Le 25/04/2021 à 08h 59

(reply:1869708:Idiogène)

Je pense qu’il est intéressant de se remettre dans le contexte pour bien comprendre.

Sur l’aspect contractuel tout d’abord, qui semble en gêner certains. La LCEN décrie de manière précise les informations que doivent contenir les notifications pour être jugées recevables :

Ainsi, la notification doit impérativement comporter : la date de celle-ci, l’identification du notifiant, à savoir : nom, prénom, profession, domicile, nationalité, date et lieu de naissance, forme de la personne morale, dénomination de la personne morale, siège social et organe qui la représente, la description des faits litigieux et surtout les raisons pour lesquelles le contenu en litige devrait être retiré en rappelant, et enfin, les dispositions légales et réglementaires caractérisant pouvant être attachés aux faits litigieux en question.

De part sa définition, on est donc déjà à un niveau contractuel. Cela justifie également au point n°1 de l’article 6 du contrat de DStorage (en l’absence d’une communication précise sur le fichier litigieux, la demande sera considérée comme irrecevable).

Pour le point n°3, où il s’agit de vérifier la présence ou non sur le serveur du fichier, pour ma part, je l’interprète surtout comme un moyen d’éviter :

• une soumission des fichiers via du scraping sur les forums et autres moyens de discussions, sans vérifier si le lien est toujours valide ou non


• d’éviter que les notifiants (je pense notamment aux ayants droits ici) envoi en masse des liens sans les vérifier (c’est leur job, pas celui de l’hébergeur).

On pourrait ce dire que non, les requêtes illégitimes n’arrivent jamais. Que nenni ! Il y en a pléthore malheureusement ! Dans un domaine proche (moteur de recherche, où nous avons beaucoup plus de retour), les exemples sont légions :

• déréférencement de gros sites tout à fait légaux comme AlloCine ou Imdb ;


• [déréférencement de “petits” sites tout à fait légaux aussi (https://www.notuxedo.com/plainte-dmca-google/)


• certains ayants droits n’hésitent pas à dénoncer sur des oeuvres dont ils n’ont aucun droit. On pourrait ainsi citer le cas de la société Rumblefish qui s’accapare les droits… sur le chant des oiseaux !

Je parle beaucoup d’ayant droit car c’est surtout leur contenu qui est p”roblématique”. Les contenus manifestement illicite (pédopornographie, terrorisme, etc…) soulèvent beaucoup moins de question.

Et quand on sait que les ayant-droits ne rêvent que d’une chose, comme l’a si bien rappelé Marc Rees dans les propres colonnes de NextINpact, c’est d’une responsabilité immédiate des hébergeurs avec des sanctions disproportionnées (tellement disproportionnées qu’il aurait mieux value publié un contenu terroriste !).

Et ce n’est pas pour rien non plus que le retrait de contenu manifestement illégitime a également été censuré par le conseil constitutionnel.

Aujourd’hui, le système tant à une surcensure. DStorage a fait un choix. Il respecte la LCEN en mettant en place une procédure de retrait. Par contre, les notifiants sont prévenus : en cas de contractualisation, si la demande de retrait est incomplète (manques d’information) ou abusive (demander la suppression d’un lien qui n’existe pas ou qui est privé) alors c’est une “amende” de 5€.

A noter que cette “amende” ne tient pas compte de la suite donné au signalement (retrait ou non retrait), seulement de la forme de ce dernier ! Une manière aussi de rappeler aux notifiants qu’ils ont des responsabilités de vérification et qu’il ne suffit pas de signaler un contenu.

Le 24/04/2021 à 17h 07

(reply:1869688:Idiogène)

Justement, ce n’est pas à la plateforme de déterminer ce qui est légal ou non. Du coup, elle propose deux choses :

• soit la voie légale, et attendre une décision de justice (pour tout ce qui n’est pas manifestement illicite)


• soit une voie contractuelle, et dans ce cas, avec retrait immédiat, mais avec pénalité en cas d’abus.

Les ayants droits aimeraient pouvoir se passer de la justice et faire reporter la responsabilité directement sur les plateformes. Seulement voilà, des ayants droits un peu zélé, qui revendiquent des droits sur des médias qui ne les concernent pas, cela existe. Ou une entreprise qui souhaiterait faire du tort à une entreprise concurrente, ou que sais-je encore.

Si je ne suis pas client de 1fichier.com je ne vois pas bien en quoi je devrais entretenir des relations commerciales pour que mes signalements aboutissent et par dessus le marché prouver ma bonne foi ou mon intérêt à agir.

Donc en gros, tu es en train de dire qu’il faut pouvoir signaler, mais que le “signaleur” n’a rien à prouver, ni sa bonne foi, ni son identité, ni son intérêt à agir (par ex. la détention des droits pour un contenu audiovisuel). Grosso modo, dès que quelqu’un lève le doigt, hop on censure ?

Et après, tu oses dire que cette clause est “manifestement illicite” ? Car je le rappelle, la méthode contractuelle, n’est qu’une des méthodes proposées, pas la seule et unique !

Le 24/04/2021 à 07h 47

Attention de bien lire jusqu’au bout !

