"Créer des GAFAM européens aurait les mêmes conséquences funestes" - Interview YunoHost

Quatorze ans plus tard, avec désormais 500 applications disponibles, YunoHost conserve une ambition intacte : rendre l'auto-hébergement accessible à tous, sans ligne de commande obligatoire. Avec les tensions géopolitiques qui replacent la souveraineté numérique au cœur du débat, le projet a le vent en poupe.

En 2012, deux développeurs agacés par la configuration d'un serveur mail posaient les premières briques de YunoHost. Aujourd'hui, à l'heure où Microsoft suspend des comptes mail sur ordre de l'administration Trump et où l'Europe continue de débourser 264 milliards d'euros par an en licences propriétaires, le projet open source n'a jamais semblé aussi pertinent. Mathieu W., contributeur au sein de l'équipe bénévole qui maintient la distribution, nous explique pourquoi l'auto-hébergement est avant tout un acte politique, et pas une promesse d'anonymat.

YunoHost est né en février 2012 d'un échange informel entre deux développeurs agacés par la configuration d'un serveur mail. Quatorze ans plus tard, avec plus de 500 applications disponibles, est-ce que le projet a réellement atteint son ambition de départ : rendre l'auto-hébergement accessible au plus grand nombre ?

Mathieu W : En effet, nous aimons bien raconter cette anecdote, déjà, parce que souvent les gens ne savent pas forcément que Gmail ou Facebook s'exécutent sur des serveurs… et encore moins qu'on peut en avoir un soi-même !

Cette anecdote se passe en 2012, quand l'hégémonie des GAFAM se cimente, et le sujet de la centralisation d'Internet devient prégnant. En 2010, Eben Moglen avait déjà introduit l'idée de la FreedomBox, un serveur à échelle personnelle. En 2013, les révélations de Snowden exposent la surveillance à échelle mondiale par les institutions de renseignement, et le lien avec les GAFAM.

Dans ce contexte, pouvoir gérer un serveur devient une nécessité politique pour construire des alternatives décentralisées aux GAFAM, et en particulier cette pratique ne doit pas être réservée à une élite technicienne familière avec la ligne de commande et l'administration système et réseau.

Quatorze ans plus tard, YunoHost est devenu l'une des distributions les plus connues d'auto-hébergement. Elle permet d'installer en quelques clics de nombreux services basés sur des logiciels libres ! Elle donne accès à ces services à d'autres personnes au travers d'un portail convivial. Elle gère les mises à jour et les sauvegardes et guide les administrateurs dans l'identification et la résolution des problèmes. Le projet n'est pas parfait et par définition, il est très ambitieux ! Et nous avons de nombreuses idées dans les cartons.

Il y a environ 10 000 serveurs motorisés par YunoHost. Notre distribution est aussi utilisée comme le système de base par plusieurs CHATONS et FAI associatifs.

La documentation de YunoHost définit l'auto-hébergement comme une reprise de contrôle sur ses données, une formule qui résonne comme une critique directe du cloud commercial. Comment expliquer concrètement cette différence à quelqu'un qui n'a jamais remis en question l'usage de Google Drive ou d'iCloud ?

M.W : Le terme "auto-hébergement" désignait historiquement une pratique plutôt individuelle, chez soi. Désormais, il a glissé vers une pratique plus hybride et collective et désigne plutôt "être administrateur ou administratrice de services numériques qu'on utilise".

Il y a eu de nombreuses critiques détaillées de l'hégémonie des GAFAM, du pouvoir que cela donne à une poignée de multinationales, et des problèmes que cela soulève. À tel point qu'il est difficile de savoir par quoi commencer tellement le problème nous semble évident, et les conséquences innombrables et tentaculaires !

Il est possible de rester sur une position naïve : après tout, personne chez Google ne va aller fouiller dans les photos que je dépose sur mon Drive... Néanmoins, certains ont vu leur compte Google arbitrairement disparaître du jour au lendemain, sans possibilité d'exercer un recours, ou avec de grandes difficultés. Et ces dernières années, les géants de la tech utilisent les données qu'ils hébergent pour entraîner leurs IA au mépris des auteurs.

