Les challenges quand on vire Windows de son PC de boulot

Cet article a été publié il y a 4 ans 7 mois 5 jours, il est donc possible qu’il ne soit plus à jour. Les informations proposées sont donc peut-être expirées.

J’ai craqué, à mon retour de vacances, et entendu que je vais être amené à utiliser de moins en moins Skype Business au profit d’autres outils, j’ai entrepris de remplacer le SSD de mon laptop pour installer Manjaro à la place. Ceci est donc mon retour d’expérience sur une bascule pas si calme que ça, et qui pose encore quelques challenges aujourd’hui.

La situation avant la remise à zéro

Je suis donc dans une entreprise dont les outils de communication sont entièrement à la merci de Microsoft, puisque l’on utilise Office365, et que l’on a même un serveur Skype Business pour la passerelle téléphonique (et donc Skype Business sur nos postes). Nos PCs sont fournis avec un Windows 10 professionnel qui n’est pas figé sur sa version (j’ai eu droit à une jolie engueulade à mon arrivée à l’Île Maurice parce que ce connard avait décidé de télécharger la 1903 dès le premier matin–ils n’ont pas la fibre, les pauvres, merci Microsoft de pourrir les collègues), et on nous impose un antivirus dont l’efficacité est toute relative; ce qui n’est pas relatif par contre c’est son impact sur les performances de la machine, c’est désastreux. Étant un administrateur système et applicatifs Linux, j’y ajoute une VM Ubuntu avec 2Go de RAM pour profiter de ses avantages. Ce bordel amène, une fois tous les outils du quotidien démarré, une saturation de mémoire à hauteur de 7,8Go sur 8Go installés, on a même déjà eu des pics à 30Mo de RAM libre. Et même passé à 16Go, la conso grimpe à 11Go, avec les mêmes paramètres. C’est juste n’importe quoi.

Évidemment, tout cet attirail est relié à un serveur Active Directory, qui permet d’avoir un seul compte pour une myriade d’applications, de notre intranet à l’interface de gestion des configurations Chef des serveurs, en passant par le Gitlab et j’en passe. L’AD n’est pas un problème, mais je le mentionne parce qu’il va avoir son importance par la suite.

A mon retour de vacances, mon collègue Pierre-Marie (celui recruté via mon article 🙂 ) m’apprend qu’il a déjà fait le ménage et installé Manjaro (il a d’abord tenté naïvement Debian, mais c’était peine perdue vu l’âge des softwares), principalement parce qu’on en avait déjà discuté ensemble vu que je l’utilise depuis maintenant cinq ans avec différents bureau, le dernier en date étant Cinnamon. Il est d’ailleurs parti sur Cinnamon, et pour le shell, c’est son zsh configuré aux petits oignons au fil des années qui fait son office. Je me suis donc dit que ça pouvait être le bon moment pour enfin récupérer le contrôle de ma machine.

Un inventaire nécessaire des besoins

La deuxième raison est qu’avec mon changement de poste, les besoins logiciels évoluent un peu et permettent d’autant plus la bascule. Mais ce n’est pas pour ça que je revois toute la panoplie de zéro, commençons par vérifier ce que j’utilise déjà  :

• Développement : Sublime Text
• Navigateur : Firefox
• Client Mail : Outlook
• Communications : Skype Business
• Éditeur texte : Notepad ++
• VPN : Fortinet SSL VPN
• client RDP (très occasionnel, mais tout de même) Windows
• Bureautique : Word/Excel/Powerpoint
• Communications (bis) : Teams

Quand je vous ai dit qu’on reposait à mort sur les outils Microsoft, vous êtes pas au bout de vos peines, parce qu’on utilise aussi Yammer pour la communication interne (enfin pas tout le monde, c’est un vrai bordel), certaines équipes utilisent Sharepoint à fond la caisse, et on a donné accès à PowerBI pour les managers afin de compiler les données clients et collaborateurs à partir de l’intranet. Et pour finir, le CRM Microsoft Dynamics pour les commerciaux dont l’ergonomie a du être conçue par un autiste. Pour ceux qui sont encore un peu en vie, je peux les achever en parlant des innombrables clients qui nous demandent, ou pire, qu’on conseille, de déployer leurs applications sur Azure.

