Journal Violation de la GPL sur VMime ?

Posté par  (site web personnel) .
Étiquettes : aucune
0
2
juil.
2007
Bonjour chers lecteurs,

Je suis l'auteur (et le détenteur du copyright) de VMime, une bibliothèque mail open source, en C++, et publiée sous licence GNU GPL (version 2). Site du projet : http://www.vmime.org/ .

Un de mes utilisateurs m'a récemment contacté à propos d'une possible violation de la licence par la société Zarafa : http://www.zarafa.com .

Leur produit utilise ma bibliothèque, alors qu'il semble que ça soit un produit propriétaire, que le code source ne soit pas disponible aux utilisateurs, et qu'il y ait donc violation du copyright (la GPL exige que les logiciels liés statiquement ou dynamiquement à du code GPL soient eux aussi publiés sous GPL).

J'ai pu m'en assurer et récolter quelques preuves en téléchargeant une version d'évaluation de leur produit, et certains de leurs composants sont effectivement liées avec VMime.

J'ai déjà envoyé un mail pour les prévenir et leur demander quelques éclaircissements, et j'écris donc ce journal pour recueillir quelques conseils et avis concernant cette "affaire".

Ce n'est pas la première fois que ça arrive (c'est-à-dire que je constate que VMime est utilisé dans un produit propriétaire), mais disons que cette fois-ci, je voudrais que ça aboutisse s'il y a effectivement violation de la licence...

Merci d'avance !
  • # http://gpl-violations.org/

    Posté par  . Évalué à 10.

    Oui, c'est une violation de licence.

    Contact http://gpl-violations.org/ ce sont des habitués de ce genre de situation.

    Cordialement,
  • # Commentaire supprimé

    Posté par  . Évalué à 7.

    Ce commentaire a été supprimé par l’équipe de modération.

  • # bonne nouvelle pour toi

    Posté par  (site web personnel) . Évalué à 10.

    C'est le moment idéal pour leur vendre une version commerciale "closed source" de ta lib ! (si tu es le seul auteur)
  • # Réponse

    Posté par  (site web personnel) . Évalué à 10.

    Je viens à l'instant de recevoir une réponse de leur part, voici un extrait :

    We are aware that a GPL-licensed library is used. Currently, the source code which uses the vmime library is being prepared with license statements, to create a dual license GPL/Proprietary release. This code will be released on a developers website, which will be made public as soon as possible but somewhere in the month of June anyway.


    Apparement, ils comptent donc se "régulariser" vis-à-vis de la GPL en fournissant le code sous double-licence. En pièce jointe au mail, quelques patches qu'ils ont écrits pour corriger certains bugs ou adapter le code pour le rendre compatible avec Outlook/Exchange.

    Merci pour vos commentaires, je surveille donc de près la fin de cette affaire...
    • [^] # Re: Réponse

      Posté par  . Évalué à 10.

      Bon a priori ils sont de bonne volonté, c'est plutôt une excellente nouvelle (au moins ils ne font pas les "morts" comme certains).
    • [^] # Re: Réponse

      Posté par  . Évalué à 10.

      Moi pas comprendre.
      Pour le double-licencier, il faudrait que la bibliothèque initiale soit sous double-licence aussi et que la licence propriétaire le permette, non ?
      Comme visiblement VMime n'est pour l'instant que GPL, je ne vois pas comment ils font...
      • [^] # Re: Réponse

        Posté par  (site web personnel) . Évalué à 4.

        A mon avis ils mettent sous double licence leur soft à eux qui s'interface avec vmime.
        • [^] # Re: Réponse

          Posté par  (site web personnel) . Évalué à 6.

          et à quoi ça sert puisque, si j'ai bien compris, on ne peut linker du gpl qu'avec du gpl (ou équivalent) ?
        • [^] # Re: Réponse

          Posté par  . Évalué à 9.

          Il est clair qu’ils ne peuvent pas changer la licence de vmime.
          Mais ils ne peuvent pas non plus mettre leur logiciel sous une autre licence que la GPL s’ils continuent d’utiliser vmime.

          La règle est simple : X utilise vmime. Vmime est en GPL. Donc X est en GPL (ou compatible) et rien d’autre.

