Grosse boite, je sais pas. Y a 700 personnes d’après leur page, donc pas une PME. Ensuite, le souci, c'est plus d'avoir eu des investisseurs et un nouveau PDG y a 1 an et demi.
Vu le timing des annonces et les délais typiques d'une grande boite pour faire signer une président de division/BU/etc, je pense que ça a été fait en avance, donc que MS a participé:
Surtout que croire que la config n'est que dans /etc, c'est une erreur, une partie de la configuration est aussi dans le binaire d'un programme, donc dans /usr, vu qu'il y a une valeur et un comportement par défaut pour une grande majorité des logiciels.
Donc en effet, avoir une configuration par défaut explicite et lisible à un endroit séparé de la configuration qu'on peut modifier résout quelque souci, notamment pour les mises à jour (si une valeur change, si une valeur est ajouté, etc). C'est une des choses que systemd a aidé à populariser, et je trouve ça bien de pouvoir ajouter des choses sans que tout explose si un chemin change, etc.
(et des discussions que j'ai eu avec les gens en charge de ça).
Ensuite, tu as quand même la présomption que la grande majorité des gens va voir ce qui concerne leur boulot, donc assez rapidement un souci de faux positifs. Et il faut aussi voir que ça n'intéresse sans doute pas grand monde d'avoir ce genre d’accès, pas au point de payer grand chose.
Ça dépends des finalités. Si il n'y a plus besoin, oui, c'est une violation de l'article 5(1)(e) du RGPD. Ensuite, c'est parfois un peu flou de définir quand est ce qu'il n'y a plus besoin, et je pense que ça dépend aussi de ce que tu as besoin.
Je ne connais pas d'affaire sur le sujet devant la CJUE ou un DPA quelconque (ça veut pas dire que ça n'existe pas, je suis pas juriste, je me contente juste de farmer du karma sur linuxfr). Le seul cas qui me vient à l'esprit, c'est Drelon c. France ( ECLI:CE:ECHR:2022:0908JUD000315316 ) qui est passé devant l'ECHR.
Comme ç'est (entre autre) une violation de l'article 8 de la convention, c'est juridiquement assez proche. L'EFS (Etablissement Francais du Sang) a été condamné pour avoir gardé des infos persos en précisant une expiration au bout de 300 ans.
La, c'est manifestement aberrant, donc ça n'indique pas vraiment comment une cour pourrait décider ce que "trop longtemps" voudrait dire en pratique.
Savoir si 20 ans, c'est trop, ça dépend du "pourquoi". Et dans la mesure ou le "pourquoi" n'a pas du être trop défini il y a des années dans un temps avant le RGPD, ça peut être compliqué.
Je suppose que vu que c'est un établissement administratif, c'est sans doute la loi française qui dit combien de temps l'info doit être gardé. Si la loi dit 20 ans, alors du point de vue du RGPD, France Travail a suivi la loi. Ensuite, ça veut pas dire que la loi en question n'est pas incorrect, mais ça devient un souci légèrement différent qui n'est plus du ressort de FT, mais de l'état.
Faire un contrat qui détaille tout est relativement long (source, on doit le faire de temps en temps dans mon équipe), c'est pour ça que le RGPD a des tas de mécanismes qui évitent à tout le monde de refaire le taf (les articles 40 à 43, 44 à 46). On ne sait pas si le département informatique de la commission avait fait le contrat avant l’arrêt Schrems II ( C-311/18, ECLI:EU:C:2020:559 pour l'ECLI ), mais si c'est le cas, je pense que je vais définitivement pas leur dire "vous auriez du foutre tout l'UE en l'air du jour au lendemain". Je ne peux pas commenter sur la commission, mais quand j'ai bossé à coté du parlement, c'était déjà relativement du full Microsoft y a plus de 20 ans.
Donc passer de "les juristes n'ont pas pris le temps de re-pinailler pendant 5 ans" ne me parait pas quelque chose qui permet d'arriver à "les dirigeants sont corrompus", sauf dans l'esprit d'un complotiste qui va ignorer à dessein la complexité en faveur d'explications simplistes et fausses.
J'ai vu passer des commentaires sur le fediverse, et je pense que c'est important de lire le détail (et de ne pas écouter les gens qui se pensent expert mais qui visiblement ne peuvent pas poster un toot sans faire d'erreur grossière ).
Primo, l'EDPS, c'est l'équivalent de la CNIL pour la commission européenne (et d'autres institutions), à ne pas confondre avec l'EDPB, qui elle supervise et rassemble les DPA comme la CNIL. Il n'y a pas de hiérarchie à plusieurs niveaux, il y a juste les DPAs, indépendant par construction (article 52) et l'EDPS est aussi indépendante comme la CNIL. En pratique, ça veut dire que le budget est donné de façon inconditionnel pour éviter tout mesure de rétribution, qu'il y a des conditions détaillés dans le RGPD (tout le chapitre 6 du RGPD, etc).
Secondo, le texte qui s'applique n'est pas le RGPD, une directive de 2016 (d’où son identifiant "2016/679"), mais un texte similaire adapté pour les institutions de l'UE, l'EUDPR, une directive de 2018 (d’où l'identifiant 2018/1725). Il y a des différences, certains subtiles, certaines moins, certaines importantes, certaines moins mais si quelqu'un parle du RGPD, c'est quelqu'un qui n'a pas tout compris au sujet, parce que c'est pas les mêmes obligations ni le même texte.
Tertio, les violations semblent être sur le contrat entre Microsoft et la Commission plus que sur Office 365. Si on lit le communiqué de presse, on voit que le souci, c'est que la Commission (ou plutôt ses juristes et son département informatique) aurait du demander plus de détails avant de signer.
