De nombreux Twittos déplorent que les CGU d’Elyze prévoient au surplus « la revente des données d’utilisation, toujours anonymisées, à des tiers ». Or, selon l’article 9 du règlement européen sur les données personnelles (RGPD), « le traitement des données à caractère personnel qui révèle les opinions politiques » est interdit, sauf si le consentement explicite est récolté et lié à une finalité précise.
Sauf qu’une donnée anonymisée (et non seulement pseudonymisée) n’est pas une donnée à caractère personnel. Donc non soumise au RGPD !
Quel lien existe-t-il entre Videolan et FFmpeg, hormis le fait que VLC utilise les librairies de FFmpeg en interne ?
Car a ma connaissance, Jean-Baptiste Kempf n’est pas lié à ce projet (ou j’ai zappé l’info) mais est quand même cité 3x dans la news tandis que le site de FFmpeg… n’est pas cité ! Du coup, cela donne l’impression qu’il fait partie de l’équipe alors que je ne crois pas que cela soit le cas. (Attention, je ne dis pas qu’il ne peut pas y avoir des contributions, juste que la maintenance n’est pas gérée par VideoLan ni JBK)
Et concernant le LTS, de ce que je comprends, c’est un souhait d’un utilisateur, pas le reflet de la politique de ceux qui gèrent FFmpeg.
Je sens aussi qu’on va rigoler avec la définition de “visiteur unique”. Est-ce qu’on ne compte que les visiteurs identifiés ? Un utilisateur se connecte depuis 3 appareils. Ca compte comme 1 visiteur ou comme 3 ?
Quid des non identifiés ? On ajoute des cookies traceurs ? Du coup, si la personne refuse de donner son consentement, on fait comment ? On compte 1000x fois une personne ou on ne la compte pas ?
C’est également une porte ouverte pour passer outre le consentement pour les cookies, dans la mesure où il pourrait devenir un moyen de répondre à une obligation légale….
Et faut-il compter dans les visiteurs ceux qui visite de manière indirecte, par exemple, un article dans un journal qui republierait une série de tweets ?
Ces questions sont importantes car mine de rien, si on considère les visiteurs uniques seulement comme les abonnés se connectant par exemple, je ne pense pas que Twitter atteigne la limite des 10 millions (cela m’étonnerait qu’un résident sur 6 du territoire français utilise twitter).
êtes-vous sûr de ne pas détester l’idée de ne pas vouloir ne pas envisager la possibilité de ne pas refuser l’opposition à l’acceptation du refus des cookies ?
Le
07/01/2022 à
14h
37
tpeg5stan a dit:
Sachant que le RGPD existe depuis 2014 et qu’il est entré en vigueur en 2016, je dirais que c’est « mieux vaut tard que jamais », plutôt que « très bon boulot ».
Il me parait injuste de retenir la date de 2014. Un texte certes adopté par le parlement européen, mais modifié jusqu’à fin 2015 et n’ayant aucune valeur juridique car non en vigueur.
Ce n’est qu’en 2016 qu’il rentre en vigueur, et en 2018 qu’il est applicable. Rappelons nous aussi que certains points ont été éclaircis APRES que le RGPD soit applicable. La CNIL se cherchait encore beaucoup par rapport à ce texte en 2018.
Donc grosso modo, à cause du manque d’anticipation de la CNIL pour publier ses guides, etc… les professionnels ont du attendre l’application en mai 2018 du RGPD pour se mettre en conformité. A cause de cette mise en conformité tardive, la CNIL a du attendre après la mise en application pour statuer sur certaines pratiques.
Sans vouloir défendre ni la CNIL, ni les autres, la CNIL a du attendre l’application du RGPD pour agir. Certains ont trouvé des solutions imaginatives (comme les cookie paywall), et je suis certains que la CNIL n’avait tout simplement pas anticiper se genre de solution.
En tant que professionnel de l’informatique et à l’affut du RGPD, j’ai regretté le manque d’information sur pas mal de chose et l’absence de guide avant mai 2018 de la part de la CNIL. Ils se sont beaucoup rattrapé depuis, mais c’est vrai qu’en tant que professionnel, c’est délicat de savoir ce qui est ou n’est pas autorisé à partir uniquement du RGPD lui-même. Il y a beaucoup de points qui sont soumis à interprétation et sont empreint de subjectivité.
En tout cas, je suis d’accord pour dire vaut mieux tard que jamais.
Merci ! Reste à savoir l’utilisation qui est fait de ces fonds.
EtenN a dit:
Pour garder une proportionnalité avec des manquement plus grave c’est difficile de mettre l’amande max. Par contre je suis d’accord sur le fait que là, c’est bien trop peu pour les dissuader de continuer à faire semblant de pas comprendre.
Ne pas oublier non plus que c’est proportionnel par rapport aux utilisateurs en France. Taxer le CA mondial et non le bénéfice national (qui est quasi nul) ce n’est déjà pas rien. Avoir une amende de ce niveau pour 1% des utilisateurs c’est loin d’être indolore, surtout que ce n’est pas la première amende en France que se paie Google et Facebook depuis l’entrée l’application du RGPD.
Ces entités sont également sanctionnables dans les autres pays européens. Le luxembourg peut avoir la main très lourde (je crois me souvenir d’une amende de 700 millions d’€ à l’encontre d’Amazon).
Voilà, donc tout mis bout à bout, ce n’est pas rien. L’objectif du RGPD n’est pas non plus de faire fermer ces entités, ni même de les empêcher de pomper nos données. L’objectif du RGPD c’est qu’on soit au courant du pompage, de nos droits et que l’on puisse les faire appliquer.
Sinon, sur le sérieux de la CNIL, cela dépend de sur qui on tombe, comme dans beaucoup d’endroit. Par 3 fois j’ai posé une question sur l’usage du NIR (notamment, le droit ou pas de parser le NIR, non pas pour en extraire les infos, mais pour lever des alertes si les infos parsées ne correspondaient pas aux informations que nous avions), par 3 fois j’ai eu la même réponse à côté de la plaque en me disant de me référer à la FAQ et spécifiant qui avait le droit d’utiliser le NIR.
Le
07/01/2022 à
08h
12
Une question pour toi Marc : où va l’argent des amendes, et à quoi sert-il ? Enfin si on le sait !
Comme certains, je reste un peu dubitatif sur la réalisation technique. De ce que je comprends, la norme 105 est similaire à la 101, la rigidité en moins. De ce fait, inclure une photo dans un Datamatrix est possible en théorie, mais confronté à un problème de taille (sans jeu de mot ).
En tout cas, encore une fois, on ne peut que déplorer le fait que les normes AFNOR soient payantes… impossible donc de vérifier plus en détail ce qu’il est possible ou non de faire, sauf à sortir le porte-monnaie !
10% des vaccinés hospitalisés le sont pour autre chose (mais le test se révèle positif donc ils sont comptabilisé malgré tout, même s’ils viennent pour une jambe cassée">Le Monde
5% de faux passe vaccinal
40% des vaccinés admis sont immunodéprimés.
Il serait donc intéressant de tenir compte de ses effets dans les statistiques, en retirant les 10% des vaccinés hospitalisés pour autre chose, et en réaffectant les 5% + 40% à la catégorie des non vaccinés (puisque le but c’est de vérifier statistiquement l’efficacité des vaccins). Sachant que la proportion de gens vaccinés au sein de la population Française est aux alentours des 90%, la population des gens vaccinés est bien plus importante que la population des gens non vaccinés. Donc ce “correctif”, si appliqué, viendrait changer drastiquement les chiffres dans un sens que les antivax ne voudraient absolument pas voir !
Le
03/01/2022 à
21h
40
Sur la base de statistiques. Il y a beaucoup moins de morts en proportion chez les vaccinés.
Rajoute également que parmi les vaccinés décédés, il y a une proportion non négligeable de personnes immunodéprimées, chez qui, par définition, le vaccin n’a pas (ou peu) d’effet. Et souvent, ces personnes ont également une comorbidité à l’origine de l’immunodépression (patient greffé, cancer, …) qui, en plus de rendre le vaccin peu efficace, augmente les risques de forme grave.
Le
03/01/2022 à
12h
44
je suis dubitatif devant ces mesures.
Bon, je veux bien admettre éventuellement pour les personnes en défaut de passe qui décident de se faire vacciner de faire sauter l’amende. Un moyen de pression supplémentaire (et encore, on est à la limite de dire qu’on paie les gens pour aller se faire vacciner).
Par contre, pour les personnes présentant un faux passe, on est au delà du choix de se faire vacciner ou non. C’est un acte frauduleux qui ne peut qu’être volontaire. Donc on est train de dire, vous pouvez faire un faux et vous serez pardonnez si vous vous faite vacciner ? J’avoue ne pas réussir à comprendre la logique derrière…
Mais c’est aussi à double tranchant. Il va y en avoir, notamment chez les hésitants, qui vont sauter sur l’occasion : ben non, je ne me fais pas vacciner, et je ne le ferai que si je me fais choper pour éviter l’amende.
Je vais faire de faux justificatifs pour éviter les impôts. Je ne suis pas certains que payer mes impôts m’empêchera de payer l’amende salée qui va accompagner le redressement
Certes, mais le numérique accentue encore la chose. Avec le numérique “ce qui n’est pas prévu n’est pas possible”. Avec un être humain, il y a toujours possibilité d’avoir un dialogue, de se renseigner, d’appeler un collègue, etc… ;)
Le
09/12/2021 à
13h
09
(reply:1917268:dvr-x) Il faut vivre avec son temps et relativiser un peu. On parle d’un formulaire pas des plus demandés et pas souvent par des personnes âgées.