          C’est tout l’intérêt des la GPL.
        • [^] # Re: Réponse

          Posté par  . Évalué à 5.

          Ils n'ont pas de droit d'avoir une license non gpl sur un link avec du gpl, sauf si ils ont un accord de licence spécifique avec TOUS les propriétaires du code GPL.
    • [^] # Re: Réponse

      Posté par  (site web personnel) . Évalué à 10.

      > Apparement, ils comptent donc se "régulariser"

      Ca ne régularise rien. La double licence ce n'est pas une licence double !
      Je m'explique : une double licence c'est quand on te tend deux versions d'un soft. Ici une sous GPL et une proprio. Tu peux en prendre une au choix, ou les deux.

      La double licence ne résoudra rien ici, la version proprio restera en violation de la GPL. Le fait de proposer "à côté" de la GPL n'y changera rien.


      De plus j'apprécie le "somewhere in the month of June anyway" alors qu'on vient de passer en juillet.

      Il faudrait leur faire comprendre que le respect de la licence ce n'est pas du "quand on aura le temps, plus tard" mais "en premier". S'ils ne sont pas capables de fournir dès le départ un truc respectueux de la licence il faut attendre qu'ils en soient capable avant de diffuser quoi que ce soit.

      J'aimerai bien voir dans l'industrie alimentaire un "ouais, ça ne passe pas les règles sanitaire mais on vous promet on va faire une seconde version bientot"


      > En pièce jointe au mail, quelques patches qu'ils ont écrits pour
      > corriger certains bugs ou adapter le code pour le rendre
      > compatible avec Outlook/Exchange.

      Au moins ce côté là est constructif, et ça veut dire que c'était un techos au bout. Note: ça veut aussi dire qu'ils ont violé la licence en pleine connaissance de cause.
      • [^] # Re: Réponse

        Posté par  (site web personnel) . Évalué à 6.

        Il faudrait leur faire comprendre que le respect de la licence ce n'est pas du "quand on aura le temps, plus tard" mais "en premier". S'ils ne sont pas capables de fournir dès le départ un truc respectueux de la licence il faut attendre qu'ils en soient capable avant de diffuser quoi que ce soit.


        Pour avoir déjà été confronté à ce problème, je peux te garantir qu'en entreprise, c'est quasiment mission impossible de respecter scrupuleusement la GPL. Il faut parfois savoir être pragmatique, et accepter quelques compromis. L'alternative serait de ne pas utiliser du tout de code en GPL, mais ce serait vraiment dommage.

        Dans mon cas, les sources n'ont été disponibles que quelques semaines après la sortie du produit, car il fallait impérativement respecter le calendrier, enfin, pas prendre trop de retard ;-) L'important, c'est que l'esprit de la licence soit respecté, et remonter des bugs et/ou des patchs est déjà un signe d'adhésion.

        PS : l'entreprise dans laquelle je me trouvais au moment des faits est pourtant une petite société (donc avec peu d'inertie pour les prises de décision), et très attachée au Logiciel Libre (l'un des membres fondateurs est un mainteneur du noyau Linux).
        • [^] # Re: Réponse

          Posté par  (site web personnel) . Évalué à 2.

          L'important, c'est que l'esprit de la licence soit respecté

          Le problème est que là, il ne sera pas respecté : en faisant une double licence, ils ne respectent pas le contrat (100% GPL).

          La réponse à apporter est donc que ce qu'ils comptent faire est illégal (comme ce qu'ils font est actuellement illégal), donc qu'il faut qu'il fournissent la version GPL dans les plus brefs délais, et de deux que si ils veulent faire une version proprio, ils doivent passer par Vincent pour acheter le produit en version commerciale (c'est le moment, soyons pragmatique, et ne cassons pas de suite leur début de volonté de faire attention au libre, vaut mieux pragmatiquement proposer une version commerciale de VMime plutôt que de menacer d'un procès pas forcement gagné d'avance, et potentiellement gagné que dans quelques années, ce qu'ils savent).
          • [^] # Re: Réponse

            Posté par  . Évalué à 0.

