L'espionnage industrielle sur les données non industrielles des particuliers, je pense qu'il y a un emballage à ce niveau.
Je doute fort que des données non structurés de ce genre soit utile pour les boites de pharma. Elles vont faire quoi de savoir que tel personne a un rdv pour un furoncle au pied, ou que tel personne a un cancer ?
C'est quoi le chemin exact entre "j'ai les données" et "on gagne de l'argent quand on est une boite de pharma" ?
Parce que sauf erreur de ma part, ce qui rapporte, c'est de faire et vendre des médicaments. Les entreprises ont déjà des infos sur le marché, des contacts avec les hôpitaux, etc.
Si à la rigueur, on parlait des données de recherches, genre d'une molécule avant qu'elle soit publiée, je pourrais comprendre (et encore, ce qui importe, c'est pas tant la molécule que le fait de la produire assez vite, de déposer assez vite et d'industrialiser ça pour que ça coûte pas trop cher, soit des considérations loin des données de santé en tant que tel).
Mais savoir combien de personnes vont voir un médecin pour tel pathologie, il y a déjà des stats publiés par l'état. C'est sans doute plus réglo, pas beaucoup plus coûteux et certainement moins risqué que de pirater je ne sais qui pour je ne sais quoi.
De plus, les groupes de pharmas sont pas non plus totalement cons et vont pas accepter des infos qui va les mettre dans la mouise sur un marché comme l'Europe.
Sans parler du chantage possible permettant une pression sur des politiques, industriels chercheurs ou ingés français (maladie vénérienne, sida ou autre détails de santé dont le titulaire n'est pas fier)
Les personnes diagnostiquées avec le VIH sont en général sous traitement (au moins en France), et donc doivent présenter la prescription en anglais quand elles passent la frontière US (source). Et c'est sans doute pareil avec plein de médicaments pour les divers affections longue durée, surtout quand on parle de médicaments autorisés en europe et pas ailleurs (ou vie versa). Donc bon, si il y avait des soucis et des chantages, je pense qu'on aurait des exemples depuis 40 ans.
De plus, il faut arrêter le bullshit moraliste, on est plus sous l'époque victorienne. Les IST, ça peut arriver à tout le monde et la majorité se soigne. Et le reste rentre dans les maladies chroniques.
Plus simplement, le CE ne se mêle pas de géopolitique et n'est pas la pour faire des règles, mais juste vérifier que les règles sont suivis, et il estime sans doute (et selon moi à juste titre) que les données de santé sont quand même un truc dont tout le monde se fout à l'exception de la personne concernée, comprendre qu'il ne s'agit pas de données secret défense ou qui vont mettre en péril la Nation. Si le CE estime que les règles que l'État a mis en place (à savoir être certifié HDS, etc) sont suivi et que l'hypothèse d'un usage géopolitique est faible (au contraire de la CPI, ou l'hostilité des USA et du Congrés est quand même largement documenté), la CE ne va pas dire le contraire.
J'arrive quand même pas à comprendre ce que les gens ne comprennent pas au fonctionnement de l'administration.
Trump a annulé un décret de Biden qui restreint la Chine. Je sais pas si il tente de faire plaisir à la Chine ou si c'est parce qu'il annule tout de Biden.
Le manque d'alternative n'est qu'un détail, car après tout, on a des processeurs fait en Europe (Siemens fait des CPUs). Et je sais que ça peut sembler de mauvaise foi (et c'est un peu le cas, mais bon, je fait avec ce qu'on produit), mais c'est justement le cœur du probléme.
Est ce que par exemple, avoir Libreoffice Online serait une alternative à Office 365 si la compatibilité n'est pas à 100% ?
À partir de quand est ce que ça va être "suffisamment bon", et qui décide de ce qui est important ? Et si les gens qui décident que Office continue à être la bonne solution sont ceux qui décident, pourquoi est ce qu'il faut moins les écouter que des commentateurs randoms comme toi et moi sur Linuxfr ?
J'attends de voir quand on va tous basculer sur autre chose que des procs Intel ou AMD, et ne pas prendre de cartes NVidia ou de puces Qualcomm.
Je me souviens bien des discussions autour de l'Openmoko et du Neo Freerunner, et comment visiblement la liberté n'était pas vraiment suffisant pour convaincre du monde.
On pourrais sans doute intégrer ça dans un texte international comme la convention de Vienne sur les relations diplomatiques, qui régit les obligations entre les états vis à vis des ambassades, etc. Par exemple, je me souviens qu'on m'a avait expliqué que les flics français ne pouvaient pas intervenir au conseil de l'Europe de la même façon que reste de Strasbourg. Que mon équipe avait du demander avant d'aller inspecter un pc dans la zone diplomatique russe qui était infecté par un virus, etc, etc.
Alors bien sur, ça ne changerais rien pour un pays qui ne respecte pas les traités, mais ça serait sans doute le premier pas vers un peu de résilience.
Je sais comment ça marche, j'ai vu ça de l'intérieur.
Quand je dit que la fédération de forge sert à faire miroiter auprès de NGI, c'est parce qu'avec le recul, il y a quand même masse pompage de fric sur le sujet:
C'est bien de chercher de l'argent, je comprends bien que tout le monde n'a pas la chance que j'ai d'en avoir, mais je crois aussi que le but, c'est aussi de publier du code à un moment.
Et à la rigueur, si des gens trouvent le moyen de financer leur travail comme ça, tant mieux. Mais tout le temps et l'argent qui part dans ça, c'est du temps qui part pas dans des personnes comme toi qui me semble plus productive.
Ce qui est difficile, c'est surtout de savoir ce qu'on veut dire par "fédération de forge", car j'ai le sentiment que personne ne définit vraiment les choses et personne ne pose les questions difficiles, et tout le monde rajoute son petit truc. Et c'est pour ça que ça n'avance pas.
La raison d'avoir uniquement les étoiles, c'est parce que c'est le truc ou tu as le moins de latitude et de choix. Le décompte ne change rien de substantiel, n'a aucun impact si il est faux et n'est qu'un nombre attaché à un dépôt.
