C'est un risque qu'on ne peut pas balayer d'un revers de la main
Certes, mais il n'est pas nouveau. C'est exactement le même problème que d'héberger tes données sur AWS ou tes mails chez Google ou Microsoft. Pourtant, de très nombreuses entreprises et organismes publics le font. On pourrait même penser d'ailleurs que les emails sont bien plus critiques que les prompts de LLM, puisque le rapport signal/bruit est bien plus faible avec les prompts: au mieux, les entrées et sorties des prompts vont te donner un accès très partiel, aléatoire, et pas à jour à des documents qui sont proprement rangés et identifiés dans le cloud.
Si tu devais classer les différentes pratiques d'hébergement de données en fonction du risque, je pense que l'utilisation de LLM via des abonnements pro arrive très, très loin. À mon avis, un risque beaucoup plus concret, c'est l'utilisation non contrôlée (sauvage) de LLM grand public à l'intérieur d'une organisation, puisque là il va y avoir de la diffusion de documents confidentiels dans un cadre où la réutilisation est possible. N'importe quel organisme devrait avoir l'obligation en 2026 de fournir un accès contrôlé à un LLM, puisqu'il est certain que les employés le feront de manière sauvage si cet accès contrôlé n'existe pas.
En résumé, les gens qui rejettent l'IA sont juste des réac' qui ont des peurs irrationnelles,
Non, pas tous, il y a une grosse diversité parmi eux. Je trouve que les gens qui demandent à règlementer de manière urgente l'IA, si tu les classes parmi ceux qui rejettent l'IA, ne sont pas du tout irrationnels, ils ont même largement raison. Il y a aussi tous les arguments liés au droit d'auteur, que je trouve pertinents (même si c'est probablement trop tard: les trous dans le droit d'auteur ont permis aux IA de se servir à peu près légalement dans le corpus artistique, et le droit n'est pas rétroactif).
Mais il y a aussi beaucoup d'irrationalité dans le rejet de l'IA. Il y a de la technophobie bête et méchante ("je suis dépassé par une technologie, donc je dis que c'est de la bouse"). Il y a de l'ignorance crasse ("peuh, c'est juste un perroquet stochastique"). Il y a du déni du wishfull thinking ("L'IA nous éloigne de la société décroissante qu'il faudrait viser, donc l'IA ne peut pas avoir d'externalités positives".). Il y a de l'agenda politique ("L'IA est promue par des gens que je n'aime pas, donc je n'aime pas l'IA").
et ils ont tort parce que le changement est inévitable et toute résistance est futile.
Oui. Certains peuvent s'épanouir dans la défense de causes perdues, mais d'autres préfèrent choisir leurs combats. En plus, je ne suis même pas convaincu que c'est une bonne cause. En particulier parce que l'IA peut aussi résoudre des problèmes, et pas seulement en causer.
Il y a des tas de technologies dont l'usage est restreint voire totalement proscrit. On peut penser en particulier aux armes ou à des substances chimiques pour différents usages.
Il y a au contraire très peu de produits dont l'usage est proscrit. C'est parfois la vente au public qui est interdite, mais pour les armes par exemple, c'est une industrie qui représente plus de 1% du PIB. Pour les substances chimiques, c'est pas l'usage général de substances chimiques qui est interdite, c'est certaines substances très particulières dont l'usage dans certaines conditions est règlementé. D'une manière générale, il faut des raisons valides et concrètes pour interdire un truc; si les députés voteraient demain l'interdiction de porter des tongs, le conseil constitutionnel censurerait cette loi.
Bien sûr qu'il faut règlementer l'usage de l'IA, depuis maintenant plusieurs années je raconte à qui veut l'entendre qu'il faudrait que l'"usurpation d'humanité" (faire passer une IA pour un humain) soit passible d'une peine de prison; je suis évidemment favorable à interdire au grand public d'accéder à des technologies permettant de faire des fausses photos ou vidéos avec des vrais gens, comme on interdit les technologies permettant de faire de faux billets ou de faux papiers. Mais tout ça n'a rien à voir avec une sorte de bannissement d'une catégorie générique d'algorithmes sous prétexte de d'externalités potentiellement négatives.
C'est vraiment là où est la limite. Dans cette discussion, il est clair que certains savent de quoi ils parlent et ont embrassé cette technologie sans peur de l'avenir, simplement parce qu'ils ont envie d'exploiter ses possibilités. D'autres sont sur la défensive et ne souhaitent pas l'utiliser, parfois en fantasmant n'importe quoi sur ses performances ("ça n'est qu'un perroquet stochastique", etc). À chaque rupture technologique, il y a eu de telles fractures dans la société, et je dis juste que les derniers n'ont jamais gagné, et ils n'ont d'ailleurs même jamais eu raison, je pense. Les seuls cas discutables que je retrouve sont ceux où il a fallu modifier la technologie pour limiter ses externalités négatives (par exemple, remplacer le gaz des climatisations, ou électrifier le parc automobile), mais quelle technologie (en dehors de celles conçues pour tuer) aurait-il mieux valu ne pas développer?
Jamais dans l'histoire des avancées technologiques de l'humanité, il n'a été possible de faire rentrer le dentifrice dans le tube. Nos sociétés ne le permettent pas, et nos cerveaux ne le permettent pas. On ne peut pas "désapprendre" le fonctionnement des LLM, et même s'ils étaient régulés et si le public cessait de les utiliser, ils ne cesseraient pas d'exister pour autant; les gens pourraient financer leurs propres serveurs (comme les mineurs de Bitcoin), s'échanger des fichiers de poids sous le manteau, les modèles continueraient à être entrainés en interne par les grandes entreprises, des LLM seraient entrainés à des fins de recherche scientifique… Il y aurait automatiquement des pays qui n'auraient pas de législation restrictive et qui pourraient héberger ces gros datacenters.
Après, la décision de s'auto-limiter en refusant par principe d'utiliser une technologie reste tout à fait possible; nos sociétés libérales permettent ce genre de choses, et il existe plein de communautés qui sont fondées sur une forme d'Amishisation à différents stades technologiques, donc pourquoi pas 2020? Je pense que peu de gens nient cette liberté. Le problème c'est l'idée d'imposer ça à tous (par la loi? par la force? juste par persuasion?). Rien de ceci ne serait légal ni légitime dans nos sociétés, et rendre des algorithmes illégaux par principe ne semble même pas compatible avec les concepts de base du logiciel libre (en fait, ça ne semble pas compatible avec grand chose qui ne ressemblerait pas aux pires régimes autoritaires). Si l'idée est de dire "ça serait mieux pour tous d'arrêter nos bêtises et de réaliser une transition vers une société décroissante", bah on peut partager cette idée (qui n'est quand même pas majoritaire), mais ça ne dit pas "comment" on fait. Si "comment" implique que la police puisse visiter mon garage pour vérifier que je ne fais pas tourner un LLM sur un vieux serveur, ou qu'Internet soit régulé au point où je ne puisse pas accéder au clouds LLM hébergés à l'étranger, je suis vachement moins d'accord.
Dans le milieu professionnel, c'est plus délicat. Ton employeur peut respecter tes engagements personnels tout en constatant leur incompatibilité avec le développement de l'entreprise, et se passer de tes services. Et comme tu peux le voir dans cette discussion, le monde regorge de curieux, des gens qui ont moins peur de l'avenir que toi et qui voient plein de développements possibles pour cette technologie; les entreprises ne vont pas manquer de main d'oeuvre pour mettre tout ça en place, et ta résistance n'aura servi qu'à te mettre en marge de la société. Est-ce que c'est la meilleure stratégie?
Déja, pour la confidentialité, il faut distinguer les trucs gratuits et/ou sponsorisés, qui sont l'équivalent des cookie walls pour les sites d'information : tu payes l'accès au truc en partageant des données qui seront exploitées par le fournisseur du service. C'est quand même très différent de l'abonnement ou de la souscription professionnelle, dans laquelle tu payes la confidentialité. Et à moins de suspecter une trahison du fournisseur, dont les raisons seraient quand même assez obscures vu les enjeux, tu peux quand même imaginer que tes données sont à peu près autant protégées que le reste des services auxquels tu souscris (stockage, CPU, cloud bureautique, etc). Je ne suis pas favorable à partager une paranoïa généralisée sur la confidentialité; quand tu souscris un service qui te garantit une forme de confidentialité, rien ne prouve que cet engagement n'a aucune valeur. Évidemment, quand le fournisseur reçoit des demandes émanant d'un service étatique ou de la justice, ou quand le fournisseur se fait hacker, etc., tes données peuvent se retrouver dans la nature, mais ça n'arrive pas "naturellement".
L'option "config dédiée" reste quand même assez intéressante, puisqu'elle reste compatible avec l'esprit du libre, comme peut l'être un serveur Mastodon ou un serveur email communautaire. Ça ne veut pas dire que c'est gratuit, mais ça veut dire éventuellement que Linuxfr pourrait, si besoin était par exemple de faire tourner des LLM pour filtrer automatiquement le spam, pour corriger les fautes, pour vérifier les liens, etc., accéder à un modèle hébergé par un tiers de confiance (associatif?), sans nécessairement collaborer avec des entreprises US.
