S’authentifier avec un masque jetable est assez trivial. Le premier envoie un nombre aléatoire choisie localement et le correspondant réponds en envoyant ce nombre auquel il a ajouter un.
Pour être sûr que les message ne soit pas altéré, il suffit de rajouter un hash à la fin de chaque message.
Attends, tu es en train de dire qu'il suffit d'envoyer un message (le nombre aléatoire), combiné avec un secret partagé (le masque jetable), le tout suivi du hash de ce qui précède. Un peu plus (car c'est pas encore bien au point, il y a encore des faiblesse dans ta méthode) tu nous réinvente HMAC.
Le seul protocole mathématiquement sûr c’est le masque jetable dans lequel on ajoute un bruit aléatoire au message ce qui permet d’obtenir un message aléatoire. Le message qui circule sur le net ne porte absolument aucune information. Ce n’est que du bruit.
Oui, quand tu regarde la robustesse théorique de la méthode.
En pratique, pour faire mieux que la crypto assymetrique actuelle au niveau sécurité il faut aussi prendre en compte l'implémentation.
Le RNG doit être de bonne qualité.
L'échange du masque doit être sécurisé.
L'implémentation doit-être sûre.
Pour le point 1, c'est une vaste blague, j'en ai parlé sur un autre thread. Sur le point 2, le problème est mis sous le tapis, alors que c'est l'essentiel de la sécurité de ce protocole. Pour le point 3, c'est du HTML5+javascript (heuresement servi localement quand même), executé par un navigateur, qui n'a aucune des garanties de vérouillage de la mémoire etc. qu'ont les implémentations pratiques des méthodes de crypto assymetrique actuelles, et du code en HTML5+javascript executé par un navigateur me laisse à penser que les side channel attacks doivent pulluler.
On le sait, les maillons faibles c'est souvent la sécurité des terminaux et la manière d'échanger les clefs. Hors la solution proposée ici semble présenter des lacunes sur le premier point, et ne propose rien quand au deuxième point.
J'aurai été probablement moins acide si c'était vendu comme une implémentation permettant d'ouvrir la reflexion sur les protocoles de crypto, et j'aurai même été plutôt positif dans mes commentaires. Mais c'est vendu comme étant la solution ultime, c'est sûr qu'en ayant mis tous les problèmes sous le tapis, c'est la solution ultime.
Pour le microphone, il y a des projets qui construisent des nombre aléatoires à partir de cela. Disons que pour un microphone, même s'il peut s'agir a priori d'une bonne idée, il faut pouvoir bien connaitre le DSP de ta carte son. Le traitement que fait ta carte son sur le signal pourrait éventuellement permettre d'avoir de propriété sur ton signal qui pourrait permettre de déduire des propriétés sur ta séquence aléatoire.
Après la grande subtilité, c'est le choix des traitements que tu appliques. Si tu choisi bien les traitements que tu applique, le fait de connaître des propriétés statistiques sur ton signal d'entrée ne te permettra que très difficilement d'en déduire des propriétés sur le signal de sortie. C'est la même logique que dans les PRNG où tu réutilise des informations du passé de la séquence que tu traite pour obtenir la suite de la séquence. L'important est le choix du traitement que tu effectue.
Ici le traitement effectué, le Von Newmann, me laisse dubitatif.
En lisant leur descriptifs, et leurs test, il est clair que le flux de bits après la deuxième étape est d'une qualité insuffisante (le nombre de fails sur un test permissif en témoigne). Au final tout le boulot est fait par le Von Neumann, un algo simple qui permet de propager une connaissance à l'entrée à une connaissance à la sortie.
Il existerai pourtant des moyens de faire mieux, beaucoup mieux. Une des proprieté des condensats cryptographiques, et qu'il est très difficile (en pratique souvent impossible) de propager une connaissance statistique sur l'entrée à une connaissance statistique sur la sortie. L'utilisation à la troisième étape d'un algo de calcul de condensat me semblerait beaucoup plus approprié.
À moi, cet algo me semble suspect et bancal. Et quand on voit la capacité des cryptanalystes à obtenir des informations sur les méthodes de générations de nombres aléatoires, qui me semblent propres, je jette cet algo sans même réflechir une minute. Si il existe des audits sur les RNG, généralement c'est qu'il y a une raison.
Je viens de lire l'algo qu'ils nomment TRNG. J'ai peur.
Je vous le résume.
Vous prenez une photo en RGB en 3×8 bits/pixel.
Pour chaque pixel, vous resumez les 24 bits en un seul au moyen d'un XOR. Vous obtenez un flux de bits.
Vous appliquez un Von Neumann (vous regroupez les bits deux à deux, et 00→∅, 01→0, 10→1, 11→∅).
Voilà.
Il semble possible de construire donc un modèle statistique de dépendance de la source aléatoire, en utilisant les proprietés statistiques du messages (ou pas d'ailleurs), ça fout en l'air toute la sécurité.
Non mais vraiment, il faut laisser la cryptographie à ceux qui savent ce qu'ils font. (Moi j'ai juste le niveau pour savoir ce qu'il ne faut pas faire, je n'ai pas le niveau pour savoir ce qu'il faut faire.)
Je ne parle pas de l'implémentation présentée dans la dépèche, qui semble souffrir de nombreuse zone d'ombre (génération des masques, qualité du RNG, transmission…), mais de manière générale :
s'il faut transmettre un masque jetable de façon sûre, autant transmettre directement le message
En fait si tu as le message au moment où tu fais l'échange de masque jetables, alors tu as raison. L'intérêt c'est justement de pouvoir séparer les deux. Au moment où tu échanges les masques, tu n'as pas forcément encore le message, et tu prévoie de le transmettre plus tard. En gros la technique du masque jetable avec un échange physique du masque, permet de transmettre le message avec la même sécurité que l'échange physique préalablement effectué. Il y a plein de cas où ça peut avoir un interêt, par exemple, en supposant que l'acquisition du message t'expose à une surveillance accrue, il peut être une bonne idée d'échanger des masques avec un tiers avant d'être mis sous surveillance, puis d'acquérir le message, d'être placé sous surveillance à partir de ce moment, et de transmettre le message.
Bref c'est une technique qui a un grand intérêt, contrairement à ce que tu laisse entendre, mais la mise en œuvre de cette technique est loin d'être simple. Quand je vois à quel point il est déjà très compliqué de faire en sorte que les gens utilisent la cryptographie asymétrique, technique théoriquement moins robuste que les masques jetables mais beaucoup plus simple à mettre en œuvre, alors je pense que la mise en œuvre des masques jetables dans ce contexte est soit impossible, soit complètement non sécurisée.
La fragmentation ça t'impose de faire un accès aléatoire en plein milieu de la lecture d'un fichier. Avec un disque rotatif l'accès aléatoire, tu le paie cher, beaucoup plus cher qu'un accès séquentiel. Avoir donc un disque fragmenté induit une différence de performance.
Avec un SSD, l'accès et l'écriture aléatoire ne coûtent guère plus cher l'accès séquentiel, en même lorqu'on fait du séquentiel, le firmware du disque se permet de tout couper dans tous les sens.
Je ne pense pas qu'on puisse s'attendre à une amélioration des performances en défragmentant un SSD.
En fait il n'y a pas de risque double. Si l'infraction est réputée commise sur le territoire national, ce qui semble être le cas, alors que tu sois français ou non ne change rien.
Si l'infraction est réputée commise à l'étranger (je ne parle pas des crimes), il faut que le procureur en France recoive une dénonciation de la part d'une autorité étrangère (c'est pas juste une histoire de connaissance, il faut la procédure officielle), et cette dénonciation, pour être valable, impose que les autorités étrangère doivent aussi considérer tes actions comme un délit selon leur Droit, or il semble que tu parlais de choisir un pays qui ne considère pas cela comme un délit, donc qui ne pourrait en aucun cas valablement te dénoncer.
