Comme toi, j'essaye depuis quelques jours, par curiosité, et je
trouve que le principal défaut est la nécessité de
copier/coller qqch dans le champ recherche lorsqu'un veut
s'abonner à qqun d'une autre instance. Ça me gêne pas
tellement, mais je vois bien comment ça peut rebuter mon
entourage "non passionné d'informatique".
Oui, ça, et le fait que tu n'as que les messages qui sont envoyés sur ton instance (sauf à spécifiquement aller chercher le contexte). Par exemple, quelqu'un booste un autre message, tu va pas avoir le contexte, et je trouve ça gênant (car par exemple, tu ne sais pas si tu n'es pas la 15 éme personne à répondre, tu ne voit pas la suite ou ce qu'il y a avant).
Simple : il ne s'agit pas de doxxing. Le compte poste des
données publiques sur la position de son jet privé. On ne sait
pas qui est dedans, on ne sait pas si ses enfants sont jamais
monté à bord.
En fait, c'est même pire. Tout l'incident en lui même a été tordu par Musk, cf l'article des journalistes du Washington Post:
c'est juste le nouveau nom de Microsoft Defender, qui surveille
en plus le comportement des applications, ce que fait déjà
apparmor sous Linux
Non.
Primo, apparmor est pas présent partout (et ses politiques de confinement étaient assez nulles y a quelque années), et ensuite, ça ne fait pas la même chose du tout. Apparmor ne fait pas de rapports centralisés, Apparmor ne fait de vérification de hashes de fichiers connus comme malicieux, Apparmor ne va pas vérifier des comportements suspects comme lancer un truc en root.
Robert de la compta qui installe GCC sur son poste, c'est au mieux quelqu'un qui va installer un truc que le support va devoir se taper "mais si regarde, tu peux aller plus vite avec ce module noyau qui bypasse le pci pour nvidia". Au pire, c'est pas Robert mais un malware.
Bien sur, ça va être différent de Jeanne la spécialiste de l'embarqué qui installe rust pour le nouveau microcontrôleur à missile de la boite, mais la question du classement des alertes, ça implique d'avoir des alertes.
Et le PDG a changé d'avis à nouveau après qu'un streameur d’extrême droite a dit "j'ai un lien vers mon site qui vends du café, je concurrence pas Twitter"
Je me demande ce que vont en penser les différentes autorités
anticoncurrence (contrairement à d'autres, je ne suis pas
persuadé que ça soit interdit).
En même temps, est ce que Twitter a encore une équipe de juriste pour se défendre ?
Intéressant, en même temps 50 000€ c’est vraiment démesuré pour
obtenir quelque chose comme ça alors qu’il est tout à fait
rationnel de supposer qu’il ne devrait y avoir rien à payer.
Bah, si Musk veut être protégé par une législation forte en matière de vie privé, il faut pas rester aux états unis.
Il a les moyen de bouger, et/ou de faire du lobbying politique si la vie privée lui importe vraiment.
Le fait de ne pas avoir bloqué des comptes comme libsoftiktok qui annonce régulièrement des événements de la communauté LGBT en sachant que ça va entraîner des violences (car relayé par des présentateurs d’extrême droite comme Matt Walsh, etc) montre bien que c'est pas le fait de publier des choses qui entraîne de la violence, mais bien l'idée que ça soit ce qui pourrait lui arriver.
Il est dans sa bulle paranoïaque que d'autres exploitent à des fins politiques.
Et les gens qui défendent Musk sont curieusement silencieux alors qu'il y a un nombre croissant de publications qui pointent les liens entre la rhétorique haineuse de l’extrême droite et les alertes à la bombe dans des hôpitaux (le Boston Children Hospital a été ciblé plusieurs fois), les milices armées (par exemple, dans l'Idaho, en Floride, et ailleurs). Et les liens entre l'ambiance haineuse et la fusillade du mois dernier dans le Colorado sont documentés assez largement.
Et en pratique, le mec est riche, il a sans aucun doute une équipe de sécurité pour s'occuper de ça (sauf si il n'est pas assez riche pour ça, ou tellement con qu'il pense qu'il n'a pas besoin, ou que ça le fait chier).
La solution est simple, il suffit d'avoir de signaler avant si le jet est utilisé pour lui, ou pour lui et sa famille., et de ne rien faire dans le second cas.
On touche à un problème d'extraterritorialité particulièrement
velu. La solution n'est pas simple.
Le problème général est velu, mais on peut pas dire que le problème particulier d'aujourd'hui le soit.
Elon Musk a pris le contrôle de Twitter, il a réduit de 90% son staff. Il est capable de faire passer des changements rapidement parce qu'il a viré tout le monde, mais ça implique aussi que tout les gens qui savent que c'était une mauvaise idée ne sont plus la.
Du coup, il passe pour un gamin capricieux parce que Twitter n'est pas Tesla, ses caprices peuvent être mis en œuvre dans la journée.
Le problème devient qu'une entreprise de taille conséquente est soudainement redevenu une startup, avec un gamin à sa tête, tout en gardant sa base de clients/utilisateurs, un truc quand même assez rare pour une boite de la taille de Twitter (parce que sinon, Reworld Media ou Crossover, ça existe). Personne ne se dit "c'est réaliste de virer 90% du staff" car ça serait une catastrophe pour la boite sur le long terme, et sans doute illégal dans plusieurs pays.
Et pourtant, c'est arrivé, ce qui montre aussi la limite des lois et du bon sens.
Maintenant, je pense que la direction que va prendre la solution générale, c'est effectivement de déclarer qu'au delà d'une certaine taille, soit tu as une "fédération" (cad une pluralité d'acteur qui peuvent se remplacer les uns et les autres et interagir), soit tu es considéré comme un service public, avec des obligations plus strictes qu'une boite privée.
Par exemple, les banques. C'est des entités privées, mais tu peux passer d'une banque à une autre avec plus ou moins de soucis. Les opérateurs téléphoniques, c'est pareil.