Autant dire que ça ne veut pas dire qu'Office 365 est interdit en Europe, ni dire grand chose. Je suppose que vu la mention de l'arrêt Schrems II, il y a sans doute aussi des questions de timing vis à vis de la décision d’adéquation mise en place en juillet 2023 (vu que la décision se base sur l'état en mai 2021). Les décisions d'adéquation ne sont qu'un premier mécanisme autorisant les transferts (article 45), les autres étant des clauses spécifiques dans les contrats (article 46 et 47) et ce genre de subtilité. C'est ce qui semble manquer ici en l'absence de l'adéquation entre 2021 et 2023.
Donc ce que va faire l'UE, c'est sans doute demander à Microsoft de ne pas transférer les données dans des DC hors UE (pas un gros souci), et refaire un contrat avec la pression de faire ça en 8 mois ou risquer de bloquer toute la commission (et de faire un audit sans doute bien lourd de toutes les données, si c'est pas déjà fait). Autant dire que Microsoft va sans aucun doute en profiter pour revoir les prix (et pas à la baisse), donc bon, sans doute pour leurs bénéfices.
Je suis assez surpris, car visiblement, la phrase n'est pas sur la page de wikipedia. Tu ne démontres pas non plus le lien entre les deux.
Si pour toi, avoir du support est une question de FUD, est ce que tu penses pareil d'avoir une ceinture de sécurité, ou peut être que tu fait parti de ces rares professionnels qui n'a jamais eu le moindre souci, ou qui a toujours pu résoudre ça sans deadline et sans l'aide de personne ?
Je rappelle à toute fin utile que par exemple, garantir la sécurité des données est une obligation du RGPD. Qu'il y a sans doute la même chose dans les normes PCI-DSS ou ISO, qu'il y a des directives diverses et variés sur la sécurité informatique aussi bien aux USA qu'en Europe.
Je rappelle que le classement de popularité de Distrowatch ne mesure qu'une chose, l'audience du site web de Distrowatch, c'est écrit sur le site. Il y a des biais assez évident à garder en tête, comme le nombre de news lié au cycle de release, le classement dans les moteurs de recherches (comme tu le dit, si le site officiel arrive avant), etc, etc.
En général, personne n'est viré pour avoir acheté quoique ce soit. Des gens sont parfois viré pour ne pas avoir mis les moyens face à des contraintes réglementaires, mais il n'existe aucun produit qui va être assez mauvais pour être déployé à grande échelle et causer des soucis au point de virer quelqu'un d'une direction.
Déjà parce que dans une grande boite, la responsabilité est quand même assez dilué, et ensuite parce que dans une grande boite, les processus sont assez long pour qu'un probléme lié spécifiquement à un produit ne s'étende pas, sauf exception.
Et je parle d'une grande boite car en général, les PME n'ont pas vraiment de "directeur de la DSI".
C'est vraiment un truisme déconnecté de la réalité, et le fait qu'on le retrouve repris sans réflexion depuis des années, sans que le moindre fait l'atteste devrait inciter à faire preuve d'esprit critique.
Mais en même temps, il faut aussi voir que les employeurs cherchent à dépenser moins d'argent, et que en effet, Centos est sans doute suffisant pour pas mal de choses.
Maintenant, quand ton budget se compte en dizaines de millions, ne pas prendre l'assurance d'avoir quelqu'un a appelé en cas de souci, ou grugé à ce niveau, c'est en effet un souci. Je veux pas mettre tout les DSIs dans le même panier et parfois, ils ont des choix difficiles à faire, mais bon, c'est aussi leur taf que de dire "faut du pognon".
s/une communauté externe/un équivalent de 2 ou 3 personnes temps plein/
Scientific Linux, c'était 2 personnes (temps plein), Centos, c'était 4/5 personne non temps plein sur la partie distro avant 2014. On est quand assez loin d'une communauté tel qu'on l'imagine, surtout quand la marge de manœuvre est proche de 0 vu qu'il faut juste rebuilder et ne rien changer. C'est du travail, je ne dit pas le contraire, mais c'est pas le plus excitant (vu que tu peux pas corriger les bugs avant RHEL, par exemple).
La communauté Centos était avant 2014 surtout une communauté de gens qui utilisent plus que de gens qui font la distro.
RedHat de profiter du capital de notoriété de la distribution CentOS, acquise au fil des années, et en se reposant clairement sur la confusion que leur décision engendrerait inévitablement
Je me permet quand même de nuancer un peu le propos. RH a embauché les 4 plus gros contributeurs de Centos en 2014, a payé pour les serveurs (une partie, voir une grosse partie dans un DC dont je suis responsable ), les locaux pour divers événements avec au moins une personne a temps plein sur la gestion de communauté. Donc je pense que "se reposer" est une vision relativement déconnecté des faits sur ce qui s'est passé depuis 10 ans. De plus, nié que le succés de Centos est du aussi au travail des ingés RH me parait un raccourci rapide.
Surtout quand on garde en tête le fait que le projet Centos n'allait pas vraiment bien à l'époque de Centos 6 (voir les durées pour recompiler les versions), alors qu'avoir des gens à temps plein a permis de corriger ça. Vu que le but n'était que de recompiler l'existant, ça a pas mal limité l'implication des gens sur le long terme, vu que tu peux rien changer.
À un moment donné RH s’est rendu compte qu’un certains nombre d’entités (déjà client ou client potentiel) montaient leur truc sur du CentOS, mais qu’une fois le truc validé, il y avait un financier pour suggérer que le risque de ne pas avoir de support était sensiblement inférieur au risque de migrer le truc. Que ça marchait plutôt bien. Et là ! L’idée, mais alors L’IDÉE!! de RH, on va transformer CentOS en une sorte de « preview » de notre next version ! }
Comme je l'ai dit si souvent, ce n'est pas du tout ça. On (RH, je bosse dans l'équipe en charge des questions opensource depuis 10 ans) a vu des gens qui sont venus pour demander des changements sur Centos (par exemple, facebook/meta pour ne nommer que le plus gros dont je puisse parler publiquement, cf leur talk) et la réponse a toujours été "faut aller voir les équipes de RHEL, on est qu'un rebuild sans modif". Puis ensuite, les gens vont voir les équipes de RHEL qui ont comme réponse "non, c'est pas le process, les features sont décidés via le product management avant qu'on sorte la distro, faut voir avec le support". Et le support qui dit "oui, c'est quoi votre numéro client".