Maintenant que j’ai perdu tous les intégristes, revenons sur terre et voyons comment remplacer une partie de tout ça, une partie seulement vous comprendrez vite :

• Sublime Text => Sublime Text (multiplateformes, pourquoi se faire chier)
• Firefox => Firefox (idem)
• Outlook => Thunderbird + TBSync
• Skype => Pidgin +SIPE
• Notepad++ => Notepadqq
• Teams => Teams for Linux
• Word/Excel/Powerpoint => LibreOffice +WPS
• Fortinet VPN => openfortivpn/openfortigui
• RDP => Remmina/freerdp

Pour le reste (capture d’écran, calculatrice, les tous petits outils quoi), ça reposera sur l’environnement de bureau cible ou d’autres que j’utilise déjà à la maison. Bon ça, c’est pour l’existant, je vais revenir vite fait dessus, le plugin SIPE est censé permettre de remplacer la plupart des fonctions de Skype Business, mais on le verra c’est pas évident, j’ai installé LibreOffice ET WPS Office parce que le support de certains documents est assez aléatoire (et le premier document que j’ai ouvert pour un projet client s’est soldé par un semi échec dans les deux cas, LO étant le moins pire). Teams for Linux est une version non officielle qui ne fait qu’empaqueter la version web dans une fenêtre Electron, car oui, contrairement à Skype Business MS propose une vraie version Web de Teams; même si je pouvais me contenter de ça, c’est pas toujours pratique notamment sur les notifications.

Et donc, pour le futur, bien que je reprenne tout ça, il me faut aussi Slack, malheureusement, mais ce coup-ci, tant mieux, j’ai un client « natif », dans le sens où c’est aussi une application Electron, ce dont je ne raffole pas particulièrement. Mais bon, on est plus à un détail près, les tissus de la gorge sont entraînés depuis le temps à avaler des couleuvres logicielles.

Les choix, plutôt adaptés en contexte pro

J’ai donc naturellement choisi Manjaro, pas seulement parce que Nicolas en a parlé, c’est plutôt d’ailleurs l’inverse qui s’est produit à savoir que je l’ai inspiré par mes années d’utilisation sans souci majeur (hors crash SSD qui n’a rien à voir avec la distribution). J’ai choisi de revenir à mes premières amours avec le bureau KDE pour l’aspect léché et personnalisable, depuis le temps, la version 5 est devenu particulièrement mature même si les développeurs ne se reposent pas sur leurs lauriers. L’idée est de ne pas me perdre dans une interface trop austère dans laquelle il manquerait trop de choses. Manjaro est en effet grandement basée sur Archlinux, même si elle possède ses propres dépôts, ce qui permet de temporiser sur les mises à jour cassant l’environnement, et on sait que péter son environnement de travail n’est jamais une bonne chose.

Alors que ce n’est pas le cas par défaut sous Windows, j’ai pu cette fois-ci configurer le disque dur pour qu’il soit chiffré à l’installation, et pas que le /home, tout le disque. C’est quelque chose que je ne comprend pas encore en 2019 que ça ne soit pas par défaut et surtout proposé au plus grand nombre (MS propose un chiffrement natif sous Windows, mais seulement pour l’entreprise, le reste du monde peut crever), ceci dit avec les impacts de performance que ça peut avoir, et considérant l’horreur d’antivirus qu’on se tape, pas sur que c’était un choix à faire pour garder une machine utilisable. Mais voilà, c’était l’occasion, c’est fait, ça rend le démarrage moins fluide, mais c’est pas la mort et franchement, contrairement à d’autres mécanismes, cette perte de fluidité est tout à fait acceptable par rapport au gain de sécurité apporté aux données clients et accès plateformes que je peux stocker sur ma machine.

Pour l’instant j’ai toujours pu me reposer sur AUR pour l’installation des softs qui ne sont pas inclus dans les dépôts Manjaro, ce qui me facilite la vie sur ceux qui nécessitent une compilation (car vous savez à quel point je déteste ça). J’ai aussi repris ma machine virtuelle pour pouvoir transférer mon environnement SSH/git/shell. Tout ce que j’ai eu à faire est de changer le chemin du partage de fichier, démarrer, et copier les dossiers/fichiers nécessaires et voilà. Après il m’a fallu trois jours pour vraiment peaufiner tous les détails. Au passage j’ai appris que mes collègues qui ont installé VS Code sous Linux, sans surprise, sont piégés par le binaire Microsoft alors qu’il existe une version réellement open-source aussi bien packagée pour Manjaro que pour Ubuntu.

