Le 21/12/2023 à 07h 22

Personnellement j'y fais un rapprochement avec la problématique de la gestion des données personnelles et la méconnaissance du sujet par les responsables de projet.

C'est un domaine qui est réglementé (à l'échelle Européenne), a des définitions, des obligations, incombe à des responsabilités, mais pourtant, je ne vois que très peu de projets qui ont le réflexe d'aller consulter le DPO. Je suis obligé de les renvoyer là bas de manière quasi systématique.

L'éthique de l'usage de l'IA me semble partie dans la même voie malgré les garde fous mis au niveau de la commercialisation de ces offres. Par exemple, on ne peut pas souscrire à Azure OpenAI Service comme ça (à l'inverse, on peut utiliser les API OpenAI librement). Il n'est possible d'avoir ce service que lorsqu'on est un client professionnel de Microsoft et il faut remplir un formulaire indiquant que le client s'engage à respecter les différentes chartes d'usage de l'éditeur. C'est de l'engagement "oral", certes, mais ça peut entraîner des actions car derrière c'est aussi lié au contrat.

Mais au delà de ça, l'usage fait par le client ne peut décemment pas se faire sans accompagnement au même titre qu'on ne peut intégrer une solution au SI sans avoir fait la revue de celle-ci au niveau des différentes exigences fonctionnelles et non fonctionnelles (ex : les données sont-elles stockées de manière sécurisée, CMEK, gestion des données personnelles, etc).

Hélas, comme je le partageais sur l'article relatif à Log4Shell, les enjeux métier ne sont généralement pas pilotés par les mêmes exigences et se contrefoutent de celles qui ne les "regarde pas" (alors que si !!). Donc l'usage éthique de l'IA risque de tomber dans le même sac que la gestion des données personnelles et la sécurité IT : celui des emmerdeurs empêcheurs d'avancer.

Dans la partie réglementation, un homologue du DPO sur ces sujets aurait un intérêt je pense.

Le 21/12/2023 à 07h 14

Plutôt cohérent. Bon, pas d'bol, mes dossiers d'architecture sont constamment en anglais, mais j'essayerai bien de glisser ça de temps en temps dans une conversation

Ce doit être mon plaisir malsain d'aimer faire bugger mes interlocuteurs.

Le 20/12/2023 à 20h 08

On se retrouve avec X logiciels installés dans les VLAN Office qui font exactement la même chose fonctionnellement parlant. Codé et installé avec le c... non connecté en SSO avec des comptes génériques de partout. Bref l'éclate totale en tant qu'archi quand ta mission c'est de remettre d'équerre le SI groupe. Gouvernance inexistante = SI de m... même avec la meilleure volonté du monde

Complètement ce que je vis aussi

Et c'est grâce à ça qu'on découvre qu'on a des souscriptions AWS qui sont littéralement des fuites à thunes et données d'entreprise (avec tout en public et YOLO) car truc mis en oeuvre par un alternant à un moment et depuis plus maintenu, mais qui est devenu critique. Et n'oubliez pas le moment où les credentials de la sub se font poutrer que que vous vous retrouvez avec 500k€ de dépense en un mois car un russe a eu envie de miner du bitcoin sur votre compte (on aurait identifié la personne on aurait voulu l'embaucher, elle a su faire pop en une nuit 50 fois - sans exagération - plus de VM que les "experts" du domaine nous le vendaient au prix fort).

Autre cas courant : l'achat indésiré de licenses logicielles. Ah oui c'est facile de souscrire à un produit SaaS avec son mail d'entreprise en utilisant les offres "Personal". De le faire monter en puissance, en charge, en criticité. Puis un jour, on reçoit la facture.

Beaucoup ne se rendent pas compte que le Shadow-IT coûte une fortune dans le temps. Ah oui, à court terme c'est cool et ça fait un delivery immédiat, le TTM pète les scores. Mais hélas, le cliché du politique qui ne voit que son échéance électorale existe dans le privé aussi. Le décideur s'en fout car dans 3 ans il sera à un autre poste et ça ne sera plus sa responsabilité. Quant au prestataire, pareil, il aura changé de client.

Les gens avec une vraie conscience professionnelle sont une denrée rare. Et comme ils passent pour des chieurs, des bloqueurs, des empêcheurs d'avancer, ben ils deviennent encore plus rares.

