Le 26/04/2023 à 07h 13

Le mécénat d’entreprises de Presse ouvre droit à une réduction d’impôt égale à 60 % du montant du don (IR ou IS) dans la limite de 5 ‰ du chiffre d’affaires. 20 000 euros de dons ne coûteraient au final que 8 000 euros, grâce aux 12 000 euros de réduction d’impôt.

Petite précision (tiré du lien contenu dans la phrase :

Cependant, le montant des dons retenus pour le calcul de la réduction ne peut pas dépasser, sur un même exercice, un plafond de 20 000 € ou 0,5 %du chiffre d’affaires annuel hors taxe de l’entreprise donatrice si ce dernier montant est plus élevé.

Donc la limite, c’est 5‰ OU 20 000 euros (le max des deux).

Courage en tout cas

PS : je viens de clore mon exercice. Dès que j’ai le bilan, je regarde ce que je peux faire ;)

Le 24/04/2023 à 15h 45

Pour comprendre le fonctionnement de ChatGPT (et assimilés), n’hésitez pas à regarder la vidéo de Science Etonnante : YouTube

Elle est bien faite et très pédagogique.

En gros, pour résumer de manière très succincte : ChatGPT se contente de “deviner” le prochain mot en fonction d’un contexte (les mots précédents). Et il réitère l’opération plus fois, en rajoutant à chaque étape le mot “deviné” précédent.

Le 09/04/2023 à 07h 04

Idem, ne fonctionne pas. Y compris en navigation privée.

A croire qu’il faut d’abord être connecté pour pouvoir accéder au formulaire…

Par contre, chose rigolote, en activant les outils développeurs (pour essayer de passer outre ce bouton désactivé), Facebook affiche un joli message dans la console (et c’est pas con de le faire).

Le 08/04/2023 à 06h 35

Plus sérieusement, ce n’est pas une folie, c’est un investissement : quand je vois le temps que vous me faite gagner dans le cadre de ma veille technologique, ça en valait vachement le coup

Le 07/04/2023 à 16h 30

Merde, je suis battu. Je ne vais “que” jusqu’en 2142

Le 06/04/2023 à 18h 24

Tu dois être comme moi : abonné pour dans tellement longtemps que je serais mort avant que mon abonnement ne prenne fin

Le 03/04/2023 à 09h 00

OB a dit:

Alors moi c’est pas mon cas: Je suis dans aucune RBL connue.

Par contre Microsoft a quand même des RBL internes et non publiques. J’avais remué ciel et terre, “enregistré” mon IP auprès d’eux (il y a un site pour ca). Au final j’avais contacté le support et ils m’avaient débloqué manuellement. 1 an précisement. Au bout d’un an, re-blocage.

J’ai pas refait les démarches. Ya un moment, ca suffit.

Alors au premier contact que j’avoue eu, le support m’avait redirigé vers mxtoolbox pour faire mes vérifications. Tout était vert. Ils m’ont ensuite donné un autre lien, lié à Microsoft, qui faisait état de toutes les listes noires. Et il y en avait certaines qui n’étaient pas référencées par des outils généralistes comme mxtoolbox. Et c’est sur une de ces listes que se trouvaient mon serveur (enfin son IP).

Mais par contre, je confirme que j’avais du batailler pour réussir à avoir l’info, car pas vraiment accessible depuis les différents portails et que si le support ne m’avais pas donné le lien, je ne l’aurais sans doute jamais trouvé.

Mais il y a 6 ans de ça maintenant… c’est loin.

Le 03/04/2023 à 07h 11

OB a dit:

Un exemple réccurent d’un tel opérateur c’est Microsoft, avec ses domaines outlook. et hotmail. : Mes mails depuis mon serveur perso ne passent jamais (pourtant la volumétrie est anectdotique) alors que le même mail depuis gmail passe sans soucis. Parfois (pas tout le temps) ils envoient un bounce , qui dit que le serveur est dans leur propre RBL et qu’on peux rien y faire.

Oui, Microsoft a de grosses exigences, mais si on peut faire quelque chose. Je le sais, ça m’ait arrivé. Alors, je n’ai plus la page en tête, mais tu as des outils pour tester. Et dans mon cas, il se trouve que mon serveur privée était sur une liste noire (une seule, sur près d’une centaine). Ce qui suffisait à Microsoft pour refuser mes mails.

J’ai contacté la liste en question, j’ai fait retiré mon adresse IP, et hop, c’était bon.

Le 27/03/2023 à 17h 54

(quote:2126510:127.0.0.1)
Alors, une question se pose: c’est du 2FA ou pas du 2FA ?