Plusieurs surprises, bonnes et mauvaises

Commençons avec la consommation mémoire de ouf, pour les mêmes besoins que sous Windows et même avec Slack en plus, je consomme à peine 6 Go, si j’avais pas les builds docker fréquents j’aurais presque honte d’avoir demandé l’upgrade. Le bureau KDE lui-même consomme à peine 700Mo au démarrage, c’est assez hallucinant. En contrepartie Thunderbird consomme plus de mémoire, et pas seulement vive car vu qu’il télécharge l’intégralité de la boite de réception qui contenait 76000+ messages (malgré les filtres), ça bouffe actuellement aux alentours de 10Go alors que le PST d’Outlook dépassait à peine les 4Go (ce que je considérais comme déjà énorme). Ah, oui, en terme de stockage, entre un Windows qui bouffe plus de 30Go à lui tout seul (avec les mises à jour mensuelles qui saturent vite), et 8Go, mon SSD me plaît beaucoup plus.

Toujours dans les bonnes surprises, la mise en veille et sortie sont ultra rapides, mais vraiment, là où Windows pouvait prendre plus d’une minute à s’endormir, c’est dans les 4 secondes pour Manjaro KDE. La réactivité du bureau est vraiment au top, la personnalisation de KDE est toujours aussi bordélique je trouve, mais on finit par mettre la main sur ce tout ce qu’on veut/a besoin ou presque (coucou thème sombre). Le ménage des paquets inutiles a été rapide, l’installation de ceux manquants est impressionnant, yay fait bien le boulot même si j’ai une petite nostalgie pour yaourt qui présentait mieux je trouve.

Pas vraiment un « game-changer » mais ça fait toujours plaisir, openfortigui/openfortivpn fonctionne plus rapidement que sous Windows, sur lequel le client est un enfer. On sent que leur métier ce n’est pas le logiciel. Par contre, pas d’intégration à Network Manager (pour lancer le VPN auto à la connexion au WiFi du bâtiment), car il y a un souci pour demander la clé OTP (pas de popup)…

Une fausse mauvaise surprise, quand on définit la passphrase pour le chiffrement du disque, c’est dans l’environnement live avec le clavier configuré pour votre langue. Mais au démarrage de l’OS, le clavier est encore en Qwerty. J’ai un peu transpiré avant de m’en rendre compte de ça, les caractère spéciaux et les nombres sont à taper différemment ^^’

Un autre irritant qui n’est pas bloquant, c’est un bug de prise en charge des polices Powerline dans Terminator, qui n’existe pas dans Konsole, mais Konsole ne permet pas toutes les possibilités de Terminator. Le reste du temps, je suis repassé sur Yakuake, sans surprise puisque c’est un des éléments qui m’avait fait tomber amoureux de KDE et Manjaro qui l’installe par défaut.

Dans les vrais mauvaises surprises, j’ai de légers problèmes de stabilité quand on retire/pose l’ordi sur le dock à chaud, dock qui permet de passer de l’écran intégré au laptop à deux écrans branchés en DVI et VGA (une prise de chaque :/), ainsi qu’à plusieurs ports USB qui accueillent au quotidien un clavier et une souris. La reconfiguration du bureau parfois pète, pour l’instant, je suis obligé de restart ssdm via une deuxième console, ce qui « tue » la session. Mais globalement ça fonctionne très bien, à part un léger doute au début sur la configuration de l’agencement des écrans, et j’ai un thème sombre, Breeze, qui est agréable à l’œil. Les applis GTK que j’utilise ont naturellement quelques difficultés avec qui sont rarement bloquantes.

