🚲 Tanguy Ortolo a écrit 12091 commentaires

On en reparlera le jour où Google commencera à monter une armée privée.

Pas réaliste cette parabole : aujourd'hui, quand un village cherche un médecin, les habitants sont bien contents s'il se trouve un seul candidat, parce que généralement il n'y a personne.

C'est hallucinant qu'un toolkit aussi important que GTK+3/Win32 n'ai pas une équipe de mainteneur payée pour faire ce boulot.

Bah, c'est à dire que comme pour pas mal de logiciels libres, les développeurs principaux n'utilisent pas le système d'exploitation Microsoft Windows, ne l'ont peut-être sur aucun de leurs ordinateurs, et ne se sentent pas concernés par l'effort de portage au point d'en faire l'acquisition et de travailler à cette tâche.

Quand ces entités traitent avec la NSA ce sont eux qui mènent la barque et pas l'inverse.

Mmmh ? Ce n'est pas qu'un question d'argent, l'État américain a une police et une armée puissantes, Google et compagnie n'ont rien à côté.

Si, mais ça permet à l'administrateur d'un nom de domaine d'indiquer lui-même quel certificats il utilise. C'est à dire que ça permet de mettre en place la même fonctionnalité fondamentale — si ce n'est pas tel certificat, ne transmettez pas — mais sous le contrôle de l'administrateur, ce qui lui permet de laisser passer les renouvellements sans qu'ils soient vus comme des attaques potentiels.

On pourrait couper l'avertissement si la date de l'ancien certificat a été dépassé.

Non, parce qu'un administrateur prudent renouvelle ses certificats avant l'expiration de l'ancien !

Chouette initiative, mais dont la mise en pratique est très critiquable à mon avis. C'est à dire que, quand on regarde ce qu'ils suggèrent comme action, il y a :

• pour les développeurs de sites Web, activer SSL et d'autres raffinements : genre pour les services autre que le Web, on s'en fout ;
• pour les développeurs de logiciels pour téléphone mobile, utiliser SSL et d'autres raffinements : genre pour les logiciels pour ordinateur grand format, on s'en fout ;
• pour tout le monde, rejoindre une initiative Thunderclap dont je n'ai pas réussi à comprendre ce qu'elle propose de concret.

Également, à propos des raffinements à SSL proposés :

• HSTS — HTTP Strict Transport Security — est une indication fournie par un site Web qui demande essentiellement au navigateur du client de ne jamais le visiter en clair mais de toujours utiliser SSL, pour contourner une vulnérabilité classique de l'interface chaise-clavier ;
• PFS — perfect forward secrecy — est, il me semble, une propriété de certains algorithmes ou protocoles de chiffrement qui garantissent le maintien du secret d'un échange passé, même en cas de corruption des clefs de chiffrement à long terme ;
• l'épinglage de certificat consiste à noter que tel service utilise tel certificat et à afficher un avertissement, voire à bloquer l'accès, si un jour on voit qu'il n'utilise plus le même : cela permet de détecter ou de bloquer les attaques par corruption d'autorité de certification, mais cela génère des faux positifs systématiques à chaque renouvellement de certificat, ceux-ci ayant une durée de vie limitée par une date d'expiration ; cette mesure est donc à éviter, pour lui préférer l'utilisation de DNSSEC et DANE.

C'est factuel mais je ne vois pas ce que ça a à faire dans la dénomination officielle de l'État. La République est le régime politique actuel de la France, mais ça n'a pas toujours été le cas, ce ne sera peut-être pas toujours le cas, et c'est indépendant de la Nation elle-même. La France était déjà la France sous la Monarchie, le Directoire, la Terreur, l'Empire et tout ce que vous voulez, et il serait plus sain de désigner ce pays sous un nom qui n'évoque que la Nation.

Au contraire, vouloir mentionner à tout prix le régime politique est généralement mauvais signe, cela donne l'impression d'une volonté de fortifier artificiellement quelque chose qui ne serait pas assez acquis.

D'ailleurs, c'est un point qui a récemment changé dans le domaine particulier de la poste : jusqu'à récemment, les timbres comportaient la mention « République française », qui a été remplacée depuis par « France ».

Concernant les armoiries, je crois que la qualification de « fasciste » venait simplement du fait qu'elles incluent un faisceau. :-)

Le projet est supporté par Gandi et La Quadrature du Net.

Ce terme de supporter est ambigu, parce qu'il peut avoir plein de sens différents, certains étant d'ailleurs des abus de langage :

• Gandi et la Quadrature tolèrent CaliOpen, bien qu'il leur en coûte peut-être ;
• Gandi et la Quadrature prennent en charge un « protocole » CaliOpen ;
• Gandi et la Quadrature font du support technique pour l'utilisation d'un logiciel CaliOpen ;
• Gandi et la Quadrature soutiennent l'initiative CaliOpen.

Vu le contexte, il s'agit probablement de cette dernière possibilité, mais tant qu'à faire, autant utiliser dès le départ un terme univoque : soutenir. Et éventuellement, passer la phrase à la voix active, aussi, qui est plus naturelle dans l'absolu mais pas forcément dans le contexte de ce paragraphe.

