aiolos a écrit 1165 commentaires

Je ne l'avais pas compris comme cela.

Alors, j'ai peu être un problème de compréhension, ou alors tu as un un expression pas tout à fait aussi claire que tu aimerais le croire. Dans les deux cas, y a-t-il besoin de l'expliquer aussi agressivement ?

Vous pouvez moinser, ce commentaire est probablement inutile.

Il faut surtout apprendre à ne pas monter sur les grands mots "liberté", "lanceur d'alerte", au moindre écrit, et apprendre à prendre du recul avant de partager un lien dont l'objectif est de jouer sur les émotions…

Ce sont les mots de la page de la cagnotte leechi, pas de l'auteur du journal.

Merci beaucoup pour le document, vraiment intéressant et bien fait. Je viens de passer la dernière heure à en lire des morceaux.

Je trouve globalement assez insupportable tout le business "marketplace" où les plate-formes se dédouanent régulièrement de toute responsabilité. Et c'est encore pire quand ça vient de grande enseignes, pour lequelles la confiance vient de leurs boutiques physiques présentes depuis des années, et où il devient compliqué de faire des recherches uniquement sur ce qu'ils vendent en propre.

J'ai d'autant plus de mal à comprendre que j'ai l'impression que c'est se tirer une balle dans le pied.

Dans son interview, au mec, il y a un peu de tout. La partie violation RGPD qu'il met en avant pour dire qu'il est objectif est un point assez anecdotique de l'interview.

Pour le reste, ça me donne l'impression d'un mec qui a passé la certification en se disant, "c'est bon je l'ai eue l'année dernière, je vais l'avoir les doigts dans le nez", qui se fait recaler parce qu'il ne s'est pas préparé et qui du coup est vexé comme un poux. Alors, pour se justifier, il fait tous les reproches au jury : incompétence, moins d'expérience que lui, ne pas avoir lu son CV (comme si ça suffisait à justifier d'une compétence).

Je ne dis pas qu'il n'y a aucun dysfonctionnement, et que le monsieur ne mériterait pas d'avoir sa certification, mais les arguments avancés me semblent parfois pas très convaincants ou peu vérifiables, comme de dire que les questions n'étaient pas claires.

Mes deux centimes de bitcoins,

Ça fait beaucoup, ça !

Visiblement, la version papier est différente de celle publiée sur son site, il y a eu un travail d'édition :

le texte a été passablement retravaillé et harmonisé en vue de son édition.

Donc effectivement, ça ne rend pas l'oeuvre originale moins libre, mais le libre n'y gagne pas grand chose non plus…

Le travail d'un chercheur est de communiquer sur son travail auprès de ses pairs, pas auprès du grand public.

En France, et je ne sais pas ce qu'il en est à l'étranger, la vulgarisation fait partie des missions des enseignants-chercheurs (en plus de l'enseignement).

Les articles ou conférences dont tu parles ciblent pour la grande majorité les experts du domaine.

Oui et non, les articles visent aussi des thésards pas encore experts du domaine, des chercheurs de domaines connexes, etc. Je pense qu'il s'agit là d'une forme de vulgarisation, même si ce n'est pas au même niveau.

En France oui, à cause du statut enseignant-chercheur mais c'est loin d'être le cas à l'étranger.

Il y a quand même de nombreux pays où les chercheurs enseignent aussi, certes souvent dans des proportions moindre.

Justement en France le parti pris était de considérer qu'un chercheur ferait un bon enseignant. Pour l'avoir vécu en vrai, c'est loin d'être vrai.

Il y a de bons chercheurs qui enseignent très bien, mais de bons chercheurs qui enseignent comme des pieds tu en as certainement plus. Enseigner c'est un métier différent que celui de chercher. Il faut savoir être pédagogue, adapter son discours à celui de son public, etc. Puis certains font ça par obligation et n'ont aucune motivation à faire cette tâche. Bref, le résultat est souvent assez mauvais.

Je suis bien d'accord, et je pense que la situation est favorisée par le système et l'évaluation des enseignants-chercheurs… Il n'y a aucun intérêt dans notre système à soigner son enseignement ; un bon enseignant ne sera presque jamais récompensé pour ça. Toute l'évaluation se fait uniquement sur la recherche.