Un élément que je n’avais pas pris en compte lors de la réinstallation, c’est la prise en charge des imprimantes. Sous Windows, c’est facile, on lance l’assistant, on cherche l’imprimante avec son nom, on l’ajoute et une minute plus tard on va chercher son document imprimé. Une fois sous Linux la recherche par nom ne fonctionne pas, il faut donc identifier l’adresse IP de l’imprimante directement, sélectionner manuellement le modèle de pilote qui n’est pas toujours évident (et donc identifier le modèle de l’imprimante), mais ça fonctionne. Je recommande un collaborateur équipé de Windows à portée de main pour aller fouiller dans les propriétés de l’imprimante sur son poste. Comme j’avais dû le faire avec l’imprimante de ma mère, dans votre cas si le pilote de l’imprimante est manquant commencez par chercher sur AUR, pas mal de monde crée les packages pour les modèles vendus sur le marché qui ont un pilote mais qui n’est pas inclus (souvent pour des raisons de licence de redistribution).

Dans la même veine, nous utilisons un serveur de stockage de fichiers partagés via CIFS/SMB, et il n’est pas rare que lors des projets on partage des liens vers les documents et/ou dossiers, par mail ou Skype. Sauf qu’évidemment ces liens étant formatés pour l’explorateur Windows, pas de mystère ça ne fonctionne pas, il faut aller dans Dolphin, se connecter manuellement au partage, et refaire le chemin à la main. Sous KDE l’ouverture des fichiers sur des partages réseau demande de les copier en local d’abord, attention donc aux fichiers volumineux, en particulier en télétravail avec une connexion anémique.

Côté son, autant Pulsaudio est devenu particulièrement efficace et fonctionnel, autant parfois ça ne suffit pas. Notamment sur la gestion du casque : pas toujours évident de définir que le casque doit être le périphérique par défaut, pire, il est sans fil avec un dongle, mais se déclare encore sous un autre nom quand on le branche en USB pour la recharge. Il y a une option pour forcer la capture et la restitution du son via un périphérique en particulier, une fois sur trois je suis encore obligé d’y faire appel. C’est mineur, mais tout de même…

Les vrais soucis, énervants

Il y a les mauvaises surprises qui ne sont pas un vrai problème bloquant en soi, et il y a le reste.

Commençons avec Teams for Linux, quand je l’ai installé la version courante fonctionnait pas trop mal, à part un souci de partage d’écran qui ne fonctionnait plus. Deux semaines après, c’est le rafraîchissement de l’application qui débouchait sur une page blanche. Le problème a mis un peu plus d’une semaine à être corrigé et mis à disposition, un workaround a été trouvé plus vite en supprimant un dossier de cache applicatif, pas pratique. Au passage on retrouve le partage d’écran, par contre, quand on veut partager le bureau, c’est soit les deux bureaux en même temps, soit une fenêtre d’application, on ne peut pas sélectionner un seul des deux bureaux. Ce n’est pas lié à KDE car PM a le même souci sur Cinnamon. Et il n’y a pas de solution pour l’instant. La qualité de la capture semble aussi assez aléatoire.

J’ai également eu pour la première fois un bug sale au transfert de mon profil Firefox : il ne stocke plus aucun mot de passe, et aucun mot de passe n’est affiché dans ceux stockés. Pas d’erreur en tentant un mode ligne de commande. J’y collais les identifiants AD que j’ai à saisir régulièrement sur les différentes pages de nos outils et de connexion via SSO presque exclusivement, et c’est pénible de devoir tout retaper à chaque fois. J’avais deux solutions : soit refaire un profil de zéro puisque ça fonctionne dessus, soit changer mon fusil d’épaule et déporter la fonction sur KeepassXC, que je n’avais pas encore pris le pli d’utiliser sous Windows. Ça fonctionne plutôt bien, à part une ou deux pages (comme l’ADFS) où ça glitch un peu à cause des redirections en boucles, à tel point que je pense abandonner le deuxième profil que j’avais commencé à créer pour rester sur ce setup, et désactiver complètement le stockage des mots de passe intégré à Firefox.

Le RDP fonctionne bien, très bien même, sauf pour les messages d’erreur. Je m’explique : pour un projet client on a du se créer un compte sur leur plateforme, compte qui permet ensuite de se connecter à un rebond Windows, via le protocole de Microsoft donc. Hors alors que je sais que le compte est valide, je me fais shooter avec une erreur « impossible de me connecter ». J’ai du demander à mon manager, qui a une machine virtuelle Windows sur son Macbook Pro, qu’il teste la connexion pour voir le vrai message d’erreur, mon compte n’est pas paramétré correctement et n’a pas le droit de se connecter à distance… Je me demande si malheureusement je ne vais pas devoir moi aussi utiliser une VM pour certains besoins, d’autant plus avec l’autre gros pépin.

