Le 06/08/2022 à 16h 47

4% du CA, c’est pas 4% du bénéfice. Une entreprise peut être condamnée à une amende malgré des pertes.

Et pour information, c’est 4% du CA mondial, pas du CA en France. Donc ça peut faire très mal…

Le 06/08/2022 à 14h 03

Je sais, je l’ai même mentionné dans un autre commentaire

Le 06/08/2022 à 13h 50

Je l’ai pourtant précisé ;) En cas de perquisition d’un local en France, les données stockées aux USA et accessible depuis les locaux perquisitionnés font parties des informations qui peuvent être récupérées lors de le perquisition.

Le 06/08/2022 à 12h 37

mips_mips a dit:

C’est oublier l’extraterritorialité du droit US.

C’est aussi oublier l’extraterritorialité du droit français lorsque cela nous arrange. Lors d’une perquisition par exemple, toute donnée accessible depuis le réseau de l’entreprise est “syphonable” pour analyse ultérieure (cf. Uber et son kill switch), y compris si les données sont situées à l’étranger.

Et bizarement, dans le cas d’Uber, ça pose problème (de ne pas pouvoir accéder aux données), mais quand c’était Microsoft qui protégeait l’accès à des e-mails stockées en Irlande face au FBI, le discours était tout autre…

Les deux positions se défendent. J’ai un avis et honnêtement, il n’importe pas ici (cela n’apporterait rien au débat). Mais par contre, il faut être cohérent :

• soit on approuve l’attitude de Microsoft, et on ne peut pas reprocher à Uber de faire de même ;


• soit on n’approuve pas l’attitude d’Uber, et dans ce cas là, celle de Microsoft non plus.

Le 06/08/2022 à 16h 45

(quote:2087505:matrix-bx)
Pour le coup c’est toi qui présumes ;)

Je ne dis pas qu’il n’y a pas d’info envoyé, je dis simplement que je doute fortement que ce soit directement les logs. Un FAI n’a que faire des logs DHCP de ses millions de clients ;)

La dernière fois que j’ai regardé, il y a quelques années déjà

Oui, tu l’as dis, en 2008. Cela fait 14 ans quand même, beaucoup de choses ont changé depuis ;)

mais ces transferts se faisant en https et non plus en clair comme précédemment, impossible de dire précisément ce qu’ils contenaient ou ne contenaient pas.

Voilà, impossible de dire ce qu’il y a dedans. Qu’il y ait des informations envoyées vers le FAI, cela ne m’étonne guère, ne serait-ce que pour avoir un état interne de la box et détecter des dysfonctionnement.

Et c’est pas vraiment la question, un serveur DHCP ça log la MAC du client qui demande un bail. Pour éventuellement pouvoir faire du debug, pour ne pas attribuer deux fois une même IP, pour pouvoir redonner la même IP au même client quand il renvient, pour pouvoir faire de l’allocation d’adresse IP fixe, pour remplir la table arp de manière sécurisé et empêcher qu’un autre client puisse détourner le trafic en empoisonnant cette table, … Que ce soit dans une box ou chez un FAI, ça fonctionne de la même manière.

Ca je suis d’accord. Maintenant, ce qui se passe chez le client, le FAI s’en fiche (ou en tout cas, n’a pas à le savoir).

Et chez lui, il n’a pas besoin de l’adresse MAC de l’interface WAN, puisqu’il se base sur des informations d’authentification ;)

J’ai un accès parfaitement légitime à ce serveur radius.

Je n’ai pas supposé un accès illégitime, juste de la curiosité sur comment. J’imagine donc que c’est par ton travail que tu as un accès à ce type de serveur chez un FAI en particulier. On est d’accord pour dire que l’accès à ce genre de log n’est pas possible pour le quidam lambda ?

Le 06/08/2022 à 15h 03

(quote:2087499:matrix-bx)
Un log DHCP, c’est un log DHCP, par défaut ça log la MAC du client qui demande un bail.

Mais reste sur la box et n’est pas envoyé au FAI !

Le log radius est bien pris chez un FAI.

Du coup, je suis curieux : comment as tu fais ?

Le 06/08/2022 à 13h 46

(quote:2087487:matrix-bx)
Elle était présente dans tous ceux que j’ai pu voir. sur un PA:

Ce sont des logs des équipements qui se connectent à la box, pas les logs côté FAI ;)

Du coup on ne doit plus logger les IP non minimisées non plus ? La prochaine réquisition va être fun.

Je n’ai pas dit ça. Je dis juste que le RGPD s’applique. Récolter une donnée personnelle pour le simple loisir de la collecter n’est pas autorisé. Récolter une donnée pour atteindre une finalité en se basant sur l’une des 6 bases légales l’est ;)

Là on discute pour savoir si les FAIs logges ou pas la MAC WAN des clients, c’est pas la question de départ qui concernait celle de l’interface wifi.

Forcément, si on ne parle pas de la même chose, c’est normal de ne pas se comprendre ;)

Pour le wifi, de mon côté, ma box ne me permet pas d’accéder aux logs.

Le 06/08/2022 à 12h 22

Tout à fait. Mais ça, ce n’est pas à toi, en tant que “fournisseurs d’accès” de le définir. Maintenant, le côté aléatoire, c’est par réseau me semble-t-il, et pas par connexion. Autrement dit, si tu te connectes 3x sur le même réseau, tu auras toujours la même adresse MAC.

Mais si tu te connectes sur un réseau différent, tu auras une adresse MAC différente.

Je n’ai pas vérifié mais j’imagine difficilement qu’il en soit autrement, vu que cela peut poser de nombreux problèmes pour tout les services qui peuvent utiliser une adresse MAC (je pense notamment aux portails de connexion, à la liste des périphériques autorisées sur un réseau, voir même certains parefeux, impossibilité d’attribuer une IP fixe via DHCP, etc…)

Le 06/08/2022 à 12h 10

(quote:2087475:matrix-bx)
la MAC est dans les logs

A moins d’avoir accès aux logs, tu n’en sais rien et ne peux que faire des suppositions. C’est loin d’être aussi simple que tu le dis.

