Yubikey s'en est mais y en a d'autres (par contre un flipper zero, peu de chance que ca passe, ils ont un certificat autosigné). U2F et FIDO c'est plus ou moins la même chose, l'un inclu l'autre mais je sais plus lequel :D
comme d'hab' comme cela requière de l'USB c'est pas forcément activé par défaut dans Firefox ?
Un Firefox moderne devrait le gérer, t'as le même genre de permissions (et d'accès au hardware) qu'avec un Chrome-like. Généralement les entreprises sérieuses qui fabriquent ce genre de clef USB supportent bien Linux.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Si on reprend la cause de ce mail, c'est pour la norme DSP2, qui n'impose pas spécialement une appli comme second facteur. Peut-être que les autres moyens seront aussi valides, mais comme pour l'instant ils sont peu utilisés, leur support est au courant de rien ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Pour ? Ne plus avoir besoin d'aptoide ? Mon téléphone principal est sous SailfishOS, le second je me contente du contenu de f-droid.
pour moi, je n'ai jamais utilisé de contournement (ajouter encore un intermédiaire en qui tu n'as pas confiance).
Un contournement n'est pas nécessairement ajouter un intermédiaire. AuroraStore, c'est le Gplay avec quelques éléments pour protéger la vie privée. Sinon prendre les APK directement sur les sites éditeurs (certains le font), c'est au contraire, enlever un intermédiaire.
Aptoide a pas mal de choses douteuses, en fait ca dépend pas mal de l'appstore que tu utilises. APK Mirror sinon n'est pas ouvert à tous et est moins douteux de mémoire (dans la mesure où le Gplay ne l'est pas, ce qui se discute, on est d'accord).
Au moins, avec f-droid, il y a de la traçabilité et de la vérification (parfois un peu automatisée mais ça vire les choses embêtantes).
Tu noteras que tu n'as pas forcément tout ca avec le Gplay d'ailleurs. F-droid est un des stores les plus sécurisés dans le principe.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
si elles ne sont pas publiées sur des stores alternatifs ou directement en apk, c'est un peu bloquant…
Ca dépend en fait …
Déjà, concernant la publication sur des stores alternatifs, c'est un peu discutable. Certains stores comme Aptoid pompent allègrement le Google Play pour en ressortir les APK .
En récupérant des APK dessus (à ses risques et périls, Aptoid peut être assez douteux), une partie fonctionnait sans problème, sans avoir les Gapps, et l'autre crashait direct ou ne s'installait pas à cause des bibliothèques manquantes.
Ca fait quelques années que je ne récupère plus d'APK via Aptoid, donc je n'ai aucune idée de ce que ca donnerait maintenant, et il y a un gros biais dans mon choix d'applis testées. Globalement le medium "officiel" de distributions d'applis non libres sur Android est via le Gplay, du coup même si une appli est faite pour avoir un minimum de dépendances externes, il y a quand même de grande chance que l'éditeur ne la diffuse que sur le Gplay.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Si tu as une recette qui permet d’obtenir ces informations, tu m’intéresses. Est-ce que le seul accès au code source le permet?? Existe d’autres moyens sans le code source??
Oui, tenter de l'installer sur un waydroid sans g-apps. Si l'appli ne s'installe pas ou ne se lance pas en indiquant qu'il manque des bibliothèques Google, c'est que le playstore est obligatoire. Si l'appli s'installe et se lance, c'est bon.
Ca devrait être automatisable, j'imagine qu'on peut surveiller les appels de bibliothèques faits par l'appli ou au moins monitorer si l'appli est bien lancée après l'avoir exécuté, mais je n'y connais pas spécialement grand chose en android.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Soit, à nouveau, on ne fait pas, et on passe à autre chose
C'est pas légal, ne pas avoir les informations de la structure à jour bloque d'autres procédures administratives. Par exemple avec un déménagement d'entreprise, certains documents des impôts permettant d'exercer une activité sont envoyés par voie postale uniquement, à l'adresse déclarée auprès de l'INPI. Ne pas l'avoir implique ne pas pouvoir exercer d'activité avec cette structure, et donc ne pas pouvoir manger au final.