2FA. Car tu oublies de mentionner quelques “détails” :

• l’application, c’est l’application de ta banque. Pas une simple application pour de l’OTP (qui était comme même le sujet initial de la discussion)


• l’application ne peut être installé que sur un seul appareil (plus précisément, la possibilité de validation ne peut être activée que sur un seul appareil) ==> ce que tu as


• l’application demande le mot de passe ==> ce que tu sais.


• ce n’est pas l’application qui valide le paiement, mais la banque


• la banque n’a pas besoin de faire confiance à l’application, elle a besoin des données transmises par l’application.

Tu n’as peut être qu’une seule application, mais pour faire simple, cette application transmet à la fois un certificat ET un mot de passe => 2 facteurs donc 2FA.

Je vois de suite venir le coup du mot de passe qui est le mot de passe local de l’application. Ce n’est pas un problème, car il sert très certainement à déverrouiller un autre facteur derrière, comme le mot de passe pour l’accès à ton compte.

Et ne t’inquiète pas pour les banques. Autant certaines peuvent être laxiste sur certaines choses, autant la dessus, elles sont plutôt carrées. Car la jurisprudence était assez simple avant le déploiement du 2FA : en cas de piratage et si pas de 2FA, la banque était en tord et devait rembourser. Aujourd’hui, avec le 2FA, elles sont sensées rembourser, sauf à prouver une faute de la part du titulaire du compte (et c’est bien à la banque de prouver que le titulaire a été négligent, et non au titulaire de prouver qu’il n’a pas été négligent).

Le 27/03/2023 à 15h 51

(quote:2126503:127.0.0.1)
La définition du 2FA c’est de fournir 2 preuves au mécanisme d’authentification.

On est d’accord.

Rien ne dit que la verif est intégralement et uniquement faite sur le serveur hébergeant la ressource auquel on veut accéder. Il y a parfois de la délégation totale ou partielle de la verif des tiers de confiance.

La partie en gras est extrêmement importante et tu sembles l’oublier lors de l’approche client/serveur. Du point de vue du serveur, le client n’est jamais, jamais, jamais un tiers de confiance.

Oui il est possible de déléguer l’authentification à un service tiers, mais il faut que ce service tiers soit de confiance. Je t’accorde que pour des raisons de simplicité, je ne l’ai pas mentionné dans mon précédent commentaire. Mais le client n’étant pas de confiance, il n’est pas possible de lui déléguer la vérification.

Et puis je fais confiance au marketing pour trouver un terme qui fait croire que c’est aussi bien voir mieux que du 2FA. Genre OCMSFA : One-Click Multi Secured Factor. Et hop.

Sauf quand le 2FA est une obligation légale (cas notamment des banques et des services de paiement)

Le 27/03/2023 à 09h 25

(quote:2126438:127.0.0.1)

Je pense que l’avenir est de répartir le mécanisme entre le client et le serveur. Ce n’est que mon avis, hein. Mais le passé a montré qu’on a tendance a vouloir simplifier les opérations à effectuer coté client, parfois au détriment de la sécurité globale. Genre le paiement sans contact :)

Dans ce cas, ce n’est plus du 2FA. Pour qu’il y ait du 2FA, il faut que le serveur ait 2 mécanismes d’authentification distinct. Il ne peut en être autrement, car le serveur ne peut faire confiance au client. C’est la base de la sécurité ;)

Le 26/03/2023 à 19h 05

(quote:2126376:127.0.0.1)
hmm. Je vois plutôt les choses comme cela:

• ce que l’on sait : la clé privée/publique personnelle de l’utilisateur


• ce que l’on a : l’appareil autorisé à générer le OTP


• ce que l’on est : la vérif biométrique pour utiliser le générateur OTP sur l’appareil autorisé

C’est une définition hautement personnelle qui est loin d’être partagé. L’interprétation courante, que l’on peut retrouver dans un document de l’ANSSI par exemple, c’est :

• facteur de connaissance : « ce que je sais », il s’agit d’une connaissance devant être mémorisée
  telle qu’une phrase de passe, un mot de passe, un code, etc;


• facteur de possession : « ce que je possède », il s’agit d’un élément secret non mémorisable
  contenu dans un objet physique qui idéalement protège cet élément de toute extraction, tel
  qu’une carte à puce, un token, un téléphone, etc;


• facteur inhérent : « ce que je suis », il s’agit d’une caractéristique physique intrinsèquement
  liée à une personne et indissociable de la personne elle-même, telle qu’une caractéristique
  biologique (ADN), morphologique (empreinte digitale, empreinte rétinienne) ou comportementale 4
  (voix, frappe au clavier).

Ce que tu catégorises comme ce que l’on sait (clé privée/publique) est en réalité un ce que l’on a.

