Julien.D a écrit 166 commentaires

En ce moment, il me semble que le HTTPS soit de plus en plus utilisé. Certes ça n'est pas parfait (autorités de certifications, etc.), mais ça augmente le niveau globale de sécurité.
Et ça fonctionne, car c'est transparent pour l'utilisateur dans la plupart des cas.

Oui, alors attention car en effet HTTPS est l'exemple que donne souvent les gens pour montrer que le chiffrement pour tous et sans apprentissage est possible.
Mais ce n'est pas tout à fait la même chose, car HTTPS nécessite aussi un échange de clé, sauf qu'il est transparent à l'utilisateur pour la simple raison qu'il se produit au moment de l'échange. Quelque chose qui n'est pas adapté au mail.

(A et B représentent des adresses mails et des comptes associés)
- A génère un couple de clé, dit à B qu'il souhaite une connexion chiffrée en joignant sa clé publique
- B génère un couple de clé, et envoie à A sa clé publique
- A envoie à B le message chiffré
- B peut déchiffrer le message de A, et lui envoyer une réponse chiffrée

(sans compter les attaques MITM)

En sachant qu'un mail peut mettre du temps à arriver ce n'est pas réaliste, mais cela fonctionnerait dans d'autres protocoles comme XMPP, c'est même le principe d'OTR.

Donc tout cela fonctionne très bien pour des échanges en temps réel, mais pas pour du mail par exemple.

S/MIME je ne connais pas trop, mais on ne peut pas critiquer les faiblesses des autorités de certifications et proposer S/MIME comme solution de chiffrement.

chiffrement avec GPG, pour les geeks, ça fonctionne bien.
Mais il existerait(?) une méthode entre les deux
…
cat text.txt | convert -size 480x -font "Helvetica" -pointsize 16 caption:@- -type BiLevel text.png

Oui d’accord. :)

Bon admettons qu’il soit intégré au logiciel et qu’il ne pose pas de problème d’accessibilité, en quoi cela règle le problème du chiffrement, ta solution en n’étant pas ? Sans compter l’OCR qui donne de très bons résultats.

Sinon je viens de publier un journal pour répondre à cette problématique.

C'est mal comprendre mon propos, qui est qu'on ne peut pas utiliser GPG de façon sécurisée sans en comprendre un minimun les mécanismes et les précautions à prendre.

La génération d'une paire de clef pourrait se faire directement à l'installation.

Visiblement, ça fonctionne ainsi pour les nouveaux utilisateurs. (je n'en suis pas un, la création d'une clé ne m'as donc pas était proposée)

Tous les messages devraient être signé de base, et si on a une clef d'une personne : le mail devrait être directement crypté sans rien demandé de plus.

C'est le cas.

La clef publique (ou son fingerprint) peut aussi être attaché au mail signé

C'est le cas.

ainsi le plugin de la personne en face peut récupérer la clef toute seule.

C'est sûrement possible, mais ce n'est pas sécurisé. Quelqu'un peut se faire passer pour toi et envoyer à tes contacts une mauvaise clé.

C'est bien de critiquer pour voir les problèmes, le truc c'est de le faire après utilisation.

Et dans tous les cas, vous ne pouvez pas retirer l'étape de vérification des identités et des clés.

Tu dis toujours que les libristes sont des rêveurs à vouloir que les choses soient comme ils l'entendent.

Bah on peut dire la même chose de tes utilisateurs qui voudraient faire de nouvelles choses sans un apprentissage. Parfois ça peut se faire, là non.

Dans le domaine de la sécurité, si tu sais pas ce que tu fais, tu n'est pas en sécurité. Si tu fais confiance à un autre pour assurer la sécurité de tes échanges, tu n'est pas en sécurité.

Faudrait un jour se mettre à la place des utilisateurs

Ce que j'ai fait pour te montrer comment arriver à ce que tu voulais.

Mais tu dit quoi aux enfants qui ont du mal à apprendre à lire ?
"C'est pas grave, les autres vont s'adapter à toi." ?
"C'est pas grave, je vais le faire à ta place." ?