A ce titre, le Notifiant s’engage à indemniser, à la hauteur de cinq (5) euros par contenu, l’Hébergeur pour tout
contenu notifié :

• pour lequel le moyen d’accès au contenu final ne serait pas communiqué alors qu’il est nécessaire pour
  accéder au contenu (chiffré, protégé par un mot de passe ou une restriction d’accès);


• qui s’avèrerait être un contenu privatif ;


• n’existant plus sur les serveurs de l’Hébergeur ;

Les 5 € / lien, c’est dans le cas où le lien est injustement signalé ! Ce qui, ma foi, ne me parait pas complètement déconnant.

Comme a dit un sage un jour :

un grand pouvoir implique de grandes responsabilités

Le 22/04/2021 à 15h 30

Non, je parlais juste de la dispo des outils de dev “linux” sous Windows via WSL. L’histoire des navigateurs, c’est autre chose encore

Le 22/04/2021 à 12h 58

hansi a dit:

@treizarque Je n’ai jamais dit que GNU/Linux était parfait mais qu’à la base, il reste largement plus sécurisé qu’un windows

Ce n’est plus vrai de nos jours. Et depuis plusieurs années même. Il est certains que certains choix, privilégiant notamment la praticité (par ex. exécution auto à l’insertion d’un support amovaible) ont été de véritables plaies d’un point de vue sécurité, il n’en ait plus rien aujourd’hui.

et que nombre d’autres produits microsoft, comme ms office, qui sans antivirus, ouvre par défaut la macro d’une pièce jointe contenant un ransomware, là où LibreOffice bloquerait automatiquement le fichier et vous demanderait une confirmation manuelle…

Il faudrait se mettre à la page. Cela fait bien longtemps maintenant que les macro ne sont plus ouverte par défaut. On a un joli message, proposant d’activer les macros si on le souhaite, et uniquement si on est sur de l’origine du fichier !

C’est juste du bon sens commun, que microsoft n’a jamais eu.

Non, juste des choix différents. Et Microsoft a eu le bon sens de proposer les alternatives directement au sein de son système d’exploitation.

C’est juste que microsoft “pique” une fois encore un certains nombre d’outils propres au monde du Libre qu’il n’a pas été capable de développer lui-même. Et quelque part, c’est aussi la reconnaissance implicite que ces outils libres sont meilleurs que les siens… Ça devrait quand même faire réfléchir quelques uns…

Je ne réagis pas sur tous les points car il y aurait encore beaucoup à dire, notamment sur les approximations. Mais celui-là, j’avoue que c’est une petite perle. Microsoft ne pique rien du tout. Il ne faut pas oublier que ce qu’il fait, est, et que cela vous plaise ou non, autorisé par les licences des logiciels. Il ne faut pas oublier que Microsoft est devenu un des plus gros contributeurs du noyau linux (peut être pour ça que linux est très bien classé sur Azure aussi !) et de solutions open-source en général.

Des outils développés comme Visual Studio Code ou l’ouverture de la plateforme .Net via .Net Core montre tout l’intérêt de Microsoft pour le libre, et l’époque de Balmer qui disait que “linux était un cancer” est bien loin maintenant.

Powershell est bien supérieure à l’approche des shells unix pour la réalisation de scripts, car le premier manipule des objets là où le second manipule des chaines de caractères (et avec tout les problèmes de parsing en résultant). Toutefois, c’est un paradigme différent, qui nécessite un apprentissage. Mais ce n’est pas pour rien que Powershell monte en puissance rapidement, y compris sur Linux.

Non, ce qui vous choque, c’est que ce n’est pas vos outils habituels. Microsoft a tout à fait la puissance de développer ses propres outils (et il l’a fait). Mais là, il s’agit de proposer des outils déjà existants. Et l’intégration de ces outils prévus pour un OS dont le paradigme de fonctionnement est radicalement différent présente, à mon sens, plus de difficultés que le développement de ces-dits outils.

Ce n’est en rien une “reconnaissance implicite que les outils libres sont meilleurs”, ce qui reste à prouver et sur des critères qu’il reste à définir !

Oh je ne dis pas que tout est rose, mais à vous lire, j’ai plus l’impression de voir un libriste en manque d’argument qui repose sur une vision ancienne de Microsoft. Et que tout initiative de Microsoft est, quoi qu’il arrive, a jeté.

Le 05/04/2021 à 09h 12

Il y a aussi d’autres hypothèses. Il existe vraisemblablement des galaxies et amas de galaxies composés d’antimatière et non de matière.

Aujourd’hui, on ne sait pas détecter, en observant une étoile par exemple, si elle est faite de matière ou d’antimatière. On sait détecter les collisions matière/antimatière via les particules émises, mais pour une étoile par exemple, pas la nature de la matière la constituant, pour la simple et bonne raison que les photons sont émis aussi bien par la matière que l’antimatière, et nous n’avons pas encore suffisamment de recul pour savoir s’il y a une différence au niveau de l’émission des photons, entre, par exemple, un atome d’hydrogène et un atome d’antihydrogène. L’expérience menée au CERN permettra peut être d’apporter une réponse à cette question.

Autours de nous, comme nous sommes constitués de matières, nous sommes entourés de matière (sinon, nous le verrions via les annihilations !). Mais rien ne permet d’indiquer que des amas de galaxies lointains soient constitués de matière ou d’antimatière. Et rien n’indique non plus ce qui est contenu dans l’univers non observable (car il ne faut pas oublier, une large partie de l’univers est hors de notre porté !), sans oublier non plus que l’univers lointain observé l’est à la fois dans l’espace ET dans le temps.