Soit on paie une solution sans smartphone
Pas de soucis, tu me payes le certificat qualifié ? En plus c'est bientôt mon anniversaire :D
Sinon légalement on ne peut pas imposer de solutions explicitement payantes pour des formalités administratives (hors coûts de l'INPI), qui sont nuls en général pour les auto entreprises).
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Certaines formalités administratives pour entreprise (dont les auto entreprises) ne se font plus que par voie numérique, car "imposé par la loi PACTE de 2019" d'après l'INPI. Autant la création d'entreprise ca va, par contre pour toutes les autres formalité il faut passer par FranceConnect+, qui nécessite soit France Identité (application), soit l'identité numérique de La Poste (application aussi). Du coup dans ce cas, comment faire sans passer par une application de l'administration ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
J'aimerais suggérer en complément une colonne indiquant si les applis sont dépendantes des bibliothèques de Gafam ou non. L'idée est de savoir si elles sont installable sur un Android AOSP ou un Waydroid propre (sans G-apps), ou si il est obligatoire d'avoir un Google/Android pour les utiliser.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Tu noteras que c'est pareil dans le secteur public, sauf qu'au lieu de parler de business, on parle d'élus.
Disons que d'un côté, tu as une direction avec des personnes qui voient des produits ou services, se disent qu'ils voudraient bien les utiliser et du coup prennent des contrats sans vérifier la plupart du temps avec les opérationnels de la DSI, le RSSI ou le DPO.
De l'autre, tu as les opérationnels qui se retrouvent devant les faits accomplis et qui n'ont pas leur mot à dire, après-tout ils ne sont pas managers, on ne va quand même pas les écouter.
Et enfin au milieu, il y a une vague de managers dans la DSI qui peuvent se retrouver dans la même positions que les opérationnels, qui peuvent ne pas avoir d'avis ou suivent le mouvement, parfois par méconnaissance du sujet, parfois pour des besoins de carrières. Il y a aussi de temps en temps des DPO qui méconnaissent leurs fonctions et devoirs, et s'en fiche un peu.
Et derrière, il y a la CNIL qui osef un peu des problèmes de RGPD des boites françaises. Par exemple, l'utilisation de services d'une structure soumise aux lois FISA pour y mettre des données personnels, bien qu'incompatible avec le RGPD, n'est pas condamné.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Seulement les serveurs avec 'outlook' ou 'microsoft' dans les domaines MX sons considérés "Microsoft".
Et ca, c'est que si il n'y a pas de gateway frontale pour faire le filtrage (émission et réception) des mails, ce que font pas mal de structures pour avoir plus de souplesse qu'un O365.
Je pense qu'une détection plus fiable serait avec les enregistrement dkim (quand c'est activé, il y a pas mal de chances que ca soit celui de MS et non un propre à la structure) ou peut-être les spf (les domaines d'O365 peuvent être mis "au cas où"). Le plus fiable restant les en-têtes d'un mail reçu, MS met pas mal de choses et peut faire un forward interne avant de l'envoyer aux gateway mails.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
1) Opera pas européen: tu me l'apprends. J'en tiendrai compte dans la prochaine révision de l'EDRIX.
Avec plaisir !
Dans la partie souveraineté des navigateurs (incluant les libres), peut-être qu'il serait possible d'inclure une mesure des "divers" ? Entre les forks de firefox, vivaldi, les historiques qui sont encore là comme midori, ca pourrait être intéressant d'avoir une idée de ce que donne le tout cumulé.
3) Les indices de résilience publics et privés tiennent compte de l'opérateur de mail via les enregistrements MX du DNS. Donc a priori c'est pris en compte.
En ce moment je travaille pour une collectivité territorial. Leurs MX pointent vers une de leurs IP. En pratique, c'est juste une gateway de filtrage (dans les 2 sens) qui renvoit ensuite les courriels vers de l'O365. A la base il y avait des Exchanges, mais MS a rendu quasi impossible d'en avoir on-premise depuis quelques années. Quand j'ai posé la question derrière du pourquoi de l'O365 au RSSI, sa réponse a été "c'est ce que les élus veulent, on peut pas trop forcer autre chose".