Donc le risque n'est pas double, mais pour moi, tu es dans le premier cas, on a suffisament d'exemples des juridictions française qui se considère comme valablement saisi en considérant que l'infraction est consitué à tout point auquel l'information est accessible. Il y a nombre d'exemples sur ce sujet, dernier en date, celui évoqué par Eolas, où il a la gentillesse de faire une explication détaillé de ce point, au paragraphe « Pourquoi à Bordeaux ? » (recopier intégralement ce paragraphe ne serait pas de la courte citation).
Disons que ce qui prime, c'est le lieu où est commis l'infraction. De manière générale si l'infraction n'est pas commise sur le territoire national, alors les juridictions françaises sont incompétantes, sauf cas particuliers.
Les cas particuliers sont :
Crimes commis par un français ou dont la victime est française, à l'étranger. Délit commis par un français ou dont la victime est française, à l'étranger sur dénonciation des autorités du pays ou plainte de la victime.
Infraction de nature sexuelle dont l'auteur réside habituellement en France (français ou non).
Crime contre l'humanité et terrorisme.
Donc tu pourrais te croire à l'abri, puisqu'il s'agirait potentiellement d'un délit, et que si il n'est pas puni par la Loi du pays en question, il ne pourra pas être valablement dénoncé par les autorité du pays.
Là où ça devient problématique pour toi, c'est que sur le nain-ternet, l'infraction est réputé commise en tout point où l'information est accessible. C'est ce qui permet de porter plainte devant des tribunaux compréhensifs, comme dans l'affaire Milka.
Donc a priori, tu es responsable même si le serveur se situe à l'étranger. Après une piste interessante à creuser, c'est de savoir si tu es obligé de t'identifier en temps que directeur de publication. Et là je n'en sais rien mais j'ai l'intuition que ça doit dépendre du pays dans lequel tu place les serveurs, et le siège social de ton prestataire. Dans ce cas tu serais responsable devant la Loi française, mais la Loi n'aurait aucun moyen légal de t'identifier.
Vous avez des .bashrc de trois kilomètres de long vous ?
Moi, oui. En fait au fil des années, je rajoute des choses. Entre mes alias (j'en ai des tonnes, principalement pour compenser les fautes de frappes, comme sl=ls, cd..=cd ..…, mes extentions de PATH (avec un test d'existance de répertoire avant de le rajouter)… En fait j'ai un .bashrc qui teste plein de choses, car c'est toujours le même entre tous mes comptes utilisateurs.
Autrement l'astuce, quand quelqu'un n'a pas un .bashrc de 3km, c'est de le transformer en .bashrc de 3km en rajoutant plein de truc inutile mais vraissemblable car déjà existant ailleurs, comme dans le /etc/bash.bashrc. Ensuite on a l'impression que c'est normal que son .bashrc soit super long.
Mais il n'y a pas que le .bashrc, il y a le .profile, le .bash_profile, le .bash_logout (j'ai une affection pour ce dernier).
J'avais même une fois écrit du code dans le .bash_logout, avec un random, donc pas à chaque fois (et même rarement en fait), il écrive le truc à la con (des alias en l'occurence) dans le .bashrc. Dans ce cas, l'utilisateur trouve rapidement les lignes dans le .bashrc et les enlève. Mais elles reviennent de temps en temps, un plaisir à voir (à faire de préference à un co-bureau, on peut suivre sa réaction sur le long terme).
Quand tu as un comportement à la con que tu arrives à identifier, genre on te mets des alias, tu reconnais l'utilisation de beep (c'est pas dur), que vas-tu faire ?
Tu ouvres tes fichiers de config et tu cherches des alias ou beep, tu lance un grep…
Si tu mets dans le .bashrc les commandes beep originales, c'est pas très discret, tu vas tout de suite reconnaître que c'est ces commandes qui ont cet effet. Quand tu vois le bloc que j'ai mis, si tu cherches autre chose, tu passes.
Après si tu fais attention, quand tu vois un gros bloc imcompréhensible dans ton .bashrc, tu te poses des questions, genre il pourrait y avoir un rm -rf ~/ dedans. L'idée c'est juste que quand tu cherches autre chose tu passes à coté. Et pour l'avoir déjà expérimenté, ça marche.
Justement, je pense faire partie de ce que tu définis comme les 88 à 90% qui ne font pas de bruit du moment que ça marche. Justement, qu'ai-je vu dans la migration à systemd ? Ça marche, ça marche juste mieux.
La gestion des dépendances ? Un plaisir. Un démarrage parallèle avec un ordonnancement qui respecte les dépendances. C'est un des points qui m'avait le plus dérangé quand j'avais abandonné Gentoo et OpenRC.
Indubitablement, la gestion des processus via des cgroups, c'est agréable. On ne perd plus de processus. Par exemple des trucs comme openBUGS qui quand ils plantent se mettent à forker quand ils reçoivent un SIGKILL.
Alors oui, nombre d'utilisateurs ne font pas de bruit du moment que ça marche. Mais un retour en arrière peut les faire râler, moi le premier. Si je me tais et que j'accepte les évolutions quand elles m'apportent quelque chose, je ne me tais pas si on régresse, et qu'on me fait disparaître des fonctionnalités.
L'avantage c'est qu'on ne voit pas ce que ça fait, et quand on cherche pourquoi on a un message à la con à chaque prompt, on ne comprend pas.
C'est la version obfusquée de
d(){ for l in $(echo $1 | sed -r "s/(.)/\1 /g"); do echo -en "\033[$[$RANDOM%7+30]m$l"; done | tr _ \ ; echo; }
PROMPT_COMMAND="d Quand_on_laisse_son_poste_non_vérouillé,_on_est_exposé_à_ce_genre_de_choses"
C'est vraiment de mauvais goût pour les couleurs, mais j'aime bien.
Mon MSI wind U100 m'ayant laché l'année dernière, ce n'est pas faute de l'avoir maintenu en vie (en fait c'était un mix de deux MSI wind, la carte maman de l'un, la carte réseau de l'autre, un ventilo neuf, je les ai usé les un après les autres), j'ai du me résoudre à changé de machine mobile, et j'ai opté pour un Thinkpad X200 reconditionné par ecodair. Je cherchais une machine avec plusieurs caracteristiques pas forcement très demandés (robuste même si moche, consomme pas trop, pas une bête de course, écran mat).
J'ai d'abort pris contact avec eux, car le voulais un clavier qwerty-US. Je peux taper en querty sur un azerty ce n'est pas le problème, le problème c'est je veux une touche entrée droite pour avoir la zone LaTeX en une ligne ([]{}\), chacun ses petites lubies. Ils m'ont dit par téléphone que ce n'était pas possible, j'ai été un peu étonné, j'eu pensé qu'ils m'auraient proposé un prix exhorbitant, mais pas un non.
J'ai été sur place récuperer la bête. Alors en fait, oui c'est plein de travailleur handicapés, à ce que j'ai vu psychologiquement handicapés. Je me suis perdu dans l'entrepôt, je suis sorti de l'espace client. Ça m'a laissé une impression étrange, je n'ai pas trouvé le lieu agréable.
Après sur la machine, en plus de la batterie et du clavier à changer, ce qui était prévu, j'ai eu le ventilo à changer au bout de quelques mois, c'est une pièce mécanique, ça s'use. Toutefois il avait dès le début une vibration à la vitesse max. Il m'est d'avis que le test qu'il font pour le recondionnement est extrèmement limité. Après un ventilo à changer sur un thinkpad, c'est pas la mort, le ventilo ça vaut trois fois rien, et il faut sortir le manuel de réparation, et y passer deux heures en démontant 547 vis différentes, mais tout est dans le manuel, il faut juste éteindre son cerveau, et ne pas y aller au feeling comme à l'habitude).