Et dans la mesure où l’adresse MAC est une adresse identifiante au même titre que l’adresse IP, elle est donc une donnée personnelle soumise au RGPD, notamment au principe de minimisation des données collectées.

Le 06/08/2022 à 11h 31

(reply:2087462:matrix-bx)

Concernant la MAC de l’interface WAN, elle est nécessairement dans les logs des BAS et serveurs DHCP qui font l’authentification des clients, la loi en impose la conservation.

Non, la loi n’impose pas la conservation de l’adresse MAC. La loi impose la conservation des données techniques permettant l’identification d’une source, et l’adresse MAC n’en fait pas nécessairement partie.

Tu es un FAI, l’adresse MAC, tu t’en fous royalement. Car tu connais l’abonné au bout de la ligne. Tu sais déjà quel est l’adresse IP que tu lui as attribué, et jamais, je dis bien JAMAIS, tu n’auras une requête du style “qui était connecté à travers tel adresse MAC”.

Tu n’es pas FAI, mais tu mets à disposition une connexion internet à du public (exemples : hotel, macdo, etc…). Les obligations de conservation des données de connexion s’appliquent*, et là, deux choses :

• soit tu as une passerelle avec identification : dans ce cas, pas besoin de l’adresse MAC, puisque tu pourras relier directement l’IP à l’identité de ton client


• soit tu n’as pas de passerelle avec identification : dans ce cas, l’adresse MAC est une donnée technique qui pourra être demandée.

Car la loi stipule bien “les données techniques permettant d’identifier la source”, pas que tu doivent toi-même identifier la source.

Ainsi, si une activité malveillante est détectée à partir de ta connexion internet, tu dois être en mesure de dire soit c’est untel, soit c’est tel terminal (et là, généralement tu fournis l’adresse MAC, car c’est la seule donnée utilisable).

• il y a débat à ce sujet, la justice française dit oui, la justice européenne dit non. Bref, pour éviter les emmerdes, vaut mieux ne pas avoir de requête en ce sens !

Le 05/08/2022 à 16h 32

Un point d’accès Wifi, ce n’est pas nécessairement une box internet. C’est vrai chez la plupart des particuliers, plus rarement le cas dans la plupart des entreprises.

Hors défaillance (ce qui peut toujours arriver), il y a vraiment peu de chance qu’une box d’un FAI vienne créer des perturbations (car dans ce cas, ce serait l’ensemble de la gamme, et cela ferait très mal !).

Par contre, un routeur Wifi acheté sur internet sur des sites parfois laxistes comme Alibaba ou Wish (ou même Amazon avec les revendeurs tiers) qui ne respecteraient pas la législation, cela me semble beaucoup plus plausible.

Ou un routeur sous OpenWRT mal configuré permettant l’usage de canaux interdits en France mais autorisés dans d’autres pays.

Maintenant, j’ai envie de dire qu’il faut relativiser :vue le nombre d’équipements émetteur (les routeurs, point d’accès, terminaux mobiles, etc…) que l’on peut estimer de l’ordre du millions voir de la dizaine de millions en France et la portée parfois très importante (plus de 100km !), on pourrait s’attendre à avoir beaucoup plus de perturbation…

Bref, on a quelque cas exceptionnels, et si on retire les perturbations volontaires (à base de brouilleur), je pense qu’on peut dire qu’on a une couverture réseau qui ne se porte pas trop mal vu le nombre d’équipements en jeu :)

Le 04/08/2022 à 19h 32

patos a dit:

En pleine journée, une base de données de production à restaurer, c’est que la production est arrêtée ! Et ça ça ne doit pas arriver, ça coût des dizaines de milliers d’euros par heure sans…. (si ce n’est plus)

A un tel niveau d’impact, si une haute disponibilité n’a pas été mise en place, c’est qu’il y a un problème bien en amont dans le PCA et/ou PRA.

Le 03/08/2022 à 05h 57

patos a dit:

Je ne choisi pas ce que je dépanne…. Moi je les aurais mis en RAID01 double miroir: un RAID 0 de 4 groupes de RAID1 de 3 disques (en plus ça donne plus de patate hihihi), ou au pire en RAID6 avec un hotspare.

Merci pour ton retour J’aurais sans doute fait quelque chose de similaire, avec peut être une hésitation entre un RAID01 et donner directement l’ensemble des RAID1 à la BD

Les LOGs sont tout aussi critiques que la BDD:

Entièrement d’accord. Sauf que je parlais pas de log de BD, mais de log tout court (dans ma tête, système de centralisation de log). Mais je suis passé un peu vite du coq à l’âne, je l’admet !

Le 02/08/2022 à 21h 22

patos a dit:

Tu me comprendras quand tu auras eu une LUN RAID 5 12 disques qui a eu la corruption en plein fichier de base de données…. : moteur crashé, VM en vrac, etc…. Ca s’appelle une mauvaise journée ^_^ (moi ça allait, j’étais le dépanneur hihihi)

Je précise d’avance que monter des RAIDs n’est pas mon métier. Mais un RAID 5 avec 12 disques pour stocker des bases de données, c’est pas un peu… suicidaire ? Quand un disque plante (et ça viendra, forcément, surtout avec 12 disques), le risque est tellement grand que pendant la reconstruction, un autre disque puisse montrer des faiblesses (surtout s’ils sont de la même série !).

Je pose la question comme tu as l’air du métier ;)

Après, pour des données non critique… comme des logs (peu de réécritures, beaucoup d’ajouts), why not…

[edit]
Grillé par CR_B7, qui pense la même chose de moi semble-t-il

Le 02/08/2022 à 19h 49

A ma connaissance, ils utilisent des gammes de disques conçus pour les NAS et les serveurs. Pas du grand public.

Et après une vérification sur quelques références, il semblerait que ce soient bien des disques pour NAS et serveurs

Le 02/08/2022 à 18h 20

Ca peut servir ;)

Le 02/08/2022 à 15h 23

Le RAID 6 n’est pas mort. L’avantage du RAID 6, c’est qu’il peut supporter m disques défaillants sur n, avec m >= 2. On voit souvent que c’est limité à 2, mais c’est une erreur et cela peut aller bien plus loin !

