Ce qui va sans doute aussi leur poser des soucis vis à vis du CRA (vu que si tu fais pas du logiciel libre, alors tu as des procédures en plus), et c'est donc une loi qui va forcément attirer l'attention des autorités de gestion de la concurrence et de l'Europe.
Ce qui est assez proche de ce que Sega a fait sur la Genesis, à la différence que Sega a perdu son procès face à Accolade en 1992.
Même si il ne s'agit pas de copyright pour Sega mais de trademark, l'idée était sensiblement la même (mais je ne sais pas si le magouille de Nintendo pour la Game Boy a été examiné par une cour, au contraire de la protection de la NES).
Le blog ou l'auteur dit "j'ai envoyé ça sur claude" me laisser songeur ceci dit.
Clairement, je pense que les médias vont prendre le pire chiffre et le décontextualiser, mais à coté de ça, la conso des DC est comptés en gigawatt, et les gigawatts vont bien quelque part quand les ordis font les calculs. Pour avoir été dans un DC avec une panne de la clim il y a 25 ans, je peux en effet accepter que ça réchauffe autour du DC (tout comme l'usine à coté de mon premier boulot fait qu'il y a eu de la neige juste sur une partie de la ville à cause des rejets d'eau dans l’atmosphère)
Maintenant, sans doute pas à des kilomètres, sans doute pas sur 340 millions de personnes.
Tu confonds le fait qu'un chose soit couvert par un domaine, à savoir la liberté d'expression, et le fait que ça soit légal.
Dire qu'il y a eu 0 mort à Auschwitz, c'est une question de liberté d'expression, il y a eu assez de procès sur le sujet (Robert Faurisson pour ne citer que le premier qui vient en tête). Mais c'est pas parce que c'est une question de liberté d'expression que la réponse peut pas être "on autorise pas ça", vu que c'est exactement le cas en France et en Europe (au contraire des USAs).
Pourquoi autant d'appels ont pu avoir été fait avec le mien ?
De la même façon que pour le smtp, on fait confiance au serveur. Moi, j'ai découvert que dans la doc du bureau, on avait mis un range de 100 numéros contigus alors que le contrat avec le telco indiquait 2 ranges de 50 séparé. Quand j'ai mis le 50eme numéro, le commercial qui a eu le téléphone fixe a eu des soucis, et j'ai découvert le pot aux roses assez vite. Mais grosso modo, le PABX est celui qui gère le numéro, et on part du principe que sauf erreur, le monde des telcos étant en petit groupe, c'était bon.
Pour le smtp, on a du mettre SPF et DMARC et tout ça pour lutter contre le spam. Mais on a pas mis ça au début parce qu'on se faisait confiance, et parce que se rajouter de la paperasse ne plaisait sans doute à personne.
Je suppose que pour les telcos, c'est pareil, mais en plus lourd (vu que tu mets pas à jour un pabx aussi facilement qu'un serveur smtp, et que les standards sont sans doute moins souple). Je suppose aussi qu'il y a du y avoir un souci au moment ou la VOIP a commencé à décoller et le marché à se libéraliser.
Ce qui est quand même drôle, c'est qu'assez clairement, il y a plein de personnes qui veulent écrire sur Wikipedia en dehors des contraintes de Wikipedia (pour ça, j'ai tendance à dire d'aller faire des sites web), mais aussi plein de gens qui veulent faire des articles sur l'actualité sans attendre les sources d'analyses secondaires et pour qui Wikinews serait parfait.
La liberté d'expression en France (et en dehors des textes internationaux et de la constitution), c'est via la Loi du 29 juillet 1881 sur la liberté de la presse. La presse, c'est quand même assez souvent des entreprises, donc il me semble que ça fait quand même plus de 140 ans que ça a un rapport avec elles.
Ensuite, je dit pas que ça doit être intouchable (c'est pas les USA), mais interdire indistinctement tout un pan entier d'expression comme suggéré par le commentaire auquel je réponds me semble assez clairement à contre courant des textes internationaux et de la jurisprudence (comme on peut le voir dans le corpus mis à disposition par l'ECHR ).
Pour avoir des exceptions larges à un droit fondamental, il faut avoir des très bonnes raisons, comme un autre droit fondamental.
Par exemple, pendant la pandémie il y a 6 ans, la raison évoqué pour censurer les propos des militants antivaxx, c'était la question de la santé publique pendant une crise (article 2 de la CEDH). Quand Zemmour se fait condamner, c'est par rapport à la lutte contre les discriminations (article 14 de la CEDH). Et même la, c'est des impacts minimaux. Zemmour a quand même eu le temps de dire son truc, il a pas fini en tole, l'amende était pas non plus un souci, il a pas été interdit de s'exprimer pour toujours, ni rien de drastique.
Mais comme il n'y pas vraiment de droit fondamental à ne pas recevoir de coup de fil, c'est chaud de dire "faudrait interdire tout ça". Il n'y a pas de droit à la tranquillité en soi, mais il y a sans doute moyen de construire des choses à partir des questions de vie privée (article 8 de la CEDH), ce qui est exactement ce qui est expliqué dans l'article avec le consentement explicite. L'article parle aussi d'interdire les appels sur certains sujets, et justement la restriction est limité, pour une raison de lutte contre la fraude (article 1 de la CEDH). Et pas juste parce que ça fait chier.
Ensuite, oui, une communication commerciale va être moins protégé qu'un discours politique ou que du contenu artistique, mais moins, ça veut pas dire zéro. Et les juges autour du monde qui se penchent sur le sujet de la liberté d'expression s'accordent aussi pour dire que c'est pas parce qu'on aime pas ce qui est dit que ça doit être interdit (enfin, ceux qui sont en faveur de la liberté d'expression, parce qu'il y a aussi tout un bail sur les lois sur le blasphème, l'interdiction d'insulter un roi comme en Thailande, etc).
Alors j'ai pas Saracroche (car j'ai un tel trop vieux), et de ce que je constante, la grande majorité des appels que je reçois et qui sont bloqué viennent des plages prévus pour. J'ai eu 2/3 fois des cas qui sont passés à travers, mais pas depuis longtemps (genre 1 par an).
Alors c'est vrai que pendant longtemps, il était assez trivial d'usurper un numéro (je l'ai fait par erreur à cause d'une mauvaise doc il y a 15 ans), mais je pense que depuis, le monde des telcos a commencé a verrouiller ça un peu plus.
Au cas ou il s'agit d'une urgence. Il y a aussi des gens qui utilisent leur téléphone pour des raisons professionnelles, et ou tu peux pas exactement savoir qui va t'appeler à l'avance, et ou ça peut te coûter des clients de ne pas répondre.
Parce que ça rentre aussi dans la liberté d'expression, ce qui requiert des mesures minimales pour ne pas interférer avec elle.
Mais pour éviter le démarchage, il y a en France l'obligation de passer par des numéros identifiés, et tu as des applications comme Saracroche qui font le filtrage sur les tels mobiles via la liste de l'ACREP (et d'autre) (une appli libre au passage).
Est-ce que quelqu'un suit la situation pour le code informatique (surtout le code libre)?
Moi, oui, vu que je vais en parler lors des JDLLs dans 2 mois. Par contre, j'ai pas le temps d'écrire un commentaire sur ça (en plus, faut bien que je donne une raison de remplir la salle pour rentabiliser la lecture de l'équivalent de 2 ou 3 livres sur la question).
Pour une GPL v4 (ou plutôt un truc dans l'esprit d'une évolution de la GPL), Richard Fontana en parle dans une présentation de février et travaille aussi, je crois, sur le projet Copyleft.next avec d'autres.
Le principal élément en défaveur de Collabora, c'est à mon avis surtout d'être en dehors de l'UE vu que c'est une boite à Cambridge (ce Cambridge, pas ce Cambridge). Le Brexit est passé par la, et de ce que je sais, il y a pas de mouvement pour revenir dans l'UE.
Vers 2h39, ça parle de la dépendance vis à vis de Microsoft, du travail fait par l'administration allemande, et des essais fait via un plan sur quelques années (les réponses de Patrick Laurens-Frings, DSI). A 2h41, Phillipe Latombe demande explicitement la question de Linux sur le desktop, et on lui dit que "oui, on regarde". À 2h43 pointe que le souci est le manque de features et le manque d'intégration (notamment les questions de RBAC, les ACLs, etc).
À 2h46, ça parle d'une vingtaine d'entreprise qui montrent de l’intérêt.
Bien sur, le souci, c'est de s'assurer que les boites privés pompent pas les thunes sans rien faire, mais la caisse des dépôts a l'air d'être au courant du risque, si j'en crois le reste de l'audition.
Il y a des demandes avec 3 devis, mais c'est via 3 revendeurs pour la fourniture du service. C'est si tu commandes des pizzas, tu va pas demander 3 devis, 1 avec des sushis, 1 avec des kebabs et 1 avec des pizzas pour respecter la règle. Tu as décidé de prendre des pizzas, et basta.
La seule précaution que demande ici la CNIL est de ne pas déchiffrer la connexion vers ta banque (en gros) et de ne rien logguer.
C'est donné beaucoup de crédit à la CNIL que de lire ce texte comme ça.
La CNIL dit qu'elle attire l'attention sur "le fait que l’URL complète, accessible lors d’un déchiffrement HTTPS, est susceptible de donner accès à des données à caractère personnel".