Bref, je suis très satisfait du matériel (en même temps, je savais ce que je cherchais), mais je reste dubitatif sur la qualité du reconditionnement, et le service fourni. De plus la promesse, on fait travailler des gens qui ne peuvent pas travailler ailleurs, c'est cool, ils sont heureux, je n'y crois pas trop, mais comme de toute façon ce genre de promesse ne m'influence pas pour mon achat, ça ne me dérange pas qu'ils la fassent. Au final ça serait à refaire, je le referai. Par contre pour conseiller à quelqu'un d'y aller, je ne le conseillerai pas à ma mère par exemple.
Peut-être, j'embarquais aussi sur Delta. Mais j'ai aussi subit les contrôles à l'embarquement pour des vols intérieurs aux US avec Delta, et ça allait sans problèmes.
Il y a encore une nouvelle hypothèse, celle d'une interaction entre Delta et Amsterdam, et là c'est la catastrophe, contrôles à foison. Je connais aussi des personnes qui ont subit la même chose, à Amsterdam avec Delta, donc cette hypothèse n'est peut-être pas si farfelue.
Tiens c'est marrant, j'ai eu tout le même cirque aussi à Amsterdam (pour un vol à destination de Détroit). Et j'ai aussi été interrogé longuement, baguages, confections, objet, intervenants extérieurs, lieu de stockage, surveillance, but du voyage… Et de manière beaucoup insistante qu'à Roissy. Il y avait même une dame dans la file qui ne parlait pas anglais, qu'ils ont mis de coté en attente (je sais pas si elle a pu passer, j'ai pas de mémoire des visages, mais j'étais à la fin de la file elle a été mise de coté dès le début). Et ensuite j'ai eu droit au scanner corporel.
Sachant que je venais de batailler avec la compagnie aérienne, car à Bordeaux ils avaient rentré mon visa comme un ESTA, et qu'apparement la compagnie n'avait pas le droit de m'embarquer car je n'avais pas d'ESTA « non mais j'ai jamais prétendu avoir un ESTA, je reste trop longtemps pour ça », j'ai été un peu blasé par cet aéroport.
Donc si ça se trouve c'est juste l'aéroport d'Amsterdam où ils sont casse-bonbons.
les temps d'attente n'en dépendent qu'en partie (remettre le fuel, vérifier l'état de l'avion (c'est aussi de la sécurité mais pas dans le même sens, pas dans celui de risque d'attaque…)
Oui mais ce n'est pas spécifique à l'avion. Pour les trains, il y a aussi du boulot à faire sur place (ne serait-ce que la programmation du train pour la numérotation des voitures, et des fois ça foire). J'ai le souvenir d'autres contrôles, comme sur les trains à essieux qui sont assemblés en gare, il faut vérifier que la somme des masses de chaque voiture correspond à la capacité de freinage pneumatique (dans le cas où la propagation non pneumatique déconne).
Il y a d'autres choses à faire aussi sur les train non TGV, comme mettre une motrice à l'avant une fois que les voitures ont été amenés en gare, et détacher la motrice à l'arrière.
Bref, ce sont des temps d'attente qu'on a dans tous les cas, mais ce ne sont pas des temps d'attente que subissent les passagers, dans le cas de l'avion comme du train, ils n'ont pas besoin d'être là durant cette phase. Si les passager sont présents dans l'aéroport, c'est pour d'autres raisons, contrôle à l'embarquement, etc.
obtenir une autorisation de décollage en fonction de la météo et du trafique, etc…)
Là ces temps d'attente sont imposés aux passagers, mais on a aussi les mêmes dans le ferroviaire (attente d'ouverture de voie en fonction du traffic, incident technique). Mais au doigt mouillé (je n'ai jamais vu l'envers du décors du coté aérien, donc c'est juste une impression), il y a moins de variabilité dans le ferroviaire.
Donc tu me proposes d'attendre encore quelque mois de plus pour toucher ce qu'on me devait depuis des mois.
Tu as du te méprendre, je ne dis pas que le prélèvement à la source n'est pas une bonne idée. Je dis juste que le mode de calcul à l'arrache proposé ici en extrapolant à l'année chaque mois, n'est pas une bonne idée. Je pense même que c'est une bonne idée, mais le calcul et les modalités doivent être construits attentivement.
En plus il y a le problème de l'année où tu le mets en place, où une partie de la population va avoir l'impression de payer double (année N-1 et année N), je n'aimerai pas être à la place du gouvernement au pouvoir.
Je propose plusieurs idée (l'hypothèse sous-jacente c'est que la réglementation est logique, c'est une hypothèse audacieuse, je l'avoue).
La soute n'est pas pressurisée. Bon, après une rapide recherche, cette idée est à jeter.
Si il y a une dépressurisation de la soute, c'est moi grave qu'une dépressurisation de la cabine. Pareil, ça ne résiste pas à l'épreuve des faits. En effet il semble qu'une dépressurisation de la soute sans dépressurisation de la cabine puisse provoquer une rupture du plancher avec arrachage de tous les cables, un accident en témoigne. En conséquence il y a maintenant une communication d'air entre la soute et la cabine pour que la dépressurisation de l'un entraîne la dépressurisation de l'autre.
Tu ne choisi pas l'emplacement de ton baguage, et il y a donc peu de risque pour que tu arrive à mettre l'explosif à un endroit puissant provoquer une catastrophe. Ça me parait un peu osé de baser la sécurité aérienne dessus.
Les contrôles de sécurité effectués sur les baguages en soute permettent de mieux distinguer une batterie d'un explosif. Je doute de cette explication.
Le risque d'explosion n'est pas ce qui est le plus important, c'est le risque de menace. Et ce risque est annulé par le placement en soute. Ça me parrait la plus plausible, mais je m'interroge quand même.
Non mais je suis d'accord, il faut secouer l'É.N. Perso, ça ne m'a pas porté préjudice, ce n'était pas mon activité principale, mais c'est complétement inadmissible, je suis d'accord.
Ce que je veux juste dire, c'est qu'il faut prévoir un système qui soit robuste au conneries des autres, car il y en aura toujours. Et pour ceux qui subissent ces conneries, ça serait sympatique de le système de l'impôt n'en rajoute pas une couche. Il faut traiter le problème, mais il faut aussi prévoir d'être robuste au problèmes.
C'est pareil qu'en sécurité informatique, il faut du code sans failles de sécu, mais il faut aussi que l'architecture réduise, voir annule, l'impact d'une faille de sécu si elle existait. Les deux sont nécessaires.
Donc, chaque tranche de paie, tu paies un impôt sur la tranche de paie avec comme hypothèse que c'est ce que tu gagnes toute l'année.
Non, non, et non. Sans être dans les cas d'activité non salarié, tu as nombre de cas où tu reçois une paie qui n'est pas constante. L'éducation nationale (je ne travaille plus pour elle en vacataire aujourd'hui) a eu par le passé le bon goût de me payer avec 8 mois de retard. Déjà que j'étais moyennement satisfait à cause du fait que ces revenus étaient sur une seule année fiscale (alors que cela correspondait à des vacations effectuées de septembre à avril) alors qu'ils auraient dû être ventilés sur deux années fiscales, toutes les heures que j'ai effectués étaient comptabilisés officiellement en avril (alors qu'elles correspondaient à des heures données dans les mois passés). Bref ce mois là, en calculant un taux avec une extrapolation à l'année sur mes différents salaires, j'ai droit à un taux marginal à 41%.
Alors oui, dans ce cas c'est l'ÉN qui a fait n'importe quoi (comme d'habitude en fait), mais pour autant ce n'est pas au salarié de payer l’incompétence de l'ÉN plus que ce qu'il subit déjà.