Autant dire que c'est pas idéal quand tu proposes un patch ou une modif.
Vu que je suis interne, je peux directement pinguer les ingés, et j'ai bien vu comment rajouter 2 lignes dans usb ID (support des yubikeys 4) a pris plus de 6 mois (avec escalade interne auprès de l'équipe sécu), alors que faire pareil sur Fedora, ça m'a pris 2 semaines pour être dispo sur mon pc. L'orga mise en place avant rendait toute contribution et toute collaboration quasiment impossible, ce qui était un souci.
Donc la solution trouvé, c'est finalement de transformer le pipeline Fedora => (flou interne) => beta RHEL => RHEL => Centos en pipeline "Fedora => Centos Stream => RHEL => Centos", puis de ne garder que Centos Stream, car maintenir 4 versions, c’était beaucoup trop.
C’est ça, il ya maintenant de nombreuses années qui a poussé certaines personnes à créer « CentOS », une distribution dite « binairement compatible » avec RHEL
Binairement compatible ne veut rien dire, d'autant plus sur Linux qui n'a pas d'ABI. C'est pas Solaris ou Windows.
Il faut aussi voir que Apple fait bien plus que de la musique en ligne.
Je ne me prononce pas sur la taille de l'amende, mais il faut aussi garder à l'esprit que le but n'est pas de couler la boite, ni d'inventer des torts exagérés la ou il n'y en a pas.
Ici, c'est surtout je pense Spotify et co qui a pâti plus que le tout-venant, car je ne doute pas que le grand public soit capable de s'informer en dépit des restrictions sur les applications d'Apple sur les prix.
Je pense qu'il y a sans doute le fait que les libs en question sont quand même un peu obscur.
Mon premier code python était en python 2.2 ou 2.3 (et pendant longtemps, j'ai pensé que 2.4 était un peu bleeding edge), j'ai fait du python depuis le début de ma carrière, je parle régulièrement à pycon, et pourtant, la semaine derrière, j'ai du utiliser datetime en python, et j'ai encore eu du mal à m'y retrouver pour faire ce que je voulais (à savoir avoir un chaîne avec la date/heure dans 1h et 2h pour une API REST distante, avec la gestion des timezones).
je dit pas que c'est impossible ni compliqué, vu que j'ai fini par écrire les 2 lignes requises, mais bon, je peux voir comment des gens avec finalement moins d'expérience peuvent se planter et avoir du mal.
Et ça, c'est avec python qui a une lib correct. Tu parles des langages à la mode, mais si tu regardes la liste donnée plus haut, les 2 premiers sont des problèmes sur des terminaux de paiement, donc probablement de l'embarqué, probablement du C ou du C++, donc sans doute du code fait main.
Dans la catégorie medium, il y a deux fois des smartwatchs (donc encore du C), et coreboot (encore du C).
J'ai rien contre le C ou l'embarqué, mais ça rentre pas dans "langages à la mode avec une bibli toute faite".
Le code rajoute 1 an sur l'année et le correctif est de rajouter 365 jours à la place. J'aurais sans doute pu faire la même connerie en python, car c'est plus simple de décomposer l'année que d'utiliser deltatime(year=1).
Quand tu regardes les autres, j'ai le sentiment que c'est le genre de bug qui vont découler du fait que les biblis fancys dont tu parles n'ont pas les fonctions toutes faites, ou peuvent avoir des bugs.
Par exemple, ça va tomber sur les calculs de récurrences. Si tu fait un cronjob qui se lance automatiquement au bout d'un 1 an à la même date (par exemple, à l'installation d'un système), il faut pas que tu le fasse un 29 février, car une implémentation naïve (à savoir la date du jour dans la ligne cron) va se lancer 1 fois tout les 4 ans.
Je pense qu'il y a plein de soucis subtiles qui ne sont pas évident quand tu fais des choses qui ne semblent pas être de la gestion de temps classique.
Alors, je viens de tenter avec root@ et hostmaster@ de mon employeur, et j'ai 7 et 1 hit. Je suis relativement sur que personne n'a utilisé ces 2 emails. Donc même si HIBP a une réputation solide, c'est quand même aussi solide que les données mises dedans par des gens qui ont intérêt à gonfler la taille de leur dataset en coupant ça avec de la farine.
Je comprends le chiffrement comme étant la pour éviter le vol de données pendant qu'on transmet (eg, https, etc), et quand on vole du matériel directement.
le but n'est pas de dire "l'entreprise ne doit pas pouvoir accéder aux données sous aucun cas", ça n'aurait aucun sens dans énormement de cas. Par exemple, une banque a des obligations divers (lutte contre la fraude, etc), une plateforme de vente en ligne doit avoir ton adresse pour envoyer les choses, etc.
Voter une loi permettant d'attaquer une entreprise en justice en cas de fuite de données à cause d'une faille de sécurité, ça pourrait avoir un certain impact.
Maintenant, il faut bien voir que la majorité des failles ne sont pas exploité, cf les chiffres d'un collégue. Les chiffres tournent autour de 0.37% de failles exploitées l'année de leur découverte.
Le même collègue détaille aussi le coût du déploiement des patchs dans un autre article. Il indique aussi que la majorité des problèmes sont des configs incorrects, pas des failles.
Sauf que je ne parles pas de la sobrité, mais de chier sur les gens.
