Surtout que faire ça en dehors du conteneur, ça implique sans doute beaucoup plus de configuration (genre, faut pointer ou trouver chaque service, faut sans doute configurer la communication entre les 2, etc), et de l'installation de toutes les dépendances. C'est faisable, mais clairement pas une mince affaire à documenter (sinon, les gens qui se plaignent auraient fait une contribution au lieu de geindre)
Le droit à la liberté d'expression et la lutte contre les discriminations et les discours de haine sont en effet parfois en conflit.
Y a plein de cas devant les courts internationales (avec des noms qu'on connaît, comme Robert Faurisson en 1993, Eric Zemmour en 2022, Dieudonnée en 2015, les 3 devant la CEDH), donc oui, ça rentre clairement dans une question de balance.
Parce que bon, aucun droit n'est absolu. Est ce que j'ai le droit d'"emprunter" une voiture pour résister à l'oppression sachant que ça va contre le droit à la propriété ? est ce que l'état a le droit de réquisitionner ma caisse pour cette raison ?
Surtout qu'on parle ici d'un dockercompose qui lance exactement 1 seul conteneur. La majorité du fichier, c'est de mettre des valeurs par défaut sur des variables avec des noms assez explicites, pour peu qu'on parle anglais, et qui sont sans doute documentés.
J'aime pas les fichiers docker compose (surtout parce que j'aime pas qu'upstream fasse des choix sur les deps de logiciels à ma place, genre prendre un random paquet de postgres, etc), mais je dois reconnaître que c'est quand même assez standard et relativement peu complexe à comprendre sauf quand on part dans des horreurs de 2000 lignes.
Alors, un xkcd, ça ne fait que refléter ce qu'on croit, pas vraiment une étude. Ça conforte un peu mon point, à savoir que ça résonne.
Et on va pas ressortir la propagande de Microsoft des années 2000 et dire qu'il faut pas prendre Linux car ç'est pas maintenu par des boites. On s'est quand même battu pour en arriver la, et je pense qu'on a tendance à vite l'oublier.
les cas typiques genre openssl et xz
Si j'en crois ce site, il y a 320 millions de dépôts sur github et 5 millions d'utilisateurs. Même en se limitant à 0.1% qui serait un noyau dur de la communauté des libristes, ça reste énorme (et si quelqu'un vient me dire "tout le monde n'est pas sur github", ça donne une limite basse).
D'après ce site de la PSF, il y a 800 000 paquets pythons sur pypi. Sur les stats de lib.rs, on voit qu'il y a 250 000 crates pour 60 000 utilisateurs/équipes.
Dans tout les cas, c'est énorme.
Même avec le nombre d'attaque qu'on a eu en 2026, on reste quelques ordres de magnitude en dessous de la taille du libre sur toutes les métriques qu'on peut trouver.
Donc ouais, y a eu des soucis, mais quand je dit "c'est sur estimé", c'est par rapport à la taille de la communauté et la quantité de code. Le monde du libre, c'est plus vraiment une poignée de gens sur une liste de discussions, et j'ai le sentiment qu'on a tendance à vite l'oublier.
rien que le dernier khryspresso avec L’IA génère trop de failles de sécurité : les mainteneurs open source sont à bout, alerte l’OpenSSF
Ben je pense ça illustre bien le coté "environnement médiatique" de mon commentaire.
Pour commencer, contrairement au titre, ce qui est dit dans l'article n'est pas que l'IA génère des failles de sécu, mais des gens qui utilisent des IA pour écrire des rapports de sécurité (même si comme souvent quand on parle d'IA, la partie "humaine" est inexprimé). C'est quand un détail important.
Ensuite, l'article dit "face à des robots infiniment patients". C'est une citation de Crob, mais c'est surtout une citation d'une blague qu'il a fait. Et les robots ne sortent pas de nulle part, y a bien quelqu'un qui paye pour et qui s'en occupe. Bien sur, ça va pas aller avec l'imaginaire apocalyptique qui fait que ça devient viral.
Mais il y a d'autres imprécisions, comme le passage sur le CRA, je cite "le Cyber Resilience Act européen pourrait imposer aux mainteneurs bénévoles des obligations légales de répondre aux divulgations de vulnérabilités", ce qui est faux vu que primo, le CRA concerne les produits commerciaux (c'est une réglementation sur le fonctionnement du marché intérieur avant tout), donc exit la partie bénévole. En plus, les autorités de concurrence et/ou de sécurité ont sûrement des trucs plus importants que de s'occuper d'un codeur au Nebraska, pour reprendre l'exemple du xkcd. Je rappelle que seul les autorités administratives susnommés peuvent imposer des amendes, et qu'il n'y a aucun façon pour personne de porter plainte via le CRA. Le CRA n'est pas le RGPD, ça ne donne pas de droit, et encore moins de droit à ester en justice.
Je suis sur que je pourrais démonter plus l'article, mais je finir par dire qu'en copiant collant l'article dans GPTZero, l'outil indique que c'est probablement un article écrit par IA (j'imagine une traduction non relu de l'original en anglais). Alors on fait confiance ou pas à l'outil, mais c'est pas comme si l'éditeur du site avait une réputation irréprochable en France.
Et pour tout le reste, oui, y a des groupes qui ont les crocs, mais je ne pense pas que ça soit une question de géopolitique, ou en tout cas, pas récente. Par exemple, on pense que l'attaque sur axios vient de la Corée du Nord, et sauf erreur de ma part, Trump n'a rien fait à ce niveau.
Ensuite, encore une fois, je dit pas qu'il y a rien, je dit surtout qu'il y a une exagération pour les devs, dans le sens ou la majeur partie des projets non célèbres ne semblent pas crouler sous la charge (ou alors, je bosse sur des projets trop secure, mais j'ai des doutes). En fait, je dirait même que comme on a beaucoup plus de projets qu'il y a 20 ans, les emmerdes grimpent en même temps, mais juste parce qu'on a plus de projets.