Note : il me semble qu'il manque plein d'étapes comme diffuser sa clé et comment vérifier les clés des autres, avant que ça soit utile, donc le tutoriel doit être bien plus long.

diffuser sa clé : Enigmail > Gestion de clé > Serveurs de Clé > Envoyer les clés publiques.

Vérifier la clé : Passes chez moi avec ta carte d'identité et ton pc. Ouvre Enigmail > Gestion de clé > Double-clic sur ta clé. et on vérifie ensemble que c'est bien celle que j'ai récupérer sur le serveur de clé

C'est l'argument classique des gens qui veulent que les autres souffrent pour arriver à leur niveau (beaucoup d'informaticiens d'ailleurs).
D'autres se sont dit que c'était mieux que la machine soit au service de l'homme, et les technologies ont évolué. Bref, c'est sans doute qu'on a une très grosse différence de point de vue sur qui de la machine ou de l'homme doit être asservi. En attendant, Enigmail et/ou GPG sera toujours autant utilisé qu'avant (c'est à dire pas utilisé).

Ca ne tient qu'à toi désormais, je t'ai donné tout le nécessaire pour l'utiliser. Maintenant ce n'est plus qu'une question de volonté.

Pitié, pas les métadonnées en affichage direct, c'est horrible ce truc. Dieu merci, on a arrêté cette bêtise ignoble pour les autres dans les mails depuis quelques années. si LinuxFr ne te permet pas de signer un commentaire, évite de balancer la signature dans la partie contenu, c'est juste pas possible de signer.

C'était dans l'hypothèse peu probable que tu veuille vraiment utiliser GPG, ce qui n'est pas le cas.

Dans toutes les disciplines, les nouvelles compétences nécessite un apprentissage, je vois pas pourquoi l'informatique ferait figure d'exception sous prétexte qu'il y a une machine dans le processus.

J'espère cependant que ça profitera à quelqu'un et peut-être à toi si un jour l'envie te prend. Mais au-moins tu ne pourra plus dire (honnêtement) que gpg c'est compliqué ;)

Mais je n'ai pas encore trouvé de solution conviviale (utilisable dans la vraie vie avec des vrais gens qui n'ont pas envie de passer 10 ans à comprendre GPG) pour GPG dans Thunderbird (par exemple), et ce n'est pas faute de chercher (j'aimerai bien utiliser GPG pour signer mes mails par exemple).

Tu ne peux pas être sincère sur ce coup-là.

Tutoriel rapide.

1. Installer Thunderbird
2. Installer Enigmail (installation identique à une extension Firefox)
3. Commencer à écrire un mail
4. Dans la barre de menu, cliquer sur l'onglet Enigmail > Gestion de clés.
5. Dans la barre de menu de la fenêtre qui vient de s'ouvrir, cliquer sur Générer > Nouvelle paire de clé
6. Cliquer sur générer
7. Prendre un café
8. Sauvegarder en lieu sûr le certificat de révocation
9. Cliquer sur les boutons (visuels) pour signer et/ou chiffrer
10. Envoyer

J'ai aucun mérite, j'ai fait 15 ans d'étude pour arriver à ce niveau.

Tu veux me faire croire que tu a déjà essayer (sans succès) de faire ça ? Essaye au-moins d'être crédible, là c'est tout simplement ridicule.

Et oui, pour faire de la cryptographie il faut apprendre :O c'est tellement injuste dans un monde où toutes les connaissances viennent à toi en dormant …

Ca serait bien que tout le monde puisse accéder à la sécurité, sauf que la technologie ne peut pas tout faire, à un moment il faut se prendre en main.

Mauvaise technologie, changer de technologie.
Ca revient toujours par exemple dans la discussion contre les CA (c'est encore revenu dans les commentaire sur la dernière dépèche à propos du site), les CA c'est horrible mais rien d'utilisable n'est proposé pour répondre au besoin donc ben les gens continuent de prendre le truc le "moins pire" mais utilisable.

Il y a une différence entre le schéma d'une technologie faillible et une technologie qui demande un minimun d'apprentissage pour l'utilisation.
voir la réponse de Tanguy Ortolo à ce propos.

Pourquoi? Parce qu'il vaut mieux un truc un peu bancal mais qui marche qu'un truc parfait mais qui ne marche pas.