En 2013, Snowden révélait l'étendue du programme PRISM, avec la collaboration des géants de la tech. En 2018, l'affaire Cambridge Analytica a démontré comment l'utilisation des données amassées par Facebook a permis d'influencer les élections dans plusieurs pays. En 2019, Adobe a coupé les comptes de ses clients au Venezuela suite à un décret américain. Il y a un an, Microsoft a suspendu les comptes mails de juges et du procureur de la Cour Pénale Internationale sur demande de l'administration Trump. Le nom de l'entreprise de surveillance états-unienne « Palantir » est une référence cynique au globe utilisé par Sauron dans le Seigneur des Anneaux ... Et « Meta », le nouveau nom de Facebook, s'appelle ainsi car ils marchandent nos méta-données. Ils n'essayent même plus de le cacher. Comment ne pas trouver tout cela absolument révoltant ?

Le business model de l'économie de l'attention a amplifié l'addiction aux écrans. C'est désormais un problème de santé publique. Ou encore des algorithmes qui donnent aux grandes plateformes un contrôle sur la mise en avant des contenus, et donc d'opinions politiques, ainsi qu'un droit de vie ou de mort sur les créateurs de contenus.

L'expression anglaise "le cloud n'existe pas, c'est juste l'ordinateur de quelqu'un d'autre" a le mérite de remettre du concret dans des termes marketing comme le "cloud". Lorsque nous déposons nos photos de famille sur un service comme Google Drive, nous les donnons à une entreprise américaine. Elle déconstruit une vision éthérée et marketing, qui invisibilise la réalité de l'infrastructure informatique dont le coût environnemental ne cesse de croître.

Avec YunoHost, il s'agit de maîtriser les services, et même le matériel qui héberge ces services, et donc de réaliser que ces ressources ne sont pas infinies. Le catalogue d'applications de YunoHost propose de nombreuses alternatives aux services centralisés populaires. Mais soyons lucides, certaines applications n'ont pas le même stade de maturité, ni une ergonomie aussi aboutie. Les moyens dont disposent ces projets libres sont ridicules comparés à ceux des multinationales.

YunoHost repose sur Debian et s'administre via une interface web simple, sans ligne de commande obligatoire. Où situez-vous aujourd'hui le profil-type de l'utilisateur YunoHost : développeur curieux, militant du logiciel libre, ou vraiment le particulier sans compétences techniques ?

M.W : Comme nous ne pistons pas nos utilisateurs, c'est difficile de répondre ! L'auto-hébergement reste un sujet un peu "niche". Il faut se sentir suffisamment aventureux ou aventureuse pour mettre un peu les mains dans le cambouis. Même si nous travaillons à réduire la barrière technique. Nous cherchons à renouer avec l'utopie des débuts de l'Internet, en passant d'un réseau devenu centralisé et dominé par quelques grands acteurs à un réseau plus libre et horizontal où chacun a la maîtrise des outils de production et de diffusion.

On se doute donc que nos utilisateurs savent déjà ce qu'est un serveur. Il y a donc des personnes curieuses, mais aussi toutes celles ayant déjà des connaissances pour être autonomes. Nous arrivons aussi à toucher des personnes peu familières avec les arcanes de l'informatique. YunoHost sert également de base pour des serveurs d'associations ou pour des CHATONS. Dans les deux cas, l'administration étant simplifiée, sa charge peut être facilement partagée entre plusieurs administrateurs, et on remet un peu plus d'humanité dans la gestion informatique.

Il n'y a donc pas vraiment de profil-type. Cela se retrouve déjà dans le cercle des personnes qui y contribuent : il n'y a pas forcément de développeurs purs et durs. Nous sommes des personnes issues d'horizons variés, avec des approches centrées sur les usages et la convivialité.

En 2026, avec les tensions géopolitiques autour des données et les discussions persistantes sur le Cloud Act américain, est-ce que YunoHost répond à un besoin qui dépasse le cercle militant du logiciel libre ? Sentez-vous un regain d'intérêt lié à ces enjeux de souveraineté nationale ou européenne ?

M.W : L'actualité est riche en déclarations politiques sur le sujet du numérique, et c'est un euphémisme ! Les pays européens sont dos au mur : les risques que leur fait courir leur dépendance à des technologies sont particulièrement critiques, d'où la petite musique martiale dans les discours publics sur la souveraineté, notamment numérique.