            Et en admettant que l'auteur de la librairie veulent effectivement leur vendre une version licencié, et a supposé que la société en question accepte, comment peut on leur vendre quelque chose quand on est pas une société "à la base" ? L'auteur de la librairie ne peut pas emettre une facture, et Zafara ne peut pas donner un p'tit billet comme ca.
            Si la librairie est un composant essentiel de leur bizness, l'auteur pourrais en demander plusieurs centaines (millier?) d'euros suivant le temps passer à la développer.
            • [^] # Re: Réponse

              Posté par  . Évalué à 2.

              N'y connaissant pas grand-chose, en droit français y a-t-il une grosse différence avec l'auteur d'un roman concédant une licence (et même abandonnant quasiment tous ses droits s'il édite à compte d'éditeur, qui est la forme la plus courante) sur son oeuvre à un éditeur ?

              En adaptant, naturellement, un contrat de ce type http://portaildulivre.com/contrat.htm

              Auquel cas le problème est sinon facile, du moins "seulement" technique à régler (avocat, etc.)
            • [^] # Entreprise...

              Posté par  (site web personnel) . Évalué à 9.

              Alors un peu de notion de businessssss :
              L'auteur de la librairie ne peut pas emettre une facture, et Zafara ne peut pas donner un p'tit billet comme ca.

              Ca va t'étonner, mais... si.
              Grosso modo (en pratique, c'est un peu plus complexe, mais pas beaucoup), tu présentes une facture (HT + TVA bien séparée), à son nom, et la boite paye (à 60 jours en général).
              Coté Impôts, tu le déclares en micro-entreprise, et tu files la TVA et l'impôt sur le revenu classique.
              C'est comme ça que j'ai fait pour des régies publicitaires sur un site amateur (les régies, sachant qu'elles ont souvent affaire à des amateurs, font parfois même la facture, tu as juste à la signer et à leur renvoyer), et ça marche très bien, les impôts ont l'habitude.

              Donc l'excuse de la complexité ne marche pas. Faut juste voir si il veut le faire, d'un point de vue philosophique.
        • [^] # Re: Réponse

          Posté par  (site web personnel) . Évalué à 4.

          > Il faut parfois savoir être pragmatique, et accepter quelques compromis.

          Moi je veux bien, je n'ai rien contre, mais ce compromis doit être fait avant, avec l'auteur détenteur du copyright. C'est d'autant plus vrai quand il est identifiable et réactif comme c'est le cas ici.

          Il est je trouve trop facile de faire des compromis tout seul, parce qu'effectivement, ça serait dommage de se passer de bon soft quand on peut unilatéralement passer par dessus la licence.
          Oui, pour moi, sauf compromis avec l'auteur, si on ne peut pas respecter correctement la licence, on n'utilise pas le soft. C'est dommage mais c'est comme ça que ça devrait fonctionner (et c'est comme ça que ça fonctionne ailleurs que dans le logiciel)

          > car il fallait impérativement respecter le calendrier,

          donner un papier disant qu'on donne accès aux sources sur demande (c'est tout ce que demande la GPL quasiment) ou mettre sur FTP les sources sans les packager, c'est loin de fausser monstrueusement le calendrier.
          Pour revenir à ta dernière phrase, je ne remet certainement pas en cause les intentions, je ne les connais pas. Par contre je remet en cause les priorités : le calendrier par rapport au respect du droit et de la licence.
          Effectivement, il y a quasi toujours des compromis à faire. Parfois ils ne sont pas mis au bon endroit. Ca aurait pu être un compromis sur le calendrier ou accepter de publier les sources telles quelles en attendant de mettre ça sous forme correcte.
        • [^] # Re: Réponse

          Posté par  . Évalué à 4.

          je peux te garantir qu'en entreprise, c'est quasiment mission impossible de respecter scrupuleusement la GPL.

          HEIN?
          Et moi je peux garantir que non.

          L'alternative serait de ne pas utiliser du tout de code en GPL, mais ce serait vraiment dommage.

          Euh, pourquoi ???
          Si on est incapable d'utiliser du code en GPL parce que c'est trop dur de respecter la licence (ou impossible à cause de loi locale ou whatever), on n'en utilise pas, c'est tout. No surrender, touca... Et entre les bibliothèque proprio et les libres sans copyleft, c'est pas le code qui manque pour les remplacer par autre chose au besoin.