Le cas de Linuxfr est différent, car c'est un site web, donc oui, tu as sans doute des tas d'attaques, tout comme je reçois parfois des emails pour me dire qu'il y a un souci sur jenkins ou gerrit car on peut y accéder depuis le web (ce qui est normal pour un projet libre, mais tout le monde ne semble pas le savoir).
Et indirectement pourquoi ça va être compliqué si une nouvelle génération de mainteneurs/euses de projets libres ne se lève pas, alors que les personnes fatiguent et doivent supporter les abus et autres harcèlements de sociétés abusives autour (on veut ça sans payer ni contribuer, on exige tel document, on exige telle réponse immédiate, etc.)
Je pense que ce genre de comportement est largement surestimé (d'une part), et sans doute plus causé par soit des différences d'ordre culturel (insérer ici mon laius sur la différence de communication entre allemands/russes et américains, ou américains et japonais), soit par de l'incompétence parfois inévitable des employés de certaines boites (car bon, suffit d'une personne qui fasse une connerie et ça fait le tour du web libriste).
On a pas vraiment de stats sur le phénomène, juste des anecdotes mise en avant dans un environnement médiatique qui récompense la viralité et qui vont résonner avec certains schémas du libre, à savoir que le Codeur devrait être tout puissant, sans avoir de responsabilité vis à vis de personne.
Alors les droits d’accès sont basés sur un uid, mais:
- les liens symboliques ne le sont pas
- l'appartenance à un groupe ne l'est pas (dans /etc/group, c'est le login pas l'uid)
- il y a parfois des chemins absolus (pas toujours) et des logins dans des configs
Exemple, sur ma machine avec un grep -r misc ~/.config:
./pmbootstrap_v3.cfg, avec un chemin pour le cache git dans mon home, sans $HOME
./libvirt/storage/gnome-boxes.xml avec un lien pour les images dans mon home, sans $HOME.
./google-chrome/Default/Preferences avec des tas de fichiers dans mon home sans $HOME
./gtk-3.0/bookmarks pareil, des chemins dans /home
Alors ça se corrige avec un lien, un bind-mount, ou autre, mais ç'est manuel et non documenté.
Par manuel je veux dire qu'il n'existe pas à ma connaissance de commande userrename qui fasse tout ça comme il faut. Il y a usermod qui ne fiat rien d'autre que changer le login et je sais même pas si ça ajuste les groupes.
Et par non documenté, je veux dire qu'il n'y a pas de listes des fichiers à regarder. C'est d'ailleurs comme ça qu'on s'est organisé au travail, on a commencé une liste géante de tout ce qu'il faut changer.
Plus gênant que les fichiers, il y a des cas ou le login est codé en dur dans un config de /etc, comme cups ou je retrouve mon login comme Owner dans /etc/cups, ou NetworkManager, qui utilise mon login pour les permissions de VPN.
Ou comme le pointe la page de man de usermod, les fichiers pour le spool de mail (/var/spool/mail/misc). Ou comme vu avec un rapide find /var -name misc, il y a des trucs sur AccountsService (/var/lib/AccountsService/users/misc) et un truc de systemd (/var/lib/systemd/linger/misc).
Pour être clair, je ne dit pas que c'est impossible, mais il y a des tas de petits bugs et un manque de standardisation (car usermod ne fait rien car changer le home, ça dépend quand même du setup en dessous) qui font que ç'est chiant et qu'il faut faire ça manuellement, qu'on peut pas être sur que rien ne casse.
Mais la ou c'est gênant, c'est que s'assurer que rien ne casse quand on change le login, c'est une responsabilité du responsable du traitement, car le RGPD dans son article 12, point 2 rappelle que le responsable a pour tache de faciliter l'exercice des droits, dont le droit de rectification.
Et clairement, le monde du libre n'a pas ce genre de choses sur son radar, ce qui aboutit à des refus de la part des responsables qui veulent pas se jeter dans l'inconnu.
Tiens, je pourrais faire un sondage Linuxfr sur le sujet.
Je ne suis pas forcément d'accord. On peut avoir une identification de genre donnée, mais choisir une civilité différente pour raisons pratiques. Par exemple pour une personne non-binaire, tu vas dire "monsieur" ou "madame" ? En particulier si la personne a un prénom épicène.
Ou la raison pratique que le français reste quand même super branlant quand tu essayes de ne pas genrer quelqu'un, en comparaison de l'anglais ou d'autres langues moins genrées. J'ai aucun souci à mettre du "they" partout quand je parle avec mes collègues anglophones, mais pour le français, je me retrouve à être constamment en vigilance sur les accords, etc.
Et au risque d'être vraiment polémique, j'ai tendance à penser que la féminisation des noms de métiers a entraîné de facto une fuite en avant qui fait qu'on se retrouve avec un besoin de neutralisation des noms de métiers (eg, créer un nouveau mot qui combine la forme masculine et féminine d'un mot). Comme la féminisation des noms de métiers est justifiée par un besoin de visibilisation, alors je ne serais pas étonné qu'à terme, un besoin de distinguer un mot pour désigner un métier neutre d'un mot pour désigner un métier pour une personne non binaire arrive, afin de visibiliser ces dernières.
C'est le débat sur la suppression du genre sur une carte d'identité, ou sur l'ajout d'une 3 eme option, mais au niveau de la langue.
Alors, c'est en effet la théorie avec des protocoles de SSO récents comme OIDC ou SAML. Dans SAML, le NameID est censé être opaque et stable. Ça peut être une chaîne aléatoire, ou pas.
Pareil pour OIDC, sub est censé être stable et opaque. Et ça peut être une chaine aléatoire, ou pas.
En pratique, ipsilon, le serveur SAML/OIDC utilisé par Fedora, utilise le login pour ça. Donc beaucoup d'applis Fedora utilisent indirectement le login comme clé primaire, parce qu'un choix a été fait à la config il y a 12 ans.