Ou Thales, qui est une entreprise privée en situation favorable vis à vis de certains marchés, mais qui peut pas exactement dire merde ou vendre ce qu'elle veut ou elle veut.
Le DSA n'est pas parfait (et encore, je prends les critiques du monde diplo avec un peu de recul vu leur avis sur la guerre en Ukraine), mais l'interopérabilité en fait parti, sans doute parce que c'est le compromis acceptable en "on nationalise autant que possible" et "on doit privatiser tout". L'équilibre entre le bénéfices des membres (nationaliser, car chaque pays garde le contrôle) et celui du groupe (eg, privatiser, c'est aussi permettre l’émergence d'acteur transnationaux et c'est aussi ce qu'on veut via l'UE).
Les institutions commencent à réagir. Par exemple, le doyen de l'école de santé publique de l'université de Boston a posté un article vachement nuancé sur la question de Twitter.
Même si le message de la vice présidente me parait être un peu du flan, ça reste aussi une première salve diplomatique (ou une seconde, vu que Thierry Breton a aussi posté un truc y a quelques mois).
Alors je suis pas totalement d'accord avec ton analyse.
Par exemple, la commission européenne via NGI finance des projets autour d'Activity Pub comme par exemple, Gotosocial. L'Europe a aussi son propre serveur mastodon depuis quelque temps.
Les politiques n'ont pas laissés le monopole sans rien faire, comme par exemple, le DSA (proposé fin 2020, mis en place fin 2022).
Et stricto sensu, Twitter n'a pas le moindre monopole (y a d'autres réseaux sociaux, et les rédactions ont fait de leur mieux aussi pour proposer des listes de mails, des comptes d'autres réseaux, etc). Ensuite, en effet, les journalistes ont foncés dessus (et bon, les journalistes sont sans doute aussi des canaux slacks, des listes de diffusions, etc).
Est ce que l'idée était que les personnalités politiques ou l'état disent aux journalistes quoi faire ? (parce que bon, ç'est pas terrible non plus).
Que l'état mette en place un droit à avoir un compte de réseaux socials (voir laposte.net ?)
Que l'état s’ingère dans la modération d'une boite ? Finance des concurrents (cloud souverain, tout ça) ?
Alors oui, la réaction a été lente, mais le consensus prends du temps, surtout au niveau de l'Europe. Et les personnes compétentes sur le sujet ont sans doute aussi été prises par le RGPD, par exemple.
Et les questions de liberté de la presse sont des sujets assez souvent touché la cour européenne des droits de l'homme depuis des années (article 10), et il y a une jurisprudence assez conséquente sur le sujet, même si ça reste un sujet compliqué (par exemple la question de l'équilibre entre avoir des sources non contrôlée par l'état, mais en même temps, ne pas se noyer sous la désinformation).
En pratique, vu que la régulation actuelle (eIDAS) force déjà à reconnaître des trusts services (si je comprends bien le texte et Wikipedia), j'ai quand même du mal à piger la différence et pourquoi ç'était ok y a 10 ans, et tout d'un coup, c'est la ruine de la démocratie.
"To the extent that this Regulation creates an obligation to recognise a trust service, such a trust service may only be rejected if the addressee of the obligation is unable to read or verify it due to technical reasons lying outside the immediate control of the addressee."
Alors peut être que je pige pas le contexte autour (parce que ça reste quand même du texte législatif, c'est chiant à lire), mais ça me laisse songeur.
Et d'ailleurs, c'est un point qui me dérange avec l'article de l'EFF, il n'y a aucun lien vers le texte en question, juste sur des amendements proposées, sans dire ou voir dans les 80 pages (sur 2 pdfs).
Et quand je lit ça et en gardant le RGPD en tête, j'ai le sentiment que vu que le RGPD a une obligation de garder les choses sécurisés (au moins comme principe, cf article 1), alors garder un truc non sécurisé serait une violation du RGPD, donc il est implicite qu'il faut retirer la CA dans certains cas. D'ailleurs, la régulation dit clairement que l'état est responsable (comprendre juridiquement, donc on peut avoir des dommages et interets) pour l'usage de la CA en question
Et pour savoir si c'est ce genre de discussion et de subtilité, il serait pratique d'avoir un lien, mais ça n'est pas le choix éditorial fait par l'EFF (qui préfère des arguments claqués au sol comme "ça va donner des idées aux dictatures").
Et ça serait bien aussi d'avoir quelqu'un de spécialisé sur le droit européen, mais c'est aussi un choix que l'EFF n'a pas fait, cf sa page du staff, alors qu'il y a du monde sur l'amérique latine.
Je ne dit pas que ça veut dire qu'ils ne connaissent rien, mais pour bosser dans une boite américaine, je sais que les traditions juridiques sont relativement différentes et qu'il y a une certaines tendance à l'oublier chez les juristes (et les autres aussi).
Le fait que l'article ne renvoie vers aucune orga européenne, ni ne donne le moindre call to action me parait aussi au mieux faiblard, au pire louche. Et j'ai vraiment trouvé personne à part l'EFF sur ce créneau, vu que les autres articles renvoient vers le premier article d'il y a quelques mois (en reprenant le même discours).
Encore une fois, ça veut pas dire qu'ils ont tort, mais avec le reste (aucun staff spécialisé sur l'Europe pas de lien pour qu'on voit, un argumentaire faiblard, une interprétation juridique contestable), je pense que ça fait beaucoup.
Ensuite, je suis pas juriste, on verras ce que ça donne dans 5 ans.
Si une autorité de certification se met à émettre des
certificats n'importe comment, elle se fera dégager manu
militari de bases de certificats, et les certificats qu'elle a > émis ou émettra ne seront plus valides (en gros, elle peut
fermer boutique).
