Les institutions commencent à réagir. Par exemple, le doyen de l'école de santé publique de l'université de Boston a posté un article vachement nuancé sur la question de Twitter.
Même si le message de la vice présidente me parait être un peu du flan, ça reste aussi une première salve diplomatique (ou une seconde, vu que Thierry Breton a aussi posté un truc y a quelques mois).
Alors je suis pas totalement d'accord avec ton analyse.
Par exemple, la commission européenne via NGI finance des projets autour d'Activity Pub comme par exemple, Gotosocial. L'Europe a aussi son propre serveur mastodon depuis quelque temps.
Les politiques n'ont pas laissés le monopole sans rien faire, comme par exemple, le DSA (proposé fin 2020, mis en place fin 2022).
Et stricto sensu, Twitter n'a pas le moindre monopole (y a d'autres réseaux sociaux, et les rédactions ont fait de leur mieux aussi pour proposer des listes de mails, des comptes d'autres réseaux, etc). Ensuite, en effet, les journalistes ont foncés dessus (et bon, les journalistes sont sans doute aussi des canaux slacks, des listes de diffusions, etc).
Est ce que l'idée était que les personnalités politiques ou l'état disent aux journalistes quoi faire ? (parce que bon, ç'est pas terrible non plus).
Que l'état mette en place un droit à avoir un compte de réseaux socials (voir laposte.net ?)
Que l'état s’ingère dans la modération d'une boite ? Finance des concurrents (cloud souverain, tout ça) ?
Alors oui, la réaction a été lente, mais le consensus prends du temps, surtout au niveau de l'Europe. Et les personnes compétentes sur le sujet ont sans doute aussi été prises par le RGPD, par exemple.
Et les questions de liberté de la presse sont des sujets assez souvent touché la cour européenne des droits de l'homme depuis des années (article 10), et il y a une jurisprudence assez conséquente sur le sujet, même si ça reste un sujet compliqué (par exemple la question de l'équilibre entre avoir des sources non contrôlée par l'état, mais en même temps, ne pas se noyer sous la désinformation).
En pratique, vu que la régulation actuelle (eIDAS) force déjà à reconnaître des trusts services (si je comprends bien le texte et Wikipedia), j'ai quand même du mal à piger la différence et pourquoi ç'était ok y a 10 ans, et tout d'un coup, c'est la ruine de la démocratie.
"To the extent that this Regulation creates an obligation to recognise a trust service, such a trust service may only be rejected if the addressee of the obligation is unable to read or verify it due to technical reasons lying outside the immediate control of the addressee."
Alors peut être que je pige pas le contexte autour (parce que ça reste quand même du texte législatif, c'est chiant à lire), mais ça me laisse songeur.
Et d'ailleurs, c'est un point qui me dérange avec l'article de l'EFF, il n'y a aucun lien vers le texte en question, juste sur des amendements proposées, sans dire ou voir dans les 80 pages (sur 2 pdfs).
Et quand je lit ça et en gardant le RGPD en tête, j'ai le sentiment que vu que le RGPD a une obligation de garder les choses sécurisés (au moins comme principe, cf article 1), alors garder un truc non sécurisé serait une violation du RGPD, donc il est implicite qu'il faut retirer la CA dans certains cas. D'ailleurs, la régulation dit clairement que l'état est responsable (comprendre juridiquement, donc on peut avoir des dommages et interets) pour l'usage de la CA en question
Et pour savoir si c'est ce genre de discussion et de subtilité, il serait pratique d'avoir un lien, mais ça n'est pas le choix éditorial fait par l'EFF (qui préfère des arguments claqués au sol comme "ça va donner des idées aux dictatures").
Et ça serait bien aussi d'avoir quelqu'un de spécialisé sur le droit européen, mais c'est aussi un choix que l'EFF n'a pas fait, cf sa page du staff, alors qu'il y a du monde sur l'amérique latine.
Je ne dit pas que ça veut dire qu'ils ne connaissent rien, mais pour bosser dans une boite américaine, je sais que les traditions juridiques sont relativement différentes et qu'il y a une certaines tendance à l'oublier chez les juristes (et les autres aussi).
Le fait que l'article ne renvoie vers aucune orga européenne, ni ne donne le moindre call to action me parait aussi au mieux faiblard, au pire louche. Et j'ai vraiment trouvé personne à part l'EFF sur ce créneau, vu que les autres articles renvoient vers le premier article d'il y a quelques mois (en reprenant le même discours).
Encore une fois, ça veut pas dire qu'ils ont tort, mais avec le reste (aucun staff spécialisé sur l'Europe pas de lien pour qu'on voit, un argumentaire faiblard, une interprétation juridique contestable), je pense que ça fait beaucoup.
Ensuite, je suis pas juriste, on verras ce que ça donne dans 5 ans.
Si une autorité de certification se met à émettre des
certificats n'importe comment, elle se fera dégager manu
militari de bases de certificats, et les certificats qu'elle a > émis ou émettra ne seront plus valides (en gros, elle peut
fermer boutique).
Ah oui, et il se passe quoi dans le cas d'un pays ? Parce que par exemple, ta boite qui fait des certifs, elle n'a pas le pouvoir te convoquer ton patron ou fermer tes opérations ou te foutre des amendes. Un état va l'avoir.
Sans cette rétroaction, rien n'empêchera plus les autorités de
la France/Allemagne/Pologne/Hongrie/Macédoine de faire croire à
tout le monde (ou au moins les citoyens concernés par cette
legislation), que leur serveur MITM est celui de google.
Sauf erreur de ma part, Google a sa propre autorité de certification et vérifie ça dans Chrome. Mais supposons un exemple différent, moins dramatique et ancré dans la réalité avec une entité moins bien financé, genre linuxfr.org. Si demain l'état français sort un certificat de sa CA, un navigateur peut utiliser les enregistrements DNS CAA (qui sont un standard depuis 2019) pour voir qu'il y a un souci (bien sur, en supposant qu'il n'y a pas juste un MitM juste avant le serveur et un certif lets encrypt valide, parce que c'est aussi trivial de faire ça, et ça laisse moins de trace, genre, ça laisse pas une trace "c'est l'etat francais qui espionne les moules")
Je ne sais pas si les navigateurs vérifient ça de nos jours, je ne pense pas (sinon, plus de gens se seraient tirer dans le pied), mais 1) ils devraient 2) ça rendrait ce genre d'attaque bien plus difficile (surtout si ça donne aussi une raison de passer à du DNSec ou whatever le protocole du jour pour s'occuper de ça).