Pour revenir aux configs dédiées, on parle de machines dont le coût d'achat doit tourner autour des 20k€ (évidemment, il n'y a pas de limite haute), ce qui reste accessible pour une structure moyenne (grosse association, petite entreprise, etc).
Personne n'évoque par contre des configurations sous-optimales, mais peut-être plus accessibles, comme une grille de PC. Sur les forums, on voit trainer des perfs de l'ordre de 1 token par seconde pour un PC standard sans GPU, ce qui en effet est trop lent pour la plupart des usages, mais même avec un rendement de 10%, une grappe de 100 PC (par exemple dans un immeuble de bureaux) pourrait permettre d'accéder à 10 tokens par seconde, ce qui est apparemment suffisant pour des opérations classiques sur des textes (génération de lettres ou d'emails, relecture et correction des fautes, traduction…).
Merci pour cette contribution, c'est super intéressant et ça montre aussi qu'on peut utiliser des LLM sans accepter une dépendance à des géants du web.
Il y a quand même une incohérence à propos de cette histoire de coût.
Pour faire court, les API cloud sont horriblement chères.
Si vous espérez avoir un LLM moins cher que les options cloud, c'est pour le moins compliqué.
En fait, c'est très, très, très probablement la deuxième option qui est vraie.
* Les gros acteurs du LLM perdent des milliards par semaine, donc ils sont loin de facturer le coût réel
* Les gros acteurs du LLM bénéficient forcément d'énormes effets de masse (méga-commandes, méga-bâtiments, etc).
* Les gros acteurs du LLM vont pouvoir mieux exploiter leur matériel, du fait de la distribution de leur clients (quand les japonais sont couchés c'est au tour des américains, etc)
C'est inévitable, faire tourner ces logiciels coûte cher, parce que les ressources impliquées sont sans commune mesure avec ce qu'on connaissait jusque là (streamer de la vidéo, centraliser des centaines de connexions sur un serveur de MMORPG, etc). Après, quand on voit ce qu'il fallait pour miner du bitcoin, openAI n'a pas du tout inventé le principe d'utiliser des fermes de calcul entières pour un output minuscule. Il faut donc payer d'une manière ou d'une autre, et je ne suis pas sûr du tout qu'un modèle à base de publicités soit suffisant.
Par contre, je ne sais pas si c'est complètement clair dans le texte, mais ce qui est possible d'héberger, c'est un modèle déja entrainé. L'entrainement du modèle lui-même demande des ressources qui sont hors de portée d'un particulier.
Le contenu de la section lien est devenu très majoritairement HS.
Pour les journaux: dans les 12 derniers, il y a un HS (Star Wars, culture geek), deux négatifs (logiciels vibe-codés non libres), deux annonces Linuxfr, deux discussions IA/LLM, une discussion vie privée/bloctel, et le reste totalement dans la charte. Je ne vois aucune indication qu'il y ait un quelconque problème avec les journaux.
Pour les liens, je ne vois que trois liens clairement HS ("Mairie de Vierzon", "Maréchal nous voila" et "Patrimoine spolié"), le reste c'est du logiciel ou de la culture informatique (y compris AI et réseaux sociaux).
On ne va pas se le cacher, la qualité du contenu "logiciel" sur Linuxfr est bien descendue; je me rappelle de l'époque où tous les contenus décrivaient les nouvelles sorties de Gnome, KDE, Emacs, les distributions, les nouvelles versions du kernel, avec des logs longs comme le bras et des listes de matériel supporté. Tout ça a bien disparu, probablement parce que les gens ont un peu de mal à faire gratuitement la promotion de trucs libres mais commerciaux (les nouvelles versions d'Android ou d'Ubuntu peuvent être annoncées par les services marketting des boites concernées, c'est un minimum). Il y a aussi moins de passionnés de Cobol ou de Haskell qui viennent présenter leur marotte, c'est la vie.
Sur le fond, je serais aussi favorable au masquage du contenu politique/polémique et clairement HS, parce que ça me fait perdre du temps (je n'aime pas laisser les gens qui ont tort sur Internet sans contrepartie, j'ai toujours l'impression qu'un lecteur a "le droit" de voir un commentaire qui n'est pas d'accord). Mais il y a un truc qui n'a pas changé : tous les partisans du logiciel libre sont toujours persuadés qu'il y a une homogénéité politique, et que c'est la leur. Moi j'ai toujours connu des libristes trotkystes, ultra-libéraux-technophiles, décroissants, ou survivalistes, et ils sont tous convaincus d'être ultra-majoritaires parmi les libristes, c'est "marrant", mais pas très constructif. Avant la vague des dépêches sur l'AI il y avait le Bitcoin, avant le Bitcoin il y a eu les DRM, Wikipédia, Canonical, etc., toute une histoire de série de "fixettes" et de discussions sur le thème "c'est exactement ça le libre / mais pas du tout!". Ça crée une identité pour le site, mais quand les contenus techniques disparaissent il risque de n'y avoir plus que ça.
il serait incapable de tenter des trucs et s'enfoncerait dans la première idée qui lui vient.
J'ai cru comprendre que certains modèles agent utilisent en fait plusieurs agents indépendants, avec un superviseur et des "supervisés" qui n'ont pas le même prompt. Est-il courant par exemple que le superviseur demande plusieurs implémentations à partir de la même requête, et choisit entre elles? Par exemple il pourrait compiler et benchmarker pour la vitesse, avant de retourner la solution la plus efficace?
Comme ça, sans trop y réflechir, j'ai quand même l'impression que le meilleur moyen de générer de la diversité serait de donner un prompt différent aux sous-agents, plutôt que de reposer uniquement sur la température. Par exemple un agent pourrait être "Dev expérimenté avec une grosse expérience du C" alors qu'un autre pourrait être "ingénieur sorti de l'école avec à son actif des contributions en rust et go", ce genre de trucs devrait largement contribuer à générer des bouts de code qui diffèrent en conception, sans vouloir espérer sortir des solutions drastiquement différentes à partir de l'algo du LLM, qui me semble quand même assez difficile à maitriser (notamment parce que si le corpus d'apprentissage est biaisé, tu vas quand même avoir un peu toujours la même chose).
Normalement, la température, c'est la quantité de hasard introduite dans les réponses. Si ta température est de zéro, le modèle devient déterministe.
Je n'ai pas l'habitude du paramétrage des agents, je ne sais pas si le degré d'autonomie se "règle" avec un paramètre, mais au moins ça se gère dans le prompt d'un chatbot. "Tu es un stagiaire, tu as peur de faire des erreurs, et tu préfères demander plutôt que de risquer de faire quelque chose de faux" vs "Tu agis comme un développeur expérimenté, tu ne vas pas ennuyer ton supérieur avec des questions, tu es autonome sur les décisions techniques et si tu fais une erreur, tu l'assumeras avec professionnalisme sans la cacher" va mener à des comportements très différents.
C'est pas la généralisation des truc-phones qui sont conçus pour ne fonctionner qu'avec un seul OS qui va changer les choses…
Il semble y avoir eu un changement de doctrine sur la vente liée; la jurisprudence européenne semble considérer que l'information du consommateur suffit. Le vendeur te dit clairement qu'il te vend un ensemble de trucs, soit tu achètes cet ensemble en connaissance de cause, soit tu refuses, mais le droit d'acheter des bouts du truc sans les autres n'est pas validé.
on développera des langages dédiés à la communication avec les machines, qui ne laissent pas de place à l'ambiguïté,
Justement, ça me semble paradoxal avec l'utilisation d'un LLM. Un LLM est très tolérant aux ambiguités, et c'est d'ailleurs pour ça que ça a autant de succès : il va prendre tout un tas de micro-décisions de manière autonome pour ne pas de demander 50 détails insignifiants. Si tu lui demandes "remplace les printf par des cout dans ce code C++", il ne va pas te demander "est-ce que je remplace aussi les sprintf?", puis "est-ce que je remplace aussi les fprintf?", puis "est-ce que tu veux que je remplace aussi les printf(stderr, …) par cerr?", etc. C'est un coup à devenir dingue, tu vas finir par écrire "ARRETE DE POSER DES QUESTIONS ET REMPLACE TOUS CES P*** DE PRINTF".
Ces modèles souffrent du même problème que les humains, ils n'arrivent pas à quantifier leur incertitude. Tu as beau leur demander "surtout, ne fais rien si tu n'es pas sûr", bah ils sont souvent sûrs, et ils se trompent. Je ne sais pas réellement si c'est possible de résoudre ce biais, il arrivera toujours un moment où soit lui soit toi feront une erreur d'interprétation. Là il avait une tâche à faire et il s'en est donné les moyens, il n'a pas pensé qu'il pouvait y avoir un danger.