Qu’importe que le formulaire soit demandé ou pas. C’est une constatation. Le service public est petit à petit remplacé par du 100% numérique.
Le jour où tu as besoin de discuter avec quelqu’un parce que ton dossier est un peu atypique, ou qu’il y a une erreur et c’est une galère sans nom pour réussir à avoir quelqu’un et résoudre le problème.
Il y a quelques années, mon frère à eu un problème lors du changement d’adresse sur sa carte grise. L’agent : faut le faire sur internet. Mon frère : oui mais ça ne marche pas, j’ai une erreur qui me dit de voir avec un agent. L’agent : il faut quand même le faire sur internet.
Et si tu te pointe au guichet complètement perdu, ils vont bien t’aider quand même à faire la démarche.
Justement non. Dans beaucoup d’endroit, ils vont te dire qu’il faut aller sur internet, de consulter la FAQ, etc… mais c’est débrouille toi.
Et tu es complètement dépendant de la disponibilité des services. J’ai refait ma carte d’identité. Rendez-vous obligatoirement en ligne. Pré-déclaration obligatoirement en ligne. Comment fais-tu lorsque tu ne peux pas faire ta pré-déclaration à cause de problèmes techniques (pb sur le site) ? J’ai réussi à la faire au bout d’une semaine, avec des essais quotidien. Et que le problème est encore plus ou moins présent depuis des semaines (une amie essaie de refaire le passeport de ses enfants, elle n’y arrive pas, le site bug).
Le 100% numérique, c’est efficace quand cela fonctionne et qu’on est dans le cas d’usage normal. Quand cela ne marche pas (site bogué, dossier atypique, personne perdue, etc…) il est normal de pouvoir se faire accompagner. Simplement se faire répondre “aller sur internet” est inadmissible.
Le
09/12/2021 à
10h
12
Le décret précise en outre qu’il « supprime la possibilité de se voir remettre en mains propres le bulletin n° 3 si le demandeur se présente au service.
Mais quand nos politiques comprendront que les services numériques doivent être là pour faciliter l’accès au service et non les remplacer ?
Malgré les plans haut débit, tout le monde n’a pas accès à internet. Tout le monde n’a pas un ordinateur chez soi. Tout le monde n’a pas un e-mail. Tout le monde n’a pas forcément France Connect.
Et quand l’accès à France Connect sera bloqué pour une raison X ou Y, la personne ne pourra bientôt plus faire AUCUNE DEMARCHE. Les guichets sont là aussi pour ça normalement…
La seconde partie de l’injonction de septembre n’est pas concernée : les développeurs pourront informer leurs clients que d’autres moyens de paiements existent.
Il y aura au moins cela de passer. Car c’est tout le problème du store d’Apple : l’impossibilité de prévenir qu’il existe des moyens alternatifs (et encore moins de communiquer sur une éventuelle différence de prix). Je n’ai jamais compris comment cette disposition a pu résister jusqu’à maintenant.
La banque doit rembourser tout mouvement qui n’est pas du fait du porteur tant que celui-ci l’a toujours en sa possession. La seule nuance c’est lorsqu’il y a utilisation du dispositif de sécurité (sécuripass, sécuricode, cyberplus, …), la banque peut retenir une franchise de 50 euros.
Pour être plus précis, la banque doit rembourser si elle ne peut pas prouver qu’il y a eu négligence de la part de son client. Si elle réussie à prouver la négligence, elle n’est pas tenue de rembourser, même si son client a toujours possession de sa carte.
Exemple de négligence : le client reçoit par SMS un code de confirmation. Il reçoit un appel soit disant de sa banque/d’un prince nigérian/de mata hari lui demandant le code. Si le client donne le code, il est en tord.
Mais attention ! Il ne suffit pas qu’il y ait eu négligence pour que la banque ne rembourse pas. Il faut qu’elle arrive à prouver cette négligence (ce qui est généralement très difficile).
Le
06/12/2021 à
10h
36
Horrigan a dit:
Si ils ont prévenu LDLC AVANT, alors oui, LDLC est responsable. Encore des managers pas doué :/
Cela montre la connaissance extrême que tu as de ce milieu. Il ne faut pas payer. Jamais. Ils ont les données, rien ne te prouve qu’il ne les revendrons pas par la suite. Ils seraient d’ailleurs bête de ne pas le faire ! C’est un moyen supplémentaire de se faire de l’argent.
C’est un groupe de pirate, pas des enfants de coeur. Des enfants de coeur aurait simplement notifier l’entreprise ainsi que les autorités compétentes (CNIL ou ANSII entre autres) avant éventuellement de divulguer la faille si toujours pas de réponse.
Et ils ont raison de continuer a le faire. Si tu les prévient d’une fuite, qu’il ne font rien, alors la menace reste la seule solution si l’entreprise ne fait rien.
“On a vos données. Filez nous 100 bitcoins ou on les dévoile”. Je n’appelle pas cela prévenir, j’appelle cela “faire chanter”.
Qu’ils continuent car ils auraient pu ne rien dire, j’espère qu’ils trouveront d’autres faille sur d’autres sites.
Ce sont des pirates qui agissent pour une seule chose : l’argent. Ton bien être et tes données, ils s’en fiche royalement autrement que par les aspects pécuniers. Tu es à la limite de l’apologie du piratage là !
Autant je comprends aisément les droits d’auteur tant que l’artiste est en vie, autant j’ai du mal à comprendre les 70 ans pour les héritiers (qui n’ont pas contribué à l’oeuvre et n’ont rien fait, si ce n’est être “bien nés”).
Du coup, si quelqu’un sait pourquoi les héritiers héritent des droits d’auteur pendant une période aussi longue (plusieurs décennies quand même), je serais bien curieux dans connaître la raison.
La connaissance d’une adresse mail permet de faire du phishing, et si tu as d’autres informations personnelles, c’est encore mieux.
Certes. Cependant, il n’y a malheureusement pas besoin d’avoir une violation de données pour recevoir du phishing. Donc ce n’est pas la fuite qui génère le risque, mais la simple utilisation de son adresse e-mail pour communiquer.
Le
02/12/2021 à
11h
40
QTrEIX a dit:
Une adresse email qui fuite peut entrainer des conséquences sur la sécurité, voilà pourquoi il est recommandé d’utiliser le 2FA.
C’est l’accès à une adresse e-mail qui peut poser problème, pas la connaissance de l’adresse elle-même. Car sinon, je crois qu’on arrêterait tous d’utiliser le mail depuis des lustres !
En tout cas, oui, le 2FA est un bon moyen de sécurisation, surtout pour quelque chose comme les mails (un mail corrompu, et c’est un accès potentiel à tous les services où ce mail est utilisé)
Le
02/12/2021 à
08h
21
Petit point avec le RGPD car je lis beaucoup de choses approximatives dans les commentaires et de croyances fausses.
En cas de violation de données à caractère personnel, quelles sont les obligations du responsable de traitement ? Tout d’abord, notifier la CNIL de la violation dans les 72h de sa découverte. Cette déclaration est une déclaration préliminaire et pourra être complétée par la suite une fois des investigations plus poussées faites.
Qu’est-ce qui doit être déclaré ? Grosso modo, la nature de la violation, le type de données qui a fuité, le nombre de personnes concernées par cette violation, les mesures prises pour éviter qu’elle ne se reproduise, ainsi que les conséquences pour les personnes concernées. Tout ne doit pas obligatoirement être déclarée lors de la déclaration préliminaire. Il faut donner les informations dont on dispose et les compléter dès que c’est possible.
Est-ce que les personnes concernées doivent être averties ? Seulement si le risque pour les personnes concernées est important. Par exemple, en cas de violation de mot de passe, de coordonnées bancaires ou de violation de données sensibles (opinions politiques, religieuses, etc…). S’il n’y a que nom / prénom / email, le risque est très faible donc cela n’est pas nécessaire.
Ici, LDLC a fait ce qui lui ait demandé. Il est en communication avec la CNIL et poursuit ses investigations pour déterminer l’impact exact de cette violation de données. Le fait que LDLC ait réalisé un communiqué pour avertir au plus tôt d’une violation me semble être un acte de transparence. Ce qui est tout à l’heure honneur. On peut parier qu’ils donneront de plus amples informations dès qu’ils auront pu déterminer avec exactitude les détails de cette violation de données.
Donc avant de crier au loup et de dire que c’est inadmissible qu’on ne soit pas déjà averti, attendons de voir. Vu les démarches qu’ils ont effectuées jusqu’à présent, si on doit être prévenu en tant que client (car oui, je suis client chez eux, donc potentiellement impacté), il ne tarderont pas à revenir vers nous, quand bien même le risque serait faible.
Si vous êtes parano, faite simple : changez votre mot de passe ! Pas besoin d’attendre plus longtemps pour ça ;)
D’un côté, on a un tuyaux d’une capacité limité. Tout va bien.
Puis un gros consommateur arrive (youtube, netflix, etc…) prenant 90% de la capacité du tuyau. Les autres services sont impactés car le tuyau est saturé. Le FAI doit donc investir pour augmenter la capacité de ses tuyaux.
Qui paie ? Une chose est sur : au final, ce sera le client ! Reste à savoir lequel (celui du FAI, ou celui des gros consommateurs)
Je râle un peu aussi contre les banques à ce niveau là. Surtout qu’elles imposent des restrictions sur le multifacteur.