En réalité, les grands discours peinent à être incarnés par des plans concrets et des financements solides. Ces contradictions et incohérences ne sont pas nouvelles. Ce qui est nouveau, en revanche, c'est l'évolution, rapide de surcroît, du contexte géopolitique.

Par exemple, l'hébergement de la plateforme des données de santé a été initialement confié à Microsoft en 2019 malgré sa soumission au droit étasunien. Une migration vient finalement d’être annoncée le mois dernier, mais cela ne sonne pas encore la fin des incohérences là où l’indépendance numérique semble pourtant stratégique. L’Éducation Nationale héberge un modeste projet de forge des communs numériques éducatifs, mais elle renouvelle aussi son contrat avec Microsoft. Les politiques et institutions continuent d'utiliser massivement X/Twitter. On retrouve deux points positifs dans les initiatives de la DINUM, avec le développement de LaSuite Numérique et l'annonce récente d'un travail de "réduction des dépendances extra-européennes". Mais, de manière générale, une insécurité budgétaire plane au-dessus de ces institutions.

Aujourd'hui, la puissance publique manifeste la volonté de créer des "champions" de l'IA à l'échelle européenne. Mais dans le fond, le problème, c'est de tenter de reproduire le modèle toxique des GAFAMs. L'argument invoqué, celui que l'UE serait respectueuse de la vie privée de ses citoyens, est contredit par les tentatives de dérégulations en cours, comme le "paquet omnibus" qui va détricoter les maigres mesures protectrices offertes par les directives et règlements.

Enfin, il faut redoubler de vigilance dans l'emploi de certaines expressions comme celle de "souveraineté technologique". Elle contribue à alimenter la propagande nationaliste dans un contexte de généralisation des conflits armés. Nous souhaitons donner un tout autre sens à cette expression : nous l'entendons comme notre capacité commune à nous réapproprier les choix techniques plutôt qu'à réduire le problème à la dépendance aux géants de la tech états-uniens ou chinois. C'est bien la centralisation des services qui est problématique. Créer des "GAFAM européens" aura sans aucun doute les mêmes conséquences funestes.

L'Europe devrait consacrer davantage de moyens à cultiver des communs numériques, bâtir des infrastructures robustes, indépendantes et décentralisées. La fondation NLnet faisait exactement ce travail en accordant des subventions modestes mais à très forte valeur ajoutée à des projets libres grâce au fonds Next Generation Internet de l'UE. YunoHost en a bénéficié à deux reprises. Or le budget géré par NLnet se situe autour de 20 millions d'euros, à comparer aux 264 milliards d'euros que l'Europe dépense en licences propriétaires chaque année. Pourtant ce fonds est en passe de disparaître, tandis que l'Europe investit dans l'IA. Nous avons signé la lettre ouverte de Petites Singularités qui appelle à poursuivre le financement des logiciels libres.

YunoHost inclut nativement un serveur mail complet avec Postfix, Dovecot, OpenDKIM, rspamd, et la gestion des certificats SSL via Let's Encrypt. La messagerie email reste pourtant l'un des services les plus complexes à auto-héberger, souvent bloqués par les FAI ou filtrés comme spam. Comment YunoHost gère-t-il concrètement ce défi pour l'utilisateur lambda ?

M.W : Proposer un serveur mail prêt à l'emploi c'est en effet ambitieux ! D'une part car les serveurs mails sont complexes techniquement mais aussi critique dans la vie numérique puisqu'il sert d'identité pour se créer des comptes sur d'autres services. Perdre le contrôle de son adresse mail, c'est la catastrophe.

Mais l'email est l'un des services les plus centralisés, avec Google et Microsoft qui dominent, ce qui leur donne un pouvoir énorme, y compris en définissant les règles du jeu, avec des mesures de lutte contre le spam toujours plus agressives et arbitraires qui nuisent à la possibilité de s'auto-héberger. Les systèmes anti-spam fonctionnent également à l'aide de listes de réputation et autres blocklists, souvent gérées par des sociétés privées et où les recours sont compliqués.