C'est leur métier. Le responsable de ce bordel receuille les avis des actionnaires, les avis du service marketting, peut-être même les remontées des agences, les retours du service client, le rapport des juristes, les évaluations des services de gestion, les assurances, et … l'avis des responsables sécurité. Il prend tout ça, et ça fait des chocapics. Peu de chance que les chocapics correspondent seulement aux contraintes de sécurité.
On peut tomber d'accord sur le fait que quelques geeks libristes sans grande expérience du secteur bancaire n'auraient pas pris les mêmes décisions que les banques. Ça, pas de problème. On peut discuter de pourquoi. Je ne sais pas pourquoi, donc je trouve ça intéressant. Je trouverais intéressant par exemple de comprendre dans quelle mesure la sécurité théorique de ces dispositifs diffèrent de la sécurité en pratique, etc (bon, j'ai quand même ma petite idée, parce que les histoires de modèles de visage à l'imprimante 3d etc, ça ne va pas vraiment impressionner les assurances :-) ). Mais ce qui me fait réagir, c'est l'explication "c'est tous des bouffons", parce que s'il fallait choisir comme ça à froid entre les deux, il semble bien plus vraisemblable que les bouffons sont ceux qui parlent de ce qu'ils ne connaissent pas.
Pour le côté "on peut te forcer à tirer de l'argent", une application concrête de l'analyse d'image pourrait de refuser de distribuer de l'argent quand plusieurs personnes sont devant le distributeur. Bien sûr, on peut te menacer avec une arme à feu à distance ou prendre ton chihuahua en otage, mais concrêtement ça éviterait quand même une partie des retraits d'argent avec contrainte (et notamment le coup de l'empreinte digitale).
"quand on voit qu’il est question de remplacer (ou tout au moins de les ajouter comme moyen d’identification) les codes pin des cartes de paiement par des empreintes digitales parce que « c’est plus sûr »"
Je ne vois pas moyen d'interpréter ça autrement que "les empreintes sont moins sûres".
Quoi qu'il en soit, j'ai du mal à concevoir comment on pourrait t'obliger à donner tes empreintes, donc si tu ne veux pas tu ne fais pas.
Tu as écris un truc factuel : tu as clairement dit que l'identification par PIN était plus sûre que l'identification par empreintes, et je n'ai trouvé aucun document qui pourrait aller dans ce sens. Au contraire, j'ai trouvé des documents qui prétendaient le contraire, dont ce fameux document issu du CERN, qui sont confrontés à des problèmes de sécurité informatique assez substantiels, et qui ne sont donc pas à priori des bouffons.
En sécurité, on peut raconter n'importe quoi si on confond le risque réel, le risque potentiel, le danger, les estimations théoriques et les risques en pratique, etc. Pour le cas concret des cartes de payement, tu as tout un tas de facteurs logistiques, économiques, commerciaux, et réglementaires à prendre en compte, et je ne comprends pas comment tu peux évaluer comme ça les rapports coûts/bénéfices des trois options possibles (PIN tout seul, empreintes toutes seules, ou les deux combinés).
Je me demande du coup sur quel genre de site on est. Est-ce que l'objectif c'est de faire une sorte de catharsis collective pour conjurer un traumatisme d'entretiens d'embauches dans la DSI des banques qui se sont mal passés, ou est-ce qu'on essaye de comprendre la logique de sécurisation des moyens de payement?
Si c'est le premier, alors: C'tous des bouffons les banquiers, genre ils se renseignent même pas sur Linuxfr avant de demander à ChatGPT de coder leur appli..
Si c'est la deuxième, je me permettrais de remettre en question la vraisemblance d'un scénario où quelqu'un achète tes empreintes sur le dark web, te retrouve, imprime un faux doigt avec tes empreintes, te suive, te pique ta carte, et utilise le faux doigt pour valider les achats. Je ferais aussi remarquer que des doigts on en a plusieurs.
Ceci par contre ne tient pas pour la carte d'identité, pour laquelle on numérise tous ses doigts (seulement ceux de la main droite de mémoire), et surtout où on peut imaginer des sources de motivation un peu plus crédibles que de tirer 80€ avant que la carte soit mise en opposition.
Dans tous les cas, comme les fraudes au moyen de payement sont prises en charge par les banques, je ne vois pas tellement la raison pour laquelle elles développeraient un système qui est par nature troué. Elles ont très probablement étudié la question et en ont probablement conclu que les trous du nouveau système étaient moins problématique que ceux de l'ancien.
Possibilité 1: "Oh pardon, nous tenons absolument à ce que nos clients qui font tourner un LinuxFromScratch sur Raspberry puissent modifier leur plafond de carte bancaire avec un script bash dans leur crontab, nous allons de ce pas modifier notre API et nous vous prions de présider à partir de maintenant notre service international de sécurité informatique qui, nous vous faisons confiance, conçoit la sécurité de nos applications avec leur cul, une faille de sécurité que vous avez d'ailleurs pu détecter sans même installer notre application sur le smartphone que vous n'avez pas, ce qui ne peut que prouver sans aucun doute possible votre sagacité hors du commun."
Possibilité 2: "Suite à votre demande, nous avons activé le contrat "Senior EHPAD noelec" sur votre compte, destiné à nos ainés qui ne sont pas à l'aise avec la validation électronique de leurs transactions. Vous aurez accès à un carnet de chèque par an, un relevé papier tous les deux mois, ainsi qu'à trois virements par trimestres validables par pigeon voyageur, pour seulement 47€99 par quinzaine."
Le sarcasme n'est pas un argument. Tu as des sources sérieuses qui pourraient confirmer que les empreintes digitales sont moins sûres qu'un code pin à 4 chiffres?
On parle de l'efficacité relative entre plusieurs systèmes. Quelle que soit l'efficacité absolue de l'identification par empreintes, la question est de savoir si elle est plus grande de l'identification par pin de 4 chiffres.
Dans ce cas, pourquoi la banque ne fournit-elle pas le matériel dûment audité
Parce que les clients ne sont pas prêts à payer pour ça? Sans compter que pour la majorité des clients ça serait plutôt considéré comme une galère de devoir utiliser un machin électronique monofonction. Je ne peux qu'imaginer, mais je pense que si tu es dans une grosse banque Suisse et muni d'un compte au solde comportant 6 ou 7 chiffres, tu as tout le matériel que tu veux, y compris un smartphone uniquement dédié à ça, qui sera enfermé dans ton coffre. Si tu veux payer moins de 5€ de frais de tenue de compte par mois, tu vas utiliser du matériel personnel, mais dans les conditions restreintes autorisées par ta banque.
Les libristes sont les premiers à aller donner des leçons à tout le monde sur la manière dont les banques devraient gérer leurs API, genre "si j'étais vous je ferais tout pour satisfaire les clients comme moi". On ne peut pas vivre comme ça, ce monde théorique est infernal. Tu ne peux pas passer ta vie à dire à la maitresse de tes gamins "si j'étais vous je ferais comme ça". Ou à ton plombier "si j'étais vous je mettrais de la graisse de porc plutôt que de la pâte à joint". Ou au cuistot du resto du coin "si j'étais vous je mettrais de l'échalotte plutôt que des oignons". Et ça, c'est indépendant du fait d'avoir raison ou tort.
En tout cas, si j'étais votre banque, je vous enverrais chier, parce que je n'ai pas envie qu'1% de mes clients me bouffe 50% de mon budget de sécurité informatique pour maintenir de multiples interfaces compatibles avec du hardware improbable qui tourne sous Hurd. Si j'étais une banque, ce que je voudrais, c'est des clients pas chiants qui ont tous le même iPhone pour acheter des millions de merdouilles sur Amazon en activant le cashback qui va me permettre de revendre les informations sur les habitudes d'achat, qui vont me rapporter beaucoup plus que les petites miettes des frais de tenue de compte. Et les clients qui veulent un service sur mesure, ils iront voir les banques qui offrent des services sur mesure, et ils verront bien le coût d'un service sur mesure.
L'argument est donc que les banques favorisent l'utilisation d'applications smartphone parce que l'intégralité de leur chaine de décision est incompétente.
Ça a l'avantage d'être une explication tellement pratique qu'elle ne nécessite même pas de réflechir.
Bon, maintenant, en vrai, il faut bien avoir en tête que c'est les banques (ou leurs assurances, ce qui revient plus ou moins au même) qui couvrent le coût de la fraude bancaire. Il faut aussi réaliser que les tribunaux, régulièrement, prennent position contre les banques sur la définition de la faute du client. Vous avez là l'ensemble de l'équation : les banques veulent contrôler la totalité de la chaine de sécurité, car si vous pouvez faire une transaction avec une partie de la chaine moins sécurisée que la procédure standard, alors c'est pour la tronche de la banque. Par exemple, si vous avez installé par mégarde un tracker sur votre smartphone dégooglisé et que vous vous êtes fait aspirer votre pin, bah la fraude sera pour la banque (à moins de pouvoir convaincre le tribunal qu'avoir un smartphone dégooglisé est une faute de la part du client, ce qui me semble chaud). Il est donc totallement rationnel de la part de la banque d'interdire toute transaction qui implique n'importe quel matériel ou logiciel non-audité.