Par contre, si on commence à parler de choses plus complexes comme les bugs/issues/PR, ça devient d'un coup plus compliqué.
Par exemple, il y a des gens qui voudraient que la fédération de forge soit totalement décentralisé (comme un salon matrix), d'autres qui voudraient simplement avoir un login fédéré (comme une liste de discussion, ou une communauté lemmy).
Suivant ce que tu vises, faut se demander ou se passe la collaboration (eg, qui a la version de référence de la discussion), la forge upstream, ou la forge locale ?
Dans la vision 2 (login fédéré), la réponse est "la forge upstream".
Il se passe quoi quand il y a des conflits d'humain, qui décide de fermer la discussion ? Comment tu fait pour bosser si le projet est sur la forge A, tu es sur B, et quelqu'un de C vient, avec C bloqué par la forge B (la tienne) mais pas la forge A ? (tout rapport avec du dramastodon passé n'est pas fortuit).
Si la forge centrale est en panne, il se passe quoi ? Qui décide du numéro de ticket quand on en ouvre un ? Est ce que les tickets sont par dépôt, comme maintenant, ou attaché par magie au code (et donc synchro comme le code, avec merge conflict, etc)
Et vu que ActivityPub, c'est simplement de la publication de messages (il n'y a pas automatiquement de réconciliation comme avec le protocole Matrix), il se passe quoi quand des bouts sont perdus ?
Et si la réponse est "on s'en fout, on synchronise via F3", alors pourquoi se faire chier à faire un vocabulaire vu que la synchro va éventuellement arriver.
Maintenant, si on parle de la vision décentralisé comme Matrix, pourquoi ne pas avoir gardé le protocole de Matrix comme au début du projet Forgeflux.
Pourquoi faire un protocole d'export quand ce qu'il faut, c'est un système d'operational transform (comme Google Wave et par la suite etherpad, google docs, etc)
Donc si la vision est "comme Lemmy" et de tout centraliser sur un serveur d'origine, pourquoi se faire chier avec ActivityPub quand on peut:
- mettre un cron sur git clone (gitea le fait déjà, je fait des copies de mes applis en local depuis gitlab/github/framagit, ou l'inverse, je pousse via cron)
- déléguer l'authentification pour écrire des issues via openid ou n'importe quoi d'autre
Car fondamentalement, on pourrait juste avoir nos emails/mxid/id xmpp/id mastodon comme identifiants, et mettre une forme de login par dessus. Pas besoin de faire tout un vocabulaire ActivityPub pour ça, faut juste changer le format des logins et des urls.
Et si c'est la vision "comme Matrix", pourquoi avoir pris ActivityPub et pas Matrix ?
Comme visiblement, c'est AP qui a été pris, donc j'en conclus que des gens ne veulent pas centraliser comme je l'indique (sinon, ça serait plus simple), ni faire comme Matrix (sinon, tu mets juste une passerelle git vers matrix).
Par exemple, si je reviens sur le format de stockage F3, c'est utile, mais ça n'est pas spécialement une question de fédération en soi, c'est juste se donner les moyens techniques de claquer la porte pour divers raisons (pratique quand on ne sait pas gérer sa frustration et qu'on a l'habitude de le faire, par exemple). Bien sur, ç'est à la fédération ce que le Brexit est à la gouvernance fédéré de l'Europe, donc je peux voir le rapport.
On a pas besoin d'un format d'export pour la fédération (le SMTP n'utilise pas ça, par exemple) et c'est pour moi un indicateur qu'il y a une vision autre que la simple fédération si on rajoute autre chose de périphérique.
Autre exemple, un des cas d'usage qui avait été discuté à l'époque, c'était d'utiliser la fédération pour éviter les soucis de blocage de l'OFAC vis à vis des fournisseurs US (les nationaux iraniens n'avaient pas le droit d'utiliser Github, ou certains citoyens russes).
Mais du coup, en tant qu'objectif, comment ça se positionne vis à vis de demandes futures et probables de ne pas interagir avec tel ou tel personne pour divers raisons ? Car si tu permets de bloquer un spammeur, tu peux aussi bloquer l'Iran (voir même, c'est plus facile de bloquer l'Iran que les spammeurs).
Et puis dans tout ça, quid de la modération ?
Il y a déjà une tonne de spam sur les forges publiques, en quoi proposer un moyen de contourner l'éventuelle vérification au login va aider à ce niveau ? Surtout que Codeberg a bien montrer que niveau modération, il y a encore des trous et c'était pas la priorité (vu qu'il y a fallu avoir un souci pour avoir une réunion sur "comment limiter les APIs").
Bref la fédération, je vais faire comme l’apôtre Thomas, je vais y croire quand je vais la voir.
Ce projet ne décolle pas. Le premier commit date d'il y a 8 ans, en mars 2017. Il n'y a toujours rien de viable maintenant, et le projet vient tout juste d'avoir un financement de NlNet (NlNet et co qui servent quand même souvent de vache à lait pour avoir des thunes et rien faire de substantiel, genre le projet fedeproxy ).
Le code initial pour Forgejo (qui a été forké à la base pour "officiellement" rajouter la fédération, puis ensuite officiellement pour des raisons de financement du projet, et officieusement parce que le leader du fork se fache avec beaucoup de gens, surtout quand il a pas ce qu'il veut) avait été fait par un doctorant du MIT qui passait dans le coin, et y a pas eu grand chose de nouveau depuis.
Quand on regarde le ticket de 2023, on voit quand même que y a toujours des projets qui se lancent, des grands mouvements, des POCs sur des bouts séparés, et qu’après des années de discussions et de code, et de patchs, tout ce qu'il y a à montrer, c'est de laisser des étoiles de façon fédéré (et juste ajouter des étoiles, pas en retirer, c'est encore WiP).
Et on va me dire "oui, mais c'est des volontaires, tout ça, tout ça". Et je dirait "bullshit".