GPG fonctionne. Pour ceux qui veulent bien se prendre en main. L'accès à la sécurité pour tous a ses limites.

A charge pour ceux qui souhaitent que la signature/chiffrage soit le plus développé possible de proposer une technologie utilisable. Ici, je voulais surtout réagir parce que non, l'utilisation de GPG n'est pas simple. Elle permet peut-être d'être un peu moins compliqué, mais on est loin d'être simple.

GPG fournit beaucoup de fonctionnalités, mais rien ne t'oblige à toutes les utiliser. Le mini-tutoriel ci-dessus te permet déjà d'utiliser GPG. Pourtant à aucun moment je t'ai parler d'algorithme de chiffrement, de fonctions de hachages, de taille de clé, d'entropie, de sous-clé, de révocation (ah si…), d'expiration, d'imports/exports, de passphrase, de réseau de confiance, de fingerprint, etc.

Mais même sans ça, tu peux utiliser GPG. J'ai quand même un peu peur de voir des gens vouloir utiliser GPG sans rien savoir de la cryptographie, mais ils font bien ce qu'ils veulent.
EOF

Avec une petite signature de la première partie de ce commentaire (source markdown, arrêt à EOF) si tu veux vraiment essayer.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
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=8F9s
-----END PGP SIGNATURE-----

Je sais que ce qui n’est pas web c’est dépassé, mais tout de même.

L’utilisation de GPG est relativement simple avec l’utilisation de Thunderbird et d’Enigmail.

Bien entendu, il faut connaître les quelques notions de cryptographies nécessaires à son utilisation, mais rien d’insurmontable pour quelqu’un d’un peu curieux.

L’initiative est bonne bien entendu, mais je tenais à mentionner cette alternative déjà existante.

Les journaux sont pour informer (toi vers nous), pour les réponses aux questions ce sont les forums (nous vers toi).

Ah, je crois qu’on tient quelque chose !
Ça serait donc pour ça que certaines de tes interventions sur les journaux sont si peu constructives ! Tu penses que les journaux ne véhiculent de l’information que dans un sens !

Pour éviter que tu penses de travers, ceci est de l’humour. ;) Et j’apprécie tes interventions quand elles apportent quelque chose.

Honnêtement, bien que les blagues et expressions sexistes ne sont pas le meilleur moyen de promouvoir l’informatique aux yeux de la gente féminine, il faut admettre qu’un comportement similaire est courant chez les femmes dans l’autre sens. On en parle cependant moins souvent, pourtant je n’ai pas l’impression qu’il soit moins répandu mais qu'il se situe dans d’autres domaines.

Je ne dis pas que ce n’est pas un mal, simplement qu’il faut savoir distinguer l’humour d’un réel comportement sexiste, et quand bien même que ce humour puisse blesser, il faut également savoir vivre ensemble, ce qui ne signifie pas pour autant se laisser marcher dessus ! Sinon on attaque tout le monde dès qu’on se sent blessé par une parole ?

Et je ne trouve pas que ce soit un mal de poster un journal qui explique un problème avec sa solution et demander un peu d’aide en passant pour améliorer la chose.

Si tu veux vraiment parler d’une mauvaise ambiance sur linuxfr.org, essaye de critiquer ceux qui lancent des attaques pour rien pour un oui ou pour un non. Car je pense que des attaques envers les gens sont au-moins aussi mal vu que le sexisme de certaines expressions aux yeux des femmes.

Pour en revenir au sujet, peut-être que ce lien pourra t'aider.

Merci pour cette réponse

Je n'arrive pas à accéder au site http://matrix.org (erreur 504), c'est bien dommage puisque j'ai pas mal de questions sur le sujet.

