Je suppose qu'avec ca beaucoup de monde va soudainement se découvrir une passion pour les VPN ou TOR. Je suppose donc que la prochaine étape est de les interdire pour les particuliers ?
En plus, au passage, ca résoudra le problème de contournement de l'Arcom, ca fera d'une pierre 2 coups
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
La distinction entre riche et pauvre est nettement moins importante.
J'en doute : "des revenus" ce n'est pas égal à "un salaire".
Si tu prends les personnes ayant les plus hauts revenus, ils sont issus de bien immobiliers, de dividendes, de revenus de sociétés, etc. Du coup je doute que limiter le montant des salaires ait un quelconque effet, ou alors celui de creuser l'écart entre les riches et les pauvres.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Bon, c'est un poil plus complexe que ca, mais t'as tout sur wikipedia. Le choix par répartition ne s'est pas fait sans avoir testé celui par capitalisation avant et sans longues discussions pendant des années.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Pourquoi son inactivité devrait elle être mieux rémunérée? Il a pu mettre plus de coté et se faire un petit pactole avant. On a déjà des impôts par tranche en fonction du revenu, ça ne change pas grand chose sur le fond.
Le problème c'est quand tu as promis certains revenus à une personne, qu'elle base sa carrière entière dessus, qu'une fois arrivée à la retraite elle a des dépenses mensuelles basées sur ces revenues, tu peux pas lui dire "bah finalement t'auras moins que prévu, et tant pis pour les crédits que t'as fait en te basant sur tes revenus".
De plus, avoir de forts revenus n'est pas nécessairement synonyme de possibilité d'avoir un pactole ou de fort patrimoine. Ce sont des choses différentes.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Pour moi il aurait fallu basculer depuis longtemps d'un système par répartition à un système par capitalisation, mais ne pas laisser les fonds privés gérer les capitaux (mais doner un mandat à la CDC par exemple pour le faire ).
C'était pas le cas pendant la 4ème République et qui a poussé justement le choix d'un système par répartition pour la 5ème République ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Et parmi ca, le gros des IP américaines, c'est des scanners de type Shodan ou Censys. T'as des initiatives comme greynoise qui existent pour référencer les ip ayant ce type de trafic un peu gris.
Bon à côté, je te concède par contre que pour le moment, l'immense majorité des bots qui font des attaques de SQLi ou path traversal un peu bateau ont des IP chinoises. Mais si demain tout le monde géobloque les ip chinoises, ca deviendra des IP francaise de chez OVH ou d'un VPN, ca ne changera pas grand chose.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Firefox peut être installé sans les droits d'admin sous windows dans les dernières versions. L'exemple n'était pas pris au hasard ;)
Par contre, en regardant rapidement la version de Firefox installée, on voit très vite que c'est une version 64b au lieu de 32b par exemple, ou non ESR, donc que l'utilisateur l'a installé lui-même (quand on a eu plusieurs fois le problème). Par contre quand la version Flatpak et celle des dépôts est identique, c'est plus dur à voir.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
La première des restrictions IP devrait donc être géographique. Sans vouloir verser dans le cliché, à moins d'avoir des amis chinois ou russes, inutile de laisser passer les adresses IP de ces pays.
Absolument pas. En entreprise, le gros des bots qu'on se tapent viennent des USA, une restriction géographique ne servira à rien ici. Par contre, quand on utilise Tor par exemple, on ne controle pas son noeud de sorti, on peut se retrouver n'importe où dans le monde.
On peut vouloir bloquer les flux Tor (même si c'est une mauvaise idée je trouve), mais dans ce cas la liste des noeuds sortant est dispo publiquement.
Si on veut bloquer tout les flux qui viennent d'un pays, ne faudrait-il pas également bloquer les flux VPN (qui permettent donc de contourner ces restrictions) ? Mais dans ce cas, quid des utilisateurs qui vivent derrière des VPN ou proxy cloud ?
La restriction géographique est vraiment très cliché, très facile à contourner, à trop de risques de surblocage, et fourni donc un faux sentiment de sécurité.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
A dire vrai, c'est une réflexion très pertinente, surtout si ces contrôleurs de domaines alternatifs peuvent tout de même gérer des postes Windows et MacOS.
Cependant cette voie n'est que trop rarement prise, soit en avançant l'absence de support payant (ce qui n'est pas toujours vrai, mais indispensable dans des petites structures), soit pour des raisons non techniques.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Donc en gros, faut déployer du Gnome sur les postes utilisateurs pour pouvoir avoir des postes Linux ?