Bref, peut être auront nous des réponses à certaines questions. Reste à savoir si ces réponses ne soulèveraient pas de nouvelles questions encore plus passionnantes :)

Le 24/03/2021 à 10h 34

Ce n’est que pour les pro. Il faut être enregistré, numéro SIREN, toussa quoi. Dans les justificatifs à fournir, il y a d’ailleurs une pièce d’identité de l’entreprise à fournir (extrait K-bis ou avis de situation sirene)

Le 24/03/2021 à 10h 17

chou74 a dit:

Si c’est pour du pro, tu doit pouvoir te faire rembourser, Marc a déjà fait des article sur le sujet pour dire que c’est compliqué

Le hasard a voulu que je fasse ma première demande de remboursement hier soir (vers à 22h). J’ai eu une réponse positive ce matin à ma demande (à 9h44). On peut au moins dire que pour le traitement, ils sont rapide.

Par contre, il est clair que le mécanisme de remboursement est fastidieux. Il est long, il faut des justificatifs (une facture avec le montant de la RCP). Il faut préciser le type de support, le nombre, la capacité, etc… Il faut remplir un questionnaire sur l’usage qui va être fait des supports. Pour ma part, je me suis contenté de ça :

Réalisation de sauvegardes
Redondance de services dans le cadre d’un PRA

A noter que le formulaire est un peu mal fichu aussi. Par exemple, il y a des questions du style, “les supports transmis à un tiers contiennent-il des contenus ?”. Suivi par “Si oui, sont-ils protégés par des DRMs ?”. Sauf que la seconde question est obligatoire, même si on répond non à la précédente !!

Si pour une personne comme moi, qui connait bien le sujet et qui est à l’aise avec ce genre de chose, je conçois que cela soit bien long et difficile pour d’autres.

Pour ma part, pour 270€ de bien, je récupère 32€ de RCP. J’ai du mettre pas loin de 20min pour remplir le questionnaire. Il est clair que si c’est pour récupérer 2€, ça ne vaut pas le coup de lancer la procédure !

J’en profite également pour remercier LDLC qui fourni les mentions qui vont bien (oui, je sais, elles sont en théorie obligatoires, mais beaucoup ne les affiches pas pour autant !!)

Le 23/03/2021 à 15h 11

th3squal a dit:

J’ajouterai même que les bases de données contenant des données personnelles doivent de plus être déclarées à la CNIL.

D’où l’obligation de la prévenir… pour leur dire “eh…au fait…elle n’existe plus…”

Euh non. Ca, c’était avant le 25 mai 2018. Et cela concernait plus largement tout “fichier” au sens large (qu’il soit numérique, papier, etc.)

Depuis le RGPD, il n’y a plus de déclaration à faire (sauf très rare cas, notamment dans le domaine de la santé)

Le 22/03/2021 à 09h 35

Confirmation du démarrage progression de SBG3. Mon dédié est up ! Pas d’incidence détecté dessus. Test réseau + CPU + ram + disk OK

Le 16/03/2021 à 10h 11

Attention aux conséquences ! S’il s’agit bien d’un ordinateur, Ada Lovelace ne serait plus le premier programmeur au monde ! Car quelqu’un aurait du écrire le programme pour ce premier ordinateur, il y a plus de 2000 ans !

Le 15/03/2021 à 12h 00

th3squal a dit:

DataStore et Backup ne sont pas identique et n’ont pas même vocation

Tout à fait. C’était juste pour illustrer qu’un service et son backup pouvait être situé dans la même unité, sur le même DC ! Chose que je ne pensais pas imaginable… (en tout cas, pas de la part d’un prestataire comme OVH).

C’est bien la le soucis, lorsqu’ils ont donnés la possibilité d’automatiser les snapshots avec un rotate, ils ont appelé ca “backup”. Mais ca reste des snapshots.

Mais on a bien les deux. Sur mes VPS, je peux faire soit un snapshot, soit des backups (voire les deux).

C’est justement le but de la RC Pro, chacune des assurances évaluera les dommages et les devoirs de chacun, et se retournera contre ceux qui ont manqués à leur obligation.

Ce qui est compliqué ici, c’est qu’il faut éplucher les CGU/CGV. Je n’ai pas lu tout en détail, mais je n’ai rien vu quant à l’utilisation de Backup Storage. Donc quand OVH dit pour un VPS par exemple, on ne fait pas de sauvegarde, OK, c’est à charge du client. Si le client prend l’option “backup automatisé” ? Le client a fait ce qui était demandé dans les CGU. Il a pris une solution quant à la sauvegarde. où est la responsabilité ? Cet incident malheureux va être riche en enseignement de ce point de vue là aussi ( et au niveau du RGPD ! Par exemple, à des questions comme est-ce que le client est responsable de la défaillance de son prestataire ? Jusqu’où un client doit vérifier les compétences de son prestataire ? etc…)

Mais fort à parier qu’OVH va se payer une magnifique surprime sur la totalité de leurs assurances…

Oh ça oui !!!!

Le 15/03/2021 à 11h 36

th3squal a dit:

Les backup storage ne sont pas hébergés sur le même DC. En revanche ils sont stockés géographiquement au même endroit.

Pour certains services, si ! Et c’est OVH même qui le dit. Par exemple, les Datastore.

Ils n’ont jamais parlé de backup multi région, ni de backup redondé.

