Tiens, sur les liseuses, ce que je vois dans mon entourage est un peu plus complexe.
[…]
Quand quelqu'un apprécie le principe des liseuses, généralement il cherche la "bonne", pose des questions à son entourage
Oui, l'effet dumping c'était surtout au début. Mais ça reste un peu toujours le cas sur les gens hésitants… Ceux qui ne savent pas vraiment s'ils vont l'utiliser peuvent avoir tendance à en choisir une Kindle sur le prix, par peur de dépenser 150€ pour rien.
En attendant, cet objet se vendra car utile pour l'acheteur quand l'objet "respectueux de votre vie privée mais pas utile ou chiant à utiliser" ne se vendra pas, les râleurs étant rarement acheteurs (pas pour rien qu'on voit majoritairement des choses "pas respectueuses de la vie privée, on laisse le choix aux gens entre un truc qui fait un taf et un truc chiant à utiliser).
Sauf qu'en pratique on n'a quasiment rien d'autre que des choses "pas respectueuses de la vie privée" et que l'alternative c'est "ne pas acheter", pas des objets "respectueux de votre vie privée mais pas utile ou chiant à utiliser". Et le peu de choses "respectueu[ses] de votre vie privée mais pas utile ou chiant[es] à utiliser" manquent souvent de moyens et/ou d'effet réseau.
Et quand ça ne suffit pas, il suffit de regarder les marchés qui existaient déja (liseuses et montres, par exemple) avant l'arrivée des géants espions pour voir qu'ils s'imposent à grand coup de dumping, en vendant deux à trois fois moins cher que la concurrence.
Donc en fait, c'est une assertion très peu validée…
Un exemple que j'aime bien donner est qu'il y en a qui sont "contre la peine de mort sauf" (mettre ici une liste changeante de truc trop super méchant qui fait pleurer et plus ou moins longue suivant les gens) alors que perso je suis "contre la peine de mort" (pas de sauf).
Même si je suis plutôt d'accord avec toi dans l'idée, Je trouve qu'invoquer la peine de mort dans un débat, c'est presque un point Godwin… On pourrait appeler ça un point Badinter ;)
En matière de logiciel, nous ne devons dépendre d'aucune puissance, sinon européenne.
C'est probablement un peu trop littéral, mais ça a l'avantage de pouvoir se lire : "On voudrait ne dépendre de personne, mais on pourrait concéder une puissance européenne".
il n'y a pas de médicament. Donc on ne la soigne pas, on attend. Les médicaments qu'on prend éventuellement sont uniquement là pour baisser la fièvre, assécher ou fluidifier les mucus. Ce sont des médicaments qui rendent la maladie plus supportable mais ne la soignent pas.
J'ajouterais qu'en plus, certains des médicaments pris lors des affections virales ont souvent pour effet de retarder la guérison, voire même s'ils soulagent peuvent parfois s'avérer dangereux (les antitussifs, par exemple).
J'ai entendu beaucoup de médecins dire que la plupart des patients n'apprécient pas de repartir sans prescriptions (autre que du Paracetamol), et ils prescrivent donc des médicaments "de confort", peu efficaces, simplement parce que sinon, ils risque de perdre de patientèle. Patientèle qui va ensuite aller à la pharmacie se faire conseiller des huiles essentielles au mieux, des antitussifs alors qu'ils sont asthmatiques au pire.
Personnellement, je ne le conaissait que pour avoir sniffé le NFC des cartes bancaires et constaté que le chiffrement n'avait pas été activé.
Le passage d'une certification n'est théoriquement qu'une formalité pour lui.
C'est globalement ce que je reproche. Le passage d'une certification n'est jamais réellement qu'une formalité, aussi bon que tu sois. Il s'agit d'un exercice cadré, avec ses propres règles, et il est nécessaire et normal de s'y préparer, quel que soit son niveau de compétence. Ce que tu certifie, c'est aussi la capacité d'un candidat à se mettre dans un cadre établi ; c'est une compétence cruciale quand on parle d'audit de sécurité et de sécurité opérationnelle, d'autant plus quand il s'agit d'intervenir sur des OIV.