Maintenant, c’est comme tout : il faut dimensionner son RAID en fonction des risques que l’on est prêt à accepter.

L’article de zdnet concernant le RAID 6, je le trouve bien incomplet, sur plusieurs points :

• il est limité à 2 disques défaillants (ce qui est faux)


• l’article assume qu’un disque présentant 1 défaut de lecture est totalement inutilisable (ce qui n’est pas vrai non plus)


• l’article prétend que les défaillances de disques sont corrélés. C’est en partie vrai… pour les disques d’une même série. C’est pour cela qu’il est recommandé de prendre des disques de séries différentes dans un RAID 5 ou 6


• les disques sont SMART aujourd’hui et un bon NAS en tient compte et est capable d’avertir dès qu’une erreur survient ou est sur le point de survenir.

Là où l’article devient intéressant, c’est sur l’augmentation du risque et la probabilité croissante d’avoir des soucis, compte tenu que la taille des disques ne cesse d’augmenter (le To est la norme maintenant) de même que le nombre de disques par grappe.

Bref, pour un RAID 6, si on a peur, on peut limiter la taille de la grappe (soit vis-à-vis du nombre de disques, soit vis-à-vis de leur capacité), ou augmenter le nombre de disques de parité.

Et il ne faut pas oublier non plus que si les NAS gèrent de plus en plus de disques, il est tout à fait possible d’y avoir plusieurs grappes plus petites (réduisant ainsi les risques de défaillance par grappe). Et aujourd’hui, hormis des cas très spécifique, je ne vois guère d’intérêt à avoir une seule et unique grappe de 10To (pour reprendre l’exemple de zdnet).

Pour la reconstruction, j’en ai déjà eu 2 sur mon NAS “personnel” (bais 4 disque, RAID 6 avec 2 disques de parité). La reconstruction prend une nuit, les données restant toujours accessibles et le changement de disque défectueux se faisant à chaud.

Et pour la petite histoire, j’ai déjà eu un disque dur neuf refusé par mon NAS, au motif qu’il présentait des erreurs (remontées via SMART justement). Ce même disque, monté dans un PC classique, ne montrait aucun problème (à l’usage ou via SMART). Du coup, je m’en sers comme périphérique pour des données volumineuses et peu importantes (juste au cas où !)

Le 04/08/2022 à 18h 29

Précisons les choses pour aller jusqu’au bout :

• la suite Office existe toujours en licence perpétuelle (mais n’est pas mise en avant, je le reconnais)


• Office365 c’est une version web


• Office365 c’est une version client lourd


• le client lourd d’Office365 ne nécessite absolument pas une connexion permanente pour fonctionner (tout au plus, une connexion de quelques secondes 1x par mois environ pour la gestion de la licence).

donc, à moins d’utiliser une version en ligne (pour laquelle une connexion permanente est effectivement requise, ce qui va de soit), le client lourd Office365 fonctionne très bien hors ligne. Depuis le nombre d’années que je l’utilise (5 ans), je compte sur les doigts d’une main les fois où j’ai du me réidentifier pour l’utiliser (généralement, à la suite d’une MAJ Windows ou d’office365 lui-même).

Et pour la réidentification, aucun mail. C’est directement le programme qui affiche l’invité de connexion (donc difficile d’être redirigé vers un proxy malveillant quelconque).

Bref, ici, le problème reste le même : du phishing. Et pour lutter contre ça, on peut prendre toutes les mesures que l’on veut, la plus efficace reste l’éducation des utilisateurs : NE JAMAIS SUIVRE UN LIEN CONTENU DANS UN E-MAIL, lorsque l’e-mail n’est pas sollicité :

• “vous avez un message, cliquez ici pour l’écouter” ==> NON !!


• vous lancer une procédure de récupération de mot de passe, et vous recevez un mail ==> OUI (car c’est vous qui avez initiez la procédure et que vous attendez ce mail dans les quelques secondes qui suivent).

Le MFA n’a jamais eu pour but de se prémunir du phishing, mais de l’usurpation de compte en cas de compromission du moyen d’authentification (notamment mot de passe). Dire que l’attaque contourne l’authentification multi-facteur est donc un peu faux… Le problème, c’est les utilisateurs qui manquent de vigilance et/ou de sensibilisation à ce sujet.

Le 03/08/2022 à 10h 05

JnnT a dit:

Les limites du truc sont claires : un parent peut communiquer le code à ses enfants qui eux-mêmes peuvent le diffuser. Sauf qu’il existe divers FAI et que le code est changé tous les mois. Par ailleurs, pas question d’accéder aux sites interdits depuis, par exemple, un Wifi public, mais c’est peut-être mieux.

Pas forcément besoin d’avoir un code unique par FAI, mais pas non plus un code par abonné. Un pool de 1000 code / FAI par exemple serait amplement suffisant :

• un code (parmis les 1000) est associé à un abonnement (ou peut être mieux : le code à utiliser parmis les 1000 est déterminé à partir du numéro de série de la box par exemple)


• le code en tant que tel n’est pas identifiant


• il change tous les mois


• les parents peuvent le donner à leurs enfants (ça reste leur responsabilité)


• les enfants ne peuvent pas le donner à leurs copains (enfin 1 chance sur 1000 que ce soit le même s’ils ont le même FAI)

Comme tu dis, ce n’est pas parfait, mais cela reste une solution simple à mettre en oeuvre, qui responsabilise les parents (en théorie du moins) et peut limiter grandement l’accès à une large proportion de mineurs…

Sauf que se posent la problématique de la communication du code. Qui se sert de l’adresse e-mail de son FAI ? Loin d’être la majorité des gens (beaucoup ne savent même pas qu’ils en ont une !). Bref :

• il faudrait pouvoir l’envoyer sur plusieurs adresses e-mail (au moins 2, une pour chaque parent, sinon, j’imagine bien le scénario “chérie, c’est quoi le code pour déverrouiller l’accès ?”, et à moins de filtrer les réseaux sociaux comme Twitter, Facebook, … la demande du code au conjoint sera “délicate”)


• mais si les réseaux sociaux sont filtrés, les enfants voudront le code et les parents le donneront, faisant s’écrouler tout l’édifice


• cela ne sera pas par courrier postal (coûts trop important pour le FAI)

Bref, si l’idée est séduisante par sa relative simplicité, il reste des zones à éclaircir (quoi filtrer, car il n’y a pas que le porno en théorie qui est visé) et comment transmettre le code.

