🚲 Tanguy Ortolo a écrit 12252 commentaires

Si je comprends bien, les capitales accentuées, qui étaient un des objectifs principaux de cette disposition, ne peuvent y être réalisées qu'avec des touche mortes. Monde de merde.

D'ailleurs, certains changements semblent justifiés uniquement par une volonté d'optimisation de la saisie, par exemple de déplacement des caractères de ponctuation présents à la fin de la dernière ligne du pavé alphabétique, les ,?.;:!. Or si on veut optimiser la saisie, une disposition azerty n'est pas appropriée du tout, le seul intérêt de conserver l'azerty, c'est de ne pas changer les habitudes, alors pourquoi essayer d'y faire des optimisations marginales qui changeront justement les habitudes ? Sans compter que ça va être pénible, de jongler avec deux types de dispositions azerty incompatibles.

À voir la disposition azerty envisagée, il semble qu'il y ait eu un changement en cours de route, pour cette future norme.

D'après ce que j'avais compris de l'annonce de l'ouverture de ce travail de définition d'une nouvelle disposition, il me semblait qu'il s'agissait de faire quelque chose d'essentiellement compatible avec les claviers existants, qui ajouterait des caractères essentiels pour le français à des positions actuellement inutilisées. Bref, quelque chose dans l'esprit de la disposition fr-oss d'X.org. Les anciens claviers ne montreraient pas ces caractères, qui pourraient être tapés en aveugle.

Or le résultat est assez largement incompatible avec la disposition azerty actuelle, au contraire, pas mal de caractères sont déplacés !

Heu… mais comment faire pour les paramètres d'impression (black over ; recto-verso sur côté court ; couleur ) ?

Ce serait quoi au juste la commande ?

Quelque chose comme lp -o Duplex=DuplexNoTumbe machin.pdf je pense. Tu peux vérifier les options disponibles pour ton imprimante avec lpoptions -l.

Donc oui c'est joli comme fonctionnalité, mais l'utilité est plus faible que ce que l'esthétisme technique ne le fait croire.

Pas tout à fait, l'opération de déplacement des données par LVM est plus simple que de formater et de rsyncer ou autre.

La possibilité de changer de disque dur en continuant à utiliser la machine, c'est pas mal comme fonctionnalité par exemple.

La pertinence de ce journal a déjà été commentée, mais j'en profite pour faire part de quelques idées qui me sont venues dans le passé.

Pour pouvoir démarrer avec un noyau minimaliste qui n'inclut pas les modules qui sont nécessaires pour parvenir à monter le système racine, Linux utilise donc ce système d'initrd, qui consiste à charger en mémoire un système de fichiers initialement monté comme /, qui inclut ces modules, mais aussi un système minimaliste et un script d'init qui charge ces modules, puis à un moment donné monte le vrai / et passe la main à l'init normal qui s'y trouve.

Ce système m'a toujours semblé tordu, surtout comparé à ce qui se fait avec d'autres noyaux — certains BSD de mémoire, mais je me trompe peut-être — qui consiste à charger le noyau et, à côté, non pas un système de fichiers mais un paquet de modules additionnels. Le noyau ne va alors pas démarrer sur un système temporaire, mais simplement charger ces modules directement depuis la mémoire, et pouvoir monter le vrai / dès le début.

Le système d'initrd est également compliqué à mettre en place, même s'il y a des outils pour cacher cette complexité : il s'agit de rédiger un script d'init temporaire très particulier, d'assembler un système minimaliste suffisant pour ce script, d'ajouter les modules noyau nécessaires, et de mettre tout ça dans une archive. Comparé au seul archivage des modules nécessaires pour un système basé sur des modules additionnels directement chargés par le noyau, c'est clairement compliqué.

Quelqu'un saurait-il d'où vient ce choix pour Linux, qui me semble vraiment étrange ?

