anubis a écrit 262 commentaires

Renforcer la souverainté numérique par une loi sur le numérique exigeant l'Open Source pour tous les projets IT.

Un rappel des avantages/inconvénients des logiciels fermés et Open Source est ensuite donné.

Le quorum requis est de 50000 signatures pour être analysée au parlement; seules 500 sont obtenues à ce jour.

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

Seulement le texte, non ? https://github.com/wallabag/wallabag/issues/3715
Des derniers tests (il y ~2 ans) cela m'avait déçu car justement cela ne remplissait pas la web archive : les images n'étaient pas archivées ce qui rend inexploitable un bon nombre de mes marque-pages lorsque le site a disparu du Net.

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

On notera que le site du service public souverain France-Inter a pris une longueur d'avance en ne dépendant que de Google, Apple et Amazon, bravo !

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

Dommage de dénoncer la surveillance numérique mais en même temps d'en être acteur en recourant sur son propre site aux polices et scripts de Google…

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

Une interrogation supplémentaire : pourquoi toutes les app de vérification des certificats COVID demandent l'accès au réseau ? Alors que, de ma compréhension, tout peut se faire hors ligne (décodage du QR-code et vérification de la signature).

En bloquant le réseau avec un pare-feu comme NetGuard, l'app allemande semble fonctionner quand même, mais affiche un message qui me semble fallacieux : « Maintenez à jour l'app pour pouvoir vérifier les certificats hors-ligne. Pour cela, connectez vous à internet de temps en temps ». Hum. C'est le but du magasin d'application (GPlay/F-Droid) d'avertir des mises à jours, pourquoi implémenter cette fonction dans l'app ?

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

Je me pose quelques questions : quelle alternative quand on est organisateur d'événements ?

De mes recherches en Europe seuls 2 pays ont leur app sur F-Droid :
- la Suisse : https://f-droid.org/fr/packages/ch.admin.bag.covidcertificate.verifier/ ; pas de tracker d'après Exodus mais déclaré comme ayant des fonctionnalités indésirables dans F-Droid; pourquoi ? Je ne trouve pas… Le gros avantage est la disponibilité en français (et anglais/allemand, utile dans le cas d'une équipe européenne)
- l'Allemagne : https://f-droid.org/fr/packages/de.rki.covpass.checkapp/ pas de tracker d'après Exodus, pas de fonctionnalité indésirables ! Mais seulement disponible en allemand/anglais.

Sinon, pourquoi une version libre, sans tracker, internationalisée de l'app n'existe toujours pas ? Il "suffirait" de repartir de l'app allemande ? ou bien je rate quelque chose ? Cette app affiche « l'utilisation du certificat numérique COVID s'effectue sur la base du volontariat. Nul ne peut être obligé de l'utiliser. Il existe d'autres moyens de prouver la vaccination complète, le résultat d'un test négatif, ou la guérison du COVID »; peut-être que c'est un message considéré subversif dans certains pays européens…

Merci pour vos éclairages !

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

Faire faire des études stratégiques ça peut être intéressant, mais en attendant ce site officiel de l'UE fait appel joyeusement à des ressources de chez AWS et Cloudflare…

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

Si on considère :
- Portable avec CG AMD chez Tuxedo : https://www.tuxedocomputers.com/en/Linux-Hardware/Linux-Notebooks/15-16-inch/TUXEDO-Book-Pulse-15-Gen1.tuxedo (AMD Radeon RX Vega 6)
- Portable Gaming chez Tuxedo : https://www.tuxedocomputers.com/en/Linux-Hardware/Linux-Notebooks/15-16-inch/TUXEDO-Polaris-15-Gen2.tuxedo (NVIDIA GeForce RTX 3060)

Quand on compare, ça fait très mal : la NVIDIA (version portable) explose ma CG fixe d'il y a 4 ans et ma CG fixe d'il y a 4 ans continue de devancer la nouvelle CG AMD intégrée :
https://www.notebookcheck.net/Radeon-RX-460-Desktop-vs-GeForce-RTX-3060-Laptop-GPU-vs-Vega-6_7375_10478_10311.247598.0.html

Des vraies CG AMD pour portable, ça existe si on prend par exemple la Radeon RX 5600M :
https://www.notebookcheck.net/Radeon-RX-5600M-vs-Radeon-RX-460-Desktop-vs-GeForce-RTX-3060-Laptop-GPU_10054_7375_10478.247598.0.html

Mais dans un portable vendu sous Linux ça semble introuvable actuellement :(

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

Du coup ted qu'as-tu choisi ? As-tu déjà un retour d'expérience en situation réelle (avec suffisamment de scan pour être représentatif :p ) à partager ?

