C'est distribué, il faut donc installer son serveur. Il y a des serveurs publics pour Mme Michu ?
Oui et non. Pas besoin d'installer un serveur, ça marche plutôt comme bittorrent via une table de hash distribuée et une blockchain pour gérer les noms des comptes.
Le client par défaut va se connecter à une node opendht (boostrap.jami.net) pour avoir accès à l'ensemble de la table et à une node de la blochain (ns.jami.net) appartenant au projet jami . Mais quelqu'un qui ne voudrait pas s'y connecter directement avec son client et/ou participer à l'effort du réseau peut avoir ses propre nodes opendht et go-ethereum connectés à ce réseau.
Par ailleurs on peut monter sa propre messagerie privée, non interconnectée, via l'offre entreprise ou le serveur open source JAMS community.
Curl et telnet ont à respecter le RGPD. Ou dit autrement, s’ils n’implémentent pas le minimum viable pour être utilisé légalement en Europe, ils n’ont juste aucun sens.
curl ou telnet ne se mettraient pas à jour en terme de sécurité/fix de CVE ou autres, ils ne seraient juste tout simplement plus utilisables en Europe légalement parlant. Et si un utilisateur s’en sert et se fait trouer, ils seraient AUSSI responsables (quoi qu’indique leur licence).
_1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
_
Curl, telnet ou deltachat ne font pas partie d'un système de traitement de données à caractère personel appelées à figurer dans un fichier.
Et j'ai oublié d'ajouter que tu n'as même pas besoin d'accéder au site github avec un navigateur, tu peux télécharger les sources simplement avec git clone.
Le seule endroit qui pourrait éventuellement être problématique avec deltachat selon moi c'est leur forum de support. Mais comme je n'y ai pas de compte, je n'ai pas étudié la question ni lu leurs conditions d'usage et communications sur le sujet des données utilisateurs.
1) Tu sais que ce n'est pas interdit ni compliquer de demander de manière humaine et courtoise aux developpeurs via la mailing list ou le forum si par hasard ils ne pourraient pas t'envoyer un tarball du code source et/ou le mettre à disposition sur leur site.
Seulement si on te met un vent où que l'on te le refuse tu pourras prétendre que les sources ne sont pas dispo ailleurs.
2) tu n'as pas besoin d'accepter les CGU de github pour télécharger le code source. Les CGU d'un site n'engages que ceux qui les lisent et les acceptent en créant un compte.
3) la Schrems II n'est pas violée si tu vas sur github ou toute autre forge/repo.
Disons que rien que pour l'accès aux chiffres, l'Azerty perd un point si tu n'as pas un clavier large avec pavé numérique. Il en perd un deuxième pour n'importe qui faisant du code, utilise le shell ou les raccourcis claviers principaux par le simple fait que la plupart des langages de programmations, OS et même applications ont été écrits par des gens utilisant des variantes du qwerty et ont fait des choix influencés par le mapping clavier utilisé.
Du coup sans être une panacée, à mon sens le qwerty alt-international reste plus comfortable à utiliser que l'azerty pour plein de choses y compris le français.
Ne nous y trompons pas : la je vois que c'est pas difficile de garder une compatibilité donc je dirai qu'ils pourraient faire, ça ne veut pas dire que je partirai dans des délires "bouh je fais comment si je n'ai pas blabla" qui ferait que ça coûterait cher (tout an aimant la solution proposée, bon même si les mairies ont la fâcheuse habitude d'être ouvertes que quand les gens bossent donc peuvent pas venir) souvent associés aux gens qui militent sans faire de différence entre peu coûteux et cher.
Bon dans certains cas (ça ne s'applique pas au CPF), le déplacement à la mairie est nécessaire.
En tant qu'expat pour certaines démarches, heureusement peu fréquentes, je dois passer par l'identité numérique. Mon bureau consulaire le plus proche est à plusieurs heures de train.
Au final c'est malheureux mais si on veut un smartphone principal complètement degafamisé sans luter pour chaque action, il faut au minimum avoir un autre smartphone ou une tablette android googlisée à la maison auquel on peut se connecter par via vnc ou remote desktop à travers d'un vpn. Alors moi je peux le faire, mais c'est pas non plus simple. Et ça reste totalement pas userfriendly et on reste à utiliser des trucs systèmes google liée à l'IP de son domicile maison et à être pisté.
Note qu'au final, on s'est rendu compte qu'il existe une push notification fatigue, et que l'état de l'art reste de te faire rentrer un code de toute manière. Et au final au lieu de te faire rentrer l'OTP à 6 chiffres ça devient un petit pin à 2 ou 3 chiffres généré à la volée sur un écran quelconque (pas celui du smarptphone bien sûr).
