Le 22/10/2021 à 14h 52

Don fait tout à l’heure.

Franchement, j’apprécie énormément ce que vous faite. Contenu de qualité, pertinent et indépendant. Vous me faite gagner un temps de dingue en terme de veille technologique et je vous le rend bien ;)

Le 22/10/2021 à 12h 48

pas forcément. La connaissance des résultats de l’enquête peut suffire en tant que telle. Présence de biais, méthodologie erronée, échantillon non représentatif, …

Le 22/10/2021 à 12h 05

Pour pouvoir démontrer que les études d’usage sont fausses, il faudrait déjà être en possession de ces études d’usages.

Sauf erreur, aucune n’a été publié à ce jour. Je crois que Marc a fait des demandes CADA à ce sujet, mais je ne sais plus où est-ce que cela en est !

Le 22/10/2021 à 09h 11

MarcRees a dit:

Sauf que Copie France considérait que les reconditionnés étaient épargnés. En témoigne la lettre de 2018 que j’ai sortie. Bon… il est vrai que cette lettre s’inscrivait dans une fenêtre douloureuse : un exportateur espérait se faire rembourser par le collecteur de la RCP env. 5000 € de redevances qui lui avaient été facturés par un vendeur de téléphones d’occasion.

L’exportateur ne pourrait pas revenir à la charge et demander le remboursement ? Après tout, le reconditionné est assujeti ou il ne l’est pas. Ou alors c’est la RCP de Schrödinger

Le 21/10/2021 à 17h 07

Heureusement que la priorité numéro 1 c’est l’écologie… derrière le portefeuille des ayants-droits

Le 20/10/2021 à 17h 52

C’est plus compliqué que cela. Sinon, les “mauvais joueurs” n’examineraient jamais les failles. “Ah non ! On n’avait pas de déclaration à faire, puisqu’on a jamais su :p”.

Ici, il s’agissait quand même d’un bug bunty. Donc les conséquences étaient connues relativement tôt (dès la déclaration). Reste le côté exploitation. Est-ce que cette faille a été exploitée ? Si oui, cela concerne combien de personnes ? Des questions un peu plus dur à répondre.

C’est pour cela que le RGPD précise bien que les 72h, c’est la déclaration initiale. Déclaration qui peut être complétée par la suite pour apporter des éléments nouveaux.

Ici, on a un réseau social avec des centaines de millions d’utilisateurs. Devant l’ampleur potentielle, c’est déclaration à l’autorité compétente dès notification, car le nombre d’utilisateurs potentiellement impactés est un des critères permettant de juger de la criticité d’une violation.

D’ailleurs, c’est un des exemples que donne la CNIL où le responsable de traitement est considéré comme étant informé de la violation, dès lors qu’un cybercriminel contacte le responsable du traitement et lui indique qu’il a pu subtiliser des données sur les serveurs de la société (bug bounty, donc même si le terme cybercriminel me parait mal choisi ici, on est dans ce cas de figure).

Après, faut être pragmatique. Une déclaration tardive sera reprochée. Une déclaration inutile non. Donc vaut mieux faire une déclaration, quitte à dire ensuite, qu’après enquête, il n’y a pas eu de violation ou violation mais sans conséquence notable.

Le 20/10/2021 à 16h 17

C’est la date de notification ou de découverte de la faille qui compte. Donc, oui, le RGPD était bien en place.

La faille a été notifié le 26 décembre 2018. Le RGPD donne 72h pour la notifier, soit jusqu’au 29 décembre 2018. D’où ma question : pourquoi le 3 janvier 2019 ?

Le 20/10/2021 à 08h 47

Je ne comprends pas trop les délais. Normalement, c’est 72h pour notifier une violation de données (Article 33 du RGPD). Pourquoi cette date du 3 janvier alors si la faille a été notifiée à Twitter le 26 décembre ? Cela devrait être le 29 décembre au plus tard.

Le 20/10/2021 à 08h 35

Si je ne dis pas de bêtise, elle est de base plutôt contre l’assujetissement pour les biens reconditionnés.

Une telle réponse signifierait donc qu’elle se refuse à donner son avis personnel pour ne pas contredire les “consignes” qu’elle aurait reçues. Ou comment montrer son désaccord sans le montrer (mais sans réellement l’assumer non plus )

Le 15/10/2021 à 15h 22

Ah non, pas encore le débat SystemD vs le reste du monde. On a déjà les débats antivax / complotiste / provax sur d’autres news. On est trolldi mais quand même

Le 15/10/2021 à 08h 12

Le concept d’immunité collective joue sur la propagation du virus. Au delà d’un certain pourcentage de la population immunisé, le virus a beaucoup plus de mal à circuler, et globalement, sa transmission devient donc plus difficile, au point que sa présence va aller en diminuant avec le temps.

Exemple. Le virus à un taux de contamination où une personne infectée en contamine 3. Sur 100 personnes sans immunité dont 1 malade, Le premier jour, tu vas avoir 4 malades, le 2e 12, etc…

Sur 100 personnes avec une immunité de 60%, le premier jour, il y aura, statistiquement, 1 seul personne de contaminée (les 2 autres étant immunisés). Le 2e jour, 4.