Le 29/07/2022 à 09h 29

Je suis d’accord, mais il est bien précisé, dans l’extrait que j’ai cité, que certains d’entre eux n’exigeaient justement aucune rançon…

Le 29/07/2022 à 08h 43

Signe qu’elles n’énament pas des gangs habituels, « certaines d’entre elles n’exigeaient pas de rançon, mais semblaient vouloir compromettre “simplement” les activités opérationnelles des victimes

Du coup, peut-on encore appeler ce genre d’attaque une attaque par ransomware ? C’est une attaque par déni de service, si l’idée est “simplement” de compromettre les activités opérationnelles…

Le 27/07/2022 à 21h 26

Xandr0s a dit:

Si tu payes pour avoir le droit à copier des œuvres. Pourquoi mettre des protections pour éviter cette même copie ?

Parce que justement, ce n’est pas un droit “au sens légal du terme”. La loi ne dit pas “vous avez un droit de copie”. La loi dit que la copie est une exception au droit d’auteur qui est tolérée tant qu’elle reste dans un cadre purement privé. De ce fait, les mesures de protection sont tout à fait possible et impossible d’y opposer le droit à la copie, car justement ce droit n’existe pas.

Le 26/07/2022 à 13h 46

Attention, l’article parle des logs de connexion pour les fournisseurs d’accès, qui devaient, d’après la loi française, conserver qui (=abonné + IP + port) va où (IP de destination) et quand (date et heure).

Pour un site internet, ce n’est pas du tout le même régime et il faut distinguer les logs d’accès de consultation (requête HTTP/S) des logs d’accès suite à une authentification (utilisation d’un service)

Le 26/07/2022 à 06h 23

Toutes mes excuses à l’équipe. Ce n’était nullement le but

Le 25/07/2022 à 09h 56

le sais-tu par ouï-dire ou l’as-tu expertisé ?

Oui, je l’ai expertisé, avec un outil appelé “compilateur”. Si tu compiles et que le logiciel est utilisable, c’est que tout le code nécessaire est là. Je t’ai apporté ma preuve, montre moi la tienne

Maintenant, si tu penses que tous les noeuds (plus de 47,000 en 2021) utilisent une version spécifique et non disponible publiquement, avec un bouton d’autodestruction (allez, même pas tout le monde, juste 51% ça suffit), sachant que le système est totalement décentralisé par nature… d”où mon “bon courage”.

Et pour fixer les choses, je ne suis pas du tout pour le bitcoin. J’attends comme beaucoup qu’il se casse la gueule vu l’hérésie que c’est. Mais on peut aussi refuser de lire autant d’âneries sans réagir…

Le 25/07/2022 à 09h 06

JnnT a dit:

Tout le code ? Je n’en crois rien : ce serait une fragilité évidente.

Au contraire. En cryptographie, la sécurité par l’obfuscation n’a rien de sécuritaire. Ce qui est sécurisé, c’est d’utiliser des algorithmes éprouvés.

Le logiciel tu peux le compiler et l’utiliser. Donc oui, tout le code est là. Sauf à ce que TOI tu apportes la preuve du contraire… (bon courage)

Le 25/07/2022 à 09h 40

anagrys a dit:

Non, une ONG est par définition une organisation qui ne représente pas un gouvernement, rien de plus.

Si, il y a plus. Toute organisation qui ne représente pas un gouvernement n’est pas une ONG !

D’après wikipédia :

L’habitude est de réserver le terme aux personnes morales à but non lucratif financées par des fonds privés. Les principaux critères définissant une ONG sont1 :

• le but non lucratif de son action ;


• l’indépendance financière ;


• l’indépendance politique ;


• la notion d’intérêt public.

Que l’on peut recouper avec la définition de Vie publique

Une Convention adoptée dans le cadre du Conseil de l’Europe en 1986 retient les critères suivants pour qualifier une institution d’ONG :

• avoir un but non lucratif d’utilité internationale ;


• avoir été créée par un acte relevant du droit interne d’une Partie ;


• exercer une activité effective dans au moins deux États ;


• avoir son siège statutaire sur le territoire d’une Partie et son siège réel sur le territoire de cette Partie ou d’une autre Partie.

Les deux ne s’accordent pas. L’un mentionne le coté international comme je l’ai fais, pas l’autre. Mais les deux s’accordent sur une chose : il y a des critères, et l’intérêt public y figure, de même que le côté non lucratif.

Le 25/07/2022 à 06h 13

Je pense simplement que les gens confondent “ONG” et “indépendance” (vis-à-vis des lobbies).

Une ONG, dans le sens commun (il y a peut être une définition juridique, mais je n’ai pas cherché), c’est une organisation, internationale, représentant “l’humanité”.

Pour Greenpeace par exemple, certains lui reproche (à tord ou à raison, je ne sais pas, je ne me suis pas suffisamment renseigné pour avoir un avis) d’avoir des avis très partiaux et de participer à une guerre économique, “protégeant” les intérêts de certains acteurs privées (en général, donateurs !) aux détriments d’autres. Le cas le plus emblématique est sans doute sa position sur le nucléaire (absolument contre) pour favoriser des alternatives beaucoup plus polluantes

Le 25/07/2022 à 09h 09

“Tout le monde” est une cible

Le 22/07/2022 à 07h 35

Juju251 a dit:

Sauf que justement, le point de départ et d’arrivé était aussi communiqué et conservé. Les données étant collecté au démarrage / arrêt du moteur et à l’ouverture / fermeture des portes …

Toi tu n’as pas lu mon commentaire… (“Concernant le suivi GPS au démarrage et arrêt du véhicule. Là, effectivement, cela pourrait représenter un risque pour la vie privée de l’utilisateur. MAIS ! La CNIL reconnait elle-même que la récupération de la position GPS à ces moments là seraient suffisant pour assurer l’intérêt légitime de l’entreprise (retour à la station, vol).”)

