Je les ai contactés. La personne que j'ai eue au bout du fil n'avait pas l'air de savoir ce qu'était un DPO. Par contre, elle s'est montrée extrêmement réceptive à mes arguments et je n'ai pas eu besoin de lui expliquer la différence entre authentification et identification, privé-public. Aucune idée si la personne avait une bonne formation technique mais à la manière dont la conversation s'est déroulée, elle a semblé comprendre parfaitement ce que je racontais et admettre qu'il y avait un problème. Pas sûr que j'aie un entretien avec une personne dans l'immédiat, par contre. J'attends la suite…
Posté par FantastIX .
En réponse au journal Les cons? ça ose tout!.
Évalué à 2.
Dernière modification le 17 octobre 2019 à 23:45.
Sérieusement, c’est quoi cette idée de présupposer sans preuve qu’ils ont fait quelque chose de pas sécurisé pour ensuite s’en scandaliser ?
Tu déformes mes propos. Je ne me "scandalise" pas parce qu'ils "auraient" utilisé MD5 (ce serait vraiment gonflé de prétendre que c'est ce que je raconte). Je m'insurge, violemment, de ce qu'ils ont utilisé des moyens insuffisants pour sécuriser une vidéo contenant des informations personnelles et privées me concernant, sans me demander mon avis, que je n'ai jamais eu l'occasion de donner mon accord explicite sur le traitement qu'ils en ont fait, alors que d'autres solutions existaient, plus simples, moins tape-à-l'oeil et moins sujettes à controverse et, pour terminer, pour ne me transmettre que des informations que j'avais déjà à propos de mes factures et dont ils ont la trace lorsque je les ai appelés à ce sujet — oui, je sais, je l'ai pas dit dans mon journal, honte à moi. C'est insuffisant comme motif?
Pour la partie son, c'est assez facile à faire du text2speach, sous macOS ou dans iOS on peut faire dire un truc a l'ordi à partir de texte…
C'est beaucoup plus simple que ça, je pense: la narratrice¹ lit son texte et les images sont synchronisées sur la parole. Enfin quand je dit "synchronisées", ce n'est pas comme si on synchronisait un clap. La narratrice prononce juste son texte et les temps de pause peuvent être ajustés à volonté. Ça pourrait être la même bande son quelle que soit la vidéo, puisqu'il n'y a pas de "mention sonore" des données personnelles. Seules les images sont personnalisées et ce n'est que quelques passages de quelques secondes chacun sur plusieurs minutes.
¹ Je parle de "narratrice" en raison des intonations. Même si c'est possible de manière informatisée, je doute qu'ils aient engagé des acteurs pour les scènes sans faire appel à une narratrice pour les paroles. Mais comme je l'ai dit: suis pas expert en la matière, juste ce qui me paraît le plus plausible.
je ne peux pas m'empêcher de me demander comment on peut en arriver à se poser un problème technique aussi chiant et inutile que "on veut envoyer une vidéo personnalisée à nos clients qui n'ont rien demandé de tel", et comment on peut résoudre un tel problème.
Je ne te le fais pas dire.
D'autant plus que j'ai déjà appelé leur support technique et j'ai reçu exactement la même explication par téléphone. C'est donc pas comme s'il ne m'avaient pas déjà mis au courant. Et vu que "pour des raisons d'efficacité, cet entretien peut être enregistré", ils doivent sûrement en avoir la trace. Et puis de toutes façons, qu'ils l'aient ou pas, ça ne change rien au résultat.
Genre «pourquoi faire simple quand on peut faire compliqué» … Ça me dépasse.
C'est ce que j'ai l'intention de faire. Ceci dit, pure spéculation de ma part, je doute qu'ils en aient un car, toujours spéculation de ma part, je pense que ce genre de mise en œuvre aurait été refusé au profit de solutions moins discutables. Je verrai bien ce qu'il en est.
Prouve-nous qu'il y a une faille en nous montrant une URL qui mène à une vidéo où on trouve des données nominatives.