Sur 100 personnes avec une immunité de 95%, le premier jour, il y aura, statistiquement, 0 ou 1 seul personne de contaminée (et plus souvent 0 que 1). Le 2e jour, pareil. Couplé avec la durée de vie du virus, le virus peut théoriquement “s’éteindre”.

Mais il faut que les personnes soient immunisées (et surtout, non contagieuses). Une simple protection contre les symptômes n’est pas suffisant.

Le 14/10/2021 à 18h 07

Alors effectivement, la durée de 6 mois est une erreur de ma part. Un mauvais amalgame.

Par contre, le certificat a bien une durée de validité. Un certificat a une date d’émission et une date de fin. C’est dans les spécifications.

A priori, cette date de fin est fixée à 1 an, 11 mois et 2 semaines après la vaccination d’après ce que j’ai pu trouver.

Le 14/10/2021 à 14h 35

et du coup, comment ça va se passer pour le passe sanitaire, qui est valable 6 mois quand on est vacciné. Est-ce qu’ils vont prolonger la durée de validité ? Est-ce qu’il faudra une 3e dose ? Autre ?

Le 14/10/2021 à 17h 50

Oui et non. Si c’est un blog purement personnel (pas de publicité, pas de revenu, pas de sponsoring déguisé ou pas, pas lié à une entreprise, …) alors, en théorie non, car les particuliers ne sont pas soumis au RGPD (sinon, il faudrait tous qu’on le fasse ne serait-ce qu’à cause des contacts dans notre téléphone). Mais il faut que le blog soit strictement personnel.

Dans les autres cas, oui. L’adresse IP est une donnée à caractère personnel. Tu peux l’anonymiser facilement en squizant les 2 derniers octets pour une IPv4. Pour l’IPv6, je n’ai jamais creusé, mais il doit en falloir plus.

Le 14/10/2021 à 13h 31

C’est un peu le souci des sites avec Wordpress et autre truc du genre. C’est tellement facile à mettre en place que tout le monde peut le faire.

Mais quand on s’intéresse à la partie invisible de l’iceberg… là c’est autre chose !

Le 14/10/2021 à 11h 41

Tandhruil a dit:

Je peux t’assurer que je n’ai rien fait.

Je te crois. Mais ce n’est absolument pas normal ! Pour le coup, c’est plus cette décision que je critiquerais que le fait de demander une pièce d’identité…

Le 14/10/2021 à 09h 20

Tandhruil a dit:

Comme il n’a aucun modèle de référence, je peux lui envoyer une pièce d’identité photoshopée sans pb…

Tu peux. Mais dans ce cas, le problème sera autre. Ce n’est pas un défaut du presta, mais un faux et usage de faux de ta part ;)

Si le mail associé à mon compte est supprimé (deliverey error) il va bien falloir trouver une solution (d’autant que Nxi n’a pas de 2FA). Pourquoi pas une transaction à 0,01€ déductible du prochain réabonnement.

Soit ils ont encore des info te concernant (numéro de carte bancaire, nom du titulaire du compte, ou que sais-je encore) et si tu donnes des infos suffisantes (comme une CNI) oui.

Sinon, non, rien à faire. Ton compte sera définitivement à l’abandon pour cause de négligence.

Non puisque ce qu’a fait OVH c’est interdire à “mon prestataire” de modifier la version de PHP, la suppression de mon compte était possible puisque je l’ai faite sans CNI.

Attention, tu parles de presta d’un côté, du titulaire du compte de l’autre. Du coup, j’ai simplement l’impression que pour le compte technique le 2FA était activé, et pas pour le compte administratif.

Pour info mon compte était créé en 2012 et il n’y avait pas de 2FA et supprimé en 2018. Sauf que je sais que le mail était supprimé avant l’activation du 2FA vu que j’avais déjà réalisé des montées de version PHP alors que le mail était supprimé.

Je suis chez OVH, et je n’ai toujours pas le 2FA d’activé (même s’ils me font des piqures de rappels régulièrement). J’ai du mal à croire qu’ils aient activé de leur côté, sans action de ta part, le 2FA. Attention, je ne dis pas que ce n’est pas possible, je dis que cela sera étonnant. Mais cela reste possible malheureusement (j’ai banni le mot impossible quand je vois les bêtises que certains font (et là, je ne parle pas d’OVH mais en général))

Le 14/10/2021 à 08h 31

Tandhruil a dit:

Je ne vois pas ce qu’un prestataire technique ferait avec un profil administratif (ou un prestataire administratif avec un profil technique.) Et si le prestataire à accès à tout les profils c’est la volonté du client. Donc il a déjà potentiellement le contrôle total.

Pour gérer et payer. Il peut donc avoir les deux ;)

Désolé dans le cas de figure énoncé, selon moi, la demande d’une copie de pièce d’identité est superfétatoire et injustifiée (d’autant qu’OVH ne dispose d’aucun document de référence permettant de valider ou non la véracité de la pièce d’identité envoyée).

En demandant une pièce d’identité, OVH respecte le double facteur, en demandant quelque chose que tu as. Après, c’est pas juste n’importe quelle pièce d’identité, il faut que la pièce corresponde au titulaire du compte. Sinon, c’est sur que cela ne marchera pas.