Quand, postdoc, j'étais dans le circuit des concours pour être maître de conférence, j'étais assez agacé de tous ces enseignants et ces candidats qui allaient enseigner en trainant des pied, voir affichaient un profond mépris pour l'enseignement. Pour ma part, j'ai toujours beaucoup aimé enseigner, je soignais mes enseignements, je pense ne pas avoir été mauvais, mais malheureusement (ou pas, j'aime beaucoup où j'en suis ^^ ) ça avait sans doute un coup sur mon profil de recherche.

À mon avis c'est faux. Un chercheur est pas essence un vulgarisateur de son domaine. Par définition, il est le plus avancé dans son domaine précis. Et une partie de son travail consiste à expliquer ce qu'il sait à des gens qui ne savent pas, que ce soit par des articles, des conférences, etc. Sans oublier que la grande majorité des chercheurs sont également des enseignants.

Il existe une norme open source de carte à puce USB

Une norme de carte à puce USB, ou de lecteur plutôt, c'est CCID. Mais ça concerne les drivers sur PC. À ma connaissance, il n'y a rien pour accéder à un lecteur de carte/SE interne depuis un navigateur ; il y a eu des tentatives (j'ai en mémoire une tentative de portage de OpenMobileAPI par le W3C), mais ça n'a jamais pris… Et je le regrette fortement.

La solution la plus commune, c'est par le biais de Java (qui est plutôt bien foutu pour ce qui est des cartes à puces — il faut dire que beaucoup sont programmées dans ce langage), soit comme une applet (berk), soit de plus en plus par un serveur local (moi j'utilise du websocket, et on peu utiliser un autre langage, moi je le fais en Go), éventuellement embarqué dans un projet Electron.

Je ne connais pas grand chose en extensions web, je ne sais pas si on pourrait faire la même chose pour faire une extension web (et lancer automatiquement le "serveur" local).

je rappelle que la carte d'identité n'est pas obligatoire en France

Oui, mais pour autant, tu dois être en mesure de justifier ton identité (loi de 1993 si je me souviens bien)… Il existe plusieurs documents pour le faire, rien n'empêche de généraliser l'identité numérique à plusieurs supports (et donc plusieurs clefs/certificats).

Après, tu es effectivement libre de n'avoir aucun papier d'identité (le témoignage peut faire office de justificatif), mais tu t'expose à attendre au commissariat que les flics puissent vérifier ton identité… bref, c'est galère. On peut faire pareil avec le numérique : c'est facile avec les supports qui vont bien, c'est galère autrement.

je rappelle que la carte d'identité n'est pas obligatoire en France

Oui, mais pour autant, tu dois être en mesure de justifier ton identité… Il existe plusieurs documents pour le faire, rien n'empêche de généraliser l'identité numérique à plusieurs supports (et donc plusieurs clefs/certificats).

Tu as besoin de révoquer ces certificats et ça ne monte pas en charge. À chaque fois que tu veut valider un certificat, il faut aller vérifier les liste de révocations (CRL). Plus tu allonge la durée de validité plus tu allonge la taille de la CRL.

Tu ne peux virer les certificats expirés des CRL uniquement pour les clefs qui ne servent qu'en "live", comme les certificats des sites web. Pour des certificats de clefs qui peuvent avoir du sens longtemps après expiration (ancien messages chiffrés, signature), tu as potentiellement besoin de connaître l'état de révocation du certificat longtemps après son expiration. Dans ce cas, des certificats à durée de vie courte amplifie le problème.

En fait, c'est une histoire de compromis : tu fais des choix plus ou moins risqués qui donne des résultats plus ou moins pratiques… tout comme la carte d'identité : les garder valables 10 ans (voir plus en UE)a des inconvénients (les gens changent en 10 ans, plus de risque de fraude, etc), mais ça évite de faire les démarches tous les quatre matins.

Cbhe ceépvfre ha crh : vy f'ntvg qh pnenpgèer nagvfynfu dhv fvtavsvr dhr yn yvtar fhvinagr snvg ra snvg cnegvr qr yn zêzr yvtar. Çn crezrg qr pbhcre yrf yvtarf à 80 pnenpgèer cbhe yn yrpgher uhznvar, znvf cnf cbhe yr pbzcvyb.