Et la réaction normale quand on se fait recaler, c'est de ravaler sa fierté, calmer son égo et de se préparer à la repasser l'examen ; éventuellement tenter un recours. Ce n'est certainement pas de claquer la porte et d'insulter les examinateurs, surtout pas en place publique. Il est possible qu'il y ait eu des dysfonctionnements, et même qu'il aurait mérité d'être certifié lors de cette cession, je n'en sais rien. Mais la réaction que j'en voie, et même son propre récit, ne plaident pas en sa faveur.
Je n'en dirais par plus sur le sujet, n'ayant pas vraiment d'autre source d'information que ce que j'en ai lu.
Alors, j'ai peu être un problème de compréhension, ou alors tu as un un expression pas tout à fait aussi claire que tu aimerais le croire. Dans les deux cas, y a-t-il besoin de l'expliquer aussi agressivement ?
Vous pouvez moinser, ce commentaire est probablement inutile.
Il faut surtout apprendre à ne pas monter sur les grands mots "liberté", "lanceur d'alerte", au moindre écrit, et apprendre à prendre du recul avant de partager un lien dont l'objectif est de jouer sur les émotions…
Ce sont les mots de la page de la cagnotte leechi, pas de l'auteur du journal.
Je trouve globalement assez insupportable tout le business "marketplace" où les plate-formes se dédouanent régulièrement de toute responsabilité. Et c'est encore pire quand ça vient de grande enseignes, pour lequelles la confiance vient de leurs boutiques physiques présentes depuis des années, et où il devient compliqué de faire des recherches uniquement sur ce qu'ils vendent en propre.
J'ai d'autant plus de mal à comprendre que j'ai l'impression que c'est se tirer une balle dans le pied.
Dans son interview, au mec, il y a un peu de tout. La partie violation RGPD qu'il met en avant pour dire qu'il est objectif est un point assez anecdotique de l'interview.
Pour le reste, ça me donne l'impression d'un mec qui a passé la certification en se disant, "c'est bon je l'ai eue l'année dernière, je vais l'avoir les doigts dans le nez", qui se fait recaler parce qu'il ne s'est pas préparé et qui du coup est vexé comme un poux. Alors, pour se justifier, il fait tous les reproches au jury : incompétence, moins d'expérience que lui, ne pas avoir lu son CV (comme si ça suffisait à justifier d'une compétence).
Je ne dis pas qu'il n'y a aucun dysfonctionnement, et que le monsieur ne mériterait pas d'avoir sa certification, mais les arguments avancés me semblent parfois pas très convaincants ou peu vérifiables, comme de dire que les questions n'étaient pas claires.
Le travail d'un chercheur est de communiquer sur son travail auprès de ses pairs, pas auprès du grand public.
En France, et je ne sais pas ce qu'il en est à l'étranger, la vulgarisation fait partie des missions des enseignants-chercheurs (en plus de l'enseignement).
Les articles ou conférences dont tu parles ciblent pour la grande majorité les experts du domaine.
Oui et non, les articles visent aussi des thésards pas encore experts du domaine, des chercheurs de domaines connexes, etc. Je pense qu'il s'agit là d'une forme de vulgarisation, même si ce n'est pas au même niveau.
En France oui, à cause du statut enseignant-chercheur mais c'est loin d'être le cas à l'étranger.
Il y a quand même de nombreux pays où les chercheurs enseignent aussi, certes souvent dans des proportions moindre.
Justement en France le parti pris était de considérer qu'un chercheur ferait un bon enseignant. Pour l'avoir vécu en vrai, c'est loin d'être vrai.
Il y a de bons chercheurs qui enseignent très bien, mais de bons chercheurs qui enseignent comme des pieds tu en as certainement plus. Enseigner c'est un métier différent que celui de chercher. Il faut savoir être pédagogue, adapter son discours à celui de son public, etc. Puis certains font ça par obligation et n'ont aucune motivation à faire cette tâche. Bref, le résultat est souvent assez mauvais.
Je suis bien d'accord, et je pense que la situation est favorisée par le système et l'évaluation des enseignants-chercheurs… Il n'y a aucun intérêt dans notre système à soigner son enseignement ; un bon enseignant ne sera presque jamais récompensé pour ça. Toute l'évaluation se fait uniquement sur la recherche.
