Sur CaCert il est publiquement indiqué que le cout d'un audit fait par la société habituelle pour ce genre de choses c'est 75k$ + 10k$ / an.
On est sur 5 chiffres ;) (même si ça reste énorme).
Ceci dit s'il y a réellement volonté, vu le service et le prix des sociétés concurrentes, c'est tout à fait le genre de somme qu'il est envisageable de récolter par don. Le blocage n'est certainement pas que là.
ah ben si justement, on parle d'une arme de guerre : faite par une armée, en prévision d'un conflit, avec l'analogie d'un tapis de bombe pour la méthode employée.
Tu as beau faire un joli fail2ban (et sur les services publics tu fais quoi ?) ça ne changera pas trop le fait que ton traffic réseau est totalement surchargé.
Chaque fois que j'ai entendu parlé de DDOS ce n'était pas la machine qui était dans la merde, mais toute la salle d'hébergement. Le fait que la machine tente de répondre est franchement annexe.
Ben oui, avec des sous c'est finalement assez simple de saturer même une 10Gb.
Pour info la MoFo a tout un processus clair et explicite pour ajouter un certificat d'autorité dans ceux fournis par défaut. Ce processus ne disqualifie pas CaCert parce qu'il est communautaire et ce n'est pas lié à l'argent ou même à la part de marché.
Il y a (eu) même un ticket pour demander l'inclusion de CaCert dans Firefox. La condition qui bloque est la demande d'un audit par une entité indépendante qui certifie la sécurité de CaCert (les processus, la sécurité de la clef qui certifie, etc.). CaCert a indiqué son intention de mener cet audit _et_ a indiqué explicitement dans le ticket que le ticket n'était pas pertinent en attendant.
Bref, strictement rien à reprocher à la MoFo sur ce coup là. Tout au plus tu peux demander aux gestionnaires de CaCert pourquoi ce processus d'audit en vue de l'inclusion est au point mort (ou prend si longtemps, je ne sais pas).
ça parle peut être simplement de DDOS, ce qui est tout à fait à la portée d'une armée nationale (et surtout celle des US) et pour lequel il est bien difficile de se protéger.
Ah ben voilà, je me disais bien qu'il y avait un truc. Linus n'est pas techniquement exceptionnel, c'est juste qu'il travaille sur des postes très en avance techniquement.
Mon poste à moi il n'est pas capable d'une telle reflexion sur le travail que je réalise. En général il se contente d'un "Core Dump" ou "Parse Error" en réponse à ce que je fais.
s/delation/dénonciation/ à défaut que tu prouves que l'intérêt personnel est le but de Google dans cette affaire [1] c'est au mieux de la dénonciation (et plus probablement la soumission à une requête judiciare).
La dénonciation a une très mauvaise connotation chez nous à cause de notre histoire mais sur le principe c'est plus proche d'un acte altruiste et citoyen que d'un acte immoral. Il s'agit de faire en sorte de forcer un citoyen à respecter la loi, et donc à ne pas violer les droits de la communauté (dans son ensemble ou sur certains individus).
Si je voulais caricaturer la non dénonciation (position très privilégiée dans notre pays) est à l'opposé un acte très égoiste et peu moral : il s'agit de dire "ça n'est pas mon problème" quand on voit un acte à partir du moment où on ne connait pas personnellement la victime ou quand elle est plus abstraite à définir. C'est de ce principe de ne pas jouer la délation et de ne pas se mouiller que personne ne rapporte les agressions, les arnaques, ou bêtement les fuites à l'impots et les fraudeurs dans le métro (ben oui pour le coup c'est la communauté qui paye et qui est la victime).
Ami égoiste et immoral bonjour (rappel: ceci est une caricature, mais le message de fond est bien là)
[1] et tu risques d'avoir du mal, il est évident qu'ils préfèrent passer pour le chevalier blanc ou simplement ne pas perdre du temps à chercher ses infos et répondre à la justice.
> et d'autre part la coopération des entreprises à ces lois.
Je préfère (et de loin) que les entreprises se conforment au lois et coopèrent avec la justice des différents pays. L'anarchie ne m'a jamais plu et je trouverai encore pire que les hommes soient soumis à la loi mais que les entreprises n'aient pas à s'y conformer.
Oui, je suppose que tu voudrais que les entreprises se conforment bien à la loi dans les pays "bons" et s'y refusent dans les pays "mauvais". Sauf que ça revient à demander à l'entreprise de savoir si une loi est mauvaise ou pas, ça la met en position de juge au dessus des lois (et donc au dessus du peuple). Franchement non seulement dans l'idéal je doute que ce soit une bonne idée mais en plus les multinationales ne nous ont pas montré être vraiment digne d'une telle responsabilité et d'une telle abnégation.
Donc à défaut oui, les entreprises coopèrent à la loi, et c'est bien. Ce qui n'est éventuellement pas bien c'est la loi elle-même et c'est elle qu'il faut changer. Après on peut arguer d'exception (parce que je suis sur qu'on va me sortir le point goodwin) mais je ne suis pas certain qu'on en soit là. (ou en tout cas j'attendrai d'avoir des sources un peu plus objectives que celles de ce billet pour juger).
> Si la loi demande d'aller à l'encontre des droits fondamentaux des personnes (ici vie privé et liberté d'expression)
Le gros problème ce n'est pas le droit fondamental. Le problème c'est tracer le trait entre ces droits fondamentaux. Parce que la personne en face a aussi un droit fondamental à sa vie privée, à sa dignité, et à sa tranquilité, ce qui interdirait de l'insulter.
Bref, un droit, fut-il qualifié de fondamental, n'est jamais absolu, il est toujours limité par les droits des autres.
La limite est différente dans chaque pays et chaque culture. Bien imbécile celui qui pourra dire que tel ou tel pays "la bonne interprétation". Alors oui une loi qui empêche d'insulter ira contre la liberté d'expression, mais la majorité des pays (le notre compris) continuent à l'interdire parce que ça viole d'autre droits fondamentaux. Et personnellement je trouve ça "bien" (maintenant je peux comprendre que d'autres aient un avis contraire, comme c'est probablement le cas aux US).
Même chose pour la vie privée. Elle n'est pas absolue non plus et personnellement je ne connais aucun pays où la notion de vie privée soit absolue face à une enquête de justice (sinon on pourrait bêtement arrêter d'avoir une police des lois et des tribunaux). En général il y a un encadrement pour faire le tri entre l'importance du délit, l'importance de la violation de vie privée, et le sérieux des doutes à l'encontre du suspect. Ici il y a bien peu de pays qui auraient refusé à la justice la possibilité de demander les coordonnées de l'auteur (ni notre pays ni les us en tout cas).