Un intéressant commentaire à vous :

Il faut noter que Matrix et XMPP résolvent différents problèmes. Matrix est dans les faits une base de donnée éventuellement synchronisée avec fédération ouverte et sémantique de pubsub : tout est question de synchronisation d’états.
XMPP est centré sur de la messagerie fédérée, envoyant des stanzas tout autour plutôt que de synchroniser l’historique de conversation. En fait Matrix n’a même pas le concept d’envoi de message dans la fédération en tant que tel, la seule chose que tu peux faire c’est synchroniser la structure de données de l’historique.
Donc pour nous Matrix n’est même pas une compétition de XMPP : tu veux un historique de conversation décentralisé? Utilise Matrix. Tu préfères du transfert de message rapide et « stateless »? Utilise XMPP.
On est aussi en train de développer, entres autres, un bridge XMPP<->Matrix, pour que XMPP puisse fédérer avec Matrix (ainsi qu’un bridge SIP et d’autres), donc ce n’est pas comme si on voulait à tout prix fragmenter encore plus l’écosystème, au contraire : l’idée de Matrix est de défragmenter tout ça et faire interopérer les protocoles qui existent!

Je suis quand même de l’avis des autres, à première vue encore un autre protocole de messagerie instantané n’est pas souhaitable, et cela pour plusieurs raisons.
- Encore un autre.
- L’effet réseau est quelque chose de très difficile à faire démarrer même en ayant de bons arguments.
- XMPP offre déjà un protocole de messagerie instantané qui permet beaucoup de choses, et pour le reste il permet d’en ajouter plus tard le support avec les XEP.
- Une nouvelle dilution des compétences, des réseaux.

Je reste toujours ouvert à des alternatives bien entendu, simplement dans le cas présent j’ai du mal à voir comment un protocole peut faire mieux qu’XMPP.

Donc si tu pouvais expliquer en quelques lignes les avantages de matrix sur XMPP, ça serait intéressant de lancer également le débat ici.

Il y a eu 5 contenus dont une dépêche sur Grammalecte en l’espace d’un mois, je ne comprends donc pas ta remarque sur le manque de correcteur dans libreoffice.
C’est sous forme de module, et il n’est pas installé par défaut d’accord. Mais dire qu’il n’y en a pas, ça ne me semble pas tout à fait exact.

Après effectivement LO n’offre peut-être pas toutes les fonctionnalités d’Office, je sais pas mais peux-tu m’en citer une qui manque ou qui ne soit pas satisfaisante dans LO et disponible dans Office ? Je ne l’utilise pas souvent donc des exemples seraient utiles.

Pour accéder au grand Internet, on a l'habitude de payer aussi, ou emprunter la connexion de quelqu'un d'autre.
SSL, c'est pareil : soit on paye soit-même, soit on emprunte celui d'un autre (une petit endroit réservé sur un autre site).
L'un te choque, mais tu ne parles jamais de l'autre…

C’est pourtant bien différent comme services. Le premier a des coûts « nécessaires » (équipement réseau, moyens humains, travaux, etc.) pour pouvoir transmettre l'information que tu souhaites entre toi et le reste du monde. Le deuxième est de fournir une identité, cela a bien entendu un coût cependant il n’est pas forcément financier.

GPG fournit également une identité mais ne te coûte rien, si ce n’est un peu de temps quand tu rencontres des gens.

Pense-tu que la valeur se résume au coût ?

C'est étrange en effet puisque de mon coté :

curl m'indique ceci :

* SSL connection using TLS1.2 / ECDHE_RSA_AES_128_GCM_SHA256
*    server certificate verification OK
*    server certificate status verification SKIPPED
*    common name: *.linuxfr.org (matched)
*    server certificate expiration date OK
*    server certificate activation date OK
*    certificate public key: RSA
*    certificate version: #3
*    subject: OU=Domain Control Validated,OU=Gandi Standard Wildcard SSL,CN=*.linuxfr.org
*    start date: Tue, 02 Jun 2015 00:00:00 GMT
*    expire date: Sat, 02 Jun 2018 23:59:59 GMT
*    issuer: C=FR,ST=Paris,L=Paris,O=Gandi,CN=Gandi Standard SSL CA 2
*    compression: NULL

chromium :

Common Name (CN)    *.linuxfr.org
Organization (O)    <Not Part Of Certificate>
Organizational Unit (OU)    Domain Control Validated
Serial Number   00:FC:EE:49:C0:97:E1:77:95:F6:17:51:8E:E8:7D:CF:10
Issued By