Moi je suis super pour la liberté de choisir sa banque en fonction de valeurs ou en fonction des services fournis. Je préfère utiliser l'interface web que l'application par exemple, et si ma banque cessait de fournir une interface web, j'imagine que je pourrais changer. Mais il faut aussi que je sois prêt à payer plus cher pour un service. C'est le principe même du commerce, si je veux une coupe de cheveux, je vais payer plus cher que pour la barbe. Bah là c'est pareil, je veux quelque chose en plus, cette chose a objectivement un coût (équipe de développement, service client, documentation…), et j'ai du mal à comprendre sur quel principe je devrais pouvoir bénéficier d'un service supplémentaire sans raquer derrière si la banque a pris la décision que de me garder parmi leurs clients ne justifiait pas un geste commercial. À ma connaissance, la nature de l'OS utilisé ne fait pas partie des critères de discrimination, et "pouvoir accéder à mes comptes sous Linux" n'est pas un droit garanti par la loi…
C'est tout à fait vrai, et il y a plein de situations absurdes comme ça dans la vie où la loi oblige quelqu'un à faire quelque chose mais ne prévoit pas de sanction ni de procédure dérogatoire. C'est même souvent le cas pour les documents administratifs, la loi impose tout un tas de délais (pour avoir un RDV à la préfecture, pour un jugement, etc), mais il n'existe aucun mécanisme pour forcer l'administration en question à respecter ces délais (le mieux que tu puisses espérer est de faire condamner l'État, bon courage).
Là, on est dans le cadre du droit du commerce, la loi impose à un commerçant de faire quelque chose, et le commerçant refuse. Ça pourrait être payer en liquide, séparer deux articles dans le cadre d'une vente liée, n'importe quoi, c'est le même principe. Tu peux saisir la répression des fraudes, tu peux changer de crêmerie, tu peux poursuivre au tribunal si tu considères que tu as été lésé, mais rien de ceci ne résoudra ton problème. Concrêtement, tu es là, chez le boulanger, avec ton billet de 10€, et le boulanger te dit qu'il ne le prend pas, il a tort, il est pourtant obligé, tu peux lui prouver, mais il te dit "non" quand même. C'est la vie réelle, c'est un rapport de force, il est objectivement absurde, lui fait le pari que tu vas lacher l'affaire, et c'est probablement l'intérêt de toutes les parties que tu lâches l'affaire.
En l'occurrence, pour l'histoire des appli bancaires, il semble tout à fait possible que la banque perde moins d'argent en perdant un client qu'en maintenant un système d'identification rarement utilisé tout en restant sensible au niveau de la sécurité. En étant même plus cynique, il est peut-être possible que ton profil de clients n'est pas réellement celui qu'ils recherchent (pas de smartphone = probablement pas un acheteur compulsif qui va activer les options du retrocashback Amazon, dont la revente des données associées rapporte probablement bien plus que les activités bancaires). Est-ce ton intérêt de rester client d'une banque qui souhaite se débarrasser de toi? À court terme, c'est casse-pieds de changer de banque, mais de toutes manières ils trouveront bien un moyen de te "rentabiliser" (c'est même un devoir pour une entreprise commerciale), éventuellement en augmentant les frais bancaires pour tout le monde, et en accordant un discount de 90% pour les utilisateurs du retrochashback…).
et ce qui est partagé entre les parents d’élèves via whatsapp n’a pas vocation à finir sur on ne sait quels réseaux sociaux
C'est un problème encore différent. Les groupes Whatsapp ont parfois un règlement, mais je n'ai aucune idée de si ce règlement est opposable (qu'est-ce qui se passe si on ne le respecte pas?).
où on voit que ce que font signer les établissements scolaires c’est en gros l’« open bar » pour se dédouaner
Je ne suis pas sûr, il faudrait avoir une copie du formulaire. Ça m'étonnerait que la diffusion des informations au public soit autorisée, par exemple, ça n'aurait aucun sens. On ne peut pas non plus prévoir de dérogation à la RGPD dans l'autorisation (par exemple, on n'a pas le droit de demander aux gens d'autoriser à stocker les informations personnelles sans respecter la RGPD, de renoncer à son droit de retrait, de conserver au-delà de l'année scolaire, etc).
Si c'est vrai, c'est très risqué, car la loi est très claire sur la spécificité des autorisations. D'ailleurs, les modèles que j'ai trouvé sur Internet sont au contraire très spécifiques, avec une dizaine d'items (démarches administratives oui/non, trombinoscope oui/non, photo de classe oui/non, illustration des sorties scolaires oui/non, portail public de l'ENT oui/non, portail privé de l'ENT oui/non, etc). J'ai du mal à imaginer qu'un chef d'établissement prenne le risque d'inventer son propre formulaire, avec le risque d'une non-spécificité qui annulerait sa portée.
En tout cas, tous les documents que j'ai consultés confirment qu'il n'y a aucune nécessité pédagogique pour les photographies. Il est donc tout à fait possible de renoncer à fournir une photographie et de refuser toutes les autorisations.
Je pense que c'est pas mal de mettre un avertissement. Par contre je trouve que tu as fusionné deux avertissements différents: celui du développeur, qui avertit l'admin de la machine de l'existence de règles strictes sur les données personnelles (avec peut-être un petit "disclaimer" pour bien préciser que le développeur n'est absolument pas responsable à la place de l'utilisateur pour vérifier la conformité de l'utilisation à la loi); et celui de l'admin de la machine, qui avertit ses utilisateurs, dans son contexte de travail, des conditions dans lesquelles le chef d'établissement a autorisé l'exploitation de ces données.
Je trouve aussi que tu te mouilles trop : tu sembles donner des préconisations d'utilisation qui sont conformes au RGPD, ce qui ne me semble pas très prudent (tu ne peux pas garantir ça, c'est un boulot de juriste, et tu ne sauras jamais quand ces recommandations deviendront obsolètes si le cadre du RGPD change).
Encore faudrait-il connaitre le contenu du document d'autorisation signé par les élèves ou leurs familles. Normalement, il y a une liste d'items autorisés, qui spécifient les usages internes ou externes. C'est fréquent par exemple que les écoles diffusent les photos d'évènements (fête de l'école, etc).
Mais encore une fois, je pense que si diffusion, poursuites, et condamnation il y a, ça sera contre le chef d'établissement, et pas envers le pékin qui a mis les photos sur son laptop personnel. Libre ensuite à l'éducation nationale de se retourner contre un agent pour l'accuser d'une faute, mais elle ne le fera pas (il ne faudrait pas trop que la justice s'intéresse à cette manie qu'a l'État de ne pas fournir à ses agents les équipements nécessaires aux tâches qu'ils sont censées effectuer…).
Je ne voudrais pas m'avancer, mais si c'est dans le cadre de ses fonctions, c'est son employeur qui est responsable. L'employeur ne peut se désolidariser que s'il y a une faute, il faut donc que la faute soit mentionnée dans un document quelconque (règlement, code de la fonction publique…). Pour les insultes, je pense que c'est quelque part dans le code de la fonction publique, mais pour le traitement des données privées, j'ai l'impression que sans charte ou règlement, c'est à l'État d'assumer; le fonctionnaire pourra démontrer par exemple qu'on lui a fourni ces fichiers sans aucune instructions sur leur finalité ou leur réutilisation.
[^] # Re: Cohérence sur cette histoire de coût
Posté par arnaudus . En réponse au journal Auto-héberger ses IA. Évalué à 3 (+1/-1).
Certes, mais il n'est pas nouveau. C'est exactement le même problème que d'héberger tes données sur AWS ou tes mails chez Google ou Microsoft. Pourtant, de très nombreuses entreprises et organismes publics le font. On pourrait même penser d'ailleurs que les emails sont bien plus critiques que les prompts de LLM, puisque le rapport signal/bruit est bien plus faible avec les prompts: au mieux, les entrées et sorties des prompts vont te donner un accès très partiel, aléatoire, et pas à jour à des documents qui sont proprement rangés et identifiés dans le cloud.
Si tu devais classer les différentes pratiques d'hébergement de données en fonction du risque, je pense que l'utilisation de LLM via des abonnements pro arrive très, très loin. À mon avis, un risque beaucoup plus concret, c'est l'utilisation non contrôlée (sauvage) de LLM grand public à l'intérieur d'une organisation, puisque là il va y avoir de la diffusion de documents confidentiels dans un cadre où la réutilisation est possible. N'importe quel organisme devrait avoir l'obligation en 2026 de fournir un accès contrôlé à un LLM, puisqu'il est certain que les employés le feront de manière sauvage si cet accès contrôlé n'existe pas.
[^] # Re: Niveau 5 : arrêtez d'utiliser de l'IA
Posté par arnaudus . En réponse au journal IA : mon parcours initiatique. Évalué à 1 (+0/-2). Dernière modification le 19 mai 2026 à 17:17.