Tiens, Flatpak est encore un autre cas à gérer en plus. C'est de l'installation d'appli géré directement au niveau utilisateur. Donc par exemple, dans une orga qui a un serveur proxy préconfiguré (c'est-à-dire quasi toutes) dans le navigateur web par défaut de la structure, Firefox par exemple, l'utilisateur peut donc installer un autre Firefox en Flatpak, se retrouver sans la config proxy, et ensuite faire un ticket auprès du support de type "Firefox marche pas pour aller sur internet" avec un screenshot d'une page web en timeout. La confusion pour le support sera total, et le ticket très mal traité.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Sans être spécialement dans le télétravail, la question que je me pose est celle de l'utilisation d'Office 365 et du RGPD.
D'un côté, une plateforme ne peut pas traiter les données personnelles d'un utilisateur sans son consentement (enfin oui et non, ca dépend, mais en gros résumé quoi). Lorsque j'ai signé mon contrat avec mon employeur, je ne me souviens pas avoir consenti à ce genre de traitement, et encore moins quand le client a créé un compte à mon nom. Je n'ai aucune relation contractuelle direct avec mon client. Est-ce que le traitement de données perso est légal dans ce cas ?
Concernant les traitements des données, les structures utilisent de plus en plus Office 365. Pourtant, il semblerait qu'Office 365 ne respecte pas le RGPD et fasse des transferts de données vers les USA. Du coup comment est-ce que la question du transfert de ses données persos vers les USA par un produit utilisé par un client avec lequel je n'ai pas de relation contractuelle directe se gère ?
Pour revenir au télétravail, celui-ci implique de traiter l'adresse IP personnelle de l'utilisateur, parfois avec des produits n'appartenant pas à la structure (par exemple Office 365). De même, comment est couvert cet aspect d'un point de vu légal ?
Auparavant, lorsqu'on ne souhaitait avoir rien à faire avec Microsoft au niveau de ses données perso, c'était envisageable : l'Active Directory était uniquement local, les serveurs Exchanges aussi. Mais de nos jours avec le cloud Azure, ca a l'air d'être totalement impossible. Au lieu de mettre en balance la volonté de ne pas vouloir fournir ses données persos à Microsoft contre l'utilisation d'un ordi perso, maintenant c'est pratiquement contre avoir un travail pour vivre que ca se fait.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Je pense que n'importe quel vendeur d'antivirus moderne peut prétendre au même bullshit commercial de nos jours.
Par contre la différence entre Windows Defender et les autres AV, c'est qu'ils ne détectent pas de simples POC de malwares, contrairement à d'autres. C'est toujours fascinant de voir ce qu'il laisse passer.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Tu n'as jamais géré de parc informatique, ou travaillé dans une DSI ?
Les gestionnaires de paquets sont là pour faire ce genre de choses non ?
Non. Un gestionnaire de paquet ne fait pas de déploiement de mises à jours par lui-même, l'utilisateur doit les lancer, ce qui veut dire potentiellement jamais pour certains.
Ils ne font pas le déploiement automatiques de certaines applications, quelqu'un doit bien les lancer d'une façon ou d'une autre.
Et enfin, ils ne permettent pas de faire le déploiement de configurations directement.
A moins que tu proposais de maintenir ses propres dépôts avec ses propres paquets customs tout en restant synchro avec l'upstream ? Est-ce que tu penses qu'une DSI composée de parfois 2 personnes (dans les petites administrations, c'est courant) peuvent maintenir leur propre distribution, en plus de gérer les problèmes utilisateurs ?
Même chez Air France, alors qu'ils ont une DSI énorme, leur gestionnaire de paquets pour les applis serveurs ne remplace pas celui qui est utilisé officiellement par leur distro.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Du coup il est nécessaire de se connecter au réseau de la structure (par VPN par exemple) pour terminer l'authentification ? Comment ca se passe pour travailler dans le train, ou pour une structure qui a fait le choix de ne pas proposer le VPN à tout le monde mais seulement aux personnes ayant besoin d'administrer l'infra ?
Avec un Windows, une fois l'initialisation du compte faite, il n'y a besoin de se connecter au réseau de la structure seulement pour changer le mdp.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
L'idée du mode bureau est que ça fonctionne avec une écran externe, un clavier et une souris, je pense, pas en tactile.
Bizarrement j'ai pas lu ca dans les com commerciales de Valve. Et c'est pas vraiment le Steam Deck que j'utiliserais pour travailler, surtout en sachant que les applis installées via les dépôts sont supprimés à chaque maj de l'OS, seuls les flatpaks restent.