J'utilise Gotosocial, qui est un serveur ActivityPub (comme la federation de forge), en golang (commegitea/forgejo) fait par des volontaires dans leur garage (moins comme forgejo, qui a des gens payés pour bosser dessus via des grants ou via leur boite), qui a commencé il y a 4 ans (donc 2 ans après le document initial pour forgefed), et qui est fonctionnel (contrairement à la fédération de forge).
Donc bon, si on compare 2 projets dans le même domaine, avec le même langage, on peut voir qu'il y en a qui publie du code et l'autre non, en ayant eu 2 fois plus de temps.
Bah quand je vois l'état de la page aujourd'hui, et par exemple la section "Citations sur le web, ç'est assez clair qu'il s'agit d'un travesti du but principal de l'admissibilité.
Le wiki d'OSM est non admissible comme source, c'est un wiki. Frandroid et Les numériques, c'est du catalogue d'application, ça n'a pas sa place ici.
Le reste de l'article se base sur des tas de sources primaires (Google Play, le site d'OSMAnd, etc), ce qui montre bien qu'il n'y rien d'encyclopédique au sens de Wikipedia (cad avec des analyses de sources secondaires), et que ça sert juste de duplicata du site web de OSMAnd (et également de duplicata du wiki d'OSM, qui va avoir les mêmes infos).
Mais c'est pas ici qu'on va en discuter, je vais aller en parler sur la PdD, parce que la, c'est quand même assez flagrant.
En fait, c'est simple, pour écrire une page wikipedia, il faut que d'autres personnes écrivent sur le sujet pour pouvoir faire une synthèse. C'est la fameuse question des sources secondaires contre primaire, etc, etc.
C'est important que ça soit des sources secondaires pour éviter que les gens n'écrivent indirectement sur eux même avec tout les dérives qu'on peut imaginer quand on pense 30 secondes à tout ça (genre, Idriss Aberkane qui va mentir sur ses diplômes, etc.
Et dans le cas des logiciels libres, c'est exactement le souci il n'y a au final que peu de sources secondaires, donc les pages se transforment en pub pour le logiciel en question sourcé par les auteurs. C'est vrai que c'est bien pratique, quelqu'un d'autre donne de son temps et de ses ressources pour garder le truc à jour, c'est plus prestigieux qu'une simple page web, etc.
Mais c'est pas le fonctionnement de l'encyclopédie tel que décidé il y a longtemps, et c'est pas parce qu'on est un logiciel libre qu'on a droit de facto à une page, loin de la.
Ça a été dit et redit 100 fois, mais si j'en crois ce thread, ça n'a pas suffit vu qu'il y a toujours des gens qui donnent l'impression qu'une page est du, pour des raisons qui sont jamais clairement articulés autre que "j'ai donné mon temps, alors faut accepter ce que je dit". C'est d'autant plus bizarre qu'on sait que c'est pas comme ça que les systèmes contributifs fonctionnent, et que la communauté du libre a des gens qui sont quand même largement capable de faire un site web sans passer par wikipedia si ils ont quelque chose à dire.
Les liens que tu donnes semble plus aller dans des personnes de la communauté GrapheneOS (ou des fouteurs de troubles) qui vont s'incruster dans les messages de Murena que l'inverse.
C'est sur qu'aucun des 2 groupes ne semblent dire "il faut laisser l'autre groupe tranquille", ce qui serait déjà un pas en avant.
Et je pense qu'un point important qu'on oublie, c'est l'histoire de GrapheneOS, ou il y a eu visiblement un coup d'état du projet. Je suppose que ça peut laisser des séquelles à l'équipe de dev en plus du classique coté obsidionale des gens qui bossent dans la sécurité.
Ce qui consomme beaucoup de ressources avec des LLM, c'est l’entraînement initial du modèle, pas la ou tu le fait tourner. Et je pense qu'il y a sans doute un tradeoff sur le fait de ne pas mettre en commun les ressources pour faire tourner en local ou pour rajouter des infos à ce niveau.
2 messages assez mous sur 1 an, je pense qu'on est assez loin des accusations du compte GrapheneOS. J'ai hâte de voir le post de blog promis, parce que pour le moment, ça n'est pas vraiment concluant.
Par exemple, j'ai pas vu de boost venant de KF alors que le thread parle de ça.
Et pourtant, je suis très loin d'être pro-Duval. Par exemple, il semble ne pas voir le souci de pousser à utiliser des crypto-monnaies et des IA génératives tout en parlant de développement durable. C'est d'autant plus drôle qu'il demande aux autres d'aligner les actes avec les valeurs (cf ce message pour la Commission Européenne (poutre, oeil, tout ça)). Si à la rigueur, c'était juste ça, je pourrais me dire qu'il est technophile, mais il a l'air aussi de booster des trucs pro-assange, et des trucs avec des avis claqués au sol sur l'arrestation du patron de Telegram (ou sur le fait que son service de mail serve à spammer github.
Donc bon, c'est assez clair pour moi qu'on serait en désaccord sur Linuxfr si il avait un compte, mais sur la base de ce que je vois, j'ai quand même des doutes sur les accusations (même si j'ai sans doute louper des trucs ailleurs).
Pourtant, on pourrait sans doute essayer ça avec du logiciel libre, genre faire voter les gens sur chaque PR, etc. Je suis sur que les libristes seraient ravis de ce contrôle démocratique par les personnes impactées et la communauté qui utilise le logiciel.
Car si le logiciel libre est un bien commun, alors il y a sans doute des choses radicales à explorer pour la démocratie, non ?
Je suis sur que tout le monde va accueillir à bras ouvert l'idée :p
C'est aussi une vision partielle et à mon sens dangereuse de ce qu'est un lanceur d'alerte. Il faut quand même bien voir que la majorité des lanceurs d'alertes sont des gens qui sont en interne (donc pas la vision des pirates/hackers défendue ici), et que la majorité des attaques informatiques ne sont le fait de lanceurs d'alertes, loin de la (ransonware, service secret, groupe envoyant du spam, placant des mineurs de cryptomonnaie, etc).