Le 19/12/2023 à 18h 59

Juste que désormais les recruteurs ne cherchent plus des devops mais des devsecops (et dans 3 mois, ajoutez "ai"). A mourir de rire.

J'en peux plus de ces clowns qui croient qu'une culture de travail est un métier perso. J'ai arrêté de compter les bots sur Linkedin qui me proposent un "poste de devops" (bullshit job qui n'existe pas) pour écrire de scripts Terraform.

/facepalm

Le 19/12/2023 à 17h 41

Log4Shell, qui s’en rappelle ?

M'en rappelle.

Me rappelle avoir pissé dans un violon devant des chefs de projets qui étaient uniquement pilotés par le métier et refusaient d'entendre toute considération technique. Leurs applications n'avaient quasi jamais de budget pour la maintenance du socle technique.

Me rappelle qu'aujourd'hui ça n'a pour ainsi dire pas changé.

Donc le constat ne m'étonne pas. Les projets de développement IT axés uniquement par le prisme du métier qui ne considèrent pas la technique sont une catastrophe.

Cela rappelle l'image récurrente qu'on voit lors des piratages médiatiques avec les trois jarres : mon budget sécu IT avant un piratage (pot quasi vide), mon budget sécu IT après un piratage (pot plein), et ma variante favorite : coût de la fuite de données (un pot rempli 3x plus gros).

Le 19/12/2023 à 13h 10

Je ne crois pas que les LLM et autres "IA" génératives soient rentables aujourd'hui. Par contre, je pense qu'elles le seront à moyen terme.

Sur ce point j'ai encore des doutes car il y a un défaut lié à leur fonctionnement qui requiert un entraînement. Les IA génératives ne travaillent que par rétroviseur, elles ont besoin de données existantes pour produire et n'en créent pas réellement elles-mêmes (et les entraîner avec elles-même engendre une une dégradation). Même si une IA générative est capable de produire un contenu original, cela reste avant tout le résultat d'un modèle statistique qui inclus une part d'aléatoire. Pire encore en raison de la censure des modèles qui bride leurs capacités.

Cependant, à chaque fois que le monde évolue, elles auront besoin d'apprendre à nouveau, et donc d'être entraînées, et donc consommer de l'énergie et du temps pour cela. Cette action n'a lieu qu'une seule fois pour qu'un modèle puisse fonctionner, mais elle va devoir être répétée de manière itérative.

A titre personnel, je ne sais pas si avec les méthodes de ML actuelles, ce genre de modèle est viable dans le temps.

Un exemple concret, c'est GitHub Copilot. Les frameworks de langages de programmation évoluent très rapidement, et parfois trop. De ce fait, Copilot est potentiellement à la ramasse sur des technologies récentes et a besoin d'être régulièrement ré-entraîné.

Après, peut-être que l'idée évoquée de modèles plus petits et spécialisés serait une approche plus viable et rentable.

Le 19/12/2023 à 10h 15

Elle note, enfin, qu’utiliser de grands modèles de langages pour réaliser une tâche est beaucoup plus énergivore que de recourir à un modèle d’IA plus petit et plus spécialisé. Ainsi, utiliser un modèle généraliste pour trier des critiques de films selon qu’elles sont positives ou négatives demande trente fois plus d’énergie que le faire avec un modèle spécifiquement dédié à ce type de classification.


Pour le coup, j'ai envie de dire que c'est commun avec tout logiciel. Un gros ERP monolithique de l'enfer qui fait papa/maman consommera bien plus de ressources IT que des petits logiciels très spécialisés dans leur domaine. Cela se voit notamment avec les architecture micro service ou encore les exécutions à la demande comme du FaaS qui sont moins coûteuses à l'unité. Encore faut-il ensuite faire la comparaison avec l'ERP monolithique.

C'est d'ailleurs pour ça qu'à titre perso j'essaye d'opter pour des modèles spécialisés avec Stable Diffusion lorsque le besoin est précis plutôt que d'essayer de tirer quelque chose d'un modèle généraliste à qui il faut tordre le cou ou joindre plein de LoRA qui ajoutent de la charge.

Pour la partie LLM, malheureusement pour moi, je n'arrive pas à les faire tourner sur ma machine. Elle est suffisamment performante pour l'imagerie (même si plutôt juste pour SDXL), mais pour le texte ça ne passe pas.