Néanmoins, YunoHost essaye de faire fi de tout cela, en intégrant un système de diagnostic qui permet de valider et surveiller automatiquement tous les aspects techniques liés au mail : vérification des enregistrements DNS MX, DKIM, SPF, DMARC et reverse-DNS, exposition des ports, IPv4 et IPv6, présence sur les blocklists, etc. Le diagnostic tente de guider les administrateurs dans la résolution des problèmes.

Cependant, le problème vient parfois du FAI qui bloque l'envoi de mails depuis les lignes résidentielles. À ce titre, on ne peut que recommander les FAI associatifs de la FFDN, qui respectent la neutralité du net.

La documentation précise que l'auto-hébergement ne rend pas « votre internet plus sécurisé » ni n'offre d'anonymat en tant que tel. C'est une mise en garde assez honnête, voire contre-intuitive pour quelqu'un qui cherche à protéger sa vie privée. Où se situe alors la vraie valeur de YunoHost ?

M.W : Lorsqu'on explique le principe de l'auto-hébergement à des personnes qui n'y sont pas familières, il n'est pas rare d'entendre des « ah j'ai compris ! c'est pour être anonyme sur Internet ? ». Et la réponse est non ! Mais comme l'informatique, et de surcroît la sécurité informatique, c'est compliqué, il est légitime d'être perdu entre les notions de vie privée, d'anonymat, de surveillance, de censure, ou encore de piratage... Et à la fois, nous ne voulons pas générer de faux sentiments de sécurité !

L'objectif premier de YunoHost, c'est de gérer ses services et ses données en autonomie. En ne dépendant pas d'un tiers qui pourrait couper notre accès à nos données, les vendre, on évite les mécanismes de pistage commercial. C'est l'enjeu du contrôle de la vie privée, qui peut être vu comme un enjeu de sécurité.

Mais il existe d'autres enjeux de sécurité, par exemple l'anonymat, la confidentialité, ou encore la censure. Mais ces derniers sont différents de celui de l'auto-hébergement.

Pour finir, soulignons que la sécurité est aussi, et avant tout, une question collective : c'est bien beau d'auto-héberger ses e-mails, mais si vous ne communiquez qu'avec des personnes qui sont elles-mêmes chez GMail ou Outlook, les géants du numérique auront tout de même accès à ces communications.

YunoHost est maintenu exclusivement par des bénévoles, ne vend aucun service, n'héberge aucune donnée, et n'a aucune intention de monétiser le projet. Comment le projet assure-t-il sa pérennité sur le long terme ?

M.W : YunoHost repose quasi-exclusivement sur du travail bénévole, avec entre 10 à 20 contributeurs et contributrices réguliers. C'est un travail de fourmi ! En 2025, nous estimons que YunoHost aurait besoin d'au moins 250 000 € par an s'il fonctionnait comme une entreprise avec des salariés, là où son budget réel se situe actuellement autour de 30 000 €.

Jusqu'à l'an dernier, nous recevions des dons pour financer l'infrastructure et la participation à des événements. Mais pour propulser un peu plus le projet, nous avons lancé, en mai dernier, une campagne d'appel à dons. Et les résultats ont dépassé nos attentes ! Cela nous conforte dans notre impression que YunoHost a gagné l'estime et la confiance de sa communauté, et c'est très gratifiant !

Nous nous sommes aussi mobilisés pour tenter de décrocher des subventions de fondations, et avons été lauréats de deux bourses au cours des derniers mois. Ces nouveaux moyens doivent nous permettre d'indemniser partiellement le travail de fond visant à faire évoluer la distribution.

Enfin, des contributeurs ont lancé YunoHost.pro, un réseau proposant de l'infogérance et du conseil. Cette initiative est complémentaire des services offerts par d'autres prestataires qui proposent déjà YunoHost dans leur catalogue, et devrait leur permettre de contribuer en étant rémunérés, tout en renforçant la crédibilité du projet pour un usage professionnel.

Le projet se revendique explicitement « non apolitique » et prend des positions sur le féminisme, la justice environnementale ou les droits LGBTQIA+. C'est une posture rare dans le monde du logiciel libre. N'y a-t-il pas un risque de fracturer une communauté d'utilisateurs que vous cherchez pourtant à élargir ?

