mahikeulbody a écrit 1726 commentaires

Pas de réseau. Pas de wifi. Pas de faille de sécurité. Pas d'emmerdes.

Mon HP est en wifi, ça permet de la mettre où je veux sans avoir à tirer un câble usb en travers de la pièce. Mais wifi ne veut pas dire accès à internet : elle est bloquée par le contrôle parental.

Mais c'est analogue au chèque, dont la détention ne te garanti pas d'être payé.

Le chèque est en voie de disparition et le Tailer est en voie de non-apparition s'il n'arrive pas à faire mieux sur ce point. Ca rejoint une question que je posais plus haut et à laquelle je n'ai pas eu de réponse claire : est-ce que le mode "Transfert-et-dépose-immédiatement" est aussi accessible aux particuliers ou seulement aux marchands ?

Il n'y a d'ailleurs pas que le chèque qui ne garanti pas d'être payé, il y a aussi le virement (classique, pas le virement instantané).

Le "Transfert-et-dépose-immédiatement" est accessible aux particuliers ou bien seulement aux marchands ? Si c'est accessible seulement aux marchands, il manque le cas des transactions entre particuliers non-amis.

tu peux le transférer autant que tu veux, mais il faut que les deux parties se fassent confiance, parce que rien dans le protocole ne m’empêche de transférer le même jeton plusieurs fois.

Tu crois recevoir de l'argent mais quand tu vas le déposer à la banque, tu pourras découvrir que le jeton a déjà été utilisé ???

mais qui protège bien la vie privée côté acheteur.

mais n'offre aucune garantie au vendeur (si je comprends bien la phrase citée plus haut).

Je vois mal comment ce truc pourra décoller.

Je me suis rappelé : dans Invitation au voyage, sur Arte.

mais je ne me rappelle plus où (Arte ?)

Et ce n’est pas du cash numérique pur, dans le sens où tu ne peux pas échanger directement avec quelqu’un sans passer par l’autorité pour valider la transaction.

Du coup, pour le narcotrafic le problème reste le même, il faut blanchir les jetons, tout comme ils doivent blanchir le liquide ?

Sinon, du peu que j'ai pu lire à propos de l'euro numérique qui serait émis par la BCE, il semble qu'il sera "anonyme", lui aussi. Si c'est bien le cas, qu'est-ce qu'il resterait comme avantages au Taler ?

La plupart des services publics (du moins ceux auxquels j'ai eu affaire, ce qui n'est pas forcément représentatif), proposent aussi le SMS (ou, quelque fois, mais c'est beaucoup plus rare, un e-mail alternatif). Les impôts sont un contre-exemple malheureux.

Tu voudrais quoi ? Un service public d'e-mails ? Un boîtier TOTP pour chaque français ? Une appli ?

(Je n'ai pas compris le rapport entre ton commentaire et le mien auquel tu réponds)

Du coup, tu n'arrives jamais à te connecter au site d'EDF ?

Beaucoup de sites (par exemple Ameli, me semble t-il) permettent de choisir entre e-mail et sms pour l'envoi du code 2FA. Ce n'est pas le cas pour les impôts, ce qui est un problème, GAFAM ou pas (un fournisseur d'e-mail européen éthique peut très bien avoir une panne à un moment où on doit urgemment accéder au site).

C'est quoi la moins pire : la biométrie digitale ou la reconnaissance faciale ?

Pour la faciale, j'ai entendu parler de truc 3D, c'est du marketing bullshit ou quelque chose qui peut contrer une photo ?

Qu'on soit très trop lié aux GAFAM est une évidence pour tout le monde ici. Mais ce n'est pas parce qu'on aborde ce sujet que c'est forcément intéressant et qu'on doit être automatiquement pertinenté.

Mon compte FranceConnect est lié à mon compte DGFiP (les impôts donc).

On peut aussi utiliser Ameli ; c'est mieux fait : on peut copier-coller le code, ça remplit les 6 cases d'un coup.