Je suis dans la même situation où je ne veux pas utiliser d'app du PlayStore et n'accepte des accès réseau que dûment justifiés !

Question technique : toutes les app semblent demander les droits d'accéder au réseau, ce qui est gênant car ça demande d'avoir une confiance encore plus importante dans le code. J'ai cru comprendre que pour l'app suisse que c'est pour récupérer les clés publiques. L'app allemande indique ne pas avoir besoin de manière indispensable de l'accès réseau (mais alors pourquoi le demander ???). Quand à l'app française vu qu'elle n'est pas disponible sur F-Droid c'est un point bloquant.

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

En effet j'ai mal formulé mon critère mais devnewton l'a bien décodé :)
L'ordre de grandeur des 10 ans concernent la robustesse générale de la machine et l'important et de pouvoir jouer à jeux de la dernière décennie; et non de pouvoir garantir les perfos sur les jeux des jeux du futur.

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

Merci pour Laptop with Linux que je ne connaissais pas.

Mais que ce soit Tuxedo ou Laptop with Linux le mieux proposé semble une carte graphique intégré (Radeon RX vega 7), qui d'après un comparateur comme https://technical.city/en/video/Radeon-RX-460-vs-Radeon-RX-Vega-7 est bien derrière la RX460 (je cite celle-ci en référence car je la connais bien sur une tour de 2017).

De ce que je vois c'est soit gamer avec NVIDIA soit AMD mais avec des perfo d'une CG intégrée qui risque d'être un peu juste…

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

CovPassCheck est l'application allemande, pas sûr qu'elle soit dispo en français.
L'application suisse l'est : https://f-droid.org/fr/packages/ch.admin.bag.covidcertificate.verifier/

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

C'est rigolo : https://puri.sm/products/librem-5-usa/

“If you want a smartphone built outside China and the walled gardens of Google and Apple, Purism’s Librem 5 USA may be for you.”
– The Register –

Mais dans le même temps leur site fait appel un peu partout aux API de Google.

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

Accessoirement, si comme indiqué dans l'article :

a TPM uniquely identify your machine anywhere in the world

et que le TPM est bien accessible à chaque fournisseur de contenu (=chaque site web ?), alors les cookies peuvent être remisés au placard et on peut faire un trait sur ce qu'il restait de vie privée dans notre navigation internet ?

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

La CDU (parti d'Angela Merkel) propose une app pour gérer la campagne électorale (pour les soutiens politiques et les différentes personnes impliquées dans la campagne).
Le CCC découvre une faille de sécurité dans cette app permettant d'accéder aux données personnelles de quelque 18500 personnes. Il notifie les responsables de la CDU qui coupent l'accès à la base de donnée peu après, et en guise de remerciement portent plainte. Cherchant ainsi à intimider ceux qui révèlent les problèmes plutôt que de chercher à résoudre ces problèmes à la source.

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

Pour limiter tes risques et encourager les fabricants vertueux, peut-être peux-tu te tourner vers l'un d'eux comme Tuxedo ?

https://www.tuxedocomputers.com/en/Linux-Hardware/Linux-Notebooks/Alle.tuxedo#!#1275,1322

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

En effet les applications systèmes ne sont pas listées par défaut, mais cela peut se configurer via Paramètres > Options avancées > Montrer les app Système.

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

Tu peux utiliser l'app NetGuard ( https://f-droid.org/fr/packages/eu.faircode.netguard/ ) qui permet d'intercepter toutes les communications réseau et les accepter appli par appli, et ce suivant que tu sois en wifi ou données mobiles.

Il y a également une option activable pour tracer le volume des données consommé par app. Il est possible également de filtrer les accès internet domaine par domaine, mais cette fonctionalité requiert une petite contribution financière.

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

@Nodeus : c'est troublant d'avoir mis un lien YouTube alors qu'ils proposent par défaut via PeerTube sur leur site; merci néanmoins d'avoir fait connaître cette initiative !