Tout à fait. Toutefois, l’usage d’expressions comme “sécurisé”, “Entièrement géré par nos équipes”, “solution fiable”, etc… tant à induire en erreur sur la portée exacte du service, sans compte l’usage du mot “backup” laissant entendre que cet espace de stockage est “conçu pour”.

Bon en revanche, “backup” est commercialement inadapté, à l’origine cela s’appelait “snapshot”…

Attention, backup et snapshot sont deux choses différentes !

Les avocats vont tenter de s’engouffrer dans ce défaut d’appellation je pense, et tenteront de la faire passer comme “trompeuse”. Et au pire OVH se fera allumé uniquement sur l’appellation trompeuse de ce service.

Sauf que l’appellation désastreuse peut avoir des conséquences irréversibles. Pas certains que cela soit juste sur la nature trompeuse du service. Mais là, il faudra attendre la conclusion des éventuels procès à ce sujet.

Dans les CGV et CGU, vu le nombre de fois qu’il est écris clairement et même en majuscule qu’OVH n’est pas responsable de la perte de données, et qu’il appartient au client d’effectuer lui même ses sauvegardes et ses PRA, ca risque tout de même d’être ensuite difficile de les attaquer pour autre chose. D’autant qu’ils indiquent aussi clairement que dans le cas d’une activité professionnelle :

Si je suis d’accord sur le principe du PRA. Par contre, si OVH vend un service qui est qualifié de trompeur, et que le PRA est inefficace à cause de ce service trompeur, OVH pourrait (conditionnel hein !) bien être tenu pour responsable bien qu’il y ait une clause dans les CGU et CGV.

Le 15/03/2021 à 10h 09

Etonné devant le fait que les solutions de stockage style “backup storage” ne suivent pas la règle du 3-2-1, j’ai regardé un peu les descriptions sur le site d’OVH. Effectivement, à aucun moment, il ne parle de redondance dans la sauvegarde.

Le service ainsi intitulé “backup storage” est, à mon avis, trompeur. C’est un espace de stockage, pas un espace de stockage pour les backups.

Sa description laisse aussi perplexe :

Cet espace, qui peut être augmenté jusqu’à 10 To, vous permet d’entreposer des données en toute sécurité, indépendamment du serveur principal

La notion de sécurité est ici toute relative. En continuant un peu dans la page, on se rend compte que la sécurité est une sécurité de confidentialité (accès) et aucunement une sécurité d’intégrité. Comme les termes utilisés sont vagues, le nom trompeur, on fait facilement de fausse supposition.

En bref, l’histoire est loin d’être terminée car je sens qu’il va y avoir quelques batailles judiciaires derrières pour les entreprises ayant perdues leurs données.

Le 13/03/2021 à 09h 15

Doit garantir l’inaccessibilité ET la sécurité. Y compris la redondance dans le cadre hébergeur infogéreur. Contrairement au VPS, où OVH ne fait plus de sauvegarde, la mise à disposition d’un “VPS HDS” oblige à la sauvegarde. C’est dans la certification donc… obligatoire

Le 13/03/2021 à 06h 51

Message reçu cette nuit pour mon feu VPS :

Chère cliente, cher client,
À la suite de l’incendie survenu le 10 mars dans notre datacentre de Strasbourg (SBG), les services VPS ont été affectés.
Votre VPS ci dessous ne pourra pas être remis en service:

vps-xxxxx.vps.ovh.net

Nous appliquerons a posteriori une gratuité équivalente à 6 fois le montant de votre facture de février 2021 pour ce service. Pour vos activités les plus critiques, qui nécessitent un redémarrage plus rapide, nous vous conseillons de commander une solution alternative dans notre datacentre de Gravelines (GRA), dans lequel nous renforçons nos capacités. Dans ce cas, la gratuité sera appliquée a posteriori sur ce nouveau service.

J’ai reçu un message similaire pour mon dédié, mais 3 mois seulement car il est juste éteint, pas détruit.

Après, je ne sais pas ce qu’il en est pour les hébergements plus spécialisés comme les hébergements HDS (données de santé), où là, contractuellement, c’est beaucoup plus cadré et où la sauvegarde fait partie de la prestation (et donc de la responsabilité) d’OVH (mais beaucoup plus cher aussi !)

Le 12/03/2021 à 15h 08

D’accord merci ;)

Le 12/03/2021 à 14h 22

Non je ne m’en souviens pas. Et comme il n’apparait pas dans la liste de mes VPS, ben je ne peux pas avoir l’info. Pour mes autres VPS, pas de souci par contre !

Après, effectivement, vu la situation, ce n’est pas forcément étonnant. Mais dans leur FAQ, il est précisé comment voir dans quel datacenter se trouve l’instance… quand elle est listée !

Et le DC n’apparait pas non plus sur les factures, ni sur les mails de déploiement du VPS…

Le 12/03/2021 à 13h 48

Une question au sujet des VPS. J’en ai un qui a totalement disparu de mon interface admin. Du coup, je ne peux même pas savoir où il était situé. Suis-je le seul dans ce cas ?

Pour info, le VPS est bien entendu injoignable !

Comme il était un peu à l’abandon depuis début février (rien de critique, VPS de test pas utilisé actuellement), je ne sais pas si c’est lié à l’incendie ou si cela date d’avant

Le 11/03/2021 à 06h 45

Equilibrium a dit:

Je n’affirme rien, j’explique quels sont les fondements probables pour une situation comme celle-ci.