Après il y a moyen de faire un truc plus juste je pense. Par exemple chaque mois calculer un taux moyen d'imposition sur les 12 revenus des derniers mois flottants, et utiliser ce taux là pour prélever à la source sur le salaire. Puis faire un équilibrage annuel. (Bon je triche un peu, car cette méthode, c'est quasiment celle que j'utilise pour mettre de l'argent de coté pour mes impôts, j'ai des revenus hétérogène et c'est assez précis, une dizaine d'euros d'écart à l'année).
Ben d'autres trouvent que c'est carrément incompréhensible.
Ne me fais pas rire. L'impot sur le revenu est quand même fichtrement bien fichu. Après des que tu regardes d'autres impôts (au hasard CSG/CRDS dont depuis les trois dernières années l'organisme qui me lance les appels est différent), la taxe d'habitation, les taxes foncières, là ça devient vraiment le bordel. J'aime la simplicité de l'impôt sur le revenu.
Dans mon cas, revenus de nature différente avec une partie soumise au prélèvement à la source, mais pas l'autre, et une fluctuation d'une année sur l'autre, ce qui fluctue c'est pas la partie prélevable à la source. Ça veut dire qu'avec un tel système, la partie fluctuante est toujours prélevé en retard, mais il y a un prélèvement à la source sur le revenu constant. Bref, ça apporte rien (dans mon cas) sauf une couche de complexité supplémentaire à cause du cumul de deux mode de prélèvement.
Pour autant je ne suis pas contre le prélèvement à la source, je dis juste que ce n'est pas la solution miracle, les pigeons parisien ne se transformeront pas en petits oiseaux faisant cui-cui dans un ciel rose.
Tu es trop génial qui sait optimiser et mettre de coté, comme moi. Mais voila : on ne fait pas une généralité. En général, les gens "consomment" tout ce qu'ils reçoivent, et empruntent 20 mois plus tard pour pouvoir payer la surprise.
Je te trouve bien méprisant envers la majorité. Parmi les gens que je fréquente, la majorité, et de loin, met de coté de l'argent pour payer l'impôt. Alors c'est vrai que je pousse à l'extrême, en ayant dans mon gestionnaire de compte, des comptes de passif qui sont mis à jour à chaque arrivée d'argent pour retranscrire ce que je dois au impôts, mais la majorité des gens que je connais savent quel montant ils doivent mettre de coté pour payer l'impôt, même si c'est du calcul à la louche. Alors probablement que je ne fréquente pas un échantillon représentatif de la population assujettie à l'impôt, mais j'ai la conviction que ça réglerai le problème d'une minorité (ce n'est pas parceque c'est une minorité qu'il faut pour autant se désinteresser du problème).
En tous cas, on comprend bien pourquoi le gouvernement est réticent à passer au prélevement à la source, ce n'est pas technique mais ça va râler qu'on change les (mauvaises) habitudes des français.
Je pense personnellement que le principal problème, c'est que les gens grinceraient des dents pour l'année transitoire N où ils paieraient l'impôt de l'année N-1 et de l'année N en même temps. C'est plus ça qui risque provoquer un sentiment de révolte.
Dans le cas où l'on divise la population en deux (c'est un modèle grossier), ceux qui mettent de l'argent de coté pour payer l'impôt, de manière précise ou à la louche, (catégorie A), et ceux qui paie l'impôt de l'année N-1 avec les revenus de l'année N (catégorie B). Alors le prélèvement à la source ne change rien pour ceux de la catégorie A, et apporte un bénéfice pour ceux de la catégorie B. Pour la transition, ça n'embêtera pas ceux de la catégorie A, et ça risque mettre en difficulté financière ceux de la catégorie B, justement ceux qui auront un bénéfice après.
Alors non, c'est pas forcement une résistance au changement qui selon moi peut faire blocage au passage au prélèvement à la source, mais plutôt la manière de négocier le virage.
Le recalcul en fin d'annee est dans la plupart des cas une simple confirmation, avec un ajustement de qq centaines de dollars, soit peau de balle. Pour le contribuable, c'est un peu plus sympa que de devoir s'assoir sur qq milliers d'euros qu'on peut pas toucher parce que sinon le fisc il va taper sur les doigts l'année prochaine.
Au final tu préfère qu'on ne te donne pas l'argent pour qu'on ne te le reprenne pas une année plus tard.
Personnellement je préfère qu'on me donne l'argent, et qu'on me le demande après, surtout dans le cas où l'on me prélève trop à la source. Oui j'ai de l'argent sur mes comptes qui est « promis au Trésor », mais c'est pas grave, en attendant, il est présent sur un livret d'épargne, et fourni intérêts et droits à l'emprunt.
Après tu abordes les cas courants, soit les gens ont un revenus régulier et peuvent être prélevés à la source, soit ils ont des revenus « liberaux » et paient l'année d'après. Dans mon cas, j'ai un revenu régulier (salaire, fonction publique), des revenus occasionnels (vacations dans la fonction publique), et des bénéfices agricoles (qui n'ont absolument rien de régulier). Les bénéfices agricoles subissent un lissage sur plusieurs années avant de rentrer dans le cadre de l'impôt sur le revenu (conformément à la loi en vigueur). Tu propose quoi ? Un prélèvement à la source sur mon salaire, un compte annuel du reste ? Un prélèvement à la source sur mon salaire et mes vacations et un compte annuel sur les bénéfices agricoles ? Personnellement, je trouve que c'est suffisamment compliqué, et je suis bien content d'avoir un seul décompte et un seul calcul de l'impôt.
Après je ne suis pas contre le prélèvement à la source, mais c'est un sujet je pense suffisamment complexe qui est outrageusement simplifié soit la solution idéale soit le mal incarné par quelques participants de ce thread alors que la vérité est beaucoup plus nuancée.
Tu paie l'année N-1 (à peu près en septembre) sur les revenus de l'année N-2. L'année N tu paie via deux appels deux tiers provisionnel sur tes revenus de l'année N-1, le montant es tiers étant calculés par rapport au revenu de l'année N-2. Jusqu'à là, c'est conforme à ce que tu as dis.
Par contre au moment où tu paie ces tiers, l'année N-1 est terminée, donc tu peux toi-même estimer ton impôt sur le revenu de l'année N-1 (que tu terminera d'acquiter en septembre de l'année N). Dans le cas d'un changement de revenu, tu est parfaitement en droit d'ajuster le montant de tes tiers (avec la subtilité que si tu te plante de plus de 10% en leur défaveur, tu es pénalisé).
Donc se plaindre que les tiers sont calculés avec un décalage temporel, sachant qu'on a toutes les données pour calculer le montant du tiers sans décalage, et qu'on peut ajuster le montant des tiers sans justifications (il faut juste ne pas se planter de plus de 10% en la défaveur du Trésor) est, à mon avis, non approprié.
[^] # Re: Pas convaincu
Posté par jben . En réponse à la dépêche Jericho Chat - Chiffrement incassable utilisant les masques jetables. Évalué à 5. Dernière modification le 05 août 2014 à 15:02.
Attends, tu es en train de dire qu'il suffit d'envoyer un message (le nombre aléatoire), combiné avec un secret partagé (le masque jetable), le tout suivi du hash de ce qui précède. Un peu plus (car c'est pas encore bien au point, il y a encore des faiblesse dans ta méthode) tu nous réinvente HMAC.
[^] # Re: Pas convaincu
Posté par jben . En réponse à la dépêche Jericho Chat - Chiffrement incassable utilisant les masques jetables. Évalué à 5.
Oui, quand tu regarde la robustesse théorique de la méthode.
En pratique, pour faire mieux que la crypto assymetrique actuelle au niveau sécurité il faut aussi prendre en compte l'implémentation.