Ah oui, et il se passe quoi dans le cas d'un pays ? Parce que par exemple, ta boite qui fait des certifs, elle n'a pas le pouvoir te convoquer ton patron ou fermer tes opérations ou te foutre des amendes. Un état va l'avoir.
Sans cette rétroaction, rien n'empêchera plus les autorités de
la France/Allemagne/Pologne/Hongrie/Macédoine de faire croire à
tout le monde (ou au moins les citoyens concernés par cette
legislation), que leur serveur MITM est celui de google.
Sauf erreur de ma part, Google a sa propre autorité de certification et vérifie ça dans Chrome. Mais supposons un exemple différent, moins dramatique et ancré dans la réalité avec une entité moins bien financé, genre linuxfr.org. Si demain l'état français sort un certificat de sa CA, un navigateur peut utiliser les enregistrements DNS CAA (qui sont un standard depuis 2019) pour voir qu'il y a un souci (bien sur, en supposant qu'il n'y a pas juste un MitM juste avant le serveur et un certif lets encrypt valide, parce que c'est aussi trivial de faire ça, et ça laisse moins de trace, genre, ça laisse pas une trace "c'est l'etat francais qui espionne les moules")
Je ne sais pas si les navigateurs vérifient ça de nos jours, je ne pense pas (sinon, plus de gens se seraient tirer dans le pied), mais 1) ils devraient 2) ça rendrait ce genre d'attaque bien plus difficile (surtout si ça donne aussi une raison de passer à du DNSec ou whatever le protocole du jour pour s'occuper de ça).
De plus, ça fait quand même assez longtemps qu'on se tape des CA génériques et il est peut être temps de se pencher la dessus.
Une CA de l’état français soit limité à .gouv.fr, ça me semblerais aller de soi, et tout est techniquement possible. Il faut juste que le CA/forum se bouge et fasse des règles pour ça.
Pour rappel, il y'a déjà eu des précédents, avec des services
secrets étatiques qui s'en sont pris à des CA mal sécurisées,
pour faire ce genre de choses (ex: Diginotar).
Et du coup, si des services étatiques se sont pris à Diginotar au lieu de passer par leur CA, qu'est ce qu'on doit en conclure sur la faisabilité d'abuser de sa propre CA ?
Vu que le certificat a été utilisé en Iran, on peut supposer que c'est l'IRG derrière tout ça. Du coup, pourquoi l'IRG se fait chier à aller pirater une boite au lieu d'utiliser sa propre CA ?
Car bon, la CA n'est pas dans le trousseau de mon Firefox (je viens de vérifier), mais j'imagine que pour les iraniens, ça doit être plus ou moins requis pour surfer sans avoir un tonne de warnings.
Pour le coup, je trouve que l'EFF fait très bien d'alerter là-
dessus. Avec un équilibre si délicat, je pense y gagner si tout
le monde se tient en joue
Un équilibre délicat de libertarien, ou la moindre position régulatrice étatique est vu comme un probléme.
Avoir un petit bout de souveraineté de son pays entre les mains de 4 entreprises US, ça ne me parait pas être "un fragile équilibre", mais un probléme en devenir.
On peut voir aussi comment l'EFF se positionne en partie contre le GDPR, et comment, 7 ans après, ses pires craintes ne sont pas vraiment matérialiser. Et comment l'EFF se positionne aussi
L'EFF va aussi dire que le débat sur la vie privée ne doit pas se faire uniquement entre les géantes de la Tech, mais visiblement, faut pas aller plus loin que le débat, car visiblement, la régulation des dites géantes, c'est mal(tm).
Demain, le/la président-e des USA déclare un embargo sur un pays (comme c'est déjà le cas avec plusieurs pays, comme l'Iran, Cuba, et sans doute la Corée du nord), les 4 boites qui font des navigateurs vont se retrouver à retirer les autorités de certifs de ce pays.
Je suis pas trop sur de voir ou est l'équilibre à ce niveau. Mais on est en droit en effet de préférer 4 entreprises privées sous la législation d'un même gouvernement étranger qui est passé à 2 doigts d'un coup d'état il y a bientôt 2 ans que de d'avoir nos gouvernements qui demandent un truc à des startups comme Microsoft ou Google.
Je pense qu'il y a quand même plus de nuance que ce que l'EFF tente de faire passer.
On arrête pas de dire qu'il faut pas laisser le contrôle du web à des entités américaines, et que je sache, Mozilla, Microsoft, Apple et Google sont des entités américaines (CLOUD act, etc, etc).
Curieusement, c'est l'EFF (une entité américaine, quel hasard) qui râle sur le fait que l’Europe impose des choses à des projets sous juridiction US.
Alors je sais que c'est mal vu de défendre l'Europe et qu'il y a sans doute beaucoup de gens qui préfèrent le libéralisme état-uniens parce que ça a donné Google, mais je pense qu'avoir de la nuance, c'est plutôt important.
Visiblement, l'EFF préfère faire dans le sensationnel, comme en 2017 avec cette position un peu hors sol.
Primo, pour tout suivre, il y a grosso modo des faits qui remontent à plus de 10 ans (à l'époque du groupe Lulzsec).
Ça couvre aussi plusieurs forums reddits (j'ai compté 5 pour le moment), plusieurs instances mastodons (facile 4/5 aussi), et plusieurs polycules. Sur une échelle de 0 à "Les Rougon-Macquart", on doit être à 3 ou 4 RM en terme de complexité (ou, pour les fans de jeux vidéos, à 0.4 Kingdom Hearts)
De plus, la seule source qui compile tout les détails semble être le forum de stalkeurs Kiwifarms, ce qui pose plusieurs soucis comme le fait que ses membres ont tendance à mentir et déformer la vérité, qu'il faut se taper les messages en faisant abstraction du discours nauséabond (sur ~200 pages), que ça impliquerais de faire un lien vers leur source (et donc de leur filer du trafic et de la légitimité). Et ayant personnellement déjà assez à faire avec une personne qui me stalke, et ayant un coloc stalké par quelqu'un d'autre depuis des années, je suis assez moyen chaud pour ce dernier point.