Pourtant, écrire “RGPD : Les obligations de sécurité physique n’ont pas été respecté” me semble très affirmatif !

Sur la réalité des manquements, je n’en sais pas plus que le quidam qui s’intéresserait un tant soit peu au sujet.

Après, je ne suis pas un procureur, je débat sur un fait divers porté à la connaissance de tous.

Et pourtant…. vous partez d’hypothèses non vérifiées, vous faites des suppositions, et vous en tirer des conclusions. Vous êtes vous posés des questions ? Comment l’incendie a-t-il démarré ? Est-il accidentel ou volontaire ? Pourquoi le feu s’est-il propagé si vite ? Pourquoi les pompiers ont eu du mal à intervenir ? Quel était le système anti-incendie en place ? A-t-il fonctionné ? Combien de temps les pompiers ont-ils mis pour venir sur place ? Combien de temps entre le début de l’incendie et sa détection ? etc… et il y a encore plein de questions de ce genre.

Ce que je vois, c’est que le bâtiment fait cheap, l’intérieur aussi (voir les photos visibles publiquement) et le fait que les pompiers ont indiqué qu’ils n’avaient pas pu avoir accès aux locaux via la façade comme cela (doit ?) être le cas.

Prenons juste cet exemple. Déjà, en tant que simple quidam, vous arrivez à faire mieux que des experts en vous basant uniquement sur des photos pour déterminer la résistance au feu du batiment. Quels sont les matériaux utilisés ? Fondent-ils ? Sont-ils inflammables ? Sont-ils homologués ?

Concernant les pompiers (je n’ai vu nul part le témoignage de pompiers sur l’accès impossible mais cela ne veut pas dire qu’il n’en existe pas), vous êtes vous posé la question de savoir pourquoi ? Est-ce que le bâtiment était mal conçu ? Est-ce qu’ils n’avaient pas le matériel adéquat ? Est-ce que le passage était bloqué par un véhicule ou des travaux ? Pourtant, sans savoir, vous tirez déjà une conclusion.

Donc non, vous ne savez rien, car pour l’instant, personne ne sait rien, si ce n’est qu’il y a eu un incendie. Il y aura très certainement des enseignements à en tirer, mais il est bien trop tôt pour cela devant le manque d’éléments.

Le 10/03/2021 à 21h 05

Equilibrium a dit:

RGPD : Les obligations de sécurité physique n’ont pas été respecté, des traitements de données ont été réalisé par les responsables de traitements sur des moyens techniques loués à OVH qui devient sous-traitant. Là pas besoin de préjudice, le non-respect s’il est démontré suffit à la condamnation. Ensuite il est possible d’intenter une action au civil pour condamner sur la base du non-respect du RGPD et du préjudice causé.

J’apprécie beaucoup le RGPD et en suit même un ardent défenseur. Mais ici, je ne vois pas comment on peut affirmer dès maintenant tout cela.

Déjà, pour clarifier les choses et être sûr que l’on parle bien des mêmes sujets, le RGPD intervient ici vis-à-vis de la violation de données, qui, comme tu le rappelles, ne se limite pas aux cyberattaques, mais englobe également la perte de données, que ce soit la destruction (sujet qui nous occupe ici) ou l’égarement (par ex. perte d’un ordinateur ou d’un disque dur dans le train).

Un élément important à prendre en compte c’est le côté temporel. Dans le RGPD, la perte de données est la perte définitive. La violation de données ne fait pas référence à l’indisponibilité temporaire.

Tout cela dit, prétendre que les obligations de sécurité physique n’ont pas été respecté, c’est y aller très fort. On ne connait pas les causes de l’incendie. On ne connait pas les mécanismes de sécurité en place, ni s’ils ont fonctionnés ou dysfonctionnés.

Est-ce qu’il y a eu perte de données ? En voyant que SBG2 est parti en fumée, et une partie de SBG1, je pense que l’on peut affirmer que oui. Mais c’est la seule chose qui puisse l’être actuellement. Prétendre que les obligations n’ont pas été respectées comme vous le faite est quel que peu prématuré.

Et il ne faut pas oublier une chose très importante. On peut prendre toutes les mesures de sécurité et de protection que l’on veut, elles n’ont pas pour but d’empêcher les pertes, mais de diminuer leur probabilité.

Enfin, qualifié OVH de sous-traitant au sens RGPD est quelque chose de discutable. OVH ne connait pas la nature des données qui peuvent être sur ses serveurs, et ce n’est pas parce qu’OVH réalise la maintenance desdits serveurs qu’il peut être qualifié comme réalisant un traitement sur les données (dont le caractère personnel n’est même pas avérés, même s’il y en a), sachant que le seul traitement qu’il lui serait éventuellement opposable est la conservation… sur une machine qu’il met à disposition !

Le 10/03/2021 à 20h 40

Erwannys a dit:

Si vos serveurs sont si critiques, pourquoi n’avez vous pas mis en place du monitoring ?

Le monitoring ne fait pas tout. Il donne une indication (le serveur est indisponible). Avoir une information de la part d’OVH indique une chose : le serveur n’y est pour rien, et il est inutile de vouloir tenter de le rebooter/remonter. Dans ce cas, on gagne du temps dans le PRA puisqu’on peut passer directement à l’étape suivante, comme la réinstallation sur un serveur tout neuf par exemple.