Common Name (CN)    Gandi Standard SSL CA 2
Organization (O)    Gandi
Organizational Unit (OU)    <Not Part Of Certificate>
Validity Period

Issued On   6/2/15
Expires On  6/2/18
Fingerprints

SHA-256 Fingerprint E0 55 49 BD 8B 5D E1 07 15 4A C6 33 81 27 31 A8 19 E7 D7 B3 4D 7F 11 2F 1E 9F AE C3 90 A3 13 D0
SHA-1 Fingerprint   76 E7 95 FF 88 7C 1D 83 2F E5 70 B1 4F 1C B2 41 A6 4E DD 51

midori m'affiche bien une connexion HTTPS valide.

et firefox m'indique que c'est une connexion en clair ?!
Non, je pense que c'est un bug de firefox, car il semble bien faire une connexion HTTPS si j'en crois les outils de développement.

Bonjour,

Le // indique que la ressource pointée doit être accédée avec le même protocole utilisé pour recevoir la présente ressource.

Pas clair ?

Si tu arrives sur une page en HTTP avec un lien en //, ton navigateur ira chercher ton image en HTTP.
Même principe en HTTPS.

Pourquoi tu ne vois plus les avatars ?

Tu dois sûrement accéder au site en HTTPS en ayant accepté le certificat pour linuxfr.org, mais pas img.linuxfr.org donc ton navigateur refuse la connexion pour accéder aux images.

Comment régler le problème ?

Accepter le certificat img.linuxfr.org ou plus simplement attendre quelques jours car linuxfr.org va changer de certificat et ce problème sera résolu.

Tu peux essayer de cliquer ici pour voir si c’est bien le certificat qui pose problème.

Je ne souhaite pas vraiment prendre de position sur cette question de l’autorité de certification que devrait utiliser linuxfr.org mais cela m’aurait intéressait d’avoir un peu plus d’informations sur les arguments qui ont fait que l’assemblée à préférer Gandi à CaCert pour le nouveau certificat. Est-ce parce que les distributions l’ont retiré ? Pour éviter les problèmes que rencontrent les utilisateurs ? Une fonctionnalité supplémentaire ? Un meilleur support ? Autre ?

Sinon, en passant :

Preuve que la décision précédente était mauvaise

Une prise de position défavorable à un instant t n’est pas forcément l’aveu que la position inverse à un instant t-1 était mauvaise, il y a également le contexte et l’historique à prendre en compte. Les choses évoluent et cela serait idiot que tes positions ne changent jamais au fil du temps.
Tu m’as sorti ce (juste) argument hier concernant l’évolution des qualités des œuvres ;)

640 Go pour tes 6 minutes

Ce chiffre m’étonne.

Donc calculs !

proposition A : 640 Go <=> 6 minutes
proposition B : 40 Go <=> 6 minutes (ouf !)

hypothèses :

• J’ignore le ratio taille occupée par l’audio/taille occupée par l’image dans les films. Disons 90 % pour l’image. Cela nous donne :

(A) 640 Go de vidéo * 0.9 == 576 Go d’image
(B) 40 Go de vidéo * 0.9 == 36 Go d’image

Admettons que les vidéos soient à 60 FPS :
(A && B) 6 minutes <=> 60 * 60 * 6 = 21 600 images

(A) 576 / 21 600 = 0.0266 Go = 26,6 Mo / image
(B) 36 / 21 600 = 0.0016 Go = 1,6 Mo / image

J’ai déjà croisé des images en 4500x3500 de 3,5 Mo (jpg), mais ça fait quand même 7.5 fois moins lourd que le premier chiffre obtenu. (3.5 / 26.6, ça fait 13 %, belle compression :))

Alors j’ai cherché un peu sur les technologies de stockage :

• Blu ray : 128 Go en quadruple couche, ça donne :
  • (A) 72 secondes
  • (B) 19 minutes
• HVD : 3900 Go (un disque comme ça, j’en prends soin) :
  • (A) 36 minutes
  • (B) ~10 heures

Explications possibles :
* Mauvais ratio vidéo / image (mais après tout, un.flac de trois ou quatre minutes doit peser dans les 30 Mo, donc pas sûr que ça vienne de là)
* Les images non traitées sont très lourdes avant traitement/compression/encodage

