit payant qui fournit une VM préconfigurée et testée, des mises à jour en un clic, ainsi que support et stabilité
- Vates estime que ce trial farming fragilise la pérennité de l’open source et pourrait envisager des limites d’essai plus intelligentes, sans pénaliser les utilisateurs honnêtes
Dix ans d’utilisation répétée des essais de Xen Orchestra Appliance
- Vates présente ce cas dans le contexte du poids croissant de la maintenance des projets open source et de la hausse des fausses contributions et faux rapports de sécurité générés par l’IA
- L’organisation en question est une entreprise à caractère semi-public, avec un chiffre d’affaires annuel d’environ 130 millions de dollars, qui fabrique et exploite des équipements spatiaux coûteux
- Cette organisation possède des centaines d’hôtes physiques et près de 4 000 VM, et exécute une part importante de sa pile IT sur la plateforme de Vates
- Mais elle n’est pas cliente payante, et n’utilisait pas non plus la version entièrement open source installée directement depuis les sources
Différence entre XOA et l’installation gratuite depuis les sources
- Le produit dont cette organisation a répété les essais est Xen Orchestra Appliance (XOA)
- une machine virtuelle clé en main avec Xen Orchestra préinstallé
- régulièrement testée
- facile à déployer et à mettre à jour
- fonctionnant entièrement on-premise
- une expérience stabilisée avec support, destinée aux équipes qui ne veulent pas faire un
git pullsur la branchemasteren production
- Les utilisateurs gratuits peuvent suivre la documentation pour compiler depuis les sources et utiliser gratuitement toutes les fonctionnalités
- sans garantie de stabilité ni support professionnel
- mais avec l’ensemble des fonctionnalités disponibles
- Ce que vend Vates, ce n’est pas l’accès aux fonctionnalités, mais une VM prépackagée et testée, des mises à jour en un clic, un gain de temps, une réduction du risque et une expérience avec support
Un schéma de comptes passé des e-mails d’entreprise aux e-mails personnels
- Les essais répétés ont commencé en avril 2015
- Au début, les demandes d’essai gratuit étaient faites avec des adresses e-mail d’entreprise
- elles apparaissaient une ou deux à la fois, sans sembler suspectes au départ
- avec le temps, plusieurs comptes se sont accumulés, au nom de développeurs, administrateurs système, managers, etc.
- Une fois les e-mails d’entreprise épuisés, l’organisation a utilisé des adresses Outlook ou Gmail personnelles
- de nouvelles périodes d’essai de 30 jours étaient lancées avec les e-mails personnels de vraies personnes
- en incrémentant les identifiants comme
johndoe01@outlook.com,johndoe02@outlook.com - aujourd’hui, cela a largement dépassé
johndoe60
- Dans le formulaire d’inscription, le nom de l’entreprise n’est pas obligatoire, mais le même nom d’entreprise était saisi à chaque fois
Des contournements répétés, même après avoir reçu du support
- Vates a accompagné cette organisation comme elle le ferait pour n’importe quel utilisateur en phase d’évaluation
- en répondant aux questions
- en orientant l’usage du produit
- et, au début, quand le discours était « nous testons et pourrions envisager un achat », en consacrant presque une journée au support
- Avec le temps, des questions et configurations similaires se sont répétées, et une recherche dans l’historique a permis d’identifier au moins 60 comptes distincts liés à la même organisation
- Lorsque Vates a pris contact, l’organisation a présenté des excuses vagues et répondu qu’elle passerait à la version depuis les sources
- Elle n’a montré aucun intérêt pour un support professionnel ni pour une éventuelle remise sur volume, et n’a ensuite pas réellement basculé vers la version depuis les sources
- À la place, elle a continué à demander des essais gratuits en utilisant des adresses Outlook personnelles et des identifiants d’e-mail incrémentaux
Pérennité de l’open source et limites futures
- Cette situation diffère des cas de contournement d’un SaaS classique qui ne peut pas être auto-hébergé
- Xen Orchestra peut être auto-hébergé gratuitement dans son intégralité
- il n’y a pas de limitation fonctionnelle, seulement une expérience de mise à niveau moins pratique qu’avec XOA
- Le fait d’avoir préféré recréer sans cesse des comptes d’essai plutôt que de lire une courte documentation et saisir quelques commandes met aussi en évidence la valeur de la praticité de XOA
- Pendant les dix dernières années, cette même organisation a continué à demander des essais gratuits via des comptes Outlook et Gmail personnels tout en saisissant son vrai nom d’entreprise
- Ce comportement affaiblit les bases qui permettent de rendre l’open source durable
- À l’avenir, des limites plus intelligentes pourraient être introduites pour empêcher le trial farming
- il ne s’agit pas de bloquer les utilisateurs honnêtes
- mais de consacrer l’énergie au développement logiciel, au support des vrais utilisateurs et à la maintenance de l’open source
1 commentaires
Avis sur Hacker News
Je pense qu’il est temps d’appliquer une pression à la Larry Ellison. Au minimum, il faut leur vider les poches pour récupérer la petite monnaie.
