manifeste

· collectif · mémoire · vérité documentée ·

1. Ce que nous sommes

Ombrys est un collectif de hackers éthiques. Sans chef, sans porte-parole, sans hiérarchie fixe. Chacun de nous est anonyme pour les autres quand c'est nécessaire, identifiable quand c'est utile. Les décisions structurantes passent par un consensus documenté, versionné, auditable par tous les membres.

Nous ne sommes pas une association. Nous ne vendons rien. Nous ne levons pas de fonds. Le code que nous écrivons est publié sous AGPL-3.0-or-later. Quiconque peut le lire, le forker, l'auditer.

2. En mémoire du chevalier de La Barre

Le 1er juillet 1766, à Abbeville, François-Jean Lefebvre, chevalier de La Barre, 19 ans, a été décapité puis brûlé avec son corps, en place publique, pour n'avoir pas salué une procession et pour possession du Dictionnaire philosophique portatif de Voltaire. Sa langue lui avait été préalablement arrachée. Il avait choisi de ne pas s'enfuir.

Nous ne nous comparons pas à lui. Personne de lui comparer n'est notre but. Mais son nom nous rappelle que la parole libre a toujours un coût, et que les instruments de ce coût évoluent : la hache au XVIIIe, le bagne au XIXe, le goulag au XXe, la surveillance de masse, les poursuites bâillons et les ordres de silence au XXIe.

· ce que nous gardons

La mémoire de tous ceux qu'un pouvoir — clérical, étatique, économique, algorithmique — a voulu réduire au silence pour avoir lu, écrit, pensé ou publié ce que ce pouvoir redoutait.

3. Notre rapport à la vérité

Nous défendons une vérité documentée, pas une vérité de conviction. Nous nous méfions autant des certitudes officielles que des certitudes alternatives. Les deux camps produisent de la mythologie quand ils cessent de soumettre leurs affirmations au test de la preuve.

Ce que nous publions, nous le publions avec ses sources, ses hash, ses signatures. Ce que nous ne pouvons pas prouver, nous ne le prétendons pas. Une enquête qui ne tient pas est abandonnée, pas publiée diluée.

Nous savons que certaines choses sont cachées par la concentration du pouvoir — économique, politique, médiatique. Nous savons aussi que croire tout ce qu'on nous cacherait est le meilleur moyen de ne plus rien comprendre. La rigueur est notre discipline ; l'épistémologie n'est pas une option.

4. L'architecture comme promesse

Nous avons bâti OmbrysWeb avec un principe cardinal : Zero-Knowledge. Notre serveur ne peut pas — techniquement, pas juridiquement — lire vos données privées. La clé de déchiffrement vit dans votre Passkey. Elle n'atteint jamais notre infrastructure.

Cela signifie qu'un mandat judiciaire, un piratage, une saisie, une pression d'un État étranger, une trahison interne — aucun de ces scénarios ne permet de lire ce qui est à vous. Ce n'est pas une politique que nous pourrions changer. C'est une propriété mathématique que nous avons choisi d'imposer à nous-mêmes.

Nos signatures sont hybrides post-quantiques. Nous n'attendons pas que la menace quantique arrive pour y préparer ceux qui nous font confiance.

5. Ce que nous refusons

Le collectif est éthique par construction. Notre charte est publique, versionnée, et engage chacun. En particulier, nous refusons :

  • Le doxxing. Pas de divulgation non consentie d'identité, jamais. Nos enquêtes visent des pouvoirs, des systèmes, des institutions — jamais des individus pris pour eux-mêmes.
  • Le harcèlement. Aucune campagne, aucun pile-on, aucun messaging groupé visant à faire taire une personne.
  • Les attaques contre les infrastructures essentielles.Hôpitaux, énergie, eau, transports critiques, ONG humanitaires, journalistes, défenseurs des droits — jamais cibles, dans aucun contexte.
  • La collaboration avec les régimes qui répriment leur population numériquement. Nous refusons les contrats, les missions, les transferts de technologie à ces acteurs.
  • L'extorsion. Ransomware, chantage, vente de 0-day en marché gris — incompatibles avec ce que nous sommes.

Un membre qui franchit ces lignes est exclu après procédure contradictoire — publique quand elle peut l'être, confidentielle quand elle protège des tiers.

6. Ce que nous faisons concrètement

Le collectif tourne autour de quatre activités régulières :

  • Recherche en sécurité. CTF, bug bounty, audits de logiciels libres, rédaction de CVE. Délais de divulgation responsable de 90 jours par défaut.
  • Investigations documentaires. Enquêtes sur des pratiques de concentration du pouvoir qui portent atteinte à la vie privée, à la liberté d'expression, ou à la sûreté numérique. Publiées avec sources, hash, signatures — ou pas publiées du tout.
  • Outillage pour la parole libre. Cette plateforme, d'abord ; des contributions à l'écosystème (Tor, Matrix, Signal-compatible, Keycloak, rustls…) ensuite.
  • Formation. Matériel pédagogique sur l'autodéfense numérique, publié en accès libre, destiné en priorité aux journalistes, lanceurs d'alerte, défenseurs des droits.

7. Warrant canary

Nous signons chaque mois, depuis une machine offline, une déclaration affirmant qu'aucune contrainte légale ne nous force à modifier nos systèmes, installer une backdoor, ou rompre nos promesses.

Si cette signature cesse d'arriver — même sans un mot de notre part — c'est un signal. La page /transparency affiche la date de dernière signature et la prochaine attendue. Une absence prolongée doit être lue comme telle, et non comme un oubli.

8. Ce que nous demandons à ceux qui nous lisent

  • Lire le code avant de nous faire confiance.
  • Nous signaler toute faille que vous trouvez — notre contact chiffré est ouvert.
  • Critiquer nos choix. Publiquement, nominativement. La critique argumentée est un cadeau ; nous la préférons largement aux louanges.
  • Ne pas nous sacraliser. Nous sommes faillibles. La transparence, les audits externes, les transparency reports existent précisément pour ça.

Manifeste signé collectivement par le core team Ombrys. Révisions futures — quand elles se produiront — seront documentées et signées de la même clé hybride que notre warrant canary. Le fingerprint public est affiché sur la page /transparency.

Vérifier nos signaturesAudit log vérifiableNous contacter