En publiant mon précédent article sur la migration d’une base WordPress, j’ai évidemment relayé le post sur Twitter en y ajoutant le tag CMS (Content Management System). Du coup, je suis tombé sur un fil qui depuis a commencé à faire du bruit sur la toile. Tout commence par ce tweet :

Il faut dire que l’article cité de l’agence Cera Interactive est assez édifiant et illustre la désinformation que peuvent véhiculer certaines agences pour vous vendre un mauvais produit. La première réaction rappelle un peu l’affaire LinuxFr.

Ainsi, dans un premier temps, je voulais vous faire un article pour ne pas vous faire embobiner par des web agency peu scrupuleuses. Mais force est de constater que Cera Interactive a choisi d’être l’illustration du cas d’école de l’agence à éviter aussi bien par la promotion de ses produits que par la gestion de sa communication basée sur les attaques personnelles et misogynes.

Le domaine du service informatique est très concurrentiel. Il est donc important de se différencier. La meilleur approche consiste à mettre en avant son expertise. Des sociétés comme Xebia ou Smile publient régulièrement des posts de qualité. Mais les liens que j’ai associé à ces deux sociétés ne sont pas à la portée du grand public, public moins à même de juger la pertinence d’une publication. Lorsque ptit_pigeon dénonce le post de Cera Interactive, c’est la réaction d’un technicien idéaliste. Idéaliste, car il faut avoir conscience qu’une société se doit de vous vendre ce qu’elle sait faire même si nous sommes loin des bonnes pratiques du moment.

La base de la désinformation

Je n’ai pas souhaiter proposer de lien directe sur leur article pour éviter d’améliorer leur page rank déjà trop élevé, si vous voulez le consulter, passez par le contenu du tweet. En résumé, que contient leur article ? Il part du constat que des sites utilisant des CMS Open Source (Drupal dans ce cas) ont été piratés. Les outils étant Open Source, n’importe qui pourrait découvrir des failles et les exploiter. Pour eux, le lien et la faiblesse de ces outils ne fait aucun doute.

Bien entendu, ils mettent ainsi en avant leur approche qui consiste à proposer des « sites sur mesure » qui auront donc l’avantage d’avoir un code « secret ». Cette confidentialité du code serait une garanti que le site serait plus difficile à pirater

Une justification soigneusement évitée

L’article de l’agence Cera Interactive cite deux cas de piratage, celui du centre de lutte contre le cancer Paul Strauss et les Hôpitaux Universitaires de Strasbourg. Dans aucun des cas ils n’expliquent quelle faille les pirates ont pu utiliser. L’article étant grand public, ce serait certes perdre les lecteurs, mais l’article lance tout de même un FUD (Fear, uncertainity and Doubt) à l’encontre de Drupal. Leur formulation laisse supposer que les pirates connaissent une faille non colmatée de Drupal qui leur permet d’attaquer tout site utilisant Drupal.

D’après W3Techs, Drupal occupe aujourd’hui une part de marché  d’un peu plus de 5 % des CMS. Si Drupal exposait une telle faille, nous aurions aujourd’hui près de 5 % des sites reposant sur un CMS qui seraient attaqués, pas deux en près de deux mois.

Les deux sites n’ont pas commenté la raison de l’attaque, mais par expérience, ce type d’attaque exploite en général l’usurpation d’un compte, plus rarement l’exploitation d’une faille sur une installation qui n’est pas à jour et il n’y a quasiment aucun retour sur une exploitation de faille inconnue.

Les CMS Open Source sont ils une mauvaise solution ?

Vous êtes sur un blog qui a commencé par des pages codées à la main, qui est passé sur Spip, Drupal et enfin WordPress. Je peux difficilement dire qu’un CMS est une mauvaise solution. Dans mon article sur le passage de Spip à Drupal, j’expliquais déjà l’intérêt d’un CMS (de manière un peu brouillonne, le post date de 2010).