Il indique également que leurs équipes seront très certainement surchargés, d’une part pour le traitement de l’incident en lui-même, et d’autre part, pour le traitement de toutes les demandes qui peuvent y être liés.

Tout ce que je lis ici me donne l’impression qu’il n’y a pas grand monde qui a fait “ses devoirs à la maison” avant l’incident; cf. les serveurs ftp de backup non accessibles.

C’est le principe de l’analyse des risques. Une analyse est et reste théorique jusqu’à ce qu’un véritable incident survienne. Et s’il y a des manquements, il faut en tirer des enseignements. C’est tellement facile sortir un “yakafokon” une fois les problèmes survenus. On a beau imaginer tous les scénarios inimaginables, il y en aura toujours auxquels on ne sera pas préparés.

Je vais prendre un exemple. J’ai des VPS. Des services non critiques. Je les ai pris il y a quelques années. A cette époque, et comme le relate webarchive, les vps étaient sauvegardés toutes les semaines pour les besoins internes d’OVH en cas d’incidents. Ce n’est pas une notion que j’ai réussi à retrouver aujourd’hui sur leur site. Au contraire même, leur FAQ précise qu’ils ne sont pas sauvegardés ! Mon erreur ici ? Ne pas avoir regardé l’évolution des conditions d’utilisations des VPS. Il a fallu ce malheureux incident pour que je m’en rende compte.

Je l’aurais su, j’aurai changé mon PRA pour l’adapter en conséquence. J’ai bien une sauvegarde de mes données, mais pas une sauvegarde de la configuration entière du serveur. Ce n’est pas grave, ça peut attendre quelques jours.

Maintenant, j’en tire des enseignements. Mise à jour du PRA pour sauvegarder la configuration des serveurs, ET vérifier régulièrement les éventuels changements dans la politique des services utilisés.

Le 10/03/2021 à 07h 46

Ca va dépendre de l’offre d’hébergement.

Pour tout ce qui est VPS par exemple, ils font des sauvegardes régulières, et devraient donc pouvoir remonter le tout sans trop de perte, car les sauvegardes sont normalement répliquées sur plusieurs sites.

Pour tout ce qui est dédié, c’est différent. Pour le dédié en lui-même, OVH ne fait pas de sauvegarde. C’est de la responsabilité du client de le faire (possiblement en passant par les services OVH).

Le 10/03/2021 à 07h 19

J’ai un dédié sur SBG3. Indisponible pour le moment (normal, si le courant est coupé !). Par contre, au niveau de la console OVH, on m’annonce que tous les services sont OK

Le 05/03/2021 à 18h 04

Non, car ce qui est indemnisé, c’est la mise à disposition. Le fait de communiquer les données.

L’article le dit bien d’ailleurs “A la fourniture par les opérateurs de communications électroniques des données conservées”. Le recueil et le stockage ne sont pas mentionné. Donc, même s’il s’agit d’un surcout de ton point de vue, bon courage pour te faire indemniser vu la tournure du texte de loi.

D’autant plus que le défaut de conservation est fortement puni. De mémoire, c’est quelque chose comme 375000€ d’amende pour une entreprise, avec risque de fermeture.

Donc d’un côté, on a un texte qui impose la conservation des données. De l’autre, un texte qui impose la mise à disposition (la fourniture). Et seul les frais de fourniture sont indemnisés.

Le 05/03/2021 à 17h 06

IV. – Les surcoûts identifiables et spécifiques supportés par les opérateurs requis par les autorités judiciaires pour la fourniture des données relevant des catégories mentionnées au présent article sont compensés selon les modalités prévues à l’article R. 213-1 du code de procédure pénale.

Le mot en gras est important. Ce qui est indemnisé, c’est le fait, suite à une requête de la part de l’autorité judiciaire, de fournir l’information (car cela peut demander du travail et du temps de traitement).

Par contre, la mise en place de ce système, sa sécurisation (il s’agit de données potentiellement très sensible !), son stockage, etc… se fait au frais des opérateurs.

Je t’invite à lire l’article R. 213-1 du code de procédure pénale, ainsi que l’article R92 où tout cela est bien précisé :

9° Les frais résultant des actes accomplis pour l’exécution des réquisitions judiciaires faisant appel à certaines techniques d’enquête et de surveillance et correspondant :
a) A la fourniture par les opérateurs de communications électroniques des données conservées en application des II et III de l’article L. 34-1 et de l’article R. 10-13 du code des postes et des communications électroniques ;

Le 05/03/2021 à 14h 50

Ce n’est pas indemnisé. C’est au frais de l’opérateur. Et opérateur est à prendre au sens large. Par exemple, il suffit de proposer un wifi public pour que l’obligation se pose.

Le 03/03/2021 à 07h 56

Patch a dit:

Je sais pas, déjà comment tu expliques qu’on puisse comparer 2 mots de passe différents pour savoir s’ils sont trop proches ou pas (le nouveau n’ayant jamais été utilisé), si c’est chiffré ou hashé?

Si c’est chiffré, c’est possible car réversible. Et Free a la clé de déchiffrement.

Par contre, cela exclue l’usage du hashage pour le stockage du mot de passe, on est bien d’accord là-dessus.