Ça, c'est pour la partie partielle. La partie dangereuse, c'est quand on voit comment ce genre de perception vont alimenter des propos complotistes. Pour citer l'émission Complorama, "La série documentaire alimente un discours anti-science en présentant Hancock comme un lanceur d'alerte face à un establishment scientifique qui cacherait la vérité".
Il y a des opposants aux vaccins qui se positionnent aussi sur ce créneau, et c'est même la légende à la base de QAnon vu que Q est vu (à tort) comme un lanceur d'alerte.
Donc bon, je pense qu'il faut faire gaffe à ne pas avoir de raisonnements simplistes, surtout de nos jours…
pas d'exploitation ou pas de code d'exploitation public?
C'est expliqué dans le lien que j'ai donné, c'est basé sur cette liste. Alors on peut sans doute estimer que les chiffres varient un peu (car c'est compilé par une branche du gouvernement US, donc il y a a minima un biais sur les sources) mais je doute que ça varie au delà du simple au double, même en rajoutant des exploitations non repérés.
Alors, il y a sans doute déjà des doublons vu que justement, Red Hat et d'autres sont capable d'assigner des numéros via leur rôle de CNA. Donc il faut déjà s'occuper de ce souci, vu que les failles peuvent être découverte de façon indépendante (et envoyer de façon indépendante à des CNA séparées).
La question du score est aussi déjà un souci vu que différent groupes assignent différent scores comme illustré dans cet article avec le score de CVE-2022-28734.
Et j'aimerais aussi pointer l'article avant celui que je cite ou l'auteur indique quand même que la majeur partie des failles n'ont pas d'exploitation, avec moins de 1% dans l'année de publication de la faille. Et ça monte à 4% si on prends les exploitations de failles plus vielles et jamais corrigés.
Donc bon, je ne pense pas que ça change fondamentalement l'état des choses.
Ce qui me semble une victoire dans une vision court termiste.
Si demain une puissance opposée aux USA (exemple, la Chine) décide de payer des gens pour reprendre le programme, est ce que ça va être une victoire ?
Des raisons les plus complotistes (à savoir que le gouvernement chinois va avoir des infos en avance sur les vulns) aux plus pragmatiques (ça va donner de l'influence, en organisant par exemple les réunions de travail en Chine, en permettant de menacer d'exclure certains pays du programme, en s'assurant que tout est traduit ou fait en mandarin en premier), rien ne me semble être une victoire sur le long terme.
[^] # Re: et le Conseil d’État dans tout ça ?
Posté par Misc (site web personnel) . En réponse au lien Microsoft ferme le compte e-mail du procureur de la cour pénale Internationale . Évalué à 5 (+2/-0).
L'espionnage industrielle sur les données non industrielles des particuliers, je pense qu'il y a un emballage à ce niveau.
Je doute fort que des données non structurés de ce genre soit utile pour les boites de pharma. Elles vont faire quoi de savoir que tel personne a un rdv pour un furoncle au pied, ou que tel personne a un cancer ?
C'est quoi le chemin exact entre "j'ai les données" et "on gagne de l'argent quand on est une boite de pharma" ?
Parce que sauf erreur de ma part, ce qui rapporte, c'est de faire et vendre des médicaments. Les entreprises ont déjà des infos sur le marché, des contacts avec les hôpitaux, etc.
Si à la rigueur, on parlait des données de recherches, genre d'une molécule avant qu'elle soit publiée, je pourrais comprendre (et encore, ce qui importe, c'est pas tant la molécule que le fait de la produire assez vite, de déposer assez vite et d'industrialiser ça pour que ça coûte pas trop cher, soit des considérations loin des données de santé en tant que tel).
Mais savoir combien de personnes vont voir un médecin pour tel pathologie, il y a déjà des stats publiés par l'état. C'est sans doute plus réglo, pas beaucoup plus coûteux et certainement moins risqué que de pirater je ne sais qui pour je ne sais quoi.
De plus, les groupes de pharmas sont pas non plus totalement cons et vont pas accepter des infos qui va les mettre dans la mouise sur un marché comme l'Europe.
Les personnes diagnostiquées avec le VIH sont en général sous traitement (au moins en France), et donc doivent présenter la prescription en anglais quand elles passent la frontière US (source). Et c'est sans doute pareil avec plein de médicaments pour les divers affections longue durée, surtout quand on parle de médicaments autorisés en europe et pas ailleurs (ou vie versa). Donc bon, si il y avait des soucis et des chantages, je pense qu'on aurait des exemples depuis 40 ans.
De plus, il faut arrêter le bullshit moraliste, on est plus sous l'époque victorienne. Les IST, ça peut arriver à tout le monde et la majorité se soigne. Et le reste rentre dans les maladies chroniques.
[^] # Re: et le Conseil d’État dans tout ça ?
Posté par Misc (site web personnel) . En réponse au lien Microsoft ferme le compte e-mail du procureur de la cour pénale Internationale . Évalué à -1 (+1/-5).
Plus simplement, le CE ne se mêle pas de géopolitique et n'est pas la pour faire des règles, mais juste vérifier que les règles sont suivis, et il estime sans doute (et selon moi à juste titre) que les données de santé sont quand même un truc dont tout le monde se fout à l'exception de la personne concernée, comprendre qu'il ne s'agit pas de données secret défense ou qui vont mettre en péril la Nation. Si le CE estime que les règles que l'État a mis en place (à savoir être certifié HDS, etc) sont suivi et que l'hypothèse d'un usage géopolitique est faible (au contraire de la CPI, ou l'hostilité des USA et du Congrés est quand même largement documenté), la CE ne va pas dire le contraire.
J'arrive quand même pas à comprendre ce que les gens ne comprennent pas au fonctionnement de l'administration.
[^] # Re: ça ressemble plus à une manifestation d'enfant en colère qu'à une décision pertinente
Posté par Misc (site web personnel) . En réponse au lien Microsoft ferme le compte e-mail du procureur de la cour pénale Internationale . Évalué à 5 (+2/-0).