Il n'y a rien de radical dans l'insulte et dans le fait de chier sur les autres. En fait, non seulement il n'y a rien de radical mais si tu mises ton idée sur le fait d'être une minorité éclairé et que le reste, c'est des connards, ta communauté va s'entre-déchirer quand le reste du monde va te rejoindre (vu que ton but, c'est qu'on te rejoigne, pas d'être une minorité toute ta vie).
C'est aussi finalement une forme de gatekeeping, et c'est toxique sur le long terme. Tu donnes l'exemple du féminisme, mais certaines fractures sont dus aussi à ce genre de raison (le séparatisme lesbien et l'exclusion des personnes trans qui en découle est l'exemple qui me vient en tête, mais aussi les divisions vis à vis du voile, du travail du sexe pour des exemples plus contemporain et plus franco-centré).
J'irais même jusqu'à dire que ce genre de posture va au contraire attirer des profils problématiques qui vont poser souci dans tout un tas de luttes. Tu prépare une culture du mépris.
Pour donner un exemple, j'ai vu Jacob Appelbaum en keynote à Debconf en 2016. Il avait dans mon souvenir un discours qu'on pourrait qualifier de relativement radical sur la sécurité. C'était sa marque de fabrique, rappeler partout que sans doute l'état lui en veux personnelement. Mais c'est aussi ça qui a fait qu'on a caché pendant longtemps ses abus.
Et ce coté extrémiste a aussi un certain relent de virilisme (que j'illustrerais par cette critique d'un livre de Damascio) et/ou judéo-chrétienne basé sur la rédemption par la punition.
Bref, si on veut prôner la sobriété numérique, on a aussi besoin d'élitistes qui montrent une voie totalement extrême, non viable pour la majorité des gens, ou des problématiques.
Tu ne montres pas en quoi ça marche. Et encore une fois, tu peux montrer un truc non pratique sans écrire un manifeste qui va dire du mal des gens qui ont d'autres contraintes que toi.
Je suis sur qu'on peut défendre une vision sans chier sur les autres. Tu peux dire "on veut la sobriété en faisant des choix radicaux", tout en expliquant que comme tout en ingénierie, c'est un tradeoff. Ça serait une position beaucoup moins élitiste et qui justement traduit la complexité du monde.
Mais quand je parle d'élitisme, c'est pas de faire des logiciels qui sont pas adaptés aux autres le souci. Je fait ça également (tellement, et en plus, je mets ça sur une forge qui est accessible qu'en IP v6 sans ouverture de compte, pour être sur que personne ne me parle).
Mais je n'ai pas écrit un manifeste qui va trasher les gens qui écrivent plus de code ("Plus le nombre de lignes de code dans votre logiciel se réduit, plus vous êtes compétent") que moi en disant que la seule solution est de tout balancer ("La seule solution consiste à abandonner l'ensemble du projet et à le réécrire à partir de zéro.").
Parce que je sais que le code existe pour une raison. C'est facile de faire un truc propre quand on a qu'un utilisateur.
Mais est ce qu'avoir 1 personne qui est aussi de facto le codeur vraiment le meilleur chemin vers la libération du monde des chaînes des logiciels proprios ?
Ça me rappelle une conf du CCC, ou le présentateur pointait qu'on devrait pas avoir besoin de configurer le bluetooth depuis GDM et que ça rajoute de la complexité. Dans mon souvenir, il se fait un peu défoncer ensuite par Lennart.
C'est comme râler sur l'unicode, c'est bien plus complexe que l'ascii, oui. Maintenant, à moins de passer tout à l'anglais, l'ascii n'est pas une solution.
[^] # Re: l'avis des juristes de Fedora
Posté par Misc (site web personnel) . En réponse au lien Redis Adopts Dual Source-Available Licensing. Évalué à 4 (+1/-0).
Grosse boite, je sais pas. Y a 700 personnes d’après leur page, donc pas une PME. Ensuite, le souci, c'est plus d'avoir eu des investisseurs et un nouveau PDG y a 1 an et demi.
# Et Microsoft était visiblement au courant
Posté par Misc (site web personnel) . En réponse au lien Redis Adopts Dual Source-Available Licensing. Évalué à 5 (+2/-0).
Vu le timing des annonces et les délais typiques d'une grande boite pour faire signer une président de division/BU/etc, je pense que ça a été fait en avance, donc que MS a participé:
https://azure.microsoft.com/en-us/blog/redis-license-update-what-you-need-to-know/
# l'avis des juristes de Fedora
Posté par Misc (site web personnel) . En réponse au lien Redis Adopts Dual Source-Available Licensing. Évalué à 5 (+2/-0).
https://gitlab.com/fedora/legal/fedora-license-data/-/issues/497
# Doublon ?
Posté par Misc (site web personnel) . En réponse au lien Redis abandonne sa license opensource. Évalué à 3 (+0/-0).
https://linuxfr.org/users/misc/liens/redis-adopts-dual-source-available-licensing
[^] # Re: différents répertoires
Posté par Misc (site web personnel) . En réponse au journal [ HS ] ... enfin, pas tant que ça.. Évalué à 8 (+5/-0).
Surtout que croire que la config n'est que dans /etc, c'est une erreur, une partie de la configuration est aussi dans le binaire d'un programme, donc dans /usr, vu qu'il y a une valeur et un comportement par défaut pour une grande majorité des logiciels.
Donc en effet, avoir une configuration par défaut explicite et lisible à un endroit séparé de la configuration qu'on peut modifier résout quelque souci, notamment pour les mises à jour (si une valeur change, si une valeur est ajouté, etc). C'est une des choses que systemd a aidé à populariser, et je trouve ça bien de pouvoir ajouter des choses sans que tout explose si un chemin change, etc.
[^] # Re: Scrapping ?
Posté par Misc (site web personnel) . En réponse au lien 43 millions de comptes France-Travail potentiellement compromis. Évalué à 3 (+0/-0).