Le 08/02/2021 à 13h 07

DanLo a dit:

Concernant la question d’envoyer un mail au nom d’un alias : Strictement rien ne t’empêche de changer ton header de mail pour modifier le “from:”. Les interfaces/logiciels de mails te permettront plus ou moins facilement de le faire c’est tout (avec Thunderbird c’est trivial, en ligne de commande aussi, si je puis dire ?).

Attention au service d’envoi de mail utilisé. Certains imposent que l’adresse e-mail de la personne connectée correspondent au champ From: dans l’entête. Un moyen de lutter contre le spam.

Le 06/02/2021 à 18h 58

(reply:1853138:Z-os)

Non. Ce n’est malheureusement pas le cas. La copie privée est une exception qui n’est pas considérée comme du piratage, mais cela reste une exception et non un droit.

Autrement dit, si le support est protégé, tu n’as, en théorie, pas le droit de craquer la protection pour pouvoir jouir de cette exception.

A ma connaissance, la seule justification légale de faire sauter une protection est l’interopérabilité.

Le 05/02/2021 à 06h 55

Ce n’est pas qu’on est contre la RCP (enfin en tout cas, dans mon cas, mais je sais que je ne suis pas le seul). On est juste contre la manière dont cela se passe. Il suffit de prendre quelques exemples :

• annulation des barèmes, mais non remboursement des sommes prélevées indument ;


• surreprésentation des ayants droits (pour rappel, 12 sièges, face aux 6 des consommateurs et 6 des industriels) ;


• pour rappel, la redevance n’est due que pour les usages des particuliers. Pourtant, tout le monde la paie et c’est un parcours du combattant pour les professionnels pour se faire rembourser ;


• pour rappel, la RCP est due par le fabricant (s’il est en France) ou par l’importateur sinon. Etendre la RCP sur les supports reconditionnés (donc déjà en circulation) est donc un non-sens ;


• c’est une redevance pour tenir compte de l’exception de copie privée. Pourtant, les sources comme le streaming sont prise en compte !

Et je suis loin d’être exhaustif…

Le 03/02/2021 à 09h 34

Mais du coup, c’est leur donner une responsabilité que certains ne veulent pas voir. Cela m’étonnerai fortement que les ayants droits acceptent qu’une entité privée juge un contenu comme relevant de la critique, la parodie, etc…

Et quand on connait leur lobbying pour réussir à faire passer toujours plus gros…

Et comme je le disais aussi, je doute que les réseaux sociaux acceptent d’avoir cette épée de Damoclès devant tout décision, qu’elle soit de retrait ou de non retrait :

• retrait abusif : risque de 1,25 millions d’€


• absence de retrait dans les 24h : risque de 1,25 millions d’€

C’est tout simplement intenable. Autant je suis pour que la situation actuelle change, autant la solution proposée ne me parait pas viable. Comme déjà dans mon précédant commentaire, je pense que c’est le signaleur “abusif” qu’il faut cibler, et non la plateforme…

Le 03/02/2021 à 08h 10

Donc, on a, à ma gauche, des réseaux sociaux qui peuvent être attaqués en cas de suppression d’un contenu signalé si le retrait n’aurait pas du avoir lieu.

A ma droite, les ayant-droits qui vont attaqués parce qu’un contenu signalé n’a pas été supprimé dans les temps.

Le match risque d’être… intéressant !

Un réseau social pris entre deux étaux comme ceux-ci ne restera pas longtemps ouvert en France ! Et s’il y avait une sanction pour les signalements abusifs ?

Le 26/01/2021 à 07h 19

Je suis de près les évolutions technologiques. Autant par le passé, j’ai pu voire un intérêt aux différentes “avancées” (IA, Blockchain, Cloud, NoSQL, etc…), autant pour ça, je suis sceptique.

C’est comme la théorie de la relativité générale. C’est une belle théorie, élégante, dont le champ d’application est extrêmement restreint aujourd’hui en dehors de la cosmologie : le GPS ! (Je parle bien d’applications, la théorie a aussi permis de mieux comprendre le fonctionnement de certaines choses comme le tube cathodique par exemple)

Le 22/01/2021 à 11h 11

Je ne suis que de loin l’évolution de l’ordinateur quantique et ce qui est retourne, et je reste malgré tout sceptique. Je ne dis pas qu’il ne va pas y avoir des applications (j’en suis même certains), mais je doute que cela soit le chamboulement annoncé.

La puissance de calcul va effectivement exploser, mais uniquement pour certains types de calcul ! Le risque majeur annoncé est une remise en cause des moyens cryptographiques actuels. Je demande à voir la mise en pratique (et pour l’instant, on en est très loin).

Sans compter le prix de tels ordinateurs, qui sera astronomique, et la place requise pour les héberger. Alors oui, des Etats pourront se les payer, voire de très grandes firmes, mais c’est tout. Et le jour où on aura des moyens de chiffrement résistant aux ordinateurs quantiques, que deviendront-ils ?

Le 06/01/2021 à 15h 37

FennNaten a dit:

Nicop91 a dit:

tazvld a dit:

Krogoth a dit:

Merci pour vos réponses.

C’est donc un problème de traduction, car “mouvement libre” se rapproche plutôt au domaine… logiciel ! Ici, ce sont plutôt les “libres déplacements”. En ayant le sens, et avec le contexte actuel, c’est beaucoup plus clair !