D'un certain point de vue, OpenAI a commencé à faire du "microservice" avec ses modèles en intégrant DALL-E avec ChatGPT premium, mais c'est encore des gros culs lourds. Leurs modèles sont trop bourrins et l'idée des modèles petits et spécialisés aurait plus de sens à mes yeux. Avec éventuellement un généraliste suffisamment bien tuné pour comprendre le prompt utilisateur et s'adresser ensuite aux "experts".

Le 19/12/2023 à 08h 10

Malheureusement, le MFA, les clés type Yubikey, ou encore l'accès conditionnel (géographique / device / etc) sont encore loin d'être une généralité dans toutes les entreprises IT.

Le 18/12/2023 à 22h 13

Sans ce faux-ami, le méchant dans Batman aurait eut un nom bien malheureux d'ailleurs en français.

Le 17/12/2023 à 22h 22

En effet des tutos destinés à un public varié, c'est très difficile pour trouver un équilibre.

Là où sur des docs ciblées, la métrique est un poil moins complexe. Je pense par exemple aux procédures d'exploitation censées être jouées par un pilotage offshore où la personne qui exécute n'a été recrutée que parce qu'elle sait taper sur un clavier et parler anglais. Là dessus il faut être précis et dénué de toute ambiguïté.

Là où quand on s'adresse à un population déjà plus experte on peut prendre des raccourcis.

Cela dit, il y a un moment où les deux se joignent. Pour l'avoir fait durant une de mes anciennes vies d'admin en prod qui faisait de l'astreinte : la procédure à neuneu copier/coller dans le but d'être jouée lors d'un appel à 3 heures du mat quand on a la tête dans le

Vient un moment où bien qu'on soit en maîtrise du sujet, avec une proc à neuneu qui ne demande pas de réfléchir dans ce genre de situation, ça aide.

Le 16/12/2023 à 18h 09

#14.2

GG !

Le 16/12/2023 à 09h 38

Pour moi, la vulgarisation est un exercice qui est loin d'être évident. Mais c'est aussi une qualité indispensable dans différents métiers dont le mien. Quand on est architecte, on discute avec les experts du domaine et avec le client (le projet métier).

On doit donc être capable d'échanger de manière détaillée et précise avec les experts, tout comme on doit être capable de restituer le résultat des travaux à un décideur qui n'a que faire de savoir ce qu'est un certificat.

Mais le plus difficile dans l'exercice de la vulgarisation, c'est de ne pas prendre l'interlocuteur pour un teubé. Et ça, beaucoup tombent dans ce piège et ça déclenche plus de frustration qu'autre chose.

Le 16/12/2023 à 09h 28

Les reproches que j'ai pu exprimer à l'encontre de cette déclaration erronée ne concerne pas tant l'usage/le mésusage de la langue française, mais le manque de plus value que cela apporte et de fait l'impact sur la crédibilité de la personne ayant tenu ces propos. Dans la mesure où il y avait d'autres propos qui posaient des problèmes pour des raisons différentes.

Je suis d'accord avec toi. Il ne sert à rien de pointer un mauvais usage d'un terme car il n'y a pas le contexte du recueil du propos. A l'oral, on fait tous des erreurs, et le domaine de l'IT étant bourré d’anglicismes, on peut rapidement ripper.

Moi-même ça m'arrive plus d'une fois de dire "crypter" au lieu de "chiffrer" parce que j'ai pensé "encrypt", surtout quand juste avant je sors d'une réunion en anglais. Mais derrière les interlocuteurs corrigent instinctivement. L'important étant qu'on se soit compris.

Par contre on tombera toujours sur une Diva qui fera remarquer l'erreur de terme. Mais généralement, cette Diva n'interviendra que sur ce point et pas sur la pertinence de l'énoncé. Rendant son intervention inutile.

Clairement, dans le discours d'Olvid, il y avait bien d'autres soucis que ce bête détail sémantique.

Le 18/12/2023 à 22h 10

Oui, c'est même mentionné dans la citation que j'ai extraite.

Ce n'est pas "mon document", par ailleurs, mais la décision officielle du CERN.