Ce que fait la police, qui enregistre tout ce qui est fait, cf https://www.lemonde.fr/societe/article/2024/03/13/au-tribunal-de-paris-la-tricoche-de-deux-policiers-qui-monnayaient-des-fichiers-confidentiels_6221733_3224.html
(et des discussions que j'ai eu avec les gens en charge de ça).
Ensuite, tu as quand même la présomption que la grande majorité des gens va voir ce qui concerne leur boulot, donc assez rapidement un souci de faux positifs. Et il faut aussi voir que ça n'intéresse sans doute pas grand monde d'avoir ce genre d’accès, pas au point de payer grand chose.
[^] # Re: La question que je me pose...
Posté par Misc (site web personnel) . En réponse au lien 43 millions de comptes France-Travail potentiellement compromis. Évalué à 4 (+1/-0).
Ça dépends des finalités. Si il n'y a plus besoin, oui, c'est une violation de l'article 5(1)(e) du RGPD. Ensuite, c'est parfois un peu flou de définir quand est ce qu'il n'y a plus besoin, et je pense que ça dépend aussi de ce que tu as besoin.
Je ne connais pas d'affaire sur le sujet devant la CJUE ou un DPA quelconque (ça veut pas dire que ça n'existe pas, je suis pas juriste, je me contente juste de farmer du karma sur linuxfr). Le seul cas qui me vient à l'esprit, c'est Drelon c. France ( ECLI:CE:ECHR:2022:0908JUD000315316 ) qui est passé devant l'ECHR.
Comme ç'est (entre autre) une violation de l'article 8 de la convention, c'est juridiquement assez proche. L'EFS (Etablissement Francais du Sang) a été condamné pour avoir gardé des infos persos en précisant une expiration au bout de 300 ans.
La, c'est manifestement aberrant, donc ça n'indique pas vraiment comment une cour pourrait décider ce que "trop longtemps" voudrait dire en pratique.
Savoir si 20 ans, c'est trop, ça dépend du "pourquoi". Et dans la mesure ou le "pourquoi" n'a pas du être trop défini il y a des années dans un temps avant le RGPD, ça peut être compliqué.
Je suppose que vu que c'est un établissement administratif, c'est sans doute la loi française qui dit combien de temps l'info doit être gardé. Si la loi dit 20 ans, alors du point de vue du RGPD, France Travail a suivi la loi. Ensuite, ça veut pas dire que la loi en question n'est pas incorrect, mais ça devient un souci légèrement différent qui n'est plus du ressort de FT, mais de l'état.
[^] # Re: Vu que j'ai vu passer des trucs sur le fediverse
Posté par Misc (site web personnel) . En réponse au lien European Commission’s use of Microsoft365 infringes data protection law for EU institutions & bodies. Évalué à 9 (+6/-0).
C'est pas le résumé que je ferait, non.
Faire un contrat qui détaille tout est relativement long (source, on doit le faire de temps en temps dans mon équipe), c'est pour ça que le RGPD a des tas de mécanismes qui évitent à tout le monde de refaire le taf (les articles 40 à 43, 44 à 46). On ne sait pas si le département informatique de la commission avait fait le contrat avant l’arrêt Schrems II ( C-311/18, ECLI:EU:C:2020:559 pour l'ECLI ), mais si c'est le cas, je pense que je vais définitivement pas leur dire "vous auriez du foutre tout l'UE en l'air du jour au lendemain". Je ne peux pas commenter sur la commission, mais quand j'ai bossé à coté du parlement, c'était déjà relativement du full Microsoft y a plus de 20 ans.
Donc passer de "les juristes n'ont pas pris le temps de re-pinailler pendant 5 ans" ne me parait pas quelque chose qui permet d'arriver à "les dirigeants sont corrompus", sauf dans l'esprit d'un complotiste qui va ignorer à dessein la complexité en faveur d'explications simplistes et fausses.
# Vu que j'ai vu passer des trucs sur le fediverse
Posté par Misc (site web personnel) . En réponse au lien European Commission’s use of Microsoft365 infringes data protection law for EU institutions & bodies. Évalué à 10 (+14/-0).
J'ai vu passer des commentaires sur le fediverse, et je pense que c'est important de lire le détail (et de ne pas écouter les gens qui se pensent expert mais qui visiblement ne peuvent pas poster un toot sans faire d'erreur grossière ).
Primo, l'EDPS, c'est l'équivalent de la CNIL pour la commission européenne (et d'autres institutions), à ne pas confondre avec l'EDPB, qui elle supervise et rassemble les DPA comme la CNIL. Il n'y a pas de hiérarchie à plusieurs niveaux, il y a juste les DPAs, indépendant par construction (article 52) et l'EDPS est aussi indépendante comme la CNIL. En pratique, ça veut dire que le budget est donné de façon inconditionnel pour éviter tout mesure de rétribution, qu'il y a des conditions détaillés dans le RGPD (tout le chapitre 6 du RGPD, etc).
Secondo, le texte qui s'applique n'est pas le RGPD, une directive de 2016 (d’où son identifiant "2016/679"), mais un texte similaire adapté pour les institutions de l'UE, l'EUDPR, une directive de 2018 (d’où l'identifiant 2018/1725). Il y a des différences, certains subtiles, certaines moins, certaines importantes, certaines moins mais si quelqu'un parle du RGPD, c'est quelqu'un qui n'a pas tout compris au sujet, parce que c'est pas les mêmes obligations ni le même texte.
Tertio, les violations semblent être sur le contrat entre Microsoft et la Commission plus que sur Office 365. Si on lit le communiqué de presse, on voit que le souci, c'est que la Commission (ou plutôt ses juristes et son département informatique) aurait du demander plus de détails avant de signer.