Tu as le droit de trouver cela superfétatoire et injustifié, c’est pourtant au coeur même du RGPD. Alors de mémoire, pas la fourniture d’une pièce d’identité, mais de réaliser des traitements qui ne soient pas en mesure de porter atteinte aux droits et aux libertés d’autrui.

S’il suffisait de prendre un numéro de téléphone, de dire je suis untel supprimez mes informations, cela ne le ferait pas trop. Sinon, j’appelle David L., je lui dit

mon compte “Tandhruil”, supprimez le svp !! mon mail ne marche plus xD

Ce que fait OVH interdit un prestataire de supprimer ton compte. On peut imaginer de la malveillance (conflit avec le client, un salarié zélé, …), une erreur (il se “trompe” de client), ou tout simplement le presta qui se fait pirater (ben oui, ça arrive aussi). Tu trouves peut être cela superflu, cela n’empêche pas que c’est pour ta sécurité (enfin celle de ton compte).

Le 14/10/2021 à 07h 22

Relis mon commentaire. Je n’ai pas parlé d’usurpation d’identité. J’ai parlé de prestataire qui prenait le contrôle total alors qu’il est censé n’avoir que des délégations.

Maintenant, le double facteur, ce n’est pas connaitre x secret. C’est avoir au minimum 2 des aspects suivant :

• ce que l’on a (clé de sécurité, certificat, numéro de téléphone, mail, …)


• ce que l’on est (biométrie, …)


• ce que l’on sait (mot de passe, …)

ne connaitre que des secrets, oui, c’est une faille et est potentiellement une usurpation d’identité, quand bien même il y en ait 10. Si tu savais ce que des gens malveillants arrivent à faire uniquement avec de l’ingénierie sociale…

Le 13/10/2021 à 16h 09

Tandhruil a dit:

Déjà expliqué :

• S’assurer quand on envoie un mail qu’on n’a pas de Delivery Failure surtout avant de le valider comme 2FA

Le mail a pu être valide au moment de la mise en place du 2FA, et pas après. Je ne sais pas chez OVH (je n’ai toujours pas le 2FA xD), mais je n’ai pas vu un seul service ne vérifiant pas l’adresse e-mail avant. Et c’est logique, car sinon, l’accès serait juste impossible !

La demande de changement de mail est validée par la personne qui a accès au compte admin technique (login+pass).

L’admin technique n’est pas forcément le titulaire, donc non.

La demande de changement de mail est validée par la personne qui a accès au compte admin administratif (login+pass)

Le gestionnaire adminsitratif n’est pas forcément le titulaire, donc non.

La demande peut être validée par le mail associé au compte admin administratif

Idem au dessus.

Avec ce que tu proposes, un prestataire pourrait simplement prendre possession du compte alors qu’il n’a que des délégations.

Le 13/10/2021 à 19h 18

Un grand merci. J’ai jeté un oeil très rapide pour comprendre la position de l’Allemagne devant la France. A priori, les PCs sont taxés chez eux, alors que pas (encore) chez nous.

Chez nous, c’est exclusivement les supports qui sont taxés, alors qu’en Allemagne, ce sont les supports et les dispositifs d’enregistrement. Par contre, les supports semblent beaucoup moins taxés en général qu’en France.

Le 13/10/2021 à 16h 00

Pour Marc, une idée serait d’avoir un comparatif de la RCP en France par rapport aux autres pays de l’UE. Il serait intéressant de savoir comment on se positionne par rapport à nos voisins. En terme de chiffres bien sur, mais également de méthodologie. Est-ce qu’ils font des études d’usages ? Est-ce qu’elles correspondent plus ou moins à celles que l’on a en France, etc…

Ca pourrait être intéressant. Après, cela risque d’être un boulot monstrueux, j’en suis bien conscient. D’où simplement la suggestion d’une idée ;)

Mais bon, là, au doigt mouillé, on doit être pas loin des 50% de RCP pour toute l’UE juste pour la France, alors que la France ne représente même pas 10% de sa population !!

Le 13/10/2021 à 13h 25

Ouais, alors euh, comment dire. Non.

VMS n’est pas un Unix (d’ailleurs, les sources Unix n’existent pas en tant que telles, puisqu’il s’agit d’une spécification). Le père du noyau NT que tu cites, il s’agit de Dave Cutler, qui est assez connu pour être très critique vis-à-vis… d’Unix !

VMS et Unix sont deux choses distincts, il ne faut pas tout mélanger ! Une petite image vaut mieux que 1000 mots : https://fr.wikipedia.org/wiki/Unix#/media/Fichier:Histoire_d’UNIX.svg

VMS et Unix étaient en concurrence. VMS est ensuite devenu OpenVMS lorsqu’il a commencé à supporter des standards comme POSIX, le rapprochant certes d’Unix, mais de manière très anachronique par rapport à tes propos.

Dire ensuite qu’ils se sont servis des sources de Unix VMS pour Windows NT, c’est aussi y aller fort ! Et je ne demande qu’à te croire, si tu m’en apporte la preuve. Ce n’est pas parce que Cutler a bossé sur les deux qu’il a reprit le code source du premier pour faire le second.