Comme dit dans mon commentaire, c'est l'IP dans les logs (et l'implication que la personne qui va lire les logs peut retrouver le poste et donc une personne) qui fait qu'il y a des "données à caractère personnel" vu que savoir qui a été ou, c'est une donnée sur une personne, c'est la définition même. Ça n'est pas l'URL qui fait que ç'est personnel, donc c'est trompeur.
Et même si la CNIL voulait dire "des données à caractère sensible", ça serait trompeur car oui, l'URL complète est sensible, mais pas à cause du reste de l'URL, mais aussi à cause du nom d'hôte, cf mon exemple de Grindr ou du syndicat, c'est aussi trompeur.
Et c'est pas le seul passage mal rédigé.
Plus tôt dans le document, la CNIL dit qu'"il faut faire une AIPD" quand 2 critères sur 4 sont remplis. Sauf que dans le cadre classique du travail qui est le sujet du document comme dit au début, ("employeurs publics ou privés"), mais aussi dans le reste du document qui mentionne "activité des salariés", "Attribuer un profil aux employés", "ensemble des employés" p3, et 'politique d’entreprise" p2, tu as 1 critère rempli de base, vu que "personne vulnérable", comme le rappelle la note de bas page, ça compte les employés (je peux même donner le document exact qui en parle, §21, page 10). Donc déjà, ça, ç'est pas clair et qu'en général, c'est fait ça de façon systématique (genre sur tout le monde dans la boite), et comme j'ai dit, un nom d’hôte peut être une donnée sensible, donc sans doute 3 critères sur 4 dans la configuration classique d'un proxy classique. Donc tout le passage est trompeur.
Il serait sans doute plus opportun de dire qu'il faut sans doute faire un AIPD tout le temps, sauf exception, et indiquer quelles exceptions, parce que la, quelqu'un qui ne connaît pas toute la jurisprudence européenne pourrait croire que seules les violations les plus flagrantes sont un souci, alors que non, ça n'est pas ce que les textes disent.
Et c'est en voyant ce genre d'imprécision que je comprends comment la CNIL se retrouve à se faire taper sur les doigts par la CJUE. Car dans l'affaire en question, il n'y a pas eu de demande préjudicielle de sa part comme la plupart du temps (quand une APD n'est pas sure, elle peut passer l'affaire à "plus haut", comme l'a fait le Conseil d'État quand ça a été escaladé à son niveau après le refus de la CNIL).
Ici la CNIL a refusé de regarder la demande alors que ça concernait un principe de base du RGPD, à savoir la minimisation des données. Et la SNCF a filé des excuses tellement pourries qu'on pourrait les mettre sur le marché comme fromage AOC de l'Aveyron.
Les 2 arguments principaux de la SNCF, c’était quand même: "On a besoin de toujours demander, car on offre certains trains de nuit non mixtes" et "On a besoin de ça parce qu'on sait pas comment faire des mails respectueux sans ça, c'est pour l'image de marque".
Dans ses conclusions, l'avocat général a pointé à juste titre que SNCF Connect envoie parfois des mails sans Mr/Mme (§49), et qu'il suffit de demander uniquement pour les trains non mixtes (§51).
C'était pas de la haute voltige juridique que de montrer la mauvaise foi de la SNCF sur ce sujet, mais pour ça, faut regarder les plaintes, ce que la CNIL ne semble pas faire de façon routinière (comme d'autres DPAs en Europe), sans doute parce qu'on leur file pas de moyens. C'est bien joli de faire plus de lois tout le temps, mais il faut aussi plus de moyen à la justice.
Un endroit ou ça peut se faire, c'est sur les serveurs. Les problèmes juridiques lié à la vie privée sont quand même largement absent quand tu retires les utilisateurs, et c'est utile de savoir si un serveur a téléchargé quelque chose tout en rendant la tache d'un attaquant plus dur.
(et squid se mets en HA sans grand souci, ça réduit le SPOF)
Franchement, la CNIL a oublié un truc assez important sur ce coup la.
Le RGPD a été promulgué pour harmoniser la législation sur la vie privée en Europe, et donc, dans le chapitre VII, ça parle de la cohérence entre les différents DPAs (Data Protection Autority, Autorité de protection des données en français). En gros, ce qu'une DPA décide s'applique aux autres, et si il y a différence, il faut se mettre d'accord avec le reste, voir passer devant la Cour de Justice (CJUE).
La CNIL dit au paragraphe 4 qu'on peut décider de mettre un proxy sous la base de l'article 6, mais omets de préciser que ça tombe aussi très probablement sous le coup de l'article 9, et c'est un assez gros souci, car il faut une condition sous l'article 6 et 9 pour autoriser le traitement.
Et on va me dire "mais pourquoi l'article 9, une url avec une date (et une IP) ne rentre pas dans les cas listés" ?
Alors primo, une IP, si on peut relier ça à quelqu'un (et j'ose croire qu'on peut dans une entreprise), c'est une information personnelle, c'est pour ça que la CNIL en parle.
Mais pourquoi l'article 9 ?
Pour ça, il faut justement que je pointe un jugement de la CJUE, et une décision en Norvège. Pour la CJUE, il faut comprendre l'étendu de l'article 9 de façon large depuis l'affaire C-184/20. Ce que dit le jugement, c'est que dire "Elton John est gay" tombe sous l'article 9, mais "Elton John est marié à David Furnish" aussi.
Ce qui est protégé par l'article 9 n'est pas que l'information précise (exemple, l'orientation sexuelle), mais aussi ce qu'on peut utiliser pour la déduire (exemple, "Jeanne et Marie sont mariées"), même si on peut pas déduire précisément l'orientation sexuelle (parce que les discriminations ne s'arrêtent pas devant l'exquise subtilité des labels contemporains sur l'orientation sexuelle), et même si on ne parle pas d'une orientation sexuelle minoritaire (parce que ça serait de la discrimination de donner des droits en moins pour les hétéros, en plus d'être contre productif vis à vis de la protection).
Et d'ailleurs la CNIL est au courant du jugement en question vu qu'elle en parle dans un arrêt de 2024.
Mais ça s'applique aussi au domaine de la santé (également une donnée sensible), comme la même CJUE l'a décidé dans l'affaire C-21/23 en 2023. Savoir qu'une personne achète des médicaments sur le diabète, c'est une donnée de santé, même si c'est pour quelqu'un d'autre de temps en temps.
La DPA de Norvége, suite à une plainte de NOYB, a mis Grindr à l'amende entre autre pour la vente de pub, car vu qu'il s'agit d'une application visant principalement les mecs gays/bis (comme tant d'autres), et donc savoir que quelqu'un a un compte dessus tombe sous le coup de l'article 9. L'amende est tombé en 2021, et a été confirmée en 2024 par la justice norvégienne. Je ne crois pas que Grindr a fait appel, donc c'est assez définitif.
Ou est ce que je veux en venir ?
La CNIL parle des logs, mais suivant ce qui est logué, on peut se retrouver avec des données couvertes par l'article 9.
Par exemple, si un-e salarié-e va sur Grindr, par le mécanisme de cohérence que j'ai pointé et en appliquant les jugements que j'ai pointé, savoir quel machine qu'on peut relier à l’existence d'un compte utilisateur qui a été sur Grindr (vu que le proxy logue l'info, et quand on a 250 lignes, c'est assez clair que c'était pas une erreur), ça serait un traitement qui tombe sous l'article 9. Alors on peut dire qu'on ne devrait pas se connecter au travail sur Grindr ou un site de rencontre et qu'il y a les séminaires d'entreprises pour choper. Mais d'une part, ça n'est pas spécialement interdit (voir ce cas en 2013 d'une salarié qui s'est fait viré pour connexion excessive en 2009, mais dont le licenciement a été retoqué par la Cour de cassation en 2013, insistant sur le coté excessif nuisant au travail non démontré, car je rappelle qu'on a droit à des pauses), et il y a sans doute des gens qui se font chier royalement et qui le font quand même (genre, le support de niveau 1 qui attends une alerte la nuit).
Mais pas besoin d'aller sur Grindr, ça marche aussi avec les données de santé. Poser un rdv à l’hôpital sur sa pause de travail, c'est légal pour les salariés, mais si le proxy enregistre l'info, c'est un problème pour l'employeur. Ça marche aussi avec le fait de faire parti d'un syndicat. Par exemple, aller sur le Nextcloud de son syndicat pour sauvegarder la capture d'écran d'une dinguerie de ta hiérarchie pour porter plainte, c'est légal, mais loguer l'information revient à traiter que quelqu'un est probablement membre du dit syndicat, ça serait un souci pour l'employeur. Et ça marche aussi avec les églises mais j'ai pas d'exemple.
Donc pour traiter des infos couvertes par l'article 9, il faut une raison qui tombe dans les exceptions de l'article 9.2.
Spoiler, sans doute aucune ne s'applique. De "c" à "j", ça va pas s'appliquer à la plupart des employeurs dans le cadre d'un proxy.
L'exception "b", c'est pour le traitement des données par les RHs et c'est dur à relier ce cas aux logs d'un proxy. Et l'exception "a", ça va quand même être difficile de mettre un proxy obligatoire et de venir parler de consentement libre et éclairé quand on peut pas dire "non".