Pareil, vu que c'est moi l'auteur du nourjal en question. :-)

Content d'apprendre que ça aura servi à d'autres et que nous sommes en bonne voie pour dominer l'humanité, enfin, à peu près la moitié de l'humanité en fait.

Même s'il n'y a pas de licence pour l'utiliser, il me semble que ce n'est plus en vente et qu'il est donc impossible d'en acheter de nouvelles. Ceci est un avis personnel, mais il ne me semble pas bien probable que Microsoft aille se plaindre qu'on ne lui ait pas acheté un logiciel qu'ils ne vendent plus.

Tu sais, la Bretagne est française depuis tellement longtemps qu'ils n'ont pas l'impression de subir la France plus qu'un parisien ou un marseillais.

Certains l'ont un peu mauvaise que leur langue, qui est une partie de leur culture, ait presque disparu par la mise en pratique d'une volonté délibérée de l'État français. Je ne sais pas s'ils ont l'impression de subir la France, mais de l'avoir subie dans le passé, certainement, et d'en être restés avec des blessures.

Pareil.

Par ailleurs, j'ai toujours apprécié l'utilisation des drapeaux lors d'une manifestation bien particulière que sont les JMJ. La plupart des groupes de pèlerins vient avec son drapeau, qui permet de montrer d'où ils viennent, et accessoirement de servir de point de ralliement visible de plus ou moins loin (pour retrouver facilement (ou pas) son groupe, ou des compatriotes, ou des gens qui parlent la même langue, ou d'aborder des gens pour faire connaissance, en ayant déjà une idée de leur origine). Toujours est-il que j'ai souvent eu l'impression qu'il y avait beaucoup, beaucoup de français, et qu'en observant la foule à un point de passage obligé, ou les images diffusées par la télévision, il ne s'écoulait pas trente secondes sans voir un drapeau français. Et ça fait plutôt plaisir, à vrai dire.

Je comprends bien que pour Marotte, utiliser le drapeau français, c'est nationaliste, que le nationaliste, c'est la mentalité du FN, et que c'est très mal.

J'aurais juste deux petites questions à son égard :

1. Lorsqu'un étudiant en cycle Erasmus met un drapeau à sa porte ou à sa fenêtre, est-ce que c'est mal aussi ?
2. Lorsqu'un groupe de normands, venus à la capitale pour participer à une marche de soutien à une cause ou l'autre (imaginez celle qui vous inspirera le plus, que ce soit manif pour tous, marche des fiertés, marche pour la VIe république ou soutien au candidat Fillon, peu importe), défile avec leur drapeau régional pour montrer que chez eux, on soutient ladite cause, est-ce que c'est mal aussi ?

Je trouve cela triste de voir par exemple une croix et un croissant symboliquement connoté et d'avoir envie de gerber. Je suis un athée convaincu, je n'aime vraiment pas certains organismes religieux (type le Vatican) et je râle quand les religieux tentent d'imposer leurs mœurs partout. Mais, un symbole religieux associé à la paix, non je n'aurais pas envie de gerber.

Ça tombe bien, la colombe, le rameau d'olivier ou l'arc-en-ciel comme symboles de la paix viennent justement de la Genèse. :-) Bon, ce ne sont pas franchement des symboles religieux pour autant, simplement des symboles inspirés par un récit religieux.

Après le scandale Volkswagen, la prise d'otage de John Deere. Ce n'est que le début. Les utilisateurs de logiciels vont commencer à se poser les bonnes questions et à vraiment comprendre l'importance des logiciels libres.

Ah, non, je ne pense pas. Enfin, peut-être vont-ils comprendre, mais ça ne changera pas du tout leur attitude.

C'est souvent comme ça, il y a un risque avec telle ou telle chose, les gens s'en foutent et quand on leur explique, ils nous traitent de paranos. Puis ce risque se réalise, ça fait éventuellement du bruit, on leur avait bien dit, ils comprennent, et ne changent rien.