Et pourquoi ne pas communiquer la position du véhicule lors d’un accident (au déclenchement des airbags par exemple) ?

Toi tu n’as pas lu mon commentaire… (“Les systèmes existent. L’airbag se déclenchent bien en cas d’accident. Pourquoi serait-il impossible de remonter cette information ?”)

Ah, le fameux “je n’ai rien à cacher” qui permet de justifier un tracking de plus en plus présent, tout en se masquant les yeux pour ne pas voir les évidentes dérives qui parfois peuvent être dramatiques …

Je n’ai jamais dit ça. Je dis qu’il me parait illogique, dans la décision de la CNIL, de valider le traçage GPS au démarrage/coupure du moteur, mais de l’interdire sur le trajet. Le trajet n’apporte pas d’information au regard du point de départ et d’arrivée. D’où mon incompréhension de la décision.

Le 22/07/2022 à 06h 34

J’avoue que je suis un peu perplexe de la décision de la CNIL.

Pour éliminer tout de suite le point où je suis d’accord avec elle : la durée de conservation des données, qui était bien trop importante par rapport aux finalités (la position GPS ne devrait être conservé que quelques jours sans incident (vol, …) déclaré) pas 3 ans après la dernière utilisation par l’utilisateur.

Concernant le suivi GPS tous les 500m et le risque d’atteinte à la vie personnelle (risque de déduction des orientations sexuelles / religieux / politiques). J’avoue ne pas comprendre. On peut très bien passer à proximité des lieux simplement parce que c’est le chemin que l’on prend pour aller là où on doit aller ! Donc non, le trajet en lui-même n’est pas un risque. Point de départ et d’arrivée oui, trajet non.

Concernant le suivi GPS au démarrage et arrêt du véhicule. Là, effectivement, cela pourrait représenter un risque pour la vie privée de l’utilisateur. MAIS ! La CNIL reconnait elle-même que la récupération de la position GPS à ces moments là seraient suffisant pour assurer l’intérêt légitime de l’entreprise (retour à la station, vol).

Quant au scénario d’un système GPS désactivé au fond d’un parking, « la proportion de ces hypothèses n’a […] pas été communiquée par la société ».

La CNIL a-t-elle communiqué sur la proportion de l’hypothèse du risque sur la vie privée de passer à proximité (j’ai bien dit passé, pas s’arrêter) à côté d’un lieu “sensible” pour la vie privée comme un lieu de culte ? Bref, elle utilise de la main droite l’argument qu’elle a balayé de la main gauche.

Cependant, pour porter une telle assistance aux utilisateurs, la société doit nécessairement avoir connaissance de la survenance d’un incident ou d’un accident ».

Les systèmes existent. L’airbag se déclenchent bien en cas d’accident. Pourquoi serait-il impossible de remonter cette information ?

La CNIL ira dire aux personnes ayant perdu un être cher ayant eu un accident et incapable d’appeler les secours que cet être cher est mort faute de secours, parce que bon, suivre une voiture de location tous les 500m c’est attentatoire à la vie privée (sachant que les positions d’allumage/coupure du moteur sont, quant à elles, connues)

Bref, si je suis d’accord avec certains points (durée de conservation disproportionné), l’avis sur le GPS me semble lui beaucoup plus discutable et semble relevé plus du dogme qu’autre chose.

Le 22/07/2022 à 06h 43

D’autant plus pratique que pour un recommandé classique, on a juste la preuve de l’envoi. Avec le recommandé numérique, on a la preuve de l’envoi ET de ce qui a été envoyé !

Sans compter qu’on peut envoyer son recommandé à 23h43 du fond de son lit

Le 20/07/2022 à 17h 11

J’ai toujours trouvé que les études sur ce sujet présentaient des biais et/ou des erreurs d’interprétation. Je m’explique : on ne trouve que rarement des informations détaillées sur les statistiques. Juste des agglomérats et des statistiques partielles. Pour reprendre l’étude de 2021 du CREOGN, on sait que :

• 1939 cas étudiées


• 1561 cas non résolus


• 353 cas résolus sans vidéoprotection


• 22 cas résolus avec vidéoprotection

Et on conclu donc que la vidéo protection n’a contribué qu’à résoudre 5,87% des affaires résolus. Pourtant, les chiffres sont très incomplets pour pouvoir tirer une conclusion quelconque. Il manque :

• le nombre de cas résolus où la vidéoprotection était utilisable (=une caméra dans le secteur) mais n’a pas été utilisé


• le nombre de cas non résolus où la vidéoprotection était utilisable (toujours dans le sens où au moins une caméra était dans le secteur)


• des explications sur l’exploitabilité des vidéos pour expliquer la perte entre le recours à la vidéoprotection et les enregistrements exploitables (disponibilité, problème de fonctionnement, images flous, images effacées car au délai, …)


• le nombre de lieux de délit (plusieurs cas pouvant se dérouler au même endroit) avec vidéoprotection et sans vidéoprotection


• l’exploitabilité en terme d’effectif : regarder des vidéos, ça peut vite prendre beaucoup de temps s’il y a 30 caméras à vérifier sur une période ne serait-ce que d’1h. A-t-on les effectifs pour cela ? (la réponse est non).

Bref, il manque beaucoup d’information pour pouvoir statuer si c’est la vidéoprotection elle-même qui est relativement peu efficace, ou si c’est l’exploitation/le manque d’exploitation de la vidéoprotection qui est peu efficace. Si c’est la première, alors investir massivement est sans doute un mauvais fléchage de l’argent. Si c’est le second, c’est qu’il n’y a pas assez de moyens humains et investir beaucoup d’argent dans des infrastructures qui ne sont pas exploitées, c’est aussi un mauvais fléchage.