De plus, ça fait quand même assez longtemps qu'on se tape des CA génériques et il est peut être temps de se pencher la dessus.
Une CA de l’état français soit limité à .gouv.fr, ça me semblerais aller de soi, et tout est techniquement possible. Il faut juste que le CA/forum se bouge et fasse des règles pour ça.
Pour rappel, il y'a déjà eu des précédents, avec des services
secrets étatiques qui s'en sont pris à des CA mal sécurisées,
pour faire ce genre de choses (ex: Diginotar).
Et du coup, si des services étatiques se sont pris à Diginotar au lieu de passer par leur CA, qu'est ce qu'on doit en conclure sur la faisabilité d'abuser de sa propre CA ?
Vu que le certificat a été utilisé en Iran, on peut supposer que c'est l'IRG derrière tout ça. Du coup, pourquoi l'IRG se fait chier à aller pirater une boite au lieu d'utiliser sa propre CA ?
Car bon, la CA n'est pas dans le trousseau de mon Firefox (je viens de vérifier), mais j'imagine que pour les iraniens, ça doit être plus ou moins requis pour surfer sans avoir un tonne de warnings.
Pour le coup, je trouve que l'EFF fait très bien d'alerter là-
dessus. Avec un équilibre si délicat, je pense y gagner si tout
le monde se tient en joue
Un équilibre délicat de libertarien, ou la moindre position régulatrice étatique est vu comme un probléme.
Avoir un petit bout de souveraineté de son pays entre les mains de 4 entreprises US, ça ne me parait pas être "un fragile équilibre", mais un probléme en devenir.
On peut voir aussi comment l'EFF se positionne en partie contre le GDPR, et comment, 7 ans après, ses pires craintes ne sont pas vraiment matérialiser. Et comment l'EFF se positionne aussi
L'EFF va aussi dire que le débat sur la vie privée ne doit pas se faire uniquement entre les géantes de la Tech, mais visiblement, faut pas aller plus loin que le débat, car visiblement, la régulation des dites géantes, c'est mal(tm).
Demain, le/la président-e des USA déclare un embargo sur un pays (comme c'est déjà le cas avec plusieurs pays, comme l'Iran, Cuba, et sans doute la Corée du nord), les 4 boites qui font des navigateurs vont se retrouver à retirer les autorités de certifs de ce pays.
Je suis pas trop sur de voir ou est l'équilibre à ce niveau. Mais on est en droit en effet de préférer 4 entreprises privées sous la législation d'un même gouvernement étranger qui est passé à 2 doigts d'un coup d'état il y a bientôt 2 ans que de d'avoir nos gouvernements qui demandent un truc à des startups comme Microsoft ou Google.
Je pense qu'il y a quand même plus de nuance que ce que l'EFF tente de faire passer.
On arrête pas de dire qu'il faut pas laisser le contrôle du web à des entités américaines, et que je sache, Mozilla, Microsoft, Apple et Google sont des entités américaines (CLOUD act, etc, etc).
Curieusement, c'est l'EFF (une entité américaine, quel hasard) qui râle sur le fait que l’Europe impose des choses à des projets sous juridiction US.
Alors je sais que c'est mal vu de défendre l'Europe et qu'il y a sans doute beaucoup de gens qui préfèrent le libéralisme état-uniens parce que ça a donné Google, mais je pense qu'avoir de la nuance, c'est plutôt important.
Visiblement, l'EFF préfère faire dans le sensationnel, comme en 2017 avec cette position un peu hors sol.
Primo, pour tout suivre, il y a grosso modo des faits qui remontent à plus de 10 ans (à l'époque du groupe Lulzsec).
Ça couvre aussi plusieurs forums reddits (j'ai compté 5 pour le moment), plusieurs instances mastodons (facile 4/5 aussi), et plusieurs polycules. Sur une échelle de 0 à "Les Rougon-Macquart", on doit être à 3 ou 4 RM en terme de complexité (ou, pour les fans de jeux vidéos, à 0.4 Kingdom Hearts)
De plus, la seule source qui compile tout les détails semble être le forum de stalkeurs Kiwifarms, ce qui pose plusieurs soucis comme le fait que ses membres ont tendance à mentir et déformer la vérité, qu'il faut se taper les messages en faisant abstraction du discours nauséabond (sur ~200 pages), que ça impliquerais de faire un lien vers leur source (et donc de leur filer du trafic et de la légitimité). Et ayant personnellement déjà assez à faire avec une personne qui me stalke, et ayant un coloc stalké par quelqu'un d'autre depuis des années, je suis assez moyen chaud pour ce dernier point.
Je veux bien me taper de lire leurs élucubrations pour voir si des collègues et/ou des gens proches sont dans leur viseur (c'est arrivé qu'une fois), mais je vais pas me taper l'équivalent d'un livre juste pour faire un journal.
Mais, si quelqu'un veut plus d'infos (car je comprends que mon message donne envie), des communications sur le sujet ont été publiées:
Je précise qu'il n'y a pas besoin de s'affoler, car la majorité des failles sont corrigés depuis quelques mois. Je poste le lien car je pense que c'est utile de penser à la complexité en crypto (au cas ou quelqu'un veut se lancer dans ça pour mastodon ou twitter…).
Je sais pas si on peut résumer ça comme ça. Statistiquement, sur tout les comptes du fediverse, il y a forcément ce que tu décris, mais je ne pense pas que ça soit pas aussi du à des facteurs de stress externes au fediverse.
Par exemple, une bonne partie de la communauté trans US est sans doute encore sous le choc de la fusillade au Colorado du 20 novembre, et sous tension de part des attaques législatives constantes dans plein d'états (et je note ça par rapport à l'autre histoire actuelle sur le fediverse avec l'instance https://eightpoint.app/ vs https://kolektiva.social & https://social.treehouse.systems et leur admins et membres respectifs, avec une histoire qui implique le FBI, des accusations de viol et une ferme d'alpaga).
L'afflux de personnes venant de Twitter doit aussi à la foi avoir un impact sur les gens déjà la qui voit leur réseau changer rapidement, et sur les personnes venues de Twitter, parce que ça reste un changement soudain pour elles (et donc source de stress).