Je veux bien me taper de lire leurs élucubrations pour voir si des collègues et/ou des gens proches sont dans leur viseur (c'est arrivé qu'une fois), mais je vais pas me taper l'équivalent d'un livre juste pour faire un journal.
Mais, si quelqu'un veut plus d'infos (car je comprends que mon message donne envie), des communications sur le sujet ont été publiées:
Je précise qu'il n'y a pas besoin de s'affoler, car la majorité des failles sont corrigés depuis quelques mois. Je poste le lien car je pense que c'est utile de penser à la complexité en crypto (au cas ou quelqu'un veut se lancer dans ça pour mastodon ou twitter…).
Je sais pas si on peut résumer ça comme ça. Statistiquement, sur tout les comptes du fediverse, il y a forcément ce que tu décris, mais je ne pense pas que ça soit pas aussi du à des facteurs de stress externes au fediverse.
Par exemple, une bonne partie de la communauté trans US est sans doute encore sous le choc de la fusillade au Colorado du 20 novembre, et sous tension de part des attaques législatives constantes dans plein d'états (et je note ça par rapport à l'autre histoire actuelle sur le fediverse avec l'instance https://eightpoint.app/ vs https://kolektiva.social & https://social.treehouse.systems et leur admins et membres respectifs, avec une histoire qui implique le FBI, des accusations de viol et une ferme d'alpaga).
L'afflux de personnes venant de Twitter doit aussi à la foi avoir un impact sur les gens déjà la qui voit leur réseau changer rapidement, et sur les personnes venues de Twitter, parce que ça reste un changement soudain pour elles (et donc source de stress).
Donc il y a plein de raisons autre que "ne pas savoir vivre ensemble", hélas.
Ta remarque sur la désescalade me parait super pertinente. Non seulement je pense qu'une grande part de la population (les hommes en grande partie) n'a pas les outils pour ça car on célèbre justement le contraire, mais en plus, je pense que la célébration de l'escalade est profondément ancré dans une partie des discours militants.
Il y a une échelle des réactions sur le fediverse (ignorer => blocage par une personne dans son coin => silencier l'instance sans le dire => silencier et le dire => defederer l'instance sans le dire => defederer et le dire => defederer et continuer à parler de ça pour que d'autres suivent), et c'est quand même arriver assez vite au niveau le plus haut (genre en moins de 8h).
La, les discussions se focalisent sur l'article de Buzzfeed, notamment sur la remarque du début (sur le dogpile). Dans sa forme, c'est décontextualisé de ce que la fondation a pu dire en entier, et c' est placé en début d'article pour être sur de ne pas le manquer. Un peu comme si Buzzfeed voulait du buzz…
Je ne dit pas que la fondation n'a pas fait n'imp, mais les mécanismes qu'on voit pour des paniques morales sont la (glissements sémantiques, intervention de gros comptes/medias (ex: aral balkan, buzzfeed), décontextualisation, RT à gogo, etc). On est en 2022, il est peut être temps de ne pas refaire les erreurs du passé, surtout quand on sait comment ça se termine (et comment ça va toujours retomber sur les personnes les moins fortunées).
[^] # Re: Marrant la critique sur la complexité
Posté par Misc (site web personnel) . En réponse au journal Mes premiers pas sur Mastodon. Évalué à 3.
Oui, ça, et le fait que tu n'as que les messages qui sont envoyés sur ton instance (sauf à spécifiquement aller chercher le contexte). Par exemple, quelqu'un booste un autre message, tu va pas avoir le contexte, et je trouve ça gênant (car par exemple, tu ne sais pas si tu n'es pas la 15 éme personne à répondre, tu ne voit pas la suite ou ce qu'il y a avant).
Mais pour le copier coller, il y a https://github.com/Lartsch/FediAct
[^] # Re: si le doxxing était banni de Twitter, le compte de Musk serait fermé
Posté par Misc (site web personnel) . En réponse au journal Elon Musk applique le principe d’économie de la responsabilité à mastodon.social, ça tourne mal. Évalué à 7.
En fait, c'est même pire. Tout l'incident en lui même a été tordu par Musk, cf l'article des journalistes du Washington Post:
https://www.washingtonpost.com/technology/2022/12/18/details-of-musk-stalking-incident/
[^] # Re: Mais le RSSI a imposé d'installer Microsoft Defender APT....
Posté par Misc (site web personnel) . En réponse au journal L'entreprise est-elle responsable des fuites de données dans le cadre du télétravail ?. Évalué à 10.
Non.
Primo, apparmor est pas présent partout (et ses politiques de confinement étaient assez nulles y a quelque années), et ensuite, ça ne fait pas la même chose du tout. Apparmor ne fait pas de rapports centralisés, Apparmor ne fait de vérification de hashes de fichiers connus comme malicieux, Apparmor ne va pas vérifier des comportements suspects comme lancer un truc en root.
Robert de la compta qui installe GCC sur son poste, c'est au mieux quelqu'un qui va installer un truc que le support va devoir se taper "mais si regarde, tu peux aller plus vite avec ce module noyau qui bypasse le pci pour nvidia". Au pire, c'est pas Robert mais un malware.
Bien sur, ça va être différent de Jeanne la spécialiste de l'embarqué qui installe rust pour le nouveau microcontrôleur à missile de la boite, mais la question du classement des alertes, ça implique d'avoir des alertes.
[^] # Re: Les utilisateurs de Twitter veulent la démission d'Elon Musk
Posté par Misc (site web personnel) . En réponse au lien Elon Musk lance un sondage pour demander si il doit quitter la tête de Twitter. Évalué à 5.
en fait, oui. Par exemple, les investisseurs de Tesla demandent à avoir un autre CEO:
https://www.msn.com/en-us/money/companies/twitter-users-want-musk-to-step-down-while-tesla-investors-worry-about-distraction/ar-AA15skbj
Et l'action a bien chuté (soit c'est une correction à son prix normal, soit ça se casse la gueule). Donc pour sa crédibilité, il faut une excuse.