Le 06/01/2021 à 10h 35

C’est peut-être parce que je ne suis pas le sujet, mais je ne comprends ce que veut dire ce passage :

Minecraft Earth a été conçu autour du mouvement libre et du jeu collaboratif, deux éléments devenus presque impossibles dans la situation actuelle

Mouvement libre et jeu collaboratif impossible dans la situation actuelle ?

Le 01/12/2020 à 11h 17

Patch a dit:

Double portabilité : tu gardes ton numéro.

C’est une solution. Dommage de devoir en arriver là pour bénéficier de ce genre d’offre.
Et pas certains que cela soit possible ici. L’offre n’est valable que 15j ^^

De plus, comme il s’agit d’une ligne pro, je préfère éviter. Une portabilité n’est pas sans risque non plus !

Le 01/12/2020 à 10h 32

golgoth17 a dit:

Alors là, je ne comprends pas ! tu peux prendre le nouveau forfait, il est ou le problème ? Rien ne t’oblige à garder ton ancien forfait !

Je ne peux pas faire évoluer mon forfait. La seule possibilité que j’ai, c’est de prendre une option pour activer la 5G.
Si je prends un nouveau forfait et que je ferme celui que j’ai, je perds mon numéro…

Le 01/12/2020 à 09h 38

Comme toujours, les “déjà clients” sont les dindons de la farce…

Si je prends un “nouveau forfait”, j’ai le droit quasiment au double de data en 5G pour 5€ de moins que si je prend l’option à 3€ sur mon forfait actuel pour juste activer la 5G…

Le 19/11/2020 à 10h 59

Vorphalax a dit:

Google veut se garder les données utilisateurs qu’il revend pour sa pomme.

Il y a un accord d’échange de données entre Google et Apple ? Je croyais plutôt qu’il se faisait la guerre

Le 28/10/2020 à 13h 16

Flash info : l’installation de la mise à jour provoque l’arrêt de …

Le 29/09/2020 à 08h 49

Non. Le RGPD précise que l’une des 6 pierres permettant de justifier un traitement est la contrainte légale.

Par contre, aucune exception sur les mesures de sécurités qui doivent être mises en place pour le stockage des données.

Donc d’une part, ils ont bien l’obligation de conserver les données, et d’autre part, ils ont bien l’obligation de respecter le RGPD (aucune exception à ce niveau là)

Le 28/09/2020 à 22h 20

Chacun est libre de croire ce qu’il veut. Pour ma part, je considère que Microsoft est plutôt bien au fait quand il s’agit de sécurité (on pourrait citer Adobe et son plugin flash pour le côté passoire !).

Je ne dis pas que tout est rose. Ils ont fait des choix par le passé qui ont été une catastrophe d’un point de vue sécurité (compte administrateur pour tout le monde, et pas de gestion des droits au niveau du système de fichiers par exemple); mais les choses ont bien changé depuis !

Quoi qu’il en soit, cela ne change rien en mon propos : ce n’est pas parce qu’un logiciel est libre qu’il est sécurisé, tout comme ce n’est pas parce qu’un logiciel est non libre que c’est une passoire.

Le 28/09/2020 à 19h 56

Croire qu’un logiciel est sécurisé parce qu’il est opensource est tout aussi foireux que de croire qu’un logiciel est une passoire car il est non-libre.

La sécurité par l’obscurité est une mauvaise chose quand c’est le seul moyen mis en oeuvre. Par contre, c’est une bonne chose quand c’est un mécanisme supplémentaire.

Le 25/09/2020 à 06h 38

David_L a dit:

Mais à mon sens une fois que tout le travail de réunification sera fait, il faudra forcément qu’ils se penche sur la question des GUI, que ce soit pour interfacer avec de l’existant ou proposer leur alternative et ne pas nécessiter que ça passe uniquement par de l’interface web par exemple.

C’est prévu, avec MAUI, qui devrait être disponible avec .NET 6. Il faut le voir comme une évolution de Xamarin.Forms mais visant également le Desktop. Et de manière officielle et non pas communautaire comme c’est le cas actuellement. Cela voudra dire une très bonne stabilité multiplateforme, et non pas des supports plateforme partiels avec certaines qui sont en développement, en alpha ou beta comme actuellement…

Le 25/08/2020 à 06h 55

Si je suis la technologie de loin, je ne l’utilise pas, car pas encore officiellement “stable” :

• les spécifications au niveau W3C ne sont qu’au stade de brouillon ;


• Google, avec sa part de marché sur les navigateurs, peut décider à lui tout seul de l’avenir de cette technologie (par ex. rajouter une API, les autres navigateurs seront obligés de suivre) ;


• il peut y avoir de petites disparités entre les navigateurs , soit de comportement, soit de fonctionnalités disponibles.

Le 03/07/2020 à 19h 25

Merci pour la réponse ;)

Le 03/07/2020 à 17h 27

On parle ici du blocage des sites, pas de l’identification d’un usager pour “défaut de sécurisation” (qui elle, d’ailleurs, est indémnisée, tout du moins en théorie)

Le 03/07/2020 à 16h 58

Une simple question : quel est le coût relatif à ces blocages ? Il me semblait que dans la plupart des cas, il s’agit de DNS menteurs, basés sur une liste établie par des décisions de justice. J’ai du mal à voir un coût exhorbitant qui nécessiterait dédommagement. Ou alors j’ai raté quelque chose ?