Ce pépin, c’est le cas le plus problématique : pidgin+SIPE. Le plugin a beau être activement maintenu, c’est un enfer tellement c’est pas stable, ça peut très bien fonctionner au début pour arrêter en cours de route, que ce soit pour la téléphonie ou le reste. Quand un appel sonne, on a une fenêtre popup sans prise de focus ni popup libnotify (contrairement aux messages), ce qui fait qu’on rate très facilement l’appel. Je peux avoir des timeouts sur des appels directs et très bien pouvoir participer à des conférences audio avec partage d’écran (dont le protocole est finalement du RDP, puisqu’il m’ouvre une fenêtre Remmina, amusant de découvrir ça sous Linux). Et ça peut très bien fonctionner le matin et viander l’après-midi (du genre, il vous shoote d’une réunion, et quand on veut rejoindre, dit qu’il ne la trouve plus). C’est pénible parce que soit je me tape l’installation d’une VM Windows comme le fait un collègue, mais 2Go de RAM pour un soft de communication c’est pénible, soit je tente une autre alternative mais qui demande de payer 50€ pour être utilisable, à savoir ce qu’a testé Nico justement, mais la version gratuite limite les appels à 2 minutes, donc inutilisable.

Le cas particulier de la gestion du compte AD

C’est un pénible dont je vais faire mon deuil, mais qui peut expliquer le fait de rester sous Windows avec tous les outils Microsoft : ça s’intègre bien. Par exemple, dans Outlook, si Skype Business est lancé vous voyez instantanément le statut des contacts de l’annuaire. Windows vous prévient quand le mot de passe est sur le point d’expirer (et on change tous les mois, c’est un enfer), et une fois changé, tous les logiciels se mettent à jour seuls pour intégrer ce nouveau mot de passe, sans que vous ayez à vous en soucier. Reste les « applis web » où la mise à jour dans Firefox se fait après coup, au fur et à mesure qu’on se reconnecte dessus. Mais vous êtes rarement bloqués.

Là, deux semaines après l’installation mon mot de passe a expiré sans que je sois prévenu, je me suis fait jeter de tous les softs sans prévenir une heure après être arrivé au boulot, et il a fallu changer à la main partout : Thunderbird, Pidgin, openfortigui, Teams, et évidemment navigateur, qui du coup demande de mettre à jour les pass dans KeepassXC (le plugin propose de le faire directement, c’est plutôt bien foutu quand ça fonctionne). En dehors de se remettre une alerte dans le calendrier, point de salut, je demanderai à l’occasion aux moyens internes en charge si on peut recevoir une notification par mail pour ça.

Verdict : Un bonheur malgré tout

Oui, on a des soucis quand on doit continuer à communiquer avec les services de Microsoft. J’ai peut-être bientôt une solution de contournement moins pénible qu’actuellement, vu que j’ai récupéré un smartphone du boulot pour un besoin particulier (on nous demandait d’installer une application sur notre smartphone perso, ce que je refuse de faire). Mais ça reste un vrai problème de n’avoir qu’un interopérabilité que partielle, alors même que Microsoft se dit désormais fan d’open-source et cherche à se prendre disponible partout. Si globalement ça se passe quand même bien, ce souci de téléphonie est une vraie tâche noire sur un soleil qui éclaire mes journées sous Linux depuis la bascule. Mais je ne regrette pas du tout cette bascule, les lenteurs permanentes liées à Windows et l’antivirus qu’on nous y impose sont vraiment une purge dont je suis content d’être débarrassé. Le fait est que mon laptop pro utilise le même matériel que mon laptop perso, et autant dire que je rageais vraiment de constater la différence entre les deux.

Est-ce que je recommande malgré tout ? Bien que le matériel et les outils de communications soient fournis en full Microsoft, il y a une politique assez « relâche » sur l’utilisation chez LinkByNet (pour l’instant), j’ai donc pu le faire, par contre j’ai du le faire seul. Ce n’est pas nécessairement possible dans toutes les boites (cf Genma qui dans son travail alimentaire a du revenir en arrière). Difficile dès lors de recommander un tel changement qui s’accompagne de challenges assez poussés.