Pourtant, si on regarde les chiffres de l’étude, on constate que :

• la vidéo n’est même pas demandé 3 fois sur 4 (dans le meilleur des cas). ==> on pourrait donc augmenter d’un facteur 4 l’efficacité de la vidéoprotection si elle était toujours exploitée


• près de la moitié des vidéos ne sont pas exploitables (on pourrait donc ici gagné également un facteur non négligeable d’efficacité) en éliminant les sources d’inexploitabilité.


• dans de nombreux cas résolus, la vidéo n’a même pas été demandés. Conclure de l’inefficacité de la vidéo vu le faible ratio de cas où elle a apporté un élément à l’enquête présente donc un énorme biais, puisque de nombreux cas ont potentiellement été ignorés !

Du coup, la conclusion que l’on voit partout, c’est que la vidéoprotection n’est que peu, voire pas, efficace, mais sans vraiment se poser la question de la pourquoi… (dans les synthèses j’entends, je n’ai pas accédé aux études mêmes).

Le 18/07/2022 à 07h 15

Pas forcément. C’est installation complète qui coute 113000€, pas les caméra elles-mêmes.

Je pense qu’elles ne sont pas données de base (caméra extérieure, qui doit donc résister aux intempéries, le soleil, etc…). Rajoute :

• l’installation à proprement parler (avec déplacement d’une nacelle car en hauteur et donc 2 personnes au minimum)


• le raccordement électrique


• le raccordement réseau (pour les images elles-mêmes)


• le “central” (là où toutes les images arrivent).

Le 20/07/2022 à 08h 43

Super merci. Et il y a une différence entre don et mécénat ? (désolé pour les questions “stupides”)

Le 20/07/2022 à 08h 26

Pour l’équipe, comment fonctionne les dons pour les entreprises ? Est-ce aussi défiscalisable ? Si oui, à quelle hauteur ?

Content en tout cas de savoir que vous avez pu sortir la tête de l’eau :)

Le 19/07/2022 à 07h 51

Effectivement, certains droits sont incessibles. Mais qu’importe. Dans le cadre de l’affaire Saint Maclou, la SACEM avait bien mis en avant le fait que c’était la diffusion sonore d’oeuvres dans un lieu qui accueillait du public, qu’importe les oeuvres, qui était redevable d’une “compensation”.

Le “qu’importe les oeuvres” portent aussi bien sur la licence des oeuvres, que leur présence ou non dans le catalogue de la SACEM.

Le 18/07/2022 à 12h 20

Si tu loues une piaule chez toi où tu as mis une radio ou une TV,

La communication de la SACEM insiste beaucoup sur la TV et sur la radio. Pourtant, j’ai rarement vu une radio branchée (mais déjà vu de la radio accessible via le poste de TV).

Donc les simples radios ne tombent pas dans ce giron ?
Et du coup, les TV avec antenne intégrée non plus ?

Le 18/07/2022 à 12h 18

La redevance TV, c’est le simple fait de posséder un téléviseur. Qu’il soit branché ou pas, qu’il ne serve que pour regarder des DVD, qu’importe : avoir une TV = payer la redevance.

Ici, ce n’est pas le fait d’avoir une TV qui est “taxé”, c’est le fait de diffuser des oeuvres dans un local commercial qui accueille du public. Un magasin (par ex. une grande surface) est un local commercial qui accueille du public.

Mais du coup, question pour @Marc :

Jean-Félix Choukroun, directeur du service clients de la Sacem, a insisté auprès de nos confrères : cette démarche est parfaitement légale, à ses yeux. « Elle répond à une mission d’intérêt général inscrite dans le Code de la propriété intellectuelle. Dès lors que des œuvres protégées sont diffusées […], il y a un acte de communication au public soumis à droits d’auteur ».

Le protégée est de trop ici non ? S’il n’est pas de trop, il faut vite le dire à St Maclou !

Le 17/07/2022 à 20h 18

OB a dit:

Donc, déjà , c’est une possibilité, pas une obligation.

Non, l’obligation de vigilance, c’est bien une obligation. Ensuite, dans le cadre de cette obligation, les banques ont (comme tu le soulèves) la possibilité de recueillir certaines informations (elles peuvent, mais non sont pas obligées, si elles estiment que cela n’est pas pertinent par rapport aux doutes).

Or, la poste va loin, beaucoup plus loin que ça : Nombres d’enfants, situation familiale, et d’autres choses encore.

C’est pourtant bien prévu : article 1.2.a :

s’agissant des personnes mentionnées aux I, II et III de l’article R. 561-18, les fonctions ou tout élément permettant d’apprécier la nature des liens existants entre ces personnes ;

Dans les personnes mentionnées aux I, II et III, il y a les enfants et le conjoint, et même les ascendants.

On a le droit de ne pas être d’accord, de trouver que c’est trop, sauf que c’est prévu par la loi.

Alors que ce n’est, très clairement, que du recueil d’info à des fins publicitaires (du moins si l’on se réfère à la quantité de pub reçu à travers les adresses lié à la poste , consentement ou pas.

Non, la loi est ce qu’elle est. Ce recueil d’info est autorisé dans le cadre de la vérification, et uniquement à des fins de vérification. Si la banque fait autre chose avec ces données, cela rentre dans le cadre du RGPD.

\=> pour moi il y a clairement une volonté de dissimulation des objectifs réels de la banque

Comme le rappel la CNIL, la banque à l’obligation de préciser les objectifs. Si elle ne le fait pas, elle est en tord.

Le 17/07/2022 à 09h 34

eglyn a dit:

Pour info j’ai eu le cas chez Hellobank il y a quelques jours, ou en me connectant, ils me demandaient plein d’informations supplémentaires (genre, le salaire annuel net, et plein d’autres truc), soit disant par obligation légale.

C’est exact. Les banques ont un devoir de vigilance prévu par la loi. Même la CNIL le dit.