J'avais la même chose dans la structure précédente, un acteur privé : gateway on-premise, mails en pratique stockés sur de l'O365 qui remplace les Exchange historiques. Quand j'avais posé les questions de souveraineté au RSSI, même réponse, c'est ce que le business voulait et ils veulent du Teams et pas autre chose.
Globalement, dans toutes mes interactions pro, et dans celle de l'immense majorité de mon cercle pro proche, les communications, même inter-structures, se font avec du Teams, ce qui sous-entend des courriels géré avec de l'O365 (c'est une question de licence, quand on paye du Teams on a les mails avec). De ce que je vois en pratique, on est très loin d'avoir autant de souveraineté dans les courriels que ce que montre l'étude, du coup je ne suis pas certains de la méthodologie utilisée ici.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Je suis pas sûr de comprendre la pertinence de l'adoption par la société civile avec la méthodologie utilisée. Cet indice mesure les pdm de linux, des navigateurs webs souverains et des navigateurs web libres.
Dans l'explication de l'indice, il est indiqué que les mesures de navigateurs web libres ne concernent que Firefox et Brave. Il n'est pas indiqué la facon dont les forks sont considérés (notement tout les forks de Firefox), du coup est-ce qu'ils sont ignorés ?
Dans la partie explicative de la mesure des navigateurs web souverains, il est indiqué que cela cumule les navigateurs libres ayant des pdm significatives et ceux faits en Europe, donc Opera.
De mémoire, Opera Software a été acheté par un groupe chinois (et n'est donc plus vraiment européen), ce qui avait amené à la création de Vivaldi par les anciens devs d'Opera (en Norvège du coup), dont l'usage n'est pas pris en compte dans le calcule de l'indice.
Je suis aussi assez surpris des indices de résiliences privés et publics en France, parce que je n'ai vu quasiment que de l'O365 pour la partie mail, que ca soit dans le privée ou le public.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Pas forcément, les licences mobiles qui grossissent ont tendance à aussi avoir un client pc, à l'image de miHoyo avec ses jeux (Genshin Impact entres autres).
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
On est sûr de ca ? Il ne dépose pas de cookie dans le navigateur web ? De mémoire celui de Google analyse aussi l'historique du navigateur web, c'est pas le cas du captcha de Cloudflare ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Je fais mes transferts en SFTP en général. Quand je connecte mon smartphone à un ordi, j'ai un LAN qui se monte au lieu d'un accès MTP (toujours assez bancal sous Linux), et j'ai un serveur SSH sur mon smartphone. Chez moi c'est encore plus simple, mes devices ont des IP fixes, du coup j'accède à leurs fichiers de facon assez transparente, SFTP est assez bien intégré dans les gestionnaires de fichiers Linux et certains dispo dans F-Droid.
J'aime aussi pas mal les outils qui lancent un mini serveur web sous Android pour accéder ou déposer des fichiers dedans. C'est assez vieux, mais toujours aussi efficace.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
De mémoire, les serveurs relais de Syncthing ne servent que pour l'établissement de la connexion entre 2 peers. Le problème étant que d'un côté il y a très souvent un ou plusieurs NAT entre les peers, et de l'autre, même sans NAT, un autodiscovery ne fonctionne pas en dehors d'un LAN (quand 2 peers sont présents sur le même LAN, en théorie ils peuvent se découvrir sans aide). Ca se configure dans l'UI, mais sans relai, en dehors d'un même LAN et avec les IP des endpoints qui changent (genre un laptop et un smartphone par exemple), les échanges vont être beaucoup plus difficiles.
Les données, elles, s'échangent toujours en p2p, sans passer par un "cloud".
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Pareil, le VU suffit pour voir les conneries des autres, pour ce qui m'intéresse j'ai de la presse spécialisée, et pour le reste, j'ai pas vraiment l'envie d'en savoir plus, c'est toujours un peu la même histoire qui se répète.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
J'aurais juste 2-3 questions :
1. C'est qui "vous" ? Et t'en fais pas parti du coup ?
2. Pourquoi tu ne ferais pas mieux du coup ? Dans les écosystèmes du logiciel libre, tout le monde peut participer, n'hésite pas à le faire !