Ils se sont servi également de leur savoir-faire utilisé dans VMS.

Encore heureux !

Le 13/10/2021 à 09h 17

TNZfr a dit:

NT débarque (Win2k, WinXP …) mais là, problème : bien que le noyau soit issu du monde Unix

Euh ? What ?

Le 12/10/2021 à 07h 18

Donc, en gros, si je résume, pour ces sites :

• vous ne pouvez pas demander de données à caractères personnels, ni de pièce d’identité ;


• vous devez passez par un tiers de confiance. Mais attention, vous ne devez recueillir aucune information si ce n’est l’âge, et le tiers de confiance ne doit pas savoir le type de site que vous consultez.

Je crois que nos politiciens veulent purement et simplement la fermeture de ce type de sites. Je ne vois pas d’autres explications !

Le 08/10/2021 à 13h 01

Il y a quand même une solution simple que personne n’a envisagé. Créer un compte et attendre 18 ans avant de pouvoir accéder au contenu. Ca devrait le faire non ? Simple, gratuit, efficace :)

Bon, allez, on peut peut être dire 10 ans. Il faudrait que le mineur s’inscrive alors qu’il n’a pas 8 ans pour pouvoir consulter du contenu avant ses 18 ans

Le 08/10/2021 à 12h 07

NAPS a aussi d’autres avantages, notamment la génération de PDF (avec import possible si besoin est) et reconnaissance de texte (plutôt fonctionnel d’ailleurs). Tellement pratique qu’il m’arrive de l’utiliser quand je dois réorganiser des PDFs

Le 06/10/2021 à 20h 12

alphacentauris a dit:

Si la licence a été acquise directement auprès du Microsoft Store, elle est de type retail, donc on devrait pouvoir malgré tout y arriver (mais le prix est… intéressant).

J’ai eu une mauvaise aventure avec une licence acheté sur le store. Rapidement, le contexte : j’achète un macbook pro, j’installe Windows 10 et achète une licence via le store. Au bout d’un mois, carte graphique HS. Comme tous les composants sont soudés, changement de carte mère et du disque dur (sinon, c’est pas drôle).

Après la “réparation”, j’avais donc un nouvel ordinateur pour Windows (ben oui, plus la même carte graphique, plus la même carte même et plus le même disque). Bref, impossible d’activer ma licence. J’ai passé pas moins de 4h cumulées avec plusieurs appels au SAV Microsoft. On me demandait tout le temps ma clé. J’avais beau leur dire que je l’avais acheté via le store et que je ne l’avais pas, il voulait la clé. Les différents interlocuteurs que j’ai eu ne voyait pas mon achat (alors que moi je le voyais bien depuis mon compte).

Au bout du 6e ou 7e interlocuteur et d’un nième transfert de service (bah oui, il y a le support activation, le SAV Microsoft, celui du store et j’en passe), j’ai enfin eu une personne qui voyait mon achat ! Elle a donc pu agir. Elle a annulé mon achat, acheté une licence classique (avec clé donc). Le remboursement de l’achat annulé est vite intervenu.

Au final, j’ai une licence avec une clé. Depuis, je conseille toujours de prendre une version clé, et pas une version retail. Beaucoup moins de souci comme ça !!! Surtout que c’est le même prix…

Le 06/10/2021 à 08h 29

the_mei a dit:

Le problème c’est les softs qui en 2021 ne sont toujours pas UTF-8 quoi… Genre à l’époque Vagrant à cause de Ruby…

Je suis d’accord. Mais bon, quand tu n’as pas le choix et que ça marche pas…

Mais bon le soucis est vite résolu, tu créé ton dossier où tu veux et tu fais un lien symbolique du chemin du profil vers ce dossier. Windows est comptant, les softs vont récupérer le chemin “physique” et fonctionner.

Pas con ! Merci pour l’astuce. A voir s’il n’y a pas de souci quand même à la longue, car si cela créé un chemin physique, tu vas toujours avoir la variable d’environnement $HOME qui va pointer avec le mauvais nom. Donc pour les logiciels qui se basent dessus…

Après ta remarque est éronné, vu que Windows va prendre la racine de l’adresse email du compte MS et pas le nom associé. Donc sauf si t’as été assez fou pour avoir une adresse email avec un “ç” dedans (si pour tant MS l’autorise), j’vois pas trop où est le soucis…

Non. Je te garanti que Windows ne prend pas la racine de mon e-mail, mais bien le nom associé. Enfin Windows 10 en tout cas, car je n’ai pas testé avec Windows 11 (et pas envie !!). Prénom + “ ” + NOM pour être précis, tel que renseigné dans mon compte Microsoft.

Peut être que si le nom n’est pas renseigné il se base sur la racine, mais en tout cas, chez moi, il se base bien sur mes nom et prénom.

Le 05/10/2021 à 20h 10

Le coup du compte Windows plus ou moins obligatoire est chiant, pour une autre raison plus “technique” que le côté vie privé / on en veut pas.

