Le 17/12/2022 à 18h 26

BlueSquirrel a dit:

Mais le contenu du message est toujours là ? Il est également une DCP.

Attention, un commentaire ou un message n’est pas nécessairement une données à caractère personnel (ce n’est pas forcément identifiant, même de manière indirect). Mais cela peut l’être ou en contenir.

Par contre, les commentaires sont régis par d’autres droits, notamment le droit d’auteur.

Le 15/12/2022 à 19h 36

aeris22 a dit:

Encore une fois : non.

Bon, je vais m’arrêter là, car il semblerait que nous ne nous comprenions pas du tout (et que j’ai l’impression que l’on tourne en rond).

A t’entendre, il n’y a qu’une base légale : le consentement. Ce qui est bien loin de la réalité. Si je suis d’accord qu’il ne faut pas faire n’importe quoi avec les bases légales, et qu’on ne peut pas tout passer via l’intérêt légitime ou via les contrats, il est très dogmatique de dire qu’ils sont tellement restrictif qu’ils en sont inutilisables en pratique.

Une entreprise pré-RGPD, avec un business construit avant l’arrivée du RGPD se retrouve souvent bien enquiquinée car, comme tu le soulignes, le RGPD s’intéresse au service et non au business, et que l’entreprise essaie donc de se mettre en conformité en ne changeant rien et en mettant en place son registre des traitements (un peu caricatural, mais c’est ce que je constate autour de moi, enfin pour les entreprises qui s’intéressent un temps soit peu au RGPD).

Une entreprise post-RGPD qui construit son business en suivant les principes mis en avant par le RGPD s’en sort très bien et n’a pas de souci particulier pour user d’une base légale autre que le consentement.

Tu peux énoncer des contre-vérités à tout va, le fait de les répéter ne changera absolument pas la donne. Par exemple, le RGPD n’impose pas le consentement pour le suivi marketing. Il impose des mesures adaptées et proportionnées. Ce qui est extrêmement différent.

Il suffit de regarder, par exemple, la gestion des cookies, où la CNIL précise les mesures à prendre afin d’éviter de devoir demander le consentement et de pouvoir se baser sur une autre base comme l’intérêt légitime.

Non. Son boulot est d’homogénéiser l’ensemble des décisions des 27 APD et aucune APD ne peut traiter un dossier sans consulter EDPB avant. Tout décision, ligne directrice, avis ou sanction d’une APD est rendue exclusivement après consultation de l’ensemble des 26 autres APD.

Tu démontres clairement la méconnaissance du fonctionnement de l’institution. Une APD peut traiter des dossiers sans avoir à consulter le CEPD avant. Et heureusement !! Sinon, pour toute décision concernant le plombier du coin il faudrait la consultation des 26 autres APD ? Heureusement que ce n’est pas ce qui est mis en place…

Le but du CEPD est, entre autres, de gérer les cas transfrontaliers (en désignant l’APD tête de file si besoin est) et les problèmes (en cas de désaccord entre APD) avec le pouvoir, dans ces cas précis, de donner des décisions contraignantes.

Par contre, certaines décisions des APD sont soumises à consultation effectivement (par ex. modification de la liste des traitements nécessitant une analyse d’impact).

Le 15/12/2022 à 15h 37

aeris22 a dit:

Non. Correction, les gens voudraient qu’elles cochent beaucoup de cases. Les GL sur le sujet sont très claires : ce qui est couvert par cette base légale doit être extrêmement limité (considérant 27 & 28 page 10 des GL ²⁄₂₀₁₉).

Depuis le début, je fais bien le distinguo entre le traitement “primaire” (ou objectivement nécessaire pour reprendre la terminologie du document), c’est-à-dire celui nécessaire à l’exécution d’un contrat, et les traitements “secondaires”. C’est exactement ce que les considérants disent.

Autrement dit, quand tu prends le soin de minimiser les données et les traitements, l’usage de la base contractuel couvre un large panel de cas d’utilisation, sans avoir besoin de recourir au consentement.

Voilà, donc quand tu fais correctement le boulot, et j’entends par là que tu réfléchis véritablement aux données que tu collectes dans le cadre de la fourniture d’un service et autres traitements que tu effectues, tu t’en sors très bien, car c’est justement “objectivement nécessaire”. Et c’est justement un des objectifs du RGPD : faire prendre conscience aux responsables de traitement des traitements réalisés et des données collectées.

Non, mais que si tu t’es planté de base légale au départ, tu es en non conformité. Même si tu aurais pu te placer sous une autre base pour effectuer légalement la finalité.

Là dessus, on est d’accord ;)

L’avis de 2014 a le même poids légal que celui de 2019. D’ailleurs il est cité en référence dedans (note 26 de bas de page 16) et ses idées sont reprises textuellement. Tant que ces GL WP29 (nouvellement EDPB) pré 2016 ne sont pas abrogées par EDPB (anciennement WP29), elles ont légalement le même effet que celles émises par EDPB post 2016.

Non, non non et renon. L’avis que tu cites (celui de 2014) concerne la directive 95/46/CE qui a été abrogée le 25 mai 2018 par la mise en application du RGPD. Ce document n’a donc plus aucune valeur “légal” aujourd’hui. Cela n’empêche pas qu’une partie de son contenu puisse être repris dans d’autres avis ultérieurs au RGPD.

Tu as mal compris. EDPB est comme la CNIL, un organe de droit souple. Ils ne peuvent pas légalement émettre d’avis « contraignant » au sens réglementaire (et se font sanctionner s’ils le font, comme la CNIL au Conseil d’État pour l’interdiction des cookie wall).

EDPB est au dessus de la CNIL (de toutes les CNILs en fait) et est là pour gérer les cas transfrontaliers et les problèmes. Elles émets des avis sur des cas spécifiques qui ont valeur jurisprudentiel afin d’harmoniser les interprétations au niveau européen lorsqu’elle est saisie (soit par elle-même, soit par une autorité).

Son rôle est aussi de publier des lignes directrices, des recommandations et des bonnes pratiques. Mais cela reste des recommandations et non des exigences. C’est très important car cela signifie que le non respect des guides n’est pas directement sanctionnable. C’est donc très différent d’un avis contraignant.

Le 15/12/2022 à 11h 06

aeris22 a dit:

Si justement. Non seulement tu dois minimiser, mais en plus tu dois avoir la bonne base légale. Si tu as minimisé sous le régime de l’intérêt légitime ou du contrat mais qu’une APD requalifie ça en consentement parce que ni 6(1)f ni 6(1)b n’étaient possible, ton traitement n’en reste pas moins tout autant non conforme et illicite.

Beaucoup de si…. Mon propos, c’est juste pour dire que, contrairement à ce que tu affirmes, les bases contractuelles remplissent beaucoup de cases. Le problème, et tu l’as d’ailleurs soulevé dans ton commentaire précédent, c’est que certains essaient de faire rentrer de force de nombreux traitements là-dedans (notamment, ceux que j’ai qualifié de traitements annexes).

Mais il y a une différence majeur entre dire qu’une base est quasiment inutilisable et qu’il ne reste que le consentement, et ce planter largement dans la démarche de choix de la base légale.

Encore une fois non justement. Beaucoup trop de finalités sont placées sous ces bases légales alors qu’elles peuvent et ne devraient qu’exclusivement relever du strict consentement et sont donc de facto illicites.

Un mauvais choix de base légal pour un traitement en particulier ne signifie pas que les bases légales autres que le consentement sont inutilisables en général.

Oui, il y a des gros soucis, je te le concède volontiers, car beaucoup ont voulu garder exactement les mêmes traitements AVANT rgpd et APRES. Mais si tu prends le temps de faire les choses correctement, de réfléchir aux données collectées, au pourquoi, aux traitements, etc… Beaucoup de traitement sont éligibles aux bases contractuelles.