Dans ce cas, le plus pertinent serait plutôt de trouver un logiciel de messagerie générique performant. Utiliser des logiciels spécifiques, limités au service d'un fournisseur particulier, c'est évidemment le meilleur moyen d'ajouter sans raison une dépendance forte à ce fournisseur.

Non, la cadence infernale vaut aussi pour le noyau Linux par exemple. C'est la combinaison « développé par une seule entreprise » et « à une cadence infernale » qui rend l'avantage du code ouvert assez limité pour la sécurité : on peut lire le code, mais personne ne pouvant s'y impliquer, personne ne s'en donne la peine je pense.

Par contre, ce qui me gêne vraiment c'est trouver un hébergeur mail aussi bon que Gmail (notamment sur les appli Android)

Euh, que veux-tu dire par là ? Android n'est pas fourni avec un logiciel de messagerie générique, il faut installer un logiciel spécifique au fournisseur de courrier ‽

Tu veux dire « le code du navigateur non-libre, basé sur un navigateur libre développé par la même entreprise à une cadence infernale, avec des modifications inconnues, que tous les utilisateurs téléchargent sous forme pré-compilée parce que le code source n'est pas disponible » ?

La clef privé peut être crypté avec un algo symétrique

Chiffrée.

Encore un beau showcase pour l'OS au pingouin

Pour les francophones non encore contaminés par la mode des anglicismes inutiles, je crois qu'il s'agit d'un bel exemple d'utilisation.

Certes, mais ce second cas est précisément le cas normal d'usage d'un moteur de recherche générique, et un cas où on ne cherche pas spécifiquement le site Web Wikipédia. Bref, ce n'est pas un cas de détournement de moteur de recherche générique à la place de la barre d'adresse du navigateur, qui était ce qu'on critiquait plus haut.

N'y aurait-il pas également une ambiguïté avec la possibilité qu'une hausse de 2,38 % à 4,21 % constitue une augmentation de 76,9 % de cette part ?

Mauvais exemple, Wikipédia, parce que c'est typiquement le site Web où tu vas une première fois, soit en tapant l'URL exacte, soit par un moteur de recherche, puis où tu retournes très probablement assez souvent pour qu'il ne sorte jamais de l'historique. Par conséquent, exception faite de la première visite, ni l'URL exacte, ni le moteur de recherche ne sont nécessaires : les fonctionnalités de la barre d'adresse du navigateur, qui propose tout seul la bonne adresse dès qu'on commence à saisir le nom du site, suffisent.

Ceci est d'ailleurs valable pour tous les sites que l'utilisateur visite fréquemment, et pour le reste, il est assez rare qu'on se rende sur un site Web à partir de sa mémoire, l'essentiel de la navigation s'effectuant en suivant des liens hypertextes.

Par ailleurs, Wikipédia étant avant tout une encyclopédie, son usage principal passe lui-même par une fonction de recherche, et son usage le plus approprié passe par un plugin de recherche pour le navigateur lui-même.

• comment véhiculer sa clef privée pour pouvoir utiliser le webmail sur d'autres postes que le sien ? (quand même pas en stockant la clef sur son Google Drive !)

Sur une clef USB ?

• comment se retrouver dans son fatras de mails chiffrés si l'outil de recherche est rendu impuissant par le chiffrement ?

Ça, c'est un problème général, mais personnellement, je n'ai que très, très rarement besoin de lancer des recherches sur autre chose que le sujet, l'expéditeur ou les destinataires de mes messages. Après, je sais aussi que je suis plus organisé que la moyenne, et que mon utilisation n'est pas du tout représentative.

Je trouve que ça manque de précisions, en particulier en ce qui concerne la prise en charge de la toile de confiance. Parce que sans ça, on ne peut communiquer de façon sûre qu'avec les gens qui nous ont remis leur clef publique en main propre, ce qui en limite sacrément l'usage.

Enfin, vu la documentation les clefs doivent être exportées et importées manuellement, ce qui incite fortement à s'échanger les clefs dans des messages en clair et non signés, bref, à faire de la sécurité de clown.

Oui, je sais, d'où la seconde partie de ma phrase, coordonnée par un “et” et non “donc”.

Ça dépend, ça peut indiquer que c'est un journal lu par quelques fachos.

Est-ce que ce ne serait pas un bon en point de pourcentage

Qu'est-ce ?

Un truc pourrait être judicieux pour le PP, ce serait d'exercer son droit de réponse.

Je ne pense pas qu'il y ait matière à attaquer pour diffamation. L'auteur porte des insinuation certes détestables, mais ce qu'il relève est réel et n'est intrinsèquement insultant pour personne : de fait, le Parti Pirate et le Front National se rejoignent sur certains points. Le fait que Marine Le Pen se pose en défenseur de la neutralité du réseau n'est pas une nouveauté, la différence principale avec le Parti Pirate, c'est que pour le FN, il s'agit d'un point anecdotique de leurs programmes, alors que pour le Parti Pirate, il s'agit d'une conviction forte.

Le procédé est détestable, mais pour un lecteur un minimum sensé, ça ne vaut pas grand chose à mon avis. Il ne suffit pas de trouver des similitudes avec un parti extrême pour discréditer quelqu'un : tout ce que fait le FN ou Marine Le Pen n'est pas le mal absolu. Avec ce genre de raisonnement débile les Allemands auraient dû démolir leurs autoroutes à la sortie de la 2nde guerre mondiale…