Mes chiffres sont un peu incohérents tu en conviendras, alors j’aimerais bien avoir plus d’informations sur le genre de vidéo que tu stockes, leurs générations, leurs qualités et leurs utilisations.
En fait, ce n’est pas ton chiffre de 40 go <=> 6 minutes qui m’étonne (encore que) mais le ratio entre 640 Go/40 Go qui est de 16 :O
On dirait que tu a un format d’entrée qui une fois compressé à 13 % reste quelque chose de tout à fait respectable. :O
Tu stockes des png 24 bits sérialisés en json, le tout en double ? :)

Je me permet de relancer cette proposition, elle me semble utile et ne nécessite pas beaucoup de changement dans le code à première vue.

j'ai fais un patch du fichier /app/models/image.rb

--- image.rb    2015-06-02 19:09:22.087909046 +0000
+++ image.rb.new    2015-06-02 19:10:32.265505928 +0000
@@ -77,8 +77,7 @@
   end

   def to_html
-    "<img #{src_attr} #{alt_attr} #{title_attr}/>"
+    "<figure><img #{src_attr} #{alt_attr} #{title_attr}/><figcaption>#{CGI.escapeHTML alt_text.to_s}</figcaption></figure>"
   end

 end
-

A vérifier cependant.

C’est d’ailleurs (ou devrait être) le principal combat du Libre que d’avoir des protocoles et des formats libres, bien avant les logiciels qui doivent se baser dessus. Les logiciels propriétaires ne sont pas un problème tant qu’ils n’empêchent pas l’utilisation de logiciels libres en respectant des normes libres. Les formats propriétaires sont une fermeture du marché, problème qui ne se pose pas avec des logiciels propriétaires qui utilisent des formats libres, qui malgré le fait qu’il retire de la liberté à l’utilisateur ne lui retire pas celle d’en utiliser un autre.

La même différence qu’entre un journal et une encyclopédie et une chaine de télé et une radio et une visite chez un médecin… A chaque fois j’ai des informations pourtant ce n’est pas la même chose.

Une différence entre la qualité de l’écrit ou l’importance des informations ? Si tu pouvais détailler davantage ce point, je comprendrais surement mieux ce que tu veux exprimer.

Non, je ne dois pas lire assez… mais à mon corps défendant, je ne considère pas que 20 minutes soit de la lecture.

• http://www.police-nationale.interieur.gouv.fr/Actualites/L-actu-police/Prison-ferme-pour-avoir-insulte-la-police-sur-Facebook
• http://www.numerama.com/magazine/33100-4-mois-ferme-pour-avoir-insulte-la-police-sur-facebook.html
• http://www.franceinfo.fr/actu/faits-divers/article/trois-mois-ferme-pour-avoir-insulte-des-gendarmes-sur-facebook-75307
• http://www.lefigaro.fr/actualite-france/2010/10/02/01016-20101002ARTFIG00479-il-insulte-des-gendarmes-sur-facebook-trois-mois-ferme.php

Essaye d’en lire un, ça serait pratique pour discuter.

Je n’arrive pas à comprendre comment les gens imaginent qu’ils peuvent bénéficier de choses gratuites en dehors du circuit du bénévolat.

Une plateforme peut utiliser de la publicité et être respectueuse de ses utilisateurs, c’est pas beaucoup répandu mais rien ne l’empêche.

Moi je fais des installs gratos de linux parfois sur des machines bien chiantes en terme de périphérique je ne décide pas d’en faire mon modèle commercial

Je ne vois pas le problème, c’est ton choix mais pas une obligation. D’ailleurs la vente de service et de support est une source de financement pour le libre.

Maintenant il y a plein de gens qui vendent des ordis farcis de merde et tout le monde fait avec, mais bizarrement si moi demain je mets une barre de pub sur un firefox ou autre lors de mes install c’est moi qui me fera défoncer… pourquoi ?

Attends, tu penses que la majorité des gens ici ne critique pas ce fait ?! Bien sûr que c’est méprisable comme façon de faire et on critique tous ceux qui utilisent ce genre de méthode, ça fait davantage de bruit quand un groupe de développeur commence à le faire alors que c’est bien différent des valeurs qu’ils défendent.