Donc désolé, mais l'argument je n'y adhère pas. (ce qui ne veut pas dire que je suis forcément d'accord avec ce qui a suivi l'accusation hein, ne me faites pas dire ce que je ne dis pas)
Certes, mais c'est utile/pertinent quand on a deux événements séparés soit dans le temps soit dans l'espace. Plus concretement ce serait pertinent si le certificat était authentifié par un tiers, ou au moins attribué préalablement dans le temps.
Authentifier quelqu'un pour après vérifier sa signature dans la même session, alors qu'on sait grâce à un bête ssl qu'il n'y a pas eu de corruption entre les deux, c'est assez inutile.
> Les impots ne peuvent pas présenter n'importe quel document comme étant celui que tu as signé...
Ouais, enfin c'est vite oublier que ce sont ces mêmes impots qui authentifient le certificat. Techniquement rien ne les empêche de créer un certificat à ton nom, le marquer comme authentique dans leur base de données, puis signer une fausse déclaration avec.
Ca relativise d'un coup la "preuve" que donne le certificat. C'est une preuve parce que c'est marqué dans la loi et les décrets que la signature numérique se fait via ce système, mais il n'apporte pas grand chose ici côté sécurité.
Certes j'ai confiance dans le fait qu'ils ne font pas ce genre de choses, mais quitte à avoir confiance j'ai aussi confiance dans le fait qu'ils ne me présenteront pas de fausse déclaration en faisant croire que c'est la mienne, indépendamment des questions de certificat.
Les journalistes constatent, et malheureusement oui, quand ça vient de l'autre bord il y a peu de chances que ce soit accepté.
Si tu suis les débats de temps en temps à l'assemblée ou les comptes rendus, il arrive fréquemment qu'un amendement déjà proposé en terme identique soit reproposé par l'autre bord puis accepté : c'est simplement la majorité qui a trouvé que l'amendement de l'opposition était vachement bien mais qu'ils n'allaient quand même pas s'abaisser à valider un truc venant de l'opposition.
Ou penses aussi à l'UDF qui du temps où elle était dans la majorité se faisait traiter de tous les noms dès qu'elle votait parfois la même chose que l'opposition.
Ne blames pas le journaliste, blames les partis ou les députés (ou les électeurs)
En fait le problème est plus loin. Si je me souviens bien certains navigateurs n'ont pas de GUI correcte ou fonctionnelle pour choisir le certificat client à utiliser.
> Certains parlementaires UMP voulaient voter contre, mais ils se seraient prix une baffe de leur parti dans ce cas (c'est nominatif... Et avoir l'étiquette UMP est important pour les élections suivantes). Donc comme ils ne peuvent pas voter contre, ils s'absentent.
Correction : ils *peuvent* voter contre, mais ils *choisissent* de ne pas le faire.
Et franchement, s'ils n'ont pas le courage de leurs opinions pour voter ce qu'ils pensent juste, alors ils n'ont rien à foutre à un poste comme celui de député. C'est le strict minimum qu'on devrait leur demander (bien au dela des polémiques sur l'absentéisme).
Je comprend qu'ils puissent choisir de faire des compromis et voter avec le groupe sur des points précis pour faire avancer globlement dans le bon sens un ensemble de lois sur lesquelles ils sont d'accord. Il ne s'agit pas de ça.
Mais quand ils en sont à refuser de voter par désaccord au point de faire échouer le vote de la majorité ils faut franchement qu'ils fassent ce pour quoi on les a élu et qu'ils votent carrément "non". Un minimum de courage et d'honneteté.
Le pire c'est qu'après ils prennent plein de mesures soit disant pour éviter les pressions externes, il faudrait au moins qu'ils votent ce qu'ils pensent au départ quand ils n'ont pas de pression externe, après on verra pour la suite.
> Au pire, on distribue une application qui tourne partout et qui sait générer des certificats (ça s'appelle OpenSSL par exemple, y'a qu'à coller un clickodrome dessus)
Justement, comme les navigateurs ne proposent pas tous de choisir correctement le certificat client, ils ont fait une appli qui gère la communication ssl avec un certif client. Oh, ils l'ont faite en java, comme ça ça tourne dans le navigateur de manière transparente pour le client.
Ben ouais, autant je suis d'accord pour dire qu'une partie de leur bouzin n'a ni queue ni tête, autant c'est pas tout incohérent non plus ;)
> Pour ce qui est de la "mise en échec totale des avantages de la signature" il faudrait que tu t'expliques plus en détail, car je ne te comprends pas. Il me semble au contraire qu'on a là une utilisation correcte des certificats, mais je ne suis pas expert en la matière. Arguments bienvenus.
Le certificat peut servir :
1- aux impots pour être sûrs que c'est bien toi qui a signé
2- aux impots pour prouver à d'autres que tu as signé
3- à toi pour prouver aux impots que tu as signé
4- à toi pour prouver à d'autres que tu as signé
Le 1 est la partie faible. Vu que c'est eux qui te donnent et qui valident ton certificat, ils sont déjà assurés que c'est bien toi derrière pendant cette session SSL (sinon ils viennent de balancer le certificat à un tiers et tout le système se casse déjà la gueule). Bref, le certificat ne garantie rien de plus.
Le 2 est du même tonneau. Ils peuvent prouver que ta déclaration est signée mais il va falloir prouver que c'est toi qui avait le certificat. Comme c'est les impots qui distribuent le certificat on en revient à un besoin pour les impots de prouver que c'était toi derrière la connexion SSL. Bref, le certificat ne rajoute rien et pour prouver que tu as signé il va falloir de toutes façons prouver que le système et l'authentification étaient sûrs même avant le certificat.
De toutes façons la question c'est "Peux t'on croire les impots sur parole ?".
- Si on répond oui le certificat n'est pas utile parce qu'il suffit qu'ils assurent que leur vérification d'identité et que leur appli sont corrects, et qu'ils ont bien recu cette déclaration, pas besoin du certificat.
- Si on répond non alors le certificat n'offre rien de plus non plus car c'est les impots qui authentifient le certificat ..... si on part de l'idée qu'ils puissent mentir ils auraient aussi bien pu authentifier à ton nom un autre certificat que le tien, et signer la fausse déclaration avec.
