mahikeulbody a écrit 1788 commentaires

La sécurité des déclarations fiscales repose donc désormais en dernier ressort sur (essentiellement) les Gafam.

Je ne suis pas sûr de comprendre quel est le problème : que les gafam voient passer le code 2FA ?

Qu'adviendra-t-il si le fournisseur bénévole décide de clôturer abruptement l'accès au compte ?

Ça peut effectivement poser un problème si on ne s'est pas connecté depuis plus de 6 mois (ce qui doit être souvent le cas courant concernant le site des impôts). Je ne sais pas ce qui est prévu dans ce cas mais de là à dire que la sécurité des déclarations fiscales repose désormais sur les Gafam, il me semble que tu exagères un peu.

Est-ce vraiment raisonnable dans le contexte géopolitique actuel […] d'en rajouter une couche ?

En l'occurrence il s'agit d'une couche universelle : l'e-mail. On ne va pas s'interdire cette couche sous prétexte que la majorité utilise les mauvais fournisseurs pour la mettre en œuvre. Surtout si c'est pour augmenter la sécurité des accès.

Par extension, vu que beaucoup se reposent sur Google pour envoyer/recevoir des SMS, tu proposes aussi que les organismes s'interdisent de l'utiliser pour la 2FA ?

J'ai pu récupérer le secret du TOTP Lufthansa grâce à ton premier lien. Le fichier json produit n'est pas importable dans Aegis mais il suffit de l'ajouter via la "saisie manuelle" (en recopiant le secret directement lisible dans le .json).

Merci !

Partout non puisque le fournisseur d’e-mail Mailo permet de le ré-afficher via sa console d’administration. Mais en l'occurrence peu importe, je me serais contenté de pouvoir le désactiver en ligne. j'imagine que la plupart des sites le permettent, non ?

On parle ici de 2FA basé sur TOTP, pas sur un SMS ; ça marche même si j'enlève la SIM. Du coup, il n'y aucune raison pour qu'ils désactivent la 2FA si je leur demande de supprimer mon numéro de téléphone puisqu'il n'y a aucun lien entre les deux.

En fait, c'était la première fois que j'utilisais une 2FA sur TOTP. Alors j'ai choisi ce site un peu par hasard, pour tester en quelque sorte. Et aussi un peu par ignorance, j'ai choisi Google Authenticator. Ça marche je peux me connecter.

Mais un peu plus tard, je me suis dit que ça serait mieux d'utiliser une application FOSS comme Aegis. Là, problème : impossible d'exporter la clé de Google Authenticator vers Aegis, on ne peut la transférer que vers un autre appareil ayant lui-même Google Authenticator (alors que Aegis importe et exporte depuis plein de formats).

Là je me rappelle avoir vu sur un autre site la possibilité de ré-afficher/régénérer (?) le QR code ce qui me permettrait de le scanner avec Aegis. Hélas, le site de la Lufthansa ne permet pas ça. Alors je me dis que je vais désactiver la 2FA puis je la réactiverai en me servant de Aegis cette fois. Impossible via le site, seulement par téléphone à 0,34€/min (j'ignore le temps qu'il me faudrait pour tomber sur le bon interlocuteur et comment il pourrait s'assurer que je suis le titulaire du compte mais je ne vais pas essayer).

En quoi la suppression du numéro de téléphone va les forcer à supprimer la 2FA/TOTP ?

Dell m'a répondu que cette phrase était relative au changement d'adresse e-mail en ligne, procédure qu'ils appellent "rapide" (mais qui est en fait inutilisable vu les conséquences). Ils m'ont envoyé un formulaire à remplir pour la procédure dite longue (jusqu'à 30 jours, délai légal prévu par le RGPD). On va voir ce qu'il en sort.

J'avais aussi demandé par e-mail le changement d'adresse sur le site de Delonghi (pas possible de le faire en ligne). Dix jours plus tard j'ai reçu une réponse assez lunaire:

Afin de vous apporter une réponse précise merci de revenir vers nous en nous précisant le cadre dans lequel vous désirez changer d'adresse.

Autrement dit, pour quel motif je veux changer d'adresse e-mail ?! J'imagine que quitter gmail pour une adresse sur un domaine perso ça doit allumer plein de red flags pour l'administrateur du site (on parle du petit site d'une entreprise qui vaut plusieurs milliards d'euros).

