Par exemple, dans le cadre du taf, on a voulu démarrer un contrat avec la boite fondé par les fondateurs de Discourse, pour soutenir le projet upstream et nous débarrasser de la question des mises à jours.
On a découvert que notre département juridique demande à avoir des clauses spécifiques dans le contrat, la boite a dit "oui, mais pas pour un contrat mineur" (comprendre moins de XX milliers de dollars US par an). Donc les petits fournisseurs sont pas équipés pour ce genre de choses (on a avait eu le cas avec un dev freelance qui propose de l'hebergement, et à qui la boite voulait demander un contrat d'assurance à la hauteur de 1 million d'US$).
On a aussi hérité d'un compte pour un hébergement wordpress (pris par une collégue avant son départ sans prévenir personne). pour mettre ça en ordre, j'ai du faire le relais entre notre équipe sécu et le support pour qu'il laisse faire un audit de sécurité. La gestion du RGPD et autres lois de ce genre font qu'on doit demander des trucs spécifiques sur la politique de rétention des logs, sur leur backups, etc, etc.
Les grosses boites ont des contraintes dont les plus petites n'ont que faire. Et c'est pas uniquement les USAs, vu que j'ai aussi vu ça tout du long quand j'avais plus de contact avec l'industrie hexagonale. J'ai vu des ministéres négocier les contrats en changeant le texte pendant 3 mois pendant mon stage. J'ai vu des grosses administrations passer par une boite de SSII qui est venu voir la startup ou je bossais pour de la presta (car la SSII avait fait le taf pour le contrat, mais n'avais pas les compétences spécifiques en interne sur ce logiciel).
Mais ça, la plupart des admins ne le voient pas, vu que de mon expérience, c'est pas leur taf (alors que mon chef m'a délégué ça, donc je suis joie…).
C'est comme les devs qui débarquent et ne pigent pas qu'il n'y a pas un quota de 1T par personne, parce qu'un disque dur, ça coûte pas cher à la FNAC (enfin, ce qu'on m'a dit, c'était newegg, mais j'adapte l'histoire). Ils ne voient ni les backups (x2 la taille), ni le RAID (x2 aussi), ni le coût en infra réseau/cpu pour les backups, ni les limites en terme de serveur pour filer 1T pour tout le monde.
C'est un argument assez proche de celui de John D'Emilio, un historien américain, sur les conditions de l'émergence d'une identité gay (et donc, par extension, le militantisme et les droits de la communauté LGBTQ). Il parle de son argument dans une interview de 2020, et sans doute dans quelques bouquins.
Le nœud de la discussion, c'est quantifier le rôle de chaque événements, sachant qu'il s'agit de choses assez peu comparables, et c'est aussi une comparaison politiquement chargé.
Les cabinets de consultants, une moitié de leur boulot, c'est d'être fusible. SI un truc foire, c'est la faute du cabinet. Si un truc marche, c'est grace à toi.
L'autre moitié, c'est de contourner la bureaucratie interne de leur client. Dépenser de l'argent pour un cabinet est bien plus simple qu'embaucher (vu qu'il est plus simple d’arrêter la mission), et c'est aussi censé avoir moins (moins, pas 0) de politique interne. Le cabinet va suivre les ordres du client, bien sur, mais ne va pas avoir autant de considération de politique interne long terme comme des personnes en interne, ni avoir des histoires du à un probléme il y a 5 ans avec un autre département, ce genre de truc.
Une fois que tu piges ce que ça apporte, ça devient assez clair que le cabinet se contente hélas de répondre à une demande (et pour être clair, pas juste le gouvernement, mais aussi n'importe quelle structure assez grosse, une multinationale va aussi avoir les mêmes dynamiques, la différence étant qu'on s'en fout beaucoup par la magie du capitalisme).
Tu as quand même un intermédiaire (l'admin du serveur) qui décide ou pas de répliquer les groupes.
Et je pense que tu as aussi la question de la gouvernance de la hiérarchie, à savoir qui décide que les discussions sur, au pif, Android vont sur fr.android, ou fr.phones.android ou fr.phone.android.
Oui, perso, j'attends plus de la migration hors reddit vers kbin/lemmy que de mastodon et co.
Avec le modèle de mastodon, chaque personne publie son contenu et réponds et entretient un fil via des boost, et chaque personne va suivre les autres. Ça force l'organisation en instances afin d'avoir un fil co-construit autour des personnes.
Dans le modèle Reddit/kbin/lemmy, l'instance est organisé en communauté, donc le fil de publication de la communauté est organisé par un groupe de modérateur autour d'un sujet, et ensuite, chaque post a son fil de discussion.
Ça me parait correspondre plus à ce que je voudrait personellement, et je pense toi aussi.
Ensuite, kbin et lemmy ne semble pas aussi mature que mastodon pour le moment.
Ça ne fonctionne pas, parce que ça va à l’encontre exact de l’instance personnelle.
Ouais, mais ça ne marche pas parce que tu as une instance perso avant tout.
Par contre, pour quelqu'un qui veut ouvrir l'instance (exemple quelqu'un dans la position de mastodon.art ou infosec.exchange, qui sont des instances thématiques ), ça aurait du sens. Si on considère chaque instance comme un réseau autonome (mais connecté), ça passe.
Mais fondamentalement, le souci n'est pas technique. Le souci, c'est que quelqu'un qui veut une instance perso ne veut sans doute pas non plus qu'on lui impose des choses.
Il y a eu des comptes qui ont ralés quand l'appli mastodon sur android a proposé mastodon.social comme choix, alors que ça résout un probléme à savoir "comment choisir l'instance".
J'imagine le bruit si jamais ton instance va chercher dans un endroit centralisé (gasp) des infos d'autres instances pour remplir la timeline. Il suffit de voir le bruit autour de matrix pour ça.
De même, j'imagine le bordel aussi si un logiciel va intégrer une forme de recherche (entre la gamification possible pour une audience, et le besoin de modérer si ça devient un service centralisé).
Donc pour moi, le cas "serveur perso", c'est un cas ou on peut supposer que l'admin sait ce qu'il fait. Mais c'est un peu pourri, parce que même si tu sais ce que tu fais, ça reste trop compliqué.
Je me retrouve donc condamné, par conception, à avoir
Ça pourrait être pire, tu pourrait découvrir que tu ne peux pas filtrer sur le serveur quand tu t'apercois que tu suis quelqu'un qui parle de gouvernance du libre, mais aussi beaucoup de l'équipe de foot féminine de son pays en postant sur ça les soirs de match.
Alors, je pense qu'il faut modérer un peu les chiffres des abonnés, car avoir des abonnés, ça n'implique pas d'avoir de la visibilité en pratique.
Ensuite bien sur, vu les chiffres que tu donnes, Mastodon ne va pas être premier, loin de la, mais vu que l'algo de Twitter est la pour aussi filtrer pour les gens qui s'abonne à trop de truc, il y a aussi ce facteur.
Un point plus intéressant, c'est que Mastodon n'a pas d'outil pour évaluer le nombre de personnes qui a vu ton toot, et risque sans doute de ne pas en avoir vu le zeitgeist du fedivers.
Je veux pas relancer une discussion sur les métriques, etc, mais ça me semble être quelque chose qui va manquer à terme.
Parce que le problème n’est pas « des algorithmes poussant des contenus sur des bases inconnues. » mais l’absence totale de contenus poussés.
Yep. Sur HN, un commentaire parlait de l'utilisation d'invitation pour bootstraper un réseau, et ça serait à mon avis une idée à essayer (proposer d'inviter des gens sur ton serveur, en abonnant au pif à 3 personnes, ou des comptes volontaires + la personne qui donne l'invite).
Le numéro de version public ne va pas changer grand chose quand la faille est public, quelqu'un va tenter et basta. Savoir ce qui tourne est important si tu veux rester discret, mais la, ça va sans doute pas être le cas. J'ai encore vu ce matin qu'on a tenter un exploit wordpress sur un site statique que je gère.
Pour CVE-2023-36461, même avec 7.5, ça va juste bloquer le serveur. C'est chiant, mais je m'affolerais pas.
CVE-2023-36459, c'est une xss et qui semble impliquer un click de quelqu'un (genre, soit avoir une personne qui retoot le message, soit quelqu'un qui fait le site web et le poste). C'est chiant aussi, mais je pense que les divers navigateurs bloquent aussi pas mal de xss de nos jours (je crois). Et surtout, ça laisse des traces.
Le dernier CVE-2023-36460, je pense que ça nécessite aussi une faille dans ImageMagick en plus, non ? Je ne crois pas qu'on puisse avoir de l'execution de code directement en lancant ImageMagick.
Du coup, faut mettre à jour par bonne pratique, mais est ce que j'ai loupé des choses dans les failles annoncées ?
c'est pas tous, mais malheureusement ils sont trop nombreux à fermer les yeux sur les agissement délétère de leur collègue; et en cela ils sont complice.