Quand, postdoc, j'étais dans le circuit des concours pour être maître de conférence, j'étais assez agacé de tous ces enseignants et ces candidats qui allaient enseigner en trainant des pied, voir affichaient un profond mépris pour l'enseignement. Pour ma part, j'ai toujours beaucoup aimé enseigner, je soignais mes enseignements, je pense ne pas avoir été mauvais, mais malheureusement (ou pas, j'aime beaucoup où j'en suis ^^ ) ça avait sans doute un coup sur mon profil de recherche.
À mon avis c'est faux. Un chercheur est pas essence un vulgarisateur de son domaine. Par définition, il est le plus avancé dans son domaine précis. Et une partie de son travail consiste à expliquer ce qu'il sait à des gens qui ne savent pas, que ce soit par des articles, des conférences, etc. Sans oublier que la grande majorité des chercheurs sont également des enseignants.
Il existe une norme open source de carte à puce USB
Une norme de carte à puce USB, ou de lecteur plutôt, c'est CCID. Mais ça concerne les drivers sur PC. À ma connaissance, il n'y a rien pour accéder à un lecteur de carte/SE interne depuis un navigateur ; il y a eu des tentatives (j'ai en mémoire une tentative de portage de OpenMobileAPI par le W3C), mais ça n'a jamais pris… Et je le regrette fortement.
La solution la plus commune, c'est par le biais de Java (qui est plutôt bien foutu pour ce qui est des cartes à puces — il faut dire que beaucoup sont programmées dans ce langage), soit comme une applet (berk), soit de plus en plus par un serveur local (moi j'utilise du websocket, et on peu utiliser un autre langage, moi je le fais en Go), éventuellement embarqué dans un projet Electron.
Je ne connais pas grand chose en extensions web, je ne sais pas si on pourrait faire la même chose pour faire une extension web (et lancer automatiquement le "serveur" local).
je rappelle que la carte d'identité n'est pas obligatoire en France
Oui, mais pour autant, tu dois être en mesure de justifier ton identité (loi de 1993 si je me souviens bien)… Il existe plusieurs documents pour le faire, rien n'empêche de généraliser l'identité numérique à plusieurs supports (et donc plusieurs clefs/certificats).
Après, tu es effectivement libre de n'avoir aucun papier d'identité (le témoignage peut faire office de justificatif), mais tu t'expose à attendre au commissariat que les flics puissent vérifier ton identité… bref, c'est galère. On peut faire pareil avec le numérique : c'est facile avec les supports qui vont bien, c'est galère autrement.
je rappelle que la carte d'identité n'est pas obligatoire en France
Oui, mais pour autant, tu dois être en mesure de justifier ton identité… Il existe plusieurs documents pour le faire, rien n'empêche de généraliser l'identité numérique à plusieurs supports (et donc plusieurs clefs/certificats).
Tu as besoin de révoquer ces certificats et ça ne monte pas en charge. À chaque fois que tu veut valider un certificat, il faut aller vérifier les liste de révocations (CRL). Plus tu allonge la durée de validité plus tu allonge la taille de la CRL.
Tu ne peux virer les certificats expirés des CRL uniquement pour les clefs qui ne servent qu'en "live", comme les certificats des sites web. Pour des certificats de clefs qui peuvent avoir du sens longtemps après expiration (ancien messages chiffrés, signature), tu as potentiellement besoin de connaître l'état de révocation du certificat longtemps après son expiration. Dans ce cas, des certificats à durée de vie courte amplifie le problème.
En fait, c'est une histoire de compromis : tu fais des choix plus ou moins risqués qui donne des résultats plus ou moins pratiques… tout comme la carte d'identité : les garder valables 10 ans (voir plus en UE)a des inconvénients (les gens changent en 10 ans, plus de risque de fraude, etc), mais ça évite de faire les démarches tous les quatre matins.
Cbhe ceépvfre ha crh : vy f'ntvg qh pnenpgèer nagvfynfu dhv fvtavsvr dhr yn yvtar fhvinagr snvg ra snvg cnegvr qr yn zêzr yvtar. Çn crezrg qr pbhcre yrf yvtarf à 80 pnenpgèer cbhe yn yrpgher uhznvar, znvf cnf cbhe yr pbzcvyb.
Pour le coup, les pays scandinaves ne sont pas forcement à prendre en exemple non plus : comme tu le décris bien, chez eux, ce sont les banquiers qui se sont saisis de la problématique de l'identité régalienne. Et ils ont très bien réussi, ils sont aujourd'hui presque indispensables.