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Je ne pense pas qu'il y ait de limite aux nombre de devices secondaires. J'ai plusieurs laptops et bridges connectés à Signal, et ca marche correctement.
Pour Whisperfish, j'aimerais bien qu'il ne crash pas au lancement pour pouvoir le tester xD
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Le succès d'Azure démontre que bon nombre d'Européens leur font confiance au niveau commercial du moins, ont-ils des standards diffèrents des tiens ? Ou une compréhension des termes de MS qui est diffèrente.
Le succès est relatif face aux principaux concurrents. Et ce succès relatif ne démontre rien du tout car tu ne connais pas les cas d'usages de leurs clients. Dans la majorité des cas il n'y a pas de traitements de données personnelles ou confidentielles, ce qui fait que les problèmes géographiques et d'extra-territorialités sont très secondaires.
Dans les cas de traitements de données personnelles ou confidentielles, ca démontre surtout une volonté d'ignorer les législations européennes et les ToS. Quand la majorité des clients non techniques de toutes tailles demandent à avoir de l'AWS, GCP ou Azure, la stratégie actuelles des ESN, au lieu de conseiller au mieux leurs clients par rapport à leurs besoins, consistent à leur vendre ce qu'ils demandent et en laissant les questions juridiques aux dits clients.
C'est d'ailleurs assez exaspérant lorsque je me retrouve à devoir traiter les demandes d'intégrations de nouveaux produits dans une infra et que je me retrouve à faire le travail du DPO pour souligner ces petits problèmes juridiques.
En bref, ce n'est pas parce que tout le monde saute joyeusement de la falaise que c'est forcément la meilleure idée.
Quant à mes standards comme tu dis, ce ne sont que ceux imposés par la législation européenne, que MS cherche à ignorer. Mais je comprends ta phrase, essayer de dénigrer les arguments d'une personne est plus simple que de les réfuter proprement.
Perso, j'ai du mal à voir quels termes ne sont pas de confiance en ce qui concerne leur cloud, mais peut-être que j'ai raté un truc.
Suffit de lire le reste du thread, t'as quelques liens pour te donner des pistes de réflexions. Mais si tu ne veux pas les voir, je n'ai pas spécialement envie de me fatiguer à te faire une thèse.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: question plus loin
Posté par Astaoth . En réponse au journal Boursorama semble dorénavant imposer l'usage d'un smartphone pour utiliser ses services. Évalué à 4 (+2/-0).
Yubikey s'en est mais y en a d'autres (par contre un flipper zero, peu de chance que ca passe, ils ont un certificat autosigné). U2F et FIDO c'est plus ou moins la même chose, l'un inclu l'autre mais je sais plus lequel :D
Un Firefox moderne devrait le gérer, t'as le même genre de permissions (et d'accès au hardware) qu'avec un Chrome-like. Généralement les entreprises sérieuses qui fabriquent ce genre de clef USB supportent bien Linux.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Ce que je ne comprends pas
Posté par Astaoth . En réponse au journal Boursorama semble dorénavant imposer l'usage d'un smartphone pour utiliser ses services. Évalué à 3 (+1/-0). Dernière modification le 09 février 2026 à 17:14.
Pas que les yubikeys d'ailleurs, d'après https://www.boursobank.com/aide-en-ligne/securite/proteger-mon-espace-client/question/comment-se-connecter-a-votre-espace-client-grace-aux-cles-de-securite-5165516
Si on reprend la cause de ce mail, c'est pour la norme DSP2, qui n'impose pas spécialement une appli comme second facteur. Peut-être que les autres moyens seront aussi valides, mais comme pour l'instant ils sont peu utilisés, leur support est au courant de rien ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: question plus loin
Posté par Astaoth . En réponse au journal Boursorama semble dorénavant imposer l'usage d'un smartphone pour utiliser ses services. Évalué à 2 (+0/-0).
Les cartes SIM non, et faire du SIM swap ca devient courant. Par contre y a d'autres solutions que les smartphones, comme l'U2F.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Non dépendance à des bibliothèques de Gafam
Posté par Astaoth . En réponse au journal [Projet] Inventaire des applications mobiles proposées par la puissance publique. Évalué à 2.