Autant dire que ça ne veut pas dire qu'Office 365 est interdit en Europe, ni dire grand chose. Je suppose que vu la mention de l'arrêt Schrems II, il y a sans doute aussi des questions de timing vis à vis de la décision d’adéquation mise en place en juillet 2023 (vu que la décision se base sur l'état en mai 2021). Les décisions d'adéquation ne sont qu'un premier mécanisme autorisant les transferts (article 45), les autres étant des clauses spécifiques dans les contrats (article 46 et 47) et ce genre de subtilité. C'est ce qui semble manquer ici en l'absence de l'adéquation entre 2021 et 2023.
Donc ce que va faire l'UE, c'est sans doute demander à Microsoft de ne pas transférer les données dans des DC hors UE (pas un gros souci), et refaire un contrat avec la pression de faire ça en 8 mois ou risquer de bloquer toute la commission (et de faire un audit sans doute bien lourd de toutes les données, si c'est pas déjà fait). Autant dire que Microsoft va sans aucun doute en profiter pour revoir les prix (et pas à la baisse), donc bon, sans doute pour leurs bénéfices.
[^] # Re: Impressions subjectives
Posté par Misc (site web personnel) . En réponse au journal Les distro pionnières, en recul?. Évalué à 3 (+0/-0).
Je suis assez surpris, car visiblement, la phrase n'est pas sur la page de wikipedia. Tu ne démontres pas non plus le lien entre les deux.
Si pour toi, avoir du support est une question de FUD, est ce que tu penses pareil d'avoir une ceinture de sécurité, ou peut être que tu fait parti de ces rares professionnels qui n'a jamais eu le moindre souci, ou qui a toujours pu résoudre ça sans deadline et sans l'aide de personne ?
Je rappelle à toute fin utile que par exemple, garantir la sécurité des données est une obligation du RGPD. Qu'il y a sans doute la même chose dans les normes PCI-DSS ou ISO, qu'il y a des directives diverses et variés sur la sécurité informatique aussi bien aux USA qu'en Europe.
[^] # Re: Fiabilité de distrowatch
Posté par Misc (site web personnel) . En réponse au journal Les distro pionnières, en recul?. Évalué à 4 (+1/-0).
Je rappelle que le classement de popularité de Distrowatch ne mesure qu'une chose, l'audience du site web de Distrowatch, c'est écrit sur le site. Il y a des biais assez évident à garder en tête, comme le nombre de news lié au cycle de release, le classement dans les moteurs de recherches (comme tu le dit, si le site officiel arrive avant), etc, etc.
[^] # Re: Impressions subjectives
Posté par Misc (site web personnel) . En réponse au journal Les distro pionnières, en recul?. Évalué à 3 (+1/-1).
En général, personne n'est viré pour avoir acheté quoique ce soit. Des gens sont parfois viré pour ne pas avoir mis les moyens face à des contraintes réglementaires, mais il n'existe aucun produit qui va être assez mauvais pour être déployé à grande échelle et causer des soucis au point de virer quelqu'un d'une direction.
Déjà parce que dans une grande boite, la responsabilité est quand même assez dilué, et ensuite parce que dans une grande boite, les processus sont assez long pour qu'un probléme lié spécifiquement à un produit ne s'étende pas, sauf exception.
Et je parle d'une grande boite car en général, les PME n'ont pas vraiment de "directeur de la DSI".
C'est vraiment un truisme déconnecté de la réalité, et le fait qu'on le retrouve repris sans réflexion depuis des années, sans que le moindre fait l'atteste devrait inciter à faire preuve d'esprit critique.
[^] # Re: Tout dépend du point de vue ...
Posté par Misc (site web personnel) . En réponse au journal Les distro pionnières, en recul?. Évalué à 3 (+0/-0).
Mais en même temps, il faut aussi voir que les employeurs cherchent à dépenser moins d'argent, et que en effet, Centos est sans doute suffisant pour pas mal de choses.
Maintenant, quand ton budget se compte en dizaines de millions, ne pas prendre l'assurance d'avoir quelqu'un a appelé en cas de souci, ou grugé à ce niveau, c'est en effet un souci. Je veux pas mettre tout les DSIs dans le même panier et parfois, ils ont des choix difficiles à faire, mais bon, c'est aussi leur taf que de dire "faut du pognon".
[^] # Re: Tout dépend du point de vue ...
Posté par Misc (site web personnel) . En réponse au journal Les distro pionnières, en recul?. Évalué à 3 (+0/-0).
s/une communauté externe/un équivalent de 2 ou 3 personnes temps plein/
Scientific Linux, c'était 2 personnes (temps plein), Centos, c'était 4/5 personne non temps plein sur la partie distro avant 2014. On est quand assez loin d'une communauté tel qu'on l'imagine, surtout quand la marge de manœuvre est proche de 0 vu qu'il faut juste rebuilder et ne rien changer. C'est du travail, je ne dit pas le contraire, mais c'est pas le plus excitant (vu que tu peux pas corriger les bugs avant RHEL, par exemple).
La communauté Centos était avant 2014 surtout une communauté de gens qui utilisent plus que de gens qui font la distro.
[^] # Re: Tout dépend du point de vue ...
Posté par Misc (site web personnel) . En réponse au journal Les distro pionnières, en recul?. Évalué à 10 (+7/-0).
Je me permet quand même de nuancer un peu le propos. RH a embauché les 4 plus gros contributeurs de Centos en 2014, a payé pour les serveurs (une partie, voir une grosse partie dans un DC dont je suis responsable ), les locaux pour divers événements avec au moins une personne a temps plein sur la gestion de communauté. Donc je pense que "se reposer" est une vision relativement déconnecté des faits sur ce qui s'est passé depuis 10 ans. De plus, nié que le succés de Centos est du aussi au travail des ingés RH me parait un raccourci rapide.