Il faudrait que je retrouve la condamnation en question, mais un mauvais choix de base légale, ça veut possiblement dire une condamnation à devoir effacer l’intégralité des données collectées (oui, parce qu’on ne peut pas changer de base légale en court de route). Et ceci même si elles étaient minimisées. C’est TRÈS con quand c’est l’intégralité de ta base client :)

Effectivement, je me souviens d’avoir vu passer un truc dans le genre. Et oui, c’est normal. Maintenant, même si la base légale est erronée, l’intégralité des données n’est pas forcément à supprimer.

Pour reprendre ton exemple, si tu as des clients, tu as des factures. Tu as des obligations légales de conservation de données par rapport à cela ;) Mais toutes données non nécessaires à l’exécution de prestations en cours ou au respect d’obligations légales sont à supprimer (c’était ce qui ressortait du cas que j’avais vu).

La minimisation serait en fait même violée, parce que sous la base du consentement, les données n’auraient juste pas du/pu du tout être collectées (et on fait difficilement plus minimal que pas de données du tout).

Là, tu commences à partir dans des cas trop spécifiques, sans même les expliciter, pour pouvoir tenir un discours générique.

Ce sont des avis contraignants de WP29 aka EDPB, qu’ils retranscrivent régulièrement en version moderne. L’avis de 2014 a autant d’effets juridiques que celui de 2019 donc.

Là dessus, je ne suis absolument pas d’accord. Un avis de 2014 n’a pas autant d’effets juridiques alors que celui-ci a été remis à plat depuis. Il peut émettre des avis, mais pas des avis contraignants.

Par contre, il peut émettre des décisions contraignantes, dans le cas d’affaires en particulier, par exemple, lorsqu’il y a mésentente entre différentes autorités nationales. Ou alors j’ai mal compris son rôle.

Le 15/12/2022 à 08h 45

aeris22 a dit:

GuideLines, en l’occurence https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_fr.pdf pour le 6(1)b « nécessaire au contrat » et https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_fr.pdf pour 6(1)f « intérêt légitime »

Voilà, maintenant, je sais à quoi tu fais référence. Merci :)

Attention quand même, l’un des documents n’est qu’un avis de 2014, soit 2 ans AVANT l’adoption du RGPD, et 4 ans avant sa mise en application !

Je parle de fraude au sens général du terme, ça inclut aussi par exemple les portiques de sécurité de la RATP qui ne peuvent pas être couverts par « nécessaire au contrat » (tu peux parfaitement les supprimer sans compromettre le service « je paie pour que tu me transportes de A à B »). Et la RATP ne peut pas non plus le mettre sous l’intérêt légitime parce que la CNIL a dit que les pass nominatifs étaient non proportionnés à l’objectif visé.

Je n’ai rien trouvé de récent à ce sujet, seulement des trucs qui datent de 2009. Et là, le reproche de la CNIL n’est pas tant les pass nominatifs que la collecte, aux portiques, d’un horodatage associé au numéro du portique (donc le lieu) et au numéro d’abonné (donc la personne).

La CNIL relevait effectivement, déjà à l’époque, que les voyageurs avaient le droit de voyager anonymement, et regrettait que la version “anonyme” (= sans collecte) soit plus cher (par ex. en cas de perte, il fallait payer). Mais c’est cette collecte que la CNIL jugeait disproportionnée à l’époque, et non le pass nominatif en lui-même.

Et dans ce genre de situations, la CNIL relève généralement l’existence de mesures alternatives et moins intrusives pour motiver sa décision.

Beaucoup de choses que tu considères comme pouvant relever du 6(1)b ou du 6(1)f ne peuvent en fait pas les utiliser (lire pages 9 et suivantes des GL ²⁄₂₀₁₉) et seul le consentement reste valide.

Dès lors qu’on respecte le principe de minimisation de la collecte des données, c’est-à-dire collecter uniquement ce dont on a besoin, ce n’est vraiment pas un souci.

Je pense qu’au global on est plutôt d’accord, juste qu’on ne part pas forcément sur la même base pour les traitements. Dans le cadre de mon boulot, j’insiste bien sur la minimisation auprès de mes clients, j’ai parfois fait supprimer des informations qui n’apportaient absolument rien (comme la profession d’un patient) et qui souvent, n’étaient que très très peu utilisées., voire la suppression pure et simple de certains traitements.

Mais comme tu le dis si bien :

personne ne veut avoir à gérer du consentement et donc plutôt que de virer le traitement, ils le font rentrer aux forceps dans contrat ou intérêt légitime…

Je suis entièrement d’accord avec ça. il ne faut pas faire n’importe quoi. Mais en faisant les choses correctement, contrat, intérêt légitime et obligation légale remplissent très bien leur rôle dans beaucoup de cas.

Pas vraiment. EDPB a bien indiqué dans GL ²⁄₂₀₁₉ considérant 50 que la « lutte contre la fraude » (au sens large, pas que bancaire) ne pouvait pas relever du contrat mais uniquement de l’intérêt légitime. Et que l’intérêt légitime devait être nécessaire et proportionné en plus d’être légitime.

Sans oublier ceci :

En outre, l’article 6, paragraphe 1, point c) (obligation légale), pourrait également fournir une base juridique pour un tel traitement de données.

;)

Le 14/12/2022 à 21h 58

Jean_G a dit:

Je vais juste repréciser le but de mon petit papier : il est question de préciser quoi faire dans le cadre du RGPD, pour un développement informatique, et pas comment faire, car il faudrait une encyclopédie pour faire le tour du sujet. Après cela, nos lecteurs peuvent partager leurs avis et expériences, les commentaires sont faits pour ça et sont les bienvenus !

Merci pour la précision. J’ai été induis en erreur par l’introduction…

mais nous allons prendre aujourd’hui la posture d’un développeur (professionnel) qui peut encore se demander ce qu’il est tenu de faire pour respecter la règlementation.

aeris22 a dit:

Tu devrais relire les GL sur l’intérêt légitime et l’obligation contractuelle. Tu serais très surpris…

Qu’appelles tu GL ?

La lutte contre la fraude bancaire ? Ni nécessaire au contrat (tu peux rendre le service sans, c’est juste que tu prends un risque) ni intérêt légitime (les scores réalisés nécessitent des violations de vie privée non proportionnés aux risques), consentement obligatoire… 🤣 Pas obligation légale parce que ce sont des obligations (PCI-DSS) d’organismes privés (GIE-CB ou autres) et non des textes réglementaires (seul LCB-FT l’est).

J’ai l’impression que tu parles d’expériences dans le domaine bancaire. Certains groupes bancaires sont connus pour faire du zèle dans le traitement des données au nom de la lutte contre la fraude bancaire. Comme tu le soulignes, l’intérêt légitime est tout à fait utilisable, à la condition que les atteintes à la vie privé soient proportionnées (ce qui n’est souvent pas le cas).

Après, comme tu le soulignes, il y a aussi des obligations légales. Tu cites le LCB-FT. Si tu fais ce qui est demandé au niveau de la loi, tu n’as absolument aucun souci pour légitimer ta base légale. Je connais beaucoup plus le domaine de la santé que le domaine bancaire. Et les bases utilisées sont soit le contrat, soit l’obligation légale, soit l’intérêt général (sauvegarde du patient). Si tu ne t’écartes pas de ce que tu dois faire (par obligation légale ou contrat), il n’y a aucune difficulté à justifier un traitement.

Les cas réellement obligation légales, contrat ou intérêt légitimes sont BEAUCOUP plus rares que tu ne le penses en pratique.