(même si je pense que si l'EEOC avait eu les moyens de faire son taf au lieu de se faire vider par Reagan, ça rentrerais dans "discrimination raciste" aux USA sans avoir besoin de faire une loi à part)
Il faut appliquer des peines d'incarcération, même courtes (15 jours), car elles ont un impact psychologique chez pas mal de jeunes tout de même, et parce que ça protège la société de ces individus violents pendant un temps.
Ouais, alors le souci avec ce plan, c'est qu'on a aussi signé divers conventions sur les droits de l'enfance depuis 30 ans (1989 pour la CIDE), comme le droit à l'éducation, etc.
Et aussi, comme je le dit sans arrêt, que la privation de liberté doit être une exception, la France a aussi signé des traités sur la liberté, tout ça (article 5 de la CSDHLF signé en 1957).
Même la partie "passer vite fait devant un juge" peut être un souci suivant la façon dont c'est fait, car l'article 6 (para 3.b) dit "disposer du temps et des facilités nécessaires à la préparation de sa défense".
Alors je pense en effet que passer rapidement, au moins au début, c'est important, mais il faut que le jugement se fasse plus tard, car il y a besoin de préparer une défense.
Donc, à rebours de l'idéologie judiciaire, c'est un peu plus à rebours des traités internationaux signés sur les droits humains.
Mais c'est un scénario quand même assez théorique. En pratique, la grande majorité des personnes sur internet n'ont ni une IP fixe, ni même une IP dédié pour leur connexion propre.
Que je sache, il n'y a en France que Free qui donne ça par défaut dans les gros opérateurs grand public, et je pense que c'est aussi rare ailleurs dans le monde. Free avait ~10% de PdM d'après des rapides recherches en 2019, et ne donne plus par défaut des IP fixes et routables, si je me souviens bien.
Sur tout ça, il faut rajouter tout les mobiles avec du CGNat ou l'IP est massivement partagé et recyclé.
Et au dessus, il faut rajouter les connexions pros qui vont souvent être partagé aussi, et ce qui va réduire pas mal ce qu'on peut suivre.
; suffit juste d'en trouver un auquel on a accès au jabber/mail pour retrouver la personne y compris sur un forum où il n'aurait pas laissé trainé cet info
Ça fait un gros "suffit juste". Mais mon point n'est pas que ça n'arrive pas.
J'ai une IP fixe (avec une connec pro) à mon domicile, et un site web sur l'IP, je vois bien comment ça peut être utilisé pour me retrouver. J'ai aussi donné divers présentations sur le sujet au cours des années (par exemple, au FOSDEM), donc je sais comment ça marche.
Par contre, je vois bien aussi que je suis l'exception avant tout, justement parce que j'ai pu voir que seulement avec l'IP, tu peux pas faire grand chose la plupart du temps.
Et surtout, je pense que le point important, c'est pas tant ce qui compte comme PII ou pas devant la loi avec des cas hypothétiques et des "si", mais le résultat en pratique avec des choses qui arrivent hors des cas hypothétiques, surtout avec des choses qu'on ne pense pas être des PIIs.
Pour rester sur les communs numériques, on peut regarder le cas de Commons ou les membres de la communauté postent des photos d'endroits non ouvert au public, avec des tas de metadonnées (marque du tel, date et heure, coordonnées GPS). Ça peut leaker des infos pour retrouver l'identité des personnes.
Par exemple, un certain groupe de personnes avec un compte commun unique a défrayé la chronique en novembre 2019 sur fr.wp. Personne n'a publiquement annoncé avoir trouvé qui était derrière. Mais peut être que personne n'a noté que le même compte a uploadé des photos de l'intérieur d'un bâtiment bien connu du Faubourg-Saint-Honoré, et que ce bâtiment n'est pas exactement ouvert au public.
Pour être clair, je ne dit pas que c'est l'actuel résident du dit bâtiment, mais ça rentre quand même dans une catégorie de fuite d'information que le dit groupe aurait sans doute voulu garder privé, et si on combine avec plus d'analyse, il y a moyen de faire des analyses assez éclairés sur qui était dans le groupe.
Ou est la PII dans tout ça d'un point de vue légal ? Juste le compte affiché pour le droit d'auteur, compte qui ne donne aucune info.
D'où vient le souci ? Des informations autres couplés avec l'identifiant "personnel" (je mets entre guillemets, car si l'identifiant est partagé entre 4 ou 5 personnes comme dans mon exemple, c'est plus vraiment personnel..).
Autre exemple, il y a OSM. Beaucoup de gens vont ajouter des infos à coté de chez eux, car c'est le chemin de moindre résistance couplé à l'obligation d'avoir des infos venant du terrain.
Je suis convaincu qu'à partir de mon compte OSM et des dates/lieux de modif (qui sont des infos publiques), on peut retrouver mon identité vu que ça va coller assez précisément avec les dates de confs ou j'ai participé (ou plus précisément, la ou j'ai mangé). À partir de la, on va déduire où j'ai passé mes vacances vu que je rajoute les infos sur les zones mal remplis, ou via les batchs d'upload de StreetComplete.
Et c'est pareil que dans mon premier exemple, le seul PII est le compte, affiché pour divers raisons, et c'est en couplant avec le reste qu'il y a un souci. Le compte seul sert à rien, les infos servent à rien seules, c'est la combi des 2 et l'usage dans le temps qui posent soucis.
Et c'est mon point, c'est pas que les IPs ne sont pas des PIIs possibles. C'est qu'on fantasme ce qu'on peut faire avec les IPs en oubliant que tout ce qu'on peut faire, on peut le faire aussi facilement avec l'identifiant unique qu'est un compte.
Ton exemple dit "si les IPs sont affichés, on peut faire X". En fait, on peut déjà le faire avec les comptes, vu que je pense que la majorité a tendance à reprendre le même login partout (ou font des liens entre les comptes, par exemple, en postant du un réseau social vers un autre, etc)
Par exemple, pour OSM, si on affiche l'IP d'upload à la place de mon compte pour mes modifs, il va être quasiment impossible de me traquer à travers le monde vu que j'aurais une IP différente à chaque fois.
De même pour Commons, si j'uploade des photos d'un bunker secret sur mon île volcanique sans compte, puis 1 mois plus un selfie de moi avec Kim Jong Un devant la Taedong, faire la corrélation entre les 2 est quasiment impossible, alors que ça serait trivial si j'utilise un compte comme recommandé pour la protection de la vie privée.
(et faut vraiment que je me trouve une vie plutôt que d'écrire des pâtés sur Linuxfr)
Non, je ne te visait pas directement. Primo, tu as donné une source, ensuite, tu as dit que ce n'est pas clair. J'ai vu beaucoup plus de monde qui ont pris moins de précaution que toi, avec plus d'audience. Une personne se plante sur Linuxfr, ça arrive (ça m'arrive aussi, mais personne ne le voit).
25 personnes qui se plantent en une journée, ça devient un fait social.
Ceci dit, la protection de la vie privée va prochainement devenir un de mes objets d'étude à la fac, et l'idée que "tout le monde s'en tape" me chiffonne assez.
Alors, quand je dit tout le monde, je veux pas dire qu'il y a personne qui s'en préoccupe. Mais le souci est aussi que "la vie privée" est un fourre tout qui est agité comme un joker, et "se préoccuper de la vie privée" ne veut rien dire.
Si on se base sur les auto déclarations, beaucoup de monde va dire se préoccuper de sa vie privée. Par contre, je suis sur qu'en pratique, pas grand monde n'arrive à détailler. Un exemple assez frappant, c'est la question des adresses IP sur Wikipedia.
J'ai vu des gens qui disent qu'il faut ouvrir un compte pour protéger ta vie privée, car visiblement, l'IP est perçu comme un token magique qui mettrait cette dernière en danger. La réalité est bien plus complexe.
Primo, ouvrir un compte implique de donner un email. Il y a assez souvent des gens qui leakent leur email, alors que de manière évidente, personne ne peut leaker ce que tu ne donnes pas. Et un email, y a parfois ton nom/prénom, donc l'ouverture de compte entraîne, statistiquement, des leaks.
Ensuite, les IPs sont considérés comme des infos personnels parce que la police peut les utiliser pour retrouver quelqu'un. Le quidam moyen qui connaît le réseau ne va pas en faire grand chose, car il n'a pas le pouvoir de dire à un FAI "file les infos". Il y a parfois des exceptions, mais c'est très rare.
Et donc, pour moi, ça montre que la recommandation n'est pas basé sur une analyse des soucis qui arrivent en pratique (car finalement, les flics qui demandent des trucs à la WMF? c'est assez rare par rapport à la totalité , mais sur une idée déformé de ce qui pourrait arriver.
c'est sans commune mesure avec les violations massives qui ont fait la fortune de Meta et qui ont motivé l'élaboration du RGPD.
Je ne suis pas vraiment sur de ça. Le RGPD a été proposé en 2012 (cf Wikipedia en anglais), et les justifications donnés sont la rénovation des lois existantes datant de 1995 et le fait que l'article 16 du TFEU modifié par le traité de Lisbon (2008) parle explicitement de la protection des données. L'article en question a été renuméroté depuis l'article 286 du TEC qui date de la consolidation d'autres traités par le traité d'Amsterdam (1997).