Pour les présenter à nouveau, il n’existe pas un mais des CMS (Content Management System, Gestionnaire de Contenus). Wordpress par exemple est un CMS mais globalement limité au blogs. Drupal est un CMS mal adapté aux blogs, mais très puissant pour la personnalisation de l’information. Si par contre vous souhaitez proposer une boutique en ligne, il faudra vous orienter vers des solutions comme Magento ou PrestaShop. Si vous souhaitez un site plus complexe comme une boutique en ligne et un blog, vous pouvez combiner Magento et WordPress par exemple. Vous pouvez combiner les solutions Open Source, pour créer votre site sur mesure pour un simple cout d’intégration et non de développement.

Un CMS s’occupe donc de la gestion de votre contenu. Il fournit un cadre pour cela. Les CMS Open Source mettent en commun le développement de cette base que nous utilisons tous. En utilisant un CMS Open Source, on perd donc moins de temps (donc d’argent) à coder ce qui existe déjà, on peut donc se concentrer sur le contenu et sur la personnalisation.

En ce qui concerne les considérations sur la sécurité, considérer qu’un pirate exploiterait une faille en étudiant le code laisse entendre que les développeurs de ces solutions n’ont aucune démarche qualité. Si, dans le cas de Drupal, on occupe 5% du marché, c’est bien parce que la qualité et la sécurité sont prises au sérieux.

L’intérêt de promouvoir un site sur mesure

Une agence web a tout intérêt à vendre un site sur mesure. Il y a plusieurs raisons à ça.

En vous fournissant une solution sur mesure, l’agence est la plus qualifié pour maintenir et faire évoluer votre site. Bien sûr, vous devez exiger qu’ils fournissent le code source, mais en allant voir un concurrent, celui-ci devra passer du temps à comprendre le code, ce qui augmentera le cout de la prestation. En fournissant une solution sur mesure, une agence se garantit votre dépendance à ses services.

En vous fournissant une solution sur mesure, l’agence se garantit un revenu régulier. Toute évolution nécessitera en effet l’ajout d’une fonction sur mesure. Avec un CMS ouvert qui peut s’enrichir de plug-ins comme WordPress ou Drupal, une fonction populaire peut s’ajouter en 5 minutes à un cout nul si vous avez la main, minimum si vous passez par votre prestataire. Certaines fonctions peuvent s’ajouter avec l’évolution de l’outil, comme la prise en charge d’une interface responsive qui s’adapte à l’écran. Une solution sur mesure nécessite le développement, test, validation et déploiement de cette fonction. Ceci entrainera un cout de plusieurs centaines d’euros et un délais de plusieurs jours. Corollaire de la remarque précédente, pour ajouter une fonction simple, vous êtes dépendant de l’agence qui vous a fourni votre site. En fournissant une solution sur mesure, une agence décuple le cout d’évolution et maintenance de votre site.

Les CMS Open Source sont en évolution permanente. Si certains s’occupent de l’ajout de fonctionnalités, d’autres s’occupent de la correction de bugs. Ainsi, il est certain que ces bugs soient corrigés avant même que vous n’y soyez confrontés. Et un bug peut être une faille. Avec un site sur mesure, vous êtes les seuls à relever les bugs et personne ne consultera le code pour relever les failles. L’agence a rempli sa part du contrat en vous livrant votre site, elle n’a plus de raison d’y intervenir. Ainsi, si vous n’avez pas été exhaustif lors des tests de livraison, tout bug aura une conséquence sur votre présence web qui peut se solder par une indisponibilité (et donc la perte de clients). Toute faille qu’un pirate aura trouvé sera donc exploitée et vous serez dépendant de l’agence pour sa correction, ce aussi bien en compétences qu’en temps. En optant pour une solution sur mesure, vous choisissez d’assurer seul la sécurité de votre site.

Enfin, les agences vendent leurs solutions comme étant sur mesure, mais que signifie sur mesure ? Cela ne signifie pas un code unique. Souvent, ces agences ont un framework interne sur lequel ils basent leurs production, tout en facturant la prestation au prix fort. Cependant, ne vous faites pas d’illusion, un framework interne n’a aucune garantie d’être maintenu. Dans le cas de Cera Interactive, il suffit de regarder le code mort dans les sources de leur site…

Attention, je n’écris pas ici qu’il ne faut jamais s’orienter vers une solution sur mesure. Dans de nombreux cas, ce peut être la solution à privilégier. Mais vous devez être bien conscients dans quelle voie vous vous engagez.