Donc il y a plein de raisons autre que "ne pas savoir vivre ensemble", hélas.
Ta remarque sur la désescalade me parait super pertinente. Non seulement je pense qu'une grande part de la population (les hommes en grande partie) n'a pas les outils pour ça car on célèbre justement le contraire, mais en plus, je pense que la célébration de l'escalade est profondément ancré dans une partie des discours militants.
Il y a une échelle des réactions sur le fediverse (ignorer => blocage par une personne dans son coin => silencier l'instance sans le dire => silencier et le dire => defederer l'instance sans le dire => defederer et le dire => defederer et continuer à parler de ça pour que d'autres suivent), et c'est quand même arriver assez vite au niveau le plus haut (genre en moins de 8h).
La, les discussions se focalisent sur l'article de Buzzfeed, notamment sur la remarque du début (sur le dogpile). Dans sa forme, c'est décontextualisé de ce que la fondation a pu dire en entier, et c' est placé en début d'article pour être sur de ne pas le manquer. Un peu comme si Buzzfeed voulait du buzz…
Je ne dit pas que la fondation n'a pas fait n'imp, mais les mécanismes qu'on voit pour des paniques morales sont la (glissements sémantiques, intervention de gros comptes/medias (ex: aral balkan, buzzfeed), décontextualisation, RT à gogo, etc). On est en 2022, il est peut être temps de ne pas refaire les erreurs du passé, surtout quand on sait comment ça se termine (et comment ça va toujours retomber sur les personnes les moins fortunées).
D'abord le message initial, qui dit en gros, "regardez, on a
embauché quelqu'un qui fabrique des mouchards avec des
Raspberry Pi pour espionner les gens". Déjà c'est un peu
bizarre comme choix de communication, mais bon, ok pourquoi
pas.
En même temps, quand tu regardes la boutique de la fondation, en premier, tu vois des rpi, tu scrolles, il y a des cameras pour les rpis. Donc il y a peut être quelque chose quand même, vu que si l'usage principale des RPi, c'était de faire des boîtiers météos, ça serait plus mis en avant.
Ensuite il y a des critiques et inquiétudes à ce sujet de pas
mal de gens. Justifiées ou pas, mais peu importe.
Alors j'ai regardé vite fait, mais globalement, j'avais le sentiment que c'était beaucoup plus des gens des US que le reste (vu le timing des posts). Comme j'ai dit à mes collègues, la fondation est basé en UK et la perception des flics est différente, c'est pas parce que les gens parlent anglais que les flics sont des bourrins comme aux states (et les chiffres le montrent). Je comprends que des gens n'aiment pas les flics (comme partout), mais c'est beaucoup plus politisé de l'autre coté de l'Atlantique, et comme d'hab, des américains oublient que le reste du monde est différent. Les réactions sur reddit m'ont semblé différentes.
Et bien sur, il y a toujours des gens pour jouer sur l'outrage (genre Aral Balkan) pour faire des vues.
Enfin, il y a les réponses du compte Raspberry Pi qui sont en
mode "rien à faire de votre inquiétude, je vous bloque tous, si
vous êtes pas contents allez voir ailleurs".
Oui, un truc qui m'a paru assez drôle d'ailleurs. Une part du fediverse dit "on veut pas de marque", et la, un compte "officiel" se comporte autrement que comme un marque lissé et propre, et … c'est mal aussi. Et donc la réaction à avoir quelqu'un qui bloque, c'est de bloquer préventivement (mais plus fort).
"On veut des marques moins corpos" "non, pas comme ça".
C'est, on me passeras l'expression, un concours de bite.
Et je parle pas non plus de la façon dont la bienveillance envers la personne derrière le compte est passé à la trappe en 3 secondes, parce que les concepts d'emotional labor, visiblement OSEF. C'est d'autant plus choquant que ça vient de groupes qui se veulent progressistes, mais bon, j'ai déjà vu ça plus d'une fois dans d'autres circonstances (par exemple, des groupes autour de Wikipedia), donc je ne suis pas étonné de l'hypocrisie (ni même du fait que la question ne se pose pas).
Et ça montre quand même bien que derrière la raison de protéger son serveur en bloquant, il y a surtout un jeu de pouvoir sur la question des liens interserveurs. Les conflits se font grâce aux affordances que propose le système, et comme d'hab, on s’aperçoit que les communs passent rapidement à la trappe face au reste.
En pratique, si les admins de serveurs voulaient vraiment faire les choses de façon démocratique et ouverte, ça passerait par une discussion avec les membres de son propre serveur avant de bloquer. Mais visiblement, c'est pas ce qui est mis en place (ou alors, pas dans beaucoup de cas).
Ce qu'on voit, c'est plus du virilisme à base de "il faut réagir vite" et "faut sortir l'option nucléaire" car la machine à outrage marche encore sur le fediverse (même si y a pas un algo pour qu'elle soit en mode turbo comme Twitter). Et c'est clairement une question d'outrage, car on sait qu'il y a eu des blocages parce que ça a été publié.
Que les modos expliquent leurs actions, c'est normal. Que ça soit mis en public au lieu de "en local", c'est une nuance à mon avis importante qui montre que le but n'est pas de s'adresser à son instance, mais aux autres instances.
De même, il y a des options autre que la défedération, mais c'est rarement évoqué.
Et ce qui m'attriste, c'est que tout ces modos se retrouvent à donner des mauvaises habitudes. Car plus tu réagis vite et fort, plus l'instance s'habitue à ce que ça soit rapide et brutal. Donc ça fout plus de pression sur ton staff ce qui aboutit à des burnouts.
Sans doute parce que ça simplifie la gestion, et que Canonical a tendance à être quand même un peu serré à ce niveau.
Faire un projet séparé mais qui va être utilisé que par toi, ç'est du boulot.
Par exemple, faut que tu fasses attention à ce qui est générique et ce qui ne l'est pas (comme coder en dur des noms de domaines).
Dans un monde idéal, faut que tu fasses des releases alors que ça va pas forcément te servir à grand chose (vu que y a que toi qui consomme le code). Il faut aussi gérer les patchs potentiels (et donc faire des revues, et on va te raler dessus si tu acceptes rien ). Il faut faire attention à la presse (genre Phoronix) qui va débarquer, trouver un commit et faire un article de 7 paragraphes dessus pour une feature pas importante mais qui va entraîner sans doute des discussions que tu maîtrises pas (et ça, Canonical n'aime pas trop, vu leur attachement à faire des grandes annonces).