Aujourd’hui avec le 2FA traditionnel tu as effectivement un mdp et un OTP. Mais si tu utilises KeePassXC (par exemple), tout est stocké dans KeePassXC. Et les envois des mdp+OTP sont automatisés. Donc il n’y a plus vraiment deux facteurs distinct mais un seul outil qui se charge de tout.

Il ne faut pas mélanger le niveau d’authentification requis pour accéder à un service et sa mise en oeuvre côté utilisateur :

• côté serveur : tu as bien 2 moyens d’authentification, c’est donc bien du 2FA ;


• côté utilisateur : c’est aussi du 2FA, car il faut que tu aies le coffre-fort de KeePass (ce que tu as) et qu’il soit déverrouillé (généralement un ce que tu sais) pour qu’il puisse gérer la saisie du mot de passe / otp.

Ce qui peut être troublant, c’est que les facteurs fournis par l’utilisateur et les facteurs fournis au service ne sont pas forcément les mêmes. Quoi qu’il en soit, c’est bien du 2FA dans chacun des cas, qu’importe que derrière il n’y ait qu’un seul et même outil.

Le 25/03/2023 à 13h 40

(quote:2126304:127.0.0.1)
Problème solutionné en impliquant l’identification biométrique sur le générateur du OTP.

1. si biométrique il y a, alors cela reste du 2FA. Pour rappel, le 2FA, c’est deux méthodes qui mélangent les caractéristiques suivantes :

• ce que l’on sait (mot de passe)


• ce que l’on a (SMS, OTP, mail, etc…)


• ce que l’on est (biométrique)

C’est juste que tu remplaces le ce que l’on sait par ce que l’on est. Mais ça reste du 2FA, car couplé avec “un ce qu’on a”.

Et c’est à considérer que le biométrique est infalsifiable. Ce qui est malheureusement loin d’être le cas :

• l’empreinte vocale : un enregistrement suffit (et les IA peuvent maintenant reproduire une voix avec 3s d’enregistrement)


• le visage : de nombreuses technologies sont out (une simple photo suffit !), d’autres sont plus correct (comme FaceID d’Apple) mais pas toujours efficace (le propriétaire n’est tout simplement pas toujours reconnu, et il y a eu de nombreux problèmes dans certains pays, notamment asiatique)


• empreinte digital : falsifiable aussi depuis un certains temps (et si tu perds un dispositif comme un smartphone, tes empreintes sont dessus !).

Il existe encore d’autres méthodes biométriques, comme la posture lors de la marche, ou la forme du lob de l’oreille ou encore celle de l’iris, mais qui semblent difficilement utilisables pour la sécurisation d’objet comme un smartphone.

1. si tout se fait côté client, tu ne peux pas être certains que le dispositif est configuré pour n’utiliser qu’un OTP lui-même sécurisé par biométrie. La déportation côté client du 2FA, c’est donc comme si tu n’avais qu’une authentification unifactorielle côté serveur.

Le 24/03/2023 à 20h 12

(quote:2126168:127.0.0.1)
Je pense que le 2FA c’est temporaire.

Le second facteur va devenir (est déjà) le véritable élément d’authentification. il est beaucoup plus sécurisé que le password car:

• l’utilisateur s’est enregistré préalablement en fournissant une clé très complexe qui ne sera plus jamais échangé par la suite sur le réseau.


• Le site demande la preuve de détention de la clé, et pas la clé en elle-même.

le premier facteur (mot de passe) n’est qu’une barrière pour éviter que n’importe qui puisse déclencher une demande d’authentification et que le titulaire légitime reçoive des tonnes de SMS.

Dés lors qu’on abandonnera l’envoi des SMS/Messages et qu’on passera aux OTP générés par un programme/appareil, le premier facteur ne servira plus à rien.

Absolument pas. Les deux sont complémentaires. Un élément seul, que ce soit le mot de passe ou bien l’OTP présente des risques :

• mot de passe : en cas de fuite, de compromission, de brute force, de post-it, etc…


• otp : en cas de perte/vol de l’appareil concerné.

Les deux facteurs ont des objectifs différents :

• l’un certifie que la personne qui se connecte est autorisée à le faire ;


• l’autre certifie que la connexion a lieu depuis un appareil autorisé (ou en présence d’un appareil autorisé).

Le 22/03/2023 à 18h 53

Effectivement. Mais bon, quoi qu’il en soit, c’est tellement ubuesque comme idée (unicité des mots de passe), qu’une personne sensée ne ferait jamais une telle idiotie !

Le 22/03/2023 à 16h 47

Attention, un régime avec une pincé de sel identique pour tout le monde n’est pas la même chose qu’un régime sans sel.