Le 3 et le 4 je les ai mis car c'est une des assurances données par le système de certificat mais en réalité il suffit aux impots de signer ton récipissé avec nom/identifiant et somme de contrôle de ta déclaration. Tu n'as pas besoin d'avoir un certificat toi même pour ça.
> Par contre pour ces sections critiques, une applet est bien utile, car outre l'aspect juridique qui est vraiment important (en cas de bug, on peut sortir le code source, alors que sinon on peut juste dire "faute à pas de chance" et ça marche pas génial dans un tribunal),
Le java serait entièrement côté serveur qu'on pourrait faire la même chose : on sait ce que ça a sorti. Mais je comprend l'aspect problématique des navigateurs actuels et je suis d'accord pour dire que ça peut tout à fait justifier Java. Je ne parlais que de l'aspect certificat, je conçois bien que Java peut apporter d'autres avantages.
> Ben tu dis (en tout cas ce que j'ai compris) grosso modo "faut mieux que le trésor public aient 20€ de plus, que les télédéclarant aient 20€".
> Donc en poussant un peu, "faut mieux que le trésor public aient x€ que les télédéclarant aient x€", où x est ton salaire.
> J'ai juste changé la somme ;)
S'il s'agissait de donner 20e à tout le monde, pourquoi pas. La question est de savoir si donner 20e aux télédéclarants (et donc les faire financer par les autres déclarants) est très pertinent. Au départ ça l'était pour faire connaitre et inciter les gens. Maintenant qu'on peut considérer que les gens utilisent la chose, je suis d'accord avec notre gouvernement (*) pour dire que ce n'est pas nécessaire, et donc pas pertinent.
(*) et tu peux pas savoir combien dire ça m'est difficile ;)
> mais plutot comme un "non piquage d'argent" ;)
Certes, mais un non piquage d'argent sélectif. Et je ne crois pas que la sélection utilisée soit pertinente. Après comme je dis, s'il s'agit de faire payer moins d'impots et de réduire la somme imposée globalement pour tout le monde (ou au moins sur des critères plus pertinents), alors pourquoi pas, mais c'est un autre débat.
> - Signature de ce que tu as déclaré (exécuté sur ton navigateur, pas aux impôts) (bien sûr, très important)
Ca serait très important si le dit certificat était récupéré indépendamment de la déclaration aux impots, ou si il était utilisé globalement dans toutes nos communications avec l'état. Là il est donné par le même site, dans la même procédure, et n'a de valeur que dans cette procédure. En quoi est-ce important ? (comprendre : en quoi il ajoute une quelconque sécurité inexistante sinon ?)
> - Affichage de l'accusé de réception des impôts et génération du PDF associé (généré par une applet) (cet accusé de réception engage les impôts, c'est l'autre point important juridiquement)
L'affichage, un pdf suffit. La génération ça me parait totalement incohérent s'il est effectivement fait par l'applet côté client (quel valeur peut-il avoir dans ce cas ? au niveau certification/sécurité/assurance que tout s'est déroulé correctement ?)
En fait :
- affichage indépendant du navigateur : ton affichage dépendra toujours de ton lecteur, là tu as juste changé de lecteur pour dépendre de la jvm (d'où en partie le pourquoi ils vérifient la version de la jvm). Faire un code html standard et vérifier les navigateurs courants (avec une vérification du user agent comme ils le font sur la jvm) suffirait. Pour les parties vraiment critiques un doublage PDF suffit (et en plus c'est sauvegardable).
- sélection du certificat et signature de la déclaration : cf plus haut, ça n'ajoute strictement aucune sécurité vu le modèle qu'ils ont choisit. C'est joli en théorie mais la mise en application ici met totalement en échec les avantage de la signature
- affichage de l'accusé de réception : un PDF signé généré côté serveur irait très bien, je serait d'ailleurs étonné que même avec leur appli java ce n'est pas ce qu'il se passe.
Le seul point vraiment unique de l'applet par rapport à un bête html/pdf/http/ssl tu ne le listes pas : c'est l'assurance que l'application elle même (le contenu de l'applet) vient des impots sans modification (le ssl ne certifie que le fait que les impots répondent, il n'assure pas l'intégrité du contenu).
Maintenant pour ma part ce point justifie parfaitement la solution Java.
Le point qui leur a fait choisir Java est probablement bureaucratique/légal/administratif, c'est pouvoir marquer "signature électronique", même si concrêtement ça n'apporte rien. Bref, pas un point technique.
> Ce que tu dis, c'est qu'ils peuvent faire tous les excés qu'ils veulent, ca te gêne pas...
Bien sur que si que ça me gêne, c'est juste que c'est orthogonal à la question qu'on a là.
> > il faut les reprendre ailleurs ou baisser le budget global.
> Ou simplement arrêter de gaspiller en salaire mirobolant, et réception futile.
Quand bien meme on ne gaspille plus rien, et donc qu'on économie des sous là dessus, la question de savoir si ces 20e sont mieux affectés pour récompenser les télédéclarations ou ailleurs, elle reste.
Ce n'est pas parce qu'on arrête les gaspi (ou au contraire qu'on en fait plein) que ça implique que distribuer ces 20e là soit le meilleur usage qu'on puisse faire de cette somme.
> Mais bon , vu que tu es très fort pour faire la moral, je présume, que tel l'hopital, tu vas donner TOUT ton salaire au trésor publique, parce que tu es sur que ton argent sera bien utilisé là bas!
J'ai le droit de considérer que ça n'a rien à voir ? ou en tout cas je ne vois pas le rapport.
Je n'ai le droit de comprendre la raison d'une mesure publique ou même d'être d'accord avec elle sans pour autant refuser toute propriété ?
Le pire c'est que je suis d'accord avec toi sur le fait que l'état gère mal ce qu'on lui donne, mais je ne vois simplement pas en quoi ça devrait inciter à donner de l'argent là où ce n'est pas pertinent.
> Il faudrait plus qu'un simple formulaire. L'idée ici n'est pas seulement d'assurer la confidentialité (faisable avec du https basique), mais surtout de signer ta déclaration, ce qui implique que tu disposes de ton côté d'un certificat ad hoc (fournit par l'administration) et de sa clé privée associée.