Et du coup, c'est assez vite super chaud quand tu enregistres les flux des salariés. Pas parce que le réchauffement climatique est la, pas parce le RGPD peut coûter cher en Europe, mais parce ça peut envoyer en tôle en France par la magie de l'article 226-19 qui reprends presque à l'identique les critères de l'article 9 du RGPD en rajoutant l'identité de genre.
Et bien sûr, comme y a de la prison possible, il y a l'article 40: "aller direct à la case procureur de la république, ne passez pas par la case de la CNIL".
Mais tout ça, la CNIL a complètement oublié de le noter dans son document et le mot "sensible" est écrit une seule fois. Pourtant, c'est quand même pas trop dur de penser à des risques d'abus, c'est un peu leur boulot.
Et si j’étais taquin, je dirais que même sans proxy, on peut avoir des soucis avec des logs DNS. Par exemple, une entreprise mets un wifi invité, les invités connectent leur tél perso, et "oups, j'ai un log qui dit qu'il y a une résolution de api.grindr.com par le tel d'un invité dans nos locaux qui a donné son email pour avoir l'accès au wifi". Ça serait dommage d'avoir ça dans le casier quand même.
Alors que le "marketing", clairement ça rentre dans "all the right things". On peut reformuler cela par: les "product people", ils se concentrent sur le fric, le blé, le flouze, l'oseille, le pognon… Toutes les trucs importants quoi! 🤦
Alors d'un coté, oui, mais de l'autre, je ne paye pas mon prêt avec du plaisir et l'idée de faire les choses bien.
Alors, la, c'est pas exactement la faute de litellm, ça aurait pu arriver quand même n'importe ou vu que le souci était (sauf erreur de ma part) via une action github. Si un soft que tu utilises est backdooré, ç'est un peu mort.
Mais sinon, j'ai commencé à regarder le code de litellm, parce que j’étais curieux de voir comment il y a pu y avoir autant de code par une équipe si petite en si peu de temps. 382 PR en 1 semaine, 58 auteurs, 19 releases par semaine, il y a clairement de l'automatisation à un moment.
Sans surprise, j'imagine qu'il y a beaucoup de LLM, et c'était l'occasion de voir ce que le code donne (j'avais regardé le depot d'openclaw et j'avais été choqué de voir le bordel à la racine). Et j'ai pas été déçu.
En ouvrant au pif des fichiers, je tombe sur ce code ou j'ai le sentiment que les variables correspondent pas exactement à leur nom. Il y a un deepcopy sans bonne raison, l'organisation des structures semble pifométrique, etc. De même, la fonction get_llm_provider semble faire plus que juste donner le provider, vu que ça donne aussi une clé d'api et une base (et pas un objet provider propre).
les structures de données semblent assez visiblement inefficaces vu que je vois 3 fois le concept de région (une fois pour aws, une fois pour waston x et une fois pour le reste). Peut être qu'il y a des subtilités qui m'échappe, mais je doute.
Et à la racine, il y a un fichier uv.lock, mais aussi un poetry.lock, et un requirements.txt, en même temps. 3 fichiers pour agents (CLAUDE.md, GEMINI.md, AGENTS.md). Le nettoyage existe pas.
Donc bon, on peut pas blâmer litellm pour la compromission résultant d'un vendeur tierce et sans doute de limitation de Github, mais ça reste en effet du code un peu moche et trop complexe.
Surtout quand tu combines ça avec l'AI Act, qui demande au point 1.d de son article 53 de dire quelles sources sont utilisés pour les systèmes d'IA généralistes.
J'aimerais ajouter que le point 1.x du même article 53 indique que les fournisseurs doivent permettre d'appliquer la clause d'opt out de l'article 4 de la directive DCSM (directive copyright de 2019 de l'EU), mais après une recherche rapide, la directive n'a pas encore été adopté en droit français ce qui donne quand même un résultat assez curieux, et sans doute contestable en justice (car l'AI Act est en vigueur sans avoir besoin de transposition car c'est un règlement).
Ensuite, le manque complet d'uniformisation est courant dans le domaine, je prépare depuis 2 mois une présentation pour les JDLL qui touche un peu au sujet, et les questions autour de la propriété intellectuel, c'est clairement un ou deux niveaux de bordel par rapport à des sujets plus simples comme la réglementation sur la vie privé ou les droits humains.
Je crois que l'IA est plutôt douée pour les tâches de niveau moyen
En fait, par la nature du fonctionnement des modèles, les LLMs sont efficaces pour les problèmes déjà résolus plusieurs fois ailleurs.
J'ai un programme en rust qui me file un ics pour ce que j'appelle la "meeting chaos period", ce moment de l'année où les réunions bougent dans mon calendrier à cause de la date de changement d'heure qui différe entre l'Europe (ou je suis) et les USA (ou mes collègues sont). Quand je fait un meeting, il bouge quand je bouge, quand c'est mon chef en Californie, ça bouge quand il bouge. Du coup, y a des conflits de partout. Par curiosité, j'ai choisi utilisé Crush en branchant le logiciel sur Gemini de Google il y a ~8 mois, et j'ai demandé via l'interface de faire une revue de code.
Le modèle a correctement noté que j'ai mal écrit une balise, que je devais mettre des tests parce que j'ai laissé ça en "TODO". J'ai laissé le modèle écrire des tests, mais j'ai du les refaire de 0 car relativement non idiomatique. Puis j'ai eu comme remarque que je pouvais utiliser une constante, mais le code généré a mis un clone() gratuit que j'ai du retirer. Le modèle a aussi correctement remonté que mes tests n'étaient pas suffisant, vu que j'avais mis un commentaire sur le fait que ça ne soit pas forcément 1h de décalage (et en effet, il y a parfois 2h et parfois 30 minutes). Du coup, j'ai continué à chercher tout les edges cases possibles, et c'est pour ça que j'ai 2 fois plus de tests que de code sur le fichier principal.
J'ai aussi eu comme suggestion d'ajouter ce patch:
--- a/src/timezone_pair.rs
+++ b/src/timezone_pair.rs
@@ -19,34 +19,25 @@
pub fn parse_tz(paths: Vec<&str>) -> Option<TimezonePair> {
- let mut prefix = String::from("");
- let mut res = Vec::new();
-
// make sure we do not do a loop if the result is obviously
// wrong (small protection against DoS)
// 6 is the maximum for 2 TZs
- if paths.len() > 6 {
+ if paths.len() > 6 || paths.is_empty() {
return None;
}
- for item in paths {
- prefix.push_str(item);
- match prefix.parse() {
- Ok(tz) => {
- res.push(tz);
- prefix.clear();
- }
- Err(_) => prefix.push('/'),
+ // Iterate through all possible split points from 1 to paths.len() - 1
+ for i in 1..paths.len() {
+ let s1 = paths[0..i].join(\"/\");
+ let s2 = paths[i..].join(\"/\");
+
+ // If both parts parse as valid timezones, we've found our pair.
+ if let (Ok(tz1), Ok(tz2)) = (s1.parse(), s2.parse()) {
+ return Some(TimezonePair::new(tz1, tz2));
}
}
- if res.len() == 2 || prefix.is_empty() {
- Some(TimezonePair::new(res[0], res[1]))
- } else {
- None
- }
+ None
}
impl TimezonePair {
Le code marche (de ce que je sache), mais je l'ai refusé parce que ça m'a semblé moins idiomatique que le mien, que le code avait l'air plus subtile et avec une complexité plus dure à évaluer (mon algo fait un nombre linéaire d'appel à Tz::parse() dépendant de la taille de la chaîne sauf erreur de ma part, la ou le code proposé fait du 2n). Et je pense consomme un peu plus de mémoire (vu qu'il y a plus d'allocations de chaîne via s1 et s2).
En pratique, on s'en fout car la fonction est appelé 1 fois par jour (y a un cache), que n vaut au plus 6, mais j'aime bien ne pas avoir du code rust qui ressemble trop à du code C quand je peux éviter.
Le LLM a aussi réussi à se planter dans un diff (eg, un diff syntaxiquement incorrect), et a ne pas noter qu'une constante est utilisé en dehors du code rust (BUILDTIME dans les templates askama).
Ce que je retient avec mon échantillon de 1 revue, c'est que le LLM, outil de matching avant tout, a correctement noté des trucs subtils, mais classiques. Remplacer un "// TODO add test" avec une réponse "faut faire des tests", c'est une revue courante. Mettre header au lieu de head, je suis sans doute pas le premier à faire l'erreur. Remplacer une chaine par une constante en Rust, c'est aussi une optim de base qu'on doit voir dans plein de revue.
Et hélas, refaire un algo qui marche sans raison, c'est aussi une réponse courante dans des revues de code.
Je ne dit pas que ça sert à rien, j'ai améliorer mon code grâce à ça mais si la seule raison de ma productivité est d'avoir face à moi une machine reloue, je sais pas si c'est si bien que ça.
Toujours dans un cas qui va dans mon sens, j'ai aussi fait une seconde tentative, toujours via Gemini, toujours sur les calendriers, mais avec de la génération de code. J'ai voulu automatisé le fait de copier les jours fériés qui concernent mon équipe (8 pays) sur le calendrier d'équipe pour aider notre administratrice. Google Calendar est scriptable via une API, on peut lancer du javascript chez Google avec la gestion des clés et tout coté serveur, donc ç'est pas mal. Mais ayant déjà du faire ça par le passé, la documentation de Google est franchement pas terrible (et traduite automatiquement, avec un coté bizarre à la lecture).