Par exemple, pour mes 2 banques (pro et perso), l’application gérant le double facteur n’est activable que sur UN seul périphérique à la fois. Quand j’ai cassé mon téléphone en début d’année, j’étais très embêté pour le remplacer, car je ne pouvais pas valider la transaction. Allez commander un téléphone en urgence un 1er mai
Pour éviter que cela ne se produise, je me suis dit que j’allais aussi activer le système sur ma tablette. Que nenni. Un seul appareil activable, point barre.
Parce que pour moi acheter directement après une recherche sur un moteur de recherche, c’est comme acheter une montre patek philippe à un gars en pardessus à coté de la tour Eiffel : C’est l’assurance de se faire arnaquer.
Tout est dit. Tu es suffisamment averti pour le savoir. Pour beaucoup, une plateforme sur internet c’est juste un espace de vente. Point.
Là, avec le déréférencement, une personne qui cherche une peluche coco lapin ne tombera pas sur une peluche vendue par Wish. Oui, ça cible beaucoup de gens. Oui, c’est contournable (et facilement en plus). Le but n’est pas de bloquer Wish, mais de frapper suffisamment fort pour qu’ils fassent le ménage chez eux.
S’ils ne le font pas, le blocage sera sans doute l’étape suivante…
Le
30/11/2021 à
09h
02
Ce n’est pas seulement la proportionnalité de cette mesure franco-française qui interroge, mais aussi son efficacité. Ce déréférencement se contourne simplement en modifiant les « Paramètres de région », dans les options Google, afin de se localiser par exemple en Belgique. Ceci fait, Wish réapparaîtra dans les résultats.
En même temps, quelqu’un qui fait ça pour avoir wish… connait déjà wish et n’a donc pas besoin d’un moteur de recherche pour y accéder !
Si l’opération reste simple à faire, il faut la connaitre. A mon avis, cette mesure sera très efficace puisque beaucoup de personne achète après une recherche sur un moteur de recherche.
J’ai littéralement failli me pisser dessus jeune à cause de ça. Il devait être 2h du matin. Je jouais dans le noir à SIlent Hill, le son “à fond” pour entendre le moindre bruit. Moment tendu, l’angoisse à son paroxysme, et là, Avast qui m’annonce que la base de données virales a bien été mise à jour. J’ai du m’arrêter de jouer quelques minutes pour m’en remettre
Le
07/11/2021 à
16h
59
Tu pourras lancer tes applications compilées sur ta machine sans aucun soucis. Par contre, si les applications proviennent d’ailleurs (notamment internet), tu auras un message t’indiquant que l’éditeur de l’application est inconnu.
En effet, NTFS dispose de metadata au niveau des fichiers permettant d’en déterminer la source. Si c’est une source extérieure, le fichier est considéré comme non sûr si non signé (ou si la signature est invalide).
Un fichier compilé en local est considéré comme sur.
La différence est dans les temps de réponse. Dans un cas, tu peux dire immédiatement qu’il y a un problème. Dans l’autre, il faut attendre le timeout, qui peut atteindre plusieurs secondes voir dizaine de secondes.
Dans un cas, tu peux détecter le souci sans faire de requête explicite et prévenir l’utilisateur en amont. Dans l’autre, il faut envoyer obligatoirement la requête, et tu vois le problème si tu n’obtiens pas de réponse.
Ca ne marchera pas. Pour se faire rembourser, il faut préciser l’utilisation qui va être faite du dispositif de stockage. Pour de la revente, ils ne remboursent pas.
Tu peux toujours prétendre à un usage interne (ou autre), mais si tu commandes 10000 disques SSD par mois par exemple, je pense qu’ils vont avoir des doutes !
Le
30/10/2021 à
14h
17
La quasi totalité des études d’usages a été prise en charge par les AD. J’insiste :)
Je ne dis pas le contraire. J’essaie juste de comprendre où je me suis trompé ! J’avais compris que jusqu’à récemment, les études d’usage étaient réalisées à la demande du ministère de la Culture. J’ai d’ailleurs retrouvé la news qui précisait cela
Le 4 février 2021, je lis donc ceci :
En finançant eux-mêmes ces sondages, ils éviteront au ministère de la Culture de lancer un appel d’offres, procédure encadrée par des délais contraints.
Autrement dit, jusqu’à présent, ils ne les finançaient pas eux-mêmes. C’était à la charge du ministère de la Culture. C’est en tout cas comme ça que je comprends la news et cela correspondait à la vision que j’avais. Ou alors, est-ce qu’avant ils les finançaient mais de manière indirect ? (je n’y connais rien aux marchés publics donc je ne sais pas si c’est possible ou non).
Le
29/10/2021 à
16h
02
Je suis perplexe, j’ai l’impression de ne rien avoir compris ! lol.
Il me semblait que les précédentes études étaient demandées par le Ministère de la Culture, et du coup, avec marché public etc… C’est d’ailleurs ce que je retrouve dans cet article de 2017 écrit par un certain Marc Rees
Là, pour la dernière étude, il me semblait que les ayant-droits avaient dit, on paie l’étude, ce qui permet : 1) d’éviter le marché public et surtout 2) de diminuer fortement les délais (et donc d’instaurer de nouveaux barèmes plus tôt).
Qu’est-ce qui a changé alors par rapport à avant ?
Le
29/10/2021 à
07h
42
Pour couronner le tout, ce sont ces mêmes ayants droit qui financent les études d’usages qui servent à jauger les pratiques de copie d’un panel de personnel, avant détermination des montants. Une maitrise de toute la chaîne : des prémices des barèmes, aux rendements de la redevance qu’ils perçoivent.
Sauf erreur, ce n’est que la dernière étude qu’ils ont payés ainsi (histoire de faire aller vite les choses). Pour les précédentes, il me semble que ce n’était pas le cas.
cela permet à des salles de faire des entrées supplémentaires
cela ne concerne pas des oeuvres cinématographiques mais des productions indépendantes. C’est juste une diffusion en avant-première, pas une exploitation à long terme sur plusieurs semaines/mois par les cinémas de ces films.
Bref, tout le monde peut être gagnant. Netflix ET les cinémas.
Merci Marc. Il semblerait que je sois passé à coté de cet article ! Je le mets de côté pour y jeter un oeil de plus près d’ici peu (enfin aux documents) !
Le
22/10/2021 à
12h
48
oui, et avoir envie de dépenser un pognon de dingue pour faire de nouvelles études d’usage pour infirmer les résultats des études d’usages commandées par Copie France.
pas forcément. La connaissance des résultats de l’enquête peut suffire en tant que telle. Présence de biais, méthodologie erronée, échantillon non représentatif, …
Le
22/10/2021 à
12h
05
Pour pouvoir démontrer que les études d’usage sont fausses, il faudrait déjà être en possession de ces études d’usages.
Sauf erreur, aucune n’a été publié à ce jour. Je crois que Marc a fait des demandes CADA à ce sujet, mais je ne sais plus où est-ce que cela en est !
Le
22/10/2021 à
09h
11
MarcRees a dit:
Sauf que Copie France considérait que les reconditionnés étaient épargnés. En témoigne la lettre de 2018 que j’ai sortie. Bon… il est vrai que cette lettre s’inscrivait dans une fenêtre douloureuse : un exportateur espérait se faire rembourser par le collecteur de la RCP env. 5000 € de redevances qui lui avaient été facturés par un vendeur de téléphones d’occasion.
L’exportateur ne pourrait pas revenir à la charge et demander le remboursement ? Après tout, le reconditionné est assujeti ou il ne l’est pas. Ou alors c’est la RCP de Schrödinger
Le
21/10/2021 à
17h
07
Heureusement que la priorité numéro 1 c’est l’écologie… derrière le portefeuille des ayants-droits
Pas vraiment : avoir un fichier d’entête et un fichier de définition, c’est un overhead très limité par rapport à tout mettre dans le même fichier (en C++, ça va t’éviter de recompiler le code à chaque fois qu’il est inclus aussi). Écrire une signature de méthode et cliquer dessus pour choisir “Implémenter”, ça te fait perdre 1⁄2 seconde, ce n’est pas ça qui va fondamentalement changer ton temps de développement.
Ca c’est quand tu as un bon IDE. Rajoute le temps pour passer d’un fichier à l’autre, maintenir des versions cohérentes entre la signature et une implémentation, etc… Et tu verras que cela n’est pas négligeable.
Et quand tu n’as pas un bon IDE, ben c’est encore pire :)
Pour ce qui est de la durée de compilation, il y a un certain nombre de techniques qui permettent de la réduire (Pimpl notamment) et évitent accessoirement de péter ton ABI quand tu fais une modification sur une bibliothèque.
Utiliser des techniques pour réduire le temps de compilation, c’est pour moi, une mauvaise pratique. Ecrire ton code en vue de minimiser le temps de compilation, c’est le meilleur moyen d’avoir un code de mauvaise qualité.
Pour ma part, la technique Pimpl, c’est plutôt pour fournir une ABI stable. Que cela réduise ou pas les temps de compilation, c’est du bonus :)
Et si tu veux réduire les temps de compilation, tu oublies la métaprogrammation et tu fais du C objet (par exemple, gtk fait cela très bien).
Il y a un tas de cas où tu peux faire du C++ et pas du Java, notamment l’embarqué (quand tu as qql centaines de KB de RAM et/ou de flash, tu peux oublier Java).