Donc je peux comprendre que ça fasse chier, et publier du code pour publier du code sans avoir une vraie démarche à coté de création de communauté, c'est du code dump et faire le travail à moitié.
Et bon, ils ont sans doute aussi peur qu'un concurrent (au sens large) vole leur idée (ce qui me semble douteux, mais bon, j'ai pas autant d'info qu'eux).
Ensuite, même sans communauté à coté, le code peut être utile, ne serais que pour regarder au niveau sécurité, donc je ne dit pas que ça n'a pas de valeur.
Mais je comprends que Canonical fasse un arbitrage différent de celui que je ferais, car ils ne vont pas bénéficier de la majorité des bénéfices de la publication du code (innovation, revue de sécurité, traduction, etc), tout en ayant sans doute beaucoup des effets moins bénéfiques (presse, risque concurrentiel, etc).
Alors pour gnome:
misc> quick question, GNOME no longer use FossHost service, and it was just arm64 builders ? (since it is closing down, I am evaluating the damages)
barthalion[m]> misc: we also used one box for runners monitoring, but it wasn't particularly useful
barthalion[m]> so it ended up on "some day" list after it broke down
barthalion[m]> besides this yes, just two aarch64 builders, but we have others
Donc 1 machine en panne et pas utile, et 2 builders ARM 64.
L'infra de GNOME est géré par la fondation qui emploie un adminsys, et la majorité des machines sont dans un datacenter à Raleigh en Caroline du Nord, hébergé par mon employeur (et sous ma responsabilité).
GNOME a fait des changements récents (fermeture de mailman pour discourse, changement sur l'auth de gitlab et migration de gitlab dans une infra openshift, déplacement hors de irc.gimp.org, etc), et c'est sans doute de ça qu'Ole a parlé.
De l'avis de plein de personnes (vu que le sujet a été discuté sur le salon des admins de la fondation), le comportement de Ole Aamot est assez surprenant (et préoccupant).
Il est actuellement temporairement suspendu suite à ses posts sur discourse (et sur son blog, etc).
Et sauf erreur de ma part, ce que FossHost fournit pour GNOME, c'est des builders ARM 64. Vu que trouver du matériel ARM 64 qui peut se placer dans un DC, c'est assez complexe (vu que tout les fabricants se cassent la gueule et que le matos serveur est un peu pourri (firmware/bios/uefi naze, si je me souviens des sujets de plainte de Fedora)), c'était plus facile de passer par FossHost.
Je sais pas ce qui est prévu, mais j'ai demandé sur irc.
Oui, il y a aussi d'autres cas, par exemple, les peintres comme dit dans cette vidéo que j'ai vu passé sur le Fediverse (par un membre de Linuxfr qui se reconnaîtras). Ou le monde du hacking/logiciel libre avec le cas de Jacob Appelbaum, qui a aboutit à l'écriture de ce texte que je recolle sans arrêt sur le sujet.
Bah, pas plus que le journal sur mc kinsey (5 points) ou celui sur l'audition de Yves bréchet (9 points).
Ensuite, je pense qu'on peut discuter sur savoir si un youtubeur, c'est en rapport avec youtube et les nouvelles technologies ou pas. C'est vrai que ç'est plus trop nouveau.
Finement paramétrable, je sais pas, mais pour la synchro, il semble que Koreader supporte ça. Il y a même plusieurs serveurs alternatifs, et l'API est composé de 4 URL REST.
C'est écrit en Lua, et donc ça me semble pas impossible de faire des plugins si besoin spécifique.
Mais j'utilise pas Koreader, j'ai jeté mon dévolu sur Plato, qui ne rentre pas dans tes critères du tout.
Ensuite, si FBReader fait le taf, tu n'as pas de raisons de le changer.
# Tu es second :p
Posté par Misc (site web personnel) . En réponse au lien La Fondation Linux prend en main une alternative à Google Maps : Overture Maps - letemps.ch. Évalué à 5.
Déjà posté:
https://linuxfr.org/users/misc/liens/linux-foundation-announces-overture-maps-foundation-to-build-interoperable-open-map-data
(mais je pertinente quand même, car c'est en français)
[^] # Re: Elonjet
Posté par Misc (site web personnel) . En réponse au lien Twitter suspend les comptes de journalistes travaillant sur Elon Musk. Évalué à 3.
Y a aussi au moins un cryptographe/chercheur en sécurité qui a été suspendu:
https://soatok.blog/2022/12/16/security-research-on-twitter-before-and-after-musks-takeover/
[^] # Re: Elonjet
Posté par Misc (site web personnel) . En réponse au lien Twitter suspend les comptes de journalistes travaillant sur Elon Musk. Évalué à 4.
Les institutions commencent à réagir. Par exemple, le doyen de l'école de santé publique de l'université de Boston a posté un article vachement nuancé sur la question de Twitter.
Même si le message de la vice présidente me parait être un peu du flan, ça reste aussi une première salve diplomatique (ou une seconde, vu que Thierry Breton a aussi posté un truc y a quelques mois).
[^] # Re: déjà vu
Posté par Misc (site web personnel) . En réponse au lien Twitter bloque les liens des instances du fediverse. Évalué à 6.
Alors je suis pas totalement d'accord avec ton analyse.
Par exemple, la commission européenne via NGI finance des projets autour d'Activity Pub comme par exemple, Gotosocial. L'Europe a aussi son propre serveur mastodon depuis quelque temps.
Les politiques n'ont pas laissés le monopole sans rien faire, comme par exemple, le DSA (proposé fin 2020, mis en place fin 2022).
Et stricto sensu, Twitter n'a pas le moindre monopole (y a d'autres réseaux sociaux, et les rédactions ont fait de leur mieux aussi pour proposer des listes de mails, des comptes d'autres réseaux, etc). Ensuite, en effet, les journalistes ont foncés dessus (et bon, les journalistes sont sans doute aussi des canaux slacks, des listes de diffusions, etc).
Est ce que l'idée était que les personnalités politiques ou l'état disent aux journalistes quoi faire ? (parce que bon, ç'est pas terrible non plus).
Que l'état mette en place un droit à avoir un compte de réseaux socials (voir laposte.net ?)
Que l'état s’ingère dans la modération d'une boite ? Finance des concurrents (cloud souverain, tout ça) ?