Surtout quand on garde en tête le fait que le projet Centos n'allait pas vraiment bien à l'époque de Centos 6 (voir les durées pour recompiler les versions), alors qu'avoir des gens à temps plein a permis de corriger ça. Vu que le but n'était que de recompiler l'existant, ça a pas mal limité l'implication des gens sur le long terme, vu que tu peux rien changer.
Comme je l'ai dit si souvent, ce n'est pas du tout ça. On (RH, je bosse dans l'équipe en charge des questions opensource depuis 10 ans) a vu des gens qui sont venus pour demander des changements sur Centos (par exemple, facebook/meta pour ne nommer que le plus gros dont je puisse parler publiquement, cf leur talk) et la réponse a toujours été "faut aller voir les équipes de RHEL, on est qu'un rebuild sans modif". Puis ensuite, les gens vont voir les équipes de RHEL qui ont comme réponse "non, c'est pas le process, les features sont décidés via le product management avant qu'on sorte la distro, faut voir avec le support". Et le support qui dit "oui, c'est quoi votre numéro client".
Autant dire que c'est pas idéal quand tu proposes un patch ou une modif.
Vu que je suis interne, je peux directement pinguer les ingés, et j'ai bien vu comment rajouter 2 lignes dans usb ID (support des yubikeys 4) a pris plus de 6 mois (avec escalade interne auprès de l'équipe sécu), alors que faire pareil sur Fedora, ça m'a pris 2 semaines pour être dispo sur mon pc. L'orga mise en place avant rendait toute contribution et toute collaboration quasiment impossible, ce qui était un souci.
Donc la solution trouvé, c'est finalement de transformer le pipeline Fedora => (flou interne) => beta RHEL => RHEL => Centos en pipeline "Fedora => Centos Stream => RHEL => Centos", puis de ne garder que Centos Stream, car maintenir 4 versions, c’était beaucoup trop.
Binairement compatible ne veut rien dire, d'autant plus sur Linux qui n'a pas d'ABI. C'est pas Solaris ou Windows.
[^] # Re: perspective
Posté par Misc (site web personnel) . En réponse au lien Amende record pour Apple, qui commence une semaine de tous les dangers - letemps.ch. Évalué à 6 (+3/-0).
Il faut aussi voir que Apple fait bien plus que de la musique en ligne.
Je ne me prononce pas sur la taille de l'amende, mais il faut aussi garder à l'esprit que le but n'est pas de couler la boite, ni d'inventer des torts exagérés la ou il n'y en a pas.
Ici, c'est surtout je pense Spotify et co qui a pâti plus que le tout-venant, car je ne doute pas que le grand public soit capable de s'informer en dépit des restrictions sur les applications d'Apple sur les prix.
[^] # Re: Comment est-ce possible ?
Posté par Misc (site web personnel) . En réponse au lien Un 29 février ? C'est quoi ça ? C'est nouveau ?. Évalué à 10 (+12/-0).
Je pense qu'il y a sans doute le fait que les libs en question sont quand même un peu obscur.
Mon premier code python était en python 2.2 ou 2.3 (et pendant longtemps, j'ai pensé que 2.4 était un peu bleeding edge), j'ai fait du python depuis le début de ma carrière, je parle régulièrement à pycon, et pourtant, la semaine derrière, j'ai du utiliser datetime en python, et j'ai encore eu du mal à m'y retrouver pour faire ce que je voulais (à savoir avoir un chaîne avec la date/heure dans 1h et 2h pour une API REST distante, avec la gestion des timezones).
je dit pas que c'est impossible ni compliqué, vu que j'ai fini par écrire les 2 lignes requises, mais bon, je peux voir comment des gens avec finalement moins d'expérience peuvent se planter et avoir du mal.
Et ça, c'est avec python qui a une lib correct. Tu parles des langages à la mode, mais si tu regardes la liste donnée plus haut, les 2 premiers sont des problèmes sur des terminaux de paiement, donc probablement de l'embarqué, probablement du C ou du C++, donc sans doute du code fait main.
Dans la catégorie medium, il y a deux fois des smartwatchs (donc encore du C), et coreboot (encore du C).
J'ai rien contre le C ou l'embarqué, mais ça rentre pas dans "langages à la mode avec une bibli toute faite".
Dans la liste aussi, l'exemple le plus intéressant est celui la: https://github.com/phoenixframework/phoenix/issues/5737
Le code rajoute 1 an sur l'année et le correctif est de rajouter 365 jours à la place. J'aurais sans doute pu faire la même connerie en python, car c'est plus simple de décomposer l'année que d'utiliser deltatime(year=1).
Quand tu regardes les autres, j'ai le sentiment que c'est le genre de bug qui vont découler du fait que les biblis fancys dont tu parles n'ont pas les fonctions toutes faites, ou peuvent avoir des bugs.
Par exemple, ça va tomber sur les calculs de récurrences. Si tu fait un cronjob qui se lance automatiquement au bout d'un 1 an à la même date (par exemple, à l'installation d'un système), il faut pas que tu le fasse un 29 février, car une implémentation naïve (à savoir la date du jour dans la ligne cron) va se lancer 1 fois tout les 4 ans.
Je pense qu'il y a plein de soucis subtiles qui ne sont pas évident quand tu fais des choses qui ne semblent pas être de la gestion de temps classique.
[^] # Re: Utile
Posté par Misc (site web personnel) . En réponse au lien LDLC : les données piratées de 1,5 million de clients seraient en vente sur le Dark Web. Évalué à 5 (+2/-0).
Alors, je viens de tenter avec root@ et hostmaster@ de mon employeur, et j'ai 7 et 1 hit. Je suis relativement sur que personne n'a utilisé ces 2 emails. Donc même si HIBP a une réputation solide, c'est quand même aussi solide que les données mises dedans par des gens qui ont intérêt à gonfler la taille de leur dataset en coupant ça avec de la farine.