Donc je me suis dit que le LLM de Google doit sans doute bien connaître l'API Google et peut me sortir un script d'exemple que je peux adapter, quelque chose qui prends un ics d'un coté pour le mettre vers le calendrier sans trop de souci. L'idée était de comparer et copier les nouveaux événements pour ceux qui peuvent changer dans l'année (le cas typique, c'est le ramadan, mais je doute pas que Trump invente aussi un nouveau jour férié à un moment), ou quand quelqu'un arrive dans l'équipe depuis un pays non couvert dans l'année. Pour le moment, c'est une copie manuelle en décembre, mais un truc dynamique serait mieux.
Il n'y a rien d'innovant, c'est juste lire 2 ics via http, faire une boucle pour comparer et envoyer la différence via une API. Et en effet, j'ai eu mon script en 30 secondes, ce qui me va parce que j'ai pas envie de faire du js si je peux l'éviter.
Le seul probléme, le modèle a généré du code utilisant une fonction sans dire d’où elle vient, mais après recherche pas des apis Google (et qui ne marche pas). Alors bien sur, les hallucinations, ç'est documenté, mais la ou c'est intéressant, que je pense que celle ci est causé par le fait qu'il y a assez peu de code JS sur le web qui concerne le scripting de Google Workspace, et peu de code sur les calendriers en javascript en général, mais juste assez pour avoir une réponse en utilisant une lib non spécifié. Malheureusement, j'ai pas gardé le résultat.
Donc oui, la ou les modèles font du bon boulot, c'est quand ce que tu dois faire a déjà été fait 100 fois et que le code est publique. Quand tu tapes dans les trucs un peu "nouveau" et un peu cracra que ça soit du point de vue des libs à utiliser, ou du domaine, ça semble commencer à partir un peu en vrille plus facilement.
Pour moi, ça montre surtout que le métier de dev, c'est assez souvent refaire la roue, et c'est pour ça qu'une technologie qui est une forme de recherche statistique de code marche tellement bien dans les cas ou ç'est finalement un peu toujours la même chose.
Alors, c'est pas parce qu'Anthropic est américaine que les comptes ont été suspendus, mais parce qu'ils n'ont pas respecté les Terms of Services du dit service.
Je sais que ça peut sembler surprenant de demander à faire respecter ce qui est globalement l'équivalent d'un contrat au moins en droit US (si quelqu'un veut le vérifier, y a une playlist de 80 vidéos sur le sujet mis à dispo par Yale), mais ça me semble assez naturel.
Je pourrais rappeler que le meilleur moyen de ne pas se faire fermer un compte pour violation des conditions d'usage est de rester dans les clous, mais le respect des autres, c'est rarement ce qui étouffe les fans d'IA sur tellement de point de vue.
Et l'autre meilleur moyen, c'est d'avoir un contrat en bonne et due forme avec des garanties justement sur la non fermeture, une négociation avec le fournisseur, etc, mais ça, c'est loin d'être gratuit.
Quand un article utilise "microslop", tu sais qu'il est la pour essayer de manipuler les gens.
La personne derrière le site est sur tout les réseaux sociaux du monde (enfin des USA surtout, bien sûr). Il y a Threads et Mastodon.social mais aussi Bluesky, alors que les 3 peuvent être interopérables (directement pour Threads et le reste du fediverse, via un bridge pour bluesky). C'est clairement le comportement d'un influenceur qui veut juste sa part de gateau sans rien apporter de concret. Quelqu'un de pas assez bon pour être journaliste et qui visiblement n'a pas de souci de moral avec le fait d'afficher un gars qui soumet un patch.
D'ailleurs, le site montre aussi un compte github et on peut voir clairement que Sam Bent n'a pas contribué grand chose, donc venir parler dans la communauté du logiciel libre, je trouve ça riche.
Sa bio le dit: "Defcon speaker, podcaster, hacker, author, exDarknet Vendor and Darknet Admin, youtuber, blogger", il est la principalement pour parler, et comme on dit "talk is cheap".
Et parler de darknet en 2026, ça fait un peu edgelord et beaucoup "vendeur de solution de sécurité" (aka, escroc les 3/4 du temps, on va pas se mentir non plus).
À titre perso, je serais assez intéressé par des retours sur les différents logiciels, au moins sur 2 points:
- à quel point ça influence les LLMs
- à quel point ça évite le pillonage des infras.
Le second est assez facile à évaluer à mon avis.
J'ai plus de doute sur le premier, mais je pense que c'est faisable, ça va juste prendre plus de temps.
Par exemple, s'assurer d'avoir un mot bien spécifique dans les textes qu'on produit, et voir si ce mot apparaît dans un LLM après la mise en place serait une façon de faire. Inventer un nom d'un algo qui n'existe pas, vérifier qu'un LLM ne donne rien sur ce nom (2/3 fois pour être sur), sortir du texte en citant ce nom d'algo dans l'outil qui génère du texte, et voir dans 3 mois ce qu'un LLM va dire.
Mon plan (que je ne vais sans doute jamais mettre en œuvre) serait même d'aller plus loin que de générer du texte qui n'a aucun sens, mais de mélanger du texte qui a un peu plus de sens avec une phrase sur 2 tiré des prompts utilisé par les adeptes du spiralisme (pas le courant littéraire, le courant sectaire ) pour impacter les poids des LLMs.
Par exemple, qu'est ce qui se passerait si on envoie du code (correct, ou pas) sur github en masse avec une tonne de commentaire "spiraliste", des chaines de caractères, des constantes qui sont proches sémantiquement des mots clés utilisés par les tenants du courant ? (et avec des git push -f tout les 2/3 mois, ça peut même rester sous les radars de github en terme de conso de disque). Est ce que ça va diriger les LLMs vers plus de proba de sortir du texte spiraliste, ce qui va déclencher une forme de panique moral ?
Il se passe quoi si tu as du code qui est en fait un mélange de langage de programmation ?
De même, ça donne quoi si tu prends un texte, et que tu mets un mot sur deux dans une autre langue, ou en base64, est ce que les LLMs vont commencer à faire pareil un peu plus souvent ?
Il se passe quoi si tu commences à publier des informations du futur via ton générateur de texte ? Par exemple, 3000 fausses annonces de CVE de 2028 (avec des dates, etc), est ce que c'est une bombe à retardement qui va tomber dans 2 ans quand le modèle va se retrouver avec des informations contradictoires niché au fin fond du modèle au moment ou quelqu'un va faire la demande ?
Y a sans doute plein d'attaque pour empoisonner le texte, mais on sait pas ce qui marche vraiment, et pas de méthode pour tester que je sache. Et peut être qu'on devrait aller plus loin que la simple intuition.
[^] # Re: Non libre
Posté par Misc (site web personnel) . En réponse au journal OnlyOffice vs Euro-Office : une faille empêchant les forks dans AGPLv3 ?. Évalué à 4 (+1/-0).
Ce qui va sans doute aussi leur poser des soucis vis à vis du CRA (vu que si tu fais pas du logiciel libre, alors tu as des procédures en plus), et c'est donc une loi qui va forcément attirer l'attention des autorités de gestion de la concurrence et de l'Europe.
[^] # Re: Nintendo
Posté par Misc (site web personnel) . En réponse au journal OnlyOffice vs Euro-Office : une faille empêchant les forks dans AGPLv3 ?. Évalué à 4 (+1/-0).
Ce qui est assez proche de ce que Sega a fait sur la Genesis, à la différence que Sega a perdu son procès face à Accolade en 1992.
Même si il ne s'agit pas de copyright pour Sega mais de trademark, l'idée était sensiblement la même (mais je ne sais pas si le magouille de Nintendo pour la Game Boy a été examiné par une cour, au contraire de la protection de la NES).
[^] # Re: À vérifier
Posté par Misc (site web personnel) . En réponse au lien AI data centres can warm surrounding areas by up to 9.1°C. Évalué à 4 (+1/-0).
Le blog ou l'auteur dit "j'ai envoyé ça sur claude" me laisser songeur ceci dit.
Clairement, je pense que les médias vont prendre le pire chiffre et le décontextualiser, mais à coté de ça, la conso des DC est comptés en gigawatt, et les gigawatts vont bien quelque part quand les ordis font les calculs. Pour avoir été dans un DC avec une panne de la clim il y a 25 ans, je peux en effet accepter que ça réchauffe autour du DC (tout comme l'usine à coté de mon premier boulot fait qu'il y a eu de la neige juste sur une partie de la ville à cause des rejets d'eau dans l’atmosphère)
Maintenant, sans doute pas à des kilomètres, sans doute pas sur 340 millions de personnes.
[^] # Re: "quand va-t-il prendre fin ?"
Posté par Misc (site web personnel) . En réponse au lien "Bonjour, je suis Marie, partenaire d’Enedis…", pourquoi le démarchage téléphonique par IA se multiplie et quand va-t-il prendre fin ?. Évalué à 4 (+3/-2). Dernière modification le 30 mars 2026 à 18:56.
Tu confonds le fait qu'un chose soit couvert par un domaine, à savoir la liberté d'expression, et le fait que ça soit légal.