J’ai surtout l’impression que tu imagines de nombreux traitements (ex: lutte contre la fraude bancaire) à la marge d’un traitement de base (ex: fournir un compte en banque)

Le 14/12/2022 à 16h 55

aeris22 a dit:

En fait si quand même.

Pas du tout d’accord. Juridiquement, une exception est très différente d’une base légale.

Une exception n’est pas opposable (ex. la copie privée n’est pas opposable aux mesures de protection anti-copie, car c’est une exception et n’est pas consacré dans la loi).

Le RGPD parle bien de base légal. Et non pas de consentement avec des exceptions dans 5 cas particuliers. Dans certains cas, il n’y a souvent que le consentement qui est valide (par ex. un site internet sur lequel il n’est pas nécessaire de s’inscrire), mais dans beaucoup de traitements, les obligations légales ou une base contractuelle sont largement exploitable.

La seule base que je déconseille fortement, c’est l’intérêt légitime. C’est la seule qui est subjective et soumise à interprétation, et elle peut facilement être retoquée. Et en cas de désaccord avec la CNIL, on sait d’avance que c’est la CNIL qui aura raison

Le 14/12/2022 à 14h 57

Ca tombe bien, je suis développeur

Sans remettre en cause le détail de l’article (qui est somme toute très clair) et le travail de fond, je vais être très critique, mais de manière constructive.

Déjà, présenter le consentement comme obligatoire avec 5 exceptions n’est pas vraiment juste. Le RGPD ne met absolument pas en avant une des bases légales pour légitimer un traitement. Il existe 6 bases légales, dont le consentement. C’est quand même très différent d’un régime à base d’exception tel que présenté dans l’article.

L’article manque cruellement de détails pour les développeurs, cible pourtant annoncé en début d’article. Comment gérer la sécurisation des données ?

• sécurisation contre la perte : redondance, stockage 3-2-1 pour les backups, etc…


• sécurisation contre les accès : traçabilité des accès, chiffrement, algorithmes valides et désués, etc… ça manque !


• sécurisation via chiffrement : qu’est-ce qui doit l’être ? Le transport et/ou le stockage ? La réponse idéale étant les deux !


• la CNIL a prononcé récemment plusieurs sanction lié à la gestion des mots de passe : un rappel des règles de bonnes pratiques serait un plus (hash, sel, poivre, …)

Le PIA (ou AIPD pour nous francophone, sachant PIA est aussi le nom d’un outil mis à disposition par la CNIL). Comme pour la base légale, je trouve que cela manque de précision. Le PIA n’est obligatoire que dans certains cas :

• le traitement fait partie d’une liste spécifique pour lequel un PIA est obligatoire


• le traitement coche au moins 2 de 9 critères (cf. le site de la CNIL ET n’est pas sur une des listes d’exemption

Après, il est possible de faire un PIA sur tous les traitements si on le souhaite. Mais pour en avoir déjà fait et les mises à jour qui vont avec, c’est un processus très chronophage !

Pour l’information à la CNIL en cas de violation (au sens large, allant des accès non autorisés à la perte de données), il est bon de rappeler que la déclaration initiale doit être faite 72h après la découverte de la violation. Il est ensuite possible de venir compléter le rapport initial ultérieurement quand on a plus de détails sur la violation :

• cause exacte


• impact (nb de personnes impactées)


• risque pour les personnes impactées


• moyens de correction et de prévention mis en oeuvre.

J’aurais également rajouté une section sur la localisation des données. Les données stockées hors UE nécessitent des précautions. Notamment, l’usage de serveur situés aux Etats-Unis et/ou de prestataires Etats-uniens nécessitent une vigilance très particulière.

Le 16/12/2022 à 14h 17

Nerg34 a dit:

Sur RTL, une écologiste militante a dit que même si 100% des français devenaient des super écolos exemplaires ça ne changerait pas grand chose vu que 80% du CO2 vient des entreprises.

Et bien si, ça changerait beaucoup, car il faut prendre en compte le pourquoi les entreprises pollue : pour fournir des biens et des services, directement ou indirectement, aux particuliers. Si les particuliers deviennent écolo, alors :

• moins de biens à produire


• moins de transport


• moins d’énergie consommée

Il faut prendre en compte les corrélations qui existent entre les différents “secteurs”, et les choses sont tout de suite beaucoup plus complexes.

Exemple : la chine. Si on regarde les chiffres d’émission de CO2, la Chine est le plus gros émetteur. Si on affecte maintenant les émissions non pas sur le lieu de production mais sur le lieu d’utilisation des produits / de consommation, ce sont les Etats-Unis (les smartphones et compagnie notamment, mais aussi tous les trucs Made in China)

Un changement de consommation en bout de chaine (nous ! les 20%) peut changer drastiquement la donne sur toute la consommation de la chaine (les 80%).

Le 09/12/2022 à 15h 08

chichillus a dit:

Je vais pas relancer pour un tour de manège . On est pas d’accord, ça n’empêchera pas la Terre de tourner.

Je ne faisais que donner ma position Je conçois tout à fait qu’on ait un avis différent du mien. C’était pour dire que je connaissais la différence entre les deux, mais que depuis quelques temps maintenant, je fais, presque volontairement, l’amalgame.

Là je veux bien des détails. Mais je suppose que c’est juste qu’on n’a pas les mêmes définitions de cryptage et de hashage.

Alors, pour information, ce ne sont pas mes définitions, mais celles qui sont reconnues et répandues d’un point de vue technique :

• chiffrer (et improprement “crypter”) : il s’agit d’une transformation réversible d’une donnée en clair en une autre “incompréhensible” par l’utilisation d’une clé de chiffrement (crypter est un anglicisme souvent employé dans le langage courant)


• déchiffrer : il s’agit d’appliquer la transformation inverse au chiffrement, en connaissant la clé (exemple d’algo : AES, RSA)


• décrypter : il s’agit d’appliquer la transformation inverse au chiffrement, en ne connaissant pas la clé. Un bon algorithme de chiffrement rend cette opération extrêmement couteuse et mathématiquement quasi impossible, de part la puissance de calcul nécessaire.


• hasher : il s’agit d’une transformation non réversible d’une donnée en clair en une autre, souvent de longueur fixe, avec pour caractéristique souhaitée que deux données en clair très proche, donnent 2 hashs très différents (MD5, SHA1, SHA256, BCRYPT, etc…)

En espérant avoir été clair

Le 09/12/2022 à 13h 04

J’étais à la base un “ayatollah” de dire chiffrer et non crypter. Quand je m’adresse à des connaisseurs, cela ne pose pas de problème. Quand je m’adresse à des personnes lambda, crypter, ils comprennent, chiffrer non (chiffrer, pour eux, c’est donner un chiffre, comme une évaluation de coût).

Dans mon discours de tous les jours, j’ai donc tendance à plus utiliser “crypter” que “chiffrer”. Mais je suis d’accord que le terme technique officiel, c’est “chiffrer”. Mais le terme le plus compris, c’est “crypter”.

chichillus a dit:

• chiffrer un mot de passe, ça existe et c’est mal,


• crypter un mot de passe, ça existe et c’est bien. (et tant qu’à faire, avec un vrai hash cryptographique genre bcrypt; pas un bricolage à base de md5+salt, on est plus en 2005)

En langage courant, crypter = chiffrer. Tu sembles confondre “crypter” et “hasher” (ce qui est encore plus dangereux à mes yeux que le simple amalgame entre chiffrer et crypter, car les algo et les usages derrières ne sont pas du tous les mêmes).

Le 09/12/2022 à 08h 59

(quote:2109314:ryô)

Ça me laisse un poil sceptique quant à l’arrêt du stockage en clair en 2020 .