[^] # Re: Un vœu pieux, mais une prise de conscience du politique
Posté par Misc (site web personnel) . En réponse au lien Leaders in Industry Support White House Call to Address Root Cause of Many of the Worst Cyber Attack. Évalué à 3 (+0/-0).
Je comprends le chiffrement comme étant la pour éviter le vol de données pendant qu'on transmet (eg, https, etc), et quand on vole du matériel directement.
le but n'est pas de dire "l'entreprise ne doit pas pouvoir accéder aux données sous aucun cas", ça n'aurait aucun sens dans énormement de cas. Par exemple, une banque a des obligations divers (lutte contre la fraude, etc), une plateforme de vente en ligne doit avoir ton adresse pour envoyer les choses, etc.
[^] # Re: Un vœu pieux, mais une prise de conscience du politique
Posté par Misc (site web personnel) . En réponse au lien Leaders in Industry Support White House Call to Address Root Cause of Many of the Worst Cyber Attack. Évalué à 4 (+1/-0).
L'article 32 du RGPD s'en rapproche.
Maintenant, il faut bien voir que la majorité des failles ne sont pas exploité, cf les chiffres d'un collégue. Les chiffres tournent autour de 0.37% de failles exploitées l'année de leur découverte.
Le même collègue détaille aussi le coût du déploiement des patchs dans un autre article. Il indique aussi que la majorité des problèmes sont des configs incorrects, pas des failles.
[^] # Re: Exemple
Posté par Misc (site web personnel) . En réponse au lien farbfeld : le format d'image le plus simple du monde. Évalué à 5 (+3/-1).
Sauf que je ne parles pas de la sobrité, mais de chier sur les gens.
Il n'y a rien de radical dans l'insulte et dans le fait de chier sur les autres. En fait, non seulement il n'y a rien de radical mais si tu mises ton idée sur le fait d'être une minorité éclairé et que le reste, c'est des connards, ta communauté va s'entre-déchirer quand le reste du monde va te rejoindre (vu que ton but, c'est qu'on te rejoigne, pas d'être une minorité toute ta vie).
C'est aussi finalement une forme de gatekeeping, et c'est toxique sur le long terme. Tu donnes l'exemple du féminisme, mais certaines fractures sont dus aussi à ce genre de raison (le séparatisme lesbien et l'exclusion des personnes trans qui en découle est l'exemple qui me vient en tête, mais aussi les divisions vis à vis du voile, du travail du sexe pour des exemples plus contemporain et plus franco-centré).
J'irais même jusqu'à dire que ce genre de posture va au contraire attirer des profils problématiques qui vont poser souci dans tout un tas de luttes. Tu prépare une culture du mépris.
Pour donner un exemple, j'ai vu Jacob Appelbaum en keynote à Debconf en 2016. Il avait dans mon souvenir un discours qu'on pourrait qualifier de relativement radical sur la sécurité. C'était sa marque de fabrique, rappeler partout que sans doute l'état lui en veux personnelement. Mais c'est aussi ça qui a fait qu'on a caché pendant longtemps ses abus.
Et ce coté extrémiste a aussi un certain relent de virilisme (que j'illustrerais par cette critique d'un livre de Damascio) et/ou judéo-chrétienne basé sur la rédemption par la punition.
Tu ne montres pas en quoi ça marche. Et encore une fois, tu peux montrer un truc non pratique sans écrire un manifeste qui va dire du mal des gens qui ont d'autres contraintes que toi.
[^] # Re: Cas d'usage
Posté par Misc (site web personnel) . En réponse au lien "La meilleure base de données multi-modèles". Évalué à 5 (+2/-0).
Il y a pas que le risque de faire payer à terme, il y a aussi le risque de diluer ce que libre veut dire via la confusion que ça entraîne.
[^] # Re: Exemple
Posté par Misc (site web personnel) . En réponse au lien farbfeld : le format d'image le plus simple du monde. Évalué à 6 (+3/-0).
Je suis sur qu'on peut défendre une vision sans chier sur les autres. Tu peux dire "on veut la sobriété en faisant des choix radicaux", tout en expliquant que comme tout en ingénierie, c'est un tradeoff. Ça serait une position beaucoup moins élitiste et qui justement traduit la complexité du monde.
[^] # Re: Exemple
Posté par Misc (site web personnel) . En réponse au lien farbfeld : le format d'image le plus simple du monde. Évalué à 5 (+3/-1).
Mais quand je parle d'élitisme, c'est pas de faire des logiciels qui sont pas adaptés aux autres le souci. Je fait ça également (tellement, et en plus, je mets ça sur une forge qui est accessible qu'en IP v6 sans ouverture de compte, pour être sur que personne ne me parle).
Mais je n'ai pas écrit un manifeste qui va trasher les gens qui écrivent plus de code ("Plus le nombre de lignes de code dans votre logiciel se réduit, plus vous êtes compétent") que moi en disant que la seule solution est de tout balancer ("La seule solution consiste à abandonner l'ensemble du projet et à le réécrire à partir de zéro.").
Parce que je sais que le code existe pour une raison. C'est facile de faire un truc propre quand on a qu'un utilisateur.
Mais est ce qu'avoir 1 personne qui est aussi de facto le codeur vraiment le meilleur chemin vers la libération du monde des chaînes des logiciels proprios ?
[^] # Re: Des idées intéressantes, mais simplistes
Posté par Misc (site web personnel) . En réponse au lien farbfeld : le format d'image le plus simple du monde. Évalué à 5 (+2/-0).
Ça me rappelle une conf du CCC, ou le présentateur pointait qu'on devrait pas avoir besoin de configurer le bluetooth depuis GDM et que ça rajoute de la complexité. Dans mon souvenir, il se fait un peu défoncer ensuite par Lennart.
C'est comme râler sur l'unicode, c'est bien plus complexe que l'ascii, oui. Maintenant, à moins de passer tout à l'anglais, l'ascii n'est pas une solution.