Pour le point 1, c'est une vaste blague, j'en ai parlé sur un autre thread. Sur le point 2, le problème est mis sous le tapis, alors que c'est l'essentiel de la sécurité de ce protocole. Pour le point 3, c'est du HTML5+javascript (heuresement servi localement quand même), executé par un navigateur, qui n'a aucune des garanties de vérouillage de la mémoire etc. qu'ont les implémentations pratiques des méthodes de crypto assymetrique actuelles, et du code en HTML5+javascript executé par un navigateur me laisse à penser que les side channel attacks doivent pulluler.
On le sait, les maillons faibles c'est souvent la sécurité des terminaux et la manière d'échanger les clefs. Hors la solution proposée ici semble présenter des lacunes sur le premier point, et ne propose rien quand au deuxième point.
J'aurai été probablement moins acide si c'était vendu comme une implémentation permettant d'ouvrir la reflexion sur les protocoles de crypto, et j'aurai même été plutôt positif dans mes commentaires. Mais c'est vendu comme étant la solution ultime, c'est sûr qu'en ayant mis tous les problèmes sous le tapis, c'est la solution ultime.
[^] # Re: Le TRNG, moi aussi les bras m'en tombent
Posté par jben . En réponse à la dépêche Jericho Chat - Chiffrement incassable utilisant les masques jetables. Évalué à 7.
Pour le microphone, il y a des projets qui construisent des nombre aléatoires à partir de cela. Disons que pour un microphone, même s'il peut s'agir a priori d'une bonne idée, il faut pouvoir bien connaitre le DSP de ta carte son. Le traitement que fait ta carte son sur le signal pourrait éventuellement permettre d'avoir de propriété sur ton signal qui pourrait permettre de déduire des propriétés sur ta séquence aléatoire.
Après la grande subtilité, c'est le choix des traitements que tu appliques. Si tu choisi bien les traitements que tu applique, le fait de connaître des propriétés statistiques sur ton signal d'entrée ne te permettra que très difficilement d'en déduire des propriétés sur le signal de sortie. C'est la même logique que dans les PRNG où tu réutilise des informations du passé de la séquence que tu traite pour obtenir la suite de la séquence. L'important est le choix du traitement que tu effectue.
Ici le traitement effectué, le Von Newmann, me laisse dubitatif.
[^] # Re: Le TRNG, moi aussi les bras m'en tombent
Posté par jben . En réponse à la dépêche Jericho Chat - Chiffrement incassable utilisant les masques jetables. Évalué à 10.
Je complète ce que j'ai écrit.
En lisant leur descriptifs, et leurs test, il est clair que le flux de bits après la deuxième étape est d'une qualité insuffisante (le nombre de fails sur un test permissif en témoigne). Au final tout le boulot est fait par le Von Neumann, un algo simple qui permet de propager une connaissance à l'entrée à une connaissance à la sortie.
Il existerai pourtant des moyens de faire mieux, beaucoup mieux. Une des proprieté des condensats cryptographiques, et qu'il est très difficile (en pratique souvent impossible) de propager une connaissance statistique sur l'entrée à une connaissance statistique sur la sortie. L'utilisation à la troisième étape d'un algo de calcul de condensat me semblerait beaucoup plus approprié.
À moi, cet algo me semble suspect et bancal. Et quand on voit la capacité des cryptanalystes à obtenir des informations sur les méthodes de générations de nombres aléatoires, qui me semblent propres, je jette cet algo sans même réflechir une minute. Si il existe des audits sur les RNG, généralement c'est qu'il y a une raison.
# Le TRNG, moi aussi les bras m'en tombent
Posté par jben . En réponse à la dépêche Jericho Chat - Chiffrement incassable utilisant les masques jetables. Évalué à 10.
Je viens de lire l'algo qu'ils nomment TRNG. J'ai peur.
Je vous le résume.
Voilà.
Il semble possible de construire donc un modèle statistique de dépendance de la source aléatoire, en utilisant les proprietés statistiques du messages (ou pas d'ailleurs), ça fout en l'air toute la sécurité.
Non mais vraiment, il faut laisser la cryptographie à ceux qui savent ce qu'ils font. (Moi j'ai juste le niveau pour savoir ce qu'il ne faut pas faire, je n'ai pas le niveau pour savoir ce qu'il faut faire.)
[^] # Re: Pas convaincu
Posté par jben . En réponse à la dépêche Jericho Chat - Chiffrement incassable utilisant les masques jetables. Évalué à 10.
Je ne parle pas de l'implémentation présentée dans la dépèche, qui semble souffrir de nombreuse zone d'ombre (génération des masques, qualité du RNG, transmission…), mais de manière générale :
En fait si tu as le message au moment où tu fais l'échange de masque jetables, alors tu as raison. L'intérêt c'est justement de pouvoir séparer les deux. Au moment où tu échanges les masques, tu n'as pas forcément encore le message, et tu prévoie de le transmettre plus tard. En gros la technique du masque jetable avec un échange physique du masque, permet de transmettre le message avec la même sécurité que l'échange physique préalablement effectué. Il y a plein de cas où ça peut avoir un interêt, par exemple, en supposant que l'acquisition du message t'expose à une surveillance accrue, il peut être une bonne idée d'échanger des masques avec un tiers avant d'être mis sous surveillance, puis d'acquérir le message, d'être placé sous surveillance à partir de ce moment, et de transmettre le message.
Bref c'est une technique qui a un grand intérêt, contrairement à ce que tu laisse entendre, mais la mise en œuvre de cette technique est loin d'être simple. Quand je vois à quel point il est déjà très compliqué de faire en sorte que les gens utilisent la cryptographie asymétrique, technique théoriquement moins robuste que les masques jetables mais beaucoup plus simple à mettre en œuvre, alors je pense que la mise en œuvre des masques jetables dans ce contexte est soit impossible, soit complètement non sécurisée.
[^] # Re: Utilité de la défragmentation sur un SSD ?
Posté par jben . En réponse au journal Logiciel d'audit/conseils - Guider les utilisateurs/admins novices. Évalué à 9.
La fragmentation ça t'impose de faire un accès aléatoire en plein milieu de la lecture d'un fichier. Avec un disque rotatif l'accès aléatoire, tu le paie cher, beaucoup plus cher qu'un accès séquentiel. Avoir donc un disque fragmenté induit une différence de performance.
Avec un SSD, l'accès et l'écriture aléatoire ne coûtent guère plus cher l'accès séquentiel, en même lorqu'on fait du séquentiel, le firmware du disque se permet de tout couper dans tous les sens.
Je ne pense pas qu'on puisse s'attendre à une amélioration des performances en défragmentant un SSD.
[^] # Re: Lieu où est commis l'infraction
Posté par jben . En réponse au journal Les serveurs situés à l'étranger et la loi. Évalué à 3. Dernière modification le 02 août 2014 à 21:30.
En fait il n'y a pas de risque double. Si l'infraction est réputée commise sur le territoire national, ce qui semble être le cas, alors que tu sois français ou non ne change rien.
Si l'infraction est réputée commise à l'étranger (je ne parle pas des crimes), il faut que le procureur en France recoive une dénonciation de la part d'une autorité étrangère (c'est pas juste une histoire de connaissance, il faut la procédure officielle), et cette dénonciation, pour être valable, impose que les autorités étrangère doivent aussi considérer tes actions comme un délit selon leur Droit, or il semble que tu parlais de choisir un pays qui ne considère pas cela comme un délit, donc qui ne pourrait en aucun cas valablement te dénoncer.
Donc le risque n'est pas double, mais pour moi, tu es dans le premier cas, on a suffisament d'exemples des juridictions française qui se considère comme valablement saisi en considérant que l'infraction est consitué à tout point auquel l'information est accessible. Il y a nombre d'exemples sur ce sujet, dernier en date, celui évoqué par Eolas, où il a la gentillesse de faire une explication détaillé de ce point, au paragraphe « Pourquoi à Bordeaux ? » (recopier intégralement ce paragraphe ne serait pas de la courte citation).