Leur vision du système d'information (et notamment l'objectif de partage du code source) est précisée à cette position de la vidéo de présentation : https://video.blast-info.fr/videos/watch/3931ae5c-346b-4b82-ac0a-59c33c15cd59?start=15m41s

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

Pour faire simple, tu as le choix entre un système complètement libre mais qui encourage l'utilisation des services Google par défaut (LineageOS) et un qui inclu de base quelques apps non libres mais retire tous les appels aux services Google (du moins ceux qui ont été identifiés) (/e/).

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

Ça ne transparaît pas sur la page d'accueil alors je le note ici : la base de donnée est libre (BY-NC-SA) : https://atlas.limsi.fr/liste.html

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

Il semble que les webinaires seront réalisés via Zoom et YouTube; les options libres et plus respectueuses des participants (BigBlueButton, Galene, …) ont-elles été considérées ?

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

Les gens ne lisent pas la boite à courriel indiquée sur Linuxfr. Il y a une super fonctionnalité qui permet d’écrire aux rédacteurs d’une dépêche. Et ben, les retours sont lents et peu nombreux. Je comprends que Florent fasse un journal annonces de service pour les prix [en même temps, Florent ne réagit pas non plus très rapidement aux mails ;-)].

Lié au point précédent, je me questionne encore beaucoup sur la bonne manière de relancer les auteurs d’une dépêche en cours. Questionnement sur deux axes. Primo, comment faire pour que le message arrive au destinataire. Deuxio, comment écrire les messages de manière adéquate histoire entre autres de ne blesser ou vexer personne.

Une partie non négligeable (merci si un admin peut préciser le pourcentage) des contributeurs me semble avoir renseigné une adresse XMPP; c'est sûrement un moyen plus rapide et interactif pour relancer/échanger, en direct ou via un salon dédié ?

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

J'ai bien identifié dans la norme que l'évaluation doit être associée à une version précise :

logiciel : il est sous-entendu, dans une version donnée, dans un packaging pour une distribution donné.

Et prévu le cas si certains éditeurs voudraient filouter/confusioner l'utilisateur avec plusieurs versions :

Si certaines les versions / variantes d'un logiciel ne respectent pas le même niveau de la norme, seul le niveau moins-disant de toutes les versions proposées sur le site peu apparaitre ou alors, les niveaux doivent apparaitre en face de la désignation explicite des versions / variantes concernées.

Ensuite, si l'évaluation est extérieure au projet, elle aura lieu quand quelqu'un voudra bien la faire !

Il sera possible de tracer les évolutions du support de la norme au cours du temps/des versions, un peu à la manière de WineHQ : https://appdb.winehq.org/objectManager.php?bIsQueue=false&bIsRejected=false&sClass=version&sTitle=&sReturnTo=&iId=2633

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

de quelles données parle-t-on ? Par exemple, est-ce que la recherche d’une mise à jour sur le site de l’éditeur devrait être considérée comme une fuite ? → il vaudrait certainement le coup de définir formellement « donnée de l’utilisateur »

Je l'ai défini via « Absence de fuite » : « le logiciel n'effectue pas de connexions autres que celles explicitement requises par l'utilisateur final »; ça reste interprétable et subjectif mais je pense que cette définition ne peut être améliorée que par des exemples (sinon j'accepte vos propositions !).
Pour répondre à la question, la recherche de mise à jour ne fait pas partie des fonctions pour lesquelles l'utilisateur télécharge/installe le logiciel, donc cela constituerait bien une fuite.

Quel processus pour catégoriser un logiciel ? Je ne veux pas avoir à faire confiance à l’éditeur du logiciel pour la catégorie, alors :
qui fait l’audit ? Si le processus est collectif, comment la procédure est organisée ? Consensus ? J’imagine que l’évaluation d’un logiciel pourrait être faite par différentes personnes / différents organismes qui pourraient arriver à des conclusions différentes.