Pour le coup, les pays scandinaves ne sont pas forcement à prendre en exemple non plus : comme tu le décris bien, chez eux, ce sont les banquiers qui se sont saisis de la problématique de l'identité régalienne. Et ils ont très bien réussi, ils sont aujourd'hui presque indispensables.

Le raisonnement est simple : tout le monde doit avoir un compte en banque, et puisque les régulations les obliges à faire de grosses vérifications de l'identité de leurs clients, et qu'ensuite ils ont tous les outils pour faire de l'authentification à distance (notamment les cartes de paiement), pourquoi ne pas s'en servir. Le raisonnement tient dans les deux sens : de la part du banquier qui se rend indispensable ; de la part de l'état qui veut être efficace avant tout, et ne pas se lancer dans un bourbier logiciel.

Mais quand ce sont des boites privées qui se mettent à fournir les services d'identités à la place de l'état, j'ai mon alarme Cyberpunk qui se met en route, j'y peu rien, ça me fait flipper :/

L'Estonie, il y a quelques années, s'est emparé du problème de l'identité régalienne dans le monde numérique : ils ont mis en place une carte d'identité basée sur carte à puce. Elle permet d'authentifier ses échanges avec l'administration notamment : https://e-estonia.com/solutions/e-identity/id-card/ . Je ne comprend pas qu'on ne fasse pas pareil chez nous, sur des cartes d'identités qui sont de toute façon munies d'une puce…

La solution, si je ne me trompe pas, est une PKI classique, basée sur des certificats x509. Dans le cadre d'une identité garantie par l'état, ça me semble une plutôt bonne solution. Libre à toi d'authentifier les utilisateurs à l'aide de sa clef certifiée par l'état et ensuite de lui émettre une nouvelle identité numérique, basée sur OpenPGP.

Je ne vois pas bien l'interrêt de donner à cette identité une durée de vie trop courte, sinon ajouter un protocole et ses possible faiblesse pour le renouvellement (ou encombrer les préfectures, mairies, etc.). Surtout si on vise à faire de la signature : ma signature d'achat de maison, j'aime autant qu'on puisse la vérifier longtemps après que ma clef ait expirée, il faudra donc garder toutes les clefs émises, au moins jusqu'à ma succession.

Au démarrage la clé était suffisamment proche pour être détectée par la voiture donc elle a bien voulu démarrer, mais une fois à destination, voiture brickée.

J'avais regardé ce genre de blagues quand j'avais eu la mienne. Normalement, les assurances imposes que le mécanisme fonctionne uniquement quand la clef est à moins de 1,5m de la voiture (de mémoire), dans une zone située en face de la portière, ce qui devrait limiter le risque (en plus, dès qu'elle ne détecte plus la clef, elle bippe de façon vite insuportable !).

Je ne sais pas comment ils font (c'est hyper dur de localiser correctement un dispositif radio¹ ), mais il fauts reconnaître que les tests que j'avais fait étaient plutôt concluants : ma voiture respectait ces prescriptions. En fait, il faut plutôt être juste en face d'une des trois portes qui permettent d'ouvrir : ça ne marche pas quand on est devant la porte arrière et qu'on se penche pour déverouiller :/

1: Tellement que ça fait plusieurs de nombreuses années que je bosse dans l'embarqué sans fil (Zigbee, NFC, BLE, etc.) destiné à la sécurité, et que s'en est devenu une arlésienne : régulièrement quelqu'un se/nous lance dans le projet… et flop.

Je travaille dans une zone à masque obligatoire en extérieur. Les Delivroo et autres portent le masque sur leur vélo. Si eux y arrivent, tu devrais pouvoir le faire, non ?

Ma voiture ne se verrouille pas quand elle ne détecte pas la clef, pas plus qu'elle ne s'arrêter sur l'autoroute quand elle ne la détecte plus…

Et s'il faut, j'ai une clef physique qui s'encastre dans la clef et son double.