M.W : Nous sommes nombreux parmi les contributeurs à considérer que la technologie n'est pas neutre. Le fondement même de YunoHost est une démarche militante à portée politique. Le projet n'a pas pour objectif de maximiser le nombre d'utilisateurs, quitte à en faire fuir certains.

L'hégémonie des GAFAM est précisément critiquée en raison de ses implications politiques, notamment sur le respect de la vie privée et de la démocratie. Pourtant, ce n'est qu'une des facettes d'un problème plus vaste. Récemment, la politique de mise à jour vers Windows 11 force les gens à remplacer du matériel pourtant parfaitement fonctionnel, autour de 240 millions d'ordinateurs. Ces dernières années, nous avons également constaté que les milliardaires de la tech sont ouvertement masculinistes et sexistes, qu'ils suppriment des équipes de modération de leur réseau social au profit de leur IA raciste et xénophobe, ou encore comment leurs multinationales sont complices du génocide à Gaza ou des actions de l'ICE aux États-Unis.

Il nous semble donc essentiel et évident que le combat pour l'émancipation numérique converge avec les autres luttes, dont il y a beaucoup de choses à apprendre. Mais nous ne consacrons pas tout notre temps à faire du prosélytisme à travers le projet.

YunoHost recommande des ajustements au-delà de 250 à 500 comptes. Est-ce une limite acceptable pour un outil grand public, ou un plafond de verre qui empêche YunoHost d'être adopté par des petites associations, des écoles ou des collectivités locales ?

M.W : En effet, le projet est conçu pour une échelle modeste, pour des raisons techniques et politiques.

Techniquement, nous indiquons une limite autour de 500 comptes. En réalité, il n'existe pas de vraie limite gravée dans le marbre. Tout dépend du dimensionnement matériel, des applications dont on parle, et de l'intensité des usages. Il est tout à fait possible d'avoir un site web statique avec des millions de visites par mois. Un cloud avec une utilisation occasionnelle pourra peut-être accueillir jusqu'à 1 000 comptes, mais pour un éditeur collaboratif avec une utilisation intensive, il sera peut-être difficile d'aller au-delà de 100 personnes... Passé ces échelles, des ajustements techniques sont nécessaires, souvent spécifiques à l'application concernée et difficilement automatisables, voire complètement hors des clous de l'approche "mono-serveur" de YunoHost.

Mais est-ce vraiment un problème ? Nous prônons des collectifs et des infrastructures à taille humaine. La réalité, c'est qu'on peut déjà répondre à beaucoup de besoins avec un serveur pour "juste" une centaine de personnes !

YunoHost ne s'appuie pas sur Docker pour isoler les applications, pour des raisons à la fois historiques et partiellement liées à la légèreté du système. Ce choix soulève pourtant des questions de sécurité en cas de compromission d'une application. Comment le justifiez-vous face à des utilisateurs qui hébergent des données sensibles ?

M.W : C'est en effet lié à des considérations historiques : dans les premières années de YunoHost, Docker venait à peine de voir le jour. Néanmoins, nous arguons désormais que c'est un parti pris du projet. Déjà, la sécurité offerte par Docker est toute relative. En soi, Docker n'empêche pas un conteneur vérolé d'être utilisé pour miner des cryptomonnaies, que l'attaquant vole les données de l'application, ou encore qu'il utilise les identifiants mails de cette app pour mener une attaque de phishing... Docker est avant tout une question de déterminisme et de reproductibilité des environnements.

Ensuite, bien que Docker n'ajoute théoriquement pas de coût en CPU ou en RAM, en pratique, il incite à dupliquer des briques logicielles comme les serveurs de base de données lorsqu'on héberge plusieurs applications en parallèle, ce qui en cascade implique d'avoir des machines avec plus de RAM. On peut bien mutualiser un conteneur de base de données entre conteneurs, mais cela réintroduit de la porosité, ce qui fragilise encore l'argument de la sécurité. Il est aussi parfois souhaitable de partager des données entre applications : là aussi, la compromission d'une application, bien que "dans une boîte", implique en cascade la compromission d'autres données…

Et puis, Docker rajoute une couche de complexité lorsqu'il s'agit d'aller déboguer ou personnaliser une application. Or, nous souhaitons que l'écosystème reste suffisamment simple pour que les administrateurs puissent comprendre et s'approprier leur système. Les personnes sont parfois déjà familières avec la ligne de commande grâce à leur environnement de bureau sous Linux, et peuvent transposer ces connaissances sur leur serveur.