Renversement de la charge de preuve? De plus avec une approche de "craquage" ostensiblement naïve et ridicule (genre sophisme du chiffon rouge ou appel au ridicule)? et si je te dis que je ne suis pas équipé pour prouver ce que je raconte, mon argumentation s'effondre, c'est ça?
Avec 16³² combinaisons (soit heu, plusieurs milliards de milliards de milliards de combinaisons), et avec 1 millions de clients, ça fait une chance infime de tomber sur un URL "valide".
Ton raisonnent est fallacieux. Ce n'est pas sur ces simples affirmations d'apparence probabilistes que ta contre-argumentation sera valide.
Un exemple, MD5 consiste aussi en une série de caractères apparemment aléatoires. Et pourtant cet algorithme a été démontré non sûr car sujet à collisions. Je ne présuppose pas que l'URL en question est de la forme MD5, quoi qu'elle y ressemble, simplement que ton raisonnement est simpliste et que la sécurité, dans ce cas présent, est bien moins évidente à démontrer que tu ne sembles vouloir le faire.
Quelqu'un a été filmé en train de prononcer les données personnelles de chaque client ?
Non. Ces données personnelles apparaissent, clairement identifiables, sur une enveloppe et sur les documents supposés se trouver à l'intérieur. Ces informations apparaissent aussi, mises en évidence avec des chiffres, réels, tirés des données de facturation, dont certaines sont combinées dans un montage du genre 3D. La vidéo est apparemment en HD (je n'ai pas de quoi le vérifier tout de suite). Je n'ai ni l'équipement, ni la capacité de déterminer si les documents sont originaux ou s'il s'agit d'un simple montage.
Ça ressemble à des documents originaux, pour moi en tous cas. Il est clair que la vidéo a été préparée à mon intention, du moins pour la partie visuelle.
On voit une main tendre l'enveloppe à la caméra, où on identifie clairement mon nom et mon adresse complète, le logo du fournisseur et autres informations postales; le passage est entre-coupé de différentes têtes de personnages, probablement des acteurs et actrices, avec des expressions faciales comme la surprise ou le mécontentement. On ne voit pas toujours les visages en entier, parfois seulement le menton et le bas du nez.
Ensuite la vidéo montre un document papier, posé sur une table, avec plusieurs détails de facturation et les 6 derniers chiffres de mon compteur (à vérifier toutefois, je ne les connais pas par cœur), ainsi qu'un autre document papier, identifiant clairement mes index électriques (jour et nuit). On voit clairement certains documents dater de 2017 mais sans que je puisse être certain qu'il s'agit des miens.
Le montant annuel de ce que j'ai déjà versé apparaît avec un effet 3D du genre cercle en couleur qui s'élève de la facture, parallèle au plan de la table. Apparaissent aussi les différentes fractions de ce montant concernant les taxes et les frais de transport.
La vidéo se termine en dévoilant, dans un effet 2D le montant de la facture que je vais payer à partir de maintenant.
C'est une voix off avec chaque mot enregistré à l'avance et rassemblés selon le client ?
C'est bien une voix off, féminine, au ton apparemment jeune et amical. Le texte prononcé est générique, ne contient aucune information personnelle. Le texte prononcé est synchrone par rapport à la séquence des documents et des détails qui apparaissent.
Dis, tu confondrais pas "authentification" avec "identification" par hasard?
Si je te file l'URL de la vidéo, tu pourras la consulter et voir mes infos personnelles donc authentification zéro. CQFD. L'authentification consiste à s'assurer que je suis la seule personne à la consulter et ce n'est pas le cas. Si la vidéo était protégée par un login et un mot de passe, même si je te donnais son URL, tu ne pourrais pas la voir. L'URL, que tu prétends aléatoire, n'y changera rien.