Dans le premier cas, une attaque par table arc-en-ciel n’est pas possible (enfin si, mais il faut la construire soi-même, ce qui demande quand même pas mal de temps). Dans le second, il suffit de prendre la première que l’on trouve sur le net.

Pour le premier cas, à noter également que la taille de l’entreprise joue. S’amuser à générer une table arc-en-ciel pour une entreprise de 2 personnes, ce n’est pas très utile. Pour une entreprise de la taille du CERN (plus de 17000 personnes) cela commence à valoir le coup/coût.

Le 22/03/2023 à 15h 22

Je passe le caractère trollesque de l’article avec quelques jours d’avance (bande de coquinoux !!!),
nul besoin d’avoir le mot de passe en clair pour dire qu’il est utilisé par un autre utilisateur. Il faut simplement qu’il soit hashé sans sel (ou un sel commun à tout le monde, ce qui perd un peu de son intérêt mais en présente un quand même).

Irréductibles, les utilisateurs qui se partagent encore des mots de passe vont déchanter : « un message vous informera, par exemple, que tel mot de passe est déjà utilisé par « stefan24 ».

Par contre, ça c’est tellement gros ! En gros, ça donne l’accès du collègue. Bonjour l’usurpation de compte. C’est sympa ça

Le 11/03/2023 à 08h 17

“127.0.0.1 m’a tuer” (sic)

Le 10/03/2023 à 15h 22

(quote:2123630:127.0.0.1)
Ne serait-ce pas génial si vous pouviez écrire du texte par vous même, sans copier/coller du texte trouvé sur un site web ?

“génération ctrl+c / ctrl+v”

Comment on ferait aujourd’hui avec ChatGPT ?

Le 09/03/2023 à 07h 56

Je suis un peu gêné par le titre de la news. Que SNRT News (la source de cette news qui est un journal électronique marocain) publie cette information ne me gêne pas, puisque c’est un changement de reglementation dans un pays étranger qui va avoir un impact économique non négligeable sur un secteur entier dans leur pays.

Qu’on retrouve ici presque mot pour mot le titre me gêne, à croire que la loi a été faite pour pénaliser les entreprises marocaines et que les autres ne sont pas affectées. La loi a été faite pour protéger le consommateur des entreprises de télémarketing. La même règle s’applique pour celles situées en France et hors France, marocaine ou non.

Cette nouvelle règlementation a des impacts similaires pour tous les centre d’appels dont les clients sont majoritairement des clients français. L’origine de la société de télémarketing n’intervient pas.

Le 28/02/2023 à 14h 48

gathor a dit:

Oui les mails ont été envoyés entre hier et ce matin. Et si la personne ne peut pas venir, elle peut aussi inviter à sa place la personne de son choix

Reçu ce matin. Mais comme la news d’hier parlait de mails envoyés dans la journée, j’ai cru qu’on avait été oublié

Le 28/02/2023 à 08h 45

Le 28/02/2023 à 08h 09

Un petit mot concernant la rencontre le 11 mars. Je ne pourrais pas y participer, donc ce n’est même pas pour moi que je dis ça, mais lors des campagnes précédentes, une rencontre aussi était prévue mais n’a pu être tenue pour cause de COVID. Il serait peut être bien d’inviter les “anciens” donateurs aussi non ?

Le 20/02/2023 à 19h 28

On parle toujours de la féminisation de certains domaines (ici le numérique), en oubliant complètement son pendant : la masculinisation d’autres domaines largement féminisé. Au hasard :

• les professeurs : dominé principalement par la gent féminine, la domination est sans conteste si on regarde le primaire


• les infirmiers sont majoritairement… des infirmières


• et j’ai même trouvé un top10 de métiers très féminisé : assistante maternelle, auxiliaire de vie, secrétariat, aide soignant, secrétaire comptable, etc… avec des taux de… 97% pour certains d’entre eux !

C’est pourtant un aspect essentiel, que pourtant je ne vois jamais abordé sur cette thématique de la diversification.

L’origine de ce manque de diversité est précoce, puisque c’est souvent bien jeune que l’on décide le domaine dans lequel nous souhaiterions travailler plus tard (la santé, l’humain, le numérique, les sciences, etc…).

N’aborder que l’aspect de la féminisation du numérique, c’est ne traiter qu’un “symptôme” avec des effets secondaires qui peuvent être catastrophique (au lieu de s’intéresser réellement aux causes de cette situation) :

• être une femme et être engagée à cause de quota, c’est être engagée pour ses compétences ou parce qu’on est une femme ? J’ai eu une collègue qui s’est posée la question et qui a très mal vécu cette phase


• à une époque où on veut une égalité de traitement entre individus (qu’importe le genre, la religion, etc…), on introduit des inégalités (quotas) pour avoir avoir une égalité “mathématique” (50% de femmes) alors que l’origine de cette disparité est un déséquilibre au niveau des candidats (il y a plus d’hommes que de femmes). Suis-je le seul à trouver cela paradoxal ?