Et ça, c'est sans rentrer dans les détails historique sur l'article 8 de l'ECHR, car sinon, on peut remonter aux années 80 (quand Mark Zuckerberg avait moins de 10 ans).
Je ne doute pas que Facebook a joué un rôle dans la popularité du RGPD, mais le texte a des racines bien antérieurs à la création de Facebook.
Et le plus gros scandale concernant Facebook, c'est celui de Cambridge Analytica. Il est devenu public en janvier 2018, le RGPD a été voté en avril 2016, avec application en mai 2018. Le timing est en effet pas terrible pour FB, mais on peut pas dire que ça soit ce scandale qui a causé la loi (même si je comprends la confusion).
L'affaire de Kolektiva est un vrai scandale mais je ne trouve pas aberrant qu'elle fasse moins de bruit (elle en a quand même fait pas mal dans mon cercle) que l'arrivée de Threads qui concerne beaucoup plus de monde
Ce n'est pas le manque de bruit qui m'étonne. C'est que dans un cas, on a une violation trivialement démontrable du RGPD via la non notification, et dans l'autre, il y a rien (ou en tout cas, personne n'a montré qu'il y a violation du RGPD aujourd'hui).
C'est comme mon exemple de WP, c'est une vision à mon sens erroné de la vie privée, avec FB qui sert de méchant caricatural et détaché de la réalité sur lequel certains projettent leurs anxiétés.
Ça ne me parait pas anormal qu'il y ait un principe de proportionnalité quand on discute de ces choses-là.
Un principe de proportionnalité basé sur quoi ?
Car autant, il y a en effet sans doute des différences entre une entreprise (FB) et un particulier (Musk), autant entre 2 particuliers, il ne devrait pas en avoir (un truc sur libre et egaux en droit, tout ça).
Il y a bien des exceptions vis à vis du respect de la vie privé car aucun droit n'est vraiment absolu et il y a souvent une balance à avoir. Par exemple, il y a tout un concept autour des personnalités publiques, lié aux questions de liberté de la presse (par exemple), et je pourrait me laisser convaincre que Elon Musk rentre dans ce genre de catégorie contrairement à une personne trans lambda.
Mais pour enchaîner sur ton exemple, le doxxing de Keffals arrivé l'année dernière concerne aussi une personnalité publique. Elle a une activité dans les médias (pour peu qu'on considère Twitch comme un média), mais aussi via sa courte carrière politique au Canada.
Je ne dit pas que c'est une raison pour ne pas protéger sa vie privée, mais je ne trouve pas de raison qui s'appliquerait à elle et pas à Elon Musk, sauf des arguments à base de "l'une est pauvre, l'autre est super riche, donc c'est ok, il a moins de droit", ou "Elon, ça rime avec con, donc c'est bon" (surtout que ça rime pas).
Il y a plein de questions à se poser, comme savoir si une info publique (la position d'un jet) couplé avec une information privé (son propriétaire) devient publique ou reste privé. Ou savoir si une demande de ne pas publier l'info est un refus de consentement, et ce que ça implique quand aux principes du RGPD (et je précise, les principes, car légalement, il n'y a aucune raison que ça s'applique, vu que c'est 2 citoyens américains).
Mais j'ai pas le sentiment qu'il y a eu un débat sur ça, et c'est pour moi la preuve que les discours sur la vie privée s'évaporent assez vite quand on est face à quelqu'un qu'on aime pas.
; et qu'accuser Meta de mal modérer les "human rights abuse" sur leurs services, c'est un peu léger comme violation de l'article 6 de la CEDH.
Un peu léger sans doute, mais la présomption d'innocence, c'est pas juste quand ça nous arrange.
Surtout que ce que j'ai vu, c'est pas des accusations neutres et non inflammatoires comme "avoir mal modéré dans un pays lointain les abus", car ça serait raisonnable (même si la modération en soit, ça pose des questions dans tout les cas, liberté d'expression, etc). Ce que j'ai vu, c'est des messages comme, je cite, "has been proven to support or at least turn a blind eye to genocide", ou "Conspired to manipulate a presidential election".
C'est quand même un peu plus grave et plus direct que ta formule, et c'est pas loin de "Mark Zuckerberg est responsable d'un génocide", qui aurait le bon goût de retirer la question de la personnalité juridique dans la discussion.
Mais ça me paraît tout de même justifié.
Je pense que ça dépend pourquoi en fait.
Quand c'est basé sur l'histoire de XMPP vu par Ploum, ça me parait non justifié (cf la timeline ici).
Quand c'est basé sur une idée fausse du fedivers et de ce que Meta va pouvoir faire, ça me parait non justifié.
Parce que fondamentalement, le fedivers s'appuie sur un protocole qui s'appelle ActivityPub, pas ActivityPriv.
Et en fait, le souci, c'est qu'on a dit à tout le monde que c'est une alternative à Twitter/Facebook et aux réseaux commerciaux.
Comme ces derniers sont présentés comme problématiques vis à vis de la vie privée (sans dire pourquoi ni comment), alors comme le fedivers n'est pas comme eux, on suppose que c'est bon. Par exemple, la page de joinmastodon dit "That means your data and your time are yours and yours alone.". On insiste bien sur le contrôle, et je pense que dans l'esprit d'une grande partie des gens, c'est synonyme de vie privée.
Sauf que en pratique, non.
Le plus drôle, c'est que dans X années, quand Threads va se casser la gueule parce que Y raisons, le fedivers va se congratuler d'avoir participer en bloquant, un peu comme dans When Prophecy Fails…
D'autres pays ont décolonisé, Belgique, Grande-Bretagne, Italie
Mais tous n'ont pas eu un empire colonial de la même taille, donc la comparaison est un rapide. Si je me souviens bien, l'Italie est arrivé dernière à ce petit jeu, et tandis que toute les semaines, il y a un pays qui fête son indépendance par au Royaume Uni.
Ensuite oui, il y a sans doute d'autres causes historiques, même si dans le cas d'une comparaison France / USA, je ne pense pas que ça soit un axe de comparaison très pertinent.
La question posé à la fin du journal n'est pas "d’où vient la violence en France", même si c'est une bonne question à se poser, mais "pourquoi il n'y a pas les mêmes réactions sur 2 pays".
Dans les 2 cas, il y a eu une histoire avec l'esclavage (voir la même au début).
La différence, c'est que c'est la société française qui a organisé en partie la déportation, et la société des USA l'exploitation (en grande partie, car oui, j'ai pas oublié qu'on s'est mis plein les poches avec la canne à sucre dans les Caraïbes parmi tant d'autres choses).
Du point de vue de la déshumanisation et de ses effets sur la culture, ça me semble équivalent, dans le sens ou il y a eu les mêmes justifications, et ça s'est passé en même temps. La seule différence notable, c'est ce qui est arrivé après la fin du commerce d'esclave. Comme en France, on a pas amener grand monde en métropole, c'était vachement plus facile de fermer les yeux.
Aux USA, avec une population d'esclave estimé à 4 millions sur un total de 31 millions en 1860, c'était difficile de faire l'autruche.
Donc quelque part, je pense que ça rejoint mon point sur la continuité des luttes.
Techniquement, c'est peut-être une extension d'Instagram, mais la description de l'app officielle, c'est sûrement aussi pour éviter d'être accusé d'être une contrefaçon de Twitter
Maintenant, on peut se connecter à tout un tas de service avec un compte Google, et renoncer à un de ces services ne détruit pas tout le compte Google
Non, mais ce qui est dit, c'est que si tu veux totalement effacer les données, il faut retirer le compte instagram.
Tout comme si je crée un compte pour Google Drive, puis que j'utilise Gmail, il faut que je retire mon compte Google totalement si je veux tout retirer.
Et en fait, c'est pareil, si j'utilise un compte Google pour me connecter sur Gitlab.com, fermer le compte Gitlab.com ne va pas retirer le fait que Google continue de garder l'info du compte Gitlab (pour pouvoir me connecter dans le futur).
Et il y a d'ailleurs eu une réponse, si j'en crois un anonyme sur HN.
On peut aussi supposer que ça aurait refroidi pas mal de monde, et ça n'aurait pas été bon pour les chiffres de lancement mirobolants…
Je pense que ça n'aurait pas refroidi grand monde. Le monde de la tech se voile la face sur tellement de choses, à commencer par sa propre incompétence en matière de vie privée, ou l'importance effective d'une certaine conception de la vie privée pour le grand public.
Par exemple, beaucoup de gens vont dire que Threads n'est pas lancé en Europe à cause du RGPD. C'est faux comme j'ai expliqué plusieurs fois. Mais non seulement pas mal de gens reprennent cette fausse idée, mais les mêmes ne disent rien sur les violations du RGPD par les serveurs existants.
Par exemple, la base de donnée de Kolektiva.social a été saisi à cause d'un admin qui avait une copie quand le FBI a débarqué dans son appart. Je suis sur qu'il y a eu 0 notifications aux autorités des autres pays, ce qui en fait une violation de l'article 33 du RGPD "faut notifier les autorités compétentes sans délai". C'est valable aussi pour les personnes impactés. Et 1 mois et demi, c'est pas "sans délai", loin de la.