L’arrêt du stockage en clair ne signifie pas l’arrêt du stockage ;) Il est peut être simplement crypté. C’est un peu mieux, mais le stockage de mot de passe, qu’il soit en clair ou crypté, pose malgré tout de nombreux problèmes, vu la tendance généralisée à réutiliser des mots de passe chez le quidam moyen (moyen dans le sens sans connaissance approfondie liée à la sécurité).

Le 09/12/2022 à 14h 27

La déconnexion “facile” a aussi des avantages. On peut se prendre les pieds dans le chargeur sans foutre son ordinateur en l’air

Le 08/12/2022 à 17h 15

Effectivement, c’est moche ! Merci pour l’information.

Il est peut être possible de le mettre à jour manuellement depuis un SSH, mais c’est quand même moche…

Le 08/12/2022 à 15h 55

Quelle version de DSM ? Car pour l’instant je suis en 7.1 et j’ai un kernel 4.4.180, bien loin du 3.10.

Je suis d’accord pour dire que même une 4.4 commence à dater, mais pour ce genre de matériel, ce n’est bien souvent absolument pas gênant, sauf à avoir une utilisation particulière qui nécessite la dernière version du kernel…

Le 07/12/2022 à 21h 54

Je n’ai jamais parlé d’IA. Je n’ai jamais non plus parlé de fiabilité des commentaires modérées, mais de la fiabilité des lecteurs, sur la base d’un ratio que j’ai expliqué (nb commentaires modérés par l’équipe de modération et signalé par l’utilisateur / nb de commentaires signalés par l’utilisateur).

Je n’ai jamais parlé de traiter différemment les gens. Et la modération, par nature, n’est pas objective dans la plupart des cas (sinon, elle serait beaucoup plus facile).

L’équipe le dit, la modération prend du temps, car lire les tous les commentaires prennent du temps. L’idée que j’évoque, ce n’est pas de traité différemment les commentaires en fonction de qui les écrit, mais que la liste des commentaires à lire soit priorisée (troll régulier, commentaires signalés, etc…).

On est d’accord que pour une modération efficace, il faudrait, dans l’idéal, pouvoir lire TOUS les commentaires. Je ne sais pas si c’est humainement faisable pour l’équipe actuelle, sachant que la modération est faite, si j’ai bien compris, par les journalistes eux-mêmes (qui ont donc aussi d’autres chats à fouetter). Si une priorisation des commentaires à examiner permet de traiter ne serait-ce que 80% des cas en ne lisant que 20% des commentaires (loi de Pareto), je pense que le système peut être efficace.

Le 07/12/2022 à 14h 31

La modération est un art et trouver le bon équilibre est bien délicat.

Pour ma part, je suis plutôt contre les +1/-1. Cela peut vouloir dire tellement de chose que cela ne reflète généralement plus grand chose par la suite :

• pertinent / non pertinent


• d’accord / pas d’accord


• true news / fake news


• j’aime / j’aime pas


• …

J’ai vu le système en place sur LinuxFR, et cela me fait vraiment mal au coeur de voir des commentaires, très pertinent, factuel, détaillé, etc… se faire moinser à -30 dès que l’avis est à contre courant.

L’idée de base n’est pas mauvaise en soi. C’est l’utilisation par les lecteurs qui risque de poser problème et de fourvoyer le système.

Je pense qu’un mécanisme de semi-automatisation pourrait résoudre quelques problèmes. Quelques idées :

• des membres qui se font plus ou moins régulièrement modéré, à mettre dans une liste “à surveiller” pour pouvoir afficher leur commentaire en priorité (pour vous modérateur) et prendre une décision plus facilement (il est plus facile de prendre une décision sur un commentaire limite si l’auteur a déjà été modéré 10x que 0)


• calculer un ratio de confiance de vos lecteurs, par rapport aux nombres de commentaires signalés qui ont été modéré. Un membre qui signale 100 commentaires sans aucune modération derrière, c’est un troll qui abuse du système. Un membre qui signale 10 commentaires qui s’ensuivent de 8 ou 9 modérations, c’est un membre de confiance (pas besoin d’afficher cette information pour tout le monde, juste pour vous en tant qu’indicateur, afin de “prioriser” les traitements)


• lever une alerte si un commentaire est signalé plusieurs fois. Peut-être même le modérer automatiquement si de multiples signalements proviennent de plusieurs compte de confiance (cf. point précédent)

Ainsi, vous pourriez mettre un peu à contribution la communauté sans qu’elle le sache vraiment en plus :) Non pas pour “exploiter”, mais simplement pour avoir un regard plus neutre.

Un point rageur (ça m’est arrivé qu’une fois mais je le dis quand même), c’est que lorsqu’un commentaire est modéré, toutes ses réponses sont également modérées et ainsi de suite. Peut-être serait-il sage que l’auteur d’un commentaire puisse encore consulter son commentaire (mais uniquement l’auteur), afin éventuellement de reprendre les parties pertinentes le cas échéant. C’est frustrant de se faire bacher un com qui a pris du temps à rédiger parce qu’on a répondu à une réponse d’une réponse d’un commentaire qui a été modéré ! Peut être pas pour le commentaire modéré directement, mais pour les réponses.

Le 29/11/2022 à 16h 36

Je trouve la CNIL particulièrement dure quant à la gestion des mots de passe. Les algo utilisés ont évolué avec le temps, et à défaut d’une connexion de l’utilisateur, EDF ne peut pas mettre à jour la manière dont est stockée le mot de passe (puisqu’EDF lui-même ne connait pas le mot de passe).

Invalider automatiquement les mots de passe, cela veut dire une procédure de réinitialisation obligatoire lors de la prochaine connexion. Ce qui peut être très délicat si l’abonné n’a pas saisi d’adresse e-mail ou que son e-mail est invalide.

La clôture d’un compte d’un client encore sous contrat ne me parait pas des plus appropriés non plus (et même sans contrat, la durée de conservation des factures EDF est de 5 ans, donc, il faudrait attendre 5 ans après la fin du contrat).

Enfin, la CNIL cite l’état de l’art. Le problème, c’est qu’il n’y a pas de références fortes. Juste un consensus sur ce qui devrait être (ou ne pas être). Il me parait délicat de juger, avec le regard d’aujourd’hui, les algorithmes utilisés il y a 5 ou 10 ans, tant les problèmes de sécurité n’étaient pas du tout considérés de la même manière et l’état de l’art différent.

L’exemple classique c’est la durée de vie des mots de passe. Pendant longtemps, il y a été dit et répété qu’il fallait changer les mots de passe de manière régulière. Cela faisait parti de l’état de l’art. Ce n’est plus le cas aujourd’hui, car certains ont enfin compris que si cela partait d’une bonne intention, cela favorisait aussi l’écriture de mot de passe sur un post-it au bas de l’écran !

Est-ce qu’il est déplorable qu’une entité, surtout comme EDF, ait utilisé des algorithmes considérés comme cryptographiquement non sûr ? Oui, bien sûr. Il serait honteux de prétendre le contraire. Mais la sécurisation avait pourtant déjà eu lieu lors des contrôles.

Ce que je déplore aussi (et la je ne parle pas pour EDF en particulier, mais de ce que je constate aujourd’hui dans ses sanctions en général), c’est que le responsable de traitement est toujours responsable, y compris lorsqu’il fait appel à un prestataire. Je suis en contact avec de nombreuses PME/TPE. Pour les dirigeants, un algorithme de hashage, c’est du chinois pour lui. Alors que MD5 soit cryptographiquement faible depuis 2004… on n’en parle même pas. S’il passe par un prestataire, c’est justement pour déléguer et bénéficier d’une compétence qu’il n’a pas en interne.