À savoir comment saluer l'interlocuteur ? C'est en tout cas l'usage que j'en aurais. Pour la SNCF, et de façon générale pour tout ce qui est billets nominatifs, ça peut également fournir un premier élément de vérification pour le contrôleur. Ça, plus une photo, plus au besoin un contrôle d'identité en règle.
Mais ça implique que la photo d'identité corresponde à la personne tel qu'elle se présente, et que la civilité utilisée corresponde à la carte d'identité.
Je me souviens de chiffres de l'ordre de 1 ou 2 ans de lag entre le début du process et l'obtention des papiers, car pour avoir un changement, tu dois d'abord vivre avec ton nouveau genre et donner des témoignages avant de demander un changement.
En même temps, ça s'explique aussi vu que le déploiement des réseaux sociaux addictifs s'est fait en même temps sur une partie de la planète. On peut quand même regarder la chronologie entre Tiktok qui est mis sur le marché il y a ~10 ans et l'arrivée des études quelques années après.
De plus, les sondages (encore vu ce matin ) montre qu'il y a quand même un sujet.
Ensuite, la question, c'est pas de savoir si les réseaux sociaux sont addictifs (le consensus semble la, sauf pour les avocats de Meta), ni de savoir si l'addiction en question pose un probléme, mais comment réguler en pratique sans que ça empiète sur d'autres droits fondamentaux.
Assez clairement, ne rien faire ne marche pas. Le contrôle parental tel qu'il est en place depuis quelques années non plus (pas plus que compter sur le volontariat des parents). Il y a sans doute d'autres choses à proposer, mais si c'est le cas, personne ne semble le dire.
Ce qui va sans doute aussi leur poser des soucis vis à vis du CRA (vu que si tu fais pas du logiciel libre, alors tu as des procédures en plus), et c'est donc une loi qui va forcément attirer l'attention des autorités de gestion de la concurrence et de l'Europe.
Ce qui est assez proche de ce que Sega a fait sur la Genesis, à la différence que Sega a perdu son procès face à Accolade en 1992.
Même si il ne s'agit pas de copyright pour Sega mais de trademark, l'idée était sensiblement la même (mais je ne sais pas si le magouille de Nintendo pour la Game Boy a été examiné par une cour, au contraire de la protection de la NES).
Le blog ou l'auteur dit "j'ai envoyé ça sur claude" me laisser songeur ceci dit.
Clairement, je pense que les médias vont prendre le pire chiffre et le décontextualiser, mais à coté de ça, la conso des DC est comptés en gigawatt, et les gigawatts vont bien quelque part quand les ordis font les calculs. Pour avoir été dans un DC avec une panne de la clim il y a 25 ans, je peux en effet accepter que ça réchauffe autour du DC (tout comme l'usine à coté de mon premier boulot fait qu'il y a eu de la neige juste sur une partie de la ville à cause des rejets d'eau dans l’atmosphère)
Maintenant, sans doute pas à des kilomètres, sans doute pas sur 340 millions de personnes.
Tu confonds le fait qu'un chose soit couvert par un domaine, à savoir la liberté d'expression, et le fait que ça soit légal.
Dire qu'il y a eu 0 mort à Auschwitz, c'est une question de liberté d'expression, il y a eu assez de procès sur le sujet (Robert Faurisson pour ne citer que le premier qui vient en tête). Mais c'est pas parce que c'est une question de liberté d'expression que la réponse peut pas être "on autorise pas ça", vu que c'est exactement le cas en France et en Europe (au contraire des USAs).
Pourquoi autant d'appels ont pu avoir été fait avec le mien ?
De la même façon que pour le smtp, on fait confiance au serveur. Moi, j'ai découvert que dans la doc du bureau, on avait mis un range de 100 numéros contigus alors que le contrat avec le telco indiquait 2 ranges de 50 séparé. Quand j'ai mis le 50eme numéro, le commercial qui a eu le téléphone fixe a eu des soucis, et j'ai découvert le pot aux roses assez vite. Mais grosso modo, le PABX est celui qui gère le numéro, et on part du principe que sauf erreur, le monde des telcos étant en petit groupe, c'était bon.
Pour le smtp, on a du mettre SPF et DMARC et tout ça pour lutter contre le spam. Mais on a pas mis ça au début parce qu'on se faisait confiance, et parce que se rajouter de la paperasse ne plaisait sans doute à personne.
Je suppose que pour les telcos, c'est pareil, mais en plus lourd (vu que tu mets pas à jour un pabx aussi facilement qu'un serveur smtp, et que les standards sont sans doute moins souple). Je suppose aussi qu'il y a du y avoir un souci au moment ou la VOIP a commencé à décoller et le marché à se libéraliser.
Ce qui est quand même drôle, c'est qu'assez clairement, il y a plein de personnes qui veulent écrire sur Wikipedia en dehors des contraintes de Wikipedia (pour ça, j'ai tendance à dire d'aller faire des sites web), mais aussi plein de gens qui veulent faire des articles sur l'actualité sans attendre les sources d'analyses secondaires et pour qui Wikinews serait parfait.
La liberté d'expression en France (et en dehors des textes internationaux et de la constitution), c'est via la Loi du 29 juillet 1881 sur la liberté de la presse. La presse, c'est quand même assez souvent des entreprises, donc il me semble que ça fait quand même plus de 140 ans que ça a un rapport avec elles.
Ensuite, je dit pas que ça doit être intouchable (c'est pas les USA), mais interdire indistinctement tout un pan entier d'expression comme suggéré par le commentaire auquel je réponds me semble assez clairement à contre courant des textes internationaux et de la jurisprudence (comme on peut le voir dans le corpus mis à disposition par l'ECHR ).
Pour avoir des exceptions larges à un droit fondamental, il faut avoir des très bonnes raisons, comme un autre droit fondamental.
Par exemple, pendant la pandémie il y a 6 ans, la raison évoqué pour censurer les propos des militants antivaxx, c'était la question de la santé publique pendant une crise (article 2 de la CEDH). Quand Zemmour se fait condamner, c'est par rapport à la lutte contre les discriminations (article 14 de la CEDH). Et même la, c'est des impacts minimaux. Zemmour a quand même eu le temps de dire son truc, il a pas fini en tole, l'amende était pas non plus un souci, il a pas été interdit de s'exprimer pour toujours, ni rien de drastique.