Autre exemple, Solidaire Informatique a dit "on bloque meta parce que vie privé". Mais pas un mot sur l'existant, comme la page Facebook, le compte Twitch et le compte Twitter qui sont dûment affichés sur la page web. Si on rajoute le fait qu'il n'y a pas d'icone Mastodon/fedivers, ç'est clairement du performatif sans réflexion derrière.
Et ça, c'est sans rentrer dans l'inadéquation entre le RGPD et le Fedivers. À partir du moment ou le réglage par défaut, c'est d'accepter les follows sans confirmation, alors quelqu'un hors zone RGPD peut venir te suivre et paf, une violation, vu que les données sont sortis de la zone. Mais tout le monde s'en fout.
Donc clairement, l'attachement à la vie privée et au respect des lois, c'est du flan, surtout parmi les gens qui disent le contraire.
Le monde de la tech dit s'en préoccuper, mais s'en fout royalement en pratique, n'a pas la moindre idée du fonctionnement des lois, et reprends des poncifs incorrects sans esprit critique.
Le but principal de dire "threads et RGPD", c'est de faire comme tout le monde en ayant une opinion convenu et mainstream (voir la position de Meta dans la liste).
Un peu comme les massacres de masse où on voit des manifestations pour restreindre les armes à feu là bas avec des politiques de premiers plans qui promettent monts et merveilles à ce sujet mais on ne peut dire qu'il y a eu un changement important sur le sujet malgré le traitement médiatique.
La question des armes à feu est intéressante, parce que je pense qu'il y a aussi un cloche (comme une loi normale) avec le nombre d'incident en X, et la réaction en Y.
Si il y a 1 incident, on va parfois se dire "c'est une exception". Quand il y a en a des tonnes, ça devient la norme. L'exemple que j'ai en tête, c'est les moustiques. Quand tu as quelques moustiques, tu tentes de t'en débarrasser. Si c'est 1 moustique pendant 2 jours, tu laisses passer.
Quand tu es par exemple en Floride et qu'il y en a des tonnes, ça devient juste la norme, et tu vis avec.
Entre les 2, il y a un optimum ou une action est possible et utile.
Pour les tueries de masses, les USAs sont à l'autre bout de la courbe comme on peut le voir sur Wikipedia. Il y a autant d'article sur les tueries de masse en Juin 2023 aux états unis qu'en Italie depuis 2020.
En France, on limite déjà beaucoup, et faire plus, ça va vite devenir liberticide ou extrêmement coûteux. Donc on accepte les rares incidents qu'on a.
Ensuite, dans le cas des armes à feu aux USA, c'est aussi peu comparable aux questions de racisme et de sexisme car il y a une opposition politique, visible et forte depuis longtemps. C'est moins le cas des questions de racisme ou de sexisme (même si en France, on a Zemmour et le premier sexe, ou Camus et le grand remplacement).
D'autant plus que je doute que les affaires qu'il a pointé aux USA aient été un vrai point de bascule à eux seuls.
Oui, je pense qu'il ne suffit pas d'un meurtre, il faut aussi que des conditions autres soient la.
Pour reprendre un sujet que j'ai un peu plus étudié, les émeutes de Stonewall qui ont lancés le mouvement des droits LGBT modernes n'ont pas été les premières émeutes. Par contre, c'était juste à coté des locaux de "the Village Voice", un journal de New York, ce qui a aidé pour la diffusion et l'organisation à un niveau national.
C'est aussi finalement ce qu'on voit en France, il y a eu aussi un autre mort suite à un contrôle policier en Juin sans que ça fasse le moindre bruit avant ce matin.
Et en parlant d'émeutes, en lisant ce texte, je note qu'une partie de mon hypothèse sur la rupture des combats se vérifie (le paragraphe 19 pointe les différences entre générations, celle qui a fait la Marche pour l’égalité et contre le racisme dans les années 80 et celle des années 90 sans trop de sociabilisation politique).
Mais le truc faux, c'est de parler d'un compte Thread. La journaliste de Numerama dit "La clause est plutôt bien cachée", alors que l'article du Guardian le dit clairement en #1F1F1F sur #FFFFFF (avec la css par défaut):
"Thread users will need an Instagram account to log in"
Donc il y un compte unique et il n'y a rien de caché. Bien sur, vu que l'article de Numerama reprends le contenu d'un article de TechCrunch, qui lui même a pris des réactions de gens au pif pour trouver du contenu, ça donne pas des trucs de haute qualité.
Sinon, comme titre: "Threads: un Twitter-like mal fini", ça aurait certainement était plus percutant comme appeau à clics.
Mais ça implique de le tester, donc de l'installer. Et pour le moment, on ne peut pas en France.
Et le public de Numerama, c'est sans doute le même que celui de NextInpact ou d'autres publications, il veut de l'outrage, mais sur le numérique et avec une orientation particulière.
C'est que pour occuper le terrain le plus vite possible (car le net, c'est quand même premier arrivé, premier servi) pendant que Twitter se casse la gueule, les devs de threads ont décidés de reprendre l'existant, à savoir le système de login d'instagram, parce que ça va plus vite.
Ça expliquerait aussi pourquoi le support d'activity pub est pas encore la (car la sortie a été rushé)
Et le manque d'AP, ça explique aussi pourquoi ça sort que aux US et en UK. Pas pour des raisons de vie privée comme je lit ici et la, car le RGPD a été transposé en droit anglais, et divers états des US ont maintenant des lois similaires.
Par contre, le DSA ne s'applique pas (à cause du Brexit), et curieusement, ça parle d'interopérabilité.
J'imagine également que le fait d'avoir 2 pays anglophones (les US et le royaume uni) a aussi un impact sur la modération (et la formation, etc).
Mais comme d'hab, les explications rationnelles basées sur des raisons rationnels, ça ne fait pas des bons titres pour faire cliquer le chalan.
Les instances (genre non-européennes) qui ont récupéré le message n'ont aucune obligation de se plier à ta demande je suppose. Tu pourras demander et ça pourrait bien en rester là.
Dans la mesure ou le comportement par défaut va être le bon, je m'attends à ce que ça passe pour la majorité va le faire.
Maintenant, tu as les cas d'instances malicieuses, mais sauf à aller en justice (et donc de sortir le pognon), c'est sans doute mort.
Il y a pas besoin d'effet streisand pour avoir des screenshots, juste des personnes qui pensent à faire un screenshot (comme c'est le cas pour passer d'un réseau à un autre assez souvent).
Beaucoup de gens disent défendre le respect de la vie privée, mais curieusement, y a pas eu grand monde pour le dire lors de l'affaire l'avion d'Elon Musk.
Comme souvent, il y a les grands principes, et toute les exceptions qu'on se permet quand ça nous arrange pas.
Pour tout cela ils laissent les éditorialistes et polémistes s'emparer du sujet, sujet pour lequel ils n'ont aucun recul car ils passent d'un sujet A à B à longueur d'année, ils ne font pas ou peu de recherches même sommaire, laissant libre court à leur imagination et leur sensibilité politique s'exprimer à ce sujet même si c'est faux ou trompeur.
Je pense qu'on doit dans ce cas se poser la question de pourquoi on a des éditorialistes et des polémistes. C'est des gens qui sont la pour donner leur avis sur des polémiques, comme tu dis sans faire de recherches.
Si ça n'était pas vendeur, ça ne se vendrait pas (comme dirait Coluche).
À coté de ça, il y a a des éditorialistes et des polémistes aussi aux USAs, donc ça n'est pas leur présence qui joue un grand rôle sur la question du journal.
[^] # Re: État des lieux
Posté par Misc (site web personnel) . En réponse à la dépêche L'affaire des sources : mémo des clones de Red Hat Entreprise Linux (RHEL). Évalué à 9.
Il y a plusieurs raisons pour ça.
Par exemple, dans le cadre du taf, on a voulu démarrer un contrat avec la boite fondé par les fondateurs de Discourse, pour soutenir le projet upstream et nous débarrasser de la question des mises à jours.
On a découvert que notre département juridique demande à avoir des clauses spécifiques dans le contrat, la boite a dit "oui, mais pas pour un contrat mineur" (comprendre moins de XX milliers de dollars US par an). Donc les petits fournisseurs sont pas équipés pour ce genre de choses (on a avait eu le cas avec un dev freelance qui propose de l'hebergement, et à qui la boite voulait demander un contrat d'assurance à la hauteur de 1 million d'US$).
On a aussi hérité d'un compte pour un hébergement wordpress (pris par une collégue avant son départ sans prévenir personne). pour mettre ça en ordre, j'ai du faire le relais entre notre équipe sécu et le support pour qu'il laisse faire un audit de sécurité. La gestion du RGPD et autres lois de ce genre font qu'on doit demander des trucs spécifiques sur la politique de rétention des logs, sur leur backups, etc, etc.