Le raisonnement est simple : tout le monde doit avoir un compte en banque, et puisque les régulations les obliges à faire de grosses vérifications de l'identité de leurs clients, et qu'ensuite ils ont tous les outils pour faire de l'authentification à distance (notamment les cartes de paiement), pourquoi ne pas s'en servir. Le raisonnement tient dans les deux sens : de la part du banquier qui se rend indispensable ; de la part de l'état qui veut être efficace avant tout, et ne pas se lancer dans un bourbier logiciel.
Mais quand ce sont des boites privées qui se mettent à fournir les services d'identités à la place de l'état, j'ai mon alarme Cyberpunk qui se met en route, j'y peu rien, ça me fait flipper :/
L'Estonie, il y a quelques années, s'est emparé du problème de l'identité régalienne dans le monde numérique : ils ont mis en place une carte d'identité basée sur carte à puce. Elle permet d'authentifier ses échanges avec l'administration notamment : https://e-estonia.com/solutions/e-identity/id-card/ . Je ne comprend pas qu'on ne fasse pas pareil chez nous, sur des cartes d'identités qui sont de toute façon munies d'une puce…
La solution, si je ne me trompe pas, est une PKI classique, basée sur des certificats x509. Dans le cadre d'une identité garantie par l'état, ça me semble une plutôt bonne solution. Libre à toi d'authentifier les utilisateurs à l'aide de sa clef certifiée par l'état et ensuite de lui émettre une nouvelle identité numérique, basée sur OpenPGP.
Je ne vois pas bien l'interrêt de donner à cette identité une durée de vie trop courte, sinon ajouter un protocole et ses possible faiblesse pour le renouvellement (ou encombrer les préfectures, mairies, etc.). Surtout si on vise à faire de la signature : ma signature d'achat de maison, j'aime autant qu'on puisse la vérifier longtemps après que ma clef ait expirée, il faudra donc garder toutes les clefs émises, au moins jusqu'à ma succession.
Au démarrage la clé était suffisamment proche pour être détectée par la voiture donc elle a bien voulu démarrer, mais une fois à destination, voiture brickée.
J'avais regardé ce genre de blagues quand j'avais eu la mienne. Normalement, les assurances imposes que le mécanisme fonctionne uniquement quand la clef est à moins de 1,5m de la voiture (de mémoire), dans une zone située en face de la portière, ce qui devrait limiter le risque (en plus, dès qu'elle ne détecte plus la clef, elle bippe de façon vite insuportable !).
Je ne sais pas comment ils font (c'est hyper dur de localiser correctement un dispositif radio1 ), mais il fauts reconnaître que les tests que j'avais fait étaient plutôt concluants : ma voiture respectait ces prescriptions. En fait, il faut plutôt être juste en face d'une des trois portes qui permettent d'ouvrir : ça ne marche pas quand on est devant la porte arrière et qu'on se penche pour déverouiller :/
1: Tellement que ça fait plusieurs de nombreuses années que je bosse dans l'embarqué sans fil (Zigbee, NFC, BLE, etc.) destiné à la sécurité, et que s'en est devenu une arlésienne : régulièrement quelqu'un se/nous lance dans le projet… et flop.
[^] # Re: Régler des paramètres de confidentialité dans un logiciel propriétaire ?
Posté par aiolos . En réponse au journal Le libre en une de La Croix Hebdo. Évalué à 1.
Oui, l'effet dumping c'était surtout au début. Mais ça reste un peu toujours le cas sur les gens hésitants… Ceux qui ne savent pas vraiment s'ils vont l'utiliser peuvent avoir tendance à en choisir une Kindle sur le prix, par peur de dépenser 150€ pour rien.
[^] # Re: Régler des paramètres de confidentialité dans un logiciel propriétaire ?
Posté par aiolos . En réponse au journal Le libre en une de La Croix Hebdo. Évalué à 4.
Sauf qu'en pratique on n'a quasiment rien d'autre que des choses "pas respectueuses de la vie privée" et que l'alternative c'est "ne pas acheter", pas des objets "respectueux de votre vie privée mais pas utile ou chiant à utiliser". Et le peu de choses "respectueu[ses] de votre vie privée mais pas utile ou chiant[es] à utiliser" manquent souvent de moyens et/ou d'effet réseau.
