• # Debian

    Posté par  (site Web personnel) . Évalué à 10 (+12/-0).

    Debian fournit maintenant des images pour tous les Raspberry Pi, ça évite les surprises.

    Avantages:
    - C'est une Debian de base
    - Les logiciels sont compilés pour le processeur cible (Raspbian se contente de la même image 32bits pour toute sa gamme)

    Inconvénients:
    - Pas d'accélération 3D matérielle (inutile pour un serveur)
    - Il faut toujours un blob propriétaire pour booter le système

    https://wiki.debian.org/RaspberryPi

    Un LUG en Lorraine : https://enunclic-cappel.fr

  • # Tout ça pour ça

    Posté par  . Évalué à -3 (+9/-13).

    C'est très exagéré : en fait, depuis quelques temps VisualStudio code est installé automatiquement avec Rapsbian. Il y a donc un dépôt apt sur un serveur de Microsoft. On pourrait s'amuser de trouver un dépôt apt chez Microsoft, au lieu de s'émouvoir d'une surveillance possible. Ensuite VisualStudio Code, s'il est lancé, envoie des données télémétriques à Microsoft. Oh là la ! tout comme VLC, Firefox, Chrome, etc. C'est une pratique devenue courante, on peut la déplorer, mais ça n'a rien de gros maichant.

    • [^] # Re: Tout ça pour ça

      Posté par  . Évalué à 10 (+11/-0).

      Non, c'est vraiment dommage la télémétrie. Et si je me souviens bien, y a pas ça dans VLC. Et retirer la télémétrie dans Chrome est très très difficile, Microsoft a passé plusieurs mois à le faire.

      Enfin, il existe VSCodium, comme mentionné dans l'article, qui lui, est libre, contrairement à VSCode. La télémétrie est un moyen de surveillance. C'est léger, mais c'en est un.

    • [^] # Re: Tout ça pour ça

      Posté par  . Évalué à 7 (+6/-1).

      Perso, je ne vois pas pourquoi microsoft aurait besoin de savoir que je possède un raspberry pi ou à quelle fréquence j'en fais potentiellement les mises à jour, et ce sans installer le moindre logiciel microsoft.

      Enfin, il faut croire que le rapprochement entre microsoft et raspberry n'était sans doute pas que pour avoir une version de windows 10 sur la framboise.

    • [^] # Re: Tout ça pour ça

      Posté par  . Évalué à 4 (+4/-1).

      "Nous nous efforçons de vous laisser le choix et de recueillir uniquement les informations dont nous avons besoin pour proposer Firefox et l’améliorer pour tout le monde. Nous demandons toujours votre permission avant de recevoir des données personnelles. Politique de confidentialité"
      tu peux le desactiver facilement sur firefox

    • [^] # Re: Tout ça pour ça

      Posté par  . Évalué à 7 (+4/-0).

      Dans les commentaires sous l'article, il y en a un qui dit le même genre de choses: on n'est plus en 2002,MS fait beaucoup pour d'opensource, etc.

      C'est vrai que MS a beaucoup changé. Ils ont plus ou moins abandonné l'idée d'étre hégémonique sur tous les appareils du monde. De toutes façons, c'est pas ça qui fait le plus d'argent aujourd'hui.

      Aujourd'hui, l'argent, ce sont les données, et MS a largement pris ce virage pour rejoindre les autres GAFAM dans leur soif insatiable de données utilisateurs.

      Au Canada (au moins, pour la part où ils se sont faits chopés), MS a obtenu l'accès aux messages privés des utilisateurs de Facebook, sans filtre.

      La télémétrie, ce n'est pas anodin. Ça n'est pas moins un problème que les cookies traceurs et les boutons "like" plantés sur des sites sans rapport avec FB.

      • [^] # Re: Tout ça pour ça

        Posté par  . Évalué à 1 (+1/-2).