Mais comme il n'y pas vraiment de droit fondamental à ne pas recevoir de coup de fil, c'est chaud de dire "faudrait interdire tout ça". Il n'y a pas de droit à la tranquillité en soi, mais il y a sans doute moyen de construire des choses à partir des questions de vie privée (article 8 de la CEDH), ce qui est exactement ce qui est expliqué dans l'article avec le consentement explicite. L'article parle aussi d'interdire les appels sur certains sujets, et justement la restriction est limité, pour une raison de lutte contre la fraude (article 1 de la CEDH). Et pas juste parce que ça fait chier.
Ensuite, oui, une communication commerciale va être moins protégé qu'un discours politique ou que du contenu artistique, mais moins, ça veut pas dire zéro. Et les juges autour du monde qui se penchent sur le sujet de la liberté d'expression s'accordent aussi pour dire que c'est pas parce qu'on aime pas ce qui est dit que ça doit être interdit (enfin, ceux qui sont en faveur de la liberté d'expression, parce qu'il y a aussi tout un bail sur les lois sur le blasphème, l'interdiction d'insulter un roi comme en Thailande, etc).
Alors j'ai pas Saracroche (car j'ai un tel trop vieux), et de ce que je constante, la grande majorité des appels que je reçois et qui sont bloqué viennent des plages prévus pour. J'ai eu 2/3 fois des cas qui sont passés à travers, mais pas depuis longtemps (genre 1 par an).
Alors c'est vrai que pendant longtemps, il était assez trivial d'usurper un numéro (je l'ai fait par erreur à cause d'une mauvaise doc il y a 15 ans), mais je pense que depuis, le monde des telcos a commencé a verrouiller ça un peu plus.
Au cas ou il s'agit d'une urgence. Il y a aussi des gens qui utilisent leur téléphone pour des raisons professionnelles, et ou tu peux pas exactement savoir qui va t'appeler à l'avance, et ou ça peut te coûter des clients de ne pas répondre.
Parce que ça rentre aussi dans la liberté d'expression, ce qui requiert des mesures minimales pour ne pas interférer avec elle.
Mais pour éviter le démarchage, il y a en France l'obligation de passer par des numéros identifiés, et tu as des applications comme Saracroche qui font le filtrage sur les tels mobiles via la liste de l'ACREP (et d'autre) (une appli libre au passage).
Est-ce que quelqu'un suit la situation pour le code informatique (surtout le code libre)?
Moi, oui, vu que je vais en parler lors des JDLLs dans 2 mois. Par contre, j'ai pas le temps d'écrire un commentaire sur ça (en plus, faut bien que je donne une raison de remplir la salle pour rentabiliser la lecture de l'équivalent de 2 ou 3 livres sur la question).
Pour une GPL v4 (ou plutôt un truc dans l'esprit d'une évolution de la GPL), Richard Fontana en parle dans une présentation de février et travaille aussi, je crois, sur le projet Copyleft.next avec d'autres.
[^] # Re: Alternative FOSS
Posté par Misc (site web personnel) . En réponse à la dépêche 8 liseuses KINDLE seront débranchées par AMAZON en mai 2026 - Quelles alternatives FOSS?. Évalué à 3 (+0/-0).
En fait, faut d'abord l'activer avant de pouvoir le retirer (vu que ça marche pas sans api key ou configuration)
[^] # Re: Article payant, donc on en sait rien…
Posté par Misc (site web personnel) . En réponse au lien Que contient vraiment la dernière version de la loi Yadan, objet d’une pétition signée plus d’un demi-million de fois ?. Évalué à 4 (+1/-0).
Ou si on a un abo, que ça soit perso, via une bibli (genre Europresse via la BNF, mais aussi les biblis locales), ou via des plugins.
[^] # Re: En dehors de Docker : au revoir
Posté par Misc (site web personnel) . En réponse au lien OpenCloud - L'alternative à Nextcloud en Go et sans base de données. Évalué à 4 (+2/-1).
Surtout que faire ça en dehors du conteneur, ça implique sans doute beaucoup plus de configuration (genre, faut pointer ou trouver chaque service, faut sans doute configurer la communication entre les 2, etc), et de l'installation de toutes les dépendances. C'est faisable, mais clairement pas une mince affaire à documenter (sinon, les gens qui se plaignent auraient fait une contribution au lieu de geindre)
[^] # Re: Complément
Posté par Misc (site web personnel) . En réponse au lien Que contient vraiment la dernière version de la loi Yadan, objet d’une pétition signée plus d’un demi-million de fois ?. Évalué à 7 (+4/-0).
Le droit à la liberté d'expression et la lutte contre les discriminations et les discours de haine sont en effet parfois en conflit.
Y a plein de cas devant les courts internationales (avec des noms qu'on connaît, comme Robert Faurisson en 1993, Eric Zemmour en 2022, Dieudonnée en 2015, les 3 devant la CEDH), donc oui, ça rentre clairement dans une question de balance.
Parce que bon, aucun droit n'est absolu. Est ce que j'ai le droit d'"emprunter" une voiture pour résister à l'oppression sachant que ça va contre le droit à la propriété ? est ce que l'état a le droit de réquisitionner ma caisse pour cette raison ?
[^] # Re: En dehors de Docker : au revoir
Posté par Misc (site web personnel) . En réponse au lien OpenCloud - L'alternative à Nextcloud en Go et sans base de données. Évalué à 6 (+3/-0).
Surtout qu'on parle ici d'un dockercompose qui lance exactement 1 seul conteneur. La majorité du fichier, c'est de mettre des valeurs par défaut sur des variables avec des noms assez explicites, pour peu qu'on parle anglais, et qui sont sans doute documentés.