Et quand ça ne suffit pas, il suffit de regarder les marchés qui existaient déja (liseuses et montres, par exemple) avant l'arrivée des géants espions pour voir qu'ils s'imposent à grand coup de dumping, en vendant deux à trois fois moins cher que la concurrence.
Donc en fait, c'est une assertion très peu validée…
[^] # Re: Cela serait si difficile ?
Posté par aiolos . En réponse au journal Mon chemin vers la liberté informatique. Évalué à 2.
Je ne suis pas sûr que celui de Christophe le soit plus…
[^] # Re: Il y a des jours comme ça...
Posté par aiolos . En réponse au journal La collection de livres Ludomire sera sous publiée sous licence Creative Commons !. Évalué à 2.
Même si je suis plutôt d'accord avec toi dans l'idée, Je trouve qu'invoquer la peine de mort dans un débat, c'est presque un point Godwin… On pourrait appeler ça un point Badinter ;)
[^] # Re: l'imagination au pouvoir
Posté par aiolos . En réponse au lien France : le ministère de l’Éducation nationale tente de justifier son choix de Microsoft. Évalué à 1. Dernière modification le 17 septembre 2020 à 17:20.
Mais comme on a du pétrole, cet adage
ne dit rien sur nos idéesreste valide puisque le prémisse est faux ! :D[^] # Re: Il récite une mauvaise traduction ?
Posté par aiolos . En réponse au journal [HS] Texte de l'appel du 14 septembre 2020. Évalué à 6. Dernière modification le 16 septembre 2020 à 09:47.
Moi j'aurai plutôt traduit par :
C'est probablement un peu trop littéral, mais ça a l'avantage de pouvoir se lire : "On voudrait ne dépendre de personne, mais on pourrait concéder une puissance européenne".
[^] # Re: Cas Covid
Posté par aiolos . En réponse au journal Covid, ah non pardon, plus important : le RGPD. Évalué à 5. Dernière modification le 14 septembre 2020 à 17:08.
J'ajouterais qu'en plus, certains des médicaments pris lors des affections virales ont souvent pour effet de retarder la guérison, voire même s'ils soulagent peuvent parfois s'avérer dangereux (les antitussifs, par exemple).
J'ai entendu beaucoup de médecins dire que la plupart des patients n'apprécient pas de repartir sans prescriptions (autre que du Paracetamol), et ils prescrivent donc des médicaments "de confort", peu efficaces, simplement parce que sinon, ils risque de perdre de patientèle. Patientèle qui va ensuite aller à la pharmacie se faire conseiller des huiles essentielles au mieux, des antitussifs alors qu'ils sont asthmatiques au pire.
[^] # Re: Je ne sais pas
Posté par aiolos . En réponse au journal Un expert en sécurité poursuivi en justice pour des articles sur des dysfonctionnements réels !. Évalué à 6.
Personnellement, je ne le conaissait que pour avoir sniffé le NFC des cartes bancaires et constaté que le chiffrement n'avait pas été activé.
C'est globalement ce que je reproche. Le passage d'une certification n'est jamais réellement qu'une formalité, aussi bon que tu sois. Il s'agit d'un exercice cadré, avec ses propres règles, et il est nécessaire et normal de s'y préparer, quel que soit son niveau de compétence. Ce que tu certifie, c'est aussi la capacité d'un candidat à se mettre dans un cadre établi ; c'est une compétence cruciale quand on parle d'audit de sécurité et de sécurité opérationnelle, d'autant plus quand il s'agit d'intervenir sur des OIV.
Et la réaction normale quand on se fait recaler, c'est de ravaler sa fierté, calmer son égo et de se préparer à la repasser l'examen ; éventuellement tenter un recours. Ce n'est certainement pas de claquer la porte et d'insulter les examinateurs, surtout pas en place publique. Il est possible qu'il y ait eu des dysfonctionnements, et même qu'il aurait mérité d'être certifié lors de cette cession, je n'en sais rien. Mais la réaction que j'en voie, et même son propre récit, ne plaident pas en sa faveur.
Je n'en dirais par plus sur le sujet, n'ayant pas vraiment d'autre source d'information que ce que j'en ai lu.
[^] # Re: Je ne sais pas
Posté par aiolos . En réponse au journal Un expert en sécurité poursuivi en justice pour des articles sur des dysfonctionnements réels !. Évalué à 7.