Alors oui, la réaction a été lente, mais le consensus prends du temps, surtout au niveau de l'Europe. Et les personnes compétentes sur le sujet ont sans doute aussi été prises par le RGPD, par exemple.
Et les questions de liberté de la presse sont des sujets assez souvent touché la cour européenne des droits de l'homme depuis des années (article 10), et il y a une jurisprudence assez conséquente sur le sujet, même si ça reste un sujet compliqué (par exemple la question de l'équilibre entre avoir des sources non contrôlée par l'état, mais en même temps, ne pas se noyer sous la désinformation).
[^] # Re: déjà vu
Posté par Misc (site web personnel) . En réponse au lien Twitter bloque les liens des instances du fediverse. Évalué à 3.
Non, parce que l'Europe n'a pas ralé sur freenode: https://www.bbc.com/news/world-us-canada-63996061
[^] # Re: UT - GOTY rulez
Posté par Misc (site web personnel) . En réponse au lien Epic Games are killing off a bunch of classics like Unreal Tournament. Évalué à 5.
Curieusement, le jeu est encore sur gog.com.
[^] # Re: Rien compris
Posté par Misc (site web personnel) . En réponse au lien L'UE impose l'usage de certificats non sécurisés aux navigateurs web. Évalué à 5.
En pratique, vu que la régulation actuelle (eIDAS) force déjà à reconnaître des trusts services (si je comprends bien le texte et Wikipedia), j'ai quand même du mal à piger la différence et pourquoi ç'était ok y a 10 ans, et tout d'un coup, c'est la ruine de la démocratie.
La régulation en question dans son point 23 dit:
"To the extent that this Regulation creates an obligation to recognise a trust service, such a trust service may only be rejected if the addressee of the obligation is unable to read or verify it due to technical reasons lying outside the immediate control of the addressee."
Alors peut être que je pige pas le contexte autour (parce que ça reste quand même du texte législatif, c'est chiant à lire), mais ça me laisse songeur.
Et d'ailleurs, c'est un point qui me dérange avec l'article de l'EFF, il n'y a aucun lien vers le texte en question, juste sur des amendements proposées, sans dire ou voir dans les 80 pages (sur 2 pdfs).
Le seul truc vaguement que je vois en rapport, c'est l'amendement 64 du comité sur le marché international et de la protection des consommateurs.
Et quand je lit ça et en gardant le RGPD en tête, j'ai le sentiment que vu que le RGPD a une obligation de garder les choses sécurisés (au moins comme principe, cf article 1), alors garder un truc non sécurisé serait une violation du RGPD, donc il est implicite qu'il faut retirer la CA dans certains cas. D'ailleurs, la régulation dit clairement que l'état est responsable (comprendre juridiquement, donc on peut avoir des dommages et interets) pour l'usage de la CA en question
Et pour savoir si c'est ce genre de discussion et de subtilité, il serait pratique d'avoir un lien, mais ça n'est pas le choix éditorial fait par l'EFF (qui préfère des arguments claqués au sol comme "ça va donner des idées aux dictatures").
Et ça serait bien aussi d'avoir quelqu'un de spécialisé sur le droit européen, mais c'est aussi un choix que l'EFF n'a pas fait, cf sa page du staff, alors qu'il y a du monde sur l'amérique latine.
Je ne dit pas que ça veut dire qu'ils ne connaissent rien, mais pour bosser dans une boite américaine, je sais que les traditions juridiques sont relativement différentes et qu'il y a une certaines tendance à l'oublier chez les juristes (et les autres aussi).
Le fait que l'article ne renvoie vers aucune orga européenne, ni ne donne le moindre call to action me parait aussi au mieux faiblard, au pire louche. Et j'ai vraiment trouvé personne à part l'EFF sur ce créneau, vu que les autres articles renvoient vers le premier article d'il y a quelques mois (en reprenant le même discours).
Encore une fois, ça veut pas dire qu'ils ont tort, mais avec le reste (aucun staff spécialisé sur l'Europe pas de lien pour qu'on voit, un argumentaire faiblard, une interprétation juridique contestable), je pense que ça fait beaucoup.
Ensuite, je suis pas juriste, on verras ce que ça donne dans 5 ans.
[^] # Re: Rien compris
Posté par Misc (site web personnel) . En réponse au lien L'UE impose l'usage de certificats non sécurisés aux navigateurs web. Évalué à 3.
Comme le GDPR ou les prises de chargements de téléphones en usb, des amendes.
Parce que les éditeurs en question, encore une fois, c'est Google, Microsoft, Apple. Avec ces 3 la, tu couvre 90% du marché.
[^] # Re: Rien compris
Posté par Misc (site web personnel) . En réponse au lien L'UE impose l'usage de certificats non sécurisés aux navigateurs web. Évalué à 5.
Ah oui, et il se passe quoi dans le cas d'un pays ? Parce que par exemple, ta boite qui fait des certifs, elle n'a pas le pouvoir te convoquer ton patron ou fermer tes opérations ou te foutre des amendes. Un état va l'avoir.
Sauf erreur de ma part, Google a sa propre autorité de certification et vérifie ça dans Chrome. Mais supposons un exemple différent, moins dramatique et ancré dans la réalité avec une entité moins bien financé, genre linuxfr.org. Si demain l'état français sort un certificat de sa CA, un navigateur peut utiliser les enregistrements DNS CAA (qui sont un standard depuis 2019) pour voir qu'il y a un souci (bien sur, en supposant qu'il n'y a pas juste un MitM juste avant le serveur et un certif lets encrypt valide, parce que c'est aussi trivial de faire ça, et ça laisse moins de trace, genre, ça laisse pas une trace "c'est l'etat francais qui espionne les moules")
Je ne sais pas si les navigateurs vérifient ça de nos jours, je ne pense pas (sinon, plus de gens se seraient tirer dans le pied), mais 1) ils devraient 2) ça rendrait ce genre d'attaque bien plus difficile (surtout si ça donne aussi une raison de passer à du DNSec ou whatever le protocole du jour pour s'occuper de ça).
De plus, ça fait quand même assez longtemps qu'on se tape des CA génériques et il est peut être temps de se pencher la dessus.
Une CA de l’état français soit limité à .gouv.fr, ça me semblerais aller de soi, et tout est techniquement possible. Il faut juste que le CA/forum se bouge et fasse des règles pour ça.