J'aime pas les fichiers docker compose (surtout parce que j'aime pas qu'upstream fasse des choix sur les deps de logiciels à ma place, genre prendre un random paquet de postgres, etc), mais je dois reconnaître que c'est quand même assez standard et relativement peu complexe à comprendre sauf quand on part dans des horreurs de 2000 lignes.
[^] # Re: Le bon côté de la chose ?
Posté par Misc (site web personnel) . En réponse au lien Hackers breached the European Commission by poisoning the security tool it used to protect itself. Évalué à 6 (+3/-0).
Alors, un xkcd, ça ne fait que refléter ce qu'on croit, pas vraiment une étude. Ça conforte un peu mon point, à savoir que ça résonne.
Et on va pas ressortir la propagande de Microsoft des années 2000 et dire qu'il faut pas prendre Linux car ç'est pas maintenu par des boites. On s'est quand même battu pour en arriver la, et je pense qu'on a tendance à vite l'oublier.
Si j'en crois ce site, il y a 320 millions de dépôts sur github et 5 millions d'utilisateurs. Même en se limitant à 0.1% qui serait un noyau dur de la communauté des libristes, ça reste énorme (et si quelqu'un vient me dire "tout le monde n'est pas sur github", ça donne une limite basse).
D'après ce site de la PSF, il y a 800 000 paquets pythons sur pypi. Sur les stats de lib.rs, on voit qu'il y a 250 000 crates pour 60 000 utilisateurs/équipes.
Dans tout les cas, c'est énorme.
Même avec le nombre d'attaque qu'on a eu en 2026, on reste quelques ordres de magnitude en dessous de la taille du libre sur toutes les métriques qu'on peut trouver.
Donc ouais, y a eu des soucis, mais quand je dit "c'est sur estimé", c'est par rapport à la taille de la communauté et la quantité de code. Le monde du libre, c'est plus vraiment une poignée de gens sur une liste de discussions, et j'ai le sentiment qu'on a tendance à vite l'oublier.
Ben je pense ça illustre bien le coté "environnement médiatique" de mon commentaire.
Pour commencer, contrairement au titre, ce qui est dit dans l'article n'est pas que l'IA génère des failles de sécu, mais des gens qui utilisent des IA pour écrire des rapports de sécurité (même si comme souvent quand on parle d'IA, la partie "humaine" est inexprimé). C'est quand un détail important.
Ensuite, l'article dit "face à des robots infiniment patients". C'est une citation de Crob, mais c'est surtout une citation d'une blague qu'il a fait. Et les robots ne sortent pas de nulle part, y a bien quelqu'un qui paye pour et qui s'en occupe. Bien sur, ça va pas aller avec l'imaginaire apocalyptique qui fait que ça devient viral.
Mais il y a d'autres imprécisions, comme le passage sur le CRA, je cite "le Cyber Resilience Act européen pourrait imposer aux mainteneurs bénévoles des obligations légales de répondre aux divulgations de vulnérabilités", ce qui est faux vu que primo, le CRA concerne les produits commerciaux (c'est une réglementation sur le fonctionnement du marché intérieur avant tout), donc exit la partie bénévole. En plus, les autorités de concurrence et/ou de sécurité ont sûrement des trucs plus importants que de s'occuper d'un codeur au Nebraska, pour reprendre l'exemple du xkcd. Je rappelle que seul les autorités administratives susnommés peuvent imposer des amendes, et qu'il n'y a aucun façon pour personne de porter plainte via le CRA. Le CRA n'est pas le RGPD, ça ne donne pas de droit, et encore moins de droit à ester en justice.
Je suis sur que je pourrais démonter plus l'article, mais je finir par dire qu'en copiant collant l'article dans GPTZero, l'outil indique que c'est probablement un article écrit par IA (j'imagine une traduction non relu de l'original en anglais). Alors on fait confiance ou pas à l'outil, mais c'est pas comme si l'éditeur du site avait une réputation irréprochable en France.
Et pour tout le reste, oui, y a des groupes qui ont les crocs, mais je ne pense pas que ça soit une question de géopolitique, ou en tout cas, pas récente. Par exemple, on pense que l'attaque sur axios vient de la Corée du Nord, et sauf erreur de ma part, Trump n'a rien fait à ce niveau.
Ensuite, encore une fois, je dit pas qu'il y a rien, je dit surtout qu'il y a une exagération pour les devs, dans le sens ou la majeur partie des projets non célèbres ne semblent pas crouler sous la charge (ou alors, je bosse sur des projets trop secure, mais j'ai des doutes). En fait, je dirait même que comme on a beaucoup plus de projets qu'il y a 20 ans, les emmerdes grimpent en même temps, mais juste parce qu'on a plus de projets.
Le cas de Linuxfr est différent, car c'est un site web, donc oui, tu as sans doute des tas d'attaques, tout comme je reçois parfois des emails pour me dire qu'il y a un souci sur jenkins ou gerrit car on peut y accéder depuis le web (ce qui est normal pour un projet libre, mais tout le monde ne semble pas le savoir).
[^] # Re: Le bon côté de la chose ?
Posté par Misc (site web personnel) . En réponse au lien Hackers breached the European Commission by poisoning the security tool it used to protect itself. Évalué à 7 (+4/-0).
Je pense que ce genre de comportement est largement surestimé (d'une part), et sans doute plus causé par soit des différences d'ordre culturel (insérer ici mon laius sur la différence de communication entre allemands/russes et américains, ou américains et japonais), soit par de l'incompétence parfois inévitable des employés de certaines boites (car bon, suffit d'une personne qui fasse une connerie et ça fait le tour du web libriste).
On a pas vraiment de stats sur le phénomène, juste des anecdotes mise en avant dans un environnement médiatique qui récompense la viralité et qui vont résonner avec certains schémas du libre, à savoir que le Codeur devrait être tout puissant, sans avoir de responsabilité vis à vis de personne.
[^] # Re: Hausse des prix ?