Dire qu'il y a eu 0 mort à Auschwitz, c'est une question de liberté d'expression, il y a eu assez de procès sur le sujet (Robert Faurisson pour ne citer que le premier qui vient en tête). Mais c'est pas parce que c'est une question de liberté d'expression que la réponse peut pas être "on autorise pas ça", vu que c'est exactement le cas en France et en Europe (au contraire des USAs).
[^] # Re: "quand va-t-il prendre fin ?"
Posté par Misc (site web personnel) . En réponse au lien "Bonjour, je suis Marie, partenaire d’Enedis…", pourquoi le démarchage téléphonique par IA se multiplie et quand va-t-il prendre fin ?. Évalué à 4 (+1/-0).
De la même façon que pour le smtp, on fait confiance au serveur. Moi, j'ai découvert que dans la doc du bureau, on avait mis un range de 100 numéros contigus alors que le contrat avec le telco indiquait 2 ranges de 50 séparé. Quand j'ai mis le 50eme numéro, le commercial qui a eu le téléphone fixe a eu des soucis, et j'ai découvert le pot aux roses assez vite. Mais grosso modo, le PABX est celui qui gère le numéro, et on part du principe que sauf erreur, le monde des telcos étant en petit groupe, c'était bon.
Pour le smtp, on a du mettre SPF et DMARC et tout ça pour lutter contre le spam. Mais on a pas mis ça au début parce qu'on se faisait confiance, et parce que se rajouter de la paperasse ne plaisait sans doute à personne.
Je suppose que pour les telcos, c'est pareil, mais en plus lourd (vu que tu mets pas à jour un pabx aussi facilement qu'un serveur smtp, et que les standards sont sans doute moins souple). Je suppose aussi qu'il y a du y avoir un souci au moment ou la VOIP a commencé à décoller et le marché à se libéraliser.
[^] # Re: Dommage
Posté par Misc (site web personnel) . En réponse au lien Fin de Wikinews confirmée. Évalué à 6 (+3/-0).
Ce qui est quand même drôle, c'est qu'assez clairement, il y a plein de personnes qui veulent écrire sur Wikipedia en dehors des contraintes de Wikipedia (pour ça, j'ai tendance à dire d'aller faire des sites web), mais aussi plein de gens qui veulent faire des articles sur l'actualité sans attendre les sources d'analyses secondaires et pour qui Wikinews serait parfait.
Mais ça n'a jamais été poussé en avant.
[^] # Re: "quand va-t-il prendre fin ?"
Posté par Misc (site web personnel) . En réponse au lien "Bonjour, je suis Marie, partenaire d’Enedis…", pourquoi le démarchage téléphonique par IA se multiplie et quand va-t-il prendre fin ?. Évalué à 5 (+2/-0).
La liberté d'expression en France (et en dehors des textes internationaux et de la constitution), c'est via la Loi du 29 juillet 1881 sur la liberté de la presse. La presse, c'est quand même assez souvent des entreprises, donc il me semble que ça fait quand même plus de 140 ans que ça a un rapport avec elles.
Ensuite, je dit pas que ça doit être intouchable (c'est pas les USA), mais interdire indistinctement tout un pan entier d'expression comme suggéré par le commentaire auquel je réponds me semble assez clairement à contre courant des textes internationaux et de la jurisprudence (comme on peut le voir dans le corpus mis à disposition par l'ECHR ).
Pour avoir des exceptions larges à un droit fondamental, il faut avoir des très bonnes raisons, comme un autre droit fondamental.
Par exemple, pendant la pandémie il y a 6 ans, la raison évoqué pour censurer les propos des militants antivaxx, c'était la question de la santé publique pendant une crise (article 2 de la CEDH). Quand Zemmour se fait condamner, c'est par rapport à la lutte contre les discriminations (article 14 de la CEDH). Et même la, c'est des impacts minimaux. Zemmour a quand même eu le temps de dire son truc, il a pas fini en tole, l'amende était pas non plus un souci, il a pas été interdit de s'exprimer pour toujours, ni rien de drastique.
Mais comme il n'y pas vraiment de droit fondamental à ne pas recevoir de coup de fil, c'est chaud de dire "faudrait interdire tout ça". Il n'y a pas de droit à la tranquillité en soi, mais il y a sans doute moyen de construire des choses à partir des questions de vie privée (article 8 de la CEDH), ce qui est exactement ce qui est expliqué dans l'article avec le consentement explicite. L'article parle aussi d'interdire les appels sur certains sujets, et justement la restriction est limité, pour une raison de lutte contre la fraude (article 1 de la CEDH). Et pas juste parce que ça fait chier.
Ensuite, oui, une communication commerciale va être moins protégé qu'un discours politique ou que du contenu artistique, mais moins, ça veut pas dire zéro. Et les juges autour du monde qui se penchent sur le sujet de la liberté d'expression s'accordent aussi pour dire que c'est pas parce qu'on aime pas ce qui est dit que ça doit être interdit (enfin, ceux qui sont en faveur de la liberté d'expression, parce qu'il y a aussi tout un bail sur les lois sur le blasphème, l'interdiction d'insulter un roi comme en Thailande, etc).
[^] # Re: "quand va-t-il prendre fin ?"
Posté par Misc (site web personnel) . En réponse au lien "Bonjour, je suis Marie, partenaire d’Enedis…", pourquoi le démarchage téléphonique par IA se multiplie et quand va-t-il prendre fin ?. Évalué à 4 (+1/-0).
Alors j'ai pas Saracroche (car j'ai un tel trop vieux), et de ce que je constante, la grande majorité des appels que je reçois et qui sont bloqué viennent des plages prévus pour. J'ai eu 2/3 fois des cas qui sont passés à travers, mais pas depuis longtemps (genre 1 par an).
Alors c'est vrai que pendant longtemps, il était assez trivial d'usurper un numéro (je l'ai fait par erreur à cause d'une mauvaise doc il y a 15 ans), mais je pense que depuis, le monde des telcos a commencé a verrouiller ça un peu plus.
[^] # Re: simple
Posté par Misc (site web personnel) . En réponse au lien "Bonjour, je suis Marie, partenaire d’Enedis…", pourquoi le démarchage téléphonique par IA se multiplie et quand va-t-il prendre fin ?. Évalué à 10 (+8/-0).
Au cas ou il s'agit d'une urgence. Il y a aussi des gens qui utilisent leur téléphone pour des raisons professionnelles, et ou tu peux pas exactement savoir qui va t'appeler à l'avance, et ou ça peut te coûter des clients de ne pas répondre.
[^] # Re: "quand va-t-il prendre fin ?"
Posté par Misc (site web personnel) . En réponse au lien "Bonjour, je suis Marie, partenaire d’Enedis…", pourquoi le démarchage téléphonique par IA se multiplie et quand va-t-il prendre fin ?. Évalué à 8 (+5/-0).
Parce que ça rentre aussi dans la liberté d'expression, ce qui requiert des mesures minimales pour ne pas interférer avec elle.
Mais pour éviter le démarchage, il y a en France l'obligation de passer par des numéros identifiés, et tu as des applications comme Saracroche qui font le filtrage sur les tels mobiles via la liste de l'ACREP (et d'autre) (une appli libre au passage).
[^] # Re: Quid du code?
Posté par Misc (site web personnel) . En réponse au lien Proposition de loi relative à l'instauration d'une présomption d'exploitation des contenus culturels par les fournisseurs d'intelligence artificielle. Évalué à 3 (+0/-0).
Moi, oui, vu que je vais en parler lors des JDLLs dans 2 mois. Par contre, j'ai pas le temps d'écrire un commentaire sur ça (en plus, faut bien que je donne une raison de remplir la salle pour rentabiliser la lecture de l'équivalent de 2 ou 3 livres sur la question).
Pour une GPL v4 (ou plutôt un truc dans l'esprit d'une évolution de la GPL), Richard Fontana en parle dans une présentation de février et travaille aussi, je crois, sur le projet Copyleft.next avec d'autres.
[^] # Re: Et Collabora Online ?
Posté par Misc (site web personnel) . En réponse au lien Euro-Office : IONOS, Nextcloud et Proton lancent le fork européen d’ONLYOFFICE qui veut en finir avec Microsoft Office. Évalué à 9 (+6/-0).
Le principal élément en défaveur de Collabora, c'est à mon avis surtout d'être en dehors de l'UE vu que c'est une boite à Cambridge (ce Cambridge, pas ce Cambridge). Le Brexit est passé par la, et de ce que je sais, il y a pas de mouvement pour revenir dans l'UE.
Il y a même des discours pour vouloir en sortir encore plus, la droite locale voulant sortir de la Convention européenne des droits de l'homme, parce que visiblement, respecter les droits humains, ça interdit de déporter n'importe qui n'importe comment.
[^] # Re: Inversion
Posté par Misc (site web personnel) . En réponse au lien «Bercy réfléchit bien à trouver une alternative au Microsoft de Windows». Évalué à 5 (+2/-0).
C'est aussi ce qui est dit par la caisse des dépôts devant la commission d’enquête sur la vulnérabilités dans le secteur du numérique. Y a 3h de vidéos, le passage est vers 2h35 suite à une question de Cyrielle Chatelain.