En l'occurence electron ce n'est pas un produit gafam. C'est développé par l'openjs fondation et ça utilise effectivement des briques développés par google, mais bon à ce jeu là on peut dire qu'utiliser linux c'est utiliser et promouvoir les Gafam parce qu'on a accepté du code de leurs développeurs.
Github n'est pas non plus un prérequis pour faire du logiciel libre et j'encourage tout développeur libre à utiliser autre chose. Mais je comprends en même temps l'attrait pour certains à cause de l'effet de réseau.
Et je dis ça alors que j'abhorre electron et les applications basées dessus.
Maintenant j'ai l'impression que t'es parti dans une spirale de whataboutism qui n'est ni saine pour ton esprit, ni pour la discussion.
Github et le libre, ce sont deux choses différentes qui n'ont rien à voir. Tous les logiciels libres ne sont pas distribués via github et github ne distribue pas que des logiciels libres.
Le libre devrait m'éviter de faire toutes ces vérifications et contrôles et devrait impliquer un certain gage de qualité.
Ce n'est pas le but d'une licence libre respectant les 4 libertés d'exécuter le code, l'étudier, en distribuer des copies et des versions modifiées non.
Le simple fait que le code source ne soit dispo que sur github est une violation de Schrems II. Le fait qu’on télécharge des .deb chez vous est un traitement de données d
Le fait de télécharger n'implique pas un traitement de données.
Accepter une clé RSA réputée "weak" ne signifie pas que tu l'imposes. Ma connection au site delta.chat utilise TLS 1.3 avec des cyphers élevés par exemple.
Et en l'occurence l'utilisateur de delta.chat ne transmet pas de données privées via cette connection. Il se connecte à des serveur SMTP.
« Le libre » devient un argument en soit, sans réflexion des avantages ou inconvénients apportés, et le fait qu’on est gêné par la loi et que parce qu’on est « libre » ou « fédéré » on devrait ne pas avoir à la respecter.
Je n'ai pas dis ça. Ne fait pas ton Zénitram
« Je fais du libre donc je ne peux pas être du mauvais côté ».
Je n'ai pas dit ça non plus.
Du restes c'est TOI qui fait un amalgame libre = non conformité à la RGPD.
La licence n'a rien à voir là-dedans, si Mastodon avait une licence proprio les problèmes seraient exactement les mêmes.
Tu te trompes et inverse juste le problème. Et tient exactement les mêmes propos que les GAFAM (juste que eux disent « le RGPD n’est tout simplement pas business ready »).
La fédération n’est effectivement pas RGPD ready.
Et ce n’est pas forcément le RGPD qu’il faut revoir. Le DSA a même été spécifiquement conçu pour justement ne pas permettre l’évitement des réglementations via des prétextes de fédération.
Je reviens là dessus.
Le principe de fédération, c'est un tout autre concept qu'un système de traitement de données par un sous-traitant ou vente de données internes à un client. Et je réitère que ça n'a pas été pris en compte dans la RGPD.
Une loi peut bel et bien ne pas être, ou partiellement (on n'est pas obligé de jeter toute l'eau du bain hein), adaptée à une société. Ce n'est pas pour rien que les lois sont longuement débatues et amendées. Je crois que tu ne me contrediras pas pour dire que la loi qui interdisait le port du pantalon aux femmes jusqu'en 2013 était complètement inadaptée à la société. On peut t'en sortir par centaines des lois mal branlées.
[^] # Re: Mais mieux que rien
Posté par Psychofox (Mastodon) . En réponse au lien Signal sans numéro de téléphone. Évalué à 6 (+3/-0). Dernière modification le 21 février 2024 à 16:56.
Oui et non. Pas besoin d'installer un serveur, ça marche plutôt comme bittorrent via une table de hash distribuée et une blockchain pour gérer les noms des comptes.
Le client par défaut va se connecter à une node opendht (boostrap.jami.net) pour avoir accès à l'ensemble de la table et à une node de la blochain (ns.jami.net) appartenant au projet jami . Mais quelqu'un qui ne voudrait pas s'y connecter directement avec son client et/ou participer à l'effort du réseau peut avoir ses propre nodes opendht et go-ethereum connectés à ce réseau.
Par ailleurs on peut monter sa propre messagerie privée, non interconnectée, via l'offre entreprise ou le serveur open source JAMS community.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 9 (+6/-0). Dernière modification le 21 février 2024 à 16:30.