Les grosses boites ont des contraintes dont les plus petites n'ont que faire. Et c'est pas uniquement les USAs, vu que j'ai aussi vu ça tout du long quand j'avais plus de contact avec l'industrie hexagonale. J'ai vu des ministéres négocier les contrats en changeant le texte pendant 3 mois pendant mon stage. J'ai vu des grosses administrations passer par une boite de SSII qui est venu voir la startup ou je bossais pour de la presta (car la SSII avait fait le taf pour le contrat, mais n'avais pas les compétences spécifiques en interne sur ce logiciel).
Mais ça, la plupart des admins ne le voient pas, vu que de mon expérience, c'est pas leur taf (alors que mon chef m'a délégué ça, donc je suis joie…).
C'est comme les devs qui débarquent et ne pigent pas qu'il n'y a pas un quota de 1T par personne, parce qu'un disque dur, ça coûte pas cher à la FNAC (enfin, ce qu'on m'a dit, c'était newegg, mais j'adapte l'histoire). Ils ne voient ni les backups (x2 la taille), ni le RAID (x2 aussi), ni le coût en infra réseau/cpu pour les backups, ni les limites en terme de serveur pour filer 1T pour tout le monde.
[^] # Re: eh, pas lu ni regarder ?
Posté par Misc (site web personnel) . En réponse au lien La réalité oubliée derrière l'émancipation des femmes - Véra Nikolski. Évalué à 4.
C'est un argument assez proche de celui de John D'Emilio, un historien américain, sur les conditions de l'émergence d'une identité gay (et donc, par extension, le militantisme et les droits de la communauté LGBTQ). Il parle de son argument dans une interview de 2020, et sans doute dans quelques bouquins.
Le nœud de la discussion, c'est quantifier le rôle de chaque événements, sachant qu'il s'agit de choses assez peu comparables, et c'est aussi une comparaison politiquement chargé.
# Les journalistes du monde sont moins confiants
Posté par Misc (site web personnel) . En réponse au lien Le Parlement européen a adopté la loi (amendée) de restauration de la nature . Évalué à 5.
Je cite:
"Mais ils ont réussi à largement vider de sa substance ce texte qui devait permettre de restaurer les espaces terrestres et marins abîmés."
https://www.lemonde.fr/planete/article/2023/07/12/au-parlement-europeen-la-loi-sur-la-restauration-de-la-nature-sauvee-mais-amoindrie_6181698_3244.html
[^] # Re: saikoi
Posté par Misc (site web personnel) . En réponse au lien Lessons From the Catastrophic Failure of the Metaverse. Évalué à 6.
Faut que la valeur de Meta chute plus vite que celle d'Elon Musk, c'est pas vraiment gagné vu que le 2nd est hors concours pour dopage sur ce sujet.
[^] # Re: Je suis soulagé ⸮
Posté par Misc (site web personnel) . En réponse au lien Lessons From the Catastrophic Failure of the Metaverse. Évalué à 6. Dernière modification le 12 juillet 2023 à 12:08.
Les cabinets de consultants, une moitié de leur boulot, c'est d'être fusible. SI un truc foire, c'est la faute du cabinet. Si un truc marche, c'est grace à toi.
L'autre moitié, c'est de contourner la bureaucratie interne de leur client. Dépenser de l'argent pour un cabinet est bien plus simple qu'embaucher (vu qu'il est plus simple d’arrêter la mission), et c'est aussi censé avoir moins (moins, pas 0) de politique interne. Le cabinet va suivre les ordres du client, bien sur, mais ne va pas avoir autant de considération de politique interne long terme comme des personnes en interne, ni avoir des histoires du à un probléme il y a 5 ans avec un autre département, ce genre de truc.
Une fois que tu piges ce que ça apporte, ça devient assez clair que le cabinet se contente hélas de répondre à une demande (et pour être clair, pas juste le gouvernement, mais aussi n'importe quelle structure assez grosse, une multinationale va aussi avoir les mêmes dynamiques, la différence étant qu'on s'en fout beaucoup par la magie du capitalisme).
[^] # Re: Mastodon, dans l’état actuel, n’est pas accueillant pour les créateurs
Posté par Misc (site web personnel) . En réponse au lien Mastodon for Creators. Évalué à 4.
Tu as quand même un intermédiaire (l'admin du serveur) qui décide ou pas de répliquer les groupes.
Et je pense que tu as aussi la question de la gouvernance de la hiérarchie, à savoir qui décide que les discussions sur, au pif, Android vont sur fr.android, ou fr.phones.android ou fr.phone.android.
[^] # Re: Mastodon, dans l’état actuel, n’est pas accueillant pour les créateurs
Posté par Misc (site web personnel) . En réponse au lien Mastodon for Creators. Évalué à 3.
Oui, perso, j'attends plus de la migration hors reddit vers kbin/lemmy que de mastodon et co.
Avec le modèle de mastodon, chaque personne publie son contenu et réponds et entretient un fil via des boost, et chaque personne va suivre les autres. Ça force l'organisation en instances afin d'avoir un fil co-construit autour des personnes.
Dans le modèle Reddit/kbin/lemmy, l'instance est organisé en communauté, donc le fil de publication de la communauté est organisé par un groupe de modérateur autour d'un sujet, et ensuite, chaque post a son fil de discussion.
Ça me parait correspondre plus à ce que je voudrait personellement, et je pense toi aussi.
Ensuite, kbin et lemmy ne semble pas aussi mature que mastodon pour le moment.
[^] # Re: Mastodon, dans l’état actuel, n’est pas accueillant pour les créateurs
Posté par Misc (site web personnel) . En réponse au lien Mastodon for Creators. Évalué à 4.
Ouais, mais ça ne marche pas parce que tu as une instance perso avant tout.
Par contre, pour quelqu'un qui veut ouvrir l'instance (exemple quelqu'un dans la position de mastodon.art ou infosec.exchange, qui sont des instances thématiques ), ça aurait du sens. Si on considère chaque instance comme un réseau autonome (mais connecté), ça passe.
Mais fondamentalement, le souci n'est pas technique. Le souci, c'est que quelqu'un qui veut une instance perso ne veut sans doute pas non plus qu'on lui impose des choses.
Il y a eu des comptes qui ont ralés quand l'appli mastodon sur android a proposé mastodon.social comme choix, alors que ça résout un probléme à savoir "comment choisir l'instance".
J'imagine le bruit si jamais ton instance va chercher dans un endroit centralisé (gasp) des infos d'autres instances pour remplir la timeline. Il suffit de voir le bruit autour de matrix pour ça.
De même, j'imagine le bordel aussi si un logiciel va intégrer une forme de recherche (entre la gamification possible pour une audience, et le besoin de modérer si ça devient un service centralisé).
Donc pour moi, le cas "serveur perso", c'est un cas ou on peut supposer que l'admin sait ce qu'il fait. Mais c'est un peu pourri, parce que même si tu sais ce que tu fais, ça reste trop compliqué.
Ça pourrait être pire, tu pourrait découvrir que tu ne peux pas filtrer sur le serveur quand tu t'apercois que tu suis quelqu'un qui parle de gouvernance du libre, mais aussi beaucoup de l'équipe de foot féminine de son pays en postant sur ça les soirs de match.
[^] # Re: Révocation
Posté par Misc (site web personnel) . En réponse au journal Copie d'une pièce d'identité. Évalué à 3.
Je suppose qu'on leur laisse le choix entre vérifier ou perdre un procès pour négligence :p
[^] # Re: Mastodon, dans l’état actuel, n’est pas accueillant pour les créateurs
Posté par Misc (site web personnel) . En réponse au lien Mastodon for Creators. Évalué à 4.
Alors, je pense qu'il faut modérer un peu les chiffres des abonnés, car avoir des abonnés, ça n'implique pas d'avoir de la visibilité en pratique.
Ensuite bien sur, vu les chiffres que tu donnes, Mastodon ne va pas être premier, loin de la, mais vu que l'algo de Twitter est la pour aussi filtrer pour les gens qui s'abonne à trop de truc, il y a aussi ce facteur.
Un point plus intéressant, c'est que Mastodon n'a pas d'outil pour évaluer le nombre de personnes qui a vu ton toot, et risque sans doute de ne pas en avoir vu le zeitgeist du fedivers.
Je veux pas relancer une discussion sur les métriques, etc, mais ça me semble être quelque chose qui va manquer à terme.
Yep. Sur HN, un commentaire parlait de l'utilisation d'invitation pour bootstraper un réseau, et ça serait à mon avis une idée à essayer (proposer d'inviter des gens sur ton serveur, en abonnant au pif à 3 personnes, ou des comptes volontaires + la personne qui donne l'invite).
# Quelques remarques
Posté par Misc (site web personnel) . En réponse au journal Vous hébergez un serveur Mastodon ? Mettez-le à jour !. Évalué à 10.
Le numéro de version public ne va pas changer grand chose quand la faille est public, quelqu'un va tenter et basta. Savoir ce qui tourne est important si tu veux rester discret, mais la, ça va sans doute pas être le cas. J'ai encore vu ce matin qu'on a tenter un exploit wordpress sur un site statique que je gère.
Pour CVE-2023-36461, même avec 7.5, ça va juste bloquer le serveur. C'est chiant, mais je m'affolerais pas.