Vers 2h39, ça parle de la dépendance vis à vis de Microsoft, du travail fait par l'administration allemande, et des essais fait via un plan sur quelques années (les réponses de Patrick Laurens-Frings, DSI). A 2h41, Phillipe Latombe demande explicitement la question de Linux sur le desktop, et on lui dit que "oui, on regarde". À 2h43 pointe que le souci est le manque de features et le manque d'intégration (notamment les questions de RBAC, les ACLs, etc).
À 2h46, ça parle d'une vingtaine d'entreprise qui montrent de l’intérêt.
Bien sur, le souci, c'est de s'assurer que les boites privés pompent pas les thunes sans rien faire, mais la caisse des dépôts a l'air d'être au courant du risque, si j'en crois le reste de l'audition.
[^] # Re: Inversion
Posté par Misc (site web personnel) . En réponse au lien «Bercy réfléchit bien à trouver une alternative au Microsoft de Windows». Évalué à 4 (+1/-0).
Il y a des demandes avec 3 devis, mais c'est via 3 revendeurs pour la fourniture du service. C'est si tu commandes des pizzas, tu va pas demander 3 devis, 1 avec des sushis, 1 avec des kebabs et 1 avec des pizzas pour respecter la règle. Tu as décidé de prendre des pizzas, et basta.
C'est expliqué en long et en large dans le code de la commande publique.
[^] # Re: Organisations plutôt qu'entreprises
Posté par Misc (site web personnel) . En réponse au lien La CNIL publie une recommandation sur les proxys http(s) (avec cassage du chiffrement) dans les entreprises. Évalué à 5 (+2/-0).
C'est donné beaucoup de crédit à la CNIL que de lire ce texte comme ça.
La CNIL dit qu'elle attire l'attention sur "le fait que l’URL complète, accessible lors d’un déchiffrement HTTPS, est susceptible de donner accès à des données à caractère personnel".
Comme dit dans mon commentaire, c'est l'IP dans les logs (et l'implication que la personne qui va lire les logs peut retrouver le poste et donc une personne) qui fait qu'il y a des "données à caractère personnel" vu que savoir qui a été ou, c'est une donnée sur une personne, c'est la définition même. Ça n'est pas l'URL qui fait que ç'est personnel, donc c'est trompeur.
Et même si la CNIL voulait dire "des données à caractère sensible", ça serait trompeur car oui, l'URL complète est sensible, mais pas à cause du reste de l'URL, mais aussi à cause du nom d'hôte, cf mon exemple de Grindr ou du syndicat, c'est aussi trompeur.
Et c'est pas le seul passage mal rédigé.
Plus tôt dans le document, la CNIL dit qu'"il faut faire une AIPD" quand 2 critères sur 4 sont remplis. Sauf que dans le cadre classique du travail qui est le sujet du document comme dit au début, ("employeurs publics ou privés"), mais aussi dans le reste du document qui mentionne "activité des salariés", "Attribuer un profil aux employés", "ensemble des employés" p3, et 'politique d’entreprise" p2, tu as 1 critère rempli de base, vu que "personne vulnérable", comme le rappelle la note de bas page, ça compte les employés (je peux même donner le document exact qui en parle, §21, page 10). Donc déjà, ça, ç'est pas clair et qu'en général, c'est fait ça de façon systématique (genre sur tout le monde dans la boite), et comme j'ai dit, un nom d’hôte peut être une donnée sensible, donc sans doute 3 critères sur 4 dans la configuration classique d'un proxy classique. Donc tout le passage est trompeur.
Il serait sans doute plus opportun de dire qu'il faut sans doute faire un AIPD tout le temps, sauf exception, et indiquer quelles exceptions, parce que la, quelqu'un qui ne connaît pas toute la jurisprudence européenne pourrait croire que seules les violations les plus flagrantes sont un souci, alors que non, ça n'est pas ce que les textes disent.
Et c'est en voyant ce genre d'imprécision que je comprends comment la CNIL se retrouve à se faire taper sur les doigts par la CJUE. Car dans l'affaire en question, il n'y a pas eu de demande préjudicielle de sa part comme la plupart du temps (quand une APD n'est pas sure, elle peut passer l'affaire à "plus haut", comme l'a fait le Conseil d'État quand ça a été escaladé à son niveau après le refus de la CNIL).
Ici la CNIL a refusé de regarder la demande alors que ça concernait un principe de base du RGPD, à savoir la minimisation des données. Et la SNCF a filé des excuses tellement pourries qu'on pourrait les mettre sur le marché comme fromage AOC de l'Aveyron.
Les 2 arguments principaux de la SNCF, c’était quand même: "On a besoin de toujours demander, car on offre certains trains de nuit non mixtes" et "On a besoin de ça parce qu'on sait pas comment faire des mails respectueux sans ça, c'est pour l'image de marque".
Dans ses conclusions, l'avocat général a pointé à juste titre que SNCF Connect envoie parfois des mails sans Mr/Mme (§49), et qu'il suffit de demander uniquement pour les trains non mixtes (§51).
C'était pas de la haute voltige juridique que de montrer la mauvaise foi de la SNCF sur ce sujet, mais pour ça, faut regarder les plaintes, ce que la CNIL ne semble pas faire de façon routinière (comme d'autres DPAs en Europe), sans doute parce qu'on leur file pas de moyens. C'est bien joli de faire plus de lois tout le temps, mais il faut aussi plus de moyen à la justice.
[^] # Re: Organisations plutôt qu'entreprises
Posté par Misc (site web personnel) . En réponse au lien La CNIL publie une recommandation sur les proxys http(s) (avec cassage du chiffrement) dans les entreprises. Évalué à 4 (+1/-0).
Un endroit ou ça peut se faire, c'est sur les serveurs. Les problèmes juridiques lié à la vie privée sont quand même largement absent quand tu retires les utilisateurs, et c'est utile de savoir si un serveur a téléchargé quelque chose tout en rendant la tache d'un attaquant plus dur.
(et squid se mets en HA sans grand souci, ça réduit le SPOF)
# On est pas sorti de l'auberge
Posté par Misc (site web personnel) . En réponse au lien La CNIL publie une recommandation sur les proxys http(s) (avec cassage du chiffrement) dans les entreprises. Évalué à 10 (+11/-0).
Franchement, la CNIL a oublié un truc assez important sur ce coup la.
Le RGPD a été promulgué pour harmoniser la législation sur la vie privée en Europe, et donc, dans le chapitre VII, ça parle de la cohérence entre les différents DPAs (Data Protection Autority, Autorité de protection des données en français). En gros, ce qu'une DPA décide s'applique aux autres, et si il y a différence, il faut se mettre d'accord avec le reste, voir passer devant la Cour de Justice (CJUE).
La CNIL dit au paragraphe 4 qu'on peut décider de mettre un proxy sous la base de l'article 6, mais omets de préciser que ça tombe aussi très probablement sous le coup de l'article 9, et c'est un assez gros souci, car il faut une condition sous l'article 6 et 9 pour autoriser le traitement.
Et on va me dire "mais pourquoi l'article 9, une url avec une date (et une IP) ne rentre pas dans les cas listés" ?
Alors primo, une IP, si on peut relier ça à quelqu'un (et j'ose croire qu'on peut dans une entreprise), c'est une information personnelle, c'est pour ça que la CNIL en parle.
Mais pourquoi l'article 9 ?
Pour ça, il faut justement que je pointe un jugement de la CJUE, et une décision en Norvège. Pour la CJUE, il faut comprendre l'étendu de l'article 9 de façon large depuis l'affaire C-184/20. Ce que dit le jugement, c'est que dire "Elton John est gay" tombe sous l'article 9, mais "Elton John est marié à David Furnish" aussi.
Ce qui est protégé par l'article 9 n'est pas que l'information précise (exemple, l'orientation sexuelle), mais aussi ce qu'on peut utiliser pour la déduire (exemple, "Jeanne et Marie sont mariées"), même si on peut pas déduire précisément l'orientation sexuelle (parce que les discriminations ne s'arrêtent pas devant l'exquise subtilité des labels contemporains sur l'orientation sexuelle), et même si on ne parle pas d'une orientation sexuelle minoritaire (parce que ça serait de la discrimination de donner des droits en moins pour les hétéros, en plus d'être contre productif vis à vis de la protection).
Et d'ailleurs la CNIL est au courant du jugement en question vu qu'elle en parle dans un arrêt de 2024.
Mais ça s'applique aussi au domaine de la santé (également une donnée sensible), comme la même CJUE l'a décidé dans l'affaire C-21/23 en 2023. Savoir qu'une personne achète des médicaments sur le diabète, c'est une donnée de santé, même si c'est pour quelqu'un d'autre de temps en temps.
La DPA de Norvége, suite à une plainte de NOYB, a mis Grindr à l'amende entre autre pour la vente de pub, car vu qu'il s'agit d'une application visant principalement les mecs gays/bis (comme tant d'autres), et donc savoir que quelqu'un a un compte dessus tombe sous le coup de l'article 9. L'amende est tombé en 2021, et a été confirmée en 2024 par la justice norvégienne. Je ne crois pas que Grindr a fait appel, donc c'est assez définitif.
Ou est ce que je veux en venir ?
La CNIL parle des logs, mais suivant ce qui est logué, on peut se retrouver avec des données couvertes par l'article 9.