Le 17/07/2022 à 10h 34

Oui, je l’utilise énormément pour du pro (principalement développement avec Visual Studio). Pour le reste, j’avoue que je n’ai pas grand chose à reprocher au quotidien à Windows lui-même. Sauf les mises à jour un peu longuette ! (mais ce n’est pas du quotidien)

Linux, j’en ai longtemps utilisés (Gentoo et Ubuntu) et j’ai finalement arrêté. Je passais trop de temps à régler des problèmes lors des mises à jour (du simple environnement graphique qui ne démarrait plus à juste une application parce qu’une dépendance avait évolué en passant par le kernel panic). Et maintenant, depuis qu’il y a WSL sous Windows, même plus besoin d’avoir une VM. Bref, j’ai les deux environnements en un ! Ce qui me convient parfaitement :) Mais je conçois parfaitement que tout le monde n’a pas les mêmes besoins que moi (qui sont assez spécifiques)

Le 17/07/2022 à 05h 08

(quote:2083820:127.0.0.1)

J’attends d’une société comme Microsoft qu’elle propose une vision cohérente et structurée du développement de son OS.

On ne peut pas être cohérent, rétrocompatible et innovant. Les 3 ensembles sont incompatibles :

• cohérent et rétrocompatible : implique la stagnation et la non mise à jour des API. C’est pas comme si depuis plus de 20 ans les architectures n’avaient pas changées (carte son et graphique intégrée à la carte mère, processeurs multicoeurs, etc…)


• cohérent et innovant : dans ce cas, impossible d’être rétrocompatible car il faut supprimer et/ou modifier des APIs


• rétrocompatible et innovant : on accumule les APIs en en rendant certaines obsolètes au détriment de la cohérence. C’est la voie choisie par Microsoft.

Pour ma part, plus que la multiplication des APIs, c’est les problèmes de performance pour des problèmes qui devraient être simple. Exemple que je rencontre tous les jours : le multiécran. J’ai un portable sur lequel je branche 2 écrans externe (donc une installation avec 3 écrans au total). La sortie de veille me prend 2 min avant d’être pleinement exploitable :

• le temps que les 2 écrans soient reconnus et affichés simultanément


• le temps que la barre des tâches ne soient plus gelé au milieu de l’écran (à cause des changements de résolution successifs)

Autre problème que je constate régulièrement : le redimensionnement d’une application. Alors c’est pas l’OS, mais cela reste le même éditeur pour Outlook. Le redimensionnement est hyper lent, et sur une “bête de course” (développement oblige), changer l’écran sur lequel est affiché outlook génère des redimensionnements qui prennent bien 5s. Un simple redimensionnement qui prend autant de temps n’est pas normal.

JnnT a dit:

Sauf que les diverses distributions GNU-Linux n’ont jamais eu le projet d’être compatibles.

Et c’est aussi pour ça que c’est un beau bordel. Sur windows, tu veux installer une application, c’est un téléchargement. Sous linux, tu veux installer une application hors gestionnaire de paquet, il faut que tu regardes ta distribution ET sa version ET son type d’installation (apk, snap, etc…)

Sinon, la compatibilité entre applications de diverses versions de Windows, espacées de quelques années, tu es sûr qu’elle est effective ?

Oh que oui. Et à moins d’avoir une application très bas niveau (comme un programme antivirus), une application “bien codée” (c’est-à-dire ici n’utilisant que l’API publique) tournera sans problème soit nativement, soit en activant le mode de compatibilité/exécuter en tant qu’administrateur (pour tenir compte des changements de fonctionnalité qui auraient pu y avoir pour cause de sécurité notamment).

Au delà de ça, le seul cas “récurrent” ce sont les problèmes de périphériques matériels qui ne sont plus compatibles, faute de drivers à jour. J’ai en tête les vieux scanner et imprimantes mais il doit y en avoir d’autres.

Pour donner des exemples, j’ai encore de vieux jeux en CD auxquels je joue de temps en temps sous Windows 10 :

• diablo 2 : pour windows XP


• Monkey Island : pour Windows XP


• Heros Migth and Magic 4 : pour Windows… 95 ! (j’avoue, il faut juste un crack no-cd pour ce dernier, car le DRM n’est plus supporté)

L’exemple des jeux est intéressant car justement, fait souvent appel à des API qui ont beaucoup évoluées, comme DirectX. Le fait que des programmes qui ont plus de 20 ans s’exécutent encore aujourd’hui sans problème majeur, c’est juste… incroyable.

Le 16/07/2022 à 14h 25

(quote:2083798:127.0.0.1)
C’est pas tant un problème de ressource que de sécurité, de cohérence et d’interoperabilité.

Est-ce que windows a réellement besoin de 4 API audio différentes, les 4 pouvant être utilisées simultanément ?

C’est assez cocasse de prendre cet exemple alors que dans le monde linux, c’est quand même pas mal le bazar aussi. Entre les couches bas niveau (OSS/ALSA), les mixers (ESD, PulseAudio, JACK, …) et les différentes SDK (SDL, Libao, Openal, …) il y a de quoi se perdre. Surtout que les logicielcs de la couche mixer “s’amuse” à émuler les anciennes techno (pour les applications accédant directement à OSS par exemple) ou les concurrents (Pulseaudio implémente une passerelle vers Jack et inversement).

Après, je suis peut être chanceux, mais je n’ai jamais eu aucun problème de son sous Windows depuis des années. Le seul souci que j’ai eu, c’est sur un micro USB lors du passage à Windows 10, où le volume à drastiquement chuté.

Ah mon avis, non ce n’est pas nécessaire. Mais c’est quand même là pour des raisons de rétrocompatibilité.

Le modèle linux et le modèle Windows étant intrinsèquement très différent, la rétrocompatibilité binaire (i.e., sans recompilation) est nécessaire. C’est tellement au point que l’on peut prendre le solitaire de Windows 98 et y jouer sous Windows 10 (jamais essayé sous Windows 11, n’en n’ayant pas sous la main).

Les cas de ruptures de rétrocompatibilité que j’ai pu observer provienne de sources principales :

• une application qui accède à des API non publiques privées)


• des changements de comportement, notamment pour cause de sécurité.