        Je pense qu'il y a tout de même une différence entre dire que faire ça en opt-in soit un problème et affirmer que raspbian est un vendu ou sous entendre que vscode ne sert qu'à de la télémétrie (le fait même qu'ils aient permis l'existence de vscodium contrairement à sublime qui a été précurseur sur certaines fonctionnalité et populaire, c'est le retard de la v3 et la place que ça a laissé à vscode et d'autres qui l'ont tué).

        Ça n'en est pas moins un problème je suis d'accord.

        • [^] # Re: Tout ça pour ça

          Posté par  . Évalué à -3 (+0/-4).

          Voilà, c'est à peu près ce que je voulais dire.

          La télémétrie de VSCode sert un peu comme dans Firefox à observer comment on s'en sert et à rapporter des problèmes. MS a autre chose à faire que d'espionner des codeurs. Ce n'est pas le genre d'infos utiles aux publicitaires, comme sur le web (parce que le traçage par les GAFAM sur Facebook et ailleurs n'est qu'une histoire de pognon, pas une surveillance de police).

          • [^] # Re: Tout ça pour ça

            Posté par  . Évalué à 7 (+4/-0).

            La télémétrie de VSCode sert un peu comme dans Firefox à observer comment on s'en sert et à rapporter des problèmes. MS a autre chose à faire que d'espionner des codeurs. Ce n'est pas le genre d'infos utiles aux publicitaires, comme sur le web (parce que le traçage par les GAFAM sur Facebook et ailleurs n'est qu'une histoire de pognon, pas une surveillance de police).

            Bon, FF te demande explicitement si tu es d'accord pour envoyer les infos et met des mention explicites qu'elles ne seront pas utilisées pour autre chose que la télémétrie.
            Je n'ai pas de Raspberry disponible pour tester ici:
            -La question est-elle posée à l'installation?
            -L'utilisateur est-il prévenu et est-il explicité ce qui sera fait avec les données?

            Sinon, à moins que tu aies des sources internes, je peux très bien supposer que MS a tout intérêt à espionner accumuler des données d'utilisation des développeurs afin d'adapter leur offre commerciale au marché. Ils ont aussi tout intérêt à savoir si tu utilises vraiment VSCode ou autre chose, et pourquoi.

            Tu es en train d'utiliser les mêmes arguments utilisés par Google et Facebook pour justifier une télémétrie trop invasive: "nan, je vous jure, à la fin, c'est pour votre bien et ça ne vous fait aucun mal".

            Quant à dire que la surveillance de FB et Google n'est qu'une histoire de pognon et pas de police: tu n'as donc vraiment jamais entendu parler de PRISM?

            Quand bien même il n'y aurait pas PRISM, est-on arrivé tellement bas que maintenant, envoyer des données sans le consentement explicite de l'utilisateur, et sans garantie sur leur utilisation, c'est pas bien grave?

            • [^] # Re: Tout ça pour ça

              Posté par  . Évalué à -1 (+1/-4).

              Sinon, à moins que tu aies des sources internes, je peux très bien supposer que MS a tout intérêt à espionner accumuler des données d'utilisation des développeurs afin d'adapter leur offre commerciale au marché.

              C'est la définition d'un procès d'intention.

              • [^] # Re: Tout ça pour ça

                Posté par  (site Web personnel) . Évalué à 8 (+6/-0).

                C'est la définition d'un procès d'intention.

                Et d'une une extrapolation, sur la base de ~30 ans de scandales révélés.

                Adhérer à l'April, ça vous tente ?

                • [^] # Re: Tout ça pour ça

                  Posté par  . Évalué à 0 (+2/-4).

                  Ça n'en est pas moins du procès d'intention. À partir du moment où au lieu de rechercher et de chercher à comprendre, on préfère prendre un raccourcis basé sur de l'amalgame, de l'histoire sans réel rapport (et sans chercher à voir s'il y a un rapport ou pas) ça donne des discussions qui ont très peu d'intérêt.