Posté par Misc (site web personnel) . En réponse à la dépêche Les USA légalisent un contrôle des routeurs fabriqués à l'étranger, quelles conséquences?. Évalué à 10 (+8/-0).
Suffit de coller le routeur sur un flingue et voila, plus d'interdiction.
[^] # Re: unix => uid
Posté par Misc (site web personnel) . En réponse au journal Les systèmes informatiques, le RGPD, la libre circulation et les droits des personnes trans. Évalué à 6 (+3/-0).
Alors les droits d’accès sont basés sur un uid, mais:
- les liens symboliques ne le sont pas
- l'appartenance à un groupe ne l'est pas (dans /etc/group, c'est le login pas l'uid)
- il y a parfois des chemins absolus (pas toujours) et des logins dans des configs
Exemple, sur ma machine avec un
grep -r misc ~/.config:./pmbootstrap_v3.cfg, avec un chemin pour le cache git dans mon home, sans $HOME
./libvirt/storage/gnome-boxes.xml avec un lien pour les images dans mon home, sans $HOME.
./google-chrome/Default/Preferences avec des tas de fichiers dans mon home sans $HOME
./gtk-3.0/bookmarks pareil, des chemins dans /home
Alors ça se corrige avec un lien, un bind-mount, ou autre, mais ç'est manuel et non documenté.
Par manuel je veux dire qu'il n'existe pas à ma connaissance de commande userrename qui fasse tout ça comme il faut. Il y a usermod qui ne fiat rien d'autre que changer le login et je sais même pas si ça ajuste les groupes.
Et par non documenté, je veux dire qu'il n'y a pas de listes des fichiers à regarder. C'est d'ailleurs comme ça qu'on s'est organisé au travail, on a commencé une liste géante de tout ce qu'il faut changer.
Plus gênant que les fichiers, il y a des cas ou le login est codé en dur dans un config de /etc, comme cups ou je retrouve mon login comme Owner dans /etc/cups, ou NetworkManager, qui utilise mon login pour les permissions de VPN.
Ou comme le pointe la page de man de usermod, les fichiers pour le spool de mail (/var/spool/mail/misc). Ou comme vu avec un rapide
find /var -name misc, il y a des trucs sur AccountsService (/var/lib/AccountsService/users/misc) et un truc de systemd (/var/lib/systemd/linger/misc).Pour être clair, je ne dit pas que c'est impossible, mais il y a des tas de petits bugs et un manque de standardisation (car usermod ne fait rien car changer le home, ça dépend quand même du setup en dessous) qui font que ç'est chiant et qu'il faut faire ça manuellement, qu'on peut pas être sur que rien ne casse.
Mais la ou c'est gênant, c'est que s'assurer que rien ne casse quand on change le login, c'est une responsabilité du responsable du traitement, car le RGPD dans son article 12, point 2 rappelle que le responsable a pour tache de faciliter l'exercice des droits, dont le droit de rectification.
Et clairement, le monde du libre n'a pas ce genre de choses sur son radar, ce qui aboutit à des refus de la part des responsables qui veulent pas se jeter dans l'inconnu.
Tiens, je pourrais faire un sondage Linuxfr sur le sujet.
[^] # Re: Donnée sensible
Posté par Misc (site web personnel) . En réponse au journal Les systèmes informatiques, le RGPD, la libre circulation et les droits des personnes trans. Évalué à 5 (+2/-0).
Ou la raison pratique que le français reste quand même super branlant quand tu essayes de ne pas genrer quelqu'un, en comparaison de l'anglais ou d'autres langues moins genrées. J'ai aucun souci à mettre du "they" partout quand je parle avec mes collègues anglophones, mais pour le français, je me retrouve à être constamment en vigilance sur les accords, etc.
Et au risque d'être vraiment polémique, j'ai tendance à penser que la féminisation des noms de métiers a entraîné de facto une fuite en avant qui fait qu'on se retrouve avec un besoin de neutralisation des noms de métiers (eg, créer un nouveau mot qui combine la forme masculine et féminine d'un mot). Comme la féminisation des noms de métiers est justifiée par un besoin de visibilisation, alors je ne serais pas étonné qu'à terme, un besoin de distinguer un mot pour désigner un métier neutre d'un mot pour désigner un métier pour une personne non binaire arrive, afin de visibiliser ces dernières.
C'est le débat sur la suppression du genre sur une carte d'identité, ou sur l'ajout d'une 3 eme option, mais au niveau de la langue.
[^] # Re: Pseudonymat
Posté par Misc (site web personnel) . En réponse au journal Les systèmes informatiques, le RGPD, la libre circulation et les droits des personnes trans. Évalué à 3 (+0/-0).
Et parfois, on a pas non plus le choix de garder l'ancienne identité (exemple, les services d'email ferment par exemple).
Bien sur, on pourrait utiliser notre ADN comme identifiant même si parfois, c'est pas suffisant pour identifier quelqu'un et c'est un souci.
[^] # Re: Réflexions en vrac
Posté par Misc (site web personnel) . En réponse au journal Les systèmes informatiques, le RGPD, la libre circulation et les droits des personnes trans. Évalué à 3 (+0/-0).
Alors, c'est en effet la théorie avec des protocoles de SSO récents comme OIDC ou SAML. Dans SAML, le NameID est censé être opaque et stable. Ça peut être une chaîne aléatoire, ou pas.
Pareil pour OIDC, sub est censé être stable et opaque. Et ça peut être une chaine aléatoire, ou pas.
En pratique, ipsilon, le serveur SAML/OIDC utilisé par Fedora, utilise le login pour ça. Donc beaucoup d'applis Fedora utilisent indirectement le login comme clé primaire, parce qu'un choix a été fait à la config il y a 12 ans.
[^] # Re: Réflexions en vrac
Posté par Misc (site web personnel) . En réponse au journal Les systèmes informatiques, le RGPD, la libre circulation et les droits des personnes trans. Évalué à 5 (+2/-0).
Mais ça implique que la photo d'identité corresponde à la personne tel qu'elle se présente, et que la civilité utilisée corresponde à la carte d'identité.