Je n’ai jamais dis le contraire. J’ai juste dit que dans la majorité des cas, le choix relevait plus d’une préférence que d’une contrainte, et que dans ce cas, les deux sont généralement interchangeables.
Le
25/10/2021 à
19h
39
tazvld a dit:
C++ permet certain paradigme de programmation très efficace (justement le template metaprogramming et tout ce qui est template specialization par exemple). Oui, des algos basiques sont peut peut-être similaire mais à priori, même là, C++ semble avoir toujours un avantage indéniable (même un reverse-complement qui est pourtant une opération simple de manipulation de vector)
Le lien que je donne est d’ailleurs intéressant à plus d’un titre, puisqu’il essaie d’expliquer parfois des bizarreries, comme le même algo, qui est 2x plus rapide ou 2x plus lent en fonction de la taille des données (lié à la notion de localité dont je parlais précédemment).
Il faut se méfier des benchmarks. En faire un juste et sans biais, c’est très difficile. Un biais classique, c’est sur la gestion des tableaux. Utiliser un vector en C++ et utiliser l’opérateur d’indexation induit un biais invisible pour l’oeil non averti, car en C++, l’opérateur d’indexation ne fait aucune vérification quant à la taille du tableau, contrairement au java. Pour avoir moins de biais, il faut utiliser la méthode at().
Il faut également s’assurer que l’algorithme utilisé dans un cas comme dans l’autre est implémenté exactement de la même manière, ce qui ne semble pas être le cas pour le reverse-complément que tu cites par exemple.
Comme il a été dit, souvent, l’une des problèmes c’est les allocutions mémoires dans le tas. Or, il peut être intéressant de plutôt privilégier l’allocution dans la pile (qui est “gratuite”) lorsque l’on sait que l’objet n’a pas a exister en dehors du bloc. C’est possible assez explicitement en C++ en n’utilisant des “new” uniquement lorsque c’est nécessaire, cela parfois implique d’instancier des objet en amont (par exemple, tu passes par référence où il faut stocker le résultat d’une function). D’où pourquoi je dis qu’il faut savoir quand créer un objet. En Java, je ne sais pas si les objet qui n’existe que dans une méthode sont crées dans la pile.
On est tout à fait d’accord. Pour java je ne sais pas (je suis plutôt C# ;) ). En C#, c’est possible en tout cas pour certains types (pas tous).
Sinon, pour le temps, c’est bien souvent plus rentable de coder en Java qu’en C++, C ou ASM. C’est justement l’un des avantages de java. Et ce n’est pas pour rien que Java et C# on autant de succès. Ce sont des langages qui sont parfaitement adapté aux entreprises et au gros projets.
Je ne peux qu’être d’accord. Ayant “bouffé” du C++ et de l’assembleur par le passé, j’ai bien vu le gain de temps en terme de codage depuis que j’utilise du C# !
Et selon moi, Minecraft est l’exemple comme quoi Java montre très vite ses limites dans le cadre d’un jeu-vidéo lorsqu’on le compare avec sa contrepartie en C++.
Pas tout à fait d’accord. La première version était en Java. D’autres ont suivi en C++. Pour des questions de performance peut être, mais à mon avis, c’était plus la portabilité qui était en vue, notamment pour les smartphones/tablettes. Et comme tout est question de coût aussi, il fallait pouvoir mutualiser le maximum de code, quelque soit la plateforme cible.
Et tu le disais toi même plus haut, certains mods arrivaient à accroitre les performances de l’implémentation en Java. C’est donc bien que c’est l’implémentation qui était bancale plus que le langage lui-même.
Surtout qu’aujourd’hui, le compilateur JIT, qui permet de traduire un bytecode en langage machine, est vraiment très performant et fourni parfois de bien meilleures optimisations qu’un gcc -O3, pour la simple et bonne raison que le compilateur JIT peut traduire plusieurs fois le même code, en fonction du nombre d’appels d’une méthode par exemple, et bénéficier de statistiques sur les branchements à l’exécution (est-ce le if ou le else qui est le plus fréquemment rencontré ? etc…).
Au final, chaque langage a une raison d’exister. Ils ont chacun leurs avantages, leurs défauts, leurs usages.
Yep, je n’aurais pas dit mieux :)
Le
25/10/2021 à
11h
35
tazvld a dit:
Java et C++ sont 2 langages différents aux usages différents.
Pas tant que ça. Hormis pour des trucs très spécifique, le choix de l’un ou de l’autre résulte plus d’une préférence que d’une contrainte technique.
Développer un truc en C++ prendra surement beaucoup plus de temps que faire la même chose en Java (même si C++ commence à avoir quelques facilité)
Sauf qu’aujourd’hui, c’est le temps de dev qui coute le plus ! Le C++ nécessite plus de temps pour deux raisons principales : c’est plus long à écrire (plus de fichiers, notamment à cause des entêtes absent en java) et c’est plus long à compiler (et je ne parle même pas de la métaprogrammation qui peut faire exploser de manière exponentielle les temps de compilation).
mais les performances sont largement meilleurs.
Il faut voir ce que l’on appel performance largement meilleure. Aujourd’hui, le même algo écrit en C++ ou en java on des performances quasi-identiques à quelques % près (avantage pour l’un ou l’autre, cela dépend des cas).
Là où il me semble que Java est le plus pénalisé par rapport au C/C++, c’est sur les calculs flottants. Si je ne dis pas de bêtise, la JVM travaille forcément sur une représentation 64 bits, là où les processeurs x86/x64 peuvent travailler sur 80 bits par exemple. C’est malheureusement une contrainte nécessaire pour garantir un fonctionnement identique indépendamment de la plateforme (car le passage 64 -> 80 bits et 80 -> 64 amènent à des arrondis qui peuvent modifier légèrement les calculs pour un même algorithme en fonction de sa traduction en code machine). Du coup, je ne suis pas certains que la JVM puisse utiliser directement les instructions à calculs flottant, en tout cas, pas sans prendre quelques précautions.
Oui, il faut penser dès la conception à la vie d’un objet, quand le créer, quand le détruire et tout ces trucs d’optimisation que finalement Java va faire plus ou moins bien automatiquement.
Hormis la destruction explicite objets, le programmeur a toujours la main sur ce qu’il fait, comme en C++. Rien à voir avec le langage Java en particulier.
Le
24/10/2021 à
19h
45
tazvld a dit:
Ceci ce fait au prix d’un gerbage collector qui rend instable les performances.
Le ramasse-miettes est un paradigme différent de celui de l’allocation/libération de la mémoire que l’on retrouve en C/C++.
Quand un programme est mal ficelé en C/C++, tu as des fuites de mémoires. Quand un programme est mal ficelé en Java (ou .Net, puisque le principe est exactement le même), tu as des problèmes de performance.
Ce qui rend instable les performances, c’est les erreurs de conceptions et les bugs.
En C/C++, la libération de la mémoire est en O(1) tandis que l’allocation est en O(quelque chose) qui dépend fortement de l’algorithme d’allocation et du contexte d’appel.
En Java, l’allocation est en O(1), et il n’y a pas de libération. Bon, l’allocation est en O(1) si le ramasse-miettes ne s’exécute pas. Ce qui est le cas lorsque la pression sur la mémoire devient trop importante.
L’inconvénient du ramasse-miettes, c’est que son lancement est non déterministe. On ne sait pas exactement quand il se lance. Mais cela ne veut pas dire qu’on ne peut rien faire. On peut indiquer des points où il devrait se lancer (ou en tout cas, vérifier s’il doit se lancer) parce qu’on sait que c’est pertinent (chargement d’une map, suppression d’une quantité importante de ressources utilisées, etc…). C’est tout un art ! A contrario, le faire au mauvais moment peut bien sûr aggraver la situation !
Et dans le cadre d’un jeu, où le FPS est important, un bon programme est un programme qui ne fait pas d’allocation (ou très peu), car c’est un facteur d’indéterminisme, que cela soit en C/C++ ou en Java.
Dire que Java n’est pas adapté pour le jeu car le ramasse-miettes ralenti le jeu de manière aléatoire c’est en réalité mettre en cause la conception même du jeu.
Un autre point du ramasse-miettes, c’est que lorsqu’il se lance, il “compacte” la mémoire, c’est à dire qu’il va déplacer la mémoire allouée afin de combler les trous des objets qui ont été libérés. Cela permet de continuer d’offrir des performances d’allocation en O(1), tout en participant au principe de localité (des objets utilisés en même temps sont souvent créés en même temps, ce qui peut diminuer la pression sur les bus mémoires).
Donc en gros, il n’y a pas forcément une méthode qui est meilleure qu’une autre. Ce sont deux paradigmes de gestion de la mémoire qui sont différents, chacun avec ses avantages et ses inconvénients.
Franchement, j’apprécie énormément ce que vous faite. Contenu de qualité, pertinent et indépendant. Vous me faite gagner un temps de dingue en terme de veille technologique et je vous le rend bien ;)
En fait, ce n’est pas la connaissance d’une faille qui donne le début des 72h mais quandle responsable du traitement a un degré de certitude raisonnable qu’un incident a eu lieu et a touché des données personnelles. (lire le § Quand faut-il notifier à la CNIL ?). Il faut donc ajouter la durée de la phase d’investigation que l’on ne connaît pas.
C’est plus compliqué que cela. Sinon, les “mauvais joueurs” n’examineraient jamais les failles. “Ah non ! On n’avait pas de déclaration à faire, puisqu’on a jamais su :p”.