CVE-2023-36459, c'est une xss et qui semble impliquer un click de quelqu'un (genre, soit avoir une personne qui retoot le message, soit quelqu'un qui fait le site web et le poste). C'est chiant aussi, mais je pense que les divers navigateurs bloquent aussi pas mal de xss de nos jours (je crois). Et surtout, ça laisse des traces.
Le dernier CVE-2023-36460, je pense que ça nécessite aussi une faille dans ImageMagick en plus, non ? Je ne crois pas qu'on puisse avoir de l'execution de code directement en lancant ImageMagick.
Du coup, faut mettre à jour par bonne pratique, mais est ce que j'ai loupé des choses dans les failles annoncées ?
[^] # Re: france identité
Posté par Misc (site web personnel) . En réponse au journal Copie d'une pièce d'identité. Évalué à 8.
Le souci, c'est qu'il faut passer par un store. J’espère qu'à terme, ça sera dispo aussi sur f-droid.
[^] # Re: incomparable
Posté par Misc (site web personnel) . En réponse au journal [société] France, la République aveugle ?. Évalué à 5.
Par exemple:
https://www.francetvinfo.fr/faits-divers/police/violences-policieres/flic-pourquoi-le-livre-du-journaliste-valentin-gendrot-infiltre-dans-la-police-parisienne-suscite-la-polemique_4095617.html
Ou on reproche au journaliste de ne pas exposer sa couverture, mais rien sur les autres flics qui n'ont rien fait aussi.
[^] # Re: incomparable
Posté par Misc (site web personnel) . En réponse au journal [société] France, la République aveugle ?. Évalué à 3.
Ou https://madame.lefigaro.fr/celebrites/le-crown-act-la-loi-qui-va-interdire-la-discrimination-liee-a-la-chevelure-aux-etats-unis-20220324
(même si je pense que si l'EEOC avait eu les moyens de faire son taf au lieu de se faire vider par Reagan, ça rentrerais dans "discrimination raciste" aux USA sans avoir besoin de faire une loi à part)
[^] # Re: Des statistiques ethniques
Posté par Misc (site web personnel) . En réponse au journal [société] France, la République aveugle ?. Évalué à 3.
Ouais, alors le souci avec ce plan, c'est qu'on a aussi signé divers conventions sur les droits de l'enfance depuis 30 ans (1989 pour la CIDE), comme le droit à l'éducation, etc.
Et aussi, comme je le dit sans arrêt, que la privation de liberté doit être une exception, la France a aussi signé des traités sur la liberté, tout ça (article 5 de la CSDHLF signé en 1957).
Même la partie "passer vite fait devant un juge" peut être un souci suivant la façon dont c'est fait, car l'article 6 (para 3.b) dit "disposer du temps et des facilités nécessaires à la préparation de sa défense".
Alors je pense en effet que passer rapidement, au moins au début, c'est important, mais il faut que le jugement se fasse plus tard, car il y a besoin de préparer une défense.
Donc, à rebours de l'idéologie judiciaire, c'est un peu plus à rebours des traités internationaux signés sur les droits humains.
[^] # Re: Pas grand chose d'étonnant
Posté par Misc (site web personnel) . En réponse au lien Vous voulez supprimer votre compte Threads ? Dites adieu à Instagram (et autres magouilles). Évalué à 3.
Mais c'est un scénario quand même assez théorique. En pratique, la grande majorité des personnes sur internet n'ont ni une IP fixe, ni même une IP dédié pour leur connexion propre.
Que je sache, il n'y a en France que Free qui donne ça par défaut dans les gros opérateurs grand public, et je pense que c'est aussi rare ailleurs dans le monde. Free avait ~10% de PdM d'après des rapides recherches en 2019, et ne donne plus par défaut des IP fixes et routables, si je me souviens bien.
Sur tout ça, il faut rajouter tout les mobiles avec du CGNat ou l'IP est massivement partagé et recyclé.
Et au dessus, il faut rajouter les connexions pros qui vont souvent être partagé aussi, et ce qui va réduire pas mal ce qu'on peut suivre.
Ça fait un gros "suffit juste". Mais mon point n'est pas que ça n'arrive pas.
J'ai une IP fixe (avec une connec pro) à mon domicile, et un site web sur l'IP, je vois bien comment ça peut être utilisé pour me retrouver. J'ai aussi donné divers présentations sur le sujet au cours des années (par exemple, au FOSDEM), donc je sais comment ça marche.
Par contre, je vois bien aussi que je suis l'exception avant tout, justement parce que j'ai pu voir que seulement avec l'IP, tu peux pas faire grand chose la plupart du temps.
Et surtout, je pense que le point important, c'est pas tant ce qui compte comme PII ou pas devant la loi avec des cas hypothétiques et des "si", mais le résultat en pratique avec des choses qui arrivent hors des cas hypothétiques, surtout avec des choses qu'on ne pense pas être des PIIs.
Pour rester sur les communs numériques, on peut regarder le cas de Commons ou les membres de la communauté postent des photos d'endroits non ouvert au public, avec des tas de metadonnées (marque du tel, date et heure, coordonnées GPS). Ça peut leaker des infos pour retrouver l'identité des personnes.
Par exemple, un certain groupe de personnes avec un compte commun unique a défrayé la chronique en novembre 2019 sur fr.wp. Personne n'a publiquement annoncé avoir trouvé qui était derrière. Mais peut être que personne n'a noté que le même compte a uploadé des photos de l'intérieur d'un bâtiment bien connu du Faubourg-Saint-Honoré, et que ce bâtiment n'est pas exactement ouvert au public.
Pour être clair, je ne dit pas que c'est l'actuel résident du dit bâtiment, mais ça rentre quand même dans une catégorie de fuite d'information que le dit groupe aurait sans doute voulu garder privé, et si on combine avec plus d'analyse, il y a moyen de faire des analyses assez éclairés sur qui était dans le groupe.
Ou est la PII dans tout ça d'un point de vue légal ? Juste le compte affiché pour le droit d'auteur, compte qui ne donne aucune info.
D'où vient le souci ? Des informations autres couplés avec l'identifiant "personnel" (je mets entre guillemets, car si l'identifiant est partagé entre 4 ou 5 personnes comme dans mon exemple, c'est plus vraiment personnel..).
Autre exemple, il y a OSM. Beaucoup de gens vont ajouter des infos à coté de chez eux, car c'est le chemin de moindre résistance couplé à l'obligation d'avoir des infos venant du terrain.
Je suis convaincu qu'à partir de mon compte OSM et des dates/lieux de modif (qui sont des infos publiques), on peut retrouver mon identité vu que ça va coller assez précisément avec les dates de confs ou j'ai participé (ou plus précisément, la ou j'ai mangé). À partir de la, on va déduire où j'ai passé mes vacances vu que je rajoute les infos sur les zones mal remplis, ou via les batchs d'upload de StreetComplete.
Et c'est pareil que dans mon premier exemple, le seul PII est le compte, affiché pour divers raisons, et c'est en couplant avec le reste qu'il y a un souci. Le compte seul sert à rien, les infos servent à rien seules, c'est la combi des 2 et l'usage dans le temps qui posent soucis.
Et c'est mon point, c'est pas que les IPs ne sont pas des PIIs possibles. C'est qu'on fantasme ce qu'on peut faire avec les IPs en oubliant que tout ce qu'on peut faire, on peut le faire aussi facilement avec l'identifiant unique qu'est un compte.
Ton exemple dit "si les IPs sont affichés, on peut faire X". En fait, on peut déjà le faire avec les comptes, vu que je pense que la majorité a tendance à reprendre le même login partout (ou font des liens entre les comptes, par exemple, en postant du un réseau social vers un autre, etc)
Par exemple, pour OSM, si on affiche l'IP d'upload à la place de mon compte pour mes modifs, il va être quasiment impossible de me traquer à travers le monde vu que j'aurais une IP différente à chaque fois.
De même pour Commons, si j'uploade des photos d'un bunker secret sur mon île volcanique sans compte, puis 1 mois plus un selfie de moi avec Kim Jong Un devant la Taedong, faire la corrélation entre les 2 est quasiment impossible, alors que ça serait trivial si j'utilise un compte comme recommandé pour la protection de la vie privée.
(et faut vraiment que je me trouve une vie plutôt que d'écrire des pâtés sur Linuxfr)
[^] # Re: Pas grand chose d'étonnant
Posté par Misc (site web personnel) . En réponse au lien Vous voulez supprimer votre compte Threads ? Dites adieu à Instagram (et autres magouilles). Évalué à 5. Dernière modification le 08 juillet 2023 à 00:26.
Non, je ne te visait pas directement. Primo, tu as donné une source, ensuite, tu as dit que ce n'est pas clair. J'ai vu beaucoup plus de monde qui ont pris moins de précaution que toi, avec plus d'audience. Une personne se plante sur Linuxfr, ça arrive (ça m'arrive aussi, mais personne ne le voit).
25 personnes qui se plantent en une journée, ça devient un fait social.