Je me souviens de chiffres de l'ordre de 1 ou 2 ans de lag entre le début du process et l'obtention des papiers, car pour avoir un changement, tu dois d'abord vivre avec ton nouveau genre et donner des témoignages avant de demander un changement.
[^] # Re: Multiplication de travaux à travers la planète
Posté par Misc (site web personnel) . En réponse au lien L’interdiction des réseaux sociaux au moins de 15 ans en débat au Sénat. Évalué à 3 (+1/-1).
En même temps, ça s'explique aussi vu que le déploiement des réseaux sociaux addictifs s'est fait en même temps sur une partie de la planète. On peut quand même regarder la chronologie entre Tiktok qui est mis sur le marché il y a ~10 ans et l'arrivée des études quelques années après.
De plus, les sondages (encore vu ce matin ) montre qu'il y a quand même un sujet.
Ensuite, la question, c'est pas de savoir si les réseaux sociaux sont addictifs (le consensus semble la, sauf pour les avocats de Meta), ni de savoir si l'addiction en question pose un probléme, mais comment réguler en pratique sans que ça empiète sur d'autres droits fondamentaux.
Assez clairement, ne rien faire ne marche pas. Le contrôle parental tel qu'il est en place depuis quelques années non plus (pas plus que compter sur le volontariat des parents). Il y a sans doute d'autres choses à proposer, mais si c'est le cas, personne ne semble le dire.
[^] # Re: Non libre
Posté par Misc (site web personnel) . En réponse au journal OnlyOffice vs Euro-Office : une faille empêchant les forks dans AGPLv3 ?. Évalué à 5 (+2/-0).
Ce qui va sans doute aussi leur poser des soucis vis à vis du CRA (vu que si tu fais pas du logiciel libre, alors tu as des procédures en plus), et c'est donc une loi qui va forcément attirer l'attention des autorités de gestion de la concurrence et de l'Europe.
[^] # Re: Nintendo
Posté par Misc (site web personnel) . En réponse au journal OnlyOffice vs Euro-Office : une faille empêchant les forks dans AGPLv3 ?. Évalué à 5 (+2/-0).
Ce qui est assez proche de ce que Sega a fait sur la Genesis, à la différence que Sega a perdu son procès face à Accolade en 1992.
Même si il ne s'agit pas de copyright pour Sega mais de trademark, l'idée était sensiblement la même (mais je ne sais pas si le magouille de Nintendo pour la Game Boy a été examiné par une cour, au contraire de la protection de la NES).
[^] # Re: À vérifier
Posté par Misc (site web personnel) . En réponse au lien AI data centres can warm surrounding areas by up to 9.1°C. Évalué à 5 (+2/-0).
Le blog ou l'auteur dit "j'ai envoyé ça sur claude" me laisser songeur ceci dit.
Clairement, je pense que les médias vont prendre le pire chiffre et le décontextualiser, mais à coté de ça, la conso des DC est comptés en gigawatt, et les gigawatts vont bien quelque part quand les ordis font les calculs. Pour avoir été dans un DC avec une panne de la clim il y a 25 ans, je peux en effet accepter que ça réchauffe autour du DC (tout comme l'usine à coté de mon premier boulot fait qu'il y a eu de la neige juste sur une partie de la ville à cause des rejets d'eau dans l’atmosphère)
Maintenant, sans doute pas à des kilomètres, sans doute pas sur 340 millions de personnes.
[^] # Re: "quand va-t-il prendre fin ?"
Posté par Misc (site web personnel) . En réponse au lien "Bonjour, je suis Marie, partenaire d’Enedis…", pourquoi le démarchage téléphonique par IA se multiplie et quand va-t-il prendre fin ?. Évalué à 4 (+3/-2). Dernière modification le 30 mars 2026 à 18:56.
Tu confonds le fait qu'un chose soit couvert par un domaine, à savoir la liberté d'expression, et le fait que ça soit légal.
Dire qu'il y a eu 0 mort à Auschwitz, c'est une question de liberté d'expression, il y a eu assez de procès sur le sujet (Robert Faurisson pour ne citer que le premier qui vient en tête). Mais c'est pas parce que c'est une question de liberté d'expression que la réponse peut pas être "on autorise pas ça", vu que c'est exactement le cas en France et en Europe (au contraire des USAs).
[^] # Re: "quand va-t-il prendre fin ?"
Posté par Misc (site web personnel) . En réponse au lien "Bonjour, je suis Marie, partenaire d’Enedis…", pourquoi le démarchage téléphonique par IA se multiplie et quand va-t-il prendre fin ?. Évalué à 4 (+1/-0).
De la même façon que pour le smtp, on fait confiance au serveur. Moi, j'ai découvert que dans la doc du bureau, on avait mis un range de 100 numéros contigus alors que le contrat avec le telco indiquait 2 ranges de 50 séparé. Quand j'ai mis le 50eme numéro, le commercial qui a eu le téléphone fixe a eu des soucis, et j'ai découvert le pot aux roses assez vite. Mais grosso modo, le PABX est celui qui gère le numéro, et on part du principe que sauf erreur, le monde des telcos étant en petit groupe, c'était bon.
Pour le smtp, on a du mettre SPF et DMARC et tout ça pour lutter contre le spam. Mais on a pas mis ça au début parce qu'on se faisait confiance, et parce que se rajouter de la paperasse ne plaisait sans doute à personne.
Je suppose que pour les telcos, c'est pareil, mais en plus lourd (vu que tu mets pas à jour un pabx aussi facilement qu'un serveur smtp, et que les standards sont sans doute moins souple). Je suppose aussi qu'il y a du y avoir un souci au moment ou la VOIP a commencé à décoller et le marché à se libéraliser.
[^] # Re: Dommage
Posté par Misc (site web personnel) . En réponse au lien Fin de Wikinews confirmée. Évalué à 6 (+3/-0).