Dans ce genre de situation, la CNIL ferait mieux de s’attaquer directement au prestataire défaillant, plutôt que de condamner une société qui doit ensuite se retourner judiciairement vers son prestataire pour défaut de conseil, surtout quand la société a été pro-active et coopérative. C’est en théorie possible, puisque le prestataire pourrait être considéré comme co-responsable de traitement, dans la mesure où c’est elle qui décide des moyens à mettre en oeuvre dans le cadre d’un traitement.

Le 21/11/2022 à 10h 46

shadowfox a dit:

mais les commentaires sont de plus en plus envahis par les trolls et on se fait invectiver très vite.

Pour avoir été modérateur (pas sur NextINpact, mais sur developpez.com), je peux dire que la modération est vraiment un aspect difficile ET chronophage.

Si on écarte les contenus manifestement illicites, il peut être très difficile de déterminer si un commentaire doit ou non être modéré (= ne respecte pas les CGU). Quand on a un doute, on se concerte, on discute (entre modérateurs), et on trouve un consensus. Cela prend du temps, car il faut trouver le juste équilibre entre le respect du droit d’expression et la modération.

Le 18/11/2022 à 12h 43

J’aurai être du plus précis ;) Ce qui est détecté, c’est la mise à disposition d’une oeuvre. Ce qui est légalement punissable, c’est le défaut de sécurisation.

Mais du coup, elle puni indirectement la mise à disposition d’une oeuvre via le défaut de sécurisation. Ce mécanisme “complexe” tient au fait qu’il est difficile d’identifier précisément l’auteur du délit derrière une box d’un FAI. Par contre, le titulaire de ladite box… lui est parfaitement connu :)

Le 18/11/2022 à 10h 07

Cela les aurait non seulement mis dans l’illégalité, mais en plus, cela aurait été inutile ! La HADOPI, ce qu’elle punit, ce n’est pas le téléchargement d’une oeuvre, mais la mise à disposition de celle-ci (et/ou le défaut de sécurisation de sa connexion internet).

Le 18/11/2022 à 07h 39

Nul part il n’est fait mention d’IA, que ce soit dans la brève, ou même sur le site de child rescue coalition.

Agissant comme la feue Hadopi sur les réseaux peer-to-peer, elle doit avoir accès à des empreintes d’images pour détecter la détention d’images pédopornographique. Ce qui signifie qu’en amont, CPS doit collecter des images et avoir une banque d’images.

Cette collecte, on ne sait pas comment elle est faite, mais rien n’indique qu’elle est automatique et encore moins à base d’IA. Ils ont peut être des agents qui scrutent internet à la recherche d’images. Peut être même que le système est alimenté par les forces de l’ordre lors de la découverte d’images pédopornographique dans l’ordinateur d’un pédophile.

La recherche peut être automatisée en partie, en procédant de la même manière que pour les recherches sur les réseaux P2P. Ils prennent un site, s’il contient une image déjà référencée comme étant pédopornographique, une alerte est levée pour que quelqu’un approfondisse et vérifie le site en question, et vienne alimenter leur base avec d’autres photos le cas échéant par exemple.

La notion de site peut aussi être restreinte à la notion de profil sur un réseau social.

Et le même mécanisme peut être employé avec les réseaux P2P. Quand une personne est détectée comme partageant des fichiers pédopornographiques, peut être “téléchargent-ils” les images (qui ont de fort risque d’être aussi des images à caractère pédopornographique) afin de les étudier et d’alimenter leur base de données.

Le 18/11/2022 à 08h 32

Oui, mais c’était aussi le cas de Discord a priori. Donc je ne l’ai pas souligné. Mais tu as raison de le préciser ;)

Le 18/11/2022 à 07h 43

fofo9012 a dit:

Il y a aussi le “clavier visuel” qui agit comme un captcha.

Non, le clavier visuel n’agit pas comme un captcha, car il n’est pas là pour empêcher les bots. Il évite la divulgation du code d’accès via les keylogger, en obligeant les gens à saisir via un clavier virtuel leur code plutôt que sur le clavier physique.

Automatiser la saisie d’un code sur leur clavier virtuel, c’est très facile, et des projets comme Woob le font très bien et quelques lignes et sans IA !

Le 18/11/2022 à 07h 21

Effectivement. L’identifiant des banques, sans être secret, n’est pas public. Cela change beaucoup de chose.

Le 15/11/2022 à 07h 12

« C’est quasiment miraculeux, insiste-t-on chez l’un des groupes concernés, quand on sait que les fournisseurs d’accès à Internet ont fait de l’antijeu en refusant de distribuer Salto ».

J’ai presque envie de dire que c’est de bonne guerre, puisque certains veulent faire payer la diffusion de chaines gratuites… C’est ça aussi de vouloir à chaque fois le beurre et l’argent du beurre.

Au delà de ça, et même si je ne suis pas abonné à Salto (je ne suis abonné à aucune VOD), c’est une bien triste nouvelle si Salto devait fermer. Ce serait un nouvel échec d’une tentative de regagner un semblant de souveraineté…

Le 14/11/2022 à 08h 57

Entièrement d’accord. Car sinon, linux, c’est nul, ils n’ont pas été foutu de corriger un bogue qui a ralenti les systèmes à base de processeurs AMD pendant 20 ans

Le 11/11/2022 à 14h 01

Non, ce n’est pas idiot, car on ne parle pas de la même chose. Je ne te parle pas de revenir en arrière quand l’utilisateur le décide suite à l’installation d’un programme, mais si une mise à jour système se passe mal.

Sous Windows, la mise à jour est annulé, et le système est restauré à un état fonctionnel automatiquement (j’ai malheureusement pu maintes fois le tester). Et puis au moins depuis Windows 7, je (=pour moi et mes proches car je suis le dépanneur attitré) n’ai plus jamais eu de souci de Windows qui ne démarrait plus après une mise à jour.

Sous Linux, la mise à jour est interrompue, laissant le système dans un état instable. Il faut connaitre la ligne de commande (quasi-obligatoire) et souvent avoir un live cd (ou usb). Et ça aussi, j’ai pu maintes fois le constater. J’ai aussi pu constater la mise à jour qui s’effectue correctement avec un kernel panic au démarrage car le disque de démarrage n’était pas trouvé (cela arrive moins souvent maintenant via l’usage des UUID pour les disques, au lieu des /dev/hdX, /dev/sdX, etc…)

Pour finir Timeshift, il faut l’installer ET le configurer pour qu’il soit utilisable. Autant dire que chez beaucoup de monde, ce n’est pas le cas…

Le 09/11/2022 à 09h 32

BlackLightning a dit:

NTFS sait faire du snapshot ?

Il y a un truc qui y ressemble oui. Mais ce n’est pas trop pour les windows grand public. C’est plutôt orienté serveur.

Tu as raison pour Linux faut mettre les mains dans le cambouis.

Donc tu exclues 99% de la population.

Je sais pas pour l’OS. Je peux pas voir le code source est donc comprendre le fonctionnement interne du bestiau. Au moins sous Linux, je peux lire la doc du kernel, son API et voir l’implémentation. L’une des raisons pour laquelle Windows n’est pas le top 500.

Chose dont les 99% qui ne mettront pas les mains dans le cambouis se fiche royalement.
Et dans les 1% restant, s’il y en a déjà 10% qui ont jeté un coup d’oeil ne serait-ce qu’une fois sur une portion de code de noyau… ce serait presque un miracle.

Ma “haine” de Windows vient du fait que c’est un clickodrome et que dès que tu veux faire un truc -> Une application. Là où sous MacOS (c’est soit integré) soit sous Linux une ligne de commande.