Je ne l'avais pas compris comme cela.
Alors, j'ai peu être un problème de compréhension, ou alors tu as un un expression pas tout à fait aussi claire que tu aimerais le croire. Dans les deux cas, y a-t-il besoin de l'expliquer aussi agressivement ?
Vous pouvez moinser, ce commentaire est probablement inutile.
[^] # Re: Je ne sais pas
Posté par aiolos . En réponse au journal Un expert en sécurité poursuivi en justice pour des articles sur des dysfonctionnements réels !. Évalué à 1.
Ce sont les mots de la page de la cagnotte leechi, pas de l'auteur du journal.
[^] # Re: La revue.
Posté par aiolos . En réponse au lien Comment débattre du nucléaire civil en France ? . Évalué à 2.
Merci beaucoup pour le document, vraiment intéressant et bien fait. Je viens de passer la dernière heure à en lire des morceaux.
[^] # Re: Dans le même genre
Posté par aiolos . En réponse au journal Les pratiques commerciales de BouyguesTelecom. Évalué à 9.
Je trouve globalement assez insupportable tout le business "marketplace" où les plate-formes se dédouanent régulièrement de toute responsabilité. Et c'est encore pire quand ça vient de grande enseignes, pour lequelles la confiance vient de leurs boutiques physiques présentes depuis des années, et où il devient compliqué de faire des recherches uniquement sur ce qu'ils vendent en propre.
J'ai d'autant plus de mal à comprendre que j'ai l'impression que c'est se tirer une balle dans le pied.
# Je ne sais pas
Posté par aiolos . En réponse au journal Un expert en sécurité poursuivi en justice pour des articles sur des dysfonctionnements réels !. Évalué à 5.
Dans son interview, au mec, il y a un peu de tout. La partie violation RGPD qu'il met en avant pour dire qu'il est objectif est un point assez anecdotique de l'interview.
Pour le reste, ça me donne l'impression d'un mec qui a passé la certification en se disant, "c'est bon je l'ai eue l'année dernière, je vais l'avoir les doigts dans le nez", qui se fait recaler parce qu'il ne s'est pas préparé et qui du coup est vexé comme un poux. Alors, pour se justifier, il fait tous les reproches au jury : incompétence, moins d'expérience que lui, ne pas avoir lu son CV (comme si ça suffisait à justifier d'une compétence).
Je ne dis pas qu'il n'y a aucun dysfonctionnement, et que le monsieur ne mériterait pas d'avoir sa certification, mais les arguments avancés me semblent parfois pas très convaincants ou peu vérifiables, comme de dire que les questions n'étaient pas claires.
[^] # Re: Comment j'ai appris à ne plus m'en faire et à aimer les bombes
Posté par aiolos . En réponse au journal Où vivre dans 100 ans ?. Évalué à 4.
Ça fait beaucoup, ça !
[^] # Re: Il en faut bien un...
Posté par aiolos . En réponse au lien Campagne Ulule pour la sortie du roman Printeur par Ploum et mise à disposition en CC BY-NC-SA. Évalué à 1.
Visiblement, la version papier est différente de celle publiée sur son site, il y a eu un travail d'édition :
Donc effectivement, ça ne rend pas l'oeuvre originale moins libre, mais le libre n'y gagne pas grand chose non plus…
[^] # Re: Mauvaise idée…
Posté par aiolos . En réponse au journal vers un sciencefr.org ?. Évalué à 3.
En France, et je ne sais pas ce qu'il en est à l'étranger, la vulgarisation fait partie des missions des enseignants-chercheurs (en plus de l'enseignement).
Oui et non, les articles visent aussi des thésards pas encore experts du domaine, des chercheurs de domaines connexes, etc. Je pense qu'il s'agit là d'une forme de vulgarisation, même si ce n'est pas au même niveau.
Il y a quand même de nombreux pays où les chercheurs enseignent aussi, certes souvent dans des proportions moindre.
Je suis bien d'accord, et je pense que la situation est favorisée par le système et l'évaluation des enseignants-chercheurs… Il n'y a aucun intérêt dans notre système à soigner son enseignement ; un bon enseignant ne sera presque jamais récompensé pour ça. Toute l'évaluation se fait uniquement sur la recherche.