Un spécialiste en sécurité voudrait probablement appliquer par défaut le nec-plus-ultra des protocoles sécurisés […]
Même si ce n'est pas ce que je souhaite, on est vraiment loin du nec-plus-ultra, ici, tu ne crois pas? Ce que je soulève (et je viens d'ailleurs de répondre à Zenitram en ce sens) c'est la débauche de moyens employés pour faire passer une information qui ne justifie que quelques lignes. Le pire dans l'histoire c'est qu'ils possèdent une zone authentifiée, où ils auraient très bien pu déposer leur information vidéo… pour autant qu'elle eût été stockée sur leurs serveurs. J'imagine que ce n'était pas possible.
S'il n'y avait pas eu de données personnelles dans cette vidéo, il n'y aurait pas eu de problème et ça leur aurait aussi simplifié la tâche.
S'ils s'étaient contenté d'envoyer un courrier (postal ou électronique) il n'y aurait pas eu de problème.
S'ils avaient stocké l'information sur leur site, sous quelque forme que ce fût, dans l'espace client, authentifié, ça n'aurait pas posé de problème.
Il y avait plus d'un moyen, même pas besoin du nec-plus-ultra, juste du "bon sens", à la portée de "tout le monde" — je me prépare déjà aux réactions… Ils ont juste choisi le pire de tous.
une URL aléatoire […]
D'abord, rien ne permet jusqu'à présent d'affirmer que l'URL est aléatoire — si ça se trouve, c'est juste un hash MD5 de mon numéro de client, ce qui ne m'étonnerait pas du tout!
[…] présente certainement un niveau de sécurité adapté au risque.
On n'a visiblement pas la même perception du "risque". Pas que ça me dérange mais ça m'inquiète.
De toutes façons, ça ne change en rien qu'il juste facile de se mettre dans une position où le risque n'était pas plus élevé que d'habitude, ne fût-ce qu'en raison de l'argumentation que je viens de développer.
Le DPO en question sait juste de quoi il parle. Je sais, ça ressemble à un argument d'autorité mais qu'attends-tu de moi? Que je retranscrive une conversation privée avec cette personne pour satisfaire ta curiosité (à supposer que tu aies envie de savoir)? Ta critique s'arrêtera où?
Ce qui m'étonne dans ton raisonnement, c'est que tu affirmes des choses sur moi et sur ma fiabilité, par exemple, alors que je ne te lis nulle part (au moment de la rédaction de ce commentaire) relever la pertinence d'une vidéo pour un sujet qui ne demande que trois lignes d'explications écrites¹ et que, au lieu de cela, le fournisseur engage des moyens comparativement démesurés — la vidéo fait près de quatre minutes et contient les relevés exacts de tous les clients présumés ayant reçu une facture de régularisation — et se met d'emblée dans une position "délicate" en matière de respect de la vie privée, rien qu'à cause de ça.
Tu me parles d'objectivité et de relevés factuels (je me demande alors ce que j'ai écrit dans mon journal, ou alors je ne te comprends pas du tout, ce qui est possible) alors que ton argumentation ressort plus de l'attaque personnelle (un bien grand mot, je l'avoue, j'ai pas trouvé autre chose, je sèche) que du raisonnement de fond. C'est pas un peu contradictoire?
L'article 32 est bien vague
Ça se pourrait. Et alors? Cela devrait les dispenser de réfléchir un tant soit peu à la pertinence de l'action en question et aux conséquences de cette mise en œuvre?
Quant à "garantir un niveau de sécurité adapté au risque", que penses-tu d'envoyer, comme je viens de le résumer, un mail générique, sans donnée personnelle à tous les clients expliquant les détails? Je le répète: tu n'as pas relevé ce point. Je suis curieux de connaître ton point de vue à ce sujet. Ce n'est pas de la défiance, c'est vraiment de la curiosité et j'aimerais connaître ton avis. Si tu estimes que je me fais juste mousser, soit. Mais c'est ton opinion et je ne suis pas obligé de la partager (j'ai la mienne aussi, tu sais).
Les moyens nécessaires à "garantir un niveau de sécurité adapté" sont plus compliqués — enfin, quand on n'y connaît pas grand chose, sans doute — à mettre en place dans le cas de leur(s) vidéo(s) — où, je te rappelle, l'authentification est totalement absente — que dans le cas, maintenant hypothétique, où ils se seraient contenté d'une information générique par courrier électronique voire sur leur site ou encore dans l'espace client qui, lui, requiert une authentification.