Lors de la création d’un compte, Windows crée le répertoire de l’utilisateur automatiquement, sans que l’on puisse le définir précisément. Il se trouve que je m’appelle François et Windows me crée donc un répertoire avec un C cédille. Sauf qu’il existe encore et toujours des logiciels qui plantent à cause de ça (et c’est particulièrement usant).

Donc, à chaque fois, je suis obligé de créer un compte local, que je nomme avec le nom que je souhaite utiliser mon répertoire personnel, puis je le connecte à mon compte Microsoft.

Pouvoir choisir le nom de son répertoire personnel serait quand même un gros plus pour certains, comme moi.

Le 07/10/2021 à 18h 48

Merci.

Comme quoi, c’est quand même un beau borl

Le 07/10/2021 à 08h 25

MarcRees a dit:

Et le code prévoit que « les éditeurs et les distributeurs de services de télévision ne peuvent recourir à des mesures techniques qui auraient pour effet de priver le public du bénéfice de l’exception pour copie privée, y compris sur un support et dans un format numérique ».

On sait que la question de la copie privée est très “complexe”. Je n’arrive pas à me souvenir où exactement (aussi Marc, je fais appel à ta connaissance profonde du sujet), mais il me semblait qu’un tribunal avait rappelé il y a quelques années que la copie privée était une exception au droit d’auteur, et qu’à ce titre, on ne pouvait pas obliger un distributeur (ou autre) de pouvoir jouir de ce droit (puisqu’en réalité, cela n’en est pas un). Il me semble que c’était au sujet des DRM, mais sans en être sûr.

Du coup, est-ce que cette décision ne viendrait pas remettre un peu en cause cela ?

Le 06/10/2021 à 20h 27

(quote:1905468avid-GDE)
aujourd’hui, c’est PIRE (Edge par défaut, et un calvaire fortement ralenti (de façon intentionnelle ?) pour modifier une application par défaut)

Honnêtement, je pense qu’il y aura toujours des mécontents.

A une époque pas si lointaine que ça, les logiciels pouvaient directement changer les applications par défaut. Il y a eu pas mal de plaintes à cause de ça (notamment à cause d’installateur bloaté qui changeait le navigateur par défaut par exemple). Microsoft a donc “bloqué” le changement à une action explicite de l’utilisateur. Du coup, la plainte s’est transformée en “c’est un véritable calvaire”.

Là, avec Windows 11, j’ai l’impression qu’il y a un peu de schizophrénie. D’un côté, beaucoup de personnes se plaignent du manque de configuration de Windows 11. De l’autre, on peut choisir par type de fichier l’application à utiliser (ce qui est quand même beaucoup plus fin qu’avant) mais du coup, les plaintes, maintenant c’est “c’est ingérable, c’est trop compliqué”.

Après, je ne dis pas que tout est rose chez Microsoft. Loin de là. La politique pour pousser Edge lors des mises à jour me court sur le haricot (oui, Edge n’est pas mon navigateur par défaut et non, je ne veux pas qu’il le devienne). Mais pour le reste, quelle que soit la décision qu’ils vont prendre, ils auront pléthore de critiques, ne serait-ce que parce que cela rompt avec “nos habitudes” (et moi le premier )

Le 06/10/2021 à 18h 24

(reply:1905430:Sans intérêt)

Vu la position dominante de Windows sur le marché des PC, c’est sans doute compliqué de proposer des solutions efficaces sans risquer de se prendre un procès pour abus de position dominante.

Il y en a déjà eu par le passé (les navigateurs), et il y a des solutions pour lesquels juste le minimum est proposé pour éviter un procès de la concurrence. Je pense aux antivirus. Windows Defender est très bien mais est limité en terme de fonctionnalité pour permettre aux éditeurs de vendre leur solution. Je pense qu’il en est de même pour les solutions de sauvegarde.

Le 06/10/2021 à 09h 26

Ou comment, en voulant aider les libraires, c’est un magnifique cadeau fait à Amazon.

Voici le véritable message de nos politiciens : vous allez pouvoir augmenter allègrement votre marge sans lever le petit doigt, grâce à notre revenu minimum garanti pour les livraisons, dont le forfait que nous imposons est bien au delà du coût réel pour vous.

Le 04/10/2021 à 08h 39

choukky a dit:

Même si ce n’est que temporaire, c’est toujours une bonne nouvelle.

Ou pas. Ils seraient capable de considérer de manière rétroactive leur futur travaux pour cette raison !

Le 01/10/2021 à 13h 45

(reply:1903979:skankhunt42 )

Il y a deux possibilités pour ne pas payer la RCP. Ne pas la payer, ou la payer et se faire rembourser ensuite.

Pour la première option, il faut passer un contrat avec Copie France. A moins de faire des achats réguliers et en quantité importante, cela ne laisse que la 2e option.

Pour se faire rembourser, il faut :

• avoir une facture avec le montant de la RCP


• être une entreprise (donc SIRET)


• dire pourquoi on achète les supports, quel sera leur utilisation et à qui ils sont destinés


• faire ce détail pour CHAQUE type d’article. Si tu commandes 3 disques durs identique, tu ne fait qu’une justification, mais si tu en commandes 2 différents et 1 clé USB, tu es bon pour 3 justifications


• saisir toutes les informations concernant les dispositifs de stockage (nature et capacité notamment), même si c’est déjà présent sur la facture


• joindre les factures (bien évidemment)

Honnêtement, pour l’avoir fait 2 fois, c’est chiant et fastidieux. J’aurais eu 50 articles à chaque fois, j’avoue que cela m’aurait bien gavé ! Heureusement pour moi, à chaque fois, ce n’était que quelques articles… Mais sur une commande un peu plus grosse, on peut facilement y passer plusieurs heures.