Quand, postdoc, j'étais dans le circuit des concours pour être maître de conférence, j'étais assez agacé de tous ces enseignants et ces candidats qui allaient enseigner en trainant des pied, voir affichaient un profond mépris pour l'enseignement. Pour ma part, j'ai toujours beaucoup aimé enseigner, je soignais mes enseignements, je pense ne pas avoir été mauvais, mais malheureusement (ou pas, j'aime beaucoup où j'en suis ^^ ) ça avait sans doute un coup sur mon profil de recherche.
[^] # Re: Mauvaise idée…
Posté par aiolos . En réponse au journal vers un sciencefr.org ?. Évalué à -2.
À mon avis c'est faux. Un chercheur est pas essence un vulgarisateur de son domaine. Par définition, il est le plus avancé dans son domaine précis. Et une partie de son travail consiste à expliquer ce qu'il sait à des gens qui ne savent pas, que ce soit par des articles, des conférences, etc. Sans oublier que la grande majorité des chercheurs sont également des enseignants.
[^] # Re: « Norme open source de carte à puce USB » ?
Posté par aiolos . En réponse à la dépêche Authentification et identité numérique en France. Évalué à 2. Dernière modification le 01 septembre 2020 à 11:46.
Une norme de carte à puce USB, ou de lecteur plutôt, c'est CCID. Mais ça concerne les drivers sur PC. À ma connaissance, il n'y a rien pour accéder à un lecteur de carte/SE interne depuis un navigateur ; il y a eu des tentatives (j'ai en mémoire une tentative de portage de OpenMobileAPI par le W3C), mais ça n'a jamais pris… Et je le regrette fortement.
La solution la plus commune, c'est par le biais de Java (qui est plutôt bien foutu pour ce qui est des cartes à puces — il faut dire que beaucoup sont programmées dans ce langage), soit comme une applet (berk), soit de plus en plus par un serveur local (moi j'utilise du websocket, et on peu utiliser un autre langage, moi je le fais en Go), éventuellement embarqué dans un projet Electron.
Je ne connais pas grand chose en extensions web, je ne sais pas si on pourrait faire la même chose pour faire une extension web (et lancer automatiquement le "serveur" local).
[^] # Re: France Connect n'a pas échoué
Posté par aiolos . En réponse à la dépêche Authentification et identité numérique en France. Évalué à 3.
Oui, mais pour autant, tu dois être en mesure de justifier ton identité (loi de 1993 si je me souviens bien)… Il existe plusieurs documents pour le faire, rien n'empêche de généraliser l'identité numérique à plusieurs supports (et donc plusieurs clefs/certificats).
Après, tu es effectivement libre de n'avoir aucun papier d'identité (le témoignage peut faire office de justificatif), mais tu t'expose à attendre au commissariat que les flics puissent vérifier ton identité… bref, c'est galère. On peut faire pareil avec le numérique : c'est facile avec les supports qui vont bien, c'est galère autrement.
[^] # Re: France Connect n'a pas échoué
Posté par aiolos . En réponse à la dépêche Authentification et identité numérique en France. Évalué à 1.
Oui, mais pour autant, tu dois être en mesure de justifier ton identité… Il existe plusieurs documents pour le faire, rien n'empêche de généraliser l'identité numérique à plusieurs supports (et donc plusieurs clefs/certificats).
[^] # Re: GPG c'est bien
Posté par aiolos . En réponse à la dépêche Authentification et identité numérique en France. Évalué à 2.
Tu ne peux virer les certificats expirés des CRL uniquement pour les clefs qui ne servent qu'en "live", comme les certificats des sites web. Pour des certificats de clefs qui peuvent avoir du sens longtemps après expiration (ancien messages chiffrés, signature), tu as potentiellement besoin de connaître l'état de révocation du certificat longtemps après son expiration. Dans ce cas, des certificats à durée de vie courte amplifie le problème.
En fait, c'est une histoire de compromis : tu fais des choix plus ou moins risqués qui donne des résultats plus ou moins pratiques… tout comme la carte d'identité : les garder valables 10 ans (voir plus en UE)a des inconvénients (les gens changent en 10 ans, plus de risque de fraude, etc), mais ça évite de faire les démarches tous les quatre matins.
[^] # Re: Le bug idiot qui m'a pris la tête pendant 15 jours
Posté par aiolos . En réponse à la dépêche Bogues de logiciel et bogues de management : 737 Max et autres catastrophes. Évalué à 2.