# Lieu où est commis l'infraction
Posté par jben . En réponse au journal Les serveurs situés à l'étranger et la loi. Évalué à 3.
Disons que ce qui prime, c'est le lieu où est commis l'infraction. De manière générale si l'infraction n'est pas commise sur le territoire national, alors les juridictions françaises sont incompétantes, sauf cas particuliers.
Les cas particuliers sont :
Crimes commis par un français ou dont la victime est française, à l'étranger. Délit commis par un français ou dont la victime est française, à l'étranger sur dénonciation des autorités du pays ou plainte de la victime.
Infraction de nature sexuelle dont l'auteur réside habituellement en France (français ou non).
Crime contre l'humanité et terrorisme.
Donc tu pourrais te croire à l'abri, puisqu'il s'agirait potentiellement d'un délit, et que si il n'est pas puni par la Loi du pays en question, il ne pourra pas être valablement dénoncé par les autorité du pays.
Là où ça devient problématique pour toi, c'est que sur le nain-ternet, l'infraction est réputé commise en tout point où l'information est accessible. C'est ce qui permet de porter plainte devant des tribunaux compréhensifs, comme dans l'affaire Milka.
Donc a priori, tu es responsable même si le serveur se situe à l'étranger. Après une piste interessante à creuser, c'est de savoir si tu es obligé de t'identifier en temps que directeur de publication. Et là je n'en sais rien mais j'ai l'intuition que ça doit dépendre du pays dans lequel tu place les serveurs, et le siège social de ton prestataire. Dans ce cas tu serais responsable devant la Loi française, mais la Loi n'aurait aucun moyen légal de t'identifier.
[^] # Re: Sondage— Quandje vois une session ouverte...
Posté par jben . En réponse au sondage Quand je vois une session ouverte.... Évalué à 6.
Moi, oui. En fait au fil des années, je rajoute des choses. Entre mes alias (j'en ai des tonnes, principalement pour compenser les fautes de frappes, comme
sl=ls,cd..=cd ..…, mes extentions dePATH(avec un test d'existance de répertoire avant de le rajouter)… En fait j'ai un.bashrcqui teste plein de choses, car c'est toujours le même entre tous mes comptes utilisateurs.Autrement l'astuce, quand quelqu'un n'a pas un
.bashrcde 3km, c'est de le transformer en.bashrcde 3km en rajoutant plein de truc inutile mais vraissemblable car déjà existant ailleurs, comme dans le/etc/bash.bashrc. Ensuite on a l'impression que c'est normal que son.bashrcsoit super long.Mais il n'y a pas que le
.bashrc, il y a le.profile, le.bash_profile, le.bash_logout(j'ai une affection pour ce dernier).J'avais même une fois écrit du code dans le
.bash_logout, avec un random, donc pas à chaque fois (et même rarement en fait), il écrive le truc à la con (desaliasen l'occurence) dans le.bashrc. Dans ce cas, l'utilisateur trouve rapidement les lignes dans le.bashrcet les enlève. Mais elles reviennent de temps en temps, un plaisir à voir (à faire de préference à un co-bureau, on peut suivre sa réaction sur le long terme).[^] # Re: Sondage— Quandje vois une session ouverte...
Posté par jben . En réponse au sondage Quand je vois une session ouverte.... Évalué à 3.
Quand tu as un comportement à la con que tu arrives à identifier, genre on te mets des
alias, tu reconnais l'utilisation debeep(c'est pas dur), que vas-tu faire ?Tu ouvres tes fichiers de config et tu cherches des
aliasoubeep, tu lance ungrep…Si tu mets dans le
.bashrcles commandesbeeporiginales, c'est pas très discret, tu vas tout de suite reconnaître que c'est ces commandes qui ont cet effet. Quand tu vois le bloc que j'ai mis, si tu cherches autre chose, tu passes.Après si tu fais attention, quand tu vois un gros bloc imcompréhensible dans ton
.bashrc, tu te poses des questions, genre il pourrait y avoir unrm -rf ~/dedans. L'idée c'est juste que quand tu cherches autre chose tu passes à coté. Et pour l'avoir déjà expérimenté, ça marche.[^] # Re: Prometheus
Posté par jben . En réponse au journal Centos / Redhat 7 : coup de gueule sur systemd. Évalué à 5.
Justement, je pense faire partie de ce que tu définis comme les 88 à 90% qui ne font pas de bruit du moment que ça marche. Justement, qu'ai-je vu dans la migration à systemd ? Ça marche, ça marche juste mieux.
La gestion des dépendances ? Un plaisir. Un démarrage parallèle avec un ordonnancement qui respecte les dépendances. C'est un des points qui m'avait le plus dérangé quand j'avais abandonné Gentoo et OpenRC.
Indubitablement, la gestion des processus via des cgroups, c'est agréable. On ne perd plus de processus. Par exemple des trucs comme openBUGS qui quand ils plantent se mettent à forker quand ils reçoivent un SIGKILL.
Alors oui, nombre d'utilisateurs ne font pas de bruit du moment que ça marche. Mais un retour en arrière peut les faire râler, moi le premier. Si je me tais et que j'accepte les évolutions quand elles m'apportent quelque chose, je ne me tais pas si on régresse, et qu'on me fait disparaître des fonctionnalités.
[^] # Re: Sondage— Quandje vois une session ouverte...
Posté par jben . En réponse au sondage Quand je vois une session ouverte.... Évalué à 3. Dernière modification le 28 juillet 2014 à 02:59.
Oh oui !
Version adaptée pour camouflage dans un
.bashrc(ou.zshrc, je ne suis pas sectaire). Je viens juste de la faire.Je le mets dès que j'en ai l'occasion.
[^] # Re: modification du .bashrc
Posté par jben . En réponse au sondage Quand je vois une session ouverte.... Évalué à 6. Dernière modification le 28 juillet 2014 à 02:46.
C'est ce que le fais. Moi je met ça dans le bashrc, de préférence en plein millieu:
L'avantage c'est qu'on ne voit pas ce que ça fait, et quand on cherche pourquoi on a un message à la con à chaque prompt, on ne comprend pas.
C'est la version obfusquée de
C'est vraiment de mauvais goût pour les couleurs, mais j'aime bien.
# Retour d'expérience
Posté par jben . En réponse au journal Ecodair : entreprise qui reconditionne du matériel informatique. Évalué à 10.
Mon MSI wind U100 m'ayant laché l'année dernière, ce n'est pas faute de l'avoir maintenu en vie (en fait c'était un mix de deux MSI wind, la carte maman de l'un, la carte réseau de l'autre, un ventilo neuf, je les ai usé les un après les autres), j'ai du me résoudre à changé de machine mobile, et j'ai opté pour un Thinkpad X200 reconditionné par ecodair. Je cherchais une machine avec plusieurs caracteristiques pas forcement très demandés (robuste même si moche, consomme pas trop, pas une bête de course, écran mat).
J'ai d'abort pris contact avec eux, car le voulais un clavier qwerty-US. Je peux taper en querty sur un azerty ce n'est pas le problème, le problème c'est je veux une touche entrée droite pour avoir la zone LaTeX en une ligne (
[]{}\), chacun ses petites lubies. Ils m'ont dit par téléphone que ce n'était pas possible, j'ai été un peu étonné, j'eu pensé qu'ils m'auraient proposé un prix exhorbitant, mais pas un non.J'ai été sur place récuperer la bête. Alors en fait, oui c'est plein de travailleur handicapés, à ce que j'ai vu psychologiquement handicapés. Je me suis perdu dans l'entrepôt, je suis sorti de l'espace client. Ça m'a laissé une impression étrange, je n'ai pas trouvé le lieu agréable.