Par exemple, si un-e salarié-e va sur Grindr, par le mécanisme de cohérence que j'ai pointé et en appliquant les jugements que j'ai pointé, savoir quel machine qu'on peut relier à l’existence d'un compte utilisateur qui a été sur Grindr (vu que le proxy logue l'info, et quand on a 250 lignes, c'est assez clair que c'était pas une erreur), ça serait un traitement qui tombe sous l'article 9. Alors on peut dire qu'on ne devrait pas se connecter au travail sur Grindr ou un site de rencontre et qu'il y a les séminaires d'entreprises pour choper. Mais d'une part, ça n'est pas spécialement interdit (voir ce cas en 2013 d'une salarié qui s'est fait viré pour connexion excessive en 2009, mais dont le licenciement a été retoqué par la Cour de cassation en 2013, insistant sur le coté excessif nuisant au travail non démontré, car je rappelle qu'on a droit à des pauses), et il y a sans doute des gens qui se font chier royalement et qui le font quand même (genre, le support de niveau 1 qui attends une alerte la nuit).
Mais pas besoin d'aller sur Grindr, ça marche aussi avec les données de santé. Poser un rdv à l’hôpital sur sa pause de travail, c'est légal pour les salariés, mais si le proxy enregistre l'info, c'est un problème pour l'employeur. Ça marche aussi avec le fait de faire parti d'un syndicat. Par exemple, aller sur le Nextcloud de son syndicat pour sauvegarder la capture d'écran d'une dinguerie de ta hiérarchie pour porter plainte, c'est légal, mais loguer l'information revient à traiter que quelqu'un est probablement membre du dit syndicat, ça serait un souci pour l'employeur. Et ça marche aussi avec les églises mais j'ai pas d'exemple.
Donc pour traiter des infos couvertes par l'article 9, il faut une raison qui tombe dans les exceptions de l'article 9.2.
Spoiler, sans doute aucune ne s'applique. De "c" à "j", ça va pas s'appliquer à la plupart des employeurs dans le cadre d'un proxy.
L'exception "b", c'est pour le traitement des données par les RHs et c'est dur à relier ce cas aux logs d'un proxy. Et l'exception "a", ça va quand même être difficile de mettre un proxy obligatoire et de venir parler de consentement libre et éclairé quand on peut pas dire "non".
Et du coup, c'est assez vite super chaud quand tu enregistres les flux des salariés. Pas parce que le réchauffement climatique est la, pas parce le RGPD peut coûter cher en Europe, mais parce ça peut envoyer en tôle en France par la magie de l'article 226-19 qui reprends presque à l'identique les critères de l'article 9 du RGPD en rajoutant l'identité de genre.
Et bien sûr, comme y a de la prison possible, il y a l'article 40: "aller direct à la case procureur de la république, ne passez pas par la case de la CNIL".
Mais tout ça, la CNIL a complètement oublié de le noter dans son document et le mot "sensible" est écrit une seule fois. Pourtant, c'est quand même pas trop dur de penser à des risques d'abus, c'est un peu leur boulot.
Et si j’étais taquin, je dirais que même sans proxy, on peut avoir des soucis avec des logs DNS. Par exemple, une entreprise mets un wifi invité, les invités connectent leur tél perso, et "oups, j'ai un log qui dit qu'il y a une résolution de api.grindr.com par le tel d'un invité dans nos locaux qui a donné son email pour avoir l'accès au wifi". Ça serait dommage d'avoir ça dans le casier quand même.
# Et y 1 semaine
Posté par Misc (site web personnel) . En réponse au lien Commission d'enquête sur les vulnérabilités du secteur du numérique en France : audition du 25 mars 2026. Évalué à 4 (+1/-0).
2 auditions, 3h de discussions:
https://videos.assemblee-nationale.fr/video.18443087_69ba60d94c958.vulnerabilites-dans-le-secteur-du-numerique--m-dominique-luzeaux-general-de-division--representa-18-mars-2026
(toujours la même commission)
[^] # Re: Et dans quelques années....
Posté par Misc (site web personnel) . En réponse au journal De développeur à orchestrateur, comment l'IA a changé ma vie. Évalué à 5 (+4/-2).
Alors d'un coté, oui, mais de l'autre, je ne paye pas mon prêt avec du plaisir et l'idée de faire les choses bien.
# Relecture
Posté par Misc (site web personnel) . En réponse au journal Supply chain attack : La faille chez Trivy entraîne des fuites massives par LiteLLM. Évalué à 10 (+9/-0).
Alors, la, c'est pas exactement la faute de litellm, ça aurait pu arriver quand même n'importe ou vu que le souci était (sauf erreur de ma part) via une action github. Si un soft que tu utilises est backdooré, ç'est un peu mort.
Mais sinon, j'ai commencé à regarder le code de litellm, parce que j’étais curieux de voir comment il y a pu y avoir autant de code par une équipe si petite en si peu de temps. 382 PR en 1 semaine, 58 auteurs, 19 releases par semaine, il y a clairement de l'automatisation à un moment.
Sans surprise, j'imagine qu'il y a beaucoup de LLM, et c'était l'occasion de voir ce que le code donne (j'avais regardé le depot d'openclaw et j'avais été choqué de voir le bordel à la racine). Et j'ai pas été déçu.
En ouvrant au pif des fichiers, je tombe sur ce code ou j'ai le sentiment que les variables correspondent pas exactement à leur nom. Il y a un deepcopy sans bonne raison, l'organisation des structures semble pifométrique, etc. De même, la fonction get_llm_provider semble faire plus que juste donner le provider, vu que ça donne aussi une clé d'api et une base (et pas un objet provider propre).
les structures de données semblent assez visiblement inefficaces vu que je vois 3 fois le concept de région (une fois pour aws, une fois pour waston x et une fois pour le reste). Peut être qu'il y a des subtilités qui m'échappe, mais je doute.
Et à la racine, il y a un fichier uv.lock, mais aussi un poetry.lock, et un requirements.txt, en même temps. 3 fichiers pour agents (CLAUDE.md, GEMINI.md, AGENTS.md). Le nettoyage existe pas.
Donc bon, on peut pas blâmer litellm pour la compromission résultant d'un vendeur tierce et sans doute de limitation de Github, mais ça reste en effet du code un peu moche et trop complexe.
[^] # Re: Charge de la preuve
Posté par Misc (site web personnel) . En réponse au lien Proposition de loi relative à l'instauration d'une présomption d'exploitation des contenus culturels par les fournisseurs d'intelligence artificielle. Évalué à 6 (+3/-0).
Surtout quand tu combines ça avec l'AI Act, qui demande au point 1.d de son article 53 de dire quelles sources sont utilisés pour les systèmes d'IA généralistes.
J'aimerais ajouter que le point 1.x du même article 53 indique que les fournisseurs doivent permettre d'appliquer la clause d'opt out de l'article 4 de la directive DCSM (directive copyright de 2019 de l'EU), mais après une recherche rapide, la directive n'a pas encore été adopté en droit français ce qui donne quand même un résultat assez curieux, et sans doute contestable en justice (car l'AI Act est en vigueur sans avoir besoin de transposition car c'est un règlement).
Ensuite, le manque complet d'uniformisation est courant dans le domaine, je prépare depuis 2 mois une présentation pour les JDLL qui touche un peu au sujet, et les questions autour de la propriété intellectuel, c'est clairement un ou deux niveaux de bordel par rapport à des sujets plus simples comme la réglementation sur la vie privé ou les droits humains.
[^] # Re: Pendant ce temps
Posté par Misc (site web personnel) . En réponse au journal De développeur à orchestrateur, comment l'IA a changé ma vie. Évalué à 5 (+2/-0).
En fait, par la nature du fonctionnement des modèles, les LLMs sont efficaces pour les problèmes déjà résolus plusieurs fois ailleurs.
J'ai un programme en rust qui me file un ics pour ce que j'appelle la "meeting chaos period", ce moment de l'année où les réunions bougent dans mon calendrier à cause de la date de changement d'heure qui différe entre l'Europe (ou je suis) et les USA (ou mes collègues sont). Quand je fait un meeting, il bouge quand je bouge, quand c'est mon chef en Californie, ça bouge quand il bouge. Du coup, y a des conflits de partout. Par curiosité, j'ai choisi utilisé Crush en branchant le logiciel sur Gemini de Google il y a ~8 mois, et j'ai demandé via l'interface de faire une revue de code.
Le modèle a correctement noté que j'ai mal écrit une balise, que je devais mettre des tests parce que j'ai laissé ça en "TODO". J'ai laissé le modèle écrire des tests, mais j'ai du les refaire de 0 car relativement non idiomatique. Puis j'ai eu comme remarque que je pouvais utiliser une constante, mais le code généré a mis un clone() gratuit que j'ai du retirer. Le modèle a aussi correctement remonté que mes tests n'étaient pas suffisant, vu que j'avais mis un commentaire sur le fait que ça ne soit pas forcément 1h de décalage (et en effet, il y a parfois 2h et parfois 30 minutes). Du coup, j'ai continué à chercher tout les edges cases possibles, et c'est pour ça que j'ai 2 fois plus de tests que de code sur le fichier principal.
J'ai aussi eu comme suggestion d'ajouter ce patch:
Le code marche (de ce que je sache), mais je l'ai refusé parce que ça m'a semblé moins idiomatique que le mien, que le code avait l'air plus subtile et avec une complexité plus dure à évaluer (mon algo fait un nombre linéaire d'appel à Tz::parse() dépendant de la taille de la chaîne sauf erreur de ma part, la ou le code proposé fait du 2n). Et je pense consomme un peu plus de mémoire (vu qu'il y a plus d'allocations de chaîne via s1 et s2).