Pour ? Ne plus avoir besoin d'aptoide ? Mon téléphone principal est sous SailfishOS, le second je me contente du contenu de f-droid.
Un contournement n'est pas nécessairement ajouter un intermédiaire. AuroraStore, c'est le Gplay avec quelques éléments pour protéger la vie privée. Sinon prendre les APK directement sur les sites éditeurs (certains le font), c'est au contraire, enlever un intermédiaire.
Aptoide a pas mal de choses douteuses, en fait ca dépend pas mal de l'appstore que tu utilises. APK Mirror sinon n'est pas ouvert à tous et est moins douteux de mémoire (dans la mesure où le Gplay ne l'est pas, ce qui se discute, on est d'accord).
Tu noteras que tu n'as pas forcément tout ca avec le Gplay d'ailleurs. F-droid est un des stores les plus sécurisés dans le principe.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Non dépendance à des bibliothèques de Gafam
Posté par Astaoth . En réponse au journal [Projet] Inventaire des applications mobiles proposées par la puissance publique. Évalué à 2.
Ca dépend en fait …
Déjà, concernant la publication sur des stores alternatifs, c'est un peu discutable. Certains stores comme Aptoid pompent allègrement le Google Play pour en ressortir les APK .
En récupérant des APK dessus (à ses risques et périls, Aptoid peut être assez douteux), une partie fonctionnait sans problème, sans avoir les Gapps, et l'autre crashait direct ou ne s'installait pas à cause des bibliothèques manquantes.
Ca fait quelques années que je ne récupère plus d'APK via Aptoid, donc je n'ai aucune idée de ce que ca donnerait maintenant, et il y a un gros biais dans mon choix d'applis testées. Globalement le medium "officiel" de distributions d'applis non libres sur Android est via le Gplay, du coup même si une appli est faite pour avoir un minimum de dépendances externes, il y a quand même de grande chance que l'éditeur ne la diffuse que sur le Gplay.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Non dépendance à des bibliothèques de Gafam
Posté par Astaoth . En réponse au journal [Projet] Inventaire des applications mobiles proposées par la puissance publique. Évalué à 2.
Oui, tenter de l'installer sur un waydroid sans g-apps. Si l'appli ne s'installe pas ou ne se lance pas en indiquant qu'il manque des bibliothèques Google, c'est que le playstore est obligatoire. Si l'appli s'installe et se lance, c'est bon.
Ca devrait être automatisable, j'imagine qu'on peut surveiller les appels de bibliothèques faits par l'appli ou au moins monitorer si l'appli est bien lancée après l'avoir exécuté, mais je n'y connais pas spécialement grand chose en android.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: zéro appli, zéro probleme, pour rien au monde je reviendrai en arrière.
Posté par Astaoth . En réponse au journal [Projet] Inventaire des applications mobiles proposées par la puissance publique. Évalué à 3. Dernière modification le 07 novembre 2025 à 14:02.
C'est pas légal, ne pas avoir les informations de la structure à jour bloque d'autres procédures administratives. Par exemple avec un déménagement d'entreprise, certains documents des impôts permettant d'exercer une activité sont envoyés par voie postale uniquement, à l'adresse déclarée auprès de l'INPI. Ne pas l'avoir implique ne pas pouvoir exercer d'activité avec cette structure, et donc ne pas pouvoir manger au final.
Pas de soucis, tu me payes le certificat qualifié ? En plus c'est bientôt mon anniversaire :D
Sinon légalement on ne peut pas imposer de solutions explicitement payantes pour des formalités administratives (hors coûts de l'INPI), qui sont nuls en général pour les auto entreprises).
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: zéro appli, zéro probleme, pour rien au monde je reviendrai en arrière.
Posté par Astaoth . En réponse au journal [Projet] Inventaire des applications mobiles proposées par la puissance publique. Évalué à 6.
Certaines formalités administratives pour entreprise (dont les auto entreprises) ne se font plus que par voie numérique, car "imposé par la loi PACTE de 2019" d'après l'INPI. Autant la création d'entreprise ca va, par contre pour toutes les autres formalité il faut passer par FranceConnect+, qui nécessite soit France Identité (application), soit l'identité numérique de La Poste (application aussi). Du coup dans ce cas, comment faire sans passer par une application de l'administration ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
# Non dépendance à des bibliothèques de Gafam
Posté par Astaoth . En réponse au journal [Projet] Inventaire des applications mobiles proposées par la puissance publique. Évalué à 8.