J'espère que ce n'est pas ton boulot sinon tes clients ont bien des problèmes.
Deltachat ne peut pas être sous-traitant puisqu'il ne fait pas partie d'un système de traitement de données personnelles. C'est un client mail.
Firefox n'est pas un sous-traitant de facebook.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 8 (+5/-0).
Tu as perdu toute crédibilité mais bon.
Article 2 de la RGPD:
_1. Le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
_
Curl, telnet ou deltachat ne font pas partie d'un système de traitement de données à caractère personel appelées à figurer dans un fichier.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 6 (+3/-0). Dernière modification le 21 février 2024 à 14:52.
Et j'ai oublié d'ajouter que tu n'as même pas besoin d'accéder au site github avec un navigateur, tu peux télécharger les sources simplement avec git clone.
Le seule endroit qui pourrait éventuellement être problématique avec deltachat selon moi c'est leur forum de support. Mais comme je n'y ai pas de compte, je n'ai pas étudié la question ni lu leurs conditions d'usage et communications sur le sujet des données utilisateurs.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 7 (+4/-0). Dernière modification le 21 février 2024 à 14:40.
1) Tu sais que ce n'est pas interdit ni compliquer de demander de manière humaine et courtoise aux developpeurs via la mailing list ou le forum si par hasard ils ne pourraient pas t'envoyer un tarball du code source et/ou le mettre à disposition sur leur site.
Seulement si on te met un vent où que l'on te le refuse tu pourras prétendre que les sources ne sont pas dispo ailleurs.
2) tu n'as pas besoin d'accepter les CGU de github pour télécharger le code source. Les CGU d'un site n'engages que ceux qui les lisent et les acceptent en créant un compte.
3) la Schrems II n'est pas violée si tu vas sur github ou toute autre forge/repo.
[^] # Re: Caractère spécial
Posté par Psychofox (Mastodon) . En réponse au journal Mon gestionnaire de mots de passe, en 50 lignes de HTML. Évalué à 6 (+3/-0). Dernière modification le 21 février 2024 à 12:44.
Disons que rien que pour l'accès aux chiffres, l'Azerty perd un point si tu n'as pas un clavier large avec pavé numérique. Il en perd un deuxième pour n'importe qui faisant du code, utilise le shell ou les raccourcis claviers principaux par le simple fait que la plupart des langages de programmations, OS et même applications ont été écrits par des gens utilisant des variantes du qwerty et ont fait des choix influencés par le mapping clavier utilisé.
Du coup sans être une panacée, à mon sens le qwerty alt-international reste plus comfortable à utiliser que l'azerty pour plein de choses y compris le français.
[^] # Re: Android 6.0 min
Posté par Psychofox (Mastodon) . En réponse au journal CPF, sans courrier, ni identité numérique, ni smartphone: idées?. Évalué à 5 (+2/-0).
Bon dans certains cas (ça ne s'applique pas au CPF), le déplacement à la mairie est nécessaire.
En tant qu'expat pour certaines démarches, heureusement peu fréquentes, je dois passer par l'identité numérique. Mon bureau consulaire le plus proche est à plusieurs heures de train.
Au final c'est malheureux mais si on veut un smartphone principal complètement degafamisé sans luter pour chaque action, il faut au minimum avoir un autre smartphone ou une tablette android googlisée à la maison auquel on peut se connecter par via vnc ou remote desktop à travers d'un vpn. Alors moi je peux le faire, mais c'est pas non plus simple. Et ça reste totalement pas userfriendly et on reste à utiliser des trucs systèmes google liée à l'IP de son domicile maison et à être pisté.
[^] # Re: Si seulement / OTP
Posté par Psychofox (Mastodon) . En réponse au journal CPF, sans courrier, ni identité numérique, ni smartphone: idées?. Évalué à 5 (+2/-0).
Note qu'au final, on s'est rendu compte qu'il existe une push notification fatigue, et que l'état de l'art reste de te faire rentrer un code de toute manière. Et au final au lieu de te faire rentrer l'OTP à 6 chiffres ça devient un petit pin à 2 ou 3 chiffres généré à la volée sur un écran quelconque (pas celui du smarptphone bien sûr).
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 8 (+5/-0).
En l'occurence electron ce n'est pas un produit gafam. C'est développé par l'openjs fondation et ça utilise effectivement des briques développés par google, mais bon à ce jeu là on peut dire qu'utiliser linux c'est utiliser et promouvoir les Gafam parce qu'on a accepté du code de leurs développeurs.