En pratique, on s'en fout car la fonction est appelé 1 fois par jour (y a un cache), que n vaut au plus 6, mais j'aime bien ne pas avoir du code rust qui ressemble trop à du code C quand je peux éviter.
Le LLM a aussi réussi à se planter dans un diff (eg, un diff syntaxiquement incorrect), et a ne pas noter qu'une constante est utilisé en dehors du code rust (BUILDTIME dans les templates askama).
Ce que je retient avec mon échantillon de 1 revue, c'est que le LLM, outil de matching avant tout, a correctement noté des trucs subtils, mais classiques. Remplacer un "// TODO add test" avec une réponse "faut faire des tests", c'est une revue courante. Mettre header au lieu de head, je suis sans doute pas le premier à faire l'erreur. Remplacer une chaine par une constante en Rust, c'est aussi une optim de base qu'on doit voir dans plein de revue.
Et hélas, refaire un algo qui marche sans raison, c'est aussi une réponse courante dans des revues de code.
Je ne dit pas que ça sert à rien, j'ai améliorer mon code grâce à ça mais si la seule raison de ma productivité est d'avoir face à moi une machine reloue, je sais pas si c'est si bien que ça.
Toujours dans un cas qui va dans mon sens, j'ai aussi fait une seconde tentative, toujours via Gemini, toujours sur les calendriers, mais avec de la génération de code. J'ai voulu automatisé le fait de copier les jours fériés qui concernent mon équipe (8 pays) sur le calendrier d'équipe pour aider notre administratrice. Google Calendar est scriptable via une API, on peut lancer du javascript chez Google avec la gestion des clés et tout coté serveur, donc ç'est pas mal. Mais ayant déjà du faire ça par le passé, la documentation de Google est franchement pas terrible (et traduite automatiquement, avec un coté bizarre à la lecture).
Donc je me suis dit que le LLM de Google doit sans doute bien connaître l'API Google et peut me sortir un script d'exemple que je peux adapter, quelque chose qui prends un ics d'un coté pour le mettre vers le calendrier sans trop de souci. L'idée était de comparer et copier les nouveaux événements pour ceux qui peuvent changer dans l'année (le cas typique, c'est le ramadan, mais je doute pas que Trump invente aussi un nouveau jour férié à un moment), ou quand quelqu'un arrive dans l'équipe depuis un pays non couvert dans l'année. Pour le moment, c'est une copie manuelle en décembre, mais un truc dynamique serait mieux.
Il n'y a rien d'innovant, c'est juste lire 2 ics via http, faire une boucle pour comparer et envoyer la différence via une API. Et en effet, j'ai eu mon script en 30 secondes, ce qui me va parce que j'ai pas envie de faire du js si je peux l'éviter.
Le seul probléme, le modèle a généré du code utilisant une fonction sans dire d’où elle vient, mais après recherche pas des apis Google (et qui ne marche pas). Alors bien sur, les hallucinations, ç'est documenté, mais la ou c'est intéressant, que je pense que celle ci est causé par le fait qu'il y a assez peu de code JS sur le web qui concerne le scripting de Google Workspace, et peu de code sur les calendriers en javascript en général, mais juste assez pour avoir une réponse en utilisant une lib non spécifié. Malheureusement, j'ai pas gardé le résultat.
Donc oui, la ou les modèles font du bon boulot, c'est quand ce que tu dois faire a déjà été fait 100 fois et que le code est publique. Quand tu tapes dans les trucs un peu "nouveau" et un peu cracra que ça soit du point de vue des libs à utiliser, ou du domaine, ça semble commencer à partir un peu en vrille plus facilement.
Pour moi, ça montre surtout que le métier de dev, c'est assez souvent refaire la roue, et c'est pour ça qu'une technologie qui est une forme de recherche statistique de code marche tellement bien dans les cas ou ç'est finalement un peu toujours la même chose.
# Un point oublié mais important
Posté par Misc (site web personnel) . En réponse au journal Vos agents IA dépendent d’entreprises américaines, et ça devrait vous poser problème. Évalué à 7 (+4/-0). Dernière modification le 24 mars 2026 à 11:00.
Alors, c'est pas parce qu'Anthropic est américaine que les comptes ont été suspendus, mais parce qu'ils n'ont pas respecté les Terms of Services du dit service.
Je sais que ça peut sembler surprenant de demander à faire respecter ce qui est globalement l'équivalent d'un contrat au moins en droit US (si quelqu'un veut le vérifier, y a une playlist de 80 vidéos sur le sujet mis à dispo par Yale), mais ça me semble assez naturel.
Je pourrais rappeler que le meilleur moyen de ne pas se faire fermer un compte pour violation des conditions d'usage est de rester dans les clous, mais le respect des autres, c'est rarement ce qui étouffe les fans d'IA sur tellement de point de vue.
Et l'autre meilleur moyen, c'est d'avoir un contrat en bonne et due forme avec des garanties justement sur la non fermeture, une négociation avec le fournisseur, etc, mais ça, c'est loin d'être gratuit.
[^] # Re: ... et c'est OK de cibler quelqu'un comme ça ?
Posté par Misc (site web personnel) . En réponse au lien Systemd et la surveillance de masse. Évalué à 3 (+2/-2).
Quand un article utilise "microslop", tu sais qu'il est la pour essayer de manipuler les gens.
La personne derrière le site est sur tout les réseaux sociaux du monde (enfin des USA surtout, bien sûr). Il y a Threads et Mastodon.social mais aussi Bluesky, alors que les 3 peuvent être interopérables (directement pour Threads et le reste du fediverse, via un bridge pour bluesky). C'est clairement le comportement d'un influenceur qui veut juste sa part de gateau sans rien apporter de concret. Quelqu'un de pas assez bon pour être journaliste et qui visiblement n'a pas de souci de moral avec le fait d'afficher un gars qui soumet un patch.
D'ailleurs, le site montre aussi un compte github et on peut voir clairement que Sam Bent n'a pas contribué grand chose, donc venir parler dans la communauté du logiciel libre, je trouve ça riche.
Sa bio le dit: "Defcon speaker, podcaster, hacker, author, exDarknet Vendor and Darknet Admin, youtuber, blogger", il est la principalement pour parler, et comme on dit "talk is cheap".
Et parler de darknet en 2026, ça fait un peu edgelord et beaucoup "vendeur de solution de sécurité" (aka, escroc les 3/4 du temps, on va pas se mentir non plus).
[^] # Re: Site web à la c...
Posté par Misc (site web personnel) . En réponse au journal Sortir du CGNAT chez Red by SFR, c'est facile. Évalué à 5 (+2/-0).
Iocaine ou un autre:
https://linuxfr.org/nodes/142284/comments/2013641
À titre perso, je serais assez intéressé par des retours sur les différents logiciels, au moins sur 2 points:
- à quel point ça influence les LLMs
- à quel point ça évite le pillonage des infras.
Le second est assez facile à évaluer à mon avis.
J'ai plus de doute sur le premier, mais je pense que c'est faisable, ça va juste prendre plus de temps.
Par exemple, s'assurer d'avoir un mot bien spécifique dans les textes qu'on produit, et voir si ce mot apparaît dans un LLM après la mise en place serait une façon de faire. Inventer un nom d'un algo qui n'existe pas, vérifier qu'un LLM ne donne rien sur ce nom (2/3 fois pour être sur), sortir du texte en citant ce nom d'algo dans l'outil qui génère du texte, et voir dans 3 mois ce qu'un LLM va dire.
Mon plan (que je ne vais sans doute jamais mettre en œuvre) serait même d'aller plus loin que de générer du texte qui n'a aucun sens, mais de mélanger du texte qui a un peu plus de sens avec une phrase sur 2 tiré des prompts utilisé par les adeptes du spiralisme (pas le courant littéraire, le courant sectaire ) pour impacter les poids des LLMs.
Par exemple, qu'est ce qui se passerait si on envoie du code (correct, ou pas) sur github en masse avec une tonne de commentaire "spiraliste", des chaines de caractères, des constantes qui sont proches sémantiquement des mots clés utilisés par les tenants du courant ? (et avec des git push -f tout les 2/3 mois, ça peut même rester sous les radars de github en terme de conso de disque). Est ce que ça va diriger les LLMs vers plus de proba de sortir du texte spiraliste, ce qui va déclencher une forme de panique moral ?
Il se passe quoi si tu as du code qui est en fait un mélange de langage de programmation ?
De même, ça donne quoi si tu prends un texte, et que tu mets un mot sur deux dans une autre langue, ou en base64, est ce que les LLMs vont commencer à faire pareil un peu plus souvent ?
Il se passe quoi si tu commences à publier des informations du futur via ton générateur de texte ? Par exemple, 3000 fausses annonces de CVE de 2028 (avec des dates, etc), est ce que c'est une bombe à retardement qui va tomber dans 2 ans quand le modèle va se retrouver avec des informations contradictoires niché au fin fond du modèle au moment ou quelqu'un va faire la demande ?
Y a sans doute plein d'attaque pour empoisonner le texte, mais on sait pas ce qui marche vraiment, et pas de méthode pour tester que je sache. Et peut être qu'on devrait aller plus loin que la simple intuition.