La seule erreur que j'ai faite dans sa lecture est que la mention de l'article 2 (4) cité n'est pas la charte du CERN mais la convention des Nations Unies. Et cela n'est qu'une des raisons citées dans la décision avec cette mentionnant que c'est contraire aux valeurs de l'organisation.

Donc en dehors de l'erreur sur la charte en question, je ne vois pas en quoi mon propos est invalide.

Le 18/12/2023 à 08h 41

L'agression de l'Ukraine par la Russie était une violation d'une des règles de la charte du CERN, d'où l'arrêt de la collaboration.

https://cds.cern.ch/record/2803319/files/c-e-3626_Resolution_re_Russia .pdf

That aggression of one country by another runs against the values for which the Organization stands;

That all 23 of CERN’s Member States attending the emergency session of the United Nations General Assembly on 1 March 2022 voted in favour of UN Resolution A/ES-11/L.1 “deplor[ing] in the strongest terms the aggression by the Russian Federation against Ukraine in violation of Article 2 (4) of the Charter” and “deplor[ing] the involvement of Belarus in this unlawful use of force against Ukraine”;

Le 18/12/2023 à 10h 27

Je dirais plutôt que l'IA, enfin, le machine learning, n'est qu'un énième lièvre à courir à la mode pour trouver un sens à la quantité massive de données produite sur les réseaux en vue de l'exploiter.

Comme la mode du BigData auparavant où tout le monde ne jurait que par cela et qu'après avoir accumulé des terabyte de data, on cherchait à savoir quoi en faire.

Le 18/12/2023 à 10h 21

Le 2 et 3 c'est justement ce qui est pratiqué à ma connaissance. Les modèles se challenge entre eux et se comparent, mais point d'entraînement (que ce soit plusieurs instances de GPT ou encore GPT + LLaMA par exemple).

Entraîner un modèle depuis les données d'un autre n'est, effectivement, pas la meilleure approche car les données se dégradent trop vite. C'est comme si on voulait entraîner de la reconnaissance visuelle en ne donnant à manger que des vieux JPG dégueulasses compressés en début 2000.

Le 18/12/2023 à 08h 24

Détail intéressant pour une entreprise chinoise, Azure OpenAI Service n'est pas disponible dans les régions China East et China North.

Microsoft

Pour rappel, la région Azure China est opérée par un partenaire local (21Vianet).

Ils ont donc du utiliser d'autres régions du CSP.

Le 18/12/2023 à 10h 04

Perso je préfère la définition disponible dans fortune.

Audiophile : personne qui écoute son matériel plutôt que sa musique.

Le 18/12/2023 à 08h 33

Oui clairement l'utilisation de l'IA pour des choses aussi triviales est overkill.

Personnellement j'ai un usage qui profite de sa capacité à itérer sur différentes possibilités ou bien à recherche une grande quantité d'informations pour la synthétiser (un peu comme ce que Bing compte proposer ou propose déjà avec le "deep search").

Exemple de cas d'usage que je trouve pertinent : comparer deux solutions techniques rapidement. Le modèle part à la recherche des éléments, génère un tableau synthétisé, puis produit un résultat. Bilan : il lui faut cinq minutes pour faire un truc qui aurait pris au moins une demi journée à un humain. Perso je fais ça pour dégrossir le terrain et ensuite approfondir les plus pertinents.

Le 18/12/2023 à 08h 28

En exclusivité le contenu de l'intervention de Musk :

"Go fuck yourself."

Le 17/12/2023 à 20h 04

Pour ma part j'ai vu que ce qui était passé à M6 à l'époque, donc c'est un peu de la redécouverte aussi

Mais ça change de voir une série pour laquelle un épisode en raconte quasi autant qu'une saison de 10 de nos jours.

Le 17/12/2023 à 17h 22

Fun fact : je suis en train de me refaire la série actuellement. Ca a certes un peu vieilli, mais c'est fou comme parfois j'ai l'impression de voir le contenu des rubriques "vrai ou faux" des actualités.

Le 17/12/2023 à 09h 24

D'après X, c'est faux, la Vérité est dessus. 😝

Le 15/12/2023 à 07h 19

Si je lie cela au mésusage du barbarisme "crypté", j'ai l'impression de lire un discours purement marketing plus qu'autre chose...

Moi pour le coup mon bullshit-meter s'est excité dès la lecture de : « plus sécurisée au monde ». Ce genre de discours n'a ni sens, ni valeur, ni crédibilité.