[^] # Re: liens non-Twitter
Posté par Misc (site web personnel) . En réponse au lien Twitter : la liberté d'expression, OK, mais interdiction de mentionner les autres réseau sociaux . Évalué à 3.
Et le PDG a changé d'avis à nouveau après qu'un streameur d’extrême droite a dit "j'ai un lien vers mon site qui vends du café, je concurrence pas Twitter"
https://twitter.com/elonmusk/status/1604615711036407809
[^] # Re: liens non-Twitter
Posté par Misc (site web personnel) . En réponse au lien Twitter : la liberté d'expression, OK, mais interdiction de mentionner les autres réseau sociaux . Évalué à 3.
https://edition.cnn.com/2022/12/16/tech/mastodon-twitter-links/index.html
C'est bien, la presse est en avance sur ce que fait Twitter.
Et Eric Freyssinet semble croire que ça retire des protections dont Twitter jouit:
https://twitter.com/ericfreyss/status/1604538198054535169
(mais je ne sais pas à quel point c'est viable comme analyse)
[^] # Re: Le sens du timing et la publicité
Posté par Misc (site web personnel) . En réponse au lien Twitter : la liberté d'expression, OK, mais interdiction de mentionner les autres réseau sociaux . Évalué à 6.
En même temps, est ce que Twitter a encore une équipe de juriste pour se défendre ?
[^] # Re: « chantage »
Posté par Misc (site web personnel) . En réponse au journal Elon Musk applique le principe d’économie de la responsabilité à mastodon.social, ça tourne mal. Évalué à 9.
Bah, si Musk veut être protégé par une législation forte en matière de vie privé, il faut pas rester aux états unis.
Il a les moyen de bouger, et/ou de faire du lobbying politique si la vie privée lui importe vraiment.
Le fait de ne pas avoir bloqué des comptes comme libsoftiktok qui annonce régulièrement des événements de la communauté LGBT en sachant que ça va entraîner des violences (car relayé par des présentateurs d’extrême droite comme Matt Walsh, etc) montre bien que c'est pas le fait de publier des choses qui entraîne de la violence, mais bien l'idée que ça soit ce qui pourrait lui arriver.
Il est dans sa bulle paranoïaque que d'autres exploitent à des fins politiques.
Et les gens qui défendent Musk sont curieusement silencieux alors qu'il y a un nombre croissant de publications qui pointent les liens entre la rhétorique haineuse de l’extrême droite et les alertes à la bombe dans des hôpitaux (le Boston Children Hospital a été ciblé plusieurs fois), les milices armées (par exemple, dans l'Idaho, en Floride, et ailleurs). Et les liens entre l'ambiance haineuse et la fusillade du mois dernier dans le Colorado sont documentés assez largement.
Et en pratique, le mec est riche, il a sans aucun doute une équipe de sécurité pour s'occuper de ça (sauf si il n'est pas assez riche pour ça, ou tellement con qu'il pense qu'il n'a pas besoin, ou que ça le fait chier).
Autre contre exemple, il semble que quelqu'un à Twitter travaille sur le fait de forcer à accepter les pubs personnalisés et à devoir partager sa géolocalisation.
C'est totalement hypocrite (et illégal).
[^] # Re: doxxing de la famille
Posté par Misc (site web personnel) . En réponse au journal Elon Musk applique le principe d’économie de la responsabilité à mastodon.social, ça tourne mal. Évalué à 3.
La solution est simple, il suffit d'avoir de signaler avant si le jet est utilisé pour lui, ou pour lui et sa famille., et de ne rien faire dans le second cas.
[^] # Re: déjà vu
Posté par Misc (site web personnel) . En réponse au lien Twitter bloque les liens des instances du fediverse. Évalué à 6.
Le problème général est velu, mais on peut pas dire que le problème particulier d'aujourd'hui le soit.
Elon Musk a pris le contrôle de Twitter, il a réduit de 90% son staff. Il est capable de faire passer des changements rapidement parce qu'il a viré tout le monde, mais ça implique aussi que tout les gens qui savent que c'était une mauvaise idée ne sont plus la.
Du coup, il passe pour un gamin capricieux parce que Twitter n'est pas Tesla, ses caprices peuvent être mis en œuvre dans la journée.
Le problème devient qu'une entreprise de taille conséquente est soudainement redevenu une startup, avec un gamin à sa tête, tout en gardant sa base de clients/utilisateurs, un truc quand même assez rare pour une boite de la taille de Twitter (parce que sinon, Reworld Media ou Crossover, ça existe). Personne ne se dit "c'est réaliste de virer 90% du staff" car ça serait une catastrophe pour la boite sur le long terme, et sans doute illégal dans plusieurs pays.
Et pourtant, c'est arrivé, ce qui montre aussi la limite des lois et du bon sens.
Maintenant, je pense que la direction que va prendre la solution générale, c'est effectivement de déclarer qu'au delà d'une certaine taille, soit tu as une "fédération" (cad une pluralité d'acteur qui peuvent se remplacer les uns et les autres et interagir), soit tu es considéré comme un service public, avec des obligations plus strictes qu'une boite privée.
Par exemple, les banques. C'est des entités privées, mais tu peux passer d'une banque à une autre avec plus ou moins de soucis. Les opérateurs téléphoniques, c'est pareil.
Ou Thales, qui est une entreprise privée en situation favorable vis à vis de certains marchés, mais qui peut pas exactement dire merde ou vendre ce qu'elle veut ou elle veut.
Le DSA n'est pas parfait (et encore, je prends les critiques du monde diplo avec un peu de recul vu leur avis sur la guerre en Ukraine), mais l'interopérabilité en fait parti, sans doute parce que c'est le compromis acceptable en "on nationalise autant que possible" et "on doit privatiser tout". L'équilibre entre le bénéfices des membres (nationaliser, car chaque pays garde le contrôle) et celui du groupe (eg, privatiser, c'est aussi permettre l’émergence d'acteur transnationaux et c'est aussi ce qu'on veut via l'UE).