Je pense même, mais là je ne suis pas sociologue donc je peux me tromper, que le déséquilibre homme/femme au niveau des professeurs des écoles peut induire inconsciemment en nous et très tôt l’idée qu’il y a des domaines plus féminin que masculin (et donc d’autres plus masculin que féminin). En effet, est-ce un hasard si aujourd’hui, les métiers essentiellement au service des autres (éducation, santé, …, cf. le top 10 du début du commentaire) sont essentiellement féminisé, alors que très tôt, on est majoritairement pris en charge par des femmes dans le milieu scolaire ?

Le 01/02/2023 à 23h 01

(reply:2118133:Oby-Moine)

C’est aussi ce que je fais. Je rajoute aussi une date de validité.

Non seulement, cela permet de repérer la source d’une fuite, mais en plus, cela permet d’engager la responsabilité de celui qui accepte la pièce. Si j’ai SOFINCO qui accepte une pièce d’identité marquée pour usage exclusif de SFR et “périmée” depuis 2 ans, perso, je n’hésiterai pas à attaquer le conseiller pour faute professionnelle lourde

Le 01/02/2023 à 10h 10

numerid a dit:

Il y a des paquets pour Linux :

Pour enfoncer le clou, la fiche Wikipedia où il est noté que cela existe pour Linux et autres OS.

Pourtant, il a totalement raison : la version officielle de KeePass n’existe que pour Windows.

Les autres versions sont des versions communautaires, des forks ou des alternatives. Cela ne veut donc pas dire qu’elles n’existent pas (la preuve), et qu’elles ne sont pas mentionné sur le site officiel non plus.

Dans ce genre de situation (faille de sécurité), il est indispensable de se référer exactement au logiciel. Un report d’une faille sous Linux par exemple n’aurait guère de sens puisque l’application n’est pas officiellement supportée sur cette plateforme.

Et il est très important de bien séparer les choses, car si KeePass souffre effectivement de cette faille, ce n’est pas le cas de toutes les versions, comme KeePassXC, qui n’a pas de greffon.

Le 30/01/2023 à 14h 55

Mihashi a dit:

Sous chrome, il ne me demande rien du tout, les mots de passe sont accessibles directement en clair. Mais je ne suis pas sous windows.

[Mode troll ON]
Bon ben Linux (ou Mac, je ne sais pas sous quoi tu es :p), c’est troué. Windows est plus sécurisé
[/Mode troll ON]

Le 30/01/2023 à 14h 29

Sous Chrome, je n’ai rien fait, et je dois pourtant saisir le nom d’utilisateur et le mot de passe de ma session Windows. Donc non, ce n’est pas pareil ;)

Le 30/01/2023 à 14h 11

Je viens de vérifier, et c’est configurable. Il faut aller dans les options et activer l’utilisation d’un mot de passe principal.

Et je viens de trouver dans la documentation la ligne suivante :

Using a master password is not selected by default; you will need to set one in the Password Manager…

Traduction :

L’utilisation d’un mot de passe principal n’est pas activé par défaut. Vous devez en renseigner un dans le Gestionnaire de Mot de Passe…

Voilà, donc tout est dit : par défaut, Firefox n’est pas du tout sécurisé pour la gestion des mots de passe.

Le 30/01/2023 à 14h 05

Mihashi a dit:

Sur PC, Firefox demande le mot de passe principal une seule fois par session pour l’utilisation d’un mot de passe ou l’affichage la liste des identifiants enregistrés. Mais pour avoir accès aux mots de passe en clair dans la liste des identifiants enregistrés, il demande le mot de passe principal à chaque fois.

Je peux confirmer que non. Sur mon poste, ce n’est absolument pas le cas. Il ne demande absolument aucun mot de passe, même après avoir redémarré l’ordinateur.

Idem pour l’ordinateur de mes parents, où j’ai malheureusement dû aller voir les mots de passe suite au décès de mon papa, pour accéder à différents services.

Je ne dis pas que ce n’est pas possible de configurer Firefox pour avoir un mot de passe pour accéder à cette fonctionnalité. Je constate juste que ce n’est pas le cas par défaut.

Le 30/01/2023 à 12h 49

Ce n’est plus le cas, dans Firefox il taper son mot de passe de la session windows pour afficher les mots de passe stocké.

Ce n’est pas le comportement que j’ai. Aucun mot de passe de demandé sous Firefox, mais sous Chrome oui.