Ironiquement, ils fournissent bien un lien vers la vidéo, non protégée, depuis l'espace client! Ça ne te paraît pas justifier un débat de fond autre que sur mes compétences personnelles?
¹ Une explication qui aurait pu (dû) être anonyme, sans nécessiter 1) la présence de données personnelles et 2) un hébergement sécurisé en raison de 1).
Posté par FantastIX .
En réponse au journal Les cons? ça ose tout!.
Évalué à 2.
Dernière modification le 17 octobre 2019 à 07:39.
Quel type d'URL?
Une URL qui peut très bien être forgée par n'importe quel client de Lampiris. J'ai suffisamment de compétences en informatique et en sécurité (pas besoin d'être un expert non plus) pour l'affirmer.
Si j'ai bien suivi, le lien est en HTTPS et non HTTP (accessible en HTTP mais pas indiqué, l'auteur du journal a forgé l'URL)
L'URL dans l'email, version texte, commençait par http://https://lampiris.viadialog… Oui, textuellement, les deux protocoles étaient enchaînés. Je n'ai pas eu à corriger l'URL de la version HTML du mail mais je ne me souviens plus si c'était https:// ou http:// .
Je me suis planté en retranscrivant l'URL dans mon journal et n'ai vu l'erreur que trop tard. Tant pis.
donc tu ne peux rejeter la faute sur l'entreprise.
Je dirais que tu habites dans le "contre-attaque".
Ça me donne une idée: que le karma de ce journal explose et apparaisse en premier dans les recherches de Gogole… jolie pub gratuite en perspective. Ensemble, nous y arriverons!
Sais pas si porter l'affaire devant les médias (dont on n'est déjà pas certain qu'ils aient compris le RGPD, j'étais déjà en mode méfiant, maintenant, c'est encore pire) ne me rapporterait pas un petit effet Streisand gratuit, par contre…
Je m'étonne de cet intérêt concernant l'utilisation de logiciels libres par l'armée alors qu'on ne s'est probablement jamais demandé si les fabricants de couteaux de cuisine, de tournevis, de vitres (etc) avaient prévu qu'on eût pu se servir de leurs produits pour tuer… L'être humain fera toujours preuve de créativité en se servant de ce qu'il trouve, où qu'il le trouve, pour arriver à ses fins, même si elles sont funestes. Peut-être devrait-on se poser la question: quel est le problème qu'on veut vraiment résoudre? (Pour autant qu'il y ait une solution…)
Plutôt que l'article de France Inter (qui me paraît quelque peu tissé de n'importe quoi mais bon, c'est mon opinion) je visionnerais plus volontiers le reportage de la BBC, raconté par le Dr Hannah Fry, une mathématicienne britannique.
Je connais pas du tout Mageia (suis sous Gentoo) mais j'imagine qu'en installant les paquets liés à gcc pour ta plateforme, ça devrait se faire sans trop de problème. Les instructions de compilations sont en général accompagnées d'un fichier README ou similaire qui renseigne les commandes à taper. C'est souvent
./configure && make && make install
Il y en a même une spéciale «Social-Justice-Whiners» (sic): Glimpse. Sais pas si on peut la compiler par contre. C'est d'ailleurs un peu ironique: tu balances des bits au Q du compilo, il t'en crache une appli non-offensante. Franchement, m'demande s'y faut s'en réjouir…
[^] # Re: Rgpd?
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à 2.
Je les ai contactés. La personne que j'ai eue au bout du fil n'avait pas l'air de savoir ce qu'était un DPO. Par contre, elle s'est montrée extrêmement réceptive à mes arguments et je n'ai pas eu besoin de lui expliquer la différence entre authentification et identification, privé-public. Aucune idée si la personne avait une bonne formation technique mais à la manière dont la conversation s'est déroulée, elle a semblé comprendre parfaitement ce que je racontais et admettre qu'il y avait un problème. Pas sûr que j'aie un entretien avec une personne dans l'immédiat, par contre. J'attends la suite…
[^] # Re: Objectivité
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à 2. Dernière modification le 17 octobre 2019 à 23:45.