Et du coup, si des services étatiques se sont pris à Diginotar au lieu de passer par leur CA, qu'est ce qu'on doit en conclure sur la faisabilité d'abuser de sa propre CA ?
Vu que le certificat a été utilisé en Iran, on peut supposer que c'est l'IRG derrière tout ça. Du coup, pourquoi l'IRG se fait chier à aller pirater une boite au lieu d'utiliser sa propre CA ?
Car bon, la CA n'est pas dans le trousseau de mon Firefox (je viens de vérifier), mais j'imagine que pour les iraniens, ça doit être plus ou moins requis pour surfer sans avoir un tonne de warnings.
Un équilibre délicat de libertarien, ou la moindre position régulatrice étatique est vu comme un probléme.
Avoir un petit bout de souveraineté de son pays entre les mains de 4 entreprises US, ça ne me parait pas être "un fragile équilibre", mais un probléme en devenir.
On peut voir aussi comment l'EFF se positionne en partie contre le GDPR, et comment, 7 ans après, ses pires craintes ne sont pas vraiment matérialiser. Et comment l'EFF se positionne aussi
L'EFF va aussi dire que le débat sur la vie privée ne doit pas se faire uniquement entre les géantes de la Tech, mais visiblement, faut pas aller plus loin que le débat, car visiblement, la régulation des dites géantes, c'est mal(tm).
Demain, le/la président-e des USA déclare un embargo sur un pays (comme c'est déjà le cas avec plusieurs pays, comme l'Iran, Cuba, et sans doute la Corée du nord), les 4 boites qui font des navigateurs vont se retrouver à retirer les autorités de certifs de ce pays.
Je suis pas trop sur de voir ou est l'équilibre à ce niveau. Mais on est en droit en effet de préférer 4 entreprises privées sous la législation d'un même gouvernement étranger qui est passé à 2 doigts d'un coup d'état il y a bientôt 2 ans que de d'avoir nos gouvernements qui demandent un truc à des startups comme Microsoft ou Google.
[^] # Re: Rien compris
Posté par Misc (site web personnel) . En réponse au lien L'UE impose l'usage de certificats non sécurisés aux navigateurs web. Évalué à 7. Dernière modification le 12 décembre 2022 à 22:59.
Je pense qu'il y a quand même plus de nuance que ce que l'EFF tente de faire passer.
On arrête pas de dire qu'il faut pas laisser le contrôle du web à des entités américaines, et que je sache, Mozilla, Microsoft, Apple et Google sont des entités américaines (CLOUD act, etc, etc).
Curieusement, c'est l'EFF (une entité américaine, quel hasard) qui râle sur le fait que l’Europe impose des choses à des projets sous juridiction US.
Alors je sais que c'est mal vu de défendre l'Europe et qu'il y a sans doute beaucoup de gens qui préfèrent le libéralisme état-uniens parce que ça a donné Google, mais je pense qu'avoir de la nuance, c'est plutôt important.
Visiblement, l'EFF préfère faire dans le sensationnel, comme en 2017 avec cette position un peu hors sol.
[^] # Re: Les failles sont déjà corrigés
Posté par Misc (site web personnel) . En réponse au lien Practically-exploitable Cryptographic Vulnerabilities in Matrix. Évalué à 3.
J'ai aussi vu un épisode de podcast sur le sujet.
# Discussion précédente
Posté par Misc (site web personnel) . En réponse au lien Statement from Fosshost's Founder. Évalué à 5.
https://linuxfr.org/users/pulkomandy/liens/fosshost-a-perdu-contact-avec-son-ceo-et-va-arreter-tous-ses-services
[^] # Re: Euh...
Posté par Misc (site web personnel) . En réponse au lien A case study on raspberry pi incident on the fediverse. Évalué à 4.
Sans doute, mais il y a plusieurs soucis.
Primo, pour tout suivre, il y a grosso modo des faits qui remontent à plus de 10 ans (à l'époque du groupe Lulzsec).
Ça couvre aussi plusieurs forums reddits (j'ai compté 5 pour le moment), plusieurs instances mastodons (facile 4/5 aussi), et plusieurs polycules. Sur une échelle de 0 à "Les Rougon-Macquart", on doit être à 3 ou 4 RM en terme de complexité (ou, pour les fans de jeux vidéos, à 0.4 Kingdom Hearts)
De plus, la seule source qui compile tout les détails semble être le forum de stalkeurs Kiwifarms, ce qui pose plusieurs soucis comme le fait que ses membres ont tendance à mentir et déformer la vérité, qu'il faut se taper les messages en faisant abstraction du discours nauséabond (sur ~200 pages), que ça impliquerais de faire un lien vers leur source (et donc de leur filer du trafic et de la légitimité). Et ayant personnellement déjà assez à faire avec une personne qui me stalke, et ayant un coloc stalké par quelqu'un d'autre depuis des années, je suis assez moyen chaud pour ce dernier point.
Je veux bien me taper de lire leurs élucubrations pour voir si des collègues et/ou des gens proches sont dans leur viseur (c'est arrivé qu'une fois), mais je vais pas me taper l'équivalent d'un livre juste pour faire un journal.
Mais, si quelqu'un veut plus d'infos (car je comprends que mon message donne envie), des communications sur le sujet ont été publiées:
Communication des modos de kolektiva.social
Résumé par "quelqu'un" (bien que j'ai une vague idée du "qui", je vais garder ça pour moi)
# Les failles sont déjà corrigés
Posté par Misc (site web personnel) . En réponse au lien Practically-exploitable Cryptographic Vulnerabilities in Matrix. Évalué à 7.
Je précise qu'il n'y a pas besoin de s'affoler, car la majorité des failles sont corrigés depuis quelques mois. Je poste le lien car je pense que c'est utile de penser à la complexité en crypto (au cas ou quelqu'un veut se lancer dans ça pour mastodon ou twitter…).
[^] # Re: Euh...
Posté par Misc (site web personnel) . En réponse au lien A case study on raspberry pi incident on the fediverse. Évalué à 6.
Je sais pas si on peut résumer ça comme ça. Statistiquement, sur tout les comptes du fediverse, il y a forcément ce que tu décris, mais je ne pense pas que ça soit pas aussi du à des facteurs de stress externes au fediverse.