Pour l’audit de KeePass, oui, cela a été audité et certifié par l’ANSSI en 2011, pour la version 2.10 Portable. L’audit ne concerne que cette version spécifique, et je ne sais pas si cette version dispose des plugins et triggers en cause dans l’affaire.

Le 30/01/2023 à 10h 58

Je comprends la position de l’auteur. Ce n’est pas un bogue (pas une erreur de codage). Il faut un accès à la machine, avec un compte.

A ce niveau là, autant crier à la faille de sécu taille XXL pour Firefox par exemple, et sa fonctionnalité de stockage des identifiants et mot de passe : il n’y a même pas besoin d’attendre l’interaction d’un utilisateur ni de fichier de configuration à modifier, il suffit d’aller dans les paramètres pour voir les couples identifiants / mot de passe ! Chrome a au moins le mérite de redemander le mot de passe de l’utilisateur de la session.

Pour en revenir à l’auteur de KeePass, même si ce n’est pas sa faute, afficher une volonté et proposer un mécanisme pour permettre de bloquer ce type d’attaque ne ferait que renforcer l’image du logiciel…

Le 28/01/2023 à 08h 39

fred42 a dit:

Je ne dis pas que l’on ne peut pas avoir de femme compétente à ce poste, mais seulement que quand le genre est un critère impératif, on perd la moitié des candidats possibles et quand celle qui seraient compétentes refusent le poste, il ne reste que les médiocres.

On perd malheureusement plus que la moitié des candidats. La parité homme/femme n’est pas présente dans de nombreux domaines, et la politique n’échappe pas à ce fait.

Le 25/01/2023 à 16h 51

Bienvenue à Mathilde :) Et merci pour tes articles.

Et pour réagir à son tweet sur la sortie prochaine de son livre

Les femmes sont absentes de l’Histoire du numérique

Les femmes sont absentes de l’Histoire récente du numérique. Car au début, elles étaient beaucoup plus présentes qu’aujourd’hui. A commencer par Ada Lovelace, le premier programmeur qui était donc… une programmeuse !

Les femmes étaient aussi très présentes, si je ne dis pas de bêtise, au début de l’informatique, quand les ordinateurs prenaient une pièce entière, à l’époque des cartes perforées, etc…

En tout cas, j’ai hâte de lire le livre. Moi qui suit friand de l’impact du numérique en général (sur la société, l’éducation, l’écologie, etc…).

Et pour le magazine, j’ai hâte de le lire ! :)

Par contre, contrairement aux autres fois, je n’ai pas reçu de mail m’invitant à vérifier mon adresse postal. Est-ce normal ?

Le 26/01/2023 à 07h 10

Merci beaucoup pour vos témoignages il n’est pas impossible que je me laisse tenter la prochaine fois alors…

Le 25/01/2023 à 14h 24

J’avoue que j’ai hésité à prendre un fairphone il y a quelques années lors du remplacement de mon téléphone portable. En lisant les forums pour avoir des retours, beaucoup de retours négatifs même si je sais qu’on a plus tendance à dire quand les choses ne vont que quand elles vont.

Le prix plus élevé n’est pas un critère bloquant pour moi. De mon point de vue, c’est un investissement et la promesse d’une réparation plus facile et d’une durée de vie plus longue font qu’il est peut être plus cher à l’achat au départ, mais revient moins cher je pense sur le long terme.

Non, ce qui m’a bloqué, ce sont les points suivants :

• beaucoup avait des problèmes de communications (mauvaise qualité et/ou coupure net de la conversation)


• pénurie de pièces (difficile de réparer sans !)

Le premier point, dans un contexte professionnel, était totalement bloquant.

Il y avait d’autres points, comme la qualité médiocre de l’appareil photo (a priori, c’est plus un problème logiciel que matériel) ou la faible tenue de la batterie, mais ceux là étaient vraiment secondaires et pas bloquant pour mon usage.

C’était avant COVID. Les choses ont peut être (surement même !) changées.

Du coup, si certains ont sauté le pas, je serai curieux d’avoir des retours d’expérience. Je suis toujours le projet de loin, et je sais que quand je vais changer de téléphone, je risque d’y jeter un oeil à nouveau :)

Le 21/01/2023 à 16h 58

(quote:2115923:::1)

\=> discours 100% politique. vers 2015, j’ai appris que la CNIL, c’est une dizaine de personne. Quatorze à l’époque je crois. Moins que la PME dans laquelle je bossais.

Il faut arrêter de raconter n’importe quoi. La CNIL en 2015, c’est 189 ETP (équivalent temps plein). 262 en 2022 et les effectifs sont en hausse depuis ³⁄₄ ans.

Et vous croyez qu’ils vont s’amuser à botter le train de toutes les enseignes commerciales, grands groupes ou pas, pour une question de mdp?