Avec ce genre de clé de proximité tu cliques sur le bouton de verrouillage des portes de la clé et quand tu tentes d’ouvrir la porte pour vérifier qu’elle est bien fermée… la voiture se déverrouille et la porte s’ouvre. Rhaaaaa ! Impossible de vérifier que c’est verrouillé puisque la distance pour ne pas activer le déverrouillage de proximité est plus grande que la longueur de mes deux bras. Il m’est arrivé plusieurs fois de demander à un autre passager de vérifier le verrouillage alors que je suis à distance suffisante…

Tant que j'en suis à raconter ma vie et parler de ma bagnole ( Oo ), sur la mienne il faut quand même que j'appuie sur un bouton, ce qui me permet de vérifier que c'est bien fermé :)

Pour continuer à raconter ma vie, un jour j’étais chez un proche et son enfant avait oublié quelque chose dans la voiture. Je me dévoue pour aller chercher la chose, je prend la clé du parent, je vais sur le parking, la clé à la main, je repère le véhicule à l’emplacement attendu, j’ouvre la porte, la lumière s’allume, je fouille autour du siège auto, sous les sièges, dans la boîte à gant… Et là je remarque ce petit diffuseur de parfum dans la voiture qui semble nouveau à mes yeux… Je lève les yeux et à travers la vitre je vois, sur le parking à la place exactement à côté, un véhicule de même marque, même modèle, même couleur, avec un siège auto à la même place… J’étais en train de fouiller la voiture d’un voisin…

Pour le coup, ce genre d'aventures m'étais arrivé sur une clio blanche avec des clefs physiques ; j'étais même allé jusqu'à la sortir de sa place avant de me rendre compte de mon erreur !

Et pour finir sur la question des clefs physiques : https://hackaday.com/2020/08/22/stealing-keys-from-the-sound-of-the-lock/

PS: Par contre, j'ai fais de la cryptographie, et je fais toujours de la sécurité au quotidien, et je suis effaré de voir le niveau de ce qui est fait en automobile. Mais, il faut se rassurer : c'était déja n'importe quoi avant !

Il se trouve que j'ouvre et je ferme ma maison beaucoup moins que ma voiture, il y a plus souvent quelqu'un qui reste dans la maison que dans la voiture…

En plus, j'habite un village plutôt calme, alors souvent je ne ferme ni l'une ni l'autre… Comme je vais au taf en bus, au final, là où j'ai à ouvrir et fermer des portes à clefs, c'est quand j'ai des courses à faire, et souvent j'essaye de grouper, donc je fais plusieurs magasins et je dois ouvrir la voiture les mains pleines.

Enfin, quand je dis que je peste, c'est quand même assez léger, plus le constat de l'oubli et du manque de confort qui me sort un "rooh", bien français ; je m'en passerai si je ne l'avais pas (d'ailleurs, j'ai acheté une voiture qui ne l'a pas).

Par ailleurs, les serrures télécommandées sont un vrai gadget dont l'intérêt est quand même très, très faible. Après tout, ces systèmes permettent d'économiser quoi ? De sortir la clef de son sac ? Non, il faut la sortir pour appuyer dessus. De mettre la clef dans le trou de la serrure et de la tourner. La belle affaire, on s'en passe très bien sur les portes d'entrée des appartements, pourquoi serait-ce différent sur un véhicule ?

J'ai, sur ma voiture (qui a un peu plus d'une dizaine d'année et qui est loin d'être un modèle haut de gamme), un système de démarrage/ouverture sans sortir la clef de ma poche/de mon sac. Et bien, j'étais sceptique au début, mais je dois avouer que c'est très pratique et je peste chaque fois que je dois utiliser l'autre voiture (plus récente et plus chère) qui n'a pas ce système, surtout quand j'ai les mains pleines.

Mais quitte à je trouve bien plus sain de s'intégrer dans des fondations comme Apache, Eclipse ou Linux qui ont des moyens bien plus important pour fournir un cadre juridique, organisationnel, une visibilité et une série de garanties bien plus claires au près des contributeurs.

Ou la MoFo ?

J'ai probablement une machine bien trop puissante pour mon usage ;)
Mais j'ai probablement exagéré les 24h. En général, je m'en rend compte quand je reprend le taf après avoir laissé le PC la veille sans avoir quitté une des 2 applis Electron que j'utilisent parfois (Insomnia et VSCode si quelqu'un connait de bons remplacements pour du Go). Le PC est alors limite utilisable ; quand ça arrive, mon premier réflexe est de chercher l'une des ces deux applis :D

Et chez moi, tout programme Electron qui reste ouvert plus de 24h se met à ramer et consommer une quantité de mémoire indécente !