Je pense qu'on devrait autoriser l'éditeur à s'auto-évaluer pour 2 raisons :
- c'est lui qui connaît le mieux ce qu'il a implémenté (cf plus loin, l'évaluation agnostique peut demander beaucoup de temps)
- s'il ment, un audit indépendant pourra toujours découvrir la tricherie (dans le cas où les sources sont disponibles) et faire une très mauvaise presse sur l'éditeur

A voir si le concept convainc suffisamment d'éditeurs pour avoir rapidement des auto-évaluations (je l'espère ! Si des dev de projets populaires me lisent, leurs intentions m'intéressent particulièrement !), mais je pense que dans tous les cas une base centralisée collaborative sera nécessaire, pour faciliter la catégorisation d'un grand nombre de logiciel, surveiller l'évolution au cours du temps, …

Je verrai bien une interface à la WineHQ : https://appdb.winehq.org/objectManager.php?sClass=version&iId=2633

y a-t-il une procédure systématique proposée pour catégoriser le logiciel ? (étude du code – comment ?, analyse des accès réseaux avec un outil tel que Wireshark, etc)

Clairement, pas pour le moment; c'est compliqué d'avoir des outils systémiques garantissant la couverture de n'importe quel code en n'importe quel langage, pour n'importe quel OS ! Je pense que ça pourrait venir dans un deuxième temps. Pour le moment on ne peut que rassembler quelques conseils/recommandations pour dégrossir.
Globalement, dans cette première phase on pourra au moins commencer à identifier les logiciels qui ont des fuites avérées avec les outils dispo (Wireshark, PiHole, …). Garantir qu'un gros logiciel n'a pas de fuite sans outil d'analyse me parait chronophage.

Si plusieurs manières de catégoriser peuvent être employées, la ou les méthodes qui ont été utilisées devraient-elles clairement apparaître, de façon normée ?

Oui la méthode utilisée devrait bien être renseignée (pour la traçabilité/reproductibilité).

est-ce que le caractère libre ou source-available est un pré-requis ?

Non, car :
- l'analyse par « l'extérieur » (Wireshark, proxy…) suffit pour identifer des fuites (donc suffit pour classer un logiciel en autre chose que 0L)
- l'éditeur peut toujours s'auto-évaluer; bien sûr dans ce cas l'impossibilité de vérification extérieure devrait apparaître.

est-ce que la production de binaire doit être reproductible ? (sinon difficile de garantir qu’un binaire correspond aux sources, et donc de garantir son bon comportement vis-à-vis de la norme)

Effectivement c'est un point important à mentionner.

est-ce qu’il est prévu de documenter un niveau d’utilité des fonctionnalités est prévu (core, essential, optional…)

Il me semble que c'est ce que j'ai proposé de définir en Possible (pour les fonctions secondaires) et Systématique (pour les fonctions incontournables) ?

est-ce que la direction de la fuite est considérée ? Par exemple on peut vouloir faire confiance à l’éditeur d’un logiciel mais pas à des « partenaires commerciaux » ou autre tiers.

Non, car je pense que la norme doit rester simple; quelque soit le destinataire de la fuite, il faut que l'éditeur l'affiche à l'utilisateur. Ensuite c'est à l'utilisateur de juger s'il est OK ou pas de prendre ce risque, pour cette application (suivant son usage).

Dans le cas d’un logiciel composé d’un client et d’un serveur, l’évaluation n’est-elle pas différente si le serveur est installé chez soi ou chez un prestataire ? (zéro fuite chez soi, mais « tout » fuite chez le presta).

Comme indiqué dans la FAQ, je ne m'intéresse (au moins dans un premier temps) qu'aux logiciels en interface avec l'utilisateur final : dans tous les cas le client doit informer qu'il y a une fuite vers un serveur; si le serveur est configurable alors l'utilisateur le sait via la norme ('''IC'''); sur le fait de choisir plutot XXX que YYY comme serveur ce ne peut pas être du périmètre de la norme !

Y a-t-il une notion de « tiers de confiance » à introduire pour rendre la norme plus informative pour ce genre de cas ?

Pas sur de bien saisir cette question, mais la norme n'a pas vocation à donner des préférences de serveurs ! Il y a quelques sites comparatifs spécialisés suivant les protocoles/applications.

Au passage, cela fait me fait un peu penser au système d’anti fonctionnalités dans F-Droid, même si c’est très différent : https://f-droid.org/en/docs/Anti-Features/

C'est clairement ce qui m'a inspiré !

Merci ce retour riche; ne pas hésiter à passer sur le salon xmpp:sécurité-vie-privée@chat.jabberfr.org?join pour compléter/discuter un peu plus dans le détail les propositions.

aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join