Non, pas tous, il y a une grosse diversité parmi eux. Je trouve que les gens qui demandent à règlementer de manière urgente l'IA, si tu les classes parmi ceux qui rejettent l'IA, ne sont pas du tout irrationnels, ils ont même largement raison. Il y a aussi tous les arguments liés au droit d'auteur, que je trouve pertinents (même si c'est probablement trop tard: les trous dans le droit d'auteur ont permis aux IA de se servir à peu près légalement dans le corpus artistique, et le droit n'est pas rétroactif).
Mais il y a aussi beaucoup d'irrationalité dans le rejet de l'IA. Il y a de la technophobie bête et méchante ("je suis dépassé par une technologie, donc je dis que c'est de la bouse"). Il y a de l'ignorance crasse ("peuh, c'est juste un perroquet stochastique"). Il y a du déni du wishfull thinking ("L'IA nous éloigne de la société décroissante qu'il faudrait viser, donc l'IA ne peut pas avoir d'externalités positives".). Il y a de l'agenda politique ("L'IA est promue par des gens que je n'aime pas, donc je n'aime pas l'IA").
Oui. Certains peuvent s'épanouir dans la défense de causes perdues, mais d'autres préfèrent choisir leurs combats. En plus, je ne suis même pas convaincu que c'est une bonne cause. En particulier parce que l'IA peut aussi résoudre des problèmes, et pas seulement en causer.
[^] # Re: Niveau 5 : arrêtez d'utiliser de l'IA
Posté par arnaudus . En réponse au journal IA : mon parcours initiatique. Évalué à -1 (+0/-4).
Il y a au contraire très peu de produits dont l'usage est proscrit. C'est parfois la vente au public qui est interdite, mais pour les armes par exemple, c'est une industrie qui représente plus de 1% du PIB. Pour les substances chimiques, c'est pas l'usage général de substances chimiques qui est interdite, c'est certaines substances très particulières dont l'usage dans certaines conditions est règlementé. D'une manière générale, il faut des raisons valides et concrètes pour interdire un truc; si les députés voteraient demain l'interdiction de porter des tongs, le conseil constitutionnel censurerait cette loi.
Bien sûr qu'il faut règlementer l'usage de l'IA, depuis maintenant plusieurs années je raconte à qui veut l'entendre qu'il faudrait que l'"usurpation d'humanité" (faire passer une IA pour un humain) soit passible d'une peine de prison; je suis évidemment favorable à interdire au grand public d'accéder à des technologies permettant de faire des fausses photos ou vidéos avec des vrais gens, comme on interdit les technologies permettant de faire de faux billets ou de faux papiers. Mais tout ça n'a rien à voir avec une sorte de bannissement d'une catégorie générique d'algorithmes sous prétexte de d'externalités potentiellement négatives.
C'est vraiment là où est la limite. Dans cette discussion, il est clair que certains savent de quoi ils parlent et ont embrassé cette technologie sans peur de l'avenir, simplement parce qu'ils ont envie d'exploiter ses possibilités. D'autres sont sur la défensive et ne souhaitent pas l'utiliser, parfois en fantasmant n'importe quoi sur ses performances ("ça n'est qu'un perroquet stochastique", etc). À chaque rupture technologique, il y a eu de telles fractures dans la société, et je dis juste que les derniers n'ont jamais gagné, et ils n'ont d'ailleurs même jamais eu raison, je pense. Les seuls cas discutables que je retrouve sont ceux où il a fallu modifier la technologie pour limiter ses externalités négatives (par exemple, remplacer le gaz des climatisations, ou électrifier le parc automobile), mais quelle technologie (en dehors de celles conçues pour tuer) aurait-il mieux valu ne pas développer?
[^] # Re: Niveau 5 : arrêtez d'utiliser de l'IA
Posté par arnaudus . En réponse au journal IA : mon parcours initiatique. Évalué à 1 (+2/-4). Dernière modification le 19 mai 2026 à 10:37.
Jamais dans l'histoire des avancées technologiques de l'humanité, il n'a été possible de faire rentrer le dentifrice dans le tube. Nos sociétés ne le permettent pas, et nos cerveaux ne le permettent pas. On ne peut pas "désapprendre" le fonctionnement des LLM, et même s'ils étaient régulés et si le public cessait de les utiliser, ils ne cesseraient pas d'exister pour autant; les gens pourraient financer leurs propres serveurs (comme les mineurs de Bitcoin), s'échanger des fichiers de poids sous le manteau, les modèles continueraient à être entrainés en interne par les grandes entreprises, des LLM seraient entrainés à des fins de recherche scientifique… Il y aurait automatiquement des pays qui n'auraient pas de législation restrictive et qui pourraient héberger ces gros datacenters.
Après, la décision de s'auto-limiter en refusant par principe d'utiliser une technologie reste tout à fait possible; nos sociétés libérales permettent ce genre de choses, et il existe plein de communautés qui sont fondées sur une forme d'Amishisation à différents stades technologiques, donc pourquoi pas 2020? Je pense que peu de gens nient cette liberté. Le problème c'est l'idée d'imposer ça à tous (par la loi? par la force? juste par persuasion?). Rien de ceci ne serait légal ni légitime dans nos sociétés, et rendre des algorithmes illégaux par principe ne semble même pas compatible avec les concepts de base du logiciel libre (en fait, ça ne semble pas compatible avec grand chose qui ne ressemblerait pas aux pires régimes autoritaires). Si l'idée est de dire "ça serait mieux pour tous d'arrêter nos bêtises et de réaliser une transition vers une société décroissante", bah on peut partager cette idée (qui n'est quand même pas majoritaire), mais ça ne dit pas "comment" on fait. Si "comment" implique que la police puisse visiter mon garage pour vérifier que je ne fais pas tourner un LLM sur un vieux serveur, ou qu'Internet soit régulé au point où je ne puisse pas accéder au clouds LLM hébergés à l'étranger, je suis vachement moins d'accord.
Dans le milieu professionnel, c'est plus délicat. Ton employeur peut respecter tes engagements personnels tout en constatant leur incompatibilité avec le développement de l'entreprise, et se passer de tes services. Et comme tu peux le voir dans cette discussion, le monde regorge de curieux, des gens qui ont moins peur de l'avenir que toi et qui voient plein de développements possibles pour cette technologie; les entreprises ne vont pas manquer de main d'oeuvre pour mettre tout ça en place, et ta résistance n'aura servi qu'à te mettre en marge de la société. Est-ce que c'est la meilleure stratégie?
[^] # Re: Cohérence sur cette histoire de coût
Posté par arnaudus . En réponse au journal Auto-héberger ses IA. Évalué à 5 (+2/-0).
Il y a quand même des "sous-options".
Déja, pour la confidentialité, il faut distinguer les trucs gratuits et/ou sponsorisés, qui sont l'équivalent des cookie walls pour les sites d'information : tu payes l'accès au truc en partageant des données qui seront exploitées par le fournisseur du service. C'est quand même très différent de l'abonnement ou de la souscription professionnelle, dans laquelle tu payes la confidentialité. Et à moins de suspecter une trahison du fournisseur, dont les raisons seraient quand même assez obscures vu les enjeux, tu peux quand même imaginer que tes données sont à peu près autant protégées que le reste des services auxquels tu souscris (stockage, CPU, cloud bureautique, etc). Je ne suis pas favorable à partager une paranoïa généralisée sur la confidentialité; quand tu souscris un service qui te garantit une forme de confidentialité, rien ne prouve que cet engagement n'a aucune valeur. Évidemment, quand le fournisseur reçoit des demandes émanant d'un service étatique ou de la justice, ou quand le fournisseur se fait hacker, etc., tes données peuvent se retrouver dans la nature, mais ça n'arrive pas "naturellement".
L'option "config dédiée" reste quand même assez intéressante, puisqu'elle reste compatible avec l'esprit du libre, comme peut l'être un serveur Mastodon ou un serveur email communautaire. Ça ne veut pas dire que c'est gratuit, mais ça veut dire éventuellement que Linuxfr pourrait, si besoin était par exemple de faire tourner des LLM pour filtrer automatiquement le spam, pour corriger les fautes, pour vérifier les liens, etc., accéder à un modèle hébergé par un tiers de confiance (associatif?), sans nécessairement collaborer avec des entreprises US.
Pour revenir aux configs dédiées, on parle de machines dont le coût d'achat doit tourner autour des 20k€ (évidemment, il n'y a pas de limite haute), ce qui reste accessible pour une structure moyenne (grosse association, petite entreprise, etc).
Personne n'évoque par contre des configurations sous-optimales, mais peut-être plus accessibles, comme une grille de PC. Sur les forums, on voit trainer des perfs de l'ordre de 1 token par seconde pour un PC standard sans GPU, ce qui en effet est trop lent pour la plupart des usages, mais même avec un rendement de 10%, une grappe de 100 PC (par exemple dans un immeuble de bureaux) pourrait permettre d'accéder à 10 tokens par seconde, ce qui est apparemment suffisant pour des opérations classiques sur des textes (génération de lettres ou d'emails, relecture et correction des fautes, traduction…).
# Cohérence sur cette histoire de coût
Posté par arnaudus . En réponse au journal Auto-héberger ses IA. Évalué à 10 (+13/-0).