              • [^] # Re: Tout ça pour ça

                Posté par  . Évalué à 3 (+0/-0).

                La base de la sécurité c'est de ne pas faire confiance aveuglément.
                Si tu ne comprends pas:
                Tu veux bien m'envoyer tes numéros et mots de passe d'accès à tes comptes bancaires?
                Je fais des stats sur les mots de passe des comptes bancaires et si le code d'accès influence le choix du mot de passe.

                • [^] # Re: Tout ça pour ça

                  Posté par  . Évalué à 2 (+0/-0).

                  Est une remarque intéressante bien que très mal formulée. J'ai pas de distinction bien claire à formuler.

          • [^] # Re: Tout ça pour ça

            Posté par  (site Web personnel) . Évalué à 5 (+4/-0). Dernière modification le 07/02/21 à 22:18.

            La télémétrie de VSCode sert un peu comme dans Firefox à observer comment on s'en sert et à rapporter des problèmes. MS a autre chose à faire que d'espionner des codeurs.

            Sauf que dans la version de Firefox fournie par Debian (système d'exploitation sur lequel est fortement basé Raspberry Pi OS) les trois cases de la collecte des données par Firefox sont décochées par défaut.

            Sauf que la Firefox est un logiciel open source contrairement à VSCode, d'ailleurs la licence de Microsoft Visual Studio Code qui interdit de décompiler ou le désassembler le logiciel. Selon Chris Dias de Microsoft, on suppose que la version propriétaire de Visual Studio Code ne contient que de la télémétrie et du pistage en plus par rapport aux sources originales, mais la licence ne permet pas de le vérifier.

            Vu qu'une version totalement libre appelée VSCodium existe, avec les mêmes fonctionnalités que le binaire non libre Visual Studio Code , il aurait été plus judicieux et respectueux envers la vie privée des utilisateurs, d'inclure VSCodium dans Raspberry Pi OS.

            • [^] # Re: Tout ça pour ça

              Posté par  . Évalué à -3 (+1/-6).

              Qui décompile firefox pour vérifier ce genre de chose ? Qui empêche RaspberryOS de faire son propre build sans la télémétrie et hébergé dans leur propre dépôt ?

      • [^] # Re: Tout ça pour ça

        Posté par  . Évalué à -2 (+0/-4).

        Aujourd'hui, l'argent, ce sont les données, et MS a largement pris ce virage pour rejoindre les autres GAFAM dans leur soif insatiable de données utilisateurs.

        Bof, des 5 que tu cite il y en a surtout 2 qui vivent de ça. Amazon clairement beaucoup beaucoup beaucoup moins, ils margent sur le retail et aws (je n'ai pas vérifié les chiffres, mais je ne pense pas que les revenus d'aws soient particulièrement sur des services types réseaux de neurones pré entrainés) il y a alexa, mais je ne pense pas que ce soit leur business modèle. Apple ce n'est pas du tout le cas, vraiment. Microsoft fait de l'argent a pleins d'endroits le cloud, les licences Windows et Office (ou l'abonnement).

        Je ne pense pas qu'on puisse mettre dans le même panier des boîtes qui ne font que de la publicité et dont le reste de leurs activités ne sont financées que par la pub, de boîtes dont c'est une activité à côté (et qui font beaucoup moins de forcing).

        • [^] # Re: Tout ça pour ça

          Posté par  . Évalué à 5 (+2/-0).

          Je ne pense pas qu'on puisse mettre dans le même panier des boîtes qui ne font que de la publicité et dont le reste de leurs activités ne sont financées que par la pub, de boîtes dont c'est une activité à côté (et qui font beaucoup moins de forcing).