J'aimerais suggérer en complément une colonne indiquant si les applis sont dépendantes des bibliothèques de Gafam ou non. L'idée est de savoir si elles sont installable sur un Android AOSP ou un Waydroid propre (sans G-apps), ou si il est obligatoire d'avoir un Google/Android pour les utiliser.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Adoption par la société civile
Posté par Astaoth . En réponse à la dépêche Lancement de l'EDRIX : un indice pour mesurer la souveraineté numérique européenne. Évalué à 4.
Tu noteras que c'est pareil dans le secteur public, sauf qu'au lieu de parler de business, on parle d'élus.
Disons que d'un côté, tu as une direction avec des personnes qui voient des produits ou services, se disent qu'ils voudraient bien les utiliser et du coup prennent des contrats sans vérifier la plupart du temps avec les opérationnels de la DSI, le RSSI ou le DPO.
De l'autre, tu as les opérationnels qui se retrouvent devant les faits accomplis et qui n'ont pas leur mot à dire, après-tout ils ne sont pas managers, on ne va quand même pas les écouter.
Et enfin au milieu, il y a une vague de managers dans la DSI qui peuvent se retrouver dans la même positions que les opérationnels, qui peuvent ne pas avoir d'avis ou suivent le mouvement, parfois par méconnaissance du sujet, parfois pour des besoins de carrières. Il y a aussi de temps en temps des DPO qui méconnaissent leurs fonctions et devoirs, et s'en fiche un peu.
Et derrière, il y a la CNIL qui osef un peu des problèmes de RGPD des boites françaises. Par exemple, l'utilisation de services d'une structure soumise aux lois FISA pour y mettre des données personnels, bien qu'incompatible avec le RGPD, n'est pas condamné.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Office365 partout
Posté par Astaoth . En réponse à la dépêche Lancement de l'EDRIX : un indice pour mesurer la souveraineté numérique européenne. Évalué à 4. Dernière modification le 26 septembre 2025 à 18:03.
Et ca, c'est que si il n'y a pas de gateway frontale pour faire le filtrage (émission et réception) des mails, ce que font pas mal de structures pour avoir plus de souplesse qu'un O365.
Je pense qu'une détection plus fiable serait avec les enregistrement dkim (quand c'est activé, il y a pas mal de chances que ca soit celui de MS et non un propre à la structure) ou peut-être les spf (les domaines d'O365 peuvent être mis "au cas où"). Le plus fiable restant les en-têtes d'un mail reçu, MS met pas mal de choses et peut faire un forward interne avant de l'envoyer aux gateway mails.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Adoption par la société civile
Posté par Astaoth . En réponse à la dépêche Lancement de l'EDRIX : un indice pour mesurer la souveraineté numérique européenne. Évalué à 6.
Avec plaisir !
Dans la partie souveraineté des navigateurs (incluant les libres), peut-être qu'il serait possible d'inclure une mesure des "divers" ? Entre les forks de firefox, vivaldi, les historiques qui sont encore là comme midori, ca pourrait être intéressant d'avoir une idée de ce que donne le tout cumulé.
En ce moment je travaille pour une collectivité territorial. Leurs MX pointent vers une de leurs IP. En pratique, c'est juste une gateway de filtrage (dans les 2 sens) qui renvoit ensuite les courriels vers de l'O365. A la base il y avait des Exchanges, mais MS a rendu quasi impossible d'en avoir on-premise depuis quelques années. Quand j'ai posé la question derrière du pourquoi de l'O365 au RSSI, sa réponse a été "c'est ce que les élus veulent, on peut pas trop forcer autre chose".
J'avais la même chose dans la structure précédente, un acteur privé : gateway on-premise, mails en pratique stockés sur de l'O365 qui remplace les Exchange historiques. Quand j'avais posé les questions de souveraineté au RSSI, même réponse, c'est ce que le business voulait et ils veulent du Teams et pas autre chose.