On joue avec l'écran intégré en tactile et avec les pads, et on "travaille" avec un dock.
Si le mode bureau est fait pour être utilisé avec un dock, pourquoi le proposer quand on appuie sur le bouton d'alim ? Ca n'a pas de sens d'un point de vue ergonomique.
Faire autre chose que jouer avec l'écran interne, c'est du masochisme, quelque soit l'environnement, à part installer un truc prévu pour…
Netflix/Twitch/Youtube/Kodi ? Lire ses flux RSS ? Lancer sa plateforme d'émulation préférée ? Jsais pas ca a pas l'air si incroyable vu qu'on peut déjà faire la plupart de ces chsoes sur une Switch.
Sinon, y a pleins de choses qui peuvent se faire avec un petit écran, regarde ce qu'on peut faire avec un smartphone (pour info, avec le mien, je passe facilement la moitié du temps dans le terminal).
Avec une UI adaptée, y a pas de problème pour utiliser Linux sur un écran tactile "aussi petit", on le fait bien avec SFOS, UbuntuTouch, Droidian, Maemo & cie (le choix est très vaste) depuis plus de 10 ans maintenant, et avec des écrans de 3.5", voir moins. Mais faut encore prendre quelques jours pour faire une UI adaptée au lieu de balancer un Plasma à l'arrache, en mode balec.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Dans le principe, oui il faudrait avoir du zero trust partout, permettre le BOYD tant qu'à faire, etc. Sauf que toutes les structures n'ont pas les budgets pour supporter ces évolutions rapidement (ca peut être des projets sur 5/10 ans), et en particulier dan les administrations il peut y avoir une certaine inertie.
Pour ce qui est du contrôle du poste utilisateur, le problème est plus simple que ça. Il s'agit d'éviter d'avoir à régler les problèmes que l'utilisateur se cause lui-même. Par exemple, quand tu te retrouves avec un ticket de type "j'arrive plus a accéder à mon appli" ou "internet marche plus depuis la dernière maj" mais que l'utilisateur oublie de te préciser qu'il a mis des DNS custom pour bloquer les pub/trackers (et du coup n'intègre pas les entrées DNS internes), qu'il a installé un NordVPN permanent avec killswitch ou autre, ca devient beaucoup plus dur de l'aider. Avec un parc homogène, les diagnostiques sont simplifiés.
De même, on sait également que l'utilisateur ne lit pas les chartes infos qu'il signe. Quand dans la charte en question on indique explicitement qu'il n'a pas le droit de stocker ses documents (ou les dossiers de clients ou personnes administrées) sur un dropbox perso et qu'il le fait quand même, faut bien un moyen déjà de le vérifier si il le fait ou non, et de l'en empêcher.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Je parlais de clients lourds sur le poste utilisateur. Si l'utilisateur n'est pas dans le réseau de la structure, que ca soit via une connexion filaire, wifi ou VPN, impossible de déployer une application sur le poste de l'utilisateur, contrairement au monde Windows.
On parle bien d'administration des postes utilisateurs et pas de l'infrastructure de la structure.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Sans remonter autant dans le temps, il me semble que la CNIL a indiqué il y a quelques semaines qu'Office 365 pourrait ne pas être conforme au RGPD, à causes de transferts de données aux USA.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Moi il y a 3 grosses question que je me pose par rapport à ca.
Pour l'authentification, il y a un module PAM qui gère le LDAP. Sauf que contrairement au monde Windows, je ne crois pas qu'il y ait de cache local, du coup comment on ouvre sa session en télétravail ?
Sous Debian, quand on a un accès physique à un poste, ca prend quelques caractères dans grub pour passer en admin. Avec les autres distro, c'est pas tellement plus compliqué non plus. Du coup comment on gère ca proprement ? Avec du chiffrement de disque ?
Mais du coup, comment gérer le déchiffrement de disque ? Via un mdp, l'utilisateur pourra modifier son système comme il le souhaitera pour avoir les droits d'admin. Via l'authentification du contexte réseau, impossible de démarrer en télétravail.
Je ne suis pas sûr qu'Ansible soit le meilleur outil pour remplacer les GPO, WSUS et SCCM (probablement le principal outil de déploiement d'applis du monde Windows). Déjà Ansible est horriblement lent, faut pas avoir trop de postes à manager. En plus le télétravail est de plus en plus présent ; SCCM est utilisable pour faire du déploiement sur des postes hors du réseau, et a maintenant une version cloud.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Totalement d'accord. Gérer un parc de postes de travail, ce n'est pas juste fournir des ordis aux gens. C'est les paramétrer pour qu'ils fonctionnent dans l'environnement de la structure, déployer des applications, déployer les mises à jours sur les postes, et le tout à distance.