En bref, tout est fait pour décourager les professionnels à demander le remboursement. On est tellement découragé que quand je l’ai fais la première fois, j’ai du expliquer à mon comptable ce qu’était la RCP et pourquoi j’étais remboursé. Et je précise que je sous-traite ma comptabilité à un gros cabinet (donc même eux ne savent pas ce que c’est, comme quoi il y a encore beaucoup de chemin à faire !! )

Le 03/10/2021 à 08h 33

Tu as trouvé mon commentaire #40 agressif et condescendant ? J’en suis désolé pour toi, car il ne l’était pas. Il fait juste factuel le lien entre deux de tes commentaires. Le #35, particulièrement affirmatif et péremptoire,et le #38 très conditionnel.

Maintenant, le problème que l’on a est un problème de compréhension. Tu te focalises sur l’interface qui tourne sous un XP. Sauf que l’interface est uniquement un composant d’un DAB, et non le DAB en lui-même.

Alors, oui je ne connais pas le fonctionnement interne des DABs. Cela ne m’empêche pas d’affirmer (comme tu t’en pleins) qu’ils sont reliés au réseau bancaire. Si tu en trouves un, je veux bien que tu me dises où que j’aille faire des retraits qui ne seront pas débités de mon compte !!

Pour ma part, je m’arrête là. Bonne journée à toi.

Le 02/10/2021 à 11h 52

th3squal a dit:

Je suis prêt a parier, que pour les DAB, aucune mise à jour automatique coté OS, sauf durant une maintenance avec présence physique…

Je n’en serai pas aussi sûr ! Le mécanisme de mise à jour de XP est très différent de celui que nous avons aujourd’hui. On pouvait choisir quoi et quand. Alors, pas certains que ce soit des mises à jour poussées directement via Windows Update (il faut quand même un minimum de contrôle), mais des mises à jour poussées à distance, ce ne serait pas impossible ;)

Inodemus a dit:

Tu te fiches de moi ou quoi ? C’est toi qui est venu parler des DAB en disant qu’il était impossible qu’ils ne soient qu’en local, je te donne un exemple d’organisation qui fonctionne et où il le sont, organisation qui ne s’applique pas qu’aux DAB mais qui est un grand classique du cloisonnement des réseaux, surtout quand on a des machines vulnérables à protéger quelle qu’en soit la raison. En disant qu’ils ne peuvent pas être en local, tu affirmes donc quelque chose qui est faux puisqu’ils peuvent l’être, sans même avoir l’honnêteté d’y mettre du conditionnel pour cacher le fait que tu n’en sais pas plus que moi, et que n’as même pas imaginé que ça puisse être différent de ta vision.

Merci pour l’agressivité. Je t’invite à relire tes commentaires et les miens. Et ne pas inverser cause et conséquence. C’est toi qui a affirmé qu’ils étaient forcément en local, ce à quoi j’ai réagi en exprimant mon étonnement.

Maintenant, tu fais ce que tu veux avec ton exemple d’organisation. Il n’empêche que d’un point de vue extérieur, le DAB est une boite noire qui est très sans doute connecté à un réseau, qu’il s’agisse d’internet ou autre. Qu’à l’intérieur il y ait un pare-feu suivi d’un serveur suivi de la partie “physique” du DAB importe peu. C’est une boite noire. Et quand bien même il existerait des DAB avec cette structure, cela voudrait juste dire qu’il existe des DAB avec cette structure, pas qu’ils seraient tout ainsi (généralisation impossible que tu fais pourtant allègrement).

Que tu me dises que c’est comme ça que cela fonctionne parce que tu connais le sujet ne me dérange pas. Que tu affirmes que c’est comme cela alors que tu n’y connais rien, oui.

Bravo, et ça vient donner des leçons en me reprochant exactement la même chose.

Contrairement à toi, à aucun moment je n’ai affirmé que le fonctionnement d’un DAB (ou autre) était comme ça et pas autrement. Cf. ta réponse à Krogoth.

Et le reste de ton post sur les VPN non chiffrés (dans ce domaine, lol !) et règles de firewall et routage montre que tu prends les admins réseau qui configurent ce genre d’équipement pour des glands.

Non, pas les admins réseau. Juste toi. Mais je te rassure, tous les chênes ont été gland avant de devenir chêne ;)

Le 01/10/2021 à 13h 36

th3squal a dit:

Ce qu’il veut dire, c’est que c’est probablement encapsulé, à minima dans du VPN qui est un réseau privé virtuel similaire à du local, et donc que les échanges se font de manières sécurisées (et non un simple API en clair…). Donc si connecté en VPN, il est possible pour la banque de contrôler le DAB a distance, comme sur un réseau local.