Globalement, dans toutes mes interactions pro, et dans celle de l'immense majorité de mon cercle pro proche, les communications, même inter-structures, se font avec du Teams, ce qui sous-entend des courriels géré avec de l'O365 (c'est une question de licence, quand on paye du Teams on a les mails avec). De ce que je vois en pratique, on est très loin d'avoir autant de souveraineté dans les courriels que ce que montre l'étude, du coup je ne suis pas certains de la méthodologie utilisée ici.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
# Adoption par la société civile
Posté par Astaoth . En réponse à la dépêche Lancement de l'EDRIX : un indice pour mesurer la souveraineté numérique européenne. Évalué à 4.
Je suis pas sûr de comprendre la pertinence de l'adoption par la société civile avec la méthodologie utilisée. Cet indice mesure les pdm de linux, des navigateurs webs souverains et des navigateurs web libres.
Dans l'explication de l'indice, il est indiqué que les mesures de navigateurs web libres ne concernent que Firefox et Brave. Il n'est pas indiqué la facon dont les forks sont considérés (notement tout les forks de Firefox), du coup est-ce qu'ils sont ignorés ?
Dans la partie explicative de la mesure des navigateurs web souverains, il est indiqué que cela cumule les navigateurs libres ayant des pdm significatives et ceux faits en Europe, donc Opera.
De mémoire, Opera Software a été acheté par un groupe chinois (et n'est donc plus vraiment européen), ce qui avait amené à la création de Vivaldi par les anciens devs d'Opera (en Norvège du coup), dont l'usage n'est pas pris en compte dans le calcule de l'indice.
Je suis aussi assez surpris des indices de résiliences privés et publics en France, parce que je n'ai vu quasiment que de l'O365 pour la partie mail, que ca soit dans le privée ou le public.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Effet de bord
Posté par Astaoth . En réponse à la dépêche Android n’autorisera plus que les applications des développeurs autorisés. Évalué à 2.
Pas forcément, les licences mobiles qui grossissent ont tendance à aussi avoir un client pc, à l'image de miHoyo avec ses jeux (Genshin Impact entres autres).
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Europe
Posté par Astaoth . En réponse à la dépêche Android n’autorisera plus que les applications des développeurs autorisés. Évalué à 10.
"votre opposition a cet anus de position dominante"
La typo est magique :D
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Du positif quand même
Posté par Astaoth . En réponse au journal Troov, la startup qui impose le Captcha Cloudflare aux prises de rdv Consulaires. Évalué à 2.
On est sûr de ca ? Il ne dépose pas de cookie dans le navigateur web ? De mémoire celui de Google analyse aussi l'historique du navigateur web, c'est pas le cas du captcha de Cloudflare ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
# SFTP et mini serveur web
Posté par Astaoth . En réponse au journal LocalSend une application pour envoyer vos photos de smartphone sur votre GNU/Linux. Évalué à 5.
Je fais mes transferts en SFTP en général. Quand je connecte mon smartphone à un ordi, j'ai un LAN qui se monte au lieu d'un accès MTP (toujours assez bancal sous Linux), et j'ai un serveur SSH sur mon smartphone. Chez moi c'est encore plus simple, mes devices ont des IP fixes, du coup j'accède à leurs fichiers de facon assez transparente, SFTP est assez bien intégré dans les gestionnaires de fichiers Linux et certains dispo dans F-Droid.
J'aime aussi pas mal les outils qui lancent un mini serveur web sous Android pour accéder ou déposer des fichiers dedans. C'est assez vieux, mais toujours aussi efficace.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: syncthing
Posté par Astaoth . En réponse au journal LocalSend une application pour envoyer vos photos de smartphone sur votre GNU/Linux. Évalué à 9.
De mémoire, les serveurs relais de Syncthing ne servent que pour l'établissement de la connexion entre 2 peers. Le problème étant que d'un côté il y a très souvent un ou plusieurs NAT entre les peers, et de l'autre, même sans NAT, un autodiscovery ne fonctionne pas en dehors d'un LAN (quand 2 peers sont présents sur le même LAN, en théorie ils peuvent se découvrir sans aide). Ca se configure dans l'UI, mais sans relai, en dehors d'un même LAN et avec les IP des endpoints qui changent (genre un laptop et un smartphone par exemple), les échanges vont être beaucoup plus difficiles.