C'est effectivement la raison. Ceci dit j'ai toujours trouvé ça complètement stupide dans le système des impots. Tu peux créer/obtenir/renier ton certificat avec la même application qui sert à vérifier ta signature. S'il est capable de t'autoriser à créer/obtenir/renier ton certificat c'est qu'il t'a déjà authentifié avec assurance, et la vérification devient purement superflue.
La sécurité est toujours équivalente à celle du maillon le plus faible. On te demande quelques infos pas très privée et un numéro inscrit sur la déclaration. N'importe qui qui a ça peut supprimer ton certificat et en créer un nouveau avant de signer avec. C'est quoi l'intérêt dans ce cas ? la signature n'a que la valeur du "il a pu me donner le numéro inscrit sur la déclaration".
Je suppose que c'est un bête pré-requis légal ou administratif avec "il faut que ce soit signé, la signature électronique c'est avec des certificats alors mettons un certificat". Le fait que le certificat ne rajoute rien du tout à la sécurité du bouzin n'entre même pas en ligne de compte.
L'applet java a un sens dans l'idée qu'elle est elle-même signée (ce qui me garantie en théorie que personne n'y a touché si je suis capable d'authentifier la signature) mais le certificat qu'on nous impose pour signer notre envoi, c'est de la branlette intellectuelle.
> Et depuis quand ils vont les mettre "où c'est plus utiles"
Oh, certes sur le papier ils ne vont pas dire "on va retirer la somme des 20e et on va l'affecter aux allocations sociales", mais rassures toi ils ne vont pas dire non plus "on va retirer la somme des 20e et on va l'affecter aux réceptions de l'ambassadeur" non plus.
Si on ne paye pas ces 20e à tout le monde ça fait autant de plus à distribuer sur le budget global. Ca impact tout, les réceptions de l'ambassadeur aussi bien que les allocations sociales. Comme les prestations, équipements et subventions sont certainement majoritaires par rapport aux frais internes de représentation, tu peux être certain que ça impacte beaucoup plus là où c'est utile que là où tu penses que ça ne l'est pas.
Tu peux pointer autant d'excès que tu veux, ça ne changera pas le résultat : pour les dépenses qu'on fait, si on donne ces 20e il faut les reprendre ailleurs ou baisser le budget global.
Après on peut certes tout mélanger mais si ils te donnent ces 20e ça ne diminuera pas automatiquement d'autant les frais de bouche du ministère hein, donc je ne vois le rapport.
> Les deux budgets que j'ai cité, c'est peut etre des "petites sommes" au regard de ce qui est collecté, mais c'est symptomatique!
Le principe du "puisqu'on dépense trop d'argent là, autant m'en donner un peu quitte à faire encore plus baisser la somme d'argent totale disponible pour le reste" c'est un concept que j'ai du mal à intégrer, désolé.
Ca ne retire pas que tu puisses avoir raisons sur certains excès de l'état hein, c'est juste que malheureusement ça n'a rien à voir.
> alors on se rend compte que les efforts ils sont TOUJOURS a sens unique
Mouais, je demande à voir sur les couvertures sociales, les équipements publics, ou bêtement les prestations sociales et subventions que tu perçois. Je doute que ça soit si sens unique que ça.
Mais qu'importe, sur le principe oui c'est toujours à sens unique. Tous les sous qu'a l'état ils viennent de ta poche, ou plutôt de la notre. C'est *forcément* à sens unique puisque tout ce qu'ils sont susceptibles de te donner vient déjà de notre poche grâce à ce qu'ils te prélèves dans l'autre main. Pire, vu qu'ils financent aussi les équipements publics, en moyenne l'état donne moins qu'il ne prend. Dramatique non ?
C'est inacceptable, moi je dis on devrait même aller plus loin : on devrait inverser l'impot : c'est à l'état de nous payer.
Oui 20e ça peut être beaucoup. La question n'est pas là. Faire croire que c'est 20e en plus ou en moins c'est regarder à côté de la plaque. La question c'est de savoir où ils donnent l'argent, à qui et pourquoi.
Quelqu'un a du juger que ces 20e avaient des utilités plus importantes que financer ceux qui télédéclarent sur Internet.
Tiens, pourquoi pas justement alléger les impots de ceux qui en sont à 20e près (quoi que ceux ci ne payent généralement pas l'impot sur le revenu), ou financer l'aide au logement ?
Finalement, ce n'est pas bien qu'ils retirent ces 20e peu justifiés pour les mettre là où c'est plus utile ?
> Pour rappel un script js ne peut pas envoyer de données sur un domaine autre que celui
> de la page vue
C'est pour rire ?
Ton .js, s'il est inclut ainsi, a les droits d'accès pour faire ce qu'il veut sur la page courante (donc lire/modifier toutes les informations).
Il ne peut pas faire ce qu'il veut, et en particulier on a des limitations pour éviter de forger des requêtes sur des domaines tiers. Par contre si on contrôle le script de base et le domaine tiers on a facilement dix moyens de transférer des informations, de n'importe quelle taille.
Tiens, une :
- on enchaîne les paramètres dans une chaîne de caratères avec un séparateur (tiens, ?a=b&c=d&e=f, pour faire quelque chose de connu), on ajoute ça à une url de notre domaine tiers, et on construit n'importe quoi qui fait appel à cette url : une image, un script, une css ....
Si les données sont trop grosses ce n'est pas bien grave, on fait plusieurs requêtes.
Une autre ?
- On charge du flash. On lui passe toutes les données voulues. Puis le flash lui il peut faire des requêtes cross-domaine pour peut que le domaine cible donne l'autorisation (ce qu'il fera vu qu'il est contrôlé par xiti - ou le méchant pirate - lui aussi).
Si on laisse un script tiers dans nos pages, on laisse virtuellement accès à :
- autant d'injection de données vers notre propre domaine que le méchant le souhaite
- autant de fuite de données vers des données tierces que le méchant le souhaite
Pour un truc aussi sensible qu'une déclaration d'impôts ce n'est pas seulement abusé, c'est dramatique (et de la pure incompétence)
[^] # Re: Problématique ?
Posté par Éric (site web personnel) . En réponse au journal Firefox 3, c'est bien ... ou pas. Évalué à 2.
On est sur 5 chiffres ;) (même si ça reste énorme).
Ceci dit s'il y a réellement volonté, vu le service et le prix des sociétés concurrentes, c'est tout à fait le genre de somme qu'il est envisageable de récolter par don. Le blocage n'est certainement pas que là.