Par exemple :

• Communiquer en clair avec des services centralisés, ça peut être espionné. Les gens : meuh non, soyez réaliste, ils ne vont pas espionner tout le monde, et puis on n'a rien a caché. Snowden. On vous l'avait bien dit. Rien ne change.
• Acheter des livres verrouillés ça craint, l'exploitant peut les supprimer à distance. Les gens : meuh non, ils n'oseraient jamais, voyons ! Amazon supprime des bouquins achetés par des clients. et tout le monde s'en fout.
• Acheter des produits connectés qui dépendent d'un service fourni par une entreprise ça craint, le jour où le service ferme vous n'avez plus qu'une brique. Les gens : on s'en fout, on achète sans regarder, donc on ne s'en rend même pas compte. Et puis, c'est tout poli et brillant ce nouveau machin, ça ira très bien dans mon salon. Des services ferment, des gens se retrouvent avec des briques, on leur avait bien dit mais tout le monde s'en fout toujours.

Personnellement, je me contente de conseiller mes proches et les gens qui me le demandent, et de savoir que quoi qu'il arrive, je ne suis pas concerné par ces problèmes.

Et CIC aussi donc, puisque c'est la même banque que le Crédit Mutuel (à un détail près, le CM appartient à ses clients, alors que le CIC n'appartient pas à ses clients mais au CM, donc indirectement aux clients du CM).

À un détail près, au CM et au CIC, ce n'est apparemment que le numéro du premier compte que quelqu'un a ouvert qui constitue son identifiant client.

Aucune idée, mais des banques utilisent ça comme prétendu second facteur, donc si elles sont censées respecter cette norme, soit c'est dedans, soit elles ont réussi versé un bon pot-de-vin à l'auditeur qui a vérifié leur conformité.

Ha, une norme qui impose une authentification à deux facteurs, mais qui considère comme valide la date de naissance comme second facteur, quelle blague…

Autant que je sache, deux facteurs, c'est censé signifier des éléments d'authentification parmi deux de ces trois catégories :

• quelque chose que l'on sait (typiquement, un mot de passe) ;
• quelque chose que l'on est (typiquement, une empreinte digitale) ;
• quelque chose que l'on a (par exemple une carte à puce, un générateur de codes, une grille de codes ou un téléphone).

Le premier facteur est presque systématiquement un mot de passe. Selon les banques, le second facteur peut être un générateur de codes, un téléphone (par envoi d'un SMS, avec une sécurité discutable), une grille de codes (le plus sûr à ma connaissance, et accessoirement sans doute le moins cher) ou la date de naissance du client. Cette dernière est une vaste blague, parce qu'elle n'est absolument pas liée au corps ou à la propriété du client, mais clairement à la connaissance (en plus assez partagée), ce qui en fait un second premier facteur, et certainement pas un second facteur valide.

À noter qu'une authentification à deux facteurs peut très bien utiliser un unique moyen technique, par exemple une carte à puce pourvue d'un code : pour l'utiliser, il faut dont posséder la carte, et connaître son code. Par rapport à un mode de passe, cela a l'avantage que ce code n'est jamais transmis, pas même à la banque, et que celle-ci pourrait très bien ne pas le connaître.

Ah oui, l'accessibilité de ces trucs est certainement épouvantable.

Je ne vois pas trop en quoi clavier virtuel et clavier physique diffère sur le point « observation par dessus l’épaule ».

Il me semble plus facile de suivre les mouvements d'un pointeur de souris à l'écran (lents, parce que l'utilisateur doit faire un effort pour repérer la position, aléatoire, de chaque chiffre), que les frappes de touche (rapides, parce que l'utilisateur utilise sa mémoire mécanique de la position des touches).

Quant au keyloggers, j’ai du mal à croire qu’il n’existe pas de "clickloggers" permettant de capter le code secret de la même manière…

Le clicklogger en question enregistrera sans problème qu'on a cliqué à telle position sur l'écran, mais pour déterminer ce qu'il y avait d'affiché à cet endroit, il faut y coupler une caputre d'écran, ce qui est un poil plus contraignant qu'un simple keylogger. Rien d'infaisable, évidemment, mais c'est nettement plus chiant, et nettement moins automatique à analyser.