Le truc, c’est que le VPN n’est pas forcément chiffré. Bon ok, j’avoue qu’en pratique, je n’ai jamais vu un VPN sans chiffrement aujourd’hui, mais c’est théoriquement possible. Les protocoles PPP le permettent par exemple.

De plus, mettre en place un VPN n’est pas une garantie absolue. Un VPN donne accès à un réseau distant comme s’il était local. En fonction de la configuration (notamment du routage et des règles de pare-feu), il est possible d’avoir accès à plusieurs réseaux en même temps, dont le réseau internet. On peut donc être en VPN ET accessible de l’extérieur !

Enfin, une API peut tout à fait être sécurisée : chiffrement, avec authentification du client ET du serveur (on peut faire la totale).

Pour ma part, si je devais choisir, ce serait d’ailleurs par API je pense. Pour les raisons suivantes :

• en cas de compromission du réseau de la banque, il serait beaucoup plus difficile d’agir sur le DAB à distance via une API que via VPN.


• facilité de déploiement (une API REST par exemple, sur un HTTPS, c’est un port ouvert en standard)


• pas de configuration à faire au niveau de la box ou autre (dépend uniquement de la connectivité, pas du type de connectivité). Certaines connexions VPN peuvent avoir du mal sur les connexions mobiles par exemple.


• c’est le DAB uniquement qui peut initier les connexions quand nécessaire


• facilité de révoquer les accès pour un DAB particulier (en cas de compromission par exemple)


• limiter grandement les accès au “réseau local” depuis le DAB (notamment en cas de compromission).

Bien sur, cela présente aussi des inconvénients, notamment pour les mises à jour, où cela nécessiterait des développements un peu plus spécifique, mais c’est tout à fait faisable (et déjà fait pour ma part, mais pas sur un DAB !)

Après, je ne sais pas comment c’est implémenté aujourd’hui dans les DAB. VPN, API, ou autre, aucune idée !

Pour info, les TPE fonctionnent ainsi, Internet+VPN, et sont même capable de fonctionner sur GPRS+VPN vu la quantité d’informations échangées, ils se connectent directement au GIE (Mastercard ou Visa) qui dispatch ensuite vers les banques concernées. Y’a même des TPE sur téléphone mobile avec lecteur de carte en bluetooth, et la… même pas de VPN! Ca communique par http avec certificat personnel.

Je n’ai jamais dit qu’il ne pouvait pas fonctionner en mode VPN. Je dis juste que rien ne garanti que ce soit le seul et unique mode de fonctionnement. Ce qui est loin d’être le cas. Ce que tu confirmes d’ailleurs ;)

Le 01/10/2021 à 12h 29

D’accord, donc tu ne sais absolument pas comment ça marche (tu ne fais que des supposition), mais tu es capable d’affirmer qu’ils ne sont qu’en local

Ce n’est pas comme si en 2014, les banques avaient payé Microsoft pour avoir un support prolongé pour Windows XP, justement car beaucoup trop des DAB en dépendait.

Le 01/10/2021 à 09h 11

Ce serait étonnant. Comment un DAB en dehors des locaux d’une banque fonctionnerait sinon ? (ex: dans un supermarché ou dans la rue).

Ils sont forcément reliés au réseau bancaire et ne peuvent donc pas se contenter d’un réseau local…

Le 30/09/2021 à 08h 38

Inodemus a dit:

comme si le code s’usait avec le temps ou que les protocoles n’avait qu’une durée de vie de quelques années…

Les protocoles (de sécurité notamment) peuvent avoir une durée de vie variable, difficile à prédire. Actuellement, il y a la désactivation des protocoles TLS v1.1 et inférieur, qui empêchera un appareil non à jour de se connecter purement et simplement à un serveur qui ne communiquera qu’avec une version >= 1.2. C’est d’autant plus compliqué que parfois, la simple activation de TLS 1.3 peut empêcher les connexions avec une version inférieure (pas la faute au protocole cette fois, mais aux équipements intermédiaires qui peuvent avoir une implémentation foireuse de TLS, ce qui inclus, firewall, proxy, cache, …)

Il ne faut pas oublier non plus qu’on est dans une situation où certains protocoles peuvent être considérés comme obsolète, mais toujours utilisés (coucou SSLv3). Il a fallu une vingtaine d’année pour se débarrasser de SSLv3 à partir du moment où il a été considéré comme obsolète (et encore, débarrassé, je suis gentil, il y a toujours des équipements qui s’en servent). Il a fallu des attaques comme POODLE pour “forcer” l’abandon massif du protocole.

Après, on peut citer d’autres protocoles abandonnés car pas sûr, comme le RC4 ou encore le WEP. Des équipements qui les utilisent encore, cela existe malheureusement (il n’y a pas si longtemps, j’ai vu un switch 24P pas très cher ne proposer que du RC4 par exemple, donc connexion impossible à l’interface avec un navigateur récent).

Si demain une faille majeure est découverte dans TLSv1.2, cela ferait mal. Très mal

Le 29/09/2021 à 09h 26

De toute façon, tant qu’il y aura disproportion entre la peine encourue par l’hébergeur pour non retrait d’un contenu signalé, et la peine (inexistante) encourue par un ayant droit signalant par erreur un contenu… cela ne risque pas de changer !