Les données, elles, s'échangent toujours en p2p, sans passer par un "cloud".
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: De ce que j’ai compris…
Posté par Astaoth . En réponse au sondage Pour suivre les informations, j'utilise avant tout.... Évalué à 2.
Parce que je l'ai dans mes abos Freetube, alors que FranceTV, j'ai pas de client lourd, libre, et respectueux de la vie privée.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: De ce que j’ai compris…
Posté par Astaoth . En réponse au sondage Pour suivre les informations, j'utilise avant tout.... Évalué à 3.
Pareil, le VU suffit pour voir les conneries des autres, pour ce qui m'intéresse j'ai de la presse spécialisée, et pour le reste, j'ai pas vraiment l'envie d'en savoir plus, c'est toujours un peu la même histoire qui se répète.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Presse papier acheté son marchand de journaux
Posté par Astaoth . En réponse au sondage Pour suivre les informations, j'utilise avant tout.... Évalué à 2.
Sur le moment, j'ai lu "le presse papier" :D
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Encore un exemple d'échec de communication.
Posté par Astaoth . En réponse à la dépêche (Début de) la fin de Windows (10). Évalué à 2.
J'aurais juste 2-3 questions :
1. C'est qui "vous" ? Et t'en fais pas parti du coup ?
2. Pourquoi tu ne ferais pas mieux du coup ? Dans les écosystèmes du logiciel libre, tout le monde peut participer, n'hésite pas à le faire !
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: F-droid
Posté par Astaoth . En réponse au journal La mort annoncée de E/OS - LineageOS et F-Droid : Il est temps d’ouvrir les yeux. Évalué à 2.
Je ne pense pas qu'il y ait de limite aux nombre de devices secondaires. J'ai plusieurs laptops et bridges connectés à Signal, et ca marche correctement.
Pour Whisperfish, j'aimerais bien qu'il ne crash pas au lancement pour pouvoir le tester xD
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: F-droid
Posté par Astaoth . En réponse au journal La mort annoncée de E/OS - LineageOS et F-Droid : Il est temps d’ouvrir les yeux. Évalué à 4.
C'est récent du coup, j'avais pas eu besoin d'ajouter un autre dépôt pour installer Molly. C'est bon a savoir.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Comprends pas trop
Posté par Astaoth . En réponse au journal GDPR: le loup en charge de la bergerie?. Évalué à 3.
Le succès est relatif face aux principaux concurrents. Et ce succès relatif ne démontre rien du tout car tu ne connais pas les cas d'usages de leurs clients. Dans la majorité des cas il n'y a pas de traitements de données personnelles ou confidentielles, ce qui fait que les problèmes géographiques et d'extra-territorialités sont très secondaires.
Dans les cas de traitements de données personnelles ou confidentielles, ca démontre surtout une volonté d'ignorer les législations européennes et les ToS. Quand la majorité des clients non techniques de toutes tailles demandent à avoir de l'AWS, GCP ou Azure, la stratégie actuelles des ESN, au lieu de conseiller au mieux leurs clients par rapport à leurs besoins, consistent à leur vendre ce qu'ils demandent et en laissant les questions juridiques aux dits clients.
C'est d'ailleurs assez exaspérant lorsque je me retrouve à devoir traiter les demandes d'intégrations de nouveaux produits dans une infra et que je me retrouve à faire le travail du DPO pour souligner ces petits problèmes juridiques.
En bref, ce n'est pas parce que tout le monde saute joyeusement de la falaise que c'est forcément la meilleure idée.
Quant à mes standards comme tu dis, ce ne sont que ceux imposés par la législation européenne, que MS cherche à ignorer. Mais je comprends ta phrase, essayer de dénigrer les arguments d'une personne est plus simple que de les réfuter proprement.
Suffit de lire le reste du thread, t'as quelques liens pour te donner des pistes de réflexions. Mais si tu ne veux pas les voir, je n'ai pas spécialement envie de me fatiguer à te faire une thèse.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.