Après sur la machine, en plus de la batterie et du clavier à changer, ce qui était prévu, j'ai eu le ventilo à changer au bout de quelques mois, c'est une pièce mécanique, ça s'use. Toutefois il avait dès le début une vibration à la vitesse max. Il m'est d'avis que le test qu'il font pour le recondionnement est extrèmement limité. Après un ventilo à changer sur un thinkpad, c'est pas la mort, le ventilo ça vaut trois fois rien, et il faut sortir le manuel de réparation, et y passer deux heures en démontant 547 vis différentes, mais tout est dans le manuel, il faut juste éteindre son cerveau, et ne pas y aller au feeling comme à l'habitude).
Bref, je suis très satisfait du matériel (en même temps, je savais ce que je cherchais), mais je reste dubitatif sur la qualité du reconditionnement, et le service fourni. De plus la promesse, on fait travailler des gens qui ne peuvent pas travailler ailleurs, c'est cool, ils sont heureux, je n'y crois pas trop, mais comme de toute façon ce genre de promesse ne m'influence pas pour mon achat, ça ne me dérange pas qu'ils la fassent. Au final ça serait à refaire, je le referai. Par contre pour conseiller à quelqu'un d'y aller, je ne le conseillerai pas à ma mère par exemple.
[^] # Re: psychi
Posté par jben . En réponse au journal Portables, tablettes, smartphones déchargés interdits dans les avions. Évalué à 3. Dernière modification le 11 juillet 2014 à 08:32.
Peut-être, j'embarquais aussi sur Delta. Mais j'ai aussi subit les contrôles à l'embarquement pour des vols intérieurs aux US avec Delta, et ça allait sans problèmes.
Il y a encore une nouvelle hypothèse, celle d'une interaction entre Delta et Amsterdam, et là c'est la catastrophe, contrôles à foison. Je connais aussi des personnes qui ont subit la même chose, à Amsterdam avec Delta, donc cette hypothèse n'est peut-être pas si farfelue.
[^] # Re: psychi
Posté par jben . En réponse au journal Portables, tablettes, smartphones déchargés interdits dans les avions. Évalué à 2.
Tiens c'est marrant, j'ai eu tout le même cirque aussi à Amsterdam (pour un vol à destination de Détroit). Et j'ai aussi été interrogé longuement, baguages, confections, objet, intervenants extérieurs, lieu de stockage, surveillance, but du voyage… Et de manière beaucoup insistante qu'à Roissy. Il y avait même une dame dans la file qui ne parlait pas anglais, qu'ils ont mis de coté en attente (je sais pas si elle a pu passer, j'ai pas de mémoire des visages, mais j'étais à la fin de la file elle a été mise de coté dès le début). Et ensuite j'ai eu droit au scanner corporel.
Sachant que je venais de batailler avec la compagnie aérienne, car à Bordeaux ils avaient rentré mon visa comme un ESTA, et qu'apparement la compagnie n'avait pas le droit de m'embarquer car je n'avais pas d'ESTA « non mais j'ai jamais prétendu avoir un ESTA, je reste trop longtemps pour ça », j'ai été un peu blasé par cet aéroport.
Donc si ça se trouve c'est juste l'aéroport d'Amsterdam où ils sont casse-bonbons.
[^] # Re: psychi
Posté par jben . En réponse au journal Portables, tablettes, smartphones déchargés interdits dans les avions. Évalué à 3.
Oui mais ce n'est pas spécifique à l'avion. Pour les trains, il y a aussi du boulot à faire sur place (ne serait-ce que la programmation du train pour la numérotation des voitures, et des fois ça foire). J'ai le souvenir d'autres contrôles, comme sur les trains à essieux qui sont assemblés en gare, il faut vérifier que la somme des masses de chaque voiture correspond à la capacité de freinage pneumatique (dans le cas où la propagation non pneumatique déconne).
Il y a d'autres choses à faire aussi sur les train non TGV, comme mettre une motrice à l'avant une fois que les voitures ont été amenés en gare, et détacher la motrice à l'arrière.
Bref, ce sont des temps d'attente qu'on a dans tous les cas, mais ce ne sont pas des temps d'attente que subissent les passagers, dans le cas de l'avion comme du train, ils n'ont pas besoin d'être là durant cette phase. Si les passager sont présents dans l'aéroport, c'est pour d'autres raisons, contrôle à l'embarquement, etc.
Là ces temps d'attente sont imposés aux passagers, mais on a aussi les mêmes dans le ferroviaire (attente d'ouverture de voie en fonction du traffic, incident technique). Mais au doigt mouillé (je n'ai jamais vu l'envers du décors du coté aérien, donc c'est juste une impression), il y a moins de variabilité dans le ferroviaire.
[^] # Re: Comparatif de systèmes administratifs
Posté par jben . En réponse au journal Les Pays-Bas inventent le DDOS sur les services administratifs. Évalué à 1.
Donc tu me proposes d'attendre encore quelque mois de plus pour toucher ce qu'on me devait depuis des mois.
Tu as du te méprendre, je ne dis pas que le prélèvement à la source n'est pas une bonne idée. Je dis juste que le mode de calcul à l'arrache proposé ici en extrapolant à l'année chaque mois, n'est pas une bonne idée. Je pense même que c'est une bonne idée, mais le calcul et les modalités doivent être construits attentivement.
En plus il y a le problème de l'année où tu le mets en place, où une partie de la population va avoir l'impression de payer double (année N-1 et année N), je n'aimerai pas être à la place du gouvernement au pouvoir.
[^] # Re: Déverrouiller
Posté par jben . En réponse au journal Portables, tablettes, smartphones déchargés interdits dans les avions. Évalué à 6. Dernière modification le 10 juillet 2014 à 04:34.
Je propose plusieurs idée (l'hypothèse sous-jacente c'est que la réglementation est logique, c'est une hypothèse audacieuse, je l'avoue).
La soute n'est pas pressurisée. Bon, après une rapide recherche, cette idée est à jeter.
Si il y a une dépressurisation de la soute, c'est moi grave qu'une dépressurisation de la cabine. Pareil, ça ne résiste pas à l'épreuve des faits. En effet il semble qu'une dépressurisation de la soute sans dépressurisation de la cabine puisse provoquer une rupture du plancher avec arrachage de tous les cables, un accident en témoigne. En conséquence il y a maintenant une communication d'air entre la soute et la cabine pour que la dépressurisation de l'un entraîne la dépressurisation de l'autre.
Tu ne choisi pas l'emplacement de ton baguage, et il y a donc peu de risque pour que tu arrive à mettre l'explosif à un endroit puissant provoquer une catastrophe. Ça me parait un peu osé de baser la sécurité aérienne dessus.
Les contrôles de sécurité effectués sur les baguages en soute permettent de mieux distinguer une batterie d'un explosif. Je doute de cette explication.
Le risque d'explosion n'est pas ce qui est le plus important, c'est le risque de menace. Et ce risque est annulé par le placement en soute. Ça me parrait la plus plausible, mais je m'interroge quand même.
[^] # Re: Comparatif de systèmes administratifs
Posté par jben . En réponse au journal Les Pays-Bas inventent le DDOS sur les services administratifs. Évalué à 4.
Non mais je suis d'accord, il faut secouer l'É.N. Perso, ça ne m'a pas porté préjudice, ce n'était pas mon activité principale, mais c'est complétement inadmissible, je suis d'accord.
Ce que je veux juste dire, c'est qu'il faut prévoir un système qui soit robuste au conneries des autres, car il y en aura toujours. Et pour ceux qui subissent ces conneries, ça serait sympatique de le système de l'impôt n'en rajoute pas une couche. Il faut traiter le problème, mais il faut aussi prévoir d'être robuste au problèmes.
C'est pareil qu'en sécurité informatique, il faut du code sans failles de sécu, mais il faut aussi que l'architecture réduise, voir annule, l'impact d'une faille de sécu si elle existait. Les deux sont nécessaires.