Cette entreprise est en train de voler. Vous avez déjà été suffisamment principiels et généreux en essayant d’aider les entreprises avec une option OSS. Là, c’est un abus, il n’y a aucune raison de le tolérer.
Vu l’historique, il vaudrait mieux résumer dix ans de vol et de contournements dans une courte mise en demeure de cessation (C&D), et les informer que s’ils ne cessent pas sous 15 jours ou n’achètent pas de licence, vous leur facturerez dix ans de frais de licence, intérêts et pénalités. Surtout, s’ils doivent couper le logiciel le 16e jour, quelqu’un prendra forcément contact.
Les montants semblent importants, mais c’est aussi une question d’éthique et de responsabilité. En tant que CEO, il faut se demander si l’on a une plus grande responsabilité envers ses employés et actionnaires, ou envers cette entreprise spatiale. Même si l’entreprise est extrêmement riche, je pense qu’un CEO a une forte obligation de récupérer des actifs volés.
Si c’est une entreprise américaine, ce comportement pourrait probablement tomber sous le coup des dispositions anti-contournement du DMCA. Dans ce cas, des personnes physiques pourraient aussi engager leur responsabilité pénale. Je considère le DMCA comme une loi terrible, qui permet aux entreprises de créer une responsabilité pénale via des contrats de licence, mais c’est la loi actuelle aux États-Unis ; si un avocat explique ce point, les avocats d’en face pourraient vite venir négocier.
Je ne pense pas que cela ira jusqu’au tribunal. Les faits eux-mêmes sont indéfendables, et la seule question sera combien ils doivent verser à l’entreprise de l’OP.
Cela peut prendre du temps, mais vous finirez par récupérer l’argent.
« Je ne vais pas leur courir après pendant des jours et perdre mon temps. Mais à un certain point, ce n’est plus seulement économiser quelques sous, ça devient de la performance artistique » : franchement, il faut les poursuivre.
Il est très probable qu’il s’agisse d’une violation des conditions de l’essai gratuit, donc il faut les traîner en justice. Sinon, au minimum, il faut publier le nom de l’entreprise pour leur faire honte. Le manager idiot qui a organisé ce vol ridicule pourrait se faire virer et être remplacé par quelqu’un de plus mature.
Je ne me précipite pas vers une action en justice pour l’instant. À ce stade, ça ne vaut pas vraiment l’énergie que cela demanderait, mais j’ai senti qu’il fallait dénoncer publiquement ce comportement. C’est aussi un signal pour les autres personnes de l’écosystème sur le genre d’absurdités auxquelles les mainteneurs OSS doivent parfois faire face.
Je réserve encore ma décision quant à nommer directement l’entreprise, mais je ne l’exclus pas complètement.
Du genre : « Notre produit est tellement bon que des entreprises aérospatiales le volent littéralement. Au fait, avez-vous vu notre nouvel essai de 30 jours ? Pour revenir à cette entreprise aérospatiale, regardez notre offre actuelle et voyez à quel point notre logiciel peut être peu coûteux… »
Les gens chercheront toujours à pousser les limites ou à trouver des moyens d’abuser du système. Il faut décider où placer les restrictions entre expérience utilisateur et prévention des abus.
Dans une ancienne entreprise d’un milliard de dollars où je travaillais, quelqu’un avait mis en place une sorte de proxy pour qu’environ 100 personnes utilisent un seul compte utilisateur gratuit.
Nous avions besoin de plus de fonctionnalités, donc nous avons aussi regardé des produits concurrents, et j’ai participé à une réunion pour décider s’il fallait continuer avec l’existant ou passer à une meilleure solution. Les deux produits ont été comparés équitablement, sauf sur le prix.
Le plan consistait soit à continuer à utiliser illégalement le service sans payer ce que nous aurions dû payer, soit à utiliser un autre service qui aurait été moins cher si nous l’avions utilisé légalement. J’ai soulevé le problème en disant qu’il fallait au moins comparer sur la base des coûts réels, mais personne n’a partagé cet avis, et au final nous n’avons pas migré et avons continué l’usage illégal. L’argent n’était même pas un problème.
La personne qui avait créé ça avait déjà quitté l’entreprise, mais personne ne voulait s’occuper du problème, et il semble qu’ils aient jugé plus simple de l’ignorer.
Si « Rocket Company » utilisait en moyenne 30 machines par mois, à un maximum de 1 600 dollars par mois, cela représenterait environ 600 000 dollars par an avant remise. Sur 10 ans, cela pourrait représenter environ 3 millions de dollars retenus.
Pour que Vates récupère cet argent, il faudrait probablement retirer le contrôle aux équipes opérationnelles qui font le travail réel et l’abstraire dans une organisation IT centrale.
J’aime bien l’expression « mais à un certain point, ce n’est plus seulement économiser quelques sous, ça devient de la performance artistique ». L’humour est bon, et l’exemple aussi.