Tu déformes mes propos. Je ne me "scandalise" pas parce qu'ils "auraient" utilisé MD5 (ce serait vraiment gonflé de prétendre que c'est ce que je raconte). Je m'insurge, violemment, de ce qu'ils ont utilisé des moyens insuffisants pour sécuriser une vidéo contenant des informations personnelles et privées me concernant, sans me demander mon avis, que je n'ai jamais eu l'occasion de donner mon accord explicite sur le traitement qu'ils en ont fait, alors que d'autres solutions existaient, plus simples, moins tape-à-l'oeil et moins sujettes à controverse et, pour terminer, pour ne me transmettre que des informations que j'avais déjà à propos de mes factures et dont ils ont la trace lorsque je les ai appelés à ce sujet — oui, je sais, je l'ai pas dit dans mon journal, honte à moi. C'est insuffisant comme motif?
[^] # Re: Questions
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à 1.
On sait vraiment plus quoi inventer, de nos jours…
[^] # Re: Questions
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à 1.
C'est beaucoup plus simple que ça, je pense: la narratrice¹ lit son texte et les images sont synchronisées sur la parole. Enfin quand je dit "synchronisées", ce n'est pas comme si on synchronisait un clap. La narratrice prononce juste son texte et les temps de pause peuvent être ajustés à volonté. Ça pourrait être la même bande son quelle que soit la vidéo, puisqu'il n'y a pas de "mention sonore" des données personnelles. Seules les images sont personnalisées et ce n'est que quelques passages de quelques secondes chacun sur plusieurs minutes.
¹ Je parle de "narratrice" en raison des intonations. Même si c'est possible de manière informatisée, je doute qu'ils aient engagé des acteurs pour les scènes sans faire appel à une narratrice pour les paroles. Mais comme je l'ai dit: suis pas expert en la matière, juste ce qui me paraît le plus plausible.
[^] # Re: Questions
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à 2.
Je ne te le fais pas dire.
D'autant plus que j'ai déjà appelé leur support technique et j'ai reçu exactement la même explication par téléphone. C'est donc pas comme s'il ne m'avaient pas déjà mis au courant. Et vu que "pour des raisons d'efficacité, cet entretien peut être enregistré", ils doivent sûrement en avoir la trace. Et puis de toutes façons, qu'ils l'aient ou pas, ça ne change rien au résultat.
Genre «pourquoi faire simple quand on peut faire compliqué» … Ça me dépasse.
[^] # Re: Rgpd?
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à 3.
C'est ce que j'ai l'intention de faire. Ceci dit, pure spéculation de ma part, je doute qu'ils en aient un car, toujours spéculation de ma part, je pense que ce genre de mise en œuvre aurait été refusé au profit de solutions moins discutables. Je verrai bien ce qu'il en est.
[^] # Re: Objectivité
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à -4.
Renversement de la charge de preuve? De plus avec une approche de "craquage" ostensiblement naïve et ridicule (genre sophisme du chiffon rouge ou appel au ridicule)? et si je te dis que je ne suis pas équipé pour prouver ce que je raconte, mon argumentation s'effondre, c'est ça?
Ton raisonnent est fallacieux. Ce n'est pas sur ces simples affirmations d'apparence probabilistes que ta contre-argumentation sera valide.
Un exemple, MD5 consiste aussi en une série de caractères apparemment aléatoires. Et pourtant cet algorithme a été démontré non sûr car sujet à collisions. Je ne présuppose pas que l'URL en question est de la forme MD5, quoi qu'elle y ressemble, simplement que ton raisonnement est simpliste et que la sécurité, dans ce cas présent, est bien moins évidente à démontrer que tu ne sembles vouloir le faire.
[^] # Re: Questions
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à 3.