Là, on a effectivement l'impression que ça été fait à l'arrache après qu'un décideur se soit aperçu qu'Ameli le faisait et pas eux. Et ça tombait bien, il y avait son neveu qui voulait faire un stage.

Aussi : pourquoi pas un code T-OTP ?

Parce que c'est trop compliqué pour une cible aussi large : il faut installer une appli sur son téléphone et sauvegarder le QR code quelque part au cas où on perd son téléphone.

Ceci dit, on devrait avoir le choix entre l'e-mail et un sms. Et, pourquoi pas, TOTP pour ceux qui le veulent.

La sécurité des déclarations fiscales repose donc désormais en dernier ressort sur (essentiellement) les Gafam.

Je ne suis pas sûr de comprendre quel est le problème : que les gafam voient passer le code 2FA ?

Qu'adviendra-t-il si le fournisseur bénévole décide de clôturer abruptement l'accès au compte ?

Ça peut effectivement poser un problème si on ne s'est pas connecté depuis plus de 6 mois (ce qui doit être souvent le cas courant concernant le site des impôts). Je ne sais pas ce qui est prévu dans ce cas mais de là à dire que la sécurité des déclarations fiscales repose désormais sur les Gafam, il me semble que tu exagères un peu.

Est-ce vraiment raisonnable dans le contexte géopolitique actuel […] d'en rajouter une couche ?

En l'occurrence il s'agit d'une couche universelle : l'e-mail. On ne va pas s'interdire cette couche sous prétexte que la majorité utilise les mauvais fournisseurs pour la mettre en œuvre. Surtout si c'est pour augmenter la sécurité des accès.

Par extension, vu que beaucoup se reposent sur Google pour envoyer/recevoir des SMS, tu proposes aussi que les organismes s'interdisent de l'utiliser pour la 2FA ?

J'ai pu récupérer le secret du TOTP Lufthansa grâce à ton premier lien. Le fichier json produit n'est pas importable dans Aegis mais il suffit de l'ajouter via la "saisie manuelle" (en recopiant le secret directement lisible dans le .json).

Merci !

Partout non puisque le fournisseur d’e-mail Mailo permet de le ré-afficher via sa console d’administration. Mais en l'occurrence peu importe, je me serais contenté de pouvoir le désactiver en ligne. j'imagine que la plupart des sites le permettent, non ?

On parle ici de 2FA basé sur TOTP, pas sur un SMS ; ça marche même si j'enlève la SIM. Du coup, il n'y aucune raison pour qu'ils désactivent la 2FA si je leur demande de supprimer mon numéro de téléphone puisqu'il n'y a aucun lien entre les deux.

En fait, c'était la première fois que j'utilisais une 2FA sur TOTP. Alors j'ai choisi ce site un peu par hasard, pour tester en quelque sorte. Et aussi un peu par ignorance, j'ai choisi Google Authenticator. Ça marche je peux me connecter.

Mais un peu plus tard, je me suis dit que ça serait mieux d'utiliser une application FOSS comme Aegis. Là, problème : impossible d'exporter la clé de Google Authenticator vers Aegis, on ne peut la transférer que vers un autre appareil ayant lui-même Google Authenticator (alors que Aegis importe et exporte depuis plein de formats).

Là je me rappelle avoir vu sur un autre site la possibilité de ré-afficher/régénérer (?) le QR code ce qui me permettrait de le scanner avec Aegis. Hélas, le site de la Lufthansa ne permet pas ça. Alors je me dis que je vais désactiver la 2FA puis je la réactiverai en me servant de Aegis cette fois. Impossible via le site, seulement par téléphone à 0,34€/min (j'ignore le temps qu'il me faudrait pour tomber sur le bon interlocuteur et comment il pourrait s'assurer que je suis le titulaire du compte mais je ne vais pas essayer).

En quoi la suppression du numéro de téléphone va les forcer à supprimer la 2FA/TOTP ?

Dell m'a répondu que cette phrase était relative au changement d'adresse e-mail en ligne, procédure qu'ils appellent "rapide" (mais qui est en fait inutilisable vu les conséquences). Ils m'ont envoyé un formulaire à remplir pour la procédure dite longue (jusqu'à 30 jours, délai légal prévu par le RGPD). On va voir ce qu'il en sort.