Dans un monde Windows, il y a les GPO, WSUS et SCCM (ou autres) pour ca. Sous Linux il y a quoi ? Ansible ? Fusion Inventory ? On est très loin de ce qui existe dans un monde Windows, ce sont d'autres façon de travailler, qui peuvent être totalement méconnues des équipes postes de travails.
Egalement, comment gérer l'authentification de l'utilisateur sur son poste ? PAM a bien un module pour utiliser LDAP, mais il a besoin d'accéder à l'annuaire, ce qui empêche son utilisation en télétravail.
Evidement, tout ca ne sert à rien si l'utilisateur à juste à modifier une entrée dans son grub pour avoir les droits d'admin locaux, les équipes de postes de travails doivent donc trouver une solution adapté à l'environnement de la structure pour gérer ca.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Pour la bureautique, il me semble qu'il y a déjà un truc légal sur ca. Normalement, le format des documents administratifs est censé être l'ODT.
Cependant, j'en avais discuté avec un directeur info d'une grosse administration, sa réponse avait été un truc du style "ouais normalement c'est l'ODT, mais bon, on préfère Word, Excel et PowerPoint, du coup on a mis du Microsoft Office partout et on fait du docx".
Pour Thunderbird, malheureusement il ne gère pas nativement l'intégration d'Exchange. Et tout les serveurs Exchanges ne sont pas forcément configuré pour autoriser l'IMAP. D'ailleurs ces serveurs on premises sont en voie de disparition, grâce à 2-3 changement de Microsoft.
Ca lève du coup la question de pourquoi on reste sur des serveurs Exchange pour les courriels, mais qui du coup ne concerne pas directement les postes de travails.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
Le SteamDeck fonctionne par défaut avec un environnement Steam.
La possibilité d'utiliser Plasma est juste un choix dû à la philosophie de la société, qui ne souhaite pas empêcher les gens de bidouiller leurs produits (vous vous souvenez de la plétord de mods de CS 1.6 ou Source ?), mais au contraire, leur donner parfois quelques facilités à le faire.
Cependant prendre le Steam Deck comme exemple pour Plasma souligne que tu n'as jamais eutilisé un Steam Deck en mode bureau : son utilisation est un calvaire, rien n'a été pensé pour. Même moi je peux te sortir une conf FVWM (qui a plus de 20 ans) qui soit bien plus adapté à un environnement tactile que cette horreur.
Pour rendre une interface tactile utilisable, il y a pleins de détails à prendre en compte, il suffit pas de balancer un bureau fait pour un env clavier/souris en mode "démerdez vous, tfacon c'est que pour les geeks".
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
# La prochaiine étape
Posté par Astaoth . En réponse au journal Les mineurs bientôt privés de télécommunication (et les majeurs traqués). Évalué à 10. Dernière modification le 06 mars 2023 à 10:00.
Je suppose qu'avec ca beaucoup de monde va soudainement se découvrir une passion pour les VPN ou TOR. Je suppose donc que la prochaine étape est de les interdire pour les particuliers ?
En plus, au passage, ca résoudra le problème de contournement de l'Arcom, ca fera d'une pierre 2 coups
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Les propositions que je trouve démagogiques
Posté par Astaoth . En réponse au journal Des idées pour financer la retraite. . Évalué à 2.
J'en doute : "des revenus" ce n'est pas égal à "un salaire".
Si tu prends les personnes ayant les plus hauts revenus, ils sont issus de bien immobiliers, de dividendes, de revenus de sociétés, etc. Du coup je doute que limiter le montant des salaires ait un quelconque effet, ou alors celui de creuser l'écart entre les riches et les pauvres.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Les propositions que je trouve démagogiques
Posté par Astaoth . En réponse au journal Des idées pour financer la retraite. . Évalué à 6.
Bon, c'est un poil plus complexe que ca, mais t'as tout sur wikipedia. Le choix par répartition ne s'est pas fait sans avoir testé celui par capitalisation avant et sans longues discussions pendant des années.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Les propositions que je trouve démagogiques
Posté par Astaoth . En réponse au journal Des idées pour financer la retraite. . Évalué à 2.