C’est aussi pour ça que la CNIL a condamné 2 médecins libéraux en 2020. La CNIL se fout de la taille des entités. Elle va s’en doute prioriser les contrôles lorsque plusieurs plaintes concernent la même entité, mais croire qu’être petit suffit pour passer à côté c’est se tromper lourdement.

Il ne faut pas oublier que toutes les décisions de la CNIL (je parle des amendes) ne sont pas publique.

Le 21/01/2023 à 07h 39

TexMex a dit:

J’ai utilisé Keypass un moment. Et sa seigneurie a décrété que c’était naze. Mais bien bien naze.

Je suis passé sur EnPass. Ça marche partout. windows / Linux / android. Pour moi c’est point final. Y’a une version free et option payante pour plus de confort. Je l’ai même acheté en lifetime (c’est dire pour un Tex).

D’accord donc rien à voir avec des failles ou des problèmes de sécurités. C’est juste une préférence personnelle…

Le 20/01/2023 à 13h 47

(reply:2115744:War Machine)

Ca fait plusieurs commentaires que je vois mentionnant un souci avec Keepass. J’ai du rater une actualité. Il se passe quoi exactement ? Car une recherche rapide ne me montre rien…

J’en été resté aux problèmes avec LastPass pour ma part. Ou alors c’est une confusion KeePass / LastPass ?

Merci

Le 20/01/2023 à 10h 14

BlueSquirrel a dit:

Par contre la CNIL considère que c’est illégal si le mdp n’est pas temporaire (cf sa décision Carrefour de mémoire) : Son raisonnement est que ce n’est pas forcément l’utilisateur légitime qui va accéder à l’email, que ça permet donc éventuellement à un tiers d’en prendre connaissance, d’accéder au compte associé et aux données à caractère personnel qu’il contient (donc violation du RGPD).

Sans compter le risque pour les usagers, en particulier ceux ayant tendance à réutiliser le même mot de passe.

Si le mot de passe est accessible (qu’il soit en clair ou chiffré), alors un employé malveillant pourrait facilement exploiter cela, et accéder à d’autres services de nombreux de ses utilisateurs, lui faisant courir un risque accru d’usurpation et de vols d’informations.

Le 20/01/2023 à 10h 04

shadowfox a dit:

Ce genre d’histoire est d’une banalité, et le pire c’est qu’en tant de dev, on n’a pas toujours son mot à dire. :(

Ca dépend du statut du dev. Si c’est salarié dans la boite, effectivement, pas grand chose à faire à part faire remonter l’information.

Si c’est dev dans une ESN, il faut faire remonter l’information, pour que l’ESN puisse se protéger au cas où (elle a bien fait son devoir de conseil et que le client la décharge de toute responsabilité).

En tant que dev freelance (mon cas) : je refuse. Point. Quitte à perdre un client. Je n’ai même pas envie de me prendre la tête avec une décharge de responsabilité. En effet, si le client refuse de suivre les recommandations fortes et urgentes d’un expert quel qu’il soit, alors je sais par avance que de toute façon, j’aurais d’autres soucis avec lui plus tard.

Le 09/01/2023 à 13h 09

Ce n’est pas vraiment ce que j’ai compris de son message. Dans son message initial, il parle de trier par ordre alphabétique les données directement identifiantes (nom, prénom, date de naissance, …) et de supprimer les colonnes de données personnelles (numéro de téléphone, e-mail, etc…).

Il ne parle absolument pas de mélanger toutes les colonnes.

De plus, si le mélange d’une colonne conserve certaines propriétés de la colonne individuellement, cela m’étonnerait que cela soit suffisant. Ce n’est pas pour rien que le formateur avait besoin de données réalistes. Il sera absolument impossible de faire des statistiques plus avancées.

Mais on s’éloigne du sujet. Ce qu’il faut retenir, c’est que réaliser l’anonymisation d’un jeu de données, c’est une tâche bien plus compliquée qu’il n’y parait, et qu’il ne suffit pas de supprimer quelques colonnes et de randomiser les nom/prénom/date de naissance.

Le 09/01/2023 à 10h 25

Si c’est possible, oui, c’est ce qu’il faut faire :)

Maintenant, dans le cadre de la CAF, je ne sais pas, puisque des données initiales dépendent les décisions (droits ou pas à tel aide, quel montant, etc…). Générer aléatoirement des données qui doivent être corrélées, c’est très compliquées aussi !

Le 09/01/2023 à 07h 51

Il faut évidemment trier indépendamment toutes les colonnes par ordre alphabétique, et la c’est parfait ! il sera impossible de retrouver quoi que ce soit.