[^] # Re: DDOS
Posté par Éric (site web personnel) . En réponse au journal Le Pentagone veut pouvoir détruire tous les sites Internet qui le gênent. Évalué à 1.
[^] # Re: DDOS
Posté par Éric (site web personnel) . En réponse au journal Le Pentagone veut pouvoir détruire tous les sites Internet qui le gênent. Évalué à 3.
Chaque fois que j'ai entendu parlé de DDOS ce n'était pas la machine qui était dans la merde, mais toute la salle d'hébergement. Le fait que la machine tente de répondre est franchement annexe.
Ben oui, avec des sous c'est finalement assez simple de saturer même une 10Gb.
[^] # Re: Problématique ?
Posté par Éric (site web personnel) . En réponse au journal Firefox 3, c'est bien ... ou pas. Évalué à 10.
Il y a (eu) même un ticket pour demander l'inclusion de CaCert dans Firefox. La condition qui bloque est la demande d'un audit par une entité indépendante qui certifie la sécurité de CaCert (les processus, la sécurité de la clef qui certifie, etc.). CaCert a indiqué son intention de mener cet audit _et_ a indiqué explicitement dans le ticket que le ticket n'était pas pertinent en attendant.
Bref, strictement rien à reprocher à la MoFo sur ce coup là. Tout au plus tu peux demander aux gestionnaires de CaCert pourquoi ce processus d'audit en vue de l'inclusion est au point mort (ou prend si longtemps, je ne sais pas).
# DDOS
Posté par Éric (site web personnel) . En réponse au journal Le Pentagone veut pouvoir détruire tous les sites Internet qui le gênent. Évalué à 7.
[^] # Re: Pfff
Posté par Éric (site web personnel) . En réponse au journal Tout ca pour ca. Évalué à 4.
[^] # Re: Et les micro noyaux type HURD ?
Posté par Éric (site web personnel) . En réponse à la dépêche La fin du verrou global dans le noyau Linux ?. Évalué à 4.
Ah ben voilà, je me disais bien qu'il y avait un truc. Linus n'est pas techniquement exceptionnel, c'est juste qu'il travaille sur des postes très en avance techniquement.
Mon poste à moi il n'est pas capable d'une telle reflexion sur le travail que je réalise. En général il se contente d'un "Core Dump" ou "Parse Error" en réponse à ce que je fais.
(attention, Humour inside, même s'il est mauvais)
[^] # Re: Et ?
Posté par Éric (site web personnel) . En réponse au journal Google aide le gouvernement indien à arrêter les méchants blasphémateurs. Évalué à 7.
s/delation/dénonciation/ à défaut que tu prouves que l'intérêt personnel est le but de Google dans cette affaire [1] c'est au mieux de la dénonciation (et plus probablement la soumission à une requête judiciare).
La dénonciation a une très mauvaise connotation chez nous à cause de notre histoire mais sur le principe c'est plus proche d'un acte altruiste et citoyen que d'un acte immoral. Il s'agit de faire en sorte de forcer un citoyen à respecter la loi, et donc à ne pas violer les droits de la communauté (dans son ensemble ou sur certains individus).
Si je voulais caricaturer la non dénonciation (position très privilégiée dans notre pays) est à l'opposé un acte très égoiste et peu moral : il s'agit de dire "ça n'est pas mon problème" quand on voit un acte à partir du moment où on ne connait pas personnellement la victime ou quand elle est plus abstraite à définir. C'est de ce principe de ne pas jouer la délation et de ne pas se mouiller que personne ne rapporte les agressions, les arnaques, ou bêtement les fuites à l'impots et les fraudeurs dans le métro (ben oui pour le coup c'est la communauté qui paye et qui est la victime).
Ami égoiste et immoral bonjour (rappel: ceci est une caricature, mais le message de fond est bien là)
[1] et tu risques d'avoir du mal, il est évident qu'ils préfèrent passer pour le chevalier blanc ou simplement ne pas perdre du temps à chercher ses infos et répondre à la justice.
[^] # Re: Et ?
Posté par Éric (site web personnel) . En réponse au journal Google aide le gouvernement indien à arrêter les méchants blasphémateurs. Évalué à 5.
Je préfère (et de loin) que les entreprises se conforment au lois et coopèrent avec la justice des différents pays. L'anarchie ne m'a jamais plu et je trouverai encore pire que les hommes soient soumis à la loi mais que les entreprises n'aient pas à s'y conformer.
Oui, je suppose que tu voudrais que les entreprises se conforment bien à la loi dans les pays "bons" et s'y refusent dans les pays "mauvais". Sauf que ça revient à demander à l'entreprise de savoir si une loi est mauvaise ou pas, ça la met en position de juge au dessus des lois (et donc au dessus du peuple). Franchement non seulement dans l'idéal je doute que ce soit une bonne idée mais en plus les multinationales ne nous ont pas montré être vraiment digne d'une telle responsabilité et d'une telle abnégation.
Donc à défaut oui, les entreprises coopèrent à la loi, et c'est bien. Ce qui n'est éventuellement pas bien c'est la loi elle-même et c'est elle qu'il faut changer. Après on peut arguer d'exception (parce que je suis sur qu'on va me sortir le point goodwin) mais je ne suis pas certain qu'on en soit là. (ou en tout cas j'attendrai d'avoir des sources un peu plus objectives que celles de ce billet pour juger).
> Si la loi demande d'aller à l'encontre des droits fondamentaux des personnes (ici vie privé et liberté d'expression)
Le gros problème ce n'est pas le droit fondamental. Le problème c'est tracer le trait entre ces droits fondamentaux. Parce que la personne en face a aussi un droit fondamental à sa vie privée, à sa dignité, et à sa tranquilité, ce qui interdirait de l'insulter.
Bref, un droit, fut-il qualifié de fondamental, n'est jamais absolu, il est toujours limité par les droits des autres.
La limite est différente dans chaque pays et chaque culture. Bien imbécile celui qui pourra dire que tel ou tel pays "la bonne interprétation". Alors oui une loi qui empêche d'insulter ira contre la liberté d'expression, mais la majorité des pays (le notre compris) continuent à l'interdire parce que ça viole d'autre droits fondamentaux. Et personnellement je trouve ça "bien" (maintenant je peux comprendre que d'autres aient un avis contraire, comme c'est probablement le cas aux US).