Ta “haine” de windows vient donc du fait que ce n’est pas adapté à tes besoins. Mais il l’est pour beaucoup d’autres. Ne pas oublier que ton profil “technique” est plus l’exception que la règle.

Il y a bien PowerShell mais j’arrive pas à m’y faire à la syntaxe. Je la trouve trop verbeuse et sans assistance internet j’arrive à rien faire.

C’est comme tout, il y a de l’apprentissage. C’est un biais appelé résistance au changement ;) Pourtant, PowerShell, de part son approche objet au lieu de texte sous les shells plus classiques facilite grandement les choses.

Pour la verbosité, cela permet plusieurs choses :

• d’uniformiser le nom des commandes


• de comprendre les grands principes ce que fais un script en le lisant, même si on ne connait pas toutes les commandes. Difficile d’avoir cela avec des scripts shell, où il faut connaitre les commandes par coeurs et les arguments en ligne de commande.

Le 08/11/2022 à 19h 46

BlackLightning a dit:

Tu peux penser que c’est bashing. Mais mon Linux démarre plus vite que W10.

C’est rigolo, sur des bécanes un peu agé, j’ai constaté le contraire. J’ai récupéré un vieux portable sous Windows 7. Je l’ai passé en 10. Je n’étais pas convaincu (un peu lent à mon gout). J’ai installé Ubuntu (par facilité) : c’était encore plus lent au démarrage. Retour sous W10 ;)

Par contre les MAJ de 30 minutes, tu sais comment ramener à ça à quelques minutes ? A chaque fois, j’ai l’impression que M$ recompile le kernel.

On peut se plaindre de la MAJ longuette de Windows. Je trouve également que c’est exagéré. Mais un point à mettre au crédit de Microsoft : s’il y a un problème durant la mise à jour, le retour en arrière est automatique ET fonctionnel. Un linux, il faut mettre les moins dans le cambouis.

Sauf que c’est le moyen pour les SSII de faire baisser leur facture et de rempoter le marché. Elles profitent également pour (re)vendre le matos derrière. J’ai vu ça avec du public en plus. Mais tu retrouves ça aussi dans du développement interne. Mais là, c’est souvent que le chef n’est pas un techos et donc tu payes en plus l’incompétence.

C’est un moyen de faire croire que tu baisses la facture, car derrière il y a toujours des trucs hors contrats, etc… à payer en plus. Et la maintenance qui est souvent disproportionné. Je l’ai d’ailleurs vu : des gars en SSII qui m’ont dit texto qu’ils avaient des consignes pour ne pas être trop performant, histoire de vendre derrière des presta de maintenance et correction de bogues…

Est-ce que ce sont des pratiques qui se font ? Malheureusement oui. Mais ce n’est pas pour autant qu’il faut les accepter et trouver cela normal.

Honnêtement, j’ai vu des gens compétents (voir très compétent) dans des biens des coins du monde. Souvent ce n’est pas un problème de compétence mais juste que tu dois fournir très vite (trop?) ton code, ta fonction. Donc tu vas à l’essentiel et ensuite tu espères avoir le temps de revenir dessus et d’améliorer.

Règle de vie d’un développeur : quand on espère pouvoir revenir dessus ultérieurement, alors cela ne sera pas fait. Tout bon développeur le sait. Donc un développeur qui espère pouvoir revenir sur son code, c’est un développeur qui a encore beaucoup à apprendre, même s’il dispose de certaines compétences techniques dans certains domaines.

Merci, mais si tu sais comment rendre un W10 dans un environnement pro aussi stable et rapide qu’un MacOS ou un Linux, je suis preneuse. Parce que je suis une bille sous cet OS et je le trouve mal fichu.

Pour ma part, ce n’est pas avec l’OS que j’ai des soucis, mais avec les applicatifs que j’utilise. L’OS en lui-même est pas trop mal foutu (W10, car le 11, jamais testé !).

Maintenant, le “mal fichu”, c’est souvent plus l’expression d’une résistance au changement qu’un truc réellement mal fichu. Des “linux c’est nul”, je m’en suis pris aussi de la part de certains membre de ma famille, car cela n’était pas comme d’habitude (comprendre Windows).

J’ai trouvé aussi MacOS mal fichu, car je ne m’y retrouvais pas.

Pas tant hors sujet car tu illustres un cas réel et, qui je pense, véridique.

Hors sujet pour moi, car je critique ouvertement le langage même et non les mauvais usages qu’il en est fait. Qu’un langage soit “mauvais” est une chose, que les développeurs le choisisse sciemment pour le mettre partout alors qu’il existe des alternatives en est une autre.

Le 08/11/2022 à 16h 05

BlackLightning a dit:

Je vais pas le nier, mais perso je le ressens pas sur ma Fedo. Par contre, W10 au boulot

Stop avec le Microsoft bashing gratuit. C’est pas faux, mais la plupart des distributions linux, ce n’est pas mieux. Je trouve les temps de démarrage beaucoup trop long encore. Et pour certaines distributions qui sont passées sur les snap, c’est encore pire

Mais certaines entreprises y voit leur intérêt en faisant baisser les salaires.

Et reportent des coûts de développement logiciels sur les utilisateurs qui doivent investir en matériel pour palier leur manque d’investissements. Et ce manque d’investissements généralement, ne se sent pas que sur le poids du logiciel, mais aussi sur la capacité à le maintenir et à le faire évoluer !

Ou peut-être que la fonction a été codée pour que ça marche puis jamais modifié car “pas le temps et pas utile”.

Non, au bout d’un moment, il n’est pas normal de masquer l’incompétence derrière un simple “faut que ça marche”.

En même temps tu prends M\(. C'est un peu tiré sur l'ambulance. Si M\) savait coder, ça se saurait.

Encore du bashing gratuit. C’est dommage parce que le reste du commentaire est intéressant

J’ai pris l’exemple de VSCode car c’est du Electron et que je l’utilise au quotidien. J’aurais pu prendre le client Slack qui est une bouse tout aussi immonde, cela aurait été pareil. Je ne vais pas me faire que des amis, mais NodeJS est une technologie qui n’aurait jamais du exister. On a porté côté serveur le seul langage ayant réussi à s’imposer côté client afin que certains puissent utiliser le même des deux côtés. Sauf que ce langage est mal foutu de base, peu performant, avec des environnements lourdingue. Mais là, on est hors sujet

Le 08/11/2022 à 11h 19

Il met en avant la loi de Wirth (sans vraiment la nommer).

Oui, il y a une complexification des OS, c’est indéniable. Mais c’est oublié qu’on est passé aujourd’hui sur des machines multicoeurs et 10x plus rapide, avec 1000x plus de RAM et des disques bien plus rapides (SSD, NVMe, …). Et pourtant, ça rame encore.

Aujourd’hui, on en est là, en grande partie à cause d’un manque de réelle compétence. Il ne s’agit pas de faire des optimisations à foison. Juste de savoir correctement coder et de connaitre les bonnes pratiques.

Comme on a longtemps dit qu’on manquait de développeur, c’est devenu un domaine idéal pour les reconversions, etc… Sauf que devenir un bon développeur, cela ne prend pas 3 mois de formation pour être fullstack. Ce sont des années d’expérience, de projets, des erreurs, etc…

Le matériel vient combler les lacunes des développeurs. Est-ce normal ? Par exemple, est-ce normal, qu’un fan ait réussi à réduire de 70% le temps de chargement de GTA, sans même avoir le code source ? Le souci, c’est juste que les développeurs derrières n’avaient pas suffisamment de connaissance pour savoir que la fonction sscanf est très lente. Pourtant, un bon développeur C le sait !