Trump a annulé un décret de Biden qui restreint la Chine. Je sais pas si il tente de faire plaisir à la Chine ou si c'est parce qu'il annule tout de Biden.
[^] # Re: ça ressemble plus à une manifestation d'enfant en colère qu'à une décision pertinente
Posté par Misc (site web personnel) . En réponse au lien Microsoft ferme le compte e-mail du procureur de la cour pénale Internationale . Évalué à 5 (+2/-0).
Le manque d'alternative n'est qu'un détail, car après tout, on a des processeurs fait en Europe (Siemens fait des CPUs). Et je sais que ça peut sembler de mauvaise foi (et c'est un peu le cas, mais bon, je fait avec ce qu'on produit), mais c'est justement le cœur du probléme.
Est ce que par exemple, avoir Libreoffice Online serait une alternative à Office 365 si la compatibilité n'est pas à 100% ?
À partir de quand est ce que ça va être "suffisamment bon", et qui décide de ce qui est important ? Et si les gens qui décident que Office continue à être la bonne solution sont ceux qui décident, pourquoi est ce qu'il faut moins les écouter que des commentateurs randoms comme toi et moi sur Linuxfr ?
[^] # Re: ça ressemble plus à une manifestation d'enfant en colère qu'à une décision pertinente
Posté par Misc (site web personnel) . En réponse au lien Microsoft ferme le compte e-mail du procureur de la cour pénale Internationale . Évalué à 5 (+2/-0).
J'attends de voir quand on va tous basculer sur autre chose que des procs Intel ou AMD, et ne pas prendre de cartes NVidia ou de puces Qualcomm.
Je me souviens bien des discussions autour de l'Openmoko et du Neo Freerunner, et comment visiblement la liberté n'était pas vraiment suffisant pour convaincre du monde.
[^] # Re: nouveau client
Posté par Misc (site web personnel) . En réponse au lien Microsoft ferme le compte e-mail du procureur de la cour pénale Internationale . Évalué à 6 (+3/-0).
On pourrais sans doute intégrer ça dans un texte international comme la convention de Vienne sur les relations diplomatiques, qui régit les obligations entre les états vis à vis des ambassades, etc. Par exemple, je me souviens qu'on m'a avait expliqué que les flics français ne pouvaient pas intervenir au conseil de l'Europe de la même façon que reste de Strasbourg. Que mon équipe avait du demander avant d'aller inspecter un pc dans la zone diplomatique russe qui était infecté par un virus, etc, etc.
Alors bien sur, ça ne changerais rien pour un pays qui ne respecte pas les traités, mais ça serait sans doute le premier pas vers un peu de résilience.
[^] # Re: Besoin d'interopérabilité
Posté par Misc (site web personnel) . En réponse au journal Forge publique et privée : centralisation ou décentralisation ?. Évalué à 7.
Je sais comment ça marche, j'ai vu ça de l'intérieur.
Quand je dit que la fédération de forge sert à faire miroiter auprès de NGI, c'est parce qu'avec le recul, il y a quand même masse pompage de fric sur le sujet:
En 2021 pour fedeproxy ( https://www.ngi.eu/funded_solution/ngi-dapsiproject-16 et https://dapsi.ngi.eu/hall-of-fame/fedeproxy/ ) et pour Gitea ( https://github.com/go-gitea/gitea/issues/16827 ).
En 2022 pour Forgejo ( https://nlnet.nl/project/Federated-Forgejo/ ), et Forgefed ( https://www.ngi.eu/blog/2022/11/24/how-ngi-supports-open-interoperable-decentralised-and-trust-based-internet-applications-through-fediverse-projects-like-mastodon/ )
En 2023 pour Forgeflux ( https://nlnet.nl/project/ForgeFlux/ et https://ngi.eu/funded_solution/forgeflux/ ).
En 2024, y a eu 2 autres grants sur Forgejo ( https://forgejo.org/2024-12-monthly-update/#sustainability ), des tentatives via Sovereign Tech Fund ( https://codeberg.org/forgejo/sustainability/issues/84 ), et encore une sur Forgefed ( https://nlnet.nl/project/ForgeFed-frontend/ ).
Et visiblement, on retente encore en 2025 ( https://codeberg.org/forgejo/sustainability/issues/74 ).
C'est bien de chercher de l'argent, je comprends bien que tout le monde n'a pas la chance que j'ai d'en avoir, mais je crois aussi que le but, c'est aussi de publier du code à un moment.
Et à la rigueur, si des gens trouvent le moyen de financer leur travail comme ça, tant mieux. Mais tout le temps et l'argent qui part dans ça, c'est du temps qui part pas dans des personnes comme toi qui me semble plus productive.
[^] # Re: Besoin d'interopérabilité
Posté par Misc (site web personnel) . En réponse au journal Forge publique et privée : centralisation ou décentralisation ?. Évalué à 10.
Ce qui est difficile, c'est surtout de savoir ce qu'on veut dire par "fédération de forge", car j'ai le sentiment que personne ne définit vraiment les choses et personne ne pose les questions difficiles, et tout le monde rajoute son petit truc. Et c'est pour ça que ça n'avance pas.
La raison d'avoir uniquement les étoiles, c'est parce que c'est le truc ou tu as le moins de latitude et de choix. Le décompte ne change rien de substantiel, n'a aucun impact si il est faux et n'est qu'un nombre attaché à un dépôt.
Par contre, si on commence à parler de choses plus complexes comme les bugs/issues/PR, ça devient d'un coup plus compliqué.
Par exemple, il y a des gens qui voudraient que la fédération de forge soit totalement décentralisé (comme un salon matrix), d'autres qui voudraient simplement avoir un login fédéré (comme une liste de discussion, ou une communauté lemmy).
Suivant ce que tu vises, faut se demander ou se passe la collaboration (eg, qui a la version de référence de la discussion), la forge upstream, ou la forge locale ?
Dans la vision 2 (login fédéré), la réponse est "la forge upstream".