          Ca n'est pas "dommage" c'est le respect de la volonté de l'auteur (sauf si c'est ton meilleur pote t'es bien obligé de t'en tenir à une interprétation stricte des droits qu'il te donne par écrit...)
          • [^] # Re: Réponse

            Posté par  (site web personnel) . Évalué à 1.

            J'ai forcé le trait, mais il faut voir qu'en entreprise, il y a souvent des difficultés à respecter la GPL. Ca peut venir de personnes qui veulent mettre des batons dans les roues, ou de personnes bien intentionnées, mais qui ont d'autres priorités. Souvent, ce n'est qu'une question de temps avant que les choses rentrent dans l'ordre.
            • [^] # Re: Réponse

              Posté par  (site web personnel) . Évalué à 7.

              Note: Les personnes qui mettent des batons dans les roues ou qui ont d'autres priorités ça n'a rien de spécifique au libre ou au GPL. Sauf que pour les autres domaines, étrangement, là on arrive à respecter les licences, à payer les fournisseurs, respecter les contrats, tout ça. Le problème ne vient pas là de la GPL mais justement de ceux qui pensent que violer temporairement la GPL c'est moins grave qu'autre chose.

              Ce n'est pas à l'auteur du logiciel de subir (via le non respect de la licence) vos problèmes d'organisation interne.
              • [^] # Re: Réponse

                Posté par  (site web personnel) . Évalué à 3.

                Sauf que pour les autres domaines, étrangement, là on arrive à respecter les licences, à payer les fournisseurs, respecter les contrats, tout ça.


                Bah voyons ! Le piratage de logiciels n'existe pas, les clients payent toujours leurs fournisseurs en temps et en heure, il n'y a jamais de fuite pour les NDA, et jamais TF1 n'aurait laisser un libre-service à des films [1]. Si tu crois vraiment cela, alors oui, violer temporairement la GPL ne devrait jamais arriver.

                [1] http://fr.news.yahoo.com/grp_test/20070626/ttc-piratage-des-(...)
                • [^] # Re: Réponse

                  Posté par  (site web personnel) . Évalué à 3.

                  La grosse différence c'est que les fuites de NDA, les piratages, ou le libre service des films de TF1 ce sont des dérapages internes, on ne peut pas dire que ce sont des démarches volontaires ou même conscientes des entreprises.
    • [^] # Re: Réponse

      Posté par  . Évalué à 5.

      c'est un peu du noyage de poisson, dans les faits il y a eu distribution (la version d'évaluation de leur produit avec certains de leurs composants liées avec VMime) et qu'elle soit "beta" "pour évaluation" ou "pas finie" ne change rien

      s'ils étaient clairs et sérieux sur ce sujet ils auraient vu ça gros comme une maison depuis des mois ou années qu'ils bossent sur ce projet, ils auraient remplacé ta lib par une autre ou l'auraient repompée/maquillée suffisement efficacement pour qu'on ne s'aperçoive de rien. au vu de leur site je ne vais pas les croire ignorants du monde Linux et des différentes licenses qui s'y promènent et tout le tralala

      je veux bien croire à ce qu'ils annoncent, deux parties dont celle avec ton code qui sera libre et que la boulette actuelle soit le fruit de marketeux en cravate et autres managers qui poussent à la livraison pour pouvoir engranger 3 sous mais... les autres hypothèses comme "personne n'en saura rien et si ça finit par se voir on s'excusera gentiment et on la remplacera par une autre librairie avec une license moins chiante" me semblent pour l'instant beaucoup plus crédibles
      • [^] # Re: Réponse

        Posté par  . Évalué à 2.

        (ou même ils t'auraient tout simplement contacté, pour tenter par exemple d'obtenir le même code en LGPL avec une date limite, pour pouvoir proposer des versions de démo légitimes jusqu'à ce que le produit sorte pour de bon)
  • # Plus de précisions

    Posté par  (site web personnel) . Évalué à 5.