J'avais aussi demandé par e-mail le changement d'adresse sur le site de Delonghi (pas possible de le faire en ligne). Dix jours plus tard j'ai reçu une réponse assez lunaire:

Afin de vous apporter une réponse précise merci de revenir vers nous en nous précisant le cadre dans lequel vous désirez changer d'adresse.

Autrement dit, pour quel motif je veux changer d'adresse e-mail ?! J'imagine que quitter gmail pour une adresse sur un domaine perso ça doit allumer plein de red flags pour l'administrateur du site (on parle du petit site d'une entreprise qui vaut plusieurs milliards d'euros).

Nous vous informons qu'il n'y a pas la possibilité de lier votre commande XXXXX à une autre adresse email.

Alors ils veulent savoir pourquoi je veux changer d'adresse e-mail mais juste après ils me disent que ce n'est pas possible (ou alors en perdant l'enregistrement de mes commandes, je ne sais pas trop).

Tout comme l'humain restitue (peut-être) la suite logique du mix de ses antécédents génétiques et des événements auxquels il a été soumis jusqu'à cet instant. Certains, et non des moindres, disent qu'on n'a pas de free will. A chacun son prompt.

Un llm est beaucoup plus éloigné d'un cerveau humain que d'une chaîne de Markov.

Donc c'est une chaîne de Markov ? Curieux raisonnement.

un humain a des concepts de vérité, de moralité, d'objectif. Tout ça qu'ignore complètement un llm.

L'actualité te contredit un peu sur ces points mais ok, ce n'est pas le sujet. Les concepts de moralité, par exemple, sont des trucs acquis (ce qui explique qu'ils soient très variables selon les cultures), donc rien qui ne puisse être inclus dans l'apprentissage ou le pré-prompt d'un LLM.

Les vidéos de Mr Phi montrent que le sujet est un peu plus complexe que le "je puise dans mes données d'entraînement ([…]) pour construire une phrase, un mot après l'autre", notamment si on a une vision matérialiste de la conscience (ce qui est un peu le consensus scientifique et philosophique actuel).

Ce qui ne veut pas dire que je défends l'usage des LLM (et des IA en général), c'est un autre débat.

N'ayant pas trouvé de contact a priori pertinent sur le site, j'ai finalement utilisé le contact privacy@dell.com puisqu'au final il s'agit de la gestion de mes données personnelles. Après plusieurs jours j'ai reçu un mail me renvoyant à l'assistance technique, ce qui ne marche pas car les seuls choix proposés concernent des problèmes matériel (avec une liste spécifique pour chaque type de matériel) ou à cliquer sur un lien permettant de gérer mon compte et donc à changer d'adresse e-mail (mais avec bien sûr toujours le message "Si vous modifiez votre adresse e-mail, vous perdrez l’accès à votre historique des commandes, à vos licences logicielles, à vos abonnements et à l’historique des enregistrements de vos appareils").

Bref, probablement une réponse rédigée par un agent IA sans aucune intervention humaine (dans le cas contraire, c'est encore plus navrant). Je vais attendre leur éventuelle réponse au mail que je viens de leur envoyer puis je ferai peut-être un signalement à la CNIL.

ça c'est la bonne façon de faire, ça pousse à un revérification, mais non bloquante.

Je trouve ça inutile : vérifier le domaine ne garantit pas que la personne ne s'est pas trompé sur l'adresse (ah, c'est gmail.com donc c'est bon ?). Alors que l'envoi d'un lien ou d'un code sur la nouvelle adresse permet de valider que celle-ci est bonne (je préfère d'ailleurs le code car même si l'adresse erronée est par hasard celle d'une autre personne, celle-ci ne pourra rien en faire et l'adresse ne sera pas validée).

tout en m’interrogeant sur l’apport/pertinence (= inutilement)

Est-ce que ce n'est pas la même interrogation devant une œuvre d'art "classique" ?