Alors, quand je dit tout le monde, je veux pas dire qu'il y a personne qui s'en préoccupe. Mais le souci est aussi que "la vie privée" est un fourre tout qui est agité comme un joker, et "se préoccuper de la vie privée" ne veut rien dire.
Si on se base sur les auto déclarations, beaucoup de monde va dire se préoccuper de sa vie privée. Par contre, je suis sur qu'en pratique, pas grand monde n'arrive à détailler. Un exemple assez frappant, c'est la question des adresses IP sur Wikipedia.
J'ai vu des gens qui disent qu'il faut ouvrir un compte pour protéger ta vie privée, car visiblement, l'IP est perçu comme un token magique qui mettrait cette dernière en danger. La réalité est bien plus complexe.
Primo, ouvrir un compte implique de donner un email. Il y a assez souvent des gens qui leakent leur email, alors que de manière évidente, personne ne peut leaker ce que tu ne donnes pas. Et un email, y a parfois ton nom/prénom, donc l'ouverture de compte entraîne, statistiquement, des leaks.
Ensuite, les IPs sont considérés comme des infos personnels parce que la police peut les utiliser pour retrouver quelqu'un. Le quidam moyen qui connaît le réseau ne va pas en faire grand chose, car il n'a pas le pouvoir de dire à un FAI "file les infos". Il y a parfois des exceptions, mais c'est très rare.
Et donc, pour moi, ça montre que la recommandation n'est pas basé sur une analyse des soucis qui arrivent en pratique (car finalement, les flics qui demandent des trucs à la WMF? c'est assez rare par rapport à la totalité , mais sur une idée déformé de ce qui pourrait arriver.
Je ne suis pas vraiment sur de ça. Le RGPD a été proposé en 2012 (cf Wikipedia en anglais), et les justifications donnés sont la rénovation des lois existantes datant de 1995 et le fait que l'article 16 du TFEU modifié par le traité de Lisbon (2008) parle explicitement de la protection des données. L'article en question a été renuméroté depuis l'article 286 du TEC qui date de la consolidation d'autres traités par le traité d'Amsterdam (1997).
Et ça, c'est sans rentrer dans les détails historique sur l'article 8 de l'ECHR, car sinon, on peut remonter aux années 80 (quand Mark Zuckerberg avait moins de 10 ans).
Je ne doute pas que Facebook a joué un rôle dans la popularité du RGPD, mais le texte a des racines bien antérieurs à la création de Facebook.
Et le plus gros scandale concernant Facebook, c'est celui de Cambridge Analytica. Il est devenu public en janvier 2018, le RGPD a été voté en avril 2016, avec application en mai 2018. Le timing est en effet pas terrible pour FB, mais on peut pas dire que ça soit ce scandale qui a causé la loi (même si je comprends la confusion).
Ce n'est pas le manque de bruit qui m'étonne. C'est que dans un cas, on a une violation trivialement démontrable du RGPD via la non notification, et dans l'autre, il y a rien (ou en tout cas, personne n'a montré qu'il y a violation du RGPD aujourd'hui).
C'est comme mon exemple de WP, c'est une vision à mon sens erroné de la vie privée, avec FB qui sert de méchant caricatural et détaché de la réalité sur lequel certains projettent leurs anxiétés.
Un principe de proportionnalité basé sur quoi ?
Car autant, il y a en effet sans doute des différences entre une entreprise (FB) et un particulier (Musk), autant entre 2 particuliers, il ne devrait pas en avoir (un truc sur libre et egaux en droit, tout ça).
Il y a bien des exceptions vis à vis du respect de la vie privé car aucun droit n'est vraiment absolu et il y a souvent une balance à avoir. Par exemple, il y a tout un concept autour des personnalités publiques, lié aux questions de liberté de la presse (par exemple), et je pourrait me laisser convaincre que Elon Musk rentre dans ce genre de catégorie contrairement à une personne trans lambda.
Mais pour enchaîner sur ton exemple, le doxxing de Keffals arrivé l'année dernière concerne aussi une personnalité publique. Elle a une activité dans les médias (pour peu qu'on considère Twitch comme un média), mais aussi via sa courte carrière politique au Canada.
Je ne dit pas que c'est une raison pour ne pas protéger sa vie privée, mais je ne trouve pas de raison qui s'appliquerait à elle et pas à Elon Musk, sauf des arguments à base de "l'une est pauvre, l'autre est super riche, donc c'est ok, il a moins de droit", ou "Elon, ça rime avec con, donc c'est bon" (surtout que ça rime pas).
Il y a plein de questions à se poser, comme savoir si une info publique (la position d'un jet) couplé avec une information privé (son propriétaire) devient publique ou reste privé. Ou savoir si une demande de ne pas publier l'info est un refus de consentement, et ce que ça implique quand aux principes du RGPD (et je précise, les principes, car légalement, il n'y a aucune raison que ça s'applique, vu que c'est 2 citoyens américains).
Mais j'ai pas le sentiment qu'il y a eu un débat sur ça, et c'est pour moi la preuve que les discours sur la vie privée s'évaporent assez vite quand on est face à quelqu'un qu'on aime pas.
Un peu léger sans doute, mais la présomption d'innocence, c'est pas juste quand ça nous arrange.
Surtout que ce que j'ai vu, c'est pas des accusations neutres et non inflammatoires comme "avoir mal modéré dans un pays lointain les abus", car ça serait raisonnable (même si la modération en soit, ça pose des questions dans tout les cas, liberté d'expression, etc). Ce que j'ai vu, c'est des messages comme, je cite, "has been proven to support or at least turn a blind eye to genocide", ou "Conspired to manipulate a presidential election".
C'est quand même un peu plus grave et plus direct que ta formule, et c'est pas loin de "Mark Zuckerberg est responsable d'un génocide", qui aurait le bon goût de retirer la question de la personnalité juridique dans la discussion.
Je pense que ça dépend pourquoi en fait.
Quand c'est basé sur l'histoire de XMPP vu par Ploum, ça me parait non justifié (cf la timeline ici).
Quand c'est basé sur une idée fausse du fedivers et de ce que Meta va pouvoir faire, ça me parait non justifié.
Parce que fondamentalement, le fedivers s'appuie sur un protocole qui s'appelle ActivityPub, pas ActivityPriv.
Et en fait, le souci, c'est qu'on a dit à tout le monde que c'est une alternative à Twitter/Facebook et aux réseaux commerciaux.
Comme ces derniers sont présentés comme problématiques vis à vis de la vie privée (sans dire pourquoi ni comment), alors comme le fedivers n'est pas comme eux, on suppose que c'est bon. Par exemple, la page de joinmastodon dit "That means your data and your time are yours and yours alone.". On insiste bien sur le contrôle, et je pense que dans l'esprit d'une grande partie des gens, c'est synonyme de vie privée.
Sauf que en pratique, non.
Le plus drôle, c'est que dans X années, quand Threads va se casser la gueule parce que Y raisons, le fedivers va se congratuler d'avoir participer en bloquant, un peu comme dans When Prophecy Fails…
[^] # Re: Puis que tu le demandes
Posté par Misc (site web personnel) . En réponse au journal [société] France, la République aveugle ?. Évalué à 5.
Mais tous n'ont pas eu un empire colonial de la même taille, donc la comparaison est un rapide. Si je me souviens bien, l'Italie est arrivé dernière à ce petit jeu, et tandis que toute les semaines, il y a un pays qui fête son indépendance par au Royaume Uni.
Ensuite oui, il y a sans doute d'autres causes historiques, même si dans le cas d'une comparaison France / USA, je ne pense pas que ça soit un axe de comparaison très pertinent.
La question posé à la fin du journal n'est pas "d’où vient la violence en France", même si c'est une bonne question à se poser, mais "pourquoi il n'y a pas les mêmes réactions sur 2 pays".
Dans les 2 cas, il y a eu une histoire avec l'esclavage (voir la même au début).
La différence, c'est que c'est la société française qui a organisé en partie la déportation, et la société des USA l'exploitation (en grande partie, car oui, j'ai pas oublié qu'on s'est mis plein les poches avec la canne à sucre dans les Caraïbes parmi tant d'autres choses).
Du point de vue de la déshumanisation et de ses effets sur la culture, ça me semble équivalent, dans le sens ou il y a eu les mêmes justifications, et ça s'est passé en même temps. La seule différence notable, c'est ce qui est arrivé après la fin du commerce d'esclave. Comme en France, on a pas amener grand monde en métropole, c'était vachement plus facile de fermer les yeux.
Aux USA, avec une population d'esclave estimé à 4 millions sur un total de 31 millions en 1860, c'était difficile de faire l'autruche.
Donc quelque part, je pense que ça rejoint mon point sur la continuité des luttes.
[^] # Re: Pas grand chose d'étonnant
Posté par Misc (site web personnel) . En réponse au lien Vous voulez supprimer votre compte Threads ? Dites adieu à Instagram (et autres magouilles). Évalué à 7.
C'est loupé:
https://news.ycombinator.com/item?id=36623972
Non, mais ce qui est dit, c'est que si tu veux totalement effacer les données, il faut retirer le compte instagram.