Non. Tu pourrais supprimer les colonnes nom, prénom, adresse, etc… qu’il serait possible de réidentifier les gens sur la base de la composition du foyer, du revenus, etc… 180 critères, ça en fait du choix ! La CNIL avait publié un article au sujet de l’anonymisation.

Croire que supprimer les données directement identifiantes et les valeurs rare (comme les adresses) suffit pour anonymiser, c’est se tromper lourdement.

Le CEPD a établie un avis, légitimement repris par la CNIL, annonçant 3 critères pour s’assurer du caractère anonyme d’un jeu de données :

• la non-individualisation : il ne doit pas être possible d’isoler un individu dans le jeu de données


• la non-corrélation : il ne doit pas être possible de relier entre eux des ensembles de données distincts concernant un même individu


• la non-inférence: il ne doit pas être possible de déduire de façon quasi certaine de nouvelles informations sur un individu

La non-individualisation n’est clairement pas respecté ici. La non-corrélation ne l’est pas non plus. Un foyer de 4 personnes habitant en Gironde touchant 3287,18€ par mois, ça doit limiter fortement le nombre de “candidats”. Rajoute un critère ou deux (il en reste plus de 170 !!) et le tour est joué.

Donc non, il ne suffit pas de randomiser les données identifiantes pour rendre anonyme un jeu de données. C’est une opération très complexe pour la réaliser correctement.

Le 08/01/2023 à 20h 01

fofo9012 a dit:

Un simple tri des colonnes dans Excel suffit à pseudo anonymiser en mélangeant nom / prénom / date de naissance…

il reste ensuite à virer les colonnes perso (téléphone, no de sécu, email…) bref c’est quand même pas trés compliqué, prend disons 30min, et 10k entrées dans excel c’est absolument quedal !

Non, cela reste de la pseudonymisation, pas de l’anonymisation. Avec des données comme la composition du foyer, les revenus, etc… il est tout à fait possible de remonter aux informations de la personne en croisant avec d’autres données.

L’anonymisation est très difficile à obtenir. Il faut noyer les données, par exemple en les agrégeants ou en les “arrondissants” (par exemple, en définissant des tranches pour les revenus, pour les âges, etc…). La simple suppression n’est absolument pas suffisante dans la grande majorité des cas.

Le 04/01/2023 à 14h 58

fred42 a dit:

C’est à la Commission d’enrichissement de la langue française qu’il faut dire que tu n’es pas d’accord.

Synonyme ne veut pas dire que c’est exactement la même chose. C’est un terme à la signification proche, mais avec des nuances plus ou moins prononcées ;)

Mais relis la définition du mot avant de faire ta remarque : Au fig. Accusation sévère et publique, flétrissure morale portée à l’encontre d’une personne, de ses actes, de sa conduite. Ça me paraît assez bien convenir.

Justement, dans la définition, rien n’indique le côté répréhensible (= non conforme à la loi). On parle :

• d’accusation (mais accusation n’est pas preuve d’une culpabilité quelconque, surtout dans notre société où nous avons la présomption d’innocence)


• de flétrissure morale sur une personne, de ses actes ou de sa conduite (cela rejoint ce que je disais, sauf que j’ai utilisé le terme de critère). Sachant qu’en plus, la morale, nous avons chacun la notre.

“Mettre au pilori” se fait après une condamnation (et donc un jugement) par une autorité légale. C’est une sanction.

La mise au pilori (aspect légal) me semble donc beaucoup plus approprié que la stigmatisation (aspect moral) surtout dans le contexte qui nous occupe ici.

Le 04/01/2023 à 14h 24

fred42 a dit:

Mise au pilori. Ça a déjà été cité 2 fois et c’est bien indiqué ici que c’est équivalent. On y trouve aussi stigmatisation.

Pas vraiment d’accord pour stigmatisation. La stigmatisation, c’est sur la base d’un critère (sexe, age, religion, etc…) pas sur un élément répréhensible.

La mise au pilori dénote beaucoup plus d’une sanction à la suite d’un acte répréhensible.

Le 30/12/2022 à 19h 55

dylem29 a dit:

Mes lampes Hue ou mes capteurs Eve, je penses pas qu’ils aient d’IP, contrairement au pont, à mon Homepod Mini, ou à ma station Netatmo.

Assez simple à voir. Il suffit de se connecter à la box et de voir quels sont les périphériques rattachés. On peut parfois avoir des surprises !

Le 24/12/2022 à 15h 19

Je ne sais pas ce qui est le plus inquiétant : avoir vu qu’il ne fallait pas cliquer, ou reconnaitre le lien AVANT même d’avoir cliqué ?

Le 19/12/2022 à 07h 39

Encore plus court que l’ASCII art : les caractères unicodes. 🖕 (U+1F595)