          Carrément, beaucoup moins problématique:

          https://techcrunch.com/2021/02/01/amazon-government-demands-spiked/
          https://www.theverge.com/2021/1/31/22258856/amazon-ring-partners-police-fire-security-privacy-cameras

          https://www.theregister.com/2020/11/26/productivity_score/

          Amazon est un Facebook qui aurait absorbé un gros client. Ils utilisent les données autant qu'ils peuvent pour vendre toujours plus. Et ils sont très invasifs. Il y a une raison pour laquelle ils ont développé Alexa, qui leur a coûté une somme rondelette à développer, et leur coûte très cher aussi à opérer.

          Rappelons que c'est un service gratuit proposé par une boite dont le but est de gagner de l'argent avec ses utilisateurs. Ça me rappelle d'autres boites…

          • [^] # Re: Tout ça pour ça

            Posté par  . Évalué à -1 (+1/-4).

            Regarde comment les entreprises gagnent de l'argent tu verra que ce n'est pas le même modèle. Faire de grands amalgames parce que ça se ressemble de loin est contre productif. Les problèmes posés par chacune ne sont pas les mêmes. Ne pas arriver à mettre le doigt dessus et préfèrer la facilité de procès d'intention n'aide en rien à résoudre ces problèmes.

            • [^] # Re: Tout ça pour ça

              Posté par  . Évalué à 4 (+1/-0).

              Pourtant FF résout très bien ce problème avec une simple question posée à l'utilisateur.

              • [^] # Re: Tout ça pour ça

                Posté par  . Évalué à 3 (+1/-0).

                Tout à fait, c'est pour ça que je suis dès mon premier commentaire que le opt-in est un problème.

    • [^] # Re: Tout ça pour ça

      Posté par  (site Web personnel) . Évalué à 4 (+3/-0).

      Ensuite VisualStudio Code, s'il est lancé, envoie des données télémétriques à Microsoft. Oh là la ! tout comme VLC, Firefox, Chrome, etc. C'est une pratique devenue courante, on peut la déplorer, mais ça n'a rien de gros maichant.

      C'est un gros mensonge, puisque dans la version de Firefox fournie par Debian (système d'exploitation sur lequel est fortement basé Raspberry Pi OS) les trois cases de la collecte des données par Firefox sont décochées par défaut. Pour VLC, c'est aussi un gros mensonge, vu qu'au premier lancement de VLC sous Debian, une fenêtre s'affiche indiquant que VLC ne collecte ni transmet aucune de vos données personnelles, même sous forme anonyme à quiconque. Pour Chrome, c'est complètement hors-sujet, puisque que Google Chrome est un navigateur web totalement propriétaire et de ce qui se fait de pire en terme de respect de vie privée (même s'il a été récemment battu par Edge dans ce domaine).

  • # Raspberry Pi OS ≠ Raspbian? Et une petite analyse du problème…

    Posté par  (site Web personnel) . Évalué à 10 (+8/-0).

    ⚠️ Apparemment c'est Raspberry Pi OS et pas Raspbian. D'après ce que les gens disent sur reddit, c'est pas pareil et le problème n'impacterait que RPI OS, qui serait le fork de la fondation RPI (Raspbian étant maintenant la version communautaire et n'ajouterait donc pas ce dépôt; à vérifier bien sûr, je veux pas induire en erreur). Voilà je pensais que c'était important de le préciser si c'est vrai. ⚠️

    Sinon sur le problème lui-même, ce n'est pas juste un petit problème de télémétrie.