Par exemple, une bonne partie de la communauté trans US est sans doute encore sous le choc de la fusillade au Colorado du 20 novembre, et sous tension de part des attaques législatives constantes dans plein d'états (et je note ça par rapport à l'autre histoire actuelle sur le fediverse avec l'instance https://eightpoint.app/ vs https://kolektiva.social & https://social.treehouse.systems et leur admins et membres respectifs, avec une histoire qui implique le FBI, des accusations de viol et une ferme d'alpaga).
L'afflux de personnes venant de Twitter doit aussi à la foi avoir un impact sur les gens déjà la qui voit leur réseau changer rapidement, et sur les personnes venues de Twitter, parce que ça reste un changement soudain pour elles (et donc source de stress).
J'imagine que l'hiver n'aide pas non plus.
Donc il y a plein de raisons autre que "ne pas savoir vivre ensemble", hélas.
Ta remarque sur la désescalade me parait super pertinente. Non seulement je pense qu'une grande part de la population (les hommes en grande partie) n'a pas les outils pour ça car on célèbre justement le contraire, mais en plus, je pense que la célébration de l'escalade est profondément ancré dans une partie des discours militants.
Il y a une échelle des réactions sur le fediverse (ignorer => blocage par une personne dans son coin => silencier l'instance sans le dire => silencier et le dire => defederer l'instance sans le dire => defederer et le dire => defederer et continuer à parler de ça pour que d'autres suivent), et c'est quand même arriver assez vite au niveau le plus haut (genre en moins de 8h).
La, les discussions se focalisent sur l'article de Buzzfeed, notamment sur la remarque du début (sur le dogpile). Dans sa forme, c'est décontextualisé de ce que la fondation a pu dire en entier, et c' est placé en début d'article pour être sur de ne pas le manquer. Un peu comme si Buzzfeed voulait du buzz…
Je ne dit pas que la fondation n'a pas fait n'imp, mais les mécanismes qu'on voit pour des paniques morales sont la (glissements sémantiques, intervention de gros comptes/medias (ex: aral balkan, buzzfeed), décontextualisation, RT à gogo, etc). On est en 2022, il est peut être temps de ne pas refaire les erreurs du passé, surtout quand on sait comment ça se termine (et comment ça va toujours retomber sur les personnes les moins fortunées).
[^] # Re: Euh...
Posté par Misc (site web personnel) . En réponse au lien A case study on raspberry pi incident on the fediverse. Évalué à 8.
En même temps, quand tu regardes la boutique de la fondation, en premier, tu vois des rpi, tu scrolles, il y a des cameras pour les rpis. Donc il y a peut être quelque chose quand même, vu que si l'usage principale des RPi, c'était de faire des boîtiers météos, ça serait plus mis en avant.
Alors j'ai regardé vite fait, mais globalement, j'avais le sentiment que c'était beaucoup plus des gens des US que le reste (vu le timing des posts). Comme j'ai dit à mes collègues, la fondation est basé en UK et la perception des flics est différente, c'est pas parce que les gens parlent anglais que les flics sont des bourrins comme aux states (et les chiffres le montrent). Je comprends que des gens n'aiment pas les flics (comme partout), mais c'est beaucoup plus politisé de l'autre coté de l'Atlantique, et comme d'hab, des américains oublient que le reste du monde est différent. Les réactions sur reddit m'ont semblé différentes.
Et bien sur, il y a toujours des gens pour jouer sur l'outrage (genre Aral Balkan) pour faire des vues.
Oui, un truc qui m'a paru assez drôle d'ailleurs. Une part du fediverse dit "on veut pas de marque", et la, un compte "officiel" se comporte autrement que comme un marque lissé et propre, et … c'est mal aussi. Et donc la réaction à avoir quelqu'un qui bloque, c'est de bloquer préventivement (mais plus fort).
"On veut des marques moins corpos" "non, pas comme ça".
C'est, on me passeras l'expression, un concours de bite.
Et je parle pas non plus de la façon dont la bienveillance envers la personne derrière le compte est passé à la trappe en 3 secondes, parce que les concepts d'emotional labor, visiblement OSEF. C'est d'autant plus choquant que ça vient de groupes qui se veulent progressistes, mais bon, j'ai déjà vu ça plus d'une fois dans d'autres circonstances (par exemple, des groupes autour de Wikipedia), donc je ne suis pas étonné de l'hypocrisie (ni même du fait que la question ne se pose pas).
Et ça montre quand même bien que derrière la raison de protéger son serveur en bloquant, il y a surtout un jeu de pouvoir sur la question des liens interserveurs. Les conflits se font grâce aux affordances que propose le système, et comme d'hab, on s’aperçoit que les communs passent rapidement à la trappe face au reste.
En pratique, si les admins de serveurs voulaient vraiment faire les choses de façon démocratique et ouverte, ça passerait par une discussion avec les membres de son propre serveur avant de bloquer. Mais visiblement, c'est pas ce qui est mis en place (ou alors, pas dans beaucoup de cas).
Ce qu'on voit, c'est plus du virilisme à base de "il faut réagir vite" et "faut sortir l'option nucléaire" car la machine à outrage marche encore sur le fediverse (même si y a pas un algo pour qu'elle soit en mode turbo comme Twitter). Et c'est clairement une question d'outrage, car on sait qu'il y a eu des blocages parce que ça a été publié.
Que les modos expliquent leurs actions, c'est normal. Que ça soit mis en public au lieu de "en local", c'est une nuance à mon avis importante qui montre que le but n'est pas de s'adresser à son instance, mais aux autres instances.
De même, il y a des options autre que la défedération, mais c'est rarement évoqué.
Et ce qui m'attriste, c'est que tout ces modos se retrouvent à donner des mauvaises habitudes. Car plus tu réagis vite et fort, plus l'instance s'habitue à ce que ça soit rapide et brutal. Donc ça fout plus de pression sur ton staff ce qui aboutit à des burnouts.
[^] # Re: Justification ?
Posté par Misc (site web personnel) . En réponse au lien snapstore-server : un composant privateur à la base d'Ubuntu. Évalué à 5.
Sans doute parce que ça simplifie la gestion, et que Canonical a tendance à être quand même un peu serré à ce niveau.
Faire un projet séparé mais qui va être utilisé que par toi, ç'est du boulot.
Par exemple, faut que tu fasses attention à ce qui est générique et ce qui ne l'est pas (comme coder en dur des noms de domaines).