[^] # Re: Comparatif de systèmes administratifs
Posté par jben . En réponse au journal Les Pays-Bas inventent le DDOS sur les services administratifs. Évalué à -1.
Non, non, et non. Sans être dans les cas d'activité non salarié, tu as nombre de cas où tu reçois une paie qui n'est pas constante. L'éducation nationale (je ne travaille plus pour elle en vacataire aujourd'hui) a eu par le passé le bon goût de me payer avec 8 mois de retard. Déjà que j'étais moyennement satisfait à cause du fait que ces revenus étaient sur une seule année fiscale (alors que cela correspondait à des vacations effectuées de septembre à avril) alors qu'ils auraient dû être ventilés sur deux années fiscales, toutes les heures que j'ai effectués étaient comptabilisés officiellement en avril (alors qu'elles correspondaient à des heures données dans les mois passés). Bref ce mois là, en calculant un taux avec une extrapolation à l'année sur mes différents salaires, j'ai droit à un taux marginal à 41%.
Alors oui, dans ce cas c'est l'ÉN qui a fait n'importe quoi (comme d'habitude en fait), mais pour autant ce n'est pas au salarié de payer l’incompétence de l'ÉN plus que ce qu'il subit déjà.
Après il y a moyen de faire un truc plus juste je pense. Par exemple chaque mois calculer un taux moyen d'imposition sur les 12 revenus des derniers mois flottants, et utiliser ce taux là pour prélever à la source sur le salaire. Puis faire un équilibrage annuel. (Bon je triche un peu, car cette méthode, c'est quasiment celle que j'utilise pour mettre de l'argent de coté pour mes impôts, j'ai des revenus hétérogène et c'est assez précis, une dizaine d'euros d'écart à l'année).
[^] # Re: Comparatif de systèmes administratifs
Posté par jben . En réponse au journal Les Pays-Bas inventent le DDOS sur les services administratifs. Évalué à 0. Dernière modification le 10 juillet 2014 à 01:20.
Ne me fais pas rire. L'impot sur le revenu est quand même fichtrement bien fichu. Après des que tu regardes d'autres impôts (au hasard CSG/CRDS dont depuis les trois dernières années l'organisme qui me lance les appels est différent), la taxe d'habitation, les taxes foncières, là ça devient vraiment le bordel. J'aime la simplicité de l'impôt sur le revenu.
Dans mon cas, revenus de nature différente avec une partie soumise au prélèvement à la source, mais pas l'autre, et une fluctuation d'une année sur l'autre, ce qui fluctue c'est pas la partie prélevable à la source. Ça veut dire qu'avec un tel système, la partie fluctuante est toujours prélevé en retard, mais il y a un prélèvement à la source sur le revenu constant. Bref, ça apporte rien (dans mon cas) sauf une couche de complexité supplémentaire à cause du cumul de deux mode de prélèvement.
Pour autant je ne suis pas contre le prélèvement à la source, je dis juste que ce n'est pas la solution miracle, les pigeons parisien ne se transformeront pas en petits oiseaux faisant cui-cui dans un ciel rose.
Je te trouve bien méprisant envers la majorité. Parmi les gens que je fréquente, la majorité, et de loin, met de coté de l'argent pour payer l'impôt. Alors c'est vrai que je pousse à l'extrême, en ayant dans mon gestionnaire de compte, des comptes de passif qui sont mis à jour à chaque arrivée d'argent pour retranscrire ce que je dois au impôts, mais la majorité des gens que je connais savent quel montant ils doivent mettre de coté pour payer l'impôt, même si c'est du calcul à la louche. Alors probablement que je ne fréquente pas un échantillon représentatif de la population assujettie à l'impôt, mais j'ai la conviction que ça réglerai le problème d'une minorité (ce n'est pas parceque c'est une minorité qu'il faut pour autant se désinteresser du problème).
Je pense personnellement que le principal problème, c'est que les gens grinceraient des dents pour l'année transitoire N où ils paieraient l'impôt de l'année N-1 et de l'année N en même temps. C'est plus ça qui risque provoquer un sentiment de révolte.
Dans le cas où l'on divise la population en deux (c'est un modèle grossier), ceux qui mettent de l'argent de coté pour payer l'impôt, de manière précise ou à la louche, (catégorie A), et ceux qui paie l'impôt de l'année N-1 avec les revenus de l'année N (catégorie B). Alors le prélèvement à la source ne change rien pour ceux de la catégorie A, et apporte un bénéfice pour ceux de la catégorie B. Pour la transition, ça n'embêtera pas ceux de la catégorie A, et ça risque mettre en difficulté financière ceux de la catégorie B, justement ceux qui auront un bénéfice après.
Alors non, c'est pas forcement une résistance au changement qui selon moi peut faire blocage au passage au prélèvement à la source, mais plutôt la manière de négocier le virage.
[^] # Re: Comparatif de systèmes administratifs
Posté par jben . En réponse au journal Les Pays-Bas inventent le DDOS sur les services administratifs. Évalué à 2.
Au final tu préfère qu'on ne te donne pas l'argent pour qu'on ne te le reprenne pas une année plus tard.
Personnellement je préfère qu'on me donne l'argent, et qu'on me le demande après, surtout dans le cas où l'on me prélève trop à la source. Oui j'ai de l'argent sur mes comptes qui est « promis au Trésor », mais c'est pas grave, en attendant, il est présent sur un livret d'épargne, et fourni intérêts et droits à l'emprunt.
Après tu abordes les cas courants, soit les gens ont un revenus régulier et peuvent être prélevés à la source, soit ils ont des revenus « liberaux » et paient l'année d'après. Dans mon cas, j'ai un revenu régulier (salaire, fonction publique), des revenus occasionnels (vacations dans la fonction publique), et des bénéfices agricoles (qui n'ont absolument rien de régulier). Les bénéfices agricoles subissent un lissage sur plusieurs années avant de rentrer dans le cadre de l'impôt sur le revenu (conformément à la loi en vigueur). Tu propose quoi ? Un prélèvement à la source sur mon salaire, un compte annuel du reste ? Un prélèvement à la source sur mon salaire et mes vacations et un compte annuel sur les bénéfices agricoles ? Personnellement, je trouve que c'est suffisamment compliqué, et je suis bien content d'avoir un seul décompte et un seul calcul de l'impôt.
Après je ne suis pas contre le prélèvement à la source, mais c'est un sujet je pense suffisamment complexe qui est outrageusement simplifié soit la solution idéale soit le mal incarné par quelques participants de ce thread alors que la vérité est beaucoup plus nuancée.
[^] # Re: Comparatif de systèmes administratifs
Posté par jben . En réponse au journal Les Pays-Bas inventent le DDOS sur les services administratifs. Évalué à 2.
Oui mais il ne s'agit que de tiers.
Tu paie l'année N-1 (à peu près en septembre) sur les revenus de l'année N-2. L'année N tu paie via deux appels deux tiers provisionnel sur tes revenus de l'année N-1, le montant es tiers étant calculés par rapport au revenu de l'année N-2. Jusqu'à là, c'est conforme à ce que tu as dis.
Par contre au moment où tu paie ces tiers, l'année N-1 est terminée, donc tu peux toi-même estimer ton impôt sur le revenu de l'année N-1 (que tu terminera d'acquiter en septembre de l'année N). Dans le cas d'un changement de revenu, tu est parfaitement en droit d'ajuster le montant de tes tiers (avec la subtilité que si tu te plante de plus de 10% en leur défaveur, tu es pénalisé).
Donc se plaindre que les tiers sont calculés avec un décalage temporel, sachant qu'on a toutes les données pour calculer le montant du tiers sans décalage, et qu'on peut ajuster le montant des tiers sans justifications (il faut juste ne pas se planter de plus de 10% en la défaveur du Trésor) est, à mon avis, non approprié.