Il est très possible que l’entreprise dépense plus en temps salarié que le coût du produit.
J’ai du mal à imaginer faire tourner quelque chose de mission critical sur une version d’essai gratuite. J’ai entendu dire qu’Adobe avait perdu un procès autrefois : quelqu’un avait créé une image avec une version d’essai, puis n’avait plus pu l’ouvrir après la fin de la période d’essai.
Si j’étais client de cette entreprise, je serais assez inquiet.
Il suffit de dire : « Votre essai gratuit est terminé, et votre entreprise ne peut plus recevoir de clés d’essai gratuit. » Pas besoin d’avocat ni de menace pour ça.
Dites-le poliment, du genre : « Nous sommes ravis que vous aimiez notre produit. Malheureusement, nous ne pouvons plus vous accompagner via des essais gratuits. »
S’ils dissimulent leur affiliation et continuent à obtenir des essais gratuits, bloquez les demandes frauduleuses chaque fois que vous les détectez, et, vraiment en dernier recours, envoyez un avertissement juridique. Vous ne les attraperez pas tous, mais ce sera très pénible pour eux.
L’objectif est de les intégrer comme clients payants. Tout autre résultat est, en pratique, une perte. Il faut être poli, mais ferme.
Le plus déprimant, c’est que cette histoire n’a rien de surprenant
C’est exactement pour cela qu’un essai gratuit demande d’abord une carte bancaire. Pas pour facturer en douce, mais parce que c’est plus difficile à falsifier. À cause de gens comme ça.
J’ai l’impression que ce genre de pratique empêche les gens qui veulent abuser légèrement des versions d’essai, mais ne fait qu’embêter les vrais clients payants et bloque à peine les acteurs malveillants.
En tant que CTO, je m’oppose assez fermement à ce genre de comportement, et j’estime que la responsabilité incombe au CTO de l’entreprise aérospatiale
Survivre en économisant au début fait partie du jeu, mais dès que le chiffre d’affaires commence à rentrer, il faut convertir les offres gratuites en offres d’entrée de gamme au moment où l’on passe à l’échelle
C’est regrettable qu’il y ait dans notre secteur des gens qui se comportent ainsi.
Personnellement, je vois les offres gratuites cloud/SaaS comme un moyen de compenser les coûts d’usage initiaux. Donc, sauf à très petite échelle, l’offre gratuite n’est pas adaptée.
J’ai vécu quelque chose de similaire dans une startup grand public à cause d’un système de parrainage
Tous les mois, comme une horloge, une personne créait de faux parrainages pour obtenir un mois gratuit, avec un processus assez pénible : réinstaller l’appli, créer du contenu sur de faux comptes, revenir, etc. Tout ça pour économiser 5 dollars, alors qu’il existait aussi une offre gratuite de qualité presque équivalente
Je pense que le frisson d’avoir battu le système sans se faire prendre est aussi un facteur important. Ça se comprend.
Quand je travaillais autrefois dans le service IT d’une grande entreprise, acheter un logiciel demandait tellement d’efforts que n’importe quelle « solution créative » paraissait bien meilleure
Le pire, c’est que les logiciels bon marché sont ceux qui en souffrent le plus. Une mise à niveau Cisco à plusieurs millions de dollars ne pose pas de problème. C’est déjà plusieurs millions de dollars. Mais acheter une licence shareware d’e-mail à 10 dollars nécessite que plusieurs personnes y consacrent beaucoup d’heures de travail, alors qui va le faire ?
Puis, moment gênant, le responsable a dit au CEO qu’il y avait une règle : l’entreprise ne pouvait utiliser que de l’OSS. Pourtant, le propre produit de cette entreprise n’était pas OSS.
Si l’on suppose que cette histoire est assez exacte, je me demande ce que les deux camps avaient en tête
Côté utilisateurs gratuits, pensaient-ils respecter les règles ? Jusqu’à quel niveau la validation de cette méthode est-elle remontée ? Quelqu’un a-t-il essayé de payer, mais s’est-il retrouvé bloqué ? Quelqu’un a-t-il dit à son supérieur que tout avait été développé en interne, et ne veut maintenant pas reconnaître que c’est externalisé et que l’entreprise est exposée ? Est-ce remonté jusqu’au plus haut niveau, avec un avocat conseillant de mettre à chaque fois le nom de l’entreprise et de vraies identités pour pouvoir être protégé au titre de la bonne foi ?
Côté fournisseur, pourquoi un commercial ne s’est-il pas jeté sur un utilisateur entreprise coincé là depuis 10 ans ? Comment ont-ils pu laisser passer 10 ans sans modifier un peu leur politique pour bloquer ce passager clandestin et d’autres qui pourraient l’imiter ? Pendant tout ce temps, que disaient les responsables business quand le sujet revenait sur la table ? L’activité marchait-elle si bien qu’ils estimaient ne pas avoir le temps de les convertir en clients payants ?
https://250bpm.substack.com/p/accountability-sinks