# Tu es second :p
Posté par Misc (site web personnel) . En réponse au lien La Fondation Linux prend en main une alternative à Google Maps : Overture Maps - letemps.ch. Évalué à 5.
Déjà posté:
https://linuxfr.org/users/misc/liens/linux-foundation-announces-overture-maps-foundation-to-build-interoperable-open-map-data
(mais je pertinente quand même, car c'est en français)
[^] # Re: Elonjet
Posté par Misc (site web personnel) . En réponse au lien Twitter suspend les comptes de journalistes travaillant sur Elon Musk. Évalué à 3.
Y a aussi au moins un cryptographe/chercheur en sécurité qui a été suspendu:
https://soatok.blog/2022/12/16/security-research-on-twitter-before-and-after-musks-takeover/
[^] # Re: Elonjet
Posté par Misc (site web personnel) . En réponse au lien Twitter suspend les comptes de journalistes travaillant sur Elon Musk. Évalué à 4.
Les institutions commencent à réagir. Par exemple, le doyen de l'école de santé publique de l'université de Boston a posté un article vachement nuancé sur la question de Twitter.
Même si le message de la vice présidente me parait être un peu du flan, ça reste aussi une première salve diplomatique (ou une seconde, vu que Thierry Breton a aussi posté un truc y a quelques mois).
[^] # Re: déjà vu
Posté par Misc (site web personnel) . En réponse au lien Twitter bloque les liens des instances du fediverse. Évalué à 6.
Alors je suis pas totalement d'accord avec ton analyse.
Par exemple, la commission européenne via NGI finance des projets autour d'Activity Pub comme par exemple, Gotosocial. L'Europe a aussi son propre serveur mastodon depuis quelque temps.
Les politiques n'ont pas laissés le monopole sans rien faire, comme par exemple, le DSA (proposé fin 2020, mis en place fin 2022).
Et stricto sensu, Twitter n'a pas le moindre monopole (y a d'autres réseaux sociaux, et les rédactions ont fait de leur mieux aussi pour proposer des listes de mails, des comptes d'autres réseaux, etc). Ensuite, en effet, les journalistes ont foncés dessus (et bon, les journalistes sont sans doute aussi des canaux slacks, des listes de diffusions, etc).
Est ce que l'idée était que les personnalités politiques ou l'état disent aux journalistes quoi faire ? (parce que bon, ç'est pas terrible non plus).
Que l'état mette en place un droit à avoir un compte de réseaux socials (voir laposte.net ?)
Que l'état s’ingère dans la modération d'une boite ? Finance des concurrents (cloud souverain, tout ça) ?
Alors oui, la réaction a été lente, mais le consensus prends du temps, surtout au niveau de l'Europe. Et les personnes compétentes sur le sujet ont sans doute aussi été prises par le RGPD, par exemple.
Et les questions de liberté de la presse sont des sujets assez souvent touché la cour européenne des droits de l'homme depuis des années (article 10), et il y a une jurisprudence assez conséquente sur le sujet, même si ça reste un sujet compliqué (par exemple la question de l'équilibre entre avoir des sources non contrôlée par l'état, mais en même temps, ne pas se noyer sous la désinformation).
[^] # Re: déjà vu
Posté par Misc (site web personnel) . En réponse au lien Twitter bloque les liens des instances du fediverse. Évalué à 3.
Non, parce que l'Europe n'a pas ralé sur freenode: https://www.bbc.com/news/world-us-canada-63996061
[^] # Re: UT - GOTY rulez
Posté par Misc (site web personnel) . En réponse au lien Epic Games are killing off a bunch of classics like Unreal Tournament. Évalué à 5.
Curieusement, le jeu est encore sur gog.com.
[^] # Re: Rien compris
Posté par Misc (site web personnel) . En réponse au lien L'UE impose l'usage de certificats non sécurisés aux navigateurs web. Évalué à 5.
En pratique, vu que la régulation actuelle (eIDAS) force déjà à reconnaître des trusts services (si je comprends bien le texte et Wikipedia), j'ai quand même du mal à piger la différence et pourquoi ç'était ok y a 10 ans, et tout d'un coup, c'est la ruine de la démocratie.
La régulation en question dans son point 23 dit:
"To the extent that this Regulation creates an obligation to recognise a trust service, such a trust service may only be rejected if the addressee of the obligation is unable to read or verify it due to technical reasons lying outside the immediate control of the addressee."
Alors peut être que je pige pas le contexte autour (parce que ça reste quand même du texte législatif, c'est chiant à lire), mais ça me laisse songeur.
Et d'ailleurs, c'est un point qui me dérange avec l'article de l'EFF, il n'y a aucun lien vers le texte en question, juste sur des amendements proposées, sans dire ou voir dans les 80 pages (sur 2 pdfs).
Le seul truc vaguement que je vois en rapport, c'est l'amendement 64 du comité sur le marché international et de la protection des consommateurs.
Et quand je lit ça et en gardant le RGPD en tête, j'ai le sentiment que vu que le RGPD a une obligation de garder les choses sécurisés (au moins comme principe, cf article 1), alors garder un truc non sécurisé serait une violation du RGPD, donc il est implicite qu'il faut retirer la CA dans certains cas. D'ailleurs, la régulation dit clairement que l'état est responsable (comprendre juridiquement, donc on peut avoir des dommages et interets) pour l'usage de la CA en question
Et pour savoir si c'est ce genre de discussion et de subtilité, il serait pratique d'avoir un lien, mais ça n'est pas le choix éditorial fait par l'EFF (qui préfère des arguments claqués au sol comme "ça va donner des idées aux dictatures").