Il est vrai aussi que les choses ont changé, notamment au niveau de la mémoire. Avec des langages comme Java ou C#, la mémoire consommée est beaucoup plus importante qu’avant. C’est normal, et c’est même le principe de fonctionnement. Par contre, avec ce nouveau paradigme, en cas de pression sur la mémoire, l’OS peut demander à récupérer de la mémoire. Ce n’est pas un problème. Sauf qu’on voit bien que souvent, la mémoire n’est pas libérée !
Qu’une application consomme 5Go n’est pas un problème. Qu’une application nécessite 5Go est un problème. Qu’un logiciel comme VSCode puisse nécessiter plus de 2Go pour charger un petit projet, oui, c’est un problème aujourd’hui.

Le 07/11/2022 à 20h 33

Pour le côté désenchantement du logiciel, je ne peux que recommandé l’article de Romain Fadet à ce sujet (qui est en fait une traduction d’un article anglais).

Pas de pub, et on comprend bien le désenchantement (que je ne peux que constater aussi malheureusement…)

Le 02/11/2022 à 07h 33

skan a dit:

Oui enfin, grâce à la GDPR, normalement les données identifiables sont effacées en cas d’inactivité prolongée, non? Il n’y aura pas un truc dérivé de la GDPR qui trancherait au bout d’un certain temps?

Le RGPD ne s’applique que pour les personnes… vivantes ! Pas pour les personnes décédées.

Pour les personnes décédées, il faut voir les dispositions dans chaque état membre.

Concernant l’inactivité d’un compte, la position de la CNIL est assez claire : les réseaux sociaux ne peuvent pas prendre l’initiative de supprimer un compte inactif, sans connaitre la cause de cette inactivité. Donc, en gros, ils ne le feront jamais…

Il y a bien la notion de durée de conservation des informations à caractère personnelle relativement aux traitements. Mais dans le cadre d’un réseau social, cette disposition n’est pas vraiment applicable. La personne n’est pas obligée de mettre des informations personnelles, elle le fait elle-même… et sur la base du consentement.

Du point de vue du réseau social, le traitement c’est “stocke ma vie”. Donc la durée de conservation est… indéfinie !

Le 26/10/2022 à 20h 20

Berbe a dit:

Je t’invite à quitter le costume de bon petit soldat économique et à réaliser que le camp que tu représentes ne cherche pas ton bien, alors que celui que tu combats le fait. L’État et ses administrations ne sont pas une entreprise, et heureusement, sinon il n’y aurait plus d’espoir.

Peux-tu me dire le camp que je défend et celui que je combat ? Car honnêtement, je ne sais pas moi-même. Je suis plutôt pragmatique, et sur ce coup, j’ai un avis mitigé, c’est tout

Le 25/10/2022 à 08h 20

Je pensais au tribunal administratif, pas à la commission d’enrichissement de la langue française ;)

Le 25/10/2022 à 06h 54

ça va être drôle de parler de “Concentrateur de Connards”.

Sinon, sur le fond de l’affaire, j’avoue que je suis mitigé. J’aime la langue française, et ça me fait mal au c quand j’entends digitalisation (et ses dérivés), french tech, startup, etc…

Mais ça me fait aussi mal au c que des personnes, payées par nos impôts, passe un temps de dingue sur des trucs aussi futile, alors qu’il y a des chantiers bien plus important à mes yeux.

En tout cas, le tribunal administratif de Paris vient de créer une jurisprudence intéressante pour l’avenir : la loi de 1994 s’applique non seulement aux termes utilisés dans les textes officiels, mais aussi aux noms des projets.

En tout cas, pour ceux que cela intéresse : le “dictionnaire” officiel des termes à utiliser en France : http://www.culture.fr/franceterme/

[edit]
Je viens de vérifier, et il n’y a pas de traduction au journal officiel pour git. Donc, désolé, je descend un peu la note xD

Le 26/10/2022 à 14h 34

Exactement. Il n’y a pas si longtemps que ça (7 ans maintenant quand même), l’aéroport d’Orly a été bloqué suite à une panne d’informatique. Le système tournait sous… Windows 3.1 !

Beaucoup ont crié leur indignation, qu’il était inadmissible d’avoir un système qui n’était plus maintenu, etc…

Pour ma part, sachant que Windows 3.1 n’a pas de connexion réseau, ce n’est pas gênant. Et pour un système aussi critique, je préfère largement avoir un applicatif qui tourne bien, testé et approuvé depuis des années qu’un nouveau truc dont on n’est pas encore sûr…

Le 26/10/2022 à 08h 08

OB a dit:

Le pb alors c’est la puissance CPU , donc de toute façon la passerelle devient requise en effet.

Si ton automate ne supporte que SSLv3 mais que le reste de ton réseau est en TLSv1.2 ou supérieur, ton automate ne peut plus communiquer. En quoi est-ce un problème de puissance CPU ?

Le 26/10/2022 à 07h 13

Guinnness a dit:

Dans le cas d’une machine industrielle il suffit de ne pas mettre à jour le système informatique associé, le fait qu’il existe des noyaux plus récent ne va pas subitement empêcher les anciens de fonctionner,

Presque vrai. Il n’y a qu’un cas qui peut être problématique (et je commence à le voir de plus en plus) : la mise à jour des protocoles de sécurisation. Montée en version de TLS et abandon de SSL, abandon de protocole non sécurisé (RC4 et compagnie) font qu’il est parfois compliqué de dialoguer avec une machine industrielle par le réseau.

La solution est alors de passer par une passerelle, mais beaucoup semblent ne pas connaitre cette solution !

Le 26/10/2022 à 09h 03

(reply:2101093:Jean de Tolbiac)

Tout à fait, mais cela ne change rien à mon propos par rapport à celui auquel je répondais ;)

Si c’est dans la loi, alors c’est légitime. Mais l’inverse n’est pas vrai (ce qui est légitime n’est pas nécessairement dans la loi).

Le 25/10/2022 à 13h 34

gathor a dit:

Tu fais donc partie des personnes que l’on doit contacter (donc réponse 1 sur les deux choix), et on le fera quand la situation sera plus « calme »… Désolé du retard

Pas de souci. Je comprends. J’étais juste surpris du silence soudain

Si quelqu’un a un moyen d’augmenter la durée des journées qui ne font que 24h (c’est nul) je prends

Je prends aussi !!!

Le 24/10/2022 à 19h 36

Arcy a dit:

Je comprend parfaitement que c’est une aide financière supplémentaire mais c’est pas parce que c’est dans la loi que c’est légitime

Justement, si c’est dans la loi, c’est légitime (=qui est consacré par la loi ou reconnu conforme au droit) ;) Tu veux sans doute dire “éthique”.

Maintenant, cela reste une rentrée d’argent supplémentaire, sans aucune contrepartie. Il serait dommage pour NextINpact de s’en priver !

Le 24/10/2022 à 17h 38

Merci beaucoup pour ce retour. Ca fait du bien d’avoir des news :)

Quelques changements à venir donc, et beaucoup d’énergie pour cette affaire Avisa.

Sinon, j’avais contacté la rédaction pour proposer des articles. J’ai eu quelques échanges où on me disait que mon profil était intéressant. Je devais avoir un call, qui n’a pas eu lieu, et depuis, aucune nouvelle (malgré 1 ou 2 relances). Du coup, c’est juste que vous êtes surchargés, ou mon profil ne vous intéresse finalement pas ? (je ne prendrais pas la mouche si vous me dites non !)

Le 25/10/2022 à 08h 12

darkweizer a dit:

Mais ce n’est jamais appliqué.

Erreur. Clearview AI vient de se prendre l’amende maximale dans son cas.

Dedalus Biologie (dans l’affaire DEDALUS) a écopé d’une amende de 1,5 million d’euros, soit bien plus que 4% du chiffres d’affaires (mais toujours en dessous de 20 millions).