Il se passe quoi quand il y a des conflits d'humain, qui décide de fermer la discussion ? Comment tu fait pour bosser si le projet est sur la forge A, tu es sur B, et quelqu'un de C vient, avec C bloqué par la forge B (la tienne) mais pas la forge A ? (tout rapport avec du dramastodon passé n'est pas fortuit).
Si la forge centrale est en panne, il se passe quoi ? Qui décide du numéro de ticket quand on en ouvre un ? Est ce que les tickets sont par dépôt, comme maintenant, ou attaché par magie au code (et donc synchro comme le code, avec merge conflict, etc)
Et vu que ActivityPub, c'est simplement de la publication de messages (il n'y a pas automatiquement de réconciliation comme avec le protocole Matrix), il se passe quoi quand des bouts sont perdus ?
Et si la réponse est "on s'en fout, on synchronise via F3", alors pourquoi se faire chier à faire un vocabulaire vu que la synchro va éventuellement arriver.
Maintenant, si on parle de la vision décentralisé comme Matrix, pourquoi ne pas avoir gardé le protocole de Matrix comme au début du projet Forgeflux.
Pourquoi faire un protocole d'export quand ce qu'il faut, c'est un système d'operational transform (comme Google Wave et par la suite etherpad, google docs, etc)
Donc si la vision est "comme Lemmy" et de tout centraliser sur un serveur d'origine, pourquoi se faire chier avec ActivityPub quand on peut:
- mettre un cron sur git clone (gitea le fait déjà, je fait des copies de mes applis en local depuis gitlab/github/framagit, ou l'inverse, je pousse via cron)
- déléguer l'authentification pour écrire des issues via openid ou n'importe quoi d'autre
Car fondamentalement, on pourrait juste avoir nos emails/mxid/id xmpp/id mastodon comme identifiants, et mettre une forme de login par dessus. Pas besoin de faire tout un vocabulaire ActivityPub pour ça, faut juste changer le format des logins et des urls.
Et si c'est la vision "comme Matrix", pourquoi avoir pris ActivityPub et pas Matrix ?
Comme visiblement, c'est AP qui a été pris, donc j'en conclus que des gens ne veulent pas centraliser comme je l'indique (sinon, ça serait plus simple), ni faire comme Matrix (sinon, tu mets juste une passerelle git vers matrix).
Par exemple, si je reviens sur le format de stockage F3, c'est utile, mais ça n'est pas spécialement une question de fédération en soi, c'est juste se donner les moyens techniques de claquer la porte pour divers raisons (pratique quand on ne sait pas gérer sa frustration et qu'on a l'habitude de le faire, par exemple). Bien sur, ç'est à la fédération ce que le Brexit est à la gouvernance fédéré de l'Europe, donc je peux voir le rapport.
On a pas besoin d'un format d'export pour la fédération (le SMTP n'utilise pas ça, par exemple) et c'est pour moi un indicateur qu'il y a une vision autre que la simple fédération si on rajoute autre chose de périphérique.
Autre exemple, un des cas d'usage qui avait été discuté à l'époque, c'était d'utiliser la fédération pour éviter les soucis de blocage de l'OFAC vis à vis des fournisseurs US (les nationaux iraniens n'avaient pas le droit d'utiliser Github, ou certains citoyens russes).
Mais du coup, en tant qu'objectif, comment ça se positionne vis à vis de demandes futures et probables de ne pas interagir avec tel ou tel personne pour divers raisons ? Car si tu permets de bloquer un spammeur, tu peux aussi bloquer l'Iran (voir même, c'est plus facile de bloquer l'Iran que les spammeurs).
Et puis dans tout ça, quid de la modération ?
Il y a déjà une tonne de spam sur les forges publiques, en quoi proposer un moyen de contourner l'éventuelle vérification au login va aider à ce niveau ? Surtout que Codeberg a bien montrer que niveau modération, il y a encore des trous et c'était pas la priorité (vu qu'il y a fallu avoir un souci pour avoir une réunion sur "comment limiter les APIs").
Bref la fédération, je vais faire comme l’apôtre Thomas, je vais y croire quand je vais la voir.
[^] # Re: Besoin d'interopérabilité
Posté par Misc (site web personnel) . En réponse au journal Forge publique et privée : centralisation ou décentralisation ?. Évalué à 9.
Ce projet ne décolle pas. Le premier commit date d'il y a 8 ans, en mars 2017. Il n'y a toujours rien de viable maintenant, et le projet vient tout juste d'avoir un financement de NlNet (NlNet et co qui servent quand même souvent de vache à lait pour avoir des thunes et rien faire de substantiel, genre le projet fedeproxy ).
Le code initial pour Forgejo (qui a été forké à la base pour "officiellement" rajouter la fédération, puis ensuite officiellement pour des raisons de financement du projet, et officieusement parce que le leader du fork se fache avec beaucoup de gens, surtout quand il a pas ce qu'il veut) avait été fait par un doctorant du MIT qui passait dans le coin, et y a pas eu grand chose de nouveau depuis.
Quand on regarde le ticket de 2023, on voit quand même que y a toujours des projets qui se lancent, des grands mouvements, des POCs sur des bouts séparés, et qu’après des années de discussions et de code, et de patchs, tout ce qu'il y a à montrer, c'est de laisser des étoiles de façon fédéré (et juste ajouter des étoiles, pas en retirer, c'est encore WiP).
Et on va me dire "oui, mais c'est des volontaires, tout ça, tout ça". Et je dirait "bullshit".
J'utilise Gotosocial, qui est un serveur ActivityPub (comme la federation de forge), en golang (commegitea/forgejo) fait par des volontaires dans leur garage (moins comme forgejo, qui a des gens payés pour bosser dessus via des grants ou via leur boite), qui a commencé il y a 4 ans (donc 2 ans après le document initial pour forgefed), et qui est fonctionnel (contrairement à la fédération de forge).
Donc bon, si on compare 2 projets dans le même domaine, avec le même langage, on peut voir qu'il y en a qui publie du code et l'autre non, en ayant eu 2 fois plus de temps.