Le 14/12/2023 à 19h 16

Point de vue sécu, IMHO, non.

Par contre ça envoie quand même de mauvais signaux car les acteurs Cloud européens existent et sont bons.

Le 14/12/2023 à 18h 30

Rien de neuf ici, nous en parlions déjà il y a deux mois. Olvid ne se cachait pas s’appuyer sur AWS, choisi pour des raisons pratiques et techniques. Une migration vers une solution souveraine est possible, mais n’était alors pas la priorité.

😮‍💨

Le 15/12/2023 à 11h 04

Et c'est aussi un très gros risque de EEE, comme XMPP l'a connu... (par la même boite, d'ailleurs)

Le 14/12/2023 à 17h 19

Il me semble aussi avoir vu que la question de la fédération avec ActivityPub refaisait surface.

Le 15/12/2023 à 07h 17

Oui je sais bien, j'utilise Keepass depuis une décennie.

C'était principalement une boutade au vu de l'activation par défaut de services potentiellement problématiques en matière de confidentialité des données qui m'avait donné l'envie de partager ceci.

Le 14/12/2023 à 18h 40

Tant mieux en fait.

Ars Technica

Le 14/12/2023 à 07h 22

Je l'utilise depuis longtemps et j'apprécie beaucoup son comportement justement.

A première vue, son intégration "Magic Keyboard" ne me semble pas concernée par cette faille, mais je n'en suis pas non plus certain.

Le 15/12/2023 à 07h 14

Ma remarque était purement en terme d'image, pas technique : on ne peut pas dire "on libère l'intégralité" (raison pour laquelle j'ai surligné ce terme) et derrière dire "pas de plans pour le serveur".

C'est le genre de communication à deux vitesses qui me fait immédiatement perdre toute envie de faire confiance en un produit car discours incohérent.

Le 14/12/2023 à 18h 36

Cela fait plusieurs années que nous travaillons toujours vers plus de transparence (par exemple, en libérant l’intégralité du code source et notamment toute la cryptographie, garante de toutes les propriétés de sécurité)

Quand le code source de la partie serveur sera-t-il publié ?

Il n’y a pas de date prévue pour l’instant.

C'est contradictoire comme discours pour moi.

Le 14/12/2023 à 07h 19

D'ordre général, la peur et l'anxiété font vendre. C'est une vieille recette hélas.

Le 12/12/2023 à 22h 53

De toute façon les recommandations ne sont pas pour toi mais pour le commerçant. C'est à peu près aussi fiable qu'à l'époque des vidéo club (jeune vieux con inside) où l'avis du gérant sur tous les films était le même : "il est très bien".

Et perso je préfère éviter ces recommandations car l'effet de bulle est vite arrivé.

Le 12/12/2023 à 18h 50

Concernant le contenu pour adultes, effectivement les vérifs sont très faibles. Ce qui est paradoxal car Amazon KDP est beaucoup plus long et pointilleux sur la publication de livres que les autres plateformes... Il m'a fallu parfois une semaine pour qu'un livre soit publié sur Amazon KDP. Livre sans contenu érotique pour le coup.

Quand aux vérifications des acheteurs, Amazon n'est pas la seule à être défaillante pour ce point. Kobo par exemple n'a aucune vérification d'âge pour un livre érotique pour adultes.

Le 13/12/2023 à 19h 46

A noter que Ferdi n'a pas précisé la devise.

De ce fait, 42 millions de rial iraniens ne font plus que 925€.

https://www.xe.com/currencyconverter/convert/?Amount=42000000&From=IRR&To=EUR

Le 12/12/2023 à 18h 51

Parce qu'en plus ils sont payés ?!

Le 12/12/2023 à 07h 17

C'est la moyenne d'un article de Jean-Marc, non ?

Le 12/12/2023 à 07h 21

Pourquoi une régulation spécifique ? Cela ne tombe-t-il pas dans la violation du droit à l'image et de la diffamation ?

Le 12/12/2023 à 07h 14

Ca concerne principalement l'usage commercial, mais oui Terraform passé sous licence Business Source License à partir de la v1.1.

Cela dit, concernant OVH, s'ils ont un provider Terraform à eux, une bonne partie à utiliser reste celui d'OpenStack pour le Public Cloud.