Le problème c'est quand tu as promis certains revenus à une personne, qu'elle base sa carrière entière dessus, qu'une fois arrivée à la retraite elle a des dépenses mensuelles basées sur ces revenues, tu peux pas lui dire "bah finalement t'auras moins que prévu, et tant pis pour les crédits que t'as fait en te basant sur tes revenus".
De plus, avoir de forts revenus n'est pas nécessairement synonyme de possibilité d'avoir un pactole ou de fort patrimoine. Ce sont des choses différentes.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Les propositions que je trouve démagogiques
Posté par Astaoth . En réponse au journal Des idées pour financer la retraite. . Évalué à 3.
C'était pas le cas pendant la 4ème République et qui a poussé justement le choix d'un système par répartition pour la 5ème République ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
# En version quotidienne pour la dystopie
Posté par Astaoth . En réponse au journal Un podcast hebdomadaire sur notre dystopie quotidienne. Évalué à 10.
Ca s'appelle le JT nan ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Intéressant
Posté par Astaoth . En réponse à la dépêche MySafeIP: un tiers de confiance pour votre pare-feu !. Évalué à 6.
Et parmi ca, le gros des IP américaines, c'est des scanners de type Shodan ou Censys. T'as des initiatives comme greynoise qui existent pour référencer les ip ayant ce type de trafic un peu gris.
Bon à côté, je te concède par contre que pour le moment, l'immense majorité des bots qui font des attaques de SQLi ou path traversal un peu bateau ont des IP chinoises. Mais si demain tout le monde géobloque les ip chinoises, ca deviendra des IP francaise de chez OVH ou d'un VPN, ca ne changera pas grand chose.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Administration de tout ça
Posté par Astaoth . En réponse à la dépêche Le poste de travail Linux : un objectif gouvernemental ?. Évalué à 3.
Firefox peut être installé sans les droits d'admin sous windows dans les dernières versions. L'exemple n'était pas pris au hasard ;)
Par contre, en regardant rapidement la version de Firefox installée, on voit très vite que c'est une version 64b au lieu de 32b par exemple, ou non ESR, donc que l'utilisateur l'a installé lui-même (quand on a eu plusieurs fois le problème). Par contre quand la version Flatpak et celle des dépôts est identique, c'est plus dur à voir.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Intéressant
Posté par Astaoth . En réponse à la dépêche MySafeIP: un tiers de confiance pour votre pare-feu !. Évalué à 9.
Absolument pas. En entreprise, le gros des bots qu'on se tapent viennent des USA, une restriction géographique ne servira à rien ici. Par contre, quand on utilise Tor par exemple, on ne controle pas son noeud de sorti, on peut se retrouver n'importe où dans le monde.
On peut vouloir bloquer les flux Tor (même si c'est une mauvaise idée je trouve), mais dans ce cas la liste des noeuds sortant est dispo publiquement.
Si on veut bloquer tout les flux qui viennent d'un pays, ne faudrait-il pas également bloquer les flux VPN (qui permettent donc de contourner ces restrictions) ? Mais dans ce cas, quid des utilisateurs qui vivent derrière des VPN ou proxy cloud ?
La restriction géographique est vraiment très cliché, très facile à contourner, à trop de risques de surblocage, et fourni donc un faux sentiment de sécurité.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Utilisateur de Xfce4
Posté par Astaoth . En réponse à la dépêche Xfce 4.18 est sorti !. Évalué à 5.
Du coup ca serait juste une question de thème moderne comme https://techstop.github.io/make-xfce-look-modern/ et quelques effets graphiques ?
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Peu d'obstacle?
Posté par Astaoth . En réponse à la dépêche Le poste de travail Linux : un objectif gouvernemental ?. Évalué à 3. Dernière modification le 03 janvier 2023 à 12:14.
A dire vrai, c'est une réflexion très pertinente, surtout si ces contrôleurs de domaines alternatifs peuvent tout de même gérer des postes Windows et MacOS.
Cependant cette voie n'est que trop rarement prise, soit en avançant l'absence de support payant (ce qui n'est pas toujours vrai, mais indispensable dans des petites structures), soit pour des raisons non techniques.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Le lien vers le site
Posté par Astaoth . En réponse au journal Nouvelle version de HomeBox. Évalué à 3. Dernière modification le 27 décembre 2022 à 22:58.
Ha, c'était pas https://www.homebox.fr ? Je me disais bien que je voyais pas trop le rapport avec les cartons.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Administration de tout ça
Posté par Astaoth . En réponse à la dépêche Le poste de travail Linux : un objectif gouvernemental ?. Évalué à 3.
Donc en gros, faut déployer du Gnome sur les postes utilisateurs pour pouvoir avoir des postes Linux ?