Ici, il s’agissait quand même d’un bug bunty. Donc les conséquences étaient connues relativement tôt (dès la déclaration). Reste le côté exploitation. Est-ce que cette faille a été exploitée ? Si oui, cela concerne combien de personnes ? Des questions un peu plus dur à répondre.
C’est pour cela que le RGPD précise bien que les 72h, c’est la déclaration initiale. Déclaration qui peut être complétée par la suite pour apporter des éléments nouveaux.
Ici, on a un réseau social avec des centaines de millions d’utilisateurs. Devant l’ampleur potentielle, c’est déclaration à l’autorité compétente dès notification, car le nombre d’utilisateurs potentiellement impactés est un des critères permettant de juger de la criticité d’une violation.
D’ailleurs, c’est un des exemples que donne la CNIL où le responsable de traitement est considéré comme étant informé de la violation, dès lors qu’un cybercriminel contacte le responsable du traitement et lui indique qu’il a pu subtiliser des données sur les serveurs de la société (bug bounty, donc même si le terme cybercriminel me parait mal choisi ici, on est dans ce cas de figure).
Après, faut être pragmatique. Une déclaration tardive sera reprochée. Une déclaration inutile non. Donc vaut mieux faire une déclaration, quitte à dire ensuite, qu’après enquête, il n’y a pas eu de violation ou violation mais sans conséquence notable.
Le
20/10/2021 à
16h
17
La RGPD n’était pas mis en place le 4 novembre 2014
C’est la date de notification ou de découverte de la faille qui compte. Donc, oui, le RGPD était bien en place.
La faille a été notifié le 26 décembre 2018. Le RGPD donne 72h pour la notifier, soit jusqu’au 29 décembre 2018. D’où ma question : pourquoi le 3 janvier 2019 ?
2418 commentaires
La CNIL va vérifier la conformité d'Elyze, le Tinder de la présidentielle
Le 19/01/2022 à 10h 04
Sauf qu’une donnée anonymisée (et non seulement pseudonymisée) n’est pas une donnée à caractère personnel. Donc non soumise au RGPD !
FFmpeg 5.0 Lorentz disponible, un gros nettoyage à la clé
Le 18/01/2022 à 08h 56
Quel lien existe-t-il entre Videolan et FFmpeg, hormis le fait que VLC utilise les librairies de FFmpeg en interne ?
Car a ma connaissance, Jean-Baptiste Kempf n’est pas lié à ce projet (ou j’ai zappé l’info) mais est quand même cité 3x dans la news tandis que le site de FFmpeg… n’est pas cité ! Du coup, cela donne l’impression qu’il fait partie de l’équipe alors que je ne crois pas que cela soit le cas. (Attention, je ne dis pas qu’il ne peut pas y avoir des contributions, juste que la maintenance n’est pas gérée par VideoLan ni JBK)
Et concernant le LTS, de ce que je comprends, c’est un souhait d’un utilisateur, pas le reflet de la politique de ceux qui gèrent FFmpeg.
Contenus illicites : les nouvelles obligations des grandes plateformes
Le 17/01/2022 à 18h 30
Je sens aussi qu’on va rigoler avec la définition de “visiteur unique”. Est-ce qu’on ne compte que les visiteurs identifiés ? Un utilisateur se connecte depuis 3 appareils. Ca compte comme 1 visiteur ou comme 3 ?
Quid des non identifiés ? On ajoute des cookies traceurs ? Du coup, si la personne refuse de donner son consentement, on fait comment ? On compte 1000x fois une personne ou on ne la compte pas ?
C’est également une porte ouverte pour passer outre le consentement pour les cookies, dans la mesure où il pourrait devenir un moyen de répondre à une obligation légale….
Et faut-il compter dans les visiteurs ceux qui visite de manière indirecte, par exemple, un article dans un journal qui republierait une série de tweets ?
Ces questions sont importantes car mine de rien, si on considère les visiteurs uniques seulement comme les abonnés se connectant par exemple, je ne pense pas que Twitter atteigne la limite des 10 millions (cela m’étonnerait qu’un résident sur 6 du territoire français utilise twitter).
Baby Shark Dance dépasse les 10 milliards de vues sur YouTube
Le 14/01/2022 à 19h 31
Le 14/01/2022 à 09h 33
Je ne connaissais pas.
Je vous déteste maintenant…
doo doo doo doo doo doo
Je vous déteste maintenant…
doo doo doo doo doo doo
Lourdes amendes CNIL à l'encontre des cookies Google et Facebook : notre décryptage
Le 11/01/2022 à 09h 08
êtes-vous sûr de ne pas détester l’idée de ne pas vouloir ne pas envisager la possibilité de ne pas refuser l’opposition à l’acceptation du refus des cookies ?
Le 07/01/2022 à 14h 37
Il me parait injuste de retenir la date de 2014. Un texte certes adopté par le parlement européen, mais modifié jusqu’à fin 2015 et n’ayant aucune valeur juridique car non en vigueur.
Ce n’est qu’en 2016 qu’il rentre en vigueur, et en 2018 qu’il est applicable. Rappelons nous aussi que certains points ont été éclaircis APRES que le RGPD soit applicable. La CNIL se cherchait encore beaucoup par rapport à ce texte en 2018.
Donc grosso modo, à cause du manque d’anticipation de la CNIL pour publier ses guides, etc… les professionnels ont du attendre l’application en mai 2018 du RGPD pour se mettre en conformité. A cause de cette mise en conformité tardive, la CNIL a du attendre après la mise en application pour statuer sur certaines pratiques.
Sans vouloir défendre ni la CNIL, ni les autres, la CNIL a du attendre l’application du RGPD pour agir. Certains ont trouvé des solutions imaginatives (comme les cookie paywall), et je suis certains que la CNIL n’avait tout simplement pas anticiper se genre de solution.
En tant que professionnel de l’informatique et à l’affut du RGPD, j’ai regretté le manque d’information sur pas mal de chose et l’absence de guide avant mai 2018 de la part de la CNIL. Ils se sont beaucoup rattrapé depuis, mais c’est vrai qu’en tant que professionnel, c’est délicat de savoir ce qui est ou n’est pas autorisé à partir uniquement du RGPD lui-même. Il y a beaucoup de points qui sont soumis à interprétation et sont empreint de subjectivité.
En tout cas, je suis d’accord pour dire vaut mieux tard que jamais.
Merci ! Reste à savoir l’utilisation qui est fait de ces fonds.
Ne pas oublier non plus que c’est proportionnel par rapport aux utilisateurs en France. Taxer le CA mondial et non le bénéfice national (qui est quasi nul) ce n’est déjà pas rien. Avoir une amende de ce niveau pour 1% des utilisateurs c’est loin d’être indolore, surtout que ce n’est pas la première amende en France que se paie Google et Facebook depuis l’entrée l’application du RGPD.
Ces entités sont également sanctionnables dans les autres pays européens. Le luxembourg peut avoir la main très lourde (je crois me souvenir d’une amende de 700 millions d’€ à l’encontre d’Amazon).
Voilà, donc tout mis bout à bout, ce n’est pas rien. L’objectif du RGPD n’est pas non plus de faire fermer ces entités, ni même de les empêcher de pomper nos données. L’objectif du RGPD c’est qu’on soit au courant du pompage, de nos droits et que l’on puisse les faire appliquer.
Sinon, sur le sérieux de la CNIL, cela dépend de sur qui on tombe, comme dans beaucoup d’endroit. Par 3 fois j’ai posé une question sur l’usage du NIR (notamment, le droit ou pas de parser le NIR, non pas pour en extraire les infos, mais pour lever des alertes si les infos parsées ne correspondaient pas aux informations que nous avions), par 3 fois j’ai eu la même réponse à côté de la plaque en me disant de me référer à la FAQ et spécifiant qui avait le droit d’utiliser le NIR.
Le 07/01/2022 à 08h 12
Une question pour toi Marc : où va l’argent des amendes, et à quoi sert-il ? Enfin si on le sait !
Passe vaccinal : la solution du député Philippe Latombe pour éviter la vérification d'identité
Norme plaine
Le 11/01/2022 à 08h 50
Comme certains, je reste un peu dubitatif sur la réalisation technique. De ce que je comprends, la norme 105 est similaire à la 101, la rigidité en moins. De ce fait, inclure une photo dans un Datamatrix est possible en théorie, mais confronté à un problème de taille (sans jeu de mot
).
En tout cas, encore une fois, on ne peut que déplorer le fait que les normes AFNOR soient payantes… impossible donc de vérifier plus en détail ce qu’il est possible ou non de faire, sauf à sortir le porte-monnaie !
Faux passe vaccinal : l’amende ou le vaccin... un droit au repentir par la seringue
Tour de passe-passe vaccinal
Le 05/01/2022 à 08h 13
C’est pas faux. Et justement, il y a un article dans https://www.lemonde.fr/les-decodeurs/article/2022/01/04/covid-19-la-majorite-des-patients-en-reanimation-sont-bien-non-vaccines_6108190_4355770.html ce matin qui le mentionne.
Grosso modo :
Il serait donc intéressant de tenir compte de ses effets dans les statistiques, en retirant les 10% des vaccinés hospitalisés pour autre chose, et en réaffectant les 5% + 40% à la catégorie des non vaccinés (puisque le but c’est de vérifier statistiquement l’efficacité des vaccins). Sachant que la proportion de gens vaccinés au sein de la population Française est aux alentours des 90%, la population des gens vaccinés est bien plus importante que la population des gens non vaccinés. Donc ce “correctif”, si appliqué, viendrait changer drastiquement les chiffres dans un sens que les antivax ne voudraient absolument pas voir !