Tout comme si je crée un compte pour Google Drive, puis que j'utilise Gmail, il faut que je retire mon compte Google totalement si je veux tout retirer.
Et en fait, c'est pareil, si j'utilise un compte Google pour me connecter sur Gitlab.com, fermer le compte Gitlab.com ne va pas retirer le fait que Google continue de garder l'info du compte Gitlab (pour pouvoir me connecter dans le futur).
Et il y a d'ailleurs eu une réponse, si j'en crois un anonyme sur HN.
Je pense que ça n'aurait pas refroidi grand monde. Le monde de la tech se voile la face sur tellement de choses, à commencer par sa propre incompétence en matière de vie privée, ou l'importance effective d'une certaine conception de la vie privée pour le grand public.
Par exemple, beaucoup de gens vont dire que Threads n'est pas lancé en Europe à cause du RGPD. C'est faux comme j'ai expliqué plusieurs fois. Mais non seulement pas mal de gens reprennent cette fausse idée, mais les mêmes ne disent rien sur les violations du RGPD par les serveurs existants.
Par exemple, la base de donnée de Kolektiva.social a été saisi à cause d'un admin qui avait une copie quand le FBI a débarqué dans son appart. Je suis sur qu'il y a eu 0 notifications aux autorités des autres pays, ce qui en fait une violation de l'article 33 du RGPD "faut notifier les autorités compétentes sans délai". C'est valable aussi pour les personnes impactés. Et 1 mois et demi, c'est pas "sans délai", loin de la.
Autre exemple, Solidaire Informatique a dit "on bloque meta parce que vie privé". Mais pas un mot sur l'existant, comme la page Facebook, le compte Twitch et le compte Twitter qui sont dûment affichés sur la page web. Si on rajoute le fait qu'il n'y a pas d'icone Mastodon/fedivers, ç'est clairement du performatif sans réflexion derrière.
Et ça, c'est sans rentrer dans l'inadéquation entre le RGPD et le Fedivers. À partir du moment ou le réglage par défaut, c'est d'accepter les follows sans confirmation, alors quelqu'un hors zone RGPD peut venir te suivre et paf, une violation, vu que les données sont sortis de la zone. Mais tout le monde s'en fout.
Donc clairement, l'attachement à la vie privée et au respect des lois, c'est du flan, surtout parmi les gens qui disent le contraire.
Le monde de la tech dit s'en préoccuper, mais s'en fout royalement en pratique, n'a pas la moindre idée du fonctionnement des lois, et reprends des poncifs incorrects sans esprit critique.
Le but principal de dire "threads et RGPD", c'est de faire comme tout le monde en ayant une opinion convenu et mainstream (voir la position de Meta dans la liste).
[^] # Re: Puis que tu le demandes
Posté par Misc (site web personnel) . En réponse au journal [société] France, la République aveugle ?. Évalué à 4.
La question des armes à feu est intéressante, parce que je pense qu'il y a aussi un cloche (comme une loi normale) avec le nombre d'incident en X, et la réaction en Y.
Si il y a 1 incident, on va parfois se dire "c'est une exception". Quand il y a en a des tonnes, ça devient la norme. L'exemple que j'ai en tête, c'est les moustiques. Quand tu as quelques moustiques, tu tentes de t'en débarrasser. Si c'est 1 moustique pendant 2 jours, tu laisses passer.
Quand tu es par exemple en Floride et qu'il y en a des tonnes, ça devient juste la norme, et tu vis avec.
Entre les 2, il y a un optimum ou une action est possible et utile.
Pour les tueries de masses, les USAs sont à l'autre bout de la courbe comme on peut le voir sur Wikipedia. Il y a autant d'article sur les tueries de masse en Juin 2023 aux états unis qu'en Italie depuis 2020.
En France, on limite déjà beaucoup, et faire plus, ça va vite devenir liberticide ou extrêmement coûteux. Donc on accepte les rares incidents qu'on a.
Ensuite, dans le cas des armes à feu aux USA, c'est aussi peu comparable aux questions de racisme et de sexisme car il y a une opposition politique, visible et forte depuis longtemps. C'est moins le cas des questions de racisme ou de sexisme (même si en France, on a Zemmour et le premier sexe, ou Camus et le grand remplacement).
Oui, je pense qu'il ne suffit pas d'un meurtre, il faut aussi que des conditions autres soient la.
Pour reprendre un sujet que j'ai un peu plus étudié, les émeutes de Stonewall qui ont lancés le mouvement des droits LGBT modernes n'ont pas été les premières émeutes. Par contre, c'était juste à coté des locaux de "the Village Voice", un journal de New York, ce qui a aidé pour la diffusion et l'organisation à un niveau national.
C'est aussi finalement ce qu'on voit en France, il y a eu aussi un autre mort suite à un contrôle policier en Juin sans que ça fasse le moindre bruit avant ce matin.
Et en parlant d'émeutes, en lisant ce texte, je note qu'une partie de mon hypothèse sur la rupture des combats se vérifie (le paragraphe 19 pointe les différences entre générations, celle qui a fait la Marche pour l’égalité et contre le racisme dans les années 80 et celle des années 90 sans trop de sociabilisation politique).
[^] # Re: Une explication plus prosaique..
Posté par Misc (site web personnel) . En réponse au lien Vous voulez supprimer votre compte Threads ? Dites adieu à Instagram (et autres magouilles). Évalué à 5.
Mais le truc faux, c'est de parler d'un compte Thread. La journaliste de Numerama dit "La clause est plutôt bien cachée", alors que l'article du Guardian le dit clairement en #1F1F1F sur #FFFFFF (avec la css par défaut):
"Thread users will need an Instagram account to log in"
Donc il y un compte unique et il n'y a rien de caché. Bien sur, vu que l'article de Numerama reprends le contenu d'un article de TechCrunch, qui lui même a pris des réactions de gens au pif pour trouver du contenu, ça donne pas des trucs de haute qualité.
[^] # Re: Une explication plus prosaique..
Posté par Misc (site web personnel) . En réponse au lien Vous voulez supprimer votre compte Threads ? Dites adieu à Instagram (et autres magouilles). Évalué à 1.
Mais ça implique de le tester, donc de l'installer. Et pour le moment, on ne peut pas en France.
Et le public de Numerama, c'est sans doute le même que celui de NextInpact ou d'autres publications, il veut de l'outrage, mais sur le numérique et avec une orientation particulière.
# Une explication plus prosaique..
Posté par Misc (site web personnel) . En réponse au lien Vous voulez supprimer votre compte Threads ? Dites adieu à Instagram (et autres magouilles). Évalué à 10.
C'est que pour occuper le terrain le plus vite possible (car le net, c'est quand même premier arrivé, premier servi) pendant que Twitter se casse la gueule, les devs de threads ont décidés de reprendre l'existant, à savoir le système de login d'instagram, parce que ça va plus vite.
Ça expliquerait aussi pourquoi le support d'activity pub est pas encore la (car la sortie a été rushé)
Et le manque d'AP, ça explique aussi pourquoi ça sort que aux US et en UK. Pas pour des raisons de vie privée comme je lit ici et la, car le RGPD a été transposé en droit anglais, et divers états des US ont maintenant des lois similaires.
Par contre, le DSA ne s'applique pas (à cause du Brexit), et curieusement, ça parle d'interopérabilité.
J'imagine également que le fait d'avoir 2 pays anglophones (les US et le royaume uni) a aussi un impact sur la modération (et la formation, etc).
Mais comme d'hab, les explications rationnelles basées sur des raisons rationnels, ça ne fait pas des bons titres pour faire cliquer le chalan.
[^] # Re: Un truc illégal ?
Posté par Misc (site web personnel) . En réponse au lien What is threads app?. Évalué à 2.
Dans la mesure ou le comportement par défaut va être le bon, je m'attends à ce que ça passe pour la majorité va le faire.
Maintenant, tu as les cas d'instances malicieuses, mais sauf à aller en justice (et donc de sortir le pognon), c'est sans doute mort.
Il y a pas besoin d'effet streisand pour avoir des screenshots, juste des personnes qui pensent à faire un screenshot (comme c'est le cas pour passer d'un réseau à un autre assez souvent).
Beaucoup de gens disent défendre le respect de la vie privée, mais curieusement, y a pas eu grand monde pour le dire lors de l'affaire l'avion d'Elon Musk.
Comme souvent, il y a les grands principes, et toute les exceptions qu'on se permet quand ça nous arrange pas.
[^] # Re: Puis que tu le demandes
Posté par Misc (site web personnel) . En réponse au journal [société] France, la République aveugle ?. Évalué à 3.
Je pense qu'on doit dans ce cas se poser la question de pourquoi on a des éditorialistes et des polémistes. C'est des gens qui sont la pour donner leur avis sur des polémiques, comme tu dis sans faire de recherches.
Si ça n'était pas vendeur, ça ne se vendrait pas (comme dirait Coluche).
À coté de ça, il y a a des éditorialistes et des polémistes aussi aux USAs, donc ça n'est pas leur présence qui joue un grand rôle sur la question du journal.