Il est tout à fait possible d'avoir une sécurité décente sans Docker, en restant prudent et attentif aux permissions Unix "classiques", complétées par des permissions avancées et par les options de sécurité des services systemd telles que les Capabilities. Lorsque des cas de compromissions de serveurs nous sont remontés, l'origine est beaucoup plus banale : des mots de passe trop faibles, et des applications non mises à jour, ou une faille zero-day. Nous avons récemment introduit une notification lorsqu'une mise à jour critique pour une app est disponible.

Mais, nous ne sommes pas des sectaires anti-Docker, et il serait très intéressant de voir ce que pourrait donner une distribution d'auto-hébergement basée sur Docker (ou NixOS), au-delà d'être une surcouche graphique pour installer des conteneurs !

Avec l'essor des IA génératives intégrées dans les services cloud, Copilot dans Microsoft 365, Gemini dans Google Workspace, est-ce que YunoHost réfléchit à intégrer des solutions d'IA locale, comme des modèles LLM auto-hébergés ?

M.W : Nous avons une position assez conservatrice sur le sujet. Notre politique d'inclusion d'application dans le catalogue mentionne déjà que nous sommes susceptibles de refuser des applications qui promeuvent l'IA générative pour des usages qui pourraient être qualifiés de futiles comparés aux coûts environnementaux et sociologiques qu'elle induirait. Dit autrement, nous n'avons pas envie de promouvoir de l'IA si l'IA est utilisée comme gadget.

Étant donné notre engagement pour une forme de sobriété numérique, il nous est difficile de faire la promotion de technologies aussi gourmandes...

Sur le plan politique, l'IA générative instaure un nouveau rapport de domination véhiculé par la technologie. Ses modèles sont entraînés par des multinationales puissantes, qui exploitent des milliards de contenus. Les biais politiques, sociaux et psychologiques de ces systèmes ont été démontrés et sont dangereux.

Nous avons déjà fait les frais du "IA slop". Certaines personnes nous soumettent des contributions générées par des LLM, que nous devons relire. La complexité et la pertinence du code généré sont extrêmement discutables, et le travail de relecture est essentiellement impossible. Le modèle hallucine des noms de fonction, et produit une documentation inutilement verbeuse et vide de substance.

Si vous deviez convaincre un lecteur de Clubic, technophile mais confortablement installé dans l'écosystème Google ou Apple, de tenter l'auto-hébergement avec YunoHost, quel serait votre argument le plus percutant, et votre mise en garde la plus honnête ?

M.W : Comme nous essayons de ne pas tomber dans le prosélytisme, l'exercice est un peu délicat.

Nous avons bien conscience qu'il n'est pas évident de quitter le confort des interfaces bien léchées. Parfois, l'adhésion à une marque est telle qu'elle en devient presque constitutive de son identité, comme en témoigne justement un article récent de... Clubic ! Ce sont d'abord les impacts personnels ou affectifs de l'évolution du monde qui pousseront chacun à entreprendre de changer ses habitudes.

Mais est-ce si catastrophique de s'émanciper de ce confort ? Il y a beaucoup à gagner à sortir de ce système d'exploitation, à commencer par tout ce que l'on peut apprendre au travers de l'alter-numérisme.

Qu'il s'agisse d'auto-hébergement ou de passer de Windows à Linux, il n'est pas nécessaire d'être un technicien pour s'y mettre ! D'ailleurs, il n'est pas nécessaire de s'auto-héberger pour quitter les plateformes du capitalisme de surveillance.

L'auto-hébergement demande forcément du temps, il faut penser aux sauvegardes et aux mises à jour. Inévitablement, un truc finira par mal se passer. Mais adopter YunoHost, c'est aussi rejoindre une communauté accueillante, sensible aux difficultés que peuvent rencontrer les débutants, et prête à aider pour dépanner. Enfin, il y a un sentiment de fierté lorsqu'on arrive à faire fonctionner son premier service.