Le 03/01/2022 à 21h 40
Rajoute également que parmi les vaccinés décédés, il y a une proportion non négligeable de personnes immunodéprimées, chez qui, par définition, le vaccin n’a pas (ou peu) d’effet. Et souvent, ces personnes ont également une comorbidité à l’origine de l’immunodépression (patient greffé, cancer, …) qui, en plus de rendre le vaccin peu efficace, augmente les risques de forme grave.
Le 03/01/2022 à 12h 44
je suis dubitatif devant ces mesures.
Bon, je veux bien admettre éventuellement pour les personnes en défaut de passe qui décident de se faire vacciner de faire sauter l’amende. Un moyen de pression supplémentaire (et encore, on est à la limite de dire qu’on paie les gens pour aller se faire vacciner).
Par contre, pour les personnes présentant un faux passe, on est au delà du choix de se faire vacciner ou non. C’est un acte frauduleux qui ne peut qu’être volontaire. Donc on est train de dire, vous pouvez faire un faux et vous serez pardonnez si vous vous faite vacciner ? J’avoue ne pas réussir à comprendre la logique derrière…
Mais c’est aussi à double tranchant. Il va y en avoir, notamment chez les hésitants, qui vont sauter sur l’occasion : ben non, je ne me fais pas vacciner, et je ne le ferai que si je me fais choper pour éviter l’amende.
Je vais faire de faux justificatifs pour éviter les impôts. Je ne suis pas certains que payer mes impôts m’empêchera de payer l’amende salée qui va accompagner le redressement
Vous pouvez demander le bulletin n° 3 de votre casier judiciaire via France Connect
Le 09/12/2021 à 20h 07
Certes, mais le numérique accentue encore la chose. Avec le numérique “ce qui n’est pas prévu n’est pas possible”. Avec un être humain, il y a toujours possibilité d’avoir un dialogue, de se renseigner, d’appeler un collègue, etc… ;)
Le 09/12/2021 à 13h 09
Qu’importe que le formulaire soit demandé ou pas. C’est une constatation. Le service public est petit à petit remplacé par du 100% numérique.
Le jour où tu as besoin de discuter avec quelqu’un parce que ton dossier est un peu atypique, ou qu’il y a une erreur et c’est une galère sans nom pour réussir à avoir quelqu’un et résoudre le problème.
Il y a quelques années, mon frère à eu un problème lors du changement d’adresse sur sa carte grise. L’agent : faut le faire sur internet. Mon frère : oui mais ça ne marche pas, j’ai une erreur qui me dit de voir avec un agent. L’agent : il faut quand même le faire sur internet.
Justement non. Dans beaucoup d’endroit, ils vont te dire qu’il faut aller sur internet, de consulter la FAQ, etc… mais c’est débrouille toi.
Et tu es complètement dépendant de la disponibilité des services. J’ai refait ma carte d’identité. Rendez-vous obligatoirement en ligne. Pré-déclaration obligatoirement en ligne. Comment fais-tu lorsque tu ne peux pas faire ta pré-déclaration à cause de problèmes techniques (pb sur le site) ? J’ai réussi à la faire au bout d’une semaine, avec des essais quotidien. Et que le problème est encore plus ou moins présent depuis des semaines (une amie essaie de refaire le passeport de ses enfants, elle n’y arrive pas, le site bug).
Le 100% numérique, c’est efficace quand cela fonctionne et qu’on est dans le cas d’usage normal. Quand cela ne marche pas (site bogué, dossier atypique, personne perdue, etc…) il est normal de pouvoir se faire accompagner. Simplement se faire répondre “aller sur internet” est inadmissible.
Le 09/12/2021 à 10h 12
Mais quand nos politiques comprendront que les services numériques doivent être là pour faciliter l’accès au service et non les remplacer ?
Malgré les plans haut débit, tout le monde n’a pas accès à internet. Tout le monde n’a pas un ordinateur chez soi. Tout le monde n’a pas un e-mail. Tout le monde n’a pas forcément France Connect.
Et quand l’accès à France Connect sera bloqué pour une raison X ou Y, la personne ne pourra bientôt plus faire AUCUNE DEMARCHE. Les guichets sont là aussi pour ça normalement…
App Store : Apple peut finalement continuer à verrouiller les paiements (pour le moment)
Le 09/12/2021 à 10h 05
Il y aura au moins cela de passer. Car c’est tout le problème du store d’Apple : l’impossibilité de prévenir qu’il existe des moyens alternatifs (et encore moins de communiquer sur une éventuelle différence de prix). Je n’ai jamais compris comment cette disposition a pu résister jusqu’à maintenant.
L'avenir du Web version Hadopi ? Un blocage à tous les étages
Le 08/12/2021 à 20h 24
LDLC piraté par Ragnar Locker, la diffusion de données aurait commencé
Le 06/12/2021 à 15h 32
Pour être plus précis, la banque doit rembourser si elle ne peut pas prouver qu’il y a eu négligence de la part de son client. Si elle réussie à prouver la négligence, elle n’est pas tenue de rembourser, même si son client a toujours possession de sa carte.
Exemple de négligence : le client reçoit par SMS un code de confirmation. Il reçoit un appel soit disant de sa banque/d’un prince nigérian/de mata hari lui demandant le code. Si le client donne le code, il est en tord.
Mais attention ! Il ne suffit pas qu’il y ait eu négligence pour que la banque ne rembourse pas. Il faut qu’elle arrive à prouver cette négligence (ce qui est généralement très difficile).
Le 06/12/2021 à 10h 36
Cela montre la connaissance extrême que tu as de ce milieu. Il ne faut pas payer. Jamais. Ils ont les données, rien ne te prouve qu’il ne les revendrons pas par la suite. Ils seraient d’ailleurs bête de ne pas le faire ! C’est un moyen supplémentaire de se faire de l’argent.
C’est un groupe de pirate, pas des enfants de coeur. Des enfants de coeur aurait simplement notifier l’entreprise ainsi que les autorités compétentes (CNIL ou ANSII entre autres) avant éventuellement de divulguer la faille si toujours pas de réponse.
“On a vos données. Filez nous 100 bitcoins ou on les dévoile”. Je n’appelle pas cela prévenir, j’appelle cela “faire chanter”.
Ce sont des pirates qui agissent pour une seule chose : l’argent. Ton bien être et tes données, ils s’en fiche royalement autrement que par les aspects pécuniers. Tu es à la limite de l’apologie du piratage là !
[tribune] Le copyright trolling en matière de photographie : un exemple de dévoiement du droit d’auteur ?
Le 05/12/2021 à 14h 38
Autant je comprends aisément les droits d’auteur tant que l’artiste est en vie, autant j’ai du mal à comprendre les 70 ans pour les héritiers (qui n’ont pas contribué à l’oeuvre et n’ont rien fait, si ce n’est être “bien nés”).
Du coup, si quelqu’un sait pourquoi les héritiers héritent des droits d’auteur pendant une période aussi longue (plusieurs décennies quand même), je serais bien curieux dans connaître la raison.
LDLC victime d’« un incident de cybersécurité », des « données à caractère personnel ont pu être consultées »
Le 02/12/2021 à 17h 46
Certes. Cependant, il n’y a malheureusement pas besoin d’avoir une violation de données pour recevoir du phishing. Donc ce n’est pas la fuite qui génère le risque, mais la simple utilisation de son adresse e-mail pour communiquer.
Le 02/12/2021 à 11h 40
C’est l’accès à une adresse e-mail qui peut poser problème, pas la connaissance de l’adresse elle-même. Car sinon, je crois qu’on arrêterait tous d’utiliser le mail depuis des lustres !
En tout cas, oui, le 2FA est un bon moyen de sécurisation, surtout pour quelque chose comme les mails (un mail corrompu, et c’est un accès potentiel à tous les services où ce mail est utilisé)
Le 02/12/2021 à 08h 21
Petit point avec le RGPD car je lis beaucoup de choses approximatives dans les commentaires et de croyances fausses.
En cas de violation de données à caractère personnel, quelles sont les obligations du responsable de traitement ?
Tout d’abord, notifier la CNIL de la violation dans les 72h de sa découverte. Cette déclaration est une déclaration préliminaire et pourra être complétée par la suite une fois des investigations plus poussées faites.
Qu’est-ce qui doit être déclaré ?
Grosso modo, la nature de la violation, le type de données qui a fuité, le nombre de personnes concernées par cette violation, les mesures prises pour éviter qu’elle ne se reproduise, ainsi que les conséquences pour les personnes concernées. Tout ne doit pas obligatoirement être déclarée lors de la déclaration préliminaire. Il faut donner les informations dont on dispose et les compléter dès que c’est possible.
Est-ce que les personnes concernées doivent être averties ?
Seulement si le risque pour les personnes concernées est important. Par exemple, en cas de violation de mot de passe, de coordonnées bancaires ou de violation de données sensibles (opinions politiques, religieuses, etc…). S’il n’y a que nom / prénom / email, le risque est très faible donc cela n’est pas nécessaire.