Les peines sont toujours (considérablement ) réduites en appel après la grosse annonce du premier verdict !

Non plus. Il arrive qu’il y ait des réductions du montant des amendes (je pense à Apple), mais c’est très loin d’être le cas à chaque fois (je pense aux multiples amendes de Google, où le montant a été confirmé en appel à plusieurs reprises).

Le 20/10/2022 à 10h 54

Je me posais la même question. C’est un cas intéressant pour savoir quels sont les moyens à disposition dans ce genre de cas. Un approfondissement des moyens à disposition pour faire pression pour payer viendrait bien enrichir l’article :)

Sinon, l’amende reste une amende administrative. Je ne sais pas s’il y a des accords entre les UE et EU à ce sujet…

Le 18/10/2022 à 16h 26

(quote:2099622:alex.d.)
C’est déjà Microsoft qui signe les drivers via WHQL. Donc le même Microsoft peut les révoquer.

Raté.

Microsoft peut les signer, mais des éditeurs tiers aussi. Et cela ne concerne que les drivers en mode noyau.

Pour des drivers en mode utilisateur (comme les imprimantes), c’est encore différents.

On ne m’enlèvera pas de l’idée que le mécanisme de signature des drivers, si dès le départ il ne prévoit pas la révocation, c’est plutôt stupide.

Encore une fois, le mécanisme de signature des drivers n’est pas fait pour ça. Il est fait pour garantir la provenance et l’authenticité des drivers, pas pour gérer la sécurité (absence de faille) des drivers.

Le 18/10/2022 à 14h 56

(quote:2099596:alex.d.)
La signature des drivers certifie que le driver est digne de confiance. Le driver n’est plus digne de confiance ? On révoque son certificat. Je ne vois pas où est le détournement, ça me semble au contraire couler de source.

Parce que celui qui va révoquer n’est pas celui qui va signer. Je l’ai précisé dans mon précédent message (partie que tu ne commentes absolument pas alors que ça fout justement en l’air l’utilisation des certificats pour un tel usage). Lorsqu’une autorité révoque un certificat, c’est qu’il y a un souci avec ce certificat (volé, fuite de la clé privée, ou que sais-je). Celui qui révoque est donc celui qui a émit le certificat. La situation est ici fort différente, puisque Microsoft, sur la base des failles découvertes, décide de bloquer un driver malveillant ou présentant une faille de sécurité. Microsoft, pas l’éditeur dudit driver.

Oui, et ? Un certificat, c’est un fichier, rien de plus. Faut un peu démystifier le truc, hein. Si tu gardes une trace de ce que tu signes (en général, c’est conseillé), tu as déjà un autre fichier pour chaque driver : le driver lui-même.

C’est une complexité supplémentaire sous estimé (gestion de la clé privée oublié par exemple), mais surtout inutile car inefficace et non adapté techniquement.

Ah bon ? Tu sais que tu peux générer des certificats intermédiaires sans déléguer pour autant. D’ailleurs, actuellement c’est déjà le cas, MS ne signe pas avec la clef racine, ils possèdent donc eux-même un certificat intermédiaire signé par eux-mêmes.

Il va falloir m’expliquer l’intérêt d’avoir un certificat intermédiaire s’il n’y a aucune délégation

Et heureusement que Microsoft ne signe pas avec son certificat racine. Le certificat racine (enfin sa clé privée surtout) ne sert que dans très peu d’occasion (pour des raisons de sécurité) et est conservé à part (et normalement, hors ligne pour une sécurité maximum).

Maintenant, un éditeur se retrouvera de facto autorité intermédiaire, puisqu’il devrait gérer les certificats de ses propres drivers. C’est une complexité supplémentaire qui n’apporte absolument rien, car comme dit dans mon message précédant, le certificat d’un driver ne pourra être révoqué que par le certificat de son éditeur, pas par l’autorité qui a certifié l’éditeur. C’est ainsi que fonctionne la hiérarchie des certificats et le principe de révocation.

En attendant, tu fais tout un laïus en essayant de montrer que si c’est possible et techniquement faisable, en omettant clairement de contrer les deux arguments qui remettent en cause même l’utilisation des certificats pour cet usage :

• l’argument qui dit que seul l’éditeur peur révoquer ses drivers,


• ainsi que les problèmes de sécurité, puisqu’un éditeur pourrait potentiellement signer un driver en se faisant passer pour un autre (si la gestion des autorités de certification est mal faite, via des restrictions sur les subjectName, ce qui est relativement peu courant).

Le 18/10/2022 à 11h 49

Penser qu’une simple révocation de certificat permettrait de résoudre le problème, c’est tout simplement ne pas comprendre les mécanismes qui sont en jeu.

Les certificats ont pour but de créer une hiérarchie de confiance. Il faut une autorité racine, qui va elle-même “certifier” des autorités intermédiaires (qui peuvent éventuellement certifier d’autres autorités intermédiaires), pour certifier une autorité finale (ici, l’éditeur du driver).

Un certificat, c’est fait pour gérer l’identification, l’authentification, la signature et la non répudiation. Ce n’est pas fait pour interdire un truc sous prétexte qu’il y a une faille de sécurité. Et surtout, c’est fait pour que hiérarchiquement, chacun prenne ses responsabilités.

Si une autorité présente une défaillance, alors son autorité “de tutelle” peut la révoquer. Et l’autorité de tutelle peut elle-même être révoquée si elle ne fait pas correctement son travail et ainsi de suite jusqu’à remonter au certificat racine (qui lui, ne peut pas se révoquer).

Utiliser un certificat pour gérer la révocation des drivers, cela sous-entend donc

• détourner l’usage des certificats ;


• générer UN certificat par VERSION de CHAQUE driver ;


• que CHAQUE éditeur devienne autorité intermédiaire, et gère donc pleins de certificats ;


• que CHAQUE éditeur face le nécessaire pour révoquer un certificat quand c’est nécessaire (car si on a une chaine A -> B-> C-> D-> driver, seule l’autorité D peut révoquer le driver ! C, B et A ne le peuvent pas) ;


• que CHAQUE éditeur pourrait au final approuver n’importe quel driver (y compris ceux qui ne sont pas les siens) ==> grosse faille de sécurité

Ne pas se baser sur les certificats pour gérer une liste de pilotes malveillants, c’est permettre à une seule entité (ici Microsoft) d’agir dès qu’une faille est détectée, sans avoir besoin d’attendre une action de la part de l’éditeur correspondant.

Maintenant, se pose le problème de la mise à jour. Mais si Microsoft ne le fait pas (alors qu’il a tout intérêt d’un point de vue sécurité), il est illusoire de penser que les éditeurs le feront d’eux-mêmes…

Le 17/10/2022 à 12h 19

deathscythe0666 a dit:

Ouais, ils recommandent de ne pas charger que rapidement, mais pas d’éviter ces bornes (et l’expérience montre que les constructeurs sont plutôt conservateurs dans leur discours et leur paramétrage des packs batterie)

Je prends l’exemple de Tesla :

Utilisez uniquement la recharge rapide CC (c’est-à-dire la Supercharge) lorsque cela est nécessaire, par exemple lors de longs trajets.

Le rapport de l’ADEME (comme à son habitude) dit de la merde en contradiction avec les publications scientifiques.

Je ne lis pas ce que je veux lire donc le rapport de base c’est de la merde ? C’est quoi cette démarche ? Des publications scientifiques, il y en a des 2 côtés, et qui se contredisent. Cela rend justement le travail d’autant plus difficile pour avoir une (bonne) opinion.

Fut un temps, on avait la même chose pour le tabac…