Github n'est pas non plus un prérequis pour faire du logiciel libre et j'encourage tout développeur libre à utiliser autre chose. Mais je comprends en même temps l'attrait pour certains à cause de l'effet de réseau.
Et je dis ça alors que j'abhorre electron et les applications basées dessus.
Maintenant j'ai l'impression que t'es parti dans une spirale de whataboutism qui n'est ni saine pour ton esprit, ni pour la discussion.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 6 (+3/-0).
Github et le libre, ce sont deux choses différentes qui n'ont rien à voir. Tous les logiciels libres ne sont pas distribués via github et github ne distribue pas que des logiciels libres.
Tu t'emmelles les pinceaux.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 8 (+5/-0).
Ce n'est pas le but d'une licence libre respectant les 4 libertés d'exécuter le code, l'étudier, en distribuer des copies et des versions modifiées non.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 9 (+6/-0).
Tu ne fais que confirmer que tu ne sais pas faire la différence entre un service/plateforme en ligne et un client.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 9 (+6/-0).
Github n'est pas intégré à la page de delta chat. Et le code source ne fait pas partie d'un service delta-chat ni du site delta-chat.
C'est un lien.
Si je te pointes un lien sur linuxfr vers un tweet, linuxfr n'est pas responsable du traitement de données par twitter.
[^] # Re: Mais mieux que rien
Posté par Psychofox (Mastodon) . En réponse au lien Signal sans numéro de téléphone. Évalué à 5 (+2/-0).
Mais jami c'est mieux.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 8 (+5/-0). Dernière modification le 21 février 2024 à 10:01.
Delta-chat ne traite aucune donnée, c'est un client mail, pas une plateforme en ligne.
Curl ou telnet n'ont pas à respecter la RGPD, Delta-chat c'est pareil.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 8 (+5/-0).
Delta-chat n'est pas un responsable de traitement, ce n'est pas un service ni une plateforme en ligne.
C'est juste…un client mail.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 4 (+1/-0).
Le fait de télécharger n'implique pas un traitement de données.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 6 (+3/-0).
Cites-moi dans ce journal qui a écrit ça.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 7 (+4/-0).
Bien sûr que si.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 6 (+3/-0).
Accepter une clé RSA réputée "weak" ne signifie pas que tu l'imposes. Ma connection au site delta.chat utilise TLS 1.3 avec des cyphers élevés par exemple.
Et en l'occurence l'utilisateur de delta.chat ne transmet pas de données privées via cette connection. Il se connecte à des serveur SMTP.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 5 (+2/-0).
Le fait que les sources sont sous github ne signifie pas que tu ne peux pas les obtenir autrement.
Lorsque tu télécharge les sources sur github, aucune donnée utilisateur n'est transmise par delta-chat.
Du coup on n'est pas du tout dans le cas d'un transfert de données entre zone EU et US et tu as une lecture toute particulière de Schrems II.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 5 (+2/-0).
À priori tu ne sais pas ce que fais delta-chat.
Delta Chat n'est pas un service qui stocke les données utilisateurs. C'est une messagerie privé instantanée via l'email.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 5 (+2/-0).
La RGPD ne définie pas un niveau minimum de taille de clés RSA.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 8 (+5/-0). Dernière modification le 21 février 2024 à 08:15.
Je n'ai pas dis ça. Ne fait pas ton Zénitram
Je n'ai pas dit ça non plus.
Du restes c'est TOI qui fait un amalgame libre = non conformité à la RGPD.
La licence n'a rien à voir là-dedans, si Mastodon avait une licence proprio les problèmes seraient exactement les mêmes.
[^] # Re: Des sources intéressantes mais trop de mauvaise foi
Posté par Psychofox (Mastodon) . En réponse au lien [blog] Sécurité informatique VS Liberté informatique (attention, ça pique). Évalué à 6 (+3/-0).
Je reviens là dessus.
Le principe de fédération, c'est un tout autre concept qu'un système de traitement de données par un sous-traitant ou vente de données internes à un client. Et je réitère que ça n'a pas été pris en compte dans la RGPD.
Une loi peut bel et bien ne pas être, ou partiellement (on n'est pas obligé de jeter toute l'eau du bain hein), adaptée à une société. Ce n'est pas pour rien que les lois sont longuement débatues et amendées. Je crois que tu ne me contrediras pas pour dire que la loi qui interdisait le port du pantalon aux femmes jusqu'en 2013 était complètement inadaptée à la société. On peut t'en sortir par centaines des lois mal branlées.