Faites attention aux compétences que l’on vous vend

Ce que Cera Interactive met en avant, c’est leur compétence en développement. Leur position est qu’un bon travail est réalisé par un programmeur capable d’écrire du PHP, et que déployer un CMS ne nécessite pas de compétences. Aïe…Opinion Cera Interactive sur les CMS

En effet, déployer un WordPress est à la portée de n’importe qui (presque). En fait, WordPress peut s’installer en 5 minutes. Si vous passez par une agence sérieuse, elle vous facturera ça un minimum. Mais vous ne pouvez pas vous contenter d’une installation standard et si vous faites appel à un prestataire, celui-ci enrichira cette installation. Développer en PHP est à la portée de n’importe quel passionné d’informatique, si PHP est aussi populaire sur le web, c’est bien parce que n’importe quel ado peut coder un site. Avoir la rigueur pour travailler sur un framework est un autre niveau.

Vers une dérive sexiste

twitter profile ptit_pigeon

Le profile de @ptit_pigeon

En tant qu’ex-salarié de de ce type de sociétés, je comprends la volonté d’orienter le potentiel client vers ses filets. Mais une telle publication n’est pas perçue de cette manière par de jeunes techniciens idéalistes. Forcément, lorsque vous choisissez cette voie là, vous allez vous attirer les critiques. C’est la réaction de Ptit_Pigeon sur Twitter. Ptit_pigeon est deux défauts : c’est une femme (et on sait comment l’industrie informatique n’aime pas les femmes) et elle n’a pas d’inhibition pour son statut. Avec cette publication indéfendable (soit on admet être incompétent, soit on admet qu’on agit dans son intérêt commercial mais pas dans celui de son client) dont ils ont mis le lien en commentaire de tous les articles traitant des sites piratés cités, il ne reste que l’attaque envers la personne.

reponse cera interactive

La réponse de l’agence Cera Interactive à Ptit_pigeon

Au cours de la journée, Cera Interactive persistera sur l’attaque personnelle et insistera sur l’aspect misogyne au point d’attirer l’attention de la presse plus généraliste comme Mediapart. ou Numedia.

Ce qui est intéressant, c’est de voir l’évolution de cette histoire. Ici, mine de rien, nous sommes loin de l’affaire LinuxFr et Linkeo. Même si une certaine communauté s’élève contre cette agence et qu’elle bénéficie pour l’instant d’un Bad Buzz, Elle a tout de même conscience que sa réaction ne marquera pas les esprits vu que l’affaire en question n’est pas reprise par les gros bloggeurs.

twitter cera interactive opinion bad buzz

L’opinion de Cera Interactive sur un éventuel bad buzz de l’affaire.

En fait, ce peut même être l’inverse, ils ont même fierté d’avoir explosé les compteurs de visite.Cera Interactive fière de ses visites

En ce qui me concerne, je ne vois pas la fierté d’encombrer mon site avec des visites que je sais que je ne transformerai pas. Mais par contre là où Cera Interactive a raison d’entretenir l’effervescence, c’est que l’ensemble des citation aura pour conséquence d’augmenter sa visibilité sur le web.

Vous avez un projet web ?

Si vous avez en projet de faire appel à une agence web, essayez de vous renseigner sur ses compétences. Ayez comme puce à l’oreille que dès qu’une agence dénigre une approche pour mettre en avant la sienne, elle est à éviter. L’informatique de manière générale est un ensemble d’outils. Un prestataire devrait vous proposer le meilleur outil qui correspond à votre cas, et non pas le sien sur une base idéologique. Que ce soit le cas LinuxFr ou celui-ci, vous avez l’illustration que de mauvaises sociétés sévissent ouvertement en sachant très bien que si elles se mettent à dos les développeurs compétents, ces bruits n’arriveront probablement pas aux oreilles de leurs prospects.

Enfin, si vous voulez en savoir un peu plus sur les solutions pour diffuser votre site, je ne peux que vous conseiller les Livres Blancs de la société Smile. Ceux là au moins sont écris par des personnes compétentes.

À propos de... Darko Stankovski

iT guy, photographe et papa 3.0, je vous fais partager mon expérience et découvertes dans ces domaines. Vous pouvez me suivre sur les liens ci-dessous.