Tiens, Flatpak est encore un autre cas à gérer en plus. C'est de l'installation d'appli géré directement au niveau utilisateur. Donc par exemple, dans une orga qui a un serveur proxy préconfiguré (c'est-à-dire quasi toutes) dans le navigateur web par défaut de la structure, Firefox par exemple, l'utilisateur peut donc installer un autre Firefox en Flatpak, se retrouver sans la config proxy, et ensuite faire un ticket auprès du support de type "Firefox marche pas pour aller sur internet" avec un screenshot d'une page web en timeout. La confusion pour le support sera total, et le ticket très mal traité.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
# Vu sous un autre angle
Posté par Astaoth . En réponse au journal L'entreprise est-elle responsable des fuites de données dans le cadre du télétravail ?. Évalué à 10.
Sans être spécialement dans le télétravail, la question que je me pose est celle de l'utilisation d'Office 365 et du RGPD.
D'un côté, une plateforme ne peut pas traiter les données personnelles d'un utilisateur sans son consentement (enfin oui et non, ca dépend, mais en gros résumé quoi). Lorsque j'ai signé mon contrat avec mon employeur, je ne me souviens pas avoir consenti à ce genre de traitement, et encore moins quand le client a créé un compte à mon nom. Je n'ai aucune relation contractuelle direct avec mon client. Est-ce que le traitement de données perso est légal dans ce cas ?
Concernant les traitements des données, les structures utilisent de plus en plus Office 365. Pourtant, il semblerait qu'Office 365 ne respecte pas le RGPD et fasse des transferts de données vers les USA. Du coup comment est-ce que la question du transfert de ses données persos vers les USA par un produit utilisé par un client avec lequel je n'ai pas de relation contractuelle directe se gère ?
Pour revenir au télétravail, celui-ci implique de traiter l'adresse IP personnelle de l'utilisateur, parfois avec des produits n'appartenant pas à la structure (par exemple Office 365). De même, comment est couvert cet aspect d'un point de vu légal ?
Auparavant, lorsqu'on ne souhaitait avoir rien à faire avec Microsoft au niveau de ses données perso, c'était envisageable : l'Active Directory était uniquement local, les serveurs Exchanges aussi. Mais de nos jours avec le cloud Azure, ca a l'air d'être totalement impossible. Au lieu de mettre en balance la volonté de ne pas vouloir fournir ses données persos à Microsoft contre l'utilisation d'un ordi perso, maintenant c'est pratiquement contre avoir un travail pour vivre que ca se fait.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: N'importe quoi...
Posté par Astaoth . En réponse au journal L'entreprise est-elle responsable des fuites de données dans le cadre du télétravail ?. Évalué à 10.
Je pense que n'importe quel vendeur d'antivirus moderne peut prétendre au même bullshit commercial de nos jours.
Par contre la différence entre Windows Defender et les autres AV, c'est qu'ils ne détectent pas de simples POC de malwares, contrairement à d'autres. C'est toujours fascinant de voir ce qu'il laisse passer.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Administration de tout ça
Posté par Astaoth . En réponse à la dépêche Le poste de travail Linux : un objectif gouvernemental ?. Évalué à 1.
Tu n'as jamais géré de parc informatique, ou travaillé dans une DSI ?
Non. Un gestionnaire de paquet ne fait pas de déploiement de mises à jours par lui-même, l'utilisateur doit les lancer, ce qui veut dire potentiellement jamais pour certains.
Ils ne font pas le déploiement automatiques de certaines applications, quelqu'un doit bien les lancer d'une façon ou d'une autre.
Et enfin, ils ne permettent pas de faire le déploiement de configurations directement.
A moins que tu proposais de maintenir ses propres dépôts avec ses propres paquets customs tout en restant synchro avec l'upstream ? Est-ce que tu penses qu'une DSI composée de parfois 2 personnes (dans les petites administrations, c'est courant) peuvent maintenir leur propre distribution, en plus de gérer les problèmes utilisateurs ?
Même chez Air France, alors qu'ils ont une DSI énorme, leur gestionnaire de paquets pour les applis serveurs ne remplace pas celui qui est utilisé officiellement par leur distro.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Peu d'obstacle?
Posté par Astaoth . En réponse à la dépêche Le poste de travail Linux : un objectif gouvernemental ?. Évalué à 3.
Du coup il est nécessaire de se connecter au réseau de la structure (par VPN par exemple) pour terminer l'authentification ? Comment ca se passe pour travailler dans le train, ou pour une structure qui a fait le choix de ne pas proposer le VPN à tout le monde mais seulement aux personnes ayant besoin d'administrer l'infra ?