[^] # Re: Risque de confusion / surconsommation mémoire ?
Posté par Misc (site web personnel) . En réponse au lien Firefox tab groups est déjà là, et smart tab group est à l'étude (auto-organisation par IA locale). Évalué à 10.
Parce qu'on vit dans le deni de croire qu'on va pouvoir les lire plus tard.
[^] # Re: What happens when 4,500 people ask for the same feature? At Firefox, we build it.
Posté par Misc (site web personnel) . En réponse au lien Firefox tab groups est déjà là, et smart tab group est à l'étude (auto-organisation par IA locale). Évalué à 4.
Suffit aussi d'envoyer un patch et de savoir convaincre.
[^] # Re: OsmAnd~
Posté par Misc (site web personnel) . En réponse au lien OsmAnd 5.0 : disponible avant les ponts. Évalué à 4.
Bah quand je vois l'état de la page aujourd'hui, et par exemple la section "Citations sur le web, ç'est assez clair qu'il s'agit d'un travesti du but principal de l'admissibilité.
Le wiki d'OSM est non admissible comme source, c'est un wiki. Frandroid et Les numériques, c'est du catalogue d'application, ça n'a pas sa place ici.
Le reste de l'article se base sur des tas de sources primaires (Google Play, le site d'OSMAnd, etc), ce qui montre bien qu'il n'y rien d'encyclopédique au sens de Wikipedia (cad avec des analyses de sources secondaires), et que ça sert juste de duplicata du site web de OSMAnd (et également de duplicata du wiki d'OSM, qui va avoir les mêmes infos).
Mais c'est pas ici qu'on va en discuter, je vais aller en parler sur la PdD, parce que la, c'est quand même assez flagrant.
[^] # Re: OsmAnd~
Posté par Misc (site web personnel) . En réponse au lien OsmAnd 5.0 : disponible avant les ponts. Évalué à 3.
En fait, c'est simple, pour écrire une page wikipedia, il faut que d'autres personnes écrivent sur le sujet pour pouvoir faire une synthèse. C'est la fameuse question des sources secondaires contre primaire, etc, etc.
C'est important que ça soit des sources secondaires pour éviter que les gens n'écrivent indirectement sur eux même avec tout les dérives qu'on peut imaginer quand on pense 30 secondes à tout ça (genre, Idriss Aberkane qui va mentir sur ses diplômes, etc.
Et dans le cas des logiciels libres, c'est exactement le souci il n'y a au final que peu de sources secondaires, donc les pages se transforment en pub pour le logiciel en question sourcé par les auteurs. C'est vrai que c'est bien pratique, quelqu'un d'autre donne de son temps et de ses ressources pour garder le truc à jour, c'est plus prestigieux qu'une simple page web, etc.
Mais c'est pas le fonctionnement de l'encyclopédie tel que décidé il y a longtemps, et c'est pas parce qu'on est un logiciel libre qu'on a droit de facto à une page, loin de la.
Ça a été dit et redit 100 fois, mais si j'en crois ce thread, ça n'a pas suffit vu qu'il y a toujours des gens qui donnent l'impression qu'une page est du, pour des raisons qui sont jamais clairement articulés autre que "j'ai donné mon temps, alors faut accepter ce que je dit". C'est d'autant plus bizarre qu'on sait que c'est pas comme ça que les systèmes contributifs fonctionnent, et que la communauté du libre a des gens qui sont quand même largement capable de faire un site web sans passer par wikipedia si ils ont quelque chose à dire.
[^] # Re: Mouais
Posté par Misc (site web personnel) . En réponse au lien L'équipe GrapheneOS se dit harcelėe par Gaël Duval et /e/OS. Évalué à 7.
Les liens que tu donnes semble plus aller dans des personnes de la communauté GrapheneOS (ou des fouteurs de troubles) qui vont s'incruster dans les messages de Murena que l'inverse.
C'est sur qu'aucun des 2 groupes ne semblent dire "il faut laisser l'autre groupe tranquille", ce qui serait déjà un pas en avant.
Et je pense qu'un point important qu'on oublie, c'est l'histoire de GrapheneOS, ou il y a eu visiblement un coup d'état du projet. Je suppose que ça peut laisser des séquelles à l'équipe de dev en plus du classique coté obsidionale des gens qui bossent dans la sécurité.
[^] # Re: Mouais
Posté par Misc (site web personnel) . En réponse au lien L'équipe GrapheneOS se dit harcelėe par Gaël Duval et /e/OS. Évalué à 5.
Ce qui consomme beaucoup de ressources avec des LLM, c'est l’entraînement initial du modèle, pas la ou tu le fait tourner. Et je pense qu'il y a sans doute un tradeoff sur le fait de ne pas mettre en commun les ressources pour faire tourner en local ou pour rajouter des infos à ce niveau.
# Mouais
Posté par Misc (site web personnel) . En réponse au lien L'équipe GrapheneOS se dit harcelėe par Gaël Duval et /e/OS. Évalué à 9. Dernière modification le 20 avril 2025 à 02:19.
Alors par curiosité, j'ai relu tout le fil mastodon de Gaël Duval sur 1 an (et un peu plus), et j'ai vu exactement 2 messages en rapport:
https://mastodon.social/@gael/113950661068856971
https://mastodon.social/@gael/112536922155550217
2 messages assez mous sur 1 an, je pense qu'on est assez loin des accusations du compte GrapheneOS. J'ai hâte de voir le post de blog promis, parce que pour le moment, ça n'est pas vraiment concluant.
Par exemple, j'ai pas vu de boost venant de KF alors que le thread parle de ça.
Et pourtant, je suis très loin d'être pro-Duval. Par exemple, il semble ne pas voir le souci de pousser à utiliser des crypto-monnaies et des IA génératives tout en parlant de développement durable. C'est d'autant plus drôle qu'il demande aux autres d'aligner les actes avec les valeurs (cf ce message pour la Commission Européenne (poutre, oeil, tout ça)). Si à la rigueur, c'était juste ça, je pourrais me dire qu'il est technophile, mais il a l'air aussi de booster des trucs pro-assange, et des trucs avec des avis claqués au sol sur l'arrestation du patron de Telegram (ou sur le fait que son service de mail serve à spammer github.