    Suite à une demande de précisions concernant cette histoire de double-licence, j'ai reçu ceci :

    Zarafa is a fairly complex product with various subsystems. You probably did not do a test install, but you can compare Zarafa with an entire MS Exchange server, including support for the windows clients. We will open a website for various parts, including the projects using VMime, on the website. Other parts will remain closed source, for example the windows client that connects to outlook. We will also be releasing some other projects on this website (developer.zarafa.com - down at the moment), including our Microsoft PocketPC synchronization code, which for example doesn't relate to VMime.

    In the end, it is our goal to release the entire Zarafa package under GPL. However, we are only a small company now, operating mainly in Holland and Germany, and rely on license income from the rest of the product for the time being.


    D'après ce que j'ai compris, il y a une partie serveur, dont ils comptent publier le code sous GNU GPL, et une partie cliente (qui elle restera closed source).
    • [^] # Re: Plus de précisions

      Posté par  . Évalué à 2.

      ben comme dis plus haut, tu leur explique que pour eviter des embetements, tu fourni aussi une license proprio a forfait de 250euro + 10 euros par vente pour 20 license. si c'est plus tu passe a 500 euros et 5 euros par poste etc...

      bref fait toi plaisir, regarde les prix autour de toi et n'oublie pas de mettre a jour ton site expliquant les tarifs.
      • [^] # Re: Plus de précisions

        Posté par  . Évalué à 10.

        Par contre, si tu fais ça, on peut oublier "In the end, it is our goal to release the entire Zarafa package under GPL".
        Bon, ils ont l'air plutôt ouverts dans cette compagnie et plutôt sympas. A mon avis, il faut juste surveiller qu'ils feront bien ce qu'ils disent, mais pas se montrer trop extrémistes non plus.
        • [^] # Re: Plus de précisions

          Posté par  (site web personnel) . Évalué à 2.

          Pour cette histoire de double licence, en fait si la version payante n'est que la version GPL compilé et packagé, y a t'il violation ? Ils ne font que vendre le service de compilation, non ? Si le client avec son beau installeur graphique et son CD dans sa boiboite à la possibilité d'avoir les sources sur le site, ou est le problème ?
          • [^] # Re: Plus de précisions

            Posté par  . Évalué à 2.

            Aucun, ils en ont entièrement le droit.
            Prends par exemple kexi, l'équivalent de Ms Access pour KDE, de la suite Koffice. Des développeurs ont décidé de faire une version pour Windows, mais payante : http://www.kexi.pl/en/index.php/Buy
          • [^] # Re: Plus de précisions

            Posté par  (site web personnel) . Évalué à 2.

            Attention au terme "payant", on peut distribuer du logiciel GPL payant.

            Si on offre un service de compilation on peut distribuer le binaire. Ce binaire est toujours tenu par la GPL donc on doit toujours offrir (ou proposer) les sources et donner les droits associés.

            Il n'y a pas là de "double licence", il n'y en a qu'une : la GPL. Qu'on fasse payer ne change rien.
            • [^] # Re: Plus de précisions

              Posté par  (site web personnel) . Évalué à 2.

              Et le binaire, quelle est sa licence ? Sur le CD, même si le logiciel est GPL, j'ai un binaire sous une licence m'interdisant de le distribuer, et les sources dont je peux faire (presque) ce que je veux. Le binaire est effectivement "tenu" par la GPL, qui impose la distribution des sources, mais est sous une autre licence, non ?

              M'enfin, c'est un peu de l'enculage de mouche, j'espère pour l'auteur du journal que tout va vite rentrer dans l'ordre. Ce qui me fait tiquer, c'est que c'est l'auteur du logiciel qui a du contacter la société en faute, alors que si ça avait été l'inverse, la société qui contact l'auteur pour lui donner les patch et expliquer une prochaine libération, ça aurait été beaucoup plus simple et honnête.
              • [^] # Re: Plus de précisions

                Posté par  (site web personnel) . Évalué à 3.

                > Le binaire est effectivement "tenu" par la GPL, qui impose la
                > distribution des sources, mais est sous une autre licence, non ?

                Non.
                C'est le logiciel qui a une licence, ni les sources ni le code binaire. Rien ne t'autorise à distribuer le logiciel (qui est protégé dans son ensemble par le copyright) sous une autre licence que la GPL.
                Qu'il soit sous forme binaire ou de code source ou même imprimé n'y change rien. Tout au plus si tu ne distribues que le binaire tu as des contraintes en plus.