Sourceforge install plein de merde avec LE gimp qu’ils proposent, en reprenant le compte utilisateur… oui ce sont des putes… faut voir le contrat. Je ne suis pas persuadé qu’ils n’ont pas le droit (je ne parle pas de morale).

Oui, c’est le vrai débat ça.
Je suis donc aller lire les CGU. (oui, c’est bien le bon nom de domaine)

All Code, information, data, ideas, text, software, music, sound, photographs, graphics, video, notes, messages, concepts, trademarks, service marks, or any other materials whatsoever (collectively, “Content”), whether publicly posted or privately transmitted, is the sole responsibility of the person from whom such Content originated. This means that the user, and not Slashdot Media, is entirely responsible for all Content that he or she uploads, posts, emails or otherwise transmits via the Sites.

Déjà là, la responsabilité de l’équipe GIMP est engagé s’il y a un problème avec leur compte.

By sending or transmitting to us Content, or by posting such Content to any area of the Sites, you grant us and our designees a worldwide, non-exclusive, sub-licensable (through multiple tiers), assignable, royalty-free, perpetual, irrevocable right to link to, reproduce, distribute (through multiple tiers), adapt, create derivative works of, publicly perform, publicly display, digitally perform or otherwise use such Content in any media now known or hereafter developed. You hereby grant the Company permission to display your logo, trademarks and company name on the Sites and in press and other public releases or filings. Further, by submitting Content to the Company, you acknowledge that you have the authority to grant such rights to the Company. PLEASE NOTE THAT YOU RETAIN OWNERSHIP OF ANY COPYRIGHTS, TRADEMARKS AND SERVICE MARKS IN ANY CONTENT YOU SUBMIT.

Voilà l’élément qui pourrait jouer à la défaveur de l’équipe GIMP.

On notera avec humour ces quelques passages concernant les bonnes pratiques :

the posting or making available of your SourceForge Content on or through SourceForge.net does not violate the privacy rights, publicity rights, copyrights, contract rights or any other rights, including intellectual property rights, of any person or entity ;

your SourceForge Content does not contain any viruses, worms, Trojan horses, malicious code or other harmful or destructive content ;

your SourceForge Content does not constitute, contain, install or attempt to install or promote spyware or malware or any other computer code (whether on Dice’s or others computers or equipment) intended to, or that does, enable you or others to gather information about or monitor the online or other activities of another party, unless it discloses such functionality to the user in a clear and conspicuous manner and the user affirmatively consents to such use ; and, your SourceForge Content does not otherwise violate, or link to material that violates, any provision of these Terms or any local, state, or federal law or regulation, including any law designed to regulate electronic advertising ;

your SourceForge Content shall not constitute, contain, install or attempt to install or promote any toolbar or secondary offer without the express written consent of Slashdot Media ; and

you shall notify Slashdot Media of all third-party add-on, extension, plug-in and other executable software distributed or bundled with your SourceForge Content prior to the release of such by sending an email to sfnet_ops@slashdotmedia.com prior to posting.

Alors, GIMP dans l'erreur ?
Oui, de ne pas faire attention aux CGU.

Que faire ?
Le droit perpétuel et irrévocable que vous avez donné à sourceforge est limité aux versions distribuées du logiciel, pas de celles à venir. Ils sont donc libres de continuer à distribuer de la façon dont ils le désirent les versions antérieures à maintenant de GIMP, et ça sans limite. La solution est simple en théorie, arrêter de distribuer GIMP via sourceforge, faire massivement passer l’information de ne plus utiliser sourceforge et essayer de mettre un message sur le compte sourceforge de télécharger GIMP via le site officiel (bon courage).

Mais est-ce que tout ça autorise pour autant d'écrire avec le compte d'un utilisateur ? Je n'en n'ai pas l'impression.

Ai-je déjà mentionné que je n’étais pas juriste et qu’il fallait vérifier tout ça ?