Cbhe ceépvfre ha crh : vy f'ntvg qh pnenpgèer nagvfynfu dhv fvtavsvr dhr yn yvtar fhvinagr snvg ra snvg cnegvr qr yn zêzr yvtar. Çn crezrg qr pbhcre yrf yvtarf à 80 pnenpgèer cbhe yn yrpgher uhznvar, znvf cnf cbhe yr pbzcvyb.
[^] # Re: BankID et calculette
Posté par aiolos . En réponse à la dépêche Authentification et identité numérique en France. Évalué à 10.
Pour le coup, les pays scandinaves ne sont pas forcement à prendre en exemple non plus : comme tu le décris bien, chez eux, ce sont les banquiers qui se sont saisis de la problématique de l'identité régalienne. Et ils ont très bien réussi, ils sont aujourd'hui presque indispensables.
Le raisonnement est simple : tout le monde doit avoir un compte en banque, et puisque les régulations les obliges à faire de grosses vérifications de l'identité de leurs clients, et qu'ensuite ils ont tous les outils pour faire de l'authentification à distance (notamment les cartes de paiement), pourquoi ne pas s'en servir. Le raisonnement tient dans les deux sens : de la part du banquier qui se rend indispensable ; de la part de l'état qui veut être efficace avant tout, et ne pas se lancer dans un bourbier logiciel.
Mais quand ce sont des boites privées qui se mettent à fournir les services d'identités à la place de l'état, j'ai mon alarme Cyberpunk qui se met en route, j'y peu rien, ça me fait flipper :/
[^] # Re: GPG c'est bien
Posté par aiolos . En réponse à la dépêche Authentification et identité numérique en France. Évalué à 2. Dernière modification le 27 août 2020 à 18:15.
L'Estonie, il y a quelques années, s'est emparé du problème de l'identité régalienne dans le monde numérique : ils ont mis en place une carte d'identité basée sur carte à puce. Elle permet d'authentifier ses échanges avec l'administration notamment : https://e-estonia.com/solutions/e-identity/id-card/ . Je ne comprend pas qu'on ne fasse pas pareil chez nous, sur des cartes d'identités qui sont de toute façon munies d'une puce…
La solution, si je ne me trompe pas, est une PKI classique, basée sur des certificats x509. Dans le cadre d'une identité garantie par l'état, ça me semble une plutôt bonne solution. Libre à toi d'authentifier les utilisateurs à l'aide de sa clef certifiée par l'état et ensuite de lui émettre une nouvelle identité numérique, basée sur OpenPGP.
Je ne vois pas bien l'interrêt de donner à cette identité une durée de vie trop courte, sinon ajouter un protocole et ses possible faiblesse pour le renouvellement (ou encombrer les préfectures, mairies, etc.). Surtout si on vise à faire de la signature : ma signature d'achat de maison, j'aime autant qu'on puisse la vérifier longtemps après que ma clef ait expirée, il faudra donc garder toutes les clefs émises, au moins jusqu'à ma succession.
[^] # Re: Une question me taraude
Posté par aiolos . En réponse au journal Sécurité ouverture/démarrage des nouvelles voitures. Évalué à 4. Dernière modification le 27 août 2020 à 17:43.
J'avais regardé ce genre de blagues quand j'avais eu la mienne. Normalement, les assurances imposes que le mécanisme fonctionne uniquement quand la clef est à moins de 1,5m de la voiture (de mémoire), dans une zone située en face de la portière, ce qui devrait limiter le risque (en plus, dès qu'elle ne détecte plus la clef, elle bippe de façon vite insuportable !).
Je ne sais pas comment ils font (c'est hyper dur de localiser correctement un dispositif radio1 ), mais il fauts reconnaître que les tests que j'avais fait étaient plutôt concluants : ma voiture respectait ces prescriptions. En fait, il faut plutôt être juste en face d'une des trois portes qui permettent d'ouvrir : ça ne marche pas quand on est devant la porte arrière et qu'on se penche pour déverouiller :/
1: Tellement que ça fait
plusieursde nombreuses années que je bosse dans l'embarqué sans fil (Zigbee, NFC, BLE, etc.) destiné à la sécurité, et que s'en est devenu une arlésienne : régulièrement quelqu'un se/nous lance dans le projet… et flop.