Dans un monde idéal, faut que tu fasses des releases alors que ça va pas forcément te servir à grand chose (vu que y a que toi qui consomme le code). Il faut aussi gérer les patchs potentiels (et donc faire des revues, et on va te raler dessus si tu acceptes rien ). Il faut faire attention à la presse (genre Phoronix) qui va débarquer, trouver un commit et faire un article de 7 paragraphes dessus pour une feature pas importante mais qui va entraîner sans doute des discussions que tu maîtrises pas (et ça, Canonical n'aime pas trop, vu leur attachement à faire des grandes annonces).
Donc je peux comprendre que ça fasse chier, et publier du code pour publier du code sans avoir une vraie démarche à coté de création de communauté, c'est du code dump et faire le travail à moitié.
Et bon, ils ont sans doute aussi peur qu'un concurrent (au sens large) vole leur idée (ce qui me semble douteux, mais bon, j'ai pas autant d'info qu'eux).
Ensuite, même sans communauté à coté, le code peut être utile, ne serais que pour regarder au niveau sécurité, donc je ne dit pas que ça n'a pas de valeur.
Mais je comprends que Canonical fasse un arbitrage différent de celui que je ferais, car ils ne vont pas bénéficier de la majorité des bénéfices de la publication du code (innovation, revue de sécurité, traduction, etc), tout en ayant sans doute beaucoup des effets moins bénéfiques (presse, risque concurrentiel, etc).
[^] # Re: bof, youtubeur…
Posté par Misc (site web personnel) . En réponse au lien Le youtubeur Norman Thavaud en garde à vue pour viols et corruption de mineurs. Évalué à 3.
Alors que le bon chasseur et le mauvais chasseur….
[^] # Re: Épisodes précédents
Posté par Misc (site web personnel) . En réponse au lien FossHost a perdu contact avec son CEO et va arrêter tous ses services. Évalué à 9.
Alors pour gnome:
misc> quick question, GNOME no longer use FossHost service, and it was just arm64 builders ? (since it is closing down, I am evaluating the damages)
barthalion[m]> misc: we also used one box for runners monitoring, but it wasn't particularly useful
barthalion[m]> so it ended up on "some day" list after it broke down
barthalion[m]> besides this yes, just two aarch64 builders, but we have others
Donc 1 machine en panne et pas utile, et 2 builders ARM 64.
[^] # Re: Épisodes précédents
Posté par Misc (site web personnel) . En réponse au lien FossHost a perdu contact avec son CEO et va arrêter tous ses services. Évalué à 10.
Pas vraiment.
L'infra de GNOME est géré par la fondation qui emploie un adminsys, et la majorité des machines sont dans un datacenter à Raleigh en Caroline du Nord, hébergé par mon employeur (et sous ma responsabilité).
GNOME a fait des changements récents (fermeture de mailman pour discourse, changement sur l'auth de gitlab et migration de gitlab dans une infra openshift, déplacement hors de irc.gimp.org, etc), et c'est sans doute de ça qu'Ole a parlé.
De l'avis de plein de personnes (vu que le sujet a été discuté sur le salon des admins de la fondation), le comportement de Ole Aamot est assez surprenant (et préoccupant).
Il est actuellement temporairement suspendu suite à ses posts sur discourse (et sur son blog, etc).
Et sauf erreur de ma part, ce que FossHost fournit pour GNOME, c'est des builders ARM 64. Vu que trouver du matériel ARM 64 qui peut se placer dans un DC, c'est assez complexe (vu que tout les fabricants se cassent la gueule et que le matos serveur est un peu pourri (firmware/bios/uefi naze, si je me souviens des sujets de plainte de Fedora)), c'était plus facile de passer par FossHost.
Je sais pas ce qui est prévu, mais j'ai demandé sur irc.
[^] # Re: bof, youtubeur…
Posté par Misc (site web personnel) . En réponse au lien Le youtubeur Norman Thavaud en garde à vue pour viols et corruption de mineurs. Évalué à 3.
Oui, il y a aussi d'autres cas, par exemple, les peintres comme dit dans cette vidéo que j'ai vu passé sur le Fediverse (par un membre de Linuxfr qui se reconnaîtras). Ou le monde du hacking/logiciel libre avec le cas de Jacob Appelbaum, qui a aboutit à l'écriture de ce texte que je recolle sans arrêt sur le sujet.
[^] # Re: Et la choucroute ?
Posté par Misc (site web personnel) . En réponse au lien Le youtubeur Norman Thavaud en garde à vue pour viols et corruption de mineurs. Évalué à 10.
Bah, pas plus que le journal sur mc kinsey (5 points) ou celui sur l'audition de Yves bréchet (9 points).
Ensuite, je pense qu'on peut discuter sur savoir si un youtubeur, c'est en rapport avec youtube et les nouvelles technologies ou pas. C'est vrai que ç'est plus trop nouveau.
[^] # Re: bof, youtubeur…
Posté par Misc (site web personnel) . En réponse au lien Le youtubeur Norman Thavaud en garde à vue pour viols et corruption de mineurs. Évalué à 10.
Alors perso, j'ai jamais vu ses vidéos (je crois), mais je confirme que j'ai entendu son nom.
Ensuite, y a pas que les jeunes de Youtube devant la justice, y a aussi les vieux de la TV.
# Le même rapport que dans un autre journal
Posté par Misc (site web personnel) . En réponse au lien Le vrai coût écologique du streaming vidéo. Évalué à 3.
Le rapport en question de l'ADEME est aussi discuté dans le journal d'Ysabeau: https://linuxfr.org/users/ysabeau/liens/ademe-la-liseuse-est-elle-ecologique
(pour le cas ou quelqu'un va lire l'article, puis le rapport et lancer la discussion sur les liseuses)
[^] # Re: Courriels
Posté par Misc (site web personnel) . En réponse au lien ADEME : La liseuse est-elle écologique ?. Évalué à 4.
Finement paramétrable, je sais pas, mais pour la synchro, il semble que Koreader supporte ça. Il y a même plusieurs serveurs alternatifs, et l'API est composé de 4 URL REST.
C'est écrit en Lua, et donc ça me semble pas impossible de faire des plugins si besoin spécifique.
Mais j'utilise pas Koreader, j'ai jeté mon dévolu sur Plato, qui ne rentre pas dans tes critères du tout.
Ensuite, si FBReader fait le taf, tu n'as pas de raisons de le changer.