Même chose pour la vie privée. Elle n'est pas absolue non plus et personnellement je ne connais aucun pays où la notion de vie privée soit absolue face à une enquête de justice (sinon on pourrait bêtement arrêter d'avoir une police des lois et des tribunaux). En général il y a un encadrement pour faire le tri entre l'importance du délit, l'importance de la violation de vie privée, et le sérieux des doutes à l'encontre du suspect. Ici il y a bien peu de pays qui auraient refusé à la justice la possibilité de demander les coordonnées de l'auteur (ni notre pays ni les us en tout cas).
Donc désolé, mais l'argument je n'y adhère pas. (ce qui ne veut pas dire que je suis forcément d'accord avec ce qui a suivi l'accusation hein, ne me faites pas dire ce que je ne dis pas)
# Et en attendant ?
Posté par Éric (site web personnel) . En réponse à la dépêche La fin du verrou global dans le noyau Linux ?. Évalué à 4.
Et en attendant ?
La 26 était en rc1 donc à un statut assez avancé. Elle est retardée de quelques mois ? ou on la sortira avec la perte de perf ?
[^] # Re: Justement
Posté par Éric (site web personnel) . En réponse au journal SSL : impôts et EEE PC (en vrac). Évalué à 2.
Authentifier quelqu'un pour après vérifier sa signature dans la même session, alors qu'on sait grâce à un bête ssl qu'il n'y a pas eu de corruption entre les deux, c'est assez inutile.
[^] # Re: Justement
Posté par Éric (site web personnel) . En réponse au journal SSL : impôts et EEE PC (en vrac). Évalué à 3.
Ouais, enfin c'est vite oublier que ce sont ces mêmes impots qui authentifient le certificat. Techniquement rien ne les empêche de créer un certificat à ton nom, le marquer comme authentique dans leur base de données, puis signer une fausse déclaration avec.
Ca relativise d'un coup la "preuve" que donne le certificat. C'est une preuve parce que c'est marqué dans la loi et les décrets que la signature numérique se fait via ce système, mais il n'apporte pas grand chose ici côté sécurité.
Certes j'ai confiance dans le fait qu'ils ne font pas ce genre de choses, mais quitte à avoir confiance j'ai aussi confiance dans le fait qu'ils ne me présenteront pas de fausse déclaration en faisant croire que c'est la mienne, indépendamment des questions de certificat.
[^] # Re: ni l'un ni l'autre...
Posté par Éric (site web personnel) . En réponse au journal Ah quoi jouent les journalistes ?. Évalué à 4.
Si tu suis les débats de temps en temps à l'assemblée ou les comptes rendus, il arrive fréquemment qu'un amendement déjà proposé en terme identique soit reproposé par l'autre bord puis accepté : c'est simplement la majorité qui a trouvé que l'amendement de l'opposition était vachement bien mais qu'ils n'allaient quand même pas s'abaisser à valider un truc venant de l'opposition.
Ou penses aussi à l'UDF qui du temps où elle était dans la majorité se faisait traiter de tous les noms dès qu'elle votait parfois la même chose que l'opposition.
Ne blames pas le journaliste, blames les partis ou les députés (ou les électeurs)
[^] # Re: Certificats
Posté par Éric (site web personnel) . En réponse au journal SSL : impôts et EEE PC (en vrac). Évalué à 2.
[^] # Re: ni l'un ni l'autre...
Posté par Éric (site web personnel) . En réponse au journal Ah quoi jouent les journalistes ?. Évalué à 8.
Correction : ils *peuvent* voter contre, mais ils *choisissent* de ne pas le faire.
Et franchement, s'ils n'ont pas le courage de leurs opinions pour voter ce qu'ils pensent juste, alors ils n'ont rien à foutre à un poste comme celui de député. C'est le strict minimum qu'on devrait leur demander (bien au dela des polémiques sur l'absentéisme).
Je comprend qu'ils puissent choisir de faire des compromis et voter avec le groupe sur des points précis pour faire avancer globlement dans le bon sens un ensemble de lois sur lesquelles ils sont d'accord. Il ne s'agit pas de ça.
Mais quand ils en sont à refuser de voter par désaccord au point de faire échouer le vote de la majorité ils faut franchement qu'ils fassent ce pour quoi on les a élu et qu'ils votent carrément "non". Un minimum de courage et d'honneteté.
Le pire c'est qu'après ils prennent plein de mesures soit disant pour éviter les pressions externes, il faudrait au moins qu'ils votent ce qu'ils pensent au départ quand ils n'ont pas de pression externe, après on verra pour la suite.
# Justement
Posté par Éric (site web personnel) . En réponse au journal SSL : impôts et EEE PC (en vrac). Évalué à 6.
Justement, comme les navigateurs ne proposent pas tous de choisir correctement le certificat client, ils ont fait une appli qui gère la communication ssl avec un certif client. Oh, ils l'ont faite en java, comme ça ça tourne dans le navigateur de manière transparente pour le client.
Ben ouais, autant je suis d'accord pour dire qu'une partie de leur bouzin n'a ni queue ni tête, autant c'est pas tout incohérent non plus ;)
[^] # Re: Web, form et certificats...
Posté par Éric (site web personnel) . En réponse au journal Télédéclarer ses impôts et citoyenneté. Évalué à 2.
Le certificat peut servir :
1- aux impots pour être sûrs que c'est bien toi qui a signé
2- aux impots pour prouver à d'autres que tu as signé
3- à toi pour prouver aux impots que tu as signé
4- à toi pour prouver à d'autres que tu as signé
Le 1 est la partie faible. Vu que c'est eux qui te donnent et qui valident ton certificat, ils sont déjà assurés que c'est bien toi derrière pendant cette session SSL (sinon ils viennent de balancer le certificat à un tiers et tout le système se casse déjà la gueule). Bref, le certificat ne garantie rien de plus.
Le 2 est du même tonneau. Ils peuvent prouver que ta déclaration est signée mais il va falloir prouver que c'est toi qui avait le certificat. Comme c'est les impots qui distribuent le certificat on en revient à un besoin pour les impots de prouver que c'était toi derrière la connexion SSL. Bref, le certificat ne rajoute rien et pour prouver que tu as signé il va falloir de toutes façons prouver que le système et l'authentification étaient sûrs même avant le certificat.
De toutes façons la question c'est "Peux t'on croire les impots sur parole ?".
- Si on répond oui le certificat n'est pas utile parce qu'il suffit qu'ils assurent que leur vérification d'identité et que leur appli sont corrects, et qu'ils ont bien recu cette déclaration, pas besoin du certificat.