Dans le 2e cas, faire tourner l’application en mode compatibilité résout généralement le problème. Pour le 1er, c’est plus délicat…

tu trouves des applis qui utilisent toujours win32 et C++Runtime (VLC), d’autres en .Net (Paint.Net), d’autres en UWP/PWA (Spotify)…

Il est vrai que ce problème n’existe pas sous linux. Entre les différents SDKs (Qt, Gtk, Electron, …), les langages (les shells, C, C++, java, python et j’en passe) et les différentes méthodes d’installation (compilation manuelle, installation via un paquet, utilisation de snap, de docker, etc…)

Ce que je constate entre Windows et linux, c’est que c’est le même bordel d’un côté comme de l’autre, sauf sur un point : la rétrocompatibilité. Tu peux prendre le même binaire sous Windows, et ça marche, d’une installation à l’autre, et d’une version à l’autre. Avec linux, entre les distributions différentes et les changements, c’est quasi impossible.

Le 15/07/2022 à 16h 01

J’avoue. Mais le papier ne connait pas les pannes de courant ou de batterie

Le 15/07/2022 à 15h 33

Une suggestion pour la page remerciement du magazine : trier les noms ! C’est long de se retrouver dedans sinon ;)

Le 14/07/2022 à 15h 14

Ce que j’aimerai comprendre, c’est pourquoi tu t’en prends à moi. Qwant a, à mes yeux, pleins de choses à se reprocher. Je crois qu’on est d’accord là-dessus.

C’est parce que j’ai critiqué le document PDF ? J’ai l’impression que tu le défends comme si tu en était l’auteur ! Oui, ce document n’est qu’un agglomérats de faits mélangé à beaucoup d’interprétation, et surtout rédigé dans le but de nuire (et par un concurrent en plus).

Ce n’est pas parce que dedans il y a des éléments factuels que cela en fait un bon document, tant le travail à côté est nécessaire pour démêler le vrai du faux. Donc oui, je prends des pincettes.

Allez zou, j’arrête là.

Le 14/07/2022 à 14h 25

l0gin_ a dit:

Ton argument ne tient pas, il ne s’agit pas de toutes les entreprises en général mais de qwant en particulier. D’autant plus que l’état y participe, l’obligation est d’autant plus tendue.

Au contraire. Si la moitié des entreprises ne publie pas ses comptes, c’est qu’il doit y avoir au moins 1000 raisons de ne pas le faire. Comment Marc Longo peut-il être aussi catégorique alors ?

Irrationnel au complet, il ne s’agit pas de AF mais de qwant, encore en particulier.

Merci, car tu viens de démontrer avec brio ce que je dénonce depuis le début avec ce document PDF.

Pas la peine de continuer.

Nous sommes d’accord sur ce point

Le 14/07/2022 à 12h 12

Pour donner un exemple, pris au hasard :

CHAPITRE 56 : QWANT, AUCUNE DES 14 FILIALES DE QWANT NE PUBLIE SES BILANS (2018)

• Tout ce qui est de l’argent public est opaque, caché… No comment…

La première ligne est factuelle, la seconde non.

Dans un “bon” document, il n’y aura que la première ligne (factuelle). Eventuellement un rappel à la loi (la publication des comptes est une obligation légale).

Mais non, ici, on a le fait et une interprétation, à savoir la raison pour laquelle le bilan n’est pas publié.

Ce qu’il faut savoir, c’est que bien qu’il s’agisse d’une obligation légale, la moitié des entreprises ne publie pas ses comptes. Pourtant, selon l’argumentaire de Marc Longo, si les comptes ne sont pas publiés, c’est pour masquer l’utilisation de l’argent public. Je doute que toutes les entreprises qui ne publient pas leur compte touchent de l’argent public.

De plus, il faut faire la distinction entre publication publique et publication confidentielle (depuis quelques années, c’est possible, 2016 je crois). Dans quelle situation se situent les filiales ? Non publication ou publication confidentielle ? Je viens de vérifier, et a priori, c’est bien une non publication.

Fun fact : l’Annuaire Français ne publie pas ses comptes non plus. Dois-je en conclure qu’ils le font pour opacifier l’usage des fonds publics ?

Bref, j’ai pris un fait au hasard, un “élément factuel”, et si je ne le remets pas en doute maintenant, c’est parce que j’ai pris le temps de faire quelques vérifications. Par contre, les interprétations derrières n’ont pas sa place dans le document. Ou alors il faut en conclure, au moins pour l’aspect publication des comptes, que l’Annuaire Français ne vaut pas mieux que Qwant…

Voici maintenant comment j’aurais rédigé ce chapitre 56 de manière plus factuel

CHAPITRE 56 : QWANT, AUCUNE DES 14 FILIALES DE QWANT NE PUBLIE SES BILANS (2018)
Il est à rappeler que la publication des comptes annuels est une obligation légale pour toute entreprise. Même si aujourd’hui, prêt de la moitié des entreprises manque à cette obligation, il est d’autant plus regrettable que cela soit le cas pour une société bénéficiant, ou ayant bénéficié, de subventions publiques.

Est-ce que tu vois la différence ?

Le 14/07/2022 à 11h 32

Je crois que tu te trompes de cible. A aucun moment, je n’ai dis qu’il n’y avait pas du factuel. Reprends mon commentaire initial, notamment ce passage :

Je ne dis pas qu’il ne contient pas des éléments factuels, je dis qu’il contient beaucoup de parti pris, d’a priori, de biais, de préjugés, d’interprétations, et que “faire le tri” dans un tel document de 200 pages mérite un véritable travail d’investigation.

Marc Longo est un concurrent, utilise un vocable très partisan (“scandale”, “mafieux”, “corruptions”, “trahison”, “escroquerie” rien que sur la première page et je ne suis pas exhaustif), à plusieurs affaires qui l’oppose à Qwant. Alors non, ne me demande pas de croire ce qu’il dit simplement parce qu’il le dit.

Je ne porte pas Qwant spécialement dans mon coeur, mais je sais faire la part des choses, et je ne fais pas “youpie” parce que quelqu’un en dit du mal.

Comme je l’ai déjà dit dans mon commentaire initial, tous les éléments sont à reprendre pour vérification car je n’ai aucune confiance en ce personnage et je ne vais pas prendre pour argent comptant ce qu’il dit. 200 pages, désolé, mais je n’ai pas le temps pour tout éplucher..