Avec un Windows, une fois l'initialisation du compte faite, il n'y a besoin de se connecter au réseau de la structure seulement pour changer le mdp.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: bien choisir l'environnement de bureau
Posté par Astaoth . En réponse à la dépêche Le poste de travail Linux : un objectif gouvernemental ?. Évalué à 3.
Bizarrement j'ai pas lu ca dans les com commerciales de Valve. Et c'est pas vraiment le Steam Deck que j'utiliserais pour travailler, surtout en sachant que les applis installées via les dépôts sont supprimés à chaque maj de l'OS, seuls les flatpaks restent.
Si le mode bureau est fait pour être utilisé avec un dock, pourquoi le proposer quand on appuie sur le bouton d'alim ? Ca n'a pas de sens d'un point de vue ergonomique.
Netflix/Twitch/Youtube/Kodi ? Lire ses flux RSS ? Lancer sa plateforme d'émulation préférée ? Jsais pas ca a pas l'air si incroyable vu qu'on peut déjà faire la plupart de ces chsoes sur une Switch.
Sinon, y a pleins de choses qui peuvent se faire avec un petit écran, regarde ce qu'on peut faire avec un smartphone (pour info, avec le mien, je passe facilement la moitié du temps dans le terminal).
Avec une UI adaptée, y a pas de problème pour utiliser Linux sur un écran tactile "aussi petit", on le fait bien avec SFOS, UbuntuTouch, Droidian, Maemo & cie (le choix est très vaste) depuis plus de 10 ans maintenant, et avec des écrans de 3.5", voir moins. Mais faut encore prendre quelques jours pour faire une UI adaptée au lieu de balancer un Plasma à l'arrache, en mode balec.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Administration de tout ça
Posté par Astaoth . En réponse à la dépêche Le poste de travail Linux : un objectif gouvernemental ?. Évalué à 4.
Dans le principe, oui il faudrait avoir du zero trust partout, permettre le BOYD tant qu'à faire, etc. Sauf que toutes les structures n'ont pas les budgets pour supporter ces évolutions rapidement (ca peut être des projets sur 5/10 ans), et en particulier dan les administrations il peut y avoir une certaine inertie.
Pour ce qui est du contrôle du poste utilisateur, le problème est plus simple que ça. Il s'agit d'éviter d'avoir à régler les problèmes que l'utilisateur se cause lui-même. Par exemple, quand tu te retrouves avec un ticket de type "j'arrive plus a accéder à mon appli" ou "internet marche plus depuis la dernière maj" mais que l'utilisateur oublie de te préciser qu'il a mis des DNS custom pour bloquer les pub/trackers (et du coup n'intègre pas les entrées DNS internes), qu'il a installé un NordVPN permanent avec killswitch ou autre, ca devient beaucoup plus dur de l'aider. Avec un parc homogène, les diagnostiques sont simplifiés.
De même, on sait également que l'utilisateur ne lit pas les chartes infos qu'il signe. Quand dans la charte en question on indique explicitement qu'il n'a pas le droit de stocker ses documents (ou les dossiers de clients ou personnes administrées) sur un dropbox perso et qu'il le fait quand même, faut bien un moyen déjà de le vérifier si il le fait ou non, et de l'en empêcher.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Administration de tout ça
Posté par Astaoth . En réponse à la dépêche Le poste de travail Linux : un objectif gouvernemental ?. Évalué à 1.
Je parlais de clients lourds sur le poste utilisateur. Si l'utilisateur n'est pas dans le réseau de la structure, que ca soit via une connexion filaire, wifi ou VPN, impossible de déployer une application sur le poste de l'utilisateur, contrairement au monde Windows.
On parle bien d'administration des postes utilisateurs et pas de l'infrastructure de la structure.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Ministère de la santé.
Posté par Astaoth . En réponse à la dépêche Le poste de travail Linux : un objectif gouvernemental ?. Évalué à 5.
Sans remonter autant dans le temps, il me semble que la CNIL a indiqué il y a quelques semaines qu'Office 365 pourrait ne pas être conforme au RGPD, à causes de transferts de données aux USA.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Administration de tout ça
Posté par Astaoth . En réponse à la dépêche Le poste de travail Linux : un objectif gouvernemental ?. Évalué à 2.
Moi il y a 3 grosses question que je me pose par rapport à ca.