Donc bon, c'est assez clair pour moi qu'on serait en désaccord sur Linuxfr si il avait un compte, mais sur la base de ce que je vois, j'ai quand même des doutes sur les accusations (même si j'ai sans doute louper des trucs ailleurs).
# Source
Posté par Misc (site web personnel) . En réponse au lien Une carte des providers de mail utilisés par les municipalités d'Europe. Évalué à 4.
https://fosstodon.org/@tcarrez/114354060037774996
(vu qu'on peut mettre qu'un lien)
# Encore une industrie en perte
Posté par Misc (site web personnel) . En réponse au lien Une campagne de propagande russe cible la France avec des scandales générés par IA. Évalué à 10.
C'est triste, les IA génératives tuent même le travail des artistes de la provocation et du n'importe quoi.
[^] # Re: pour défendre la vérité et la justice, vous repasserez vérité
Posté par Misc (site web personnel) . En réponse au lien Entrez dans la peau d'un agent de la DGSE et collectez un maximum de renseignements !. Évalué à 6.
Pourtant, on pourrait sans doute essayer ça avec du logiciel libre, genre faire voter les gens sur chaque PR, etc. Je suis sur que les libristes seraient ravis de ce contrôle démocratique par les personnes impactées et la communauté qui utilise le logiciel.
Car si le logiciel libre est un bien commun, alors il y a sans doute des choses radicales à explorer pour la démocratie, non ?
Je suis sur que tout le monde va accueillir à bras ouvert l'idée :p
[^] # Re: pour défendre la vérité et la justice, vous repasserez vérité
Posté par Misc (site web personnel) . En réponse au lien Entrez dans la peau d'un agent de la DGSE et collectez un maximum de renseignements !. Évalué à 5.
C'est aussi une vision partielle et à mon sens dangereuse de ce qu'est un lanceur d'alerte. Il faut quand même bien voir que la majorité des lanceurs d'alertes sont des gens qui sont en interne (donc pas la vision des pirates/hackers défendue ici), et que la majorité des attaques informatiques ne sont le fait de lanceurs d'alertes, loin de la (ransonware, service secret, groupe envoyant du spam, placant des mineurs de cryptomonnaie, etc).
Ça, c'est pour la partie partielle. La partie dangereuse, c'est quand on voit comment ce genre de perception vont alimenter des propos complotistes. Pour citer l'émission Complorama, "La série documentaire alimente un discours anti-science en présentant Hancock comme un lanceur d'alerte face à un establishment scientifique qui cacherait la vérité".
Il y a des opposants aux vaccins qui se positionnent aussi sur ce créneau, et c'est même la légende à la base de QAnon vu que Q est vu (à tort) comme un lanceur d'alerte.
Donc bon, je pense qu'il faut faire gaffe à ne pas avoir de raisonnements simplistes, surtout de nos jours…
[^] # Re: L'essentiel en français
Posté par Misc (site web personnel) . En réponse au lien CVE program faces swift end after DHS fails to renew contract, leaving security flaw tracking in lim. Évalué à 4.
C'est expliqué dans le lien que j'ai donné, c'est basé sur cette liste. Alors on peut sans doute estimer que les chiffres varient un peu (car c'est compilé par une branche du gouvernement US, donc il y a a minima un biais sur les sources) mais je doute que ça varie au delà du simple au double, même en rajoutant des exploitations non repérés.
[^] # Re: L'essentiel en français
Posté par Misc (site web personnel) . En réponse au lien CVE program faces swift end after DHS fails to renew contract, leaving security flaw tracking in lim. Évalué à 4.
Alors, il y a sans doute déjà des doublons vu que justement, Red Hat et d'autres sont capable d'assigner des numéros via leur rôle de CNA. Donc il faut déjà s'occuper de ce souci, vu que les failles peuvent être découverte de façon indépendante (et envoyer de façon indépendante à des CNA séparées).
La question du score est aussi déjà un souci vu que différent groupes assignent différent scores comme illustré dans cet article avec le score de CVE-2022-28734.
Et j'aimerais aussi pointer l'article avant celui que je cite ou l'auteur indique quand même que la majeur partie des failles n'ont pas d'exploitation, avec moins de 1% dans l'année de publication de la faille. Et ça monte à 4% si on prends les exploitations de failles plus vielles et jamais corrigés.
Donc bon, je ne pense pas que ça change fondamentalement l'état des choses.
[^] # Re: L'essentiel en français
Posté par Misc (site web personnel) . En réponse au lien CVE program faces swift end after DHS fails to renew contract, leaving security flaw tracking in lim. Évalué à 7.
Ce qui me semble une victoire dans une vision court termiste.
Si demain une puissance opposée aux USA (exemple, la Chine) décide de payer des gens pour reprendre le programme, est ce que ça va être une victoire ?
Des raisons les plus complotistes (à savoir que le gouvernement chinois va avoir des infos en avance sur les vulns) aux plus pragmatiques (ça va donner de l'influence, en organisant par exemple les réunions de travail en Chine, en permettant de menacer d'exclure certains pays du programme, en s'assurant que tout est traduit ou fait en mandarin en premier), rien ne me semble être une victoire sur le long terme.
[^] # Re: L'essentiel en français
Posté par Misc (site web personnel) . En réponse au lien CVE program faces swift end after DHS fails to renew contract, leaving security flaw tracking in lim. Évalué à 5. Dernière modification le 16 avril 2025 à 11:43.
Et https://gcve.eu/ aussi, comme annoncé sur https://infosec.exchange/@adulau/114346853273968549
[^] # Re: L'essentiel en français
Posté par Misc (site web personnel) . En réponse au lien CVE program faces swift end after DHS fails to renew contract, leaving security flaw tracking in lim. Évalué à 7.
Y a déjà des réactions:
https://www.thecvefoundation.org/