Nous vous informons qu'il n'y a pas la possibilité de lier votre commande XXXXX à une autre adresse email.

Alors ils veulent savoir pourquoi je veux changer d'adresse e-mail mais juste après ils me disent que ce n'est pas possible (ou alors en perdant l'enregistrement de mes commandes, je ne sais pas trop).

Tout comme l'humain restitue (peut-être) la suite logique du mix de ses antécédents génétiques et des événements auxquels il a été soumis jusqu'à cet instant. Certains, et non des moindres, disent qu'on n'a pas de free will. A chacun son prompt.

Un llm est beaucoup plus éloigné d'un cerveau humain que d'une chaîne de Markov.

Donc c'est une chaîne de Markov ? Curieux raisonnement.

un humain a des concepts de vérité, de moralité, d'objectif. Tout ça qu'ignore complètement un llm.

L'actualité te contredit un peu sur ces points mais ok, ce n'est pas le sujet. Les concepts de moralité, par exemple, sont des trucs acquis (ce qui explique qu'ils soient très variables selon les cultures), donc rien qui ne puisse être inclus dans l'apprentissage ou le pré-prompt d'un LLM.

Les vidéos de Mr Phi montrent que le sujet est un peu plus complexe que le "je puise dans mes données d'entraînement ([…]) pour construire une phrase, un mot après l'autre", notamment si on a une vision matérialiste de la conscience (ce qui est un peu le consensus scientifique et philosophique actuel).

Ce qui ne veut pas dire que je défends l'usage des LLM (et des IA en général), c'est un autre débat.

N'ayant pas trouvé de contact a priori pertinent sur le site, j'ai finalement utilisé le contact privacy@dell.com puisqu'au final il s'agit de la gestion de mes données personnelles. Après plusieurs jours j'ai reçu un mail me renvoyant à l'assistance technique, ce qui ne marche pas car les seuls choix proposés concernent des problèmes matériel (avec une liste spécifique pour chaque type de matériel) ou à cliquer sur un lien permettant de gérer mon compte et donc à changer d'adresse e-mail (mais avec bien sûr toujours le message "Si vous modifiez votre adresse e-mail, vous perdrez l’accès à votre historique des commandes, à vos licences logicielles, à vos abonnements et à l’historique des enregistrements de vos appareils").

Bref, probablement une réponse rédigée par un agent IA sans aucune intervention humaine (dans le cas contraire, c'est encore plus navrant). Je vais attendre leur éventuelle réponse au mail que je viens de leur envoyer puis je ferai peut-être un signalement à la CNIL.

ça c'est la bonne façon de faire, ça pousse à un revérification, mais non bloquante.

Je trouve ça inutile : vérifier le domaine ne garantit pas que la personne ne s'est pas trompé sur l'adresse (ah, c'est gmail.com donc c'est bon ?). Alors que l'envoi d'un lien ou d'un code sur la nouvelle adresse permet de valider que celle-ci est bonne (je préfère d'ailleurs le code car même si l'adresse erronée est par hasard celle d'une autre personne, celle-ci ne pourra rien en faire et l'adresse ne sera pas validée).

tout en m’interrogeant sur l’apport/pertinence (= inutilement)

Est-ce que ce n'est pas la même interrogation devant une œuvre d'art "classique" ?

J'aurais dû re-tester avant de le citer.

J'ai envoyé un courrier à Dell, on verra ce qu'ils me répondent (s'ils me répondent).

Les services, peut-être, mais l'offre est un bazar sans nom.

Dans une de ses vidéos Sabine Hossenfelder voit quelques problèmes dans l'étude mais la trouve quand même intéressante (alors qu'en général, ses critiques d'études sur le sujet sont assez "rudes").

Ta Rolex, ça compte pas?

Si le device n'a que le wifi on peut quand même l'utiliser sans souci en local en bloquant son accès à internet avec le contrôle parental de la box.

Le si honni Snap serait donc mieux que Flatpak ?!

(c'est pas un troll, je n'y connais rien sur le sujet à part que Snap c'est Ubuntu et Ubuntu cépasbien car ils font tout de leur coté au lieu de contribuer à des solutions partagées)

Tu n'as pas compris : les enfants défavorisés, c'est à cause de Biden. Grâce à la Grande et Belle Loi (ou c'est l'inverse ?), la main invisible du marché reprend la main en allouant les ressources de manière idéale pour les plus favorisés/forts. Il n'y aura plus d'enfants défavorisés, que des mal soignés/dénutris/peu scolarisés des enfants que Dieu aura choisi pour vivre une vie misérable au service d'une minorité.