Et pour ceux qui veulent aller plus loin, comme toujours dans ce cas, ne pas hésiter à contacter la CNIL. Elle a d’ailleurs fait un petit rappel sur comment notifier une violation
Ici, LDLC a fait ce qui lui ait demandé. Il est en communication avec la CNIL et poursuit ses investigations pour déterminer l’impact exact de cette violation de données. Le fait que LDLC ait réalisé un communiqué pour avertir au plus tôt d’une violation me semble être un acte de transparence. Ce qui est tout à l’heure honneur. On peut parier qu’ils donneront de plus amples informations dès qu’ils auront pu déterminer avec exactitude les détails de cette violation de données.
Donc avant de crier au loup et de dire que c’est inadmissible qu’on ne soit pas déjà averti, attendons de voir. Vu les démarches qu’ils ont effectuées jusqu’à présent, si on doit être prévenu en tant que client (car oui, je suis client chez eux, donc potentiellement impacté), il ne tarderont pas à revenir vers nous, quand bien même le risque serait faible.
Si vous êtes parano, faite simple : changez votre mot de passe ! Pas besoin d’attendre plus longtemps pour ça ;)
Neutralité du Net : 13 FAI européens voudraient faire payer les « Big Tech » américains
Le 02/12/2021 à 12h 44
Dans un sens, je comprends.
D’un côté, on a un tuyaux d’une capacité limité. Tout va bien.
Puis un gros consommateur arrive (youtube, netflix, etc…) prenant 90% de la capacité du tuyau. Les autres services sont impactés car le tuyau est saturé. Le FAI doit donc investir pour augmenter la capacité de ses tuyaux.
Qui paie ? Une chose est sur : au final, ce sera le client ! Reste à savoir lequel (celui du FAI, ou celui des gros consommateurs)
La CNIL recommande d’utiliser l’authentification multifacteur pour vos comptes en ligne
Le 02/12/2021 à 12h 37
Je râle un peu aussi contre les banques à ce niveau là. Surtout qu’elles imposent des restrictions sur le multifacteur.
Par exemple, pour mes 2 banques (pro et perso), l’application gérant le double facteur n’est activable que sur UN seul périphérique à la fois. Quand j’ai cassé mon téléphone en début d’année, j’étais très embêté pour le remplacer, car je ne pouvais pas valider la transaction. Allez commander un téléphone en urgence un 1er mai
Pour éviter que cela ne se produise, je me suis dit que j’allais aussi activer le système sur ma tablette. Que nenni. Un seul appareil activable, point barre.
Wish.com déréférencé de Google.fr, une mesure à l’efficacité peu redoutable
Le 30/11/2021 à 20h 19
Tout est dit. Tu es suffisamment averti pour le savoir. Pour beaucoup, une plateforme sur internet c’est juste un espace de vente. Point.
Là, avec le déréférencement, une personne qui cherche une peluche coco lapin ne tombera pas sur une peluche vendue par Wish. Oui, ça cible beaucoup de gens. Oui, c’est contournable (et facilement en plus). Le but n’est pas de bloquer Wish, mais de frapper suffisamment fort pour qu’ils fassent le ménage chez eux.
S’ils ne le font pas, le blocage sera sans doute l’étape suivante…
Le 30/11/2021 à 09h 02
En même temps, quelqu’un qui fait ça pour avoir wish… connait déjà wish et n’a donc pas besoin d’un moteur de recherche pour y accéder !
Si l’opération reste simple à faire, il faut la connaitre. A mon avis, cette mesure sera très efficace puisque beaucoup de personne achète après une recherche sur un moteur de recherche.
Windows 11 : certaines applications intégrées peuvent ne plus fonctionner à cause d’un certificat
Le 07/11/2021 à 17h 02
J’ai littéralement failli me pisser dessus jeune à cause de ça. Il devait être 2h du matin. Je jouais dans le noir à SIlent Hill, le son “à fond” pour entendre le moindre bruit. Moment tendu, l’angoisse à son paroxysme, et là, Avast qui m’annonce que la base de données virales a bien été mise à jour. J’ai du m’arrêter de jouer quelques minutes pour m’en remettre
Le 07/11/2021 à 16h 59
Tu pourras lancer tes applications compilées sur ta machine sans aucun soucis. Par contre, si les applications proviennent d’ailleurs (notamment internet), tu auras un message t’indiquant que l’éditeur de l’application est inconnu.
En effet, NTFS dispose de metadata au niveau des fichiers permettant d’en déterminer la source. Si c’est une source extérieure, le fichier est considéré comme non sûr si non signé (ou si la signature est invalide).
Un fichier compilé en local est considéré comme sur.
Redis : stockez des clés/valeurs en mémoire (mais pas que)
Le 07/11/2021 à 15h 26
La différence est dans les temps de réponse. Dans un cas, tu peux dire immédiatement qu’il y a un problème. Dans l’autre, il faut attendre le timeout, qui peut atteindre plusieurs secondes voir dizaine de secondes.
Dans un cas, tu peux détecter le souci sans faire de requête explicite et prévenir l’utilisateur en amont. Dans l’autre, il faut envoyer obligatoirement la requête, et tu vois le problème si tu n’obtiens pas de réponse.
Lancer un script au démarrage sous Linux et BSD : quelle méthode pour quelle distribution ?
Rangez vos haches de guerre
Le 04/11/2021 à 09h 54
DTC ?
Questions/réponses autour de la redevance Copie privée sur l’occasion
Le téléphone pleure
Le 30/10/2021 à 14h 59
Ca ne marchera pas. Pour se faire rembourser, il faut préciser l’utilisation qui va être faite du dispositif de stockage. Pour de la revente, ils ne remboursent pas.
Tu peux toujours prétendre à un usage interne (ou autre), mais si tu commandes 10000 disques SSD par mois par exemple, je pense qu’ils vont avoir des doutes !
Le 30/10/2021 à 14h 17
Je ne dis pas le contraire. J’essaie juste de comprendre où je me suis trompé ! J’avais compris que jusqu’à récemment, les études d’usage étaient réalisées à la demande du ministère de la Culture. J’ai d’ailleurs retrouvé la news qui précisait cela
Le 4 février 2021, je lis donc ceci :
Autrement dit, jusqu’à présent, ils ne les finançaient pas eux-mêmes. C’était à la charge du ministère de la Culture. C’est en tout cas comme ça que je comprends la news et cela correspondait à la vision que j’avais. Ou alors, est-ce qu’avant ils les finançaient mais de manière indirect ? (je n’y connais rien aux marchés publics donc je ne sais pas si c’est possible ou non).
Le 29/10/2021 à 16h 02
Je suis perplexe, j’ai l’impression de ne rien avoir compris ! lol.
Il me semblait que les précédentes études étaient demandées par le Ministère de la Culture, et du coup, avec marché public etc… C’est d’ailleurs ce que je retrouve dans cet article de 2017 écrit par un certain Marc Rees
Là, pour la dernière étude, il me semblait que les ayant-droits avaient dit, on paie l’étude, ce qui permet : 1) d’éviter le marché public et surtout 2) de diminuer fortement les délais (et donc d’instaurer de nouveaux barèmes plus tôt).
Qu’est-ce qui a changé alors par rapport à avant ?
Le 29/10/2021 à 07h 42
Sauf erreur, ce n’est que la dernière étude qu’ils ont payés ainsi (histoire de faire aller vite les choses). Pour les précédentes, il me semble que ce n’était pas le cas.
Sinon, un grand merci pour ce récapitulatif
Les distributeurs du cinéma indépendant critiquent l’organisation d’un « festival Netflix »
Le 27/10/2021 à 08h 56
Franchement, je ne vois pas le problème.
Bref, tout le monde peut être gagnant. Netflix ET les cinémas.
L'extension de la redevance au reconditionné gagne un cran au Sénat
Le 26/10/2021 à 14h 44
Le 26/10/2021 à 07h 28
Merci Marc. Il semblerait que je sois passé à coté de cet article ! Je le mets de côté pour y jeter un oeil de plus près d’ici peu (enfin aux documents) !
Le 22/10/2021 à 12h 48
pas forcément. La connaissance des résultats de l’enquête peut suffire en tant que telle. Présence de biais, méthodologie erronée, échantillon non représentatif, …
Le 22/10/2021 à 12h 05
Pour pouvoir démontrer que les études d’usage sont fausses, il faudrait déjà être en possession de ces études d’usages.
Sauf erreur, aucune n’a été publié à ce jour. Je crois que Marc a fait des demandes CADA à ce sujet, mais je ne sais plus où est-ce que cela en est !
Le 22/10/2021 à 09h 11
L’exportateur ne pourrait pas revenir à la charge et demander le remboursement ? Après tout, le reconditionné est assujeti ou il ne l’est pas. Ou alors c’est la RCP de Schrödinger
Le 21/10/2021 à 17h 07
Heureusement que la priorité numéro 1 c’est l’écologie… derrière le portefeuille des ayants-droits
Cybersécurité et open source : l’électrochoc Heartbleed « n’a pas changé grand chose »
Sept ans plus tard, les mêmes travers
Le 25/10/2021 à 19h 49
Ca c’est quand tu as un bon IDE. Rajoute le temps pour passer d’un fichier à l’autre, maintenir des versions cohérentes entre la signature et une implémentation, etc… Et tu verras que cela n’est pas négligeable.
Et quand tu n’as pas un bon IDE, ben c’est encore pire :)
Utiliser des techniques pour réduire le temps de compilation, c’est pour moi, une mauvaise pratique. Ecrire ton code en vue de minimiser le temps de compilation, c’est le meilleur moyen d’avoir un code de mauvaise qualité.