- Si on répond non alors le certificat n'offre rien de plus non plus car c'est les impots qui authentifient le certificat ..... si on part de l'idée qu'ils puissent mentir ils auraient aussi bien pu authentifier à ton nom un autre certificat que le tien, et signer la fausse déclaration avec.
Le 3 et le 4 je les ai mis car c'est une des assurances données par le système de certificat mais en réalité il suffit aux impots de signer ton récipissé avec nom/identifiant et somme de contrôle de ta déclaration. Tu n'as pas besoin d'avoir un certificat toi même pour ça.
> Par contre pour ces sections critiques, une applet est bien utile, car outre l'aspect juridique qui est vraiment important (en cas de bug, on peut sortir le code source, alors que sinon on peut juste dire "faute à pas de chance" et ça marche pas génial dans un tribunal),
Le java serait entièrement côté serveur qu'on pourrait faire la même chose : on sait ce que ça a sorti. Mais je comprend l'aspect problématique des navigateurs actuels et je suis d'accord pour dire que ça peut tout à fait justifier Java. Je ne parlais que de l'aspect certificat, je conçois bien que Java peut apporter d'autres avantages.
[^] # Re: perso
Posté par Éric (site web personnel) . En réponse au journal Télédéclarer ses impôts et citoyenneté. Évalué à 2.
> Donc en poussant un peu, "faut mieux que le trésor public aient x€ que les télédéclarant aient x€", où x est ton salaire.
> J'ai juste changé la somme ;)
S'il s'agissait de donner 20e à tout le monde, pourquoi pas. La question est de savoir si donner 20e aux télédéclarants (et donc les faire financer par les autres déclarants) est très pertinent. Au départ ça l'était pour faire connaitre et inciter les gens. Maintenant qu'on peut considérer que les gens utilisent la chose, je suis d'accord avec notre gouvernement (*) pour dire que ce n'est pas nécessaire, et donc pas pertinent.
(*) et tu peux pas savoir combien dire ça m'est difficile ;)
> mais plutot comme un "non piquage d'argent" ;)
Certes, mais un non piquage d'argent sélectif. Et je ne crois pas que la sélection utilisée soit pertinente. Après comme je dis, s'il s'agit de faire payer moins d'impots et de réduire la somme imposée globalement pour tout le monde (ou au moins sur des critères plus pertinents), alors pourquoi pas, mais c'est un autre débat.
[^] # Re: Web, form et certificats...
Posté par Éric (site web personnel) . En réponse au journal Télédéclarer ses impôts et citoyenneté. Évalué à 1.
Ca serait très important si le dit certificat était récupéré indépendamment de la déclaration aux impots, ou si il était utilisé globalement dans toutes nos communications avec l'état. Là il est donné par le même site, dans la même procédure, et n'a de valeur que dans cette procédure. En quoi est-ce important ? (comprendre : en quoi il ajoute une quelconque sécurité inexistante sinon ?)
> - Affichage de l'accusé de réception des impôts et génération du PDF associé (généré par une applet) (cet accusé de réception engage les impôts, c'est l'autre point important juridiquement)
L'affichage, un pdf suffit. La génération ça me parait totalement incohérent s'il est effectivement fait par l'applet côté client (quel valeur peut-il avoir dans ce cas ? au niveau certification/sécurité/assurance que tout s'est déroulé correctement ?)
En fait :
- affichage indépendant du navigateur : ton affichage dépendra toujours de ton lecteur, là tu as juste changé de lecteur pour dépendre de la jvm (d'où en partie le pourquoi ils vérifient la version de la jvm). Faire un code html standard et vérifier les navigateurs courants (avec une vérification du user agent comme ils le font sur la jvm) suffirait. Pour les parties vraiment critiques un doublage PDF suffit (et en plus c'est sauvegardable).
- sélection du certificat et signature de la déclaration : cf plus haut, ça n'ajoute strictement aucune sécurité vu le modèle qu'ils ont choisit. C'est joli en théorie mais la mise en application ici met totalement en échec les avantage de la signature
- affichage de l'accusé de réception : un PDF signé généré côté serveur irait très bien, je serait d'ailleurs étonné que même avec leur appli java ce n'est pas ce qu'il se passe.
Le seul point vraiment unique de l'applet par rapport à un bête html/pdf/http/ssl tu ne le listes pas : c'est l'assurance que l'application elle même (le contenu de l'applet) vient des impots sans modification (le ssl ne certifie que le fait que les impots répondent, il n'assure pas l'intégrité du contenu).
Maintenant pour ma part ce point justifie parfaitement la solution Java.
Le point qui leur a fait choisir Java est probablement bureaucratique/légal/administratif, c'est pouvoir marquer "signature électronique", même si concrêtement ça n'apporte rien. Bref, pas un point technique.
[^] # Re: perso
Posté par Éric (site web personnel) . En réponse au journal Télédéclarer ses impôts et citoyenneté. Évalué à 2.
Bien sur que si que ça me gêne, c'est juste que c'est orthogonal à la question qu'on a là.
> > il faut les reprendre ailleurs ou baisser le budget global.
> Ou simplement arrêter de gaspiller en salaire mirobolant, et réception futile.
Quand bien meme on ne gaspille plus rien, et donc qu'on économie des sous là dessus, la question de savoir si ces 20e sont mieux affectés pour récompenser les télédéclarations ou ailleurs, elle reste.
Ce n'est pas parce qu'on arrête les gaspi (ou au contraire qu'on en fait plein) que ça implique que distribuer ces 20e là soit le meilleur usage qu'on puisse faire de cette somme.
> Mais bon , vu que tu es très fort pour faire la moral, je présume, que tel l'hopital, tu vas donner TOUT ton salaire au trésor publique, parce que tu es sur que ton argent sera bien utilisé là bas!
J'ai le droit de considérer que ça n'a rien à voir ? ou en tout cas je ne vois pas le rapport.
Je n'ai le droit de comprendre la raison d'une mesure publique ou même d'être d'accord avec elle sans pour autant refuser toute propriété ?
Le pire c'est que je suis d'accord avec toi sur le fait que l'état gère mal ce qu'on lui donne, mais je ne vois simplement pas en quoi ça devrait inciter à donner de l'argent là où ce n'est pas pertinent.
[^] # Re: Web, form et certificats...
Posté par Éric (site web personnel) . En réponse au journal Télédéclarer ses impôts et citoyenneté. Évalué à 4.