Merci pour cette contribution, c'est super intéressant et ça montre aussi qu'on peut utiliser des LLM sans accepter une dépendance à des géants du web.
Il y a quand même une incohérence à propos de cette histoire de coût.
En fait, c'est très, très, très probablement la deuxième option qui est vraie.
* Les gros acteurs du LLM perdent des milliards par semaine, donc ils sont loin de facturer le coût réel
* Les gros acteurs du LLM bénéficient forcément d'énormes effets de masse (méga-commandes, méga-bâtiments, etc).
* Les gros acteurs du LLM vont pouvoir mieux exploiter leur matériel, du fait de la distribution de leur clients (quand les japonais sont couchés c'est au tour des américains, etc)
C'est inévitable, faire tourner ces logiciels coûte cher, parce que les ressources impliquées sont sans commune mesure avec ce qu'on connaissait jusque là (streamer de la vidéo, centraliser des centaines de connexions sur un serveur de MMORPG, etc). Après, quand on voit ce qu'il fallait pour miner du bitcoin, openAI n'a pas du tout inventé le principe d'utiliser des fermes de calcul entières pour un output minuscule. Il faut donc payer d'une manière ou d'une autre, et je ne suis pas sûr du tout qu'un modèle à base de publicités soit suffisant.
Par contre, je ne sais pas si c'est complètement clair dans le texte, mais ce qui est possible d'héberger, c'est un modèle déja entrainé. L'entrainement du modèle lui-même demande des ressources qui sont hors de portée d'un particulier.
[^] # Re: Non
Posté par arnaudus . En réponse au sondage Continuer à publier une série de dépêche dédiée à la veille générale sur des intelligences artificielles ?. Évalué à 3 (+1/-1).
Pour les journaux: dans les 12 derniers, il y a un HS (Star Wars, culture geek), deux négatifs (logiciels vibe-codés non libres), deux annonces Linuxfr, deux discussions IA/LLM, une discussion vie privée/bloctel, et le reste totalement dans la charte. Je ne vois aucune indication qu'il y ait un quelconque problème avec les journaux.
Pour les liens, je ne vois que trois liens clairement HS ("Mairie de Vierzon", "Maréchal nous voila" et "Patrimoine spolié"), le reste c'est du logiciel ou de la culture informatique (y compris AI et réseaux sociaux).
On ne va pas se le cacher, la qualité du contenu "logiciel" sur Linuxfr est bien descendue; je me rappelle de l'époque où tous les contenus décrivaient les nouvelles sorties de Gnome, KDE, Emacs, les distributions, les nouvelles versions du kernel, avec des logs longs comme le bras et des listes de matériel supporté. Tout ça a bien disparu, probablement parce que les gens ont un peu de mal à faire gratuitement la promotion de trucs libres mais commerciaux (les nouvelles versions d'Android ou d'Ubuntu peuvent être annoncées par les services marketting des boites concernées, c'est un minimum). Il y a aussi moins de passionnés de Cobol ou de Haskell qui viennent présenter leur marotte, c'est la vie.
Sur le fond, je serais aussi favorable au masquage du contenu politique/polémique et clairement HS, parce que ça me fait perdre du temps (je n'aime pas laisser les gens qui ont tort sur Internet sans contrepartie, j'ai toujours l'impression qu'un lecteur a "le droit" de voir un commentaire qui n'est pas d'accord). Mais il y a un truc qui n'a pas changé : tous les partisans du logiciel libre sont toujours persuadés qu'il y a une homogénéité politique, et que c'est la leur. Moi j'ai toujours connu des libristes trotkystes, ultra-libéraux-technophiles, décroissants, ou survivalistes, et ils sont tous convaincus d'être ultra-majoritaires parmi les libristes, c'est "marrant", mais pas très constructif. Avant la vague des dépêches sur l'AI il y avait le Bitcoin, avant le Bitcoin il y a eu les DRM, Wikipédia, Canonical, etc., toute une histoire de série de "fixettes" et de discussions sur le thème "c'est exactement ça le libre / mais pas du tout!". Ça crée une identité pour le site, mais quand les contenus techniques disparaissent il risque de n'y avoir plus que ça.
[^] # Re: Clairement un gros problème côté infra
Posté par arnaudus . En réponse au journal "Cursor et Claude ont supprimé ma prod". Évalué à 3 (+0/-0).
J'ai cru comprendre que certains modèles agent utilisent en fait plusieurs agents indépendants, avec un superviseur et des "supervisés" qui n'ont pas le même prompt. Est-il courant par exemple que le superviseur demande plusieurs implémentations à partir de la même requête, et choisit entre elles? Par exemple il pourrait compiler et benchmarker pour la vitesse, avant de retourner la solution la plus efficace?
Comme ça, sans trop y réflechir, j'ai quand même l'impression que le meilleur moyen de générer de la diversité serait de donner un prompt différent aux sous-agents, plutôt que de reposer uniquement sur la température. Par exemple un agent pourrait être "Dev expérimenté avec une grosse expérience du C" alors qu'un autre pourrait être "ingénieur sorti de l'école avec à son actif des contributions en rust et go", ce genre de trucs devrait largement contribuer à générer des bouts de code qui diffèrent en conception, sans vouloir espérer sortir des solutions drastiquement différentes à partir de l'algo du LLM, qui me semble quand même assez difficile à maitriser (notamment parce que si le corpus d'apprentissage est biaisé, tu vas quand même avoir un peu toujours la même chose).
[^] # Re: Clairement un gros problème côté infra
Posté par arnaudus . En réponse au journal "Cursor et Claude ont supprimé ma prod". Évalué à 4 (+1/-0).
Normalement, la température, c'est la quantité de hasard introduite dans les réponses. Si ta température est de zéro, le modèle devient déterministe.
Je n'ai pas l'habitude du paramétrage des agents, je ne sais pas si le degré d'autonomie se "règle" avec un paramètre, mais au moins ça se gère dans le prompt d'un chatbot. "Tu es un stagiaire, tu as peur de faire des erreurs, et tu préfères demander plutôt que de risquer de faire quelque chose de faux" vs "Tu agis comme un développeur expérimenté, tu ne vas pas ennuyer ton supérieur avec des questions, tu es autonome sur les décisions techniques et si tu fais une erreur, tu l'assumeras avec professionnalisme sans la cacher" va mener à des comportements très différents.
[^] # Re: ils remboursent, mais ca vaut pas trop le coup, et c'est peu prudent.
Posté par arnaudus . En réponse au message Remboursement Windows. Évalué à 5 (+2/-0).
C'est pas la généralisation des truc-phones qui sont conçus pour ne fonctionner qu'avec un seul OS qui va changer les choses…
Il semble y avoir eu un changement de doctrine sur la vente liée; la jurisprudence européenne semble considérer que l'information du consommateur suffit. Le vendeur te dit clairement qu'il te vend un ensemble de trucs, soit tu achètes cet ensemble en connaissance de cause, soit tu refuses, mais le droit d'acheter des bouts du truc sans les autres n'est pas validé.
[^] # Re: Clairement un gros problème côté infra
Posté par arnaudus . En réponse au journal "Cursor et Claude ont supprimé ma prod". Évalué à 6 (+3/-0).
Justement, ça me semble paradoxal avec l'utilisation d'un LLM. Un LLM est très tolérant aux ambiguités, et c'est d'ailleurs pour ça que ça a autant de succès : il va prendre tout un tas de micro-décisions de manière autonome pour ne pas de demander 50 détails insignifiants. Si tu lui demandes "remplace les printf par des cout dans ce code C++", il ne va pas te demander "est-ce que je remplace aussi les sprintf?", puis "est-ce que je remplace aussi les fprintf?", puis "est-ce que tu veux que je remplace aussi les printf(stderr, …) par cerr?", etc. C'est un coup à devenir dingue, tu vas finir par écrire "ARRETE DE POSER DES QUESTIONS ET REMPLACE TOUS CES P*** DE PRINTF".
Ces modèles souffrent du même problème que les humains, ils n'arrivent pas à quantifier leur incertitude. Tu as beau leur demander "surtout, ne fais rien si tu n'es pas sûr", bah ils sont souvent sûrs, et ils se trompent. Je ne sais pas réellement si c'est possible de résoudre ce biais, il arrivera toujours un moment où soit lui soit toi feront une erreur d'interprétation. Là il avait une tâche à faire et il s'en est donné les moyens, il n'a pas pensé qu'il pouvait y avoir un danger.
[^] # Re: La pétition ne mentionne pas les bonnes alternatives
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à -1 (+0/-4).
C'est leur métier. Le responsable de ce bordel receuille les avis des actionnaires, les avis du service marketting, peut-être même les remontées des agences, les retours du service client, le rapport des juristes, les évaluations des services de gestion, les assurances, et … l'avis des responsables sécurité. Il prend tout ça, et ça fait des chocapics. Peu de chance que les chocapics correspondent seulement aux contraintes de sécurité.