A propos de (petite ?) vague de départ des GAFAM, je note que sur un forum comme reddit on se réfère beaucoup à ce site d'alternatives européennes (ici liste consacrée aux email providers). Je m'en suis servi pour découvrir et, pour certains, essayer, des fournisseurs que je ne connaissais pas. Je ne sais pas ce qu'il faut faire pour faire partie de cette liste mais Mailo, qui est aussi une petite structure il me semble, a pu le faire ; ça donne quand même une belle visibilité.

On ne fait pas d'abonnement mensuel parce que compte tenu de notre taille et de notre niveau d'automatisation ça n'a pas de sens.

Je n'ai pas de souci avec ça (et vous n'êtes pas les seuls à le faire), excepté quand il s'agit d'essayer en payant un an ; surtout qu'il y a d'autres offres attractives sur le marché. Je sais qu'une période d'essai gratuite peut attirer les spammeurs, donc je suis prêt à payer avec "possibilité de se faire rembourser" ou même à payer sans remboursement de la période.

Ceci étant dit, migrer ses emails n'est pas anodin. Je ne crois pas à la migration "pour voir" ; si il y a quelque chose à faire, c'est plutôt de montrer à quoi ça ressemble en priorité.

Je ne crois pas avoir parlé de "migration pour voir", je ne me lance pas là-dedans dans le cadre d'un essai. Je veux voir l'ergonomie, les paramétrages possibles, les fonctionnalités du mail mais aussi des agendas et carnet d'adresses, etc… Du coup, même l'accès à un compte de démonstration pourrait faire l'affaire (si tant est que ce soit possible).

En ce qui concerne la "période d'essai", ça n'apparaît pas officiellement mais si vous n'êtes pas satisfait on vous remboursera.

Cool. J'imagine néanmoins que de nombreux clients potentiels ne fréquentent pas Linuxfr et ne verront pas cette phrase. C'est bien sûr votre affaire et donc vos choix mais vous ratez peut-être une petite vague de départs des GAFAM.

Si c'est le custom domain qui te fait penser ça, non en ce qui me concerne. Pour moi c'est
le moyen d'avoir des adresses non liées à un fournisseur d'e-mail. Mais la discussion est sans doute devenue un peu confuse à un moment ou un autre :-)

On prépare une offre intermédiaire à 40€ HT ; je reviens d'ici qques jours pour la présenter ici.

Finalement vous avez renoncé à cette offre ? Et toujours pas de période d'essai ? Personnellement je ne me vois pas souscrire une offre annuelle sans avoir pu essayer. Je suis peut-être un cas isolé mais j'en doute un peu quand je vois que la plupart de vos concurrents la propose.

C'est dommage !

Plus simplement, le CE ne se mêle pas de géopolitique […].
Si le CE estime que […] que l'hypothèse d'un usage géopolitique est faible […].

Il ne se mêle pas de géopolitique ou bien il s'en mêle quand même?

Il ne se sent pas un peu ridicule après sa décision récente d'autoriser le transfert de nos données de santé chez Microsoft au motif qu'il n'y aurait pas de risque sérieux et urgent (une variante du "oui mais ton truc, c'est quand même vachement hypothétique LOL" du pékin lambda) ?

Ce qui me fait rire (jaune) c'est que le CE limite l'autorisation à 3 ans et a l'air de présenter ça comme un garde-fou au cas où la situation évoluerait. Comme si Microsoft allait détruire toutes les données déjà acquises ou aller les demander en retour à tous ceux auprès de qui il les aurait déjà vendu.

Je rirai (encore jaune) quand l'autocrate décidera qu'il faut détruire (ou couper l'accès à) cette base car elle contient des informations médicales sur des sujets non autorisés aux USA (avortement, etc…).

Et même si ces données sont pseudo-anonymisées, il n'est pas improbable qu'on puisse les dés-anonymiser par recoupement avec la masse d'informations que les GAFAM détiennent sur nous.

J'hésite entre incompétence et malhonnêteté (ou les deux).