Et ça serait bien aussi d'avoir quelqu'un de spécialisé sur le droit européen, mais c'est aussi un choix que l'EFF n'a pas fait, cf sa page du staff, alors qu'il y a du monde sur l'amérique latine.
Je ne dit pas que ça veut dire qu'ils ne connaissent rien, mais pour bosser dans une boite américaine, je sais que les traditions juridiques sont relativement différentes et qu'il y a une certaines tendance à l'oublier chez les juristes (et les autres aussi).
Le fait que l'article ne renvoie vers aucune orga européenne, ni ne donne le moindre call to action me parait aussi au mieux faiblard, au pire louche. Et j'ai vraiment trouvé personne à part l'EFF sur ce créneau, vu que les autres articles renvoient vers le premier article d'il y a quelques mois (en reprenant le même discours).
Encore une fois, ça veut pas dire qu'ils ont tort, mais avec le reste (aucun staff spécialisé sur l'Europe pas de lien pour qu'on voit, un argumentaire faiblard, une interprétation juridique contestable), je pense que ça fait beaucoup.
Ensuite, je suis pas juriste, on verras ce que ça donne dans 5 ans.
[^] # Re: Rien compris
Posté par Misc (site web personnel) . En réponse au lien L'UE impose l'usage de certificats non sécurisés aux navigateurs web. Évalué à 3.
Comme le GDPR ou les prises de chargements de téléphones en usb, des amendes.
Parce que les éditeurs en question, encore une fois, c'est Google, Microsoft, Apple. Avec ces 3 la, tu couvre 90% du marché.
[^] # Re: Rien compris
Posté par Misc (site web personnel) . En réponse au lien L'UE impose l'usage de certificats non sécurisés aux navigateurs web. Évalué à 5.
Ah oui, et il se passe quoi dans le cas d'un pays ? Parce que par exemple, ta boite qui fait des certifs, elle n'a pas le pouvoir te convoquer ton patron ou fermer tes opérations ou te foutre des amendes. Un état va l'avoir.
Sauf erreur de ma part, Google a sa propre autorité de certification et vérifie ça dans Chrome. Mais supposons un exemple différent, moins dramatique et ancré dans la réalité avec une entité moins bien financé, genre linuxfr.org. Si demain l'état français sort un certificat de sa CA, un navigateur peut utiliser les enregistrements DNS CAA (qui sont un standard depuis 2019) pour voir qu'il y a un souci (bien sur, en supposant qu'il n'y a pas juste un MitM juste avant le serveur et un certif lets encrypt valide, parce que c'est aussi trivial de faire ça, et ça laisse moins de trace, genre, ça laisse pas une trace "c'est l'etat francais qui espionne les moules")
Je ne sais pas si les navigateurs vérifient ça de nos jours, je ne pense pas (sinon, plus de gens se seraient tirer dans le pied), mais 1) ils devraient 2) ça rendrait ce genre d'attaque bien plus difficile (surtout si ça donne aussi une raison de passer à du DNSec ou whatever le protocole du jour pour s'occuper de ça).
De plus, ça fait quand même assez longtemps qu'on se tape des CA génériques et il est peut être temps de se pencher la dessus.
Une CA de l’état français soit limité à .gouv.fr, ça me semblerais aller de soi, et tout est techniquement possible. Il faut juste que le CA/forum se bouge et fasse des règles pour ça.
Et du coup, si des services étatiques se sont pris à Diginotar au lieu de passer par leur CA, qu'est ce qu'on doit en conclure sur la faisabilité d'abuser de sa propre CA ?
Vu que le certificat a été utilisé en Iran, on peut supposer que c'est l'IRG derrière tout ça. Du coup, pourquoi l'IRG se fait chier à aller pirater une boite au lieu d'utiliser sa propre CA ?
Car bon, la CA n'est pas dans le trousseau de mon Firefox (je viens de vérifier), mais j'imagine que pour les iraniens, ça doit être plus ou moins requis pour surfer sans avoir un tonne de warnings.
Un équilibre délicat de libertarien, ou la moindre position régulatrice étatique est vu comme un probléme.
Avoir un petit bout de souveraineté de son pays entre les mains de 4 entreprises US, ça ne me parait pas être "un fragile équilibre", mais un probléme en devenir.
On peut voir aussi comment l'EFF se positionne en partie contre le GDPR, et comment, 7 ans après, ses pires craintes ne sont pas vraiment matérialiser. Et comment l'EFF se positionne aussi
L'EFF va aussi dire que le débat sur la vie privée ne doit pas se faire uniquement entre les géantes de la Tech, mais visiblement, faut pas aller plus loin que le débat, car visiblement, la régulation des dites géantes, c'est mal(tm).
Demain, le/la président-e des USA déclare un embargo sur un pays (comme c'est déjà le cas avec plusieurs pays, comme l'Iran, Cuba, et sans doute la Corée du nord), les 4 boites qui font des navigateurs vont se retrouver à retirer les autorités de certifs de ce pays.
Je suis pas trop sur de voir ou est l'équilibre à ce niveau. Mais on est en droit en effet de préférer 4 entreprises privées sous la législation d'un même gouvernement étranger qui est passé à 2 doigts d'un coup d'état il y a bientôt 2 ans que de d'avoir nos gouvernements qui demandent un truc à des startups comme Microsoft ou Google.
[^] # Re: Rien compris
Posté par Misc (site web personnel) . En réponse au lien L'UE impose l'usage de certificats non sécurisés aux navigateurs web. Évalué à 7. Dernière modification le 12 décembre 2022 à 22:59.
Je pense qu'il y a quand même plus de nuance que ce que l'EFF tente de faire passer.
On arrête pas de dire qu'il faut pas laisser le contrôle du web à des entités américaines, et que je sache, Mozilla, Microsoft, Apple et Google sont des entités américaines (CLOUD act, etc, etc).
Curieusement, c'est l'EFF (une entité américaine, quel hasard) qui râle sur le fait que l’Europe impose des choses à des projets sous juridiction US.