On peut tomber d'accord sur le fait que quelques geeks libristes sans grande expérience du secteur bancaire n'auraient pas pris les mêmes décisions que les banques. Ça, pas de problème. On peut discuter de pourquoi. Je ne sais pas pourquoi, donc je trouve ça intéressant. Je trouverais intéressant par exemple de comprendre dans quelle mesure la sécurité théorique de ces dispositifs diffèrent de la sécurité en pratique, etc (bon, j'ai quand même ma petite idée, parce que les histoires de modèles de visage à l'imprimante 3d etc, ça ne va pas vraiment impressionner les assurances :-) ). Mais ce qui me fait réagir, c'est l'explication "c'est tous des bouffons", parce que s'il fallait choisir comme ça à froid entre les deux, il semble bien plus vraisemblable que les bouffons sont ceux qui parlent de ce qu'ils ne connaissent pas.
Pour le côté "on peut te forcer à tirer de l'argent", une application concrête de l'analyse d'image pourrait de refuser de distribuer de l'argent quand plusieurs personnes sont devant le distributeur. Bien sûr, on peut te menacer avec une arme à feu à distance ou prendre ton chihuahua en otage, mais concrêtement ça éviterait quand même une partie des retraits d'argent avec contrainte (et notamment le coup de l'empreinte digitale).
[^] # Re: La pétition ne mentionne pas les bonnes alternatives
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 1 (+0/-2).
"quand on voit qu’il est question de remplacer (ou tout au moins de les ajouter comme moyen d’identification) les codes pin des cartes de paiement par des empreintes digitales parce que « c’est plus sûr »"
Je ne vois pas moyen d'interpréter ça autrement que "les empreintes sont moins sûres".
Quoi qu'il en soit, j'ai du mal à concevoir comment on pourrait t'obliger à donner tes empreintes, donc si tu ne veux pas tu ne fais pas.
[^] # Re: Google Play Integrity API
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 8 (+5/-0).
C'est sûr qu'avec cette possibilité ça va booster la carrière des femmes dans les DSI des banques.
[^] # Re: La pétition ne mentionne pas les bonnes alternatives
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 2 (+0/-1). Dernière modification le 28 avril 2026 à 15:29.
Tu as écris un truc factuel : tu as clairement dit que l'identification par PIN était plus sûre que l'identification par empreintes, et je n'ai trouvé aucun document qui pourrait aller dans ce sens. Au contraire, j'ai trouvé des documents qui prétendaient le contraire, dont ce fameux document issu du CERN, qui sont confrontés à des problèmes de sécurité informatique assez substantiels, et qui ne sont donc pas à priori des bouffons.
En sécurité, on peut raconter n'importe quoi si on confond le risque réel, le risque potentiel, le danger, les estimations théoriques et les risques en pratique, etc. Pour le cas concret des cartes de payement, tu as tout un tas de facteurs logistiques, économiques, commerciaux, et réglementaires à prendre en compte, et je ne comprends pas comment tu peux évaluer comme ça les rapports coûts/bénéfices des trois options possibles (PIN tout seul, empreintes toutes seules, ou les deux combinés).
Je me demande du coup sur quel genre de site on est. Est-ce que l'objectif c'est de faire une sorte de catharsis collective pour conjurer un traumatisme d'entretiens d'embauches dans la DSI des banques qui se sont mal passés, ou est-ce qu'on essaye de comprendre la logique de sécurisation des moyens de payement?
Si c'est le premier, alors: C'tous des bouffons les banquiers, genre ils se renseignent même pas sur Linuxfr avant de demander à ChatGPT de coder leur appli..
Si c'est la deuxième, je me permettrais de remettre en question la vraisemblance d'un scénario où quelqu'un achète tes empreintes sur le dark web, te retrouve, imprime un faux doigt avec tes empreintes, te suive, te pique ta carte, et utilise le faux doigt pour valider les achats. Je ferais aussi remarquer que des doigts on en a plusieurs.
Ceci par contre ne tient pas pour la carte d'identité, pour laquelle on numérise tous ses doigts (seulement ceux de la main droite de mémoire), et surtout où on peut imaginer des sources de motivation un peu plus crédibles que de tirer 80€ avant que la carte soit mise en opposition.
Dans tous les cas, comme les fraudes au moyen de payement sont prises en charge par les banques, je ne vois pas tellement la raison pour laquelle elles développeraient un système qui est par nature troué. Elles ont très probablement étudié la question et en ont probablement conclu que les trous du nouveau système étaient moins problématique que ceux de l'ancien.
[^] # Re: Google Play Integrity API
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 3 (+3/-3).
Possibilité 1: "Oh pardon, nous tenons absolument à ce que nos clients qui font tourner un LinuxFromScratch sur Raspberry puissent modifier leur plafond de carte bancaire avec un script bash dans leur crontab, nous allons de ce pas modifier notre API et nous vous prions de présider à partir de maintenant notre service international de sécurité informatique qui, nous vous faisons confiance, conçoit la sécurité de nos applications avec leur cul, une faille de sécurité que vous avez d'ailleurs pu détecter sans même installer notre application sur le smartphone que vous n'avez pas, ce qui ne peut que prouver sans aucun doute possible votre sagacité hors du commun."
Possibilité 2: "Suite à votre demande, nous avons activé le contrat "Senior EHPAD noelec" sur votre compte, destiné à nos ainés qui ne sont pas à l'aise avec la validation électronique de leurs transactions. Vous aurez accès à un carnet de chèque par an, un relevé papier tous les deux mois, ainsi qu'à trois virements par trimestres validables par pigeon voyageur, pour seulement 47€99 par quinzaine."
[^] # Re: La pétition ne mentionne pas les bonnes alternatives
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 1 (+0/-2).
Le sarcasme n'est pas un argument. Tu as des sources sérieuses qui pourraient confirmer que les empreintes digitales sont moins sûres qu'un code pin à 4 chiffres?
Par exemple, j'ai trouvé une page du service de sécurité informatique du CERN (https://home.cern/fr/news/news/computing/computer-security-swipes-vs-pins-vs-passwords-vs-you) qui classe la sécurité dans l'ordre motif < code < empreintes < scan visage.
On parle de l'efficacité relative entre plusieurs systèmes. Quelle que soit l'efficacité absolue de l'identification par empreintes, la question est de savoir si elle est plus grande de l'identification par pin de 4 chiffres.
[^] # Re: La pétition ne mentionne pas les bonnes alternatives
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 3 (+2/-2).
Sur une échelle de 10-20 à 10-6, quelle est la probabilité que cette proposition soit vraie?
[^] # Re: Google Play Integrity API
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 1 (+2/-4).
Parce que les clients ne sont pas prêts à payer pour ça? Sans compter que pour la majorité des clients ça serait plutôt considéré comme une galère de devoir utiliser un machin électronique monofonction. Je ne peux qu'imaginer, mais je pense que si tu es dans une grosse banque Suisse et muni d'un compte au solde comportant 6 ou 7 chiffres, tu as tout le matériel que tu veux, y compris un smartphone uniquement dédié à ça, qui sera enfermé dans ton coffre. Si tu veux payer moins de 5€ de frais de tenue de compte par mois, tu vas utiliser du matériel personnel, mais dans les conditions restreintes autorisées par ta banque.
Les libristes sont les premiers à aller donner des leçons à tout le monde sur la manière dont les banques devraient gérer leurs API, genre "si j'étais vous je ferais tout pour satisfaire les clients comme moi". On ne peut pas vivre comme ça, ce monde théorique est infernal. Tu ne peux pas passer ta vie à dire à la maitresse de tes gamins "si j'étais vous je ferais comme ça". Ou à ton plombier "si j'étais vous je mettrais de la graisse de porc plutôt que de la pâte à joint". Ou au cuistot du resto du coin "si j'étais vous je mettrais de l'échalotte plutôt que des oignons". Et ça, c'est indépendant du fait d'avoir raison ou tort.
En tout cas, si j'étais votre banque, je vous enverrais chier, parce que je n'ai pas envie qu'1% de mes clients me bouffe 50% de mon budget de sécurité informatique pour maintenir de multiples interfaces compatibles avec du hardware improbable qui tourne sous Hurd. Si j'étais une banque, ce que je voudrais, c'est des clients pas chiants qui ont tous le même iPhone pour acheter des millions de merdouilles sur Amazon en activant le cashback qui va me permettre de revendre les informations sur les habitudes d'achat, qui vont me rapporter beaucoup plus que les petites miettes des frais de tenue de compte. Et les clients qui veulent un service sur mesure, ils iront voir les banques qui offrent des services sur mesure, et ils verront bien le coût d'un service sur mesure.
[^] # Re: Google Play Integrity API
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 4 (+3/-2).
L'argument est donc que les banques favorisent l'utilisation d'applications smartphone parce que l'intégralité de leur chaine de décision est incompétente.
Ça a l'avantage d'être une explication tellement pratique qu'elle ne nécessite même pas de réflechir.