Non je ne paye pas l’hébergement de mes commentaires parce que ce n’est pas un hébergement,

Ah bon ? Il n’y a pas de serveurs derrière ? C’est le Cloud ?

je ne suis même pas acteur

Tu écris, donc tu es (acteur).

Ils peuvent tout à fait […] modifier mes commentaires si ca les chantent cela ne me troublera pas le moins du monde

Tu ne dois pas lire assez l’actualité.

Comparer une forge et un forum, fallait vraiment oser le faire.

Deux sites web et deux services de publications, la seule différence est dans la nature des publications des utilisateurs, ici c’est des écrits, sur l’autre c’est du code. Quelle différence fais-tu ?

Soit le logiciel n’est pas libre et ils n’ont pas le droit de le redistribuer et c’est vite fini, soit tout est libre et ils ont parfaitement le droit de le redistribuer.

Oui, mais pas forcément sous n’importe quelle forme. Sous la forme du logiciel original et sans modifications (ajout d’autres programmes notamment) il n’y aurait pas de problèmes.

Mais comme on trouve ici une pelle de gens qui trouvent normal qu’un mec expliquant comment pirater une connexion wep

Expliquer et mettre en pratique sont deux choses différentes, je doute que tu trouves autant de personnes qui soient d’accord avec le fait de pirater cette même connexion.

qui trouvent normal qu’un mec téléchargeant des fichiers trouvés sur google se retrouve condamné pour maintien illégale dans une infra

Il faut vraiment revenir sur cette histoire ?

Et là une boite commerciale se sert légalement de son site pour faire ce que toutes les boites font ailleurs et paff c’est la bronca générale.

J’attends des exemples d’entreprises qui modifient le contenu du compte de l’un de leurs utilisateurs aussi visiblement (et pas simplement de la modération) pour servir leurs intérêts. Et là aussi ça sera une « bronca générale ».

Que les choses soit claires, je n’approuve pas, mais je n’ai jamais bénéficié nulle part d’une place gratuite, justement pour éviter les trucs comme cela. Dès que j’ai commencé à faire des trucs j’ai toujours cherché un hébergeur payant pour être chez moi et pas sur le canapé chez quelqu’un d’autre qui un jour peut décider de changer sa politique d’accueil.

J’imagine donc que tu paye l’hébergement de tes commentaires sur linuxfr.org, sinon je considère que c’est normal qu’ils puissent modifier tes commentaires (et donc porter atteinte à ta notoriété car tu écris sous ton nom), car après tout c'est leur infrastructure.

La redistribution est peut-être libre, mais prendre le contrôle d’un compte de l’équipe de développement pour le faire (en modifiant les liens de téléchargements pour les faire pointer vers des installeurs tiers) ressemble beaucoup à de l’usurpation d’identité ou du moins à une volonté de tromperie des utilisateurs qui pensent lancer un installeur fourni par l’équipe.

ce n'est pas vraiment une usurpation d'identité

Je ne sais pas ce qu’il te faut, un compte sur une plateforme est associé à une personne ou à un groupe. Ce qui est fait par ce compte est de leur responsabilité, et si quelque chose se passe mal avec ce dernier, c’est bien eux qu’on ira voir. Sans compter l’image de la marque, si t’installe GIMP à partir de http://sourceforge.net et qu’il en profite pour installer d’autres logiciels, tu perds la confiance en une équipe de développeur alors qu’ils n’en sont pas à l’origine !

Cette façon de faire de http://sourceforge.net n'est pas respectueuse et me semble illégale, ou du moins très malsaine.

Certains pensent aussi qu'on pourrait peut-être demander à GNOME de nous épauler juridiquement si besoin, mais je ne sais pas s'il faut aller jusque là. Je ne suis pas juriste. Mais si certains pensent qu'il y a suffisamment légalement pour aller en choc frontal, je laisse faire les pros de la loi.

Je ne suis pas juriste non plus, mais mon conseil serait de contacter GNOME immédiatement pour qu'ils puissent se préparer si une action en justice est nécessaire. Ils en ont la capacité et il serait bête de s'en priver. Il est possible que l'histoire se finisse avant d'en arriver là mais si ce n'est pas le cas, il ne faut pas être pris de court.

Pour vous et le respect des utilisateurs.

Bon courage !