Par ailleurs il serait tout à fait envisageable d’avoir un clavier virtuel possédant lettres et signes ponctuation.

Positionnées aléatoirement aussi ? Là, tu va faire fuir tes clients, qui en auront vite marre de passer cinq minutes à saisir leur mot de passe…

pourquoi ne généralisent-elles pas l'authentification en 2 étapes, soit avec un token physique, ou via l'envoi d'un SMS ? Là où tous les webmails ou sites "sérieux" le proposent, elles accusent un temps de retard je trouve à ce niveau là.

Alors, déjà, l'idée d'utiliser un token, c'est d'ajouter dans l'authentification quelque chose qui est de l'ordre de la propriété physique (en plus d'un code qui relève de la connaissance). Pour info, ces tokens utilisent un algorithme pour générer un code à partir d'un secret (l'algorithme standard pour cela s'appelle TOTP), mais tant que ça ne sort pas de l'appareil en question, ça relève bien de la propriété. En revanche, dès qu'on s'amuse à utiliser ça avec un générateur de code sur téléphone par exemple, ça s'approche un peu plus de la connaissance.

Autrement, il y a une alternative au token algorithmique, qui est la grille de codes : c'est une carte en papier, avec un tableau dont les colonnes et les lignes sont numérotées, et qui contient dans chaque case un code unique choisi de façon aléatoire. Par rapport à un token, ça ne coûte presque rien, ça n'utilise pas d'algorithme, pas de secret partagé (en fait c'est l'ensemble de la grille qui est un secret partagé), ni d'électronique d'aucune sorte, et c'est donc invulnérable aux attaques qui portent sur ces caractéristiques. Mais à moins de changer régulièrement de grille, ça peut être vulnérable à une réutilisation d'un code déjà passé qui aurait été intercepté.

pourquoi les banques n'autorisent elles pas les mot de passe avec une suite de caractères (chiffres, lettres, symboles) ? (Je me doute que derrière ça doit avoir un impact sur les gros systèmes qui hébergent les applis métier)

Certaines l'autorisent, en tout cas le CIC et le Crédit Mutuel (c'est le même groupe). En revanche, cela les empêche d'imposer une saisie de chiffre à la souris (vulnérable à l'observation par dessus l'épaule et à l'interception par un démon local mais pas aux key loggers), et leur implique donc de permettre la saisie du clavier (peu vulnérable à l'observation par dessus l'épaule, mais vulnérable aux key loggers et à l'interception par un démon local).

Je ne sais pas comment on définit une machine qui fournit un travail, mais en tout cas, il ne me semble pas raisonnable de mettre un four dans cette catégorie, ça me semble plutôt être un outil. Le four ne produit rien quand on l'allume, il chauffe, mais ça ne sert à rien si on ne met pas un truc à cuire dedans. C'est comme des plaques de cuisson, une casserole, une perceuse, une voiture…

Contester un paiement, c'est facile. Mais contester une partie d'un paiement, c'est infaisable. Le coup des options payantes est tout à fait pertinent, imaginons un fournisseur de téléphonie mobile qui t'abonne d'office à un service de nouvelles sportives par SMS, gratuit le premier mois. Tu ne l'as jamais demandé, mais lui considère que tu y as souscris, même si c'est faux, c'est ce qu'ils ont noté dans leur base de données. Souscrire ainsi un client à un service sans qu'il l'ait demandé, c'est parfaitement interdit, mais c'est fait et c'est comme ça, libre à toi de les attaquer en justice si tu as le temps.