Pour ma part, la technique Pimpl, c’est plutôt pour fournir une ABI stable. Que cela réduise ou pas les temps de compilation, c’est du bonus :)
Et si tu veux réduire les temps de compilation, tu oublies la métaprogrammation et tu fais du C objet (par exemple, gtk fait cela très bien).
Je n’ai jamais dis le contraire. J’ai juste dit que dans la majorité des cas, le choix relevait plus d’une préférence que d’une contrainte, et que dans ce cas, les deux sont généralement interchangeables.
Le 25/10/2021 à 19h 39
Il suffit de bien choisir ses benchmarks pour avoir des résultats différents ;)
Le lien que je donne est d’ailleurs intéressant à plus d’un titre, puisqu’il essaie d’expliquer parfois des bizarreries, comme le même algo, qui est 2x plus rapide ou 2x plus lent en fonction de la taille des données (lié à la notion de localité dont je parlais précédemment).
Il faut se méfier des benchmarks. En faire un juste et sans biais, c’est très difficile. Un biais classique, c’est sur la gestion des tableaux. Utiliser un vector en C++ et utiliser l’opérateur d’indexation induit un biais invisible pour l’oeil non averti, car en C++, l’opérateur d’indexation ne fait aucune vérification quant à la taille du tableau, contrairement au java. Pour avoir moins de biais, il faut utiliser la méthode
at().Il faut également s’assurer que l’algorithme utilisé dans un cas comme dans l’autre est implémenté exactement de la même manière, ce qui ne semble pas être le cas pour le reverse-complément que tu cites par exemple.
On est tout à fait d’accord. Pour java je ne sais pas (je suis plutôt C# ;) ). En C#, c’est possible en tout cas pour certains types (pas tous).
Je ne peux qu’être d’accord. Ayant “bouffé” du C++ et de l’assembleur par le passé, j’ai bien vu le gain de temps en terme de codage depuis que j’utilise du C# !
Pas tout à fait d’accord. La première version était en Java. D’autres ont suivi en C++. Pour des questions de performance peut être, mais à mon avis, c’était plus la portabilité qui était en vue, notamment pour les smartphones/tablettes. Et comme tout est question de coût aussi, il fallait pouvoir mutualiser le maximum de code, quelque soit la plateforme cible.
Et tu le disais toi même plus haut, certains mods arrivaient à accroitre les performances de l’implémentation en Java. C’est donc bien que c’est l’implémentation qui était bancale plus que le langage lui-même.
Surtout qu’aujourd’hui, le compilateur JIT, qui permet de traduire un bytecode en langage machine, est vraiment très performant et fourni parfois de bien meilleures optimisations qu’un gcc -O3, pour la simple et bonne raison que le compilateur JIT peut traduire plusieurs fois le même code, en fonction du nombre d’appels d’une méthode par exemple, et bénéficier de statistiques sur les branchements à l’exécution (est-ce le if ou le else qui est le plus fréquemment rencontré ? etc…).
Yep, je n’aurais pas dit mieux :)
Le 25/10/2021 à 11h 35
Pas tant que ça. Hormis pour des trucs très spécifique, le choix de l’un ou de l’autre résulte plus d’une préférence que d’une contrainte technique.
Sauf qu’aujourd’hui, c’est le temps de dev qui coute le plus ! Le C++ nécessite plus de temps pour deux raisons principales : c’est plus long à écrire (plus de fichiers, notamment à cause des entêtes absent en java) et c’est plus long à compiler (et je ne parle même pas de la métaprogrammation qui peut faire exploser de manière exponentielle les temps de compilation).
Il faut voir ce que l’on appel performance largement meilleure. Aujourd’hui, le même algo écrit en C++ ou en java on des performances quasi-identiques à quelques % près (avantage pour l’un ou l’autre, cela dépend des cas).
Là où il me semble que Java est le plus pénalisé par rapport au C/C++, c’est sur les calculs flottants. Si je ne dis pas de bêtise, la JVM travaille forcément sur une représentation 64 bits, là où les processeurs x86/x64 peuvent travailler sur 80 bits par exemple. C’est malheureusement une contrainte nécessaire pour garantir un fonctionnement identique indépendamment de la plateforme (car le passage 64 -> 80 bits et 80 -> 64 amènent à des arrondis qui peuvent modifier légèrement les calculs pour un même algorithme en fonction de sa traduction en code machine). Du coup, je ne suis pas certains que la JVM puisse utiliser directement les instructions à calculs flottant, en tout cas, pas sans prendre quelques précautions.
Hormis la destruction explicite objets, le programmeur a toujours la main sur ce qu’il fait, comme en C++. Rien à voir avec le langage Java en particulier.
Le 24/10/2021 à 19h 45
Le ramasse-miettes est un paradigme différent de celui de l’allocation/libération de la mémoire que l’on retrouve en C/C++.
Quand un programme est mal ficelé en C/C++, tu as des fuites de mémoires. Quand un programme est mal ficelé en Java (ou .Net, puisque le principe est exactement le même), tu as des problèmes de performance.
Ce qui rend instable les performances, c’est les erreurs de conceptions et les bugs.
En C/C++, la libération de la mémoire est en O(1) tandis que l’allocation est en O(quelque chose) qui dépend fortement de l’algorithme d’allocation et du contexte d’appel.
En Java, l’allocation est en O(1), et il n’y a pas de libération. Bon, l’allocation est en O(1) si le ramasse-miettes ne s’exécute pas. Ce qui est le cas lorsque la pression sur la mémoire devient trop importante.
L’inconvénient du ramasse-miettes, c’est que son lancement est non déterministe. On ne sait pas exactement quand il se lance. Mais cela ne veut pas dire qu’on ne peut rien faire. On peut indiquer des points où il devrait se lancer (ou en tout cas, vérifier s’il doit se lancer) parce qu’on sait que c’est pertinent (chargement d’une map, suppression d’une quantité importante de ressources utilisées, etc…). C’est tout un art ! A contrario, le faire au mauvais moment peut bien sûr aggraver la situation !
Et dans le cadre d’un jeu, où le FPS est important, un bon programme est un programme qui ne fait pas d’allocation (ou très peu), car c’est un facteur d’indéterminisme, que cela soit en C/C++ ou en Java.
Dire que Java n’est pas adapté pour le jeu car le ramasse-miettes ralenti le jeu de manière aléatoire c’est en réalité mettre en cause la conception même du jeu.
Un autre point du ramasse-miettes, c’est que lorsqu’il se lance, il “compacte” la mémoire, c’est à dire qu’il va déplacer la mémoire allouée afin de combler les trous des objets qui ont été libérés. Cela permet de continuer d’offrir des performances d’allocation en O(1), tout en participant au principe de localité (des objets utilisés en même temps sont souvent créés en même temps, ce qui peut diminuer la pression sur les bus mémoires).
Donc en gros, il n’y a pas forcément une méthode qui est meilleure qu’une autre. Ce sont deux paradigmes de gestion de la mémoire qui sont différents, chacun avec ses avantages et ses inconvénients.
Magazine #3 : la campagne de financement est terminée, les 150 % dépassés !
Michel vous remercie
Le 22/10/2021 à 17h 11
merci
(je suis le gérant de cette société ;) )
Le 22/10/2021 à 14h 52
Don fait tout à l’heure.
Franchement, j’apprécie énormément ce que vous faite. Contenu de qualité, pertinent et indépendant. Vous me faite gagner un temps de dingue en terme de veille technologique
et je vous le rend bien ;)
RGPD et notification de failles : Twitter devra payer l'amende de 450 000 euros
Le 20/10/2021 à 17h 52
C’est plus compliqué que cela. Sinon, les “mauvais joueurs” n’examineraient jamais les failles. “Ah non ! On n’avait pas de déclaration à faire, puisqu’on a jamais su :p”.
Ici, il s’agissait quand même d’un bug bunty. Donc les conséquences étaient connues relativement tôt (dès la déclaration). Reste le côté exploitation. Est-ce que cette faille a été exploitée ? Si oui, cela concerne combien de personnes ? Des questions un peu plus dur à répondre.
C’est pour cela que le RGPD précise bien que les 72h, c’est la déclaration initiale. Déclaration qui peut être complétée par la suite pour apporter des éléments nouveaux.
Ici, on a un réseau social avec des centaines de millions d’utilisateurs. Devant l’ampleur potentielle, c’est déclaration à l’autorité compétente dès notification, car le nombre d’utilisateurs potentiellement impactés est un des critères permettant de juger de la criticité d’une violation.
D’ailleurs, c’est un des exemples que donne la CNIL où le responsable de traitement est considéré comme étant informé de la violation, dès lors qu’un cybercriminel contacte le responsable du traitement et lui indique qu’il a pu subtiliser des données sur les serveurs de la société (bug bounty, donc même si le terme cybercriminel me parait mal choisi ici, on est dans ce cas de figure).
Après, faut être pragmatique. Une déclaration tardive sera reprochée. Une déclaration inutile non. Donc vaut mieux faire une déclaration, quitte à dire ensuite, qu’après enquête, il n’y a pas eu de violation ou violation mais sans conséquence notable.
Le 20/10/2021 à 16h 17
C’est la date de notification ou de découverte de la faille qui compte. Donc, oui, le RGPD était bien en place.
La faille a été notifié le 26 décembre 2018. Le RGPD donne 72h pour la notifier, soit jusqu’au 29 décembre 2018. D’où ma question : pourquoi le 3 janvier 2019 ?