Bon, maintenant, en vrai, il faut bien avoir en tête que c'est les banques (ou leurs assurances, ce qui revient plus ou moins au même) qui couvrent le coût de la fraude bancaire. Il faut aussi réaliser que les tribunaux, régulièrement, prennent position contre les banques sur la définition de la faute du client. Vous avez là l'ensemble de l'équation : les banques veulent contrôler la totalité de la chaine de sécurité, car si vous pouvez faire une transaction avec une partie de la chaine moins sécurisée que la procédure standard, alors c'est pour la tronche de la banque. Par exemple, si vous avez installé par mégarde un tracker sur votre smartphone dégooglisé et que vous vous êtes fait aspirer votre pin, bah la fraude sera pour la banque (à moins de pouvoir convaincre le tribunal qu'avoir un smartphone dégooglisé est une faute de la part du client, ce qui me semble chaud). Il est donc totallement rationnel de la part de la banque d'interdire toute transaction qui implique n'importe quel matériel ou logiciel non-audité.
Moi je suis super pour la liberté de choisir sa banque en fonction de valeurs ou en fonction des services fournis. Je préfère utiliser l'interface web que l'application par exemple, et si ma banque cessait de fournir une interface web, j'imagine que je pourrais changer. Mais il faut aussi que je sois prêt à payer plus cher pour un service. C'est le principe même du commerce, si je veux une coupe de cheveux, je vais payer plus cher que pour la barbe. Bah là c'est pareil, je veux quelque chose en plus, cette chose a objectivement un coût (équipe de développement, service client, documentation…), et j'ai du mal à comprendre sur quel principe je devrais pouvoir bénéficier d'un service supplémentaire sans raquer derrière si la banque a pris la décision que de me garder parmi leurs clients ne justifiait pas un geste commercial. À ma connaissance, la nature de l'OS utilisé ne fait pas partie des critères de discrimination, et "pouvoir accéder à mes comptes sous Linux" n'est pas un droit garanti par la loi…
[^] # Re: N'est-ce pas un droit ?
Posté par arnaudus . En réponse à la dépêche Banques en ligne : l’authentification forte doit-elle imposer Android ou iPhone ?. Évalué à 4 (+3/-2).
C'est tout à fait vrai, et il y a plein de situations absurdes comme ça dans la vie où la loi oblige quelqu'un à faire quelque chose mais ne prévoit pas de sanction ni de procédure dérogatoire. C'est même souvent le cas pour les documents administratifs, la loi impose tout un tas de délais (pour avoir un RDV à la préfecture, pour un jugement, etc), mais il n'existe aucun mécanisme pour forcer l'administration en question à respecter ces délais (le mieux que tu puisses espérer est de faire condamner l'État, bon courage).
Là, on est dans le cadre du droit du commerce, la loi impose à un commerçant de faire quelque chose, et le commerçant refuse. Ça pourrait être payer en liquide, séparer deux articles dans le cadre d'une vente liée, n'importe quoi, c'est le même principe. Tu peux saisir la répression des fraudes, tu peux changer de crêmerie, tu peux poursuivre au tribunal si tu considères que tu as été lésé, mais rien de ceci ne résoudra ton problème. Concrêtement, tu es là, chez le boulanger, avec ton billet de 10€, et le boulanger te dit qu'il ne le prend pas, il a tort, il est pourtant obligé, tu peux lui prouver, mais il te dit "non" quand même. C'est la vie réelle, c'est un rapport de force, il est objectivement absurde, lui fait le pari que tu vas lacher l'affaire, et c'est probablement l'intérêt de toutes les parties que tu lâches l'affaire.
En l'occurrence, pour l'histoire des appli bancaires, il semble tout à fait possible que la banque perde moins d'argent en perdant un client qu'en maintenant un système d'identification rarement utilisé tout en restant sensible au niveau de la sécurité. En étant même plus cynique, il est peut-être possible que ton profil de clients n'est pas réellement celui qu'ils recherchent (pas de smartphone = probablement pas un acheteur compulsif qui va activer les options du retrocashback Amazon, dont la revente des données associées rapporte probablement bien plus que les activités bancaires). Est-ce ton intérêt de rester client d'une banque qui souhaite se débarrasser de toi? À court terme, c'est casse-pieds de changer de banque, mais de toutes manières ils trouveront bien un moyen de te "rentabiliser" (c'est même un devoir pour une entreprise commerciale), éventuellement en augmentant les frais bancaires pour tout le monde, et en accordant un discount de 90% pour les utilisateurs du retrochashback…).
[^] # Re: RGPD
Posté par arnaudus . En réponse au journal Piveo 2.4.0: logiciel d'apprentissage de prénoms et noms. Évalué à 3 (+0/-0). Dernière modification le 27 avril 2026 à 15:22.
C'est un problème encore différent. Les groupes Whatsapp ont parfois un règlement, mais je n'ai aucune idée de si ce règlement est opposable (qu'est-ce qui se passe si on ne le respecte pas?).
Je ne suis pas sûr, il faudrait avoir une copie du formulaire. Ça m'étonnerait que la diffusion des informations au public soit autorisée, par exemple, ça n'aurait aucun sens. On ne peut pas non plus prévoir de dérogation à la RGPD dans l'autorisation (par exemple, on n'a pas le droit de demander aux gens d'autoriser à stocker les informations personnelles sans respecter la RGPD, de renoncer à son droit de retrait, de conserver au-delà de l'année scolaire, etc).
Si c'est vrai, c'est très risqué, car la loi est très claire sur la spécificité des autorisations. D'ailleurs, les modèles que j'ai trouvé sur Internet sont au contraire très spécifiques, avec une dizaine d'items (démarches administratives oui/non, trombinoscope oui/non, photo de classe oui/non, illustration des sorties scolaires oui/non, portail public de l'ENT oui/non, portail privé de l'ENT oui/non, etc). J'ai du mal à imaginer qu'un chef d'établissement prenne le risque d'inventer son propre formulaire, avec le risque d'une non-spécificité qui annulerait sa portée.
En tout cas, tous les documents que j'ai consultés confirment qu'il n'y a aucune nécessité pédagogique pour les photographies. Il est donc tout à fait possible de renoncer à fournir une photographie et de refuser toutes les autorisations.
[^] # Re: proposition - informations RGPD
Posté par arnaudus . En réponse au journal Piveo 2.4.0: logiciel d'apprentissage de prénoms et noms. Évalué à 3 (+0/-0).
Je pense que c'est pas mal de mettre un avertissement. Par contre je trouve que tu as fusionné deux avertissements différents: celui du développeur, qui avertit l'admin de la machine de l'existence de règles strictes sur les données personnelles (avec peut-être un petit "disclaimer" pour bien préciser que le développeur n'est absolument pas responsable à la place de l'utilisateur pour vérifier la conformité de l'utilisation à la loi); et celui de l'admin de la machine, qui avertit ses utilisateurs, dans son contexte de travail, des conditions dans lesquelles le chef d'établissement a autorisé l'exploitation de ces données.
Je trouve aussi que tu te mouilles trop : tu sembles donner des préconisations d'utilisation qui sont conformes au RGPD, ce qui ne me semble pas très prudent (tu ne peux pas garantir ça, c'est un boulot de juriste, et tu ne sauras jamais quand ces recommandations deviendront obsolètes si le cadre du RGPD change).
[^] # Re: RGPD
Posté par arnaudus . En réponse au journal Piveo 2.4.0: logiciel d'apprentissage de prénoms et noms. Évalué à 3 (+0/-0). Dernière modification le 27 avril 2026 à 09:24.
Encore faudrait-il connaitre le contenu du document d'autorisation signé par les élèves ou leurs familles. Normalement, il y a une liste d'items autorisés, qui spécifient les usages internes ou externes. C'est fréquent par exemple que les écoles diffusent les photos d'évènements (fête de l'école, etc).
Mais encore une fois, je pense que si diffusion, poursuites, et condamnation il y a, ça sera contre le chef d'établissement, et pas envers le pékin qui a mis les photos sur son laptop personnel. Libre ensuite à l'éducation nationale de se retourner contre un agent pour l'accuser d'une faute, mais elle ne le fera pas (il ne faudrait pas trop que la justice s'intéresse à cette manie qu'a l'État de ne pas fournir à ses agents les équipements nécessaires aux tâches qu'ils sont censées effectuer…).
[^] # Re: RGPD
Posté par arnaudus . En réponse au journal Piveo 2.4.0: logiciel d'apprentissage de prénoms et noms. Évalué à 3 (+0/-0). Dernière modification le 25 avril 2026 à 15:02.
Je ne voudrais pas m'avancer, mais si c'est dans le cadre de ses fonctions, c'est son employeur qui est responsable. L'employeur ne peut se désolidariser que s'il y a une faute, il faut donc que la faute soit mentionnée dans un document quelconque (règlement, code de la fonction publique…). Pour les insultes, je pense que c'est quelque part dans le code de la fonction publique, mais pour le traitement des données privées, j'ai l'impression que sans charte ou règlement, c'est à l'État d'assumer; le fonctionnaire pourra démontrer par exemple qu'on lui a fourni ces fichiers sans aucune instructions sur leur finalité ou leur réutilisation.