Le 11/12/2023 à 13h 51

Et encore, pour un appareil ou objet (un moule à gaufre, une tondeuse, un sextoy, autre), on peut avoir des critères factuels. Une fiche technique, des tests, etc.

Mais pour l'évaluation d'un bien plus subjectif comme un produit culturel, là ça devient plus compliqué de se documenter et on se retrouve à devoir faire confiance aux reviews et aux critiques professionnelles.

Le 11/12/2023 à 13h 46

Du reste, si elle s'en donnait les moyens, Amazon aurait largement de quoi bien réduire ce fléau. Ils savent qui a acheté quoi, à quel prix, ils peuvent voir quels sont les comptes qui mettent systématiquement des reviews

Cela fait quelques temps que les commentaires sur Amazon ont la mention "achat vérifié" cela dit. Après, ne connaissant pas les conditions de cette mention, je ne saurais dire de leur fiabilité.

De même si la fiche article a été recyclée.

Le 11/12/2023 à 08h 40

Concernant GPT, oui et non.

Non, car le style d'écriture de GPT se reconnaît très vite avec l'expérience. Même si OpenAI a botté en touche quant à ses détecteurs de contenus générés, le style lourd et pompeux de l'outil saute rapidement aux yeux. Et c'est encore plus Captain Obvious quand on pouvait voir le "Regenerate" avec le reste du copier/coller (plus possible, la GUI a changé)

Oui car si bien utilisé, il peut vraiment adopter un style d'écriture plus "naturel" (sachant qu'il l'est déjà, mais il est lourdingue à lire).

Après, la "Guerre des étoiles" comme l'avait appelée le blog Hacking Social (https://www.hacking-social.com/2020/02/23/zoom-dossier-3-fake-reviews-la-guerre-des-etoiles/) se pratiquait déjà au travers de groupes sur les médias sociaux et incitations à poster des faux avis (que ce soit pour valoriser ou détracter un concurrent).

Mais le plus intéressant dans l'article que j'ai mis en lien, c'est qu'ils donnent des méthodes de vérification, par exemple le "blanchisseur de dents" qui a des avis à côté de la plaque et trahit un recyclage de fiche produit pour bénéficier de ses "avis". A titre personnel j'ai pu tomber sur quelques cas lors de comparaisons de produits

Perso ce que je fais, je regarde surtout les mauvaises évaluations. On identifie rapidement les messages de mauvaise foi ou faux. Quand aux bonnes reviews, j'évite celles qui disent que tout est parfait. Même si elles peuvent être authentiques, c'est aussi un risque de fake.

Et ça permet aussi de mettre en pratique cette classification : https://www.commitstrip.com/fr/2015/04/02/reviews-on-amazon/

Le 11/12/2023 à 10h 36

Un changement aussi structure ne peut se faire sans le sponsoring du management et de la direction, oui.

Le 11/12/2023 à 08h 49

le manque de personnel, les défis techniques en matière de journalisation des événements, et les limites du partage d’informations sur les cybermenaces (...) « manque de financement »

Soit comme dans toutes les entreprises privées également...

Pas de bras pour réaliser et suivre la remédiation des alertes de sécurité ou la validité des pratiques avec la posture.

La journalisation absente de solutions logicielles, ou alors sont coût de stockage/analyse qui sont très élevés.

Quant au financement, c'est le nerf de la guerre. Cf tous les memes "la demande du client / le budget du client".

Le 10/12/2023 à 10h 35

Je ne pense pas avoir été méprisant dans mon message, donc inutile de l'être en retour.

Je ne me souvenais plus de phoenixjp, croyant qu'il s'agissait d'un agrégateur RSS comme FreshRSS que j'utilise. Là en l'occurrence, c'est vers l'admin du site qu'il conviendrait de signaler le souci.

Le 09/12/2023 à 19h 47

Il suffit de recréer une URL RSS dans ton profil et mettre à jour ton agrégateur. Perso je n'ai pas de soucis avec FreshRSS.

Le 10/12/2023 à 09h 02

Vu cette semaine, une représentation de comment un LLM et Transformer travaillent, ici en utilisant nano-GPT, en utilisant les specs publiées et publiques de GPT-2 et minGPT.

https://bbycroft.net/llm