Ce qui est quand même drôle, c'est qu'assez clairement, il y a plein de personnes qui veulent écrire sur Wikipedia en dehors des contraintes de Wikipedia (pour ça, j'ai tendance à dire d'aller faire des sites web), mais aussi plein de gens qui veulent faire des articles sur l'actualité sans attendre les sources d'analyses secondaires et pour qui Wikinews serait parfait.
Mais ça n'a jamais été poussé en avant.
[^] # Re: "quand va-t-il prendre fin ?"
Posté par Misc (site web personnel) . En réponse au lien "Bonjour, je suis Marie, partenaire d’Enedis…", pourquoi le démarchage téléphonique par IA se multiplie et quand va-t-il prendre fin ?. Évalué à 5 (+2/-0).
La liberté d'expression en France (et en dehors des textes internationaux et de la constitution), c'est via la Loi du 29 juillet 1881 sur la liberté de la presse. La presse, c'est quand même assez souvent des entreprises, donc il me semble que ça fait quand même plus de 140 ans que ça a un rapport avec elles.
Ensuite, je dit pas que ça doit être intouchable (c'est pas les USA), mais interdire indistinctement tout un pan entier d'expression comme suggéré par le commentaire auquel je réponds me semble assez clairement à contre courant des textes internationaux et de la jurisprudence (comme on peut le voir dans le corpus mis à disposition par l'ECHR ).
Pour avoir des exceptions larges à un droit fondamental, il faut avoir des très bonnes raisons, comme un autre droit fondamental.
Par exemple, pendant la pandémie il y a 6 ans, la raison évoqué pour censurer les propos des militants antivaxx, c'était la question de la santé publique pendant une crise (article 2 de la CEDH). Quand Zemmour se fait condamner, c'est par rapport à la lutte contre les discriminations (article 14 de la CEDH). Et même la, c'est des impacts minimaux. Zemmour a quand même eu le temps de dire son truc, il a pas fini en tole, l'amende était pas non plus un souci, il a pas été interdit de s'exprimer pour toujours, ni rien de drastique.
Mais comme il n'y pas vraiment de droit fondamental à ne pas recevoir de coup de fil, c'est chaud de dire "faudrait interdire tout ça". Il n'y a pas de droit à la tranquillité en soi, mais il y a sans doute moyen de construire des choses à partir des questions de vie privée (article 8 de la CEDH), ce qui est exactement ce qui est expliqué dans l'article avec le consentement explicite. L'article parle aussi d'interdire les appels sur certains sujets, et justement la restriction est limité, pour une raison de lutte contre la fraude (article 1 de la CEDH). Et pas juste parce que ça fait chier.
Ensuite, oui, une communication commerciale va être moins protégé qu'un discours politique ou que du contenu artistique, mais moins, ça veut pas dire zéro. Et les juges autour du monde qui se penchent sur le sujet de la liberté d'expression s'accordent aussi pour dire que c'est pas parce qu'on aime pas ce qui est dit que ça doit être interdit (enfin, ceux qui sont en faveur de la liberté d'expression, parce qu'il y a aussi tout un bail sur les lois sur le blasphème, l'interdiction d'insulter un roi comme en Thailande, etc).
[^] # Re: "quand va-t-il prendre fin ?"
Posté par Misc (site web personnel) . En réponse au lien "Bonjour, je suis Marie, partenaire d’Enedis…", pourquoi le démarchage téléphonique par IA se multiplie et quand va-t-il prendre fin ?. Évalué à 4 (+1/-0).
Alors j'ai pas Saracroche (car j'ai un tel trop vieux), et de ce que je constante, la grande majorité des appels que je reçois et qui sont bloqué viennent des plages prévus pour. J'ai eu 2/3 fois des cas qui sont passés à travers, mais pas depuis longtemps (genre 1 par an).
Alors c'est vrai que pendant longtemps, il était assez trivial d'usurper un numéro (je l'ai fait par erreur à cause d'une mauvaise doc il y a 15 ans), mais je pense que depuis, le monde des telcos a commencé a verrouiller ça un peu plus.
[^] # Re: simple
Posté par Misc (site web personnel) . En réponse au lien "Bonjour, je suis Marie, partenaire d’Enedis…", pourquoi le démarchage téléphonique par IA se multiplie et quand va-t-il prendre fin ?. Évalué à 10 (+8/-0).
Au cas ou il s'agit d'une urgence. Il y a aussi des gens qui utilisent leur téléphone pour des raisons professionnelles, et ou tu peux pas exactement savoir qui va t'appeler à l'avance, et ou ça peut te coûter des clients de ne pas répondre.
[^] # Re: "quand va-t-il prendre fin ?"
Posté par Misc (site web personnel) . En réponse au lien "Bonjour, je suis Marie, partenaire d’Enedis…", pourquoi le démarchage téléphonique par IA se multiplie et quand va-t-il prendre fin ?. Évalué à 8 (+5/-0).
Parce que ça rentre aussi dans la liberté d'expression, ce qui requiert des mesures minimales pour ne pas interférer avec elle.
Mais pour éviter le démarchage, il y a en France l'obligation de passer par des numéros identifiés, et tu as des applications comme Saracroche qui font le filtrage sur les tels mobiles via la liste de l'ACREP (et d'autre) (une appli libre au passage).
[^] # Re: Quid du code?
Posté par Misc (site web personnel) . En réponse au lien Proposition de loi relative à l'instauration d'une présomption d'exploitation des contenus culturels par les fournisseurs d'intelligence artificielle. Évalué à 3 (+0/-0).
Moi, oui, vu que je vais en parler lors des JDLLs dans 2 mois. Par contre, j'ai pas le temps d'écrire un commentaire sur ça (en plus, faut bien que je donne une raison de remplir la salle pour rentabiliser la lecture de l'équivalent de 2 ou 3 livres sur la question).
Pour une GPL v4 (ou plutôt un truc dans l'esprit d'une évolution de la GPL), Richard Fontana en parle dans une présentation de février et travaille aussi, je crois, sur le projet Copyleft.next avec d'autres.