    1. Déjà évidemment il y a la question de qui est qui. C'est triste pour Microsoft si maintenant ce sont réellement des saints (🙄) mais la confiance, ça se regagne pas si facilement. Donc forcément les gens sont pas fans de l'idée de taper dans un serveur Microsoft avec l'historique pas reluisant de l'entreprise.
    2. Ensuite c'est apparemment essentiellement pour un logiciel (VS Code). Les gens se demandent pourquoi cela n'aurait pas pu juste être rajouté comme paquet dans les autres dépôts existants? Pourquoi cela avait-il besoin d'un dépôt dédié? Et donc justement si cela ne cache pas quelque chose. De la télémétrie notamment en effet (pas seulement si on installe le logiciel d'ailleurs, le simple fait d'avoir un dépôt configuré y envoie des infos régulières). Ensuite y a-t-il un deal financier quelconque entre la fondation raspberrypi et Microsoft? C'est en tous cas ce que beaucoup semblent supposer, ou du moins se demandent et avec peu de réponse de la part de la fondation.
    3. L'un des vraiment gros points de contention est comment cela a été fait aussi. Normalement une distribution ne change pas la liste des dépôts dans une mise à jour par script (ce qui a été fait ici). On ne rajoute pas ainsi un nouveau dépôt unilatéralement sans demander explicitement avant (question interactive lors de la mise-à-jour par exemple). La liste des dépôts est quand même un truc un peu sacré, c'est la porte d'entrée vers votre installation. Là les gens en sont d'ailleurs à se dire que même s'ils virent la nouvelle ligne dans le fichier de config et la clé, rien ne leur garantit qu'une prochaine mise-à-jour ne va pas les rajouter à nouveau. Donc en gros, la relation de confiance a été mise à mal.
    4. Lié aux points 1 et 3: ce qui a été rajouté, c'est un dépôt chez Microsoft et une clé de Microsoft. Une prochaine mise-à-jour peut donc télécharger des logiciels empaquetés entièrement par des ingés Microsoft, sans contrôle extérieur (pas même de la fondation). Même des bibliothèques classiques aussi dispos dans les autres dépôts (il suffit de faire une version plus récente, c'est ce que font les dépôts tiers en général pour supplanter les versions de base, genre les dépôts de logiciels libres avec prise en charge de trucs brevetés, par exemple pour avoir une version de ffmpeg plus complète, etc.; dans ces cas là, c'est donc pour "une bonne raison" et configuré explicitement par l'admin de la machine, mais là avec un dépôt Microsoft et sans avertir l'admin?…). Alors bien sûr, certains disent que si Microsoft faisait un truc indigne, ça leur retomberait dessus. Peut-être. Peut-être pas. Justement on voit typiquement avec ce genre d'histoire que ce types d'histoire de confiance fait perdre un peu, mais potentiellement gagner beaucoup en même temps (ce pourquoi possiblement la fondation RPI ne fait pas marche arrière non plus). C'est un peu comme donner les clés à quelqu'un en qui on n'a pas confiance en se disant "il va pas oser me cambrioler, ça lui coûterait cher"… ou pas. Peut-être qu'il y verrait tout de même un avantage en pesant le pour et contre. Dans le doute, je donnerai pas une copie de mes clés à quelqu'un en qui j'ai pas confiance. 😛

    Dans tous les cas, ça fait pas mal discuter dans le rapport #42 du dépôt lié ainsi qu'en bas du commit même.
    On notera aussi que malgré une date au 25 janvier pour la mise-à-jour elle même et le commit, ce dernier n'a apparemment été poussé (donc code visible) que le 4 février. C'est possiblement juste un oubli, mais tout de même si c'est le cas, c'est une grosse bourde sur un sujet si sensible où il aurait mieux valu jouer l'ultra-transparence. Là c'est un peu "oups ahah on a oublié de publier le code le plus équivoque de notre historique avec 10 jours de retard (après sortie binaire de la mise à jour qui a donc été en production jusqu'à ce que quelqu'un le remarque et doive demander)!"

    En tous les cas, ça a pas mal ébranlé la confiance que les gens ont envers la fondation RPI (enfin ceux qui auront eu vent de l'affaire, beaucoup ne s'en rendront jamais compte, cf. ce que je racontais plus haut). J'en ai eu vent en voyant ce fil reddit et c'est vrai que pour l'instant, j'ai du mal à considérer ça comme une inquiétude futile. Je sais en tous cas que j'installerai pas cette distrib la prochaine fois que j'installe un RPI (et probablement je regarderai dans les autres machines de ce type si je dois acheter une mini-machine plutôt qu'acheter RPI).

    Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.