C'est effectivement la raison. Ceci dit j'ai toujours trouvé ça complètement stupide dans le système des impots. Tu peux créer/obtenir/renier ton certificat avec la même application qui sert à vérifier ta signature. S'il est capable de t'autoriser à créer/obtenir/renier ton certificat c'est qu'il t'a déjà authentifié avec assurance, et la vérification devient purement superflue.
La sécurité est toujours équivalente à celle du maillon le plus faible. On te demande quelques infos pas très privée et un numéro inscrit sur la déclaration. N'importe qui qui a ça peut supprimer ton certificat et en créer un nouveau avant de signer avec. C'est quoi l'intérêt dans ce cas ? la signature n'a que la valeur du "il a pu me donner le numéro inscrit sur la déclaration".
Je suppose que c'est un bête pré-requis légal ou administratif avec "il faut que ce soit signé, la signature électronique c'est avec des certificats alors mettons un certificat". Le fait que le certificat ne rajoute rien du tout à la sécurité du bouzin n'entre même pas en ligne de compte.
L'applet java a un sens dans l'idée qu'elle est elle-même signée (ce qui me garantie en théorie que personne n'y a touché si je suis capable d'authentifier la signature) mais le certificat qu'on nous impose pour signer notre envoi, c'est de la branlette intellectuelle.
[^] # Re: perso
Posté par Éric (site web personnel) . En réponse au journal Télédéclarer ses impôts et citoyenneté. Évalué à 4.
[^] # Re: perso
Posté par Éric (site web personnel) . En réponse au journal Télédéclarer ses impôts et citoyenneté. Évalué à 2.
Oh, certes sur le papier ils ne vont pas dire "on va retirer la somme des 20e et on va l'affecter aux allocations sociales", mais rassures toi ils ne vont pas dire non plus "on va retirer la somme des 20e et on va l'affecter aux réceptions de l'ambassadeur" non plus.
Si on ne paye pas ces 20e à tout le monde ça fait autant de plus à distribuer sur le budget global. Ca impact tout, les réceptions de l'ambassadeur aussi bien que les allocations sociales. Comme les prestations, équipements et subventions sont certainement majoritaires par rapport aux frais internes de représentation, tu peux être certain que ça impacte beaucoup plus là où c'est utile que là où tu penses que ça ne l'est pas.
Tu peux pointer autant d'excès que tu veux, ça ne changera pas le résultat : pour les dépenses qu'on fait, si on donne ces 20e il faut les reprendre ailleurs ou baisser le budget global.
Après on peut certes tout mélanger mais si ils te donnent ces 20e ça ne diminuera pas automatiquement d'autant les frais de bouche du ministère hein, donc je ne vois le rapport.
> Les deux budgets que j'ai cité, c'est peut etre des "petites sommes" au regard de ce qui est collecté, mais c'est symptomatique!
Le principe du "puisqu'on dépense trop d'argent là, autant m'en donner un peu quitte à faire encore plus baisser la somme d'argent totale disponible pour le reste" c'est un concept que j'ai du mal à intégrer, désolé.
Ca ne retire pas que tu puisses avoir raisons sur certains excès de l'état hein, c'est juste que malheureusement ça n'a rien à voir.
[^] # Re: perso
Posté par Éric (site web personnel) . En réponse au journal Télédéclarer ses impôts et citoyenneté. Évalué à 2.
Mouais, je demande à voir sur les couvertures sociales, les équipements publics, ou bêtement les prestations sociales et subventions que tu perçois. Je doute que ça soit si sens unique que ça.
Mais qu'importe, sur le principe oui c'est toujours à sens unique. Tous les sous qu'a l'état ils viennent de ta poche, ou plutôt de la notre. C'est *forcément* à sens unique puisque tout ce qu'ils sont susceptibles de te donner vient déjà de notre poche grâce à ce qu'ils te prélèves dans l'autre main. Pire, vu qu'ils financent aussi les équipements publics, en moyenne l'état donne moins qu'il ne prend. Dramatique non ?
C'est inacceptable, moi je dis on devrait même aller plus loin : on devrait inverser l'impot : c'est à l'état de nous payer.
Oui 20e ça peut être beaucoup. La question n'est pas là. Faire croire que c'est 20e en plus ou en moins c'est regarder à côté de la plaque. La question c'est de savoir où ils donnent l'argent, à qui et pourquoi.
Quelqu'un a du juger que ces 20e avaient des utilités plus importantes que financer ceux qui télédéclarent sur Internet.
Tiens, pourquoi pas justement alléger les impots de ceux qui en sont à 20e près (quoi que ceux ci ne payent généralement pas l'impot sur le revenu), ou financer l'aide au logement ?
Finalement, ce n'est pas bien qu'ils retirent ces 20e peu justifiés pour les mettre là où c'est plus utile ?
[^] # Re: perso
Posté par Éric (site web personnel) . En réponse au journal Télédéclarer ses impôts et citoyenneté. Évalué à 6.
> de la page vue
C'est pour rire ?
Ton .js, s'il est inclut ainsi, a les droits d'accès pour faire ce qu'il veut sur la page courante (donc lire/modifier toutes les informations).
Il ne peut pas faire ce qu'il veut, et en particulier on a des limitations pour éviter de forger des requêtes sur des domaines tiers. Par contre si on contrôle le script de base et le domaine tiers on a facilement dix moyens de transférer des informations, de n'importe quelle taille.
Tiens, une :
- on enchaîne les paramètres dans une chaîne de caratères avec un séparateur (tiens, ?a=b&c=d&e=f, pour faire quelque chose de connu), on ajoute ça à une url de notre domaine tiers, et on construit n'importe quoi qui fait appel à cette url : une image, un script, une css ....
Si les données sont trop grosses ce n'est pas bien grave, on fait plusieurs requêtes.
Une autre ?
- On charge du flash. On lui passe toutes les données voulues. Puis le flash lui il peut faire des requêtes cross-domaine pour peut que le domaine cible donne l'autorisation (ce qu'il fera vu qu'il est contrôlé par xiti - ou le méchant pirate - lui aussi).
Si on laisse un script tiers dans nos pages, on laisse virtuellement accès à :
- autant d'injection de données vers notre propre domaine que le méchant le souhaite
- autant de fuite de données vers des données tierces que le méchant le souhaite
Pour un truc aussi sensible qu'une déclaration d'impôts ce n'est pas seulement abusé, c'est dramatique (et de la pure incompétence)