Non. Ces données personnelles apparaissent, clairement identifiables, sur une enveloppe et sur les documents supposés se trouver à l'intérieur. Ces informations apparaissent aussi, mises en évidence avec des chiffres, réels, tirés des données de facturation, dont certaines sont combinées dans un montage du genre 3D. La vidéo est apparemment en HD (je n'ai pas de quoi le vérifier tout de suite). Je n'ai ni l'équipement, ni la capacité de déterminer si les documents sont originaux ou s'il s'agit d'un simple montage.
Ça ressemble à des documents originaux, pour moi en tous cas. Il est clair que la vidéo a été préparée à mon intention, du moins pour la partie visuelle.
On voit une main tendre l'enveloppe à la caméra, où on identifie clairement mon nom et mon adresse complète, le logo du fournisseur et autres informations postales; le passage est entre-coupé de différentes têtes de personnages, probablement des acteurs et actrices, avec des expressions faciales comme la surprise ou le mécontentement. On ne voit pas toujours les visages en entier, parfois seulement le menton et le bas du nez.
Ensuite la vidéo montre un document papier, posé sur une table, avec plusieurs détails de facturation et les 6 derniers chiffres de mon compteur (à vérifier toutefois, je ne les connais pas par cœur), ainsi qu'un autre document papier, identifiant clairement mes index électriques (jour et nuit). On voit clairement certains documents dater de 2017 mais sans que je puisse être certain qu'il s'agit des miens.
Le montant annuel de ce que j'ai déjà versé apparaît avec un effet 3D du genre cercle en couleur qui s'élève de la facture, parallèle au plan de la table. Apparaissent aussi les différentes fractions de ce montant concernant les taxes et les frais de transport.
La vidéo se termine en dévoilant, dans un effet 2D le montant de la facture que je vais payer à partir de maintenant.
C'est bien une voix off, féminine, au ton apparemment jeune et amical. Le texte prononcé est générique, ne contient aucune information personnelle. Le texte prononcé est synchrone par rapport à la séquence des documents et des détails qui apparaissent.
Non.
[^] # Re: Objectivité
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à 0.
Dis, tu confondrais pas "authentification" avec "identification" par hasard?
Si je te file l'URL de la vidéo, tu pourras la consulter et voir mes infos personnelles donc authentification zéro. CQFD. L'authentification consiste à s'assurer que je suis la seule personne à la consulter et ce n'est pas le cas. Si la vidéo était protégée par un login et un mot de passe, même si je te donnais son URL, tu ne pourrais pas la voir. L'URL, que tu prétends aléatoire, n'y changera rien.
[^] # Re: Objectivité
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à 3.
Même si ce n'est pas ce que je souhaite, on est vraiment loin du nec-plus-ultra, ici, tu ne crois pas? Ce que je soulève (et je viens d'ailleurs de répondre à Zenitram en ce sens) c'est la débauche de moyens employés pour faire passer une information qui ne justifie que quelques lignes. Le pire dans l'histoire c'est qu'ils possèdent une zone authentifiée, où ils auraient très bien pu déposer leur information vidéo… pour autant qu'elle eût été stockée sur leurs serveurs. J'imagine que ce n'était pas possible.
Il y avait plus d'un moyen, même pas besoin du nec-plus-ultra, juste du "bon sens", à la portée de "tout le monde" — je me prépare déjà aux réactions… Ils ont juste choisi le pire de tous.
D'abord, rien ne permet jusqu'à présent d'affirmer que l'URL est aléatoire — si ça se trouve, c'est juste un hash MD5 de mon numéro de client, ce qui ne m'étonnerait pas du tout!
On n'a visiblement pas la même perception du "risque". Pas que ça me dérange mais ça m'inquiète.
De toutes façons, ça ne change en rien qu'il juste facile de se mettre dans une position où le risque n'était pas plus élevé que d'habitude, ne fût-ce qu'en raison de l'argumentation que je viens de développer.
[^] # Re: Objectivité
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à 3.
Le DPO en question sait juste de quoi il parle. Je sais, ça ressemble à un argument d'autorité mais qu'attends-tu de moi? Que je retranscrive une conversation privée avec cette personne pour satisfaire ta curiosité (à supposer que tu aies envie de savoir)? Ta critique s'arrêtera où?