Pour l'authentification, il y a un module PAM qui gère le LDAP. Sauf que contrairement au monde Windows, je ne crois pas qu'il y ait de cache local, du coup comment on ouvre sa session en télétravail ?
Sous Debian, quand on a un accès physique à un poste, ca prend quelques caractères dans grub pour passer en admin. Avec les autres distro, c'est pas tellement plus compliqué non plus. Du coup comment on gère ca proprement ? Avec du chiffrement de disque ?
Mais du coup, comment gérer le déchiffrement de disque ? Via un mdp, l'utilisateur pourra modifier son système comme il le souhaitera pour avoir les droits d'admin. Via l'authentification du contexte réseau, impossible de démarrer en télétravail.
Je ne suis pas sûr qu'Ansible soit le meilleur outil pour remplacer les GPO, WSUS et SCCM (probablement le principal outil de déploiement d'applis du monde Windows). Déjà Ansible est horriblement lent, faut pas avoir trop de postes à manager. En plus le télétravail est de plus en plus présent ; SCCM est utilisable pour faire du déploiement sur des postes hors du réseau, et a maintenant une version cloud.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: Peu d'obstacle?
Posté par Astaoth . En réponse à la dépêche Le poste de travail Linux : un objectif gouvernemental ?. Évalué à 3.
Totalement d'accord. Gérer un parc de postes de travail, ce n'est pas juste fournir des ordis aux gens. C'est les paramétrer pour qu'ils fonctionnent dans l'environnement de la structure, déployer des applications, déployer les mises à jours sur les postes, et le tout à distance.
Dans un monde Windows, il y a les GPO, WSUS et SCCM (ou autres) pour ca. Sous Linux il y a quoi ? Ansible ? Fusion Inventory ? On est très loin de ce qui existe dans un monde Windows, ce sont d'autres façon de travailler, qui peuvent être totalement méconnues des équipes postes de travails.
Egalement, comment gérer l'authentification de l'utilisateur sur son poste ? PAM a bien un module pour utiliser LDAP, mais il a besoin d'accéder à l'annuaire, ce qui empêche son utilisation en télétravail.
Evidement, tout ca ne sert à rien si l'utilisateur à juste à modifier une entrée dans son grub pour avoir les droits d'admin locaux, les équipes de postes de travails doivent donc trouver une solution adapté à l'environnement de la structure pour gérer ca.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: bien choisir l'environnement de bureau
Posté par Astaoth . En réponse à la dépêche Le poste de travail Linux : un objectif gouvernemental ?. Évalué à 7.
Pour la bureautique, il me semble qu'il y a déjà un truc légal sur ca. Normalement, le format des documents administratifs est censé être l'ODT.
Cependant, j'en avais discuté avec un directeur info d'une grosse administration, sa réponse avait été un truc du style "ouais normalement c'est l'ODT, mais bon, on préfère Word, Excel et PowerPoint, du coup on a mis du Microsoft Office partout et on fait du docx".
Pour Thunderbird, malheureusement il ne gère pas nativement l'intégration d'Exchange. Et tout les serveurs Exchanges ne sont pas forcément configuré pour autoriser l'IMAP. D'ailleurs ces serveurs on premises sont en voie de disparition, grâce à 2-3 changement de Microsoft.
Ca lève du coup la question de pourquoi on reste sur des serveurs Exchange pour les courriels, mais qui du coup ne concerne pas directement les postes de travails.
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.
[^] # Re: bien choisir l'environnement de bureau
Posté par Astaoth . En réponse à la dépêche Le poste de travail Linux : un objectif gouvernemental ?. Évalué à 5.
Le SteamDeck fonctionne par défaut avec un environnement Steam.
La possibilité d'utiliser Plasma est juste un choix dû à la philosophie de la société, qui ne souhaite pas empêcher les gens de bidouiller leurs produits (vous vous souvenez de la plétord de mods de CS 1.6 ou Source ?), mais au contraire, leur donner parfois quelques facilités à le faire.
Cependant prendre le Steam Deck comme exemple pour Plasma souligne que tu n'as jamais eutilisé un Steam Deck en mode bureau : son utilisation est un calvaire, rien n'a été pensé pour. Même moi je peux te sortir une conf FVWM (qui a plus de 20 ans) qui soit bien plus adapté à un environnement tactile que cette horreur.
Pour rendre une interface tactile utilisable, il y a pleins de détails à prendre en compte, il suffit pas de balancer un bureau fait pour un env clavier/souris en mode "démerdez vous, tfacon c'est que pour les geeks".
Emacs le fait depuis 30 ans, et sans pubs ni télémétrie.