Toujours est-il qu'après un mois, il va commencer à majorer ta facture coût de ce service. Deux possibilités :

• si tu paies par un moyen à ton initiative, chèque ou virement, tu peux leur écrire pour contester la facture, et leur régler ce que tu leur dois vraiment, donc minoré du coût de ce service non demandé ; à ce moment, le fournisseur aura le choix entre :
  • considérer cela comme un défaut de paiement, suspendre l'abonnement, lancer une procédure de recouvrement de créance et perdre un client ;
  • accepter de retirer l'abonnement au service non demandé et conserver un client ;
• si tu paies par prélèvement, ils auront déjà prélevé le montant indûment majoré, ce qui ne laisse que deux options :
  • annuler le prélèvement, et se retrouver en défaut de paiement intégral pour ce mois, avec le fournisseur qui déclenchera alors probablement une suspension d'abonnement et une procédure de recouvrement de créance, puisque quand un client ne paie pas du tout, il n'y a rien à perdre ;
  • écrire au fournisseur pour lui demander un remboursement de la somme indûment prélevée, et espérer…

Ça s'appelle une fourniture de service, pas du salaire.

J'ai déjà rejeté et révoqué des mandats ou paiements SEPA en ligne, la banque ne demande rien, tu le fais et ça se met en place directement et voilà.

Non, ce que tu as fait, c'est mettre annuler des prélèvements, et mettre des créancier en liste noire. Ta banque peut à tort appeler ça une révocation, ça n'en est pas une, pour la simple raison que ce n'est pas ta banque qui a le mandat, mais le créancier. Pour le révoquer, c'est à lui qu'il faut écrire, et c'est à lui de prendre en compte cette révocation en cessant de prélever, puisque tout nouveau prélèvement serait un prélèvement sans mandat valide, qui passerait très bien mais en totale violation avec le règlement SEPA, lui faisant risquer une radiation globale.

Au cas où ça n'apparaîtrait pas assez clairement dans ce que je viens d'écrire, la prise en compte d'une révocation de mandat dépend uniquement du bon vouloir du créancier. Comme on peut s'attendre à ce que certains ne prennent pas en compte les révocations, les banques proposent souvent une possibilité de bloquer un créancier, de sorte que les prélèvement qu'il pourra tenter seront refusés.

Cela m'est arrivé récemment avec l'assureur d'un prêt immobilier. Ayant remboursé mon prêt par anticipation, j'écrivis à l'assureur pour lui signaler que le prêt était terminé, que par conséquent ma police d'assurance prenait également fin, et qu'ayant déjà réglé la dernière cotisation, je ne leur devais plus rien. Dans la même lettre, je leur signifiai la révocation de leur mandat de prélèvement, leur rappelant qu'ils n'avaient plus rien à prélever sur mon compte, et qu'ils n'avaient désormais plus le droit de le faire. Eh bien, ça ne loupa pas, quelques semaines après, je reçus de leur part une lettre où ils se plaignaient que leur tentative de prélever une nouvelle cotisation avait échouée, que j'étais en défaut de paiement et que si ça continuait ils allaient faire appel à un cabinet de recouvrement, de sorte que je dus leur répondre pour leur rappeler que je n'étais plus client, que cette cotisation était indue, que leur mandat de prélèvement avait été révoqué, que leur tentative était en violation du règlement SEPA et que, en gros, je ne paierai pas. Au vu de leur dernière réponse, je crois qu'ils ont bien compris et laissé tomber l'idée de me soutirer quoi que ce soit.

Bref, tout ça pour dire qu'avec les prélèvements SEPA, il y a deux risques :

• de se faire débiter par un créancier inconnu, donc a fortiori sans mandat, ce qui est du vol pur et simple ;
• de se faire débiter par un créancier qui n'a pas bien compris qu'on n'est plus client et qui n'a pas pris en compte ma révocation de son mandat (c'est en fait très, très fréquent, un fournisseur n'ayant aucun intérêt à correctement prendre en compte le départ de clients).

Les deux cas sont des violation du règlement SEPA ; pour le premier, une annulation de la transaction frauduleuse suffit, mais pour le second, qui risquerait de se répéter, seule une liste noire permet d'en venir à bout.