                > j'ai un binaire sous une licence m'interdisant de le distribuer

                Si c'est le binaire d'un soft qui a été obtenu en GPL, ce cas est strictement impossible. La personne qui t'a distribué ce binaire sous des conditions restrictives n'en avait pas le droit.
                • [^] # Re: Plus de précisions

                  Posté par  (site web personnel) . Évalué à 2.

                  > j'ai un binaire sous une licence m'interdisant de le distribuer

                  Si c'est le binaire d'un soft qui a été obtenu en GPL, ce cas est strictement impossible. La personne qui t'a distribué ce binaire sous des conditions restrictives n'en avait pas le droit.


                  Même s'il me fourni les sources ? C'est ce qui est fait pour Xchat et Gcompris il me semble...
                  • [^] # Re: Plus de précisions

                    Posté par  . Évalué à 2.

                    Il faut qu'il fournisse les sources, et le droit de les modifier, les utiliser, les redistribuer etc. ...
                  • [^] # Re: Plus de précisions

                    Posté par  (site web personnel) . Évalué à 4.

                    Xchat et GCompris c'est différent, dans les deux cas il y a un auteur unique qui contrôle tout le copyright.

                    Il n'est donc pas lié par la GPL. Il fait simplement une version sous GPL (avec les sources donc) et une version sous une autre licence (et là sans les sources). A vrai dire ils ne seraient même pas obligés de continuer à distribuer les sources.

                    Si par contre tu récupères un soft GPL que tu modifies, tu n'es pas du tout lié par les mêmes contraintes. Rien ne t'autorise à faire comme GCompris ou Xchat sans accord explicite de l'auteur (c'est à dire sans une licence autre que la GPL qui t'autoriserait à diffuser sous autre chose que la GPL)
                • [^] # Re: Plus de précisions

                  Posté par  (site web personnel) . Évalué à 4.

                  > Qu'il soit sous forme binaire ou de code source ou même imprimé n'y change rien.

                  Imprimé, ça peut changer quelque chose je crois. J'avais lu qu'une version de GPG avait été exportée sous forme de livre, puis scannée à l'autre bout. Vu que la loi ne disait rien sur l'exportation de livre parlant de cryptographie, mais interdisait l'exportation de logiciel implémentant une cryptographie forte, c'était légal.

                  Mais bon, j'avoue, c'est anecdotique ;-).
    • [^] # Re: Plus de précisions

      Posté par  . Évalué à 2.

      Donc, si je comprends bien, il ne s'agissait pas d'une double licence, mais de licences différentes pour différents composants.
      Le serveur et le client étant des programmes séparés (pas de liaison statique ou dynamique de bibliothèques de l'un à l'autre), l'un peut être sous GPL et l'autre proprio sans aucune violation de la GPL (on a le droit d'utiliser IE pour surfer sur un site web qui tourne sur Apache, par exemple !).
      Bref tout est réglo, enfin tout le sera quand ils auront publié les sources du serveur.
      • [^] # Re: Plus de précisions

        Posté par  . Évalué à 1.

        je me pose une question :
        Sous quelle forme est-on obligé de proposer le source GPL en général ?

        je prends un exemple tordu :
        " les sources sont disponibles au format papier :
        merci d'envoyer 5 ramettes de 500 pages + 3 toner pour HPxxx + les timbres
        "

        C'est GPL comme solution ?
        • [^] # Re: Plus de précisions

          Posté par  (site web personnel) . Évalué à 2.

          J'ai la flemme de rechercher mais de mémoire il y a une mention contre ça. La forme doit être idéale ou au moins exploitable, je ne connais plus le terme. Bref, l'impression ne va pas, sauf si c'est réellement ça qu'ils ont mis en entrée de la machine pour l'exécution.
          • [^] # Re: Plus de précisions

            Posté par  (site web personnel) . Évalué à 4.

            a complete machine-readable copy of the corresponding source code, to be distributed under the terms of Sections 1 and 2 above on a medium customarily used for software interchange; or,

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.