Et je dis “par erreur” pour rester le plus neutre possible

Le 28/09/2021 à 08h 33

Ce qui quand même inquiétant, c’est qu’une vidéo durant presque 3h est ENTIEREMENT censurée pour un passage qui ne dure… même pas 40s.

Il serait peut être temps que nos politiques se penchent aussi sur les abus de droits d’auteur, oblige les plateformes à avoir un véritable dialogue avec les personnes concernées (et pas juste dire vous êtes bloqué, cf la FAQ), et que les personnes puissent véritablement défendre leur cause.

Le 24/09/2021 à 08h 08

La recharge filaire et la recharge sans fil vont être réglementée chacune de leur côté. Mais est-ce que cela va imposer malgré tout la possibilité de recharge filaire ? C’était le sens de ma question.

Ben justement, c’est pas vraiment précisé ^^ La recharge sans fil sera aussi normalisée, mais quid de la présence, obligatoire ou non, de la recharge filaire ?

Le 23/09/2021 à 15h 31

Une question bête : est-ce que cela impose la présence d’un connecteur physique de type USB-C obligatoirement, ou est-ce que cela signifie qu’en cas de présence d’un connecteur physique, il doit être de type USB-C ?

J’ai en tête les périphériques rechargeables sans fils. Un tel périphérique dépourvu de prise devra-t-il obligatoirement en avoir une ?

Le 23/09/2021 à 07h 25

v1nce a dit:

Son contrat stipulait que le film devait sortir au moins sur x écrans ; ce qui a été le cas.

Oui. Et ? Son contrat ne se résume pas à une clause.

Son contrat de 2017 ne mentionne pas la diffusion sur Disney+ (normal, le service a été lancé en 2019). D’un côté, l’actrice pense que Disney n’avait donc pas le droit de diffuser sur Disney+ dès la sortie du film. De l’autre côté, Disney se défend en disant que la diffusion au cinéma n’était pas exclusive.

Sauf qu’en terme de contrat, ce qui n’est pas marqué n’est pas opposable. S’il y a un flou, les deux parties peuvent avoir raison et tord en même temps. Il faut alors trouver un compromis ou demander un jugement.

Le 22/09/2021 à 09h 11

Scarlett n’est pas d’accord sur fond d’argent touché. Grosso modo : elle gagne pour chaque entrée au cinéma, mais ne touche rien pour la VOD. Donc elle gueule, surtout que dans son contrat, il était apparemment convenu une clause style “chronologie” (pas dispo en VOD tant que dispo en salle).

Maintenant, si tu dis aux acteurs, vous ne serez plus rémunéré au nombre de places de cinéma achetés, mais en nombre de visionnage, pas certains qu’ils ne soient pas d’accord.

Le 20/09/2021 à 08h 00

Je suis le premier à dire que Google, c’est pas un enfant de coeur et de loin, malgré leur slogan initial (don’t be evil) oublié depuis longtemps maintenant. Mais faut arrêter de voir derrière chaque action une volonté de nuire.

Attention, je ne dis pas que cela ne les arrange pas cette situation, bien loin de là. Je dis juste que cette situation me semble plus être un heureux hasard dont il se sied parfaitement, qu’une volonté express.

Comparer les Chromebook a des PC et dire qu’ils sont verrouillés car on ne peut pas installer ce qu’on veut dessus, c’est méconnaitre le fonctionnement. Oui sur un PC on peut le faire. Pourquoi ? Car à l’origine c’est un standard de fait, et des composants qui suivent donc une norme. Pour le démarrage, la carte mère dispose d’un BIOS/UEFI et va interroger le disque dur, le réseau, … pour procéder au démarrage.

Dès qu’on quitte le monde PC, il n’y a plus ce standard de fait. Donc pouvoir installer n’importe quel système cela signifie quoi ? Prévoir une procédure d’installation (mais si elle est trop compliquée, ils vont se prendre des skuds à ce sujet). Soit ils imitent ce qui se fait dans le monde du PC. Donc chargeur de démarrage qui peut booter sur un disque, un réseau, etc… Cela signifie que le chargeur doit supporter les périphériques USB entre autres (clé, disque dur, lecteur CD, etc…). Penses-tu réellement que le coût de ce genre de développement est nul ?

Il ne faut pas se leurrer. Ils sont là pour faire de l’argent (cela reste une boite privée). J’applique le rasoir d’Ockham : la solution la plus simple est souvent la meilleure. Est-ce que la fonctionnalité coûte : oui. Est-ce qu’elle sera utilisée ? Par moins de 1% des utilisateurs. Ok, donc on ne la fait pas.

D’autant plus que cela rajoute de la sécurité pour les 99% des utilisateurs qui n’y pipe pas un mot (ouais, je sais, la sécurité elle a bon dos). Toutefois, c’est ce que veut la plupart des gens en priorité. Avec du matos pas cher.

Parler d’oeillères, c’est ignorer une partie du problème. Surtout que tu sembles oublier un détail quand tu parles de la stratégie de Google. Ils ont de la concurrence, et sont loin d’être les seuls à vendre des chromebook…