Ce qui m'étonne dans ton raisonnement, c'est que tu affirmes des choses sur moi et sur ma fiabilité, par exemple, alors que je ne te lis nulle part (au moment de la rédaction de ce commentaire) relever la pertinence d'une vidéo pour un sujet qui ne demande que trois lignes d'explications écrites¹ et que, au lieu de cela, le fournisseur engage des moyens comparativement démesurés — la vidéo fait près de quatre minutes et contient les relevés exacts de tous les clients présumés ayant reçu une facture de régularisation — et se met d'emblée dans une position "délicate" en matière de respect de la vie privée, rien qu'à cause de ça.
Tu me parles d'objectivité et de relevés factuels (je me demande alors ce que j'ai écrit dans mon journal, ou alors je ne te comprends pas du tout, ce qui est possible) alors que ton argumentation ressort plus de l'attaque personnelle (un bien grand mot, je l'avoue, j'ai pas trouvé autre chose, je sèche) que du raisonnement de fond. C'est pas un peu contradictoire?
Ça se pourrait. Et alors? Cela devrait les dispenser de réfléchir un tant soit peu à la pertinence de l'action en question et aux conséquences de cette mise en œuvre?
Quant à "garantir un niveau de sécurité adapté au risque", que penses-tu d'envoyer, comme je viens de le résumer, un mail générique, sans donnée personnelle à tous les clients expliquant les détails? Je le répète: tu n'as pas relevé ce point. Je suis curieux de connaître ton point de vue à ce sujet. Ce n'est pas de la défiance, c'est vraiment de la curiosité et j'aimerais connaître ton avis. Si tu estimes que je me fais juste mousser, soit. Mais c'est ton opinion et je ne suis pas obligé de la partager (j'ai la mienne aussi, tu sais).
Les moyens nécessaires à "garantir un niveau de sécurité adapté" sont plus compliqués — enfin, quand on n'y connaît pas grand chose, sans doute — à mettre en place dans le cas de leur(s) vidéo(s) — où, je te rappelle, l'authentification est totalement absente — que dans le cas, maintenant hypothétique, où ils se seraient contenté d'une information générique par courrier électronique voire sur leur site ou encore dans l'espace client qui, lui, requiert une authentification.
Ironiquement, ils fournissent bien un lien vers la vidéo, non protégée, depuis l'espace client! Ça ne te paraît pas justifier un débat de fond autre que sur mes compétences personnelles?
¹ Une explication qui aurait pu (dû) être anonyme, sans nécessiter 1) la présence de données personnelles et 2) un hébergement sécurisé en raison de 1).
[^] # Re: Objectivité
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à 1.
http://https://lampiris-viadialog.s3-eu-west-1.amazonaws.com/2_ELEC_NEGATIVE_FR20191013/v.html?[suivi de 32 caractères hexadécimaux]
(Pas eu le temps de re-modifier mon dernier commentaire]
[^] # Re: Objectivité
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à 2. Dernière modification le 17 octobre 2019 à 07:39.
Une URL qui peut très bien être forgée par n'importe quel client de Lampiris. J'ai suffisamment de compétences en informatique et en sécurité (pas besoin d'être un expert non plus) pour l'affirmer.
URL: http://https://lampiris-viadialog.s3-eu-west-1.amazonaws.com/2_ELEC_NEGATIVE_FR20191013/v.html?
J'ai posé la question à un DPO avec qui j'ai travaillé dans le cadre du RGPD. Lampiris ne respecte pas l'article 32.
[^] # Re: Objectivité
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à 3.
L'URL dans l'email, version texte, commençait par http://https://lampiris.viadialog… Oui, textuellement, les deux protocoles étaient enchaînés. Je n'ai pas eu à corriger l'URL de la version HTML du mail mais je ne me souviens plus si c'était https:// ou http:// .
Je me suis planté en retranscrivant l'URL dans mon journal et n'ai vu l'erreur que trop tard. Tant pis.