Alors je sais que c'est mal vu de défendre l'Europe et qu'il y a sans doute beaucoup de gens qui préfèrent le libéralisme état-uniens parce que ça a donné Google, mais je pense qu'avoir de la nuance, c'est plutôt important.
Visiblement, l'EFF préfère faire dans le sensationnel, comme en 2017 avec cette position un peu hors sol.
[^] # Re: Les failles sont déjà corrigés
Posté par Misc (site web personnel) . En réponse au lien Practically-exploitable Cryptographic Vulnerabilities in Matrix. Évalué à 3.
J'ai aussi vu un épisode de podcast sur le sujet.
# Discussion précédente
Posté par Misc (site web personnel) . En réponse au lien Statement from Fosshost's Founder. Évalué à 5.
https://linuxfr.org/users/pulkomandy/liens/fosshost-a-perdu-contact-avec-son-ceo-et-va-arreter-tous-ses-services
[^] # Re: Euh...
Posté par Misc (site web personnel) . En réponse au lien A case study on raspberry pi incident on the fediverse. Évalué à 4.
Sans doute, mais il y a plusieurs soucis.
Primo, pour tout suivre, il y a grosso modo des faits qui remontent à plus de 10 ans (à l'époque du groupe Lulzsec).
Ça couvre aussi plusieurs forums reddits (j'ai compté 5 pour le moment), plusieurs instances mastodons (facile 4/5 aussi), et plusieurs polycules. Sur une échelle de 0 à "Les Rougon-Macquart", on doit être à 3 ou 4 RM en terme de complexité (ou, pour les fans de jeux vidéos, à 0.4 Kingdom Hearts)
De plus, la seule source qui compile tout les détails semble être le forum de stalkeurs Kiwifarms, ce qui pose plusieurs soucis comme le fait que ses membres ont tendance à mentir et déformer la vérité, qu'il faut se taper les messages en faisant abstraction du discours nauséabond (sur ~200 pages), que ça impliquerais de faire un lien vers leur source (et donc de leur filer du trafic et de la légitimité). Et ayant personnellement déjà assez à faire avec une personne qui me stalke, et ayant un coloc stalké par quelqu'un d'autre depuis des années, je suis assez moyen chaud pour ce dernier point.
Je veux bien me taper de lire leurs élucubrations pour voir si des collègues et/ou des gens proches sont dans leur viseur (c'est arrivé qu'une fois), mais je vais pas me taper l'équivalent d'un livre juste pour faire un journal.
Mais, si quelqu'un veut plus d'infos (car je comprends que mon message donne envie), des communications sur le sujet ont été publiées:
Communication des modos de kolektiva.social
Résumé par "quelqu'un" (bien que j'ai une vague idée du "qui", je vais garder ça pour moi)
# Les failles sont déjà corrigés
Posté par Misc (site web personnel) . En réponse au lien Practically-exploitable Cryptographic Vulnerabilities in Matrix. Évalué à 7.
Je précise qu'il n'y a pas besoin de s'affoler, car la majorité des failles sont corrigés depuis quelques mois. Je poste le lien car je pense que c'est utile de penser à la complexité en crypto (au cas ou quelqu'un veut se lancer dans ça pour mastodon ou twitter…).
[^] # Re: Euh...
Posté par Misc (site web personnel) . En réponse au lien A case study on raspberry pi incident on the fediverse. Évalué à 6.
Je sais pas si on peut résumer ça comme ça. Statistiquement, sur tout les comptes du fediverse, il y a forcément ce que tu décris, mais je ne pense pas que ça soit pas aussi du à des facteurs de stress externes au fediverse.
Par exemple, une bonne partie de la communauté trans US est sans doute encore sous le choc de la fusillade au Colorado du 20 novembre, et sous tension de part des attaques législatives constantes dans plein d'états (et je note ça par rapport à l'autre histoire actuelle sur le fediverse avec l'instance https://eightpoint.app/ vs https://kolektiva.social & https://social.treehouse.systems et leur admins et membres respectifs, avec une histoire qui implique le FBI, des accusations de viol et une ferme d'alpaga).
L'afflux de personnes venant de Twitter doit aussi à la foi avoir un impact sur les gens déjà la qui voit leur réseau changer rapidement, et sur les personnes venues de Twitter, parce que ça reste un changement soudain pour elles (et donc source de stress).
J'imagine que l'hiver n'aide pas non plus.
Donc il y a plein de raisons autre que "ne pas savoir vivre ensemble", hélas.
Ta remarque sur la désescalade me parait super pertinente. Non seulement je pense qu'une grande part de la population (les hommes en grande partie) n'a pas les outils pour ça car on célèbre justement le contraire, mais en plus, je pense que la célébration de l'escalade est profondément ancré dans une partie des discours militants.
Il y a une échelle des réactions sur le fediverse (ignorer => blocage par une personne dans son coin => silencier l'instance sans le dire => silencier et le dire => defederer l'instance sans le dire => defederer et le dire => defederer et continuer à parler de ça pour que d'autres suivent), et c'est quand même arriver assez vite au niveau le plus haut (genre en moins de 8h).
La, les discussions se focalisent sur l'article de Buzzfeed, notamment sur la remarque du début (sur le dogpile). Dans sa forme, c'est décontextualisé de ce que la fondation a pu dire en entier, et c' est placé en début d'article pour être sur de ne pas le manquer. Un peu comme si Buzzfeed voulait du buzz…
Je ne dit pas que la fondation n'a pas fait n'imp, mais les mécanismes qu'on voit pour des paniques morales sont la (glissements sémantiques, intervention de gros comptes/medias (ex: aral balkan, buzzfeed), décontextualisation, RT à gogo, etc). On est en 2022, il est peut être temps de ne pas refaire les erreurs du passé, surtout quand on sait comment ça se termine (et comment ça va toujours retomber sur les personnes les moins fortunées).