Je trouve ta déduction un peu trop rapide.
[^] # Re: Protocole alerte zataz
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à 4.
Zataz aurait aussi une légitimité sur le territoire belge? C'est juste une question de curiosité.
[^] # Re: Le pays?
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à 6.
Ça me donne une idée: que le karma de ce journal explose et apparaisse en premier dans les recherches de Gogole… jolie pub gratuite en perspective. Ensemble, nous y arriverons!
Je suis machiavélique, parfois ;-).
[^] # Re: Le pays?
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à 4.
C'est pas faux…
[^] # Re: Il manque une information
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à 10.
C'est sans genre, c'est juste idiot.
[^] # Re: Signaler et porter plainte
Posté par FantastIX . En réponse au journal Les cons? ça ose tout!. Évalué à 4.
Sais pas si porter l'affaire devant les médias (dont on n'est déjà pas certain qu'ils aient compris le RGPD, j'étais déjà en mode méfiant, maintenant, c'est encore pire) ne me rapporterait pas un petit effet Streisand gratuit, par contre…
[^] # Re: La reconnaissance faciale bientôt imposée pour accéder aux services publics ?
Posté par FantastIX . En réponse à la dépêche Revue de presse de l’April pour la semaine 41 de l’année 2019. Évalué à 5.
… c'est la fin de cette même phrase qui est inquiétante…!
[^] # Re: Serment d'Hippopotame
Posté par FantastIX . En réponse à la dépêche Revue de presse de l’April pour la semaine 40 de l’année 2019. Évalué à 2.
Je m'étonne de cet intérêt concernant l'utilisation de logiciels libres par l'armée alors qu'on ne s'est probablement jamais demandé si les fabricants de couteaux de cuisine, de tournevis, de vitres (etc) avaient prévu qu'on eût pu se servir de leurs produits pour tuer… L'être humain fera toujours preuve de créativité en se servant de ce qu'il trouve, où qu'il le trouve, pour arriver à ses fins, même si elles sont funestes. Peut-être devrait-on se poser la question: quel est le problème qu'on veut vraiment résoudre? (Pour autant qu'il y ait une solution…)
# Ada Lovelace
Posté par FantastIX . En réponse à la dépêche Revue de presse de l’April pour la semaine 39 de l’année 2019. Évalué à 4.
Plutôt que l'article de France Inter (qui me paraît quelque peu tissé de n'importe quoi mais bon, c'est mon opinion) je visionnerais plus volontiers le reportage de la BBC, raconté par le Dr Hannah Fry, une mathématicienne britannique.
[^] # Re: Quel paquet pour ma distribution ? Mageia en l’occurrence
Posté par FantastIX . En réponse à la dépêche G’MIC 2.7.0 : Une rentrée pleine de style pour le traitement d’images !. Évalué à 2.
J'avais envie de troller, pour une fois (hum).
Je connais pas du tout Mageia (suis sous Gentoo) mais j'imagine qu'en installant les paquets liés à gcc pour ta plateforme, ça devrait se faire sans trop de problème. Les instructions de compilations sont en général accompagnées d'un fichier README ou similaire qui renseigne les commandes à taper. C'est souvent
./configure && make && make install
[^] # Re: Quel paquet pour ma distribution ? Mageia en l’occurrence
Posté par FantastIX . En réponse à la dépêche G’MIC 2.7.0 : Une rentrée pleine de style pour le traitement d’images !. Évalué à 0. Dernière modification le 29 août 2019 à 20:43.
Il y en a même une spéciale «Social-Justice-Whiners» (sic): Glimpse. Sais pas si on peut la compiler par contre. C'est d'ailleurs un peu ironique: tu balances des bits au Q du compilo, il t'en crache une appli non-offensante. Franchement, m'demande s'y faut s'en réjouir…
# Avec un jour d'avance...¹
Posté par FantastIX . En réponse à la dépêche Sortie de Keycloak 7.0. Évalué à 2. Dernière modification le 29 août 2019 à 20:28.
-->[]
(¹ Ou deux jours de retard, c'est selon)