C'est pire encore tu pense qu'ils tuent volontairement des
gens.
Alors je ne pense pas que les gens se lèvent le matin et se disent "je vais tuer des gens".
Par contre, je pense qu'à un moment, il y en a qui vont sortir de leur torpeur et réaliser qu'ils ont contribué à des morts, oui.
Pas que en poussant à éviter le vaccin, mais avec tout ce qui traine dans la sphère des complotistes (que ça soit en poussant d'autres vers des médecins foireuses, des naturopathes, ou en poussant des mouvements d’extrême droite).
C'est un exemple, mais vraiment ta manière de présenter les
choses n'amène qu'à une chose : leur stigmatisation ne les
poussera pas à se faire vacciner. Ça pousse à les discriminer
potentiellement violemment.
C'est pas exactement mon souci. Que je sache, il y a eu plus d'actions violentes de la part des militants antivaxx que sur les militants antivaxx.
Si quelqu'un arrive et dit "je voulais me faire vacciner, mais j'ai lu un commentaire d'un inconnu sur Linuxfr, et à la place, j'ai continué à manifester", c'est son droit. C'est se masquer la face, mais on est dans un pays libre, et ça ne rentre pas dans des activités interdites.
Et en pratique, les militants antivaxx s'estiment déjà stigmatisé donc que ça soit à cause de moi ou à cause de leur imagination, je préfère que ça soit à cause de moi.
C'est meilleur pour mon ego, et ça fait une croyance hors sol de moins pour eux.
J'ai tenté de transposer le texte à la ceinture de sécurité
(dont l'obligation était aussi à son époque "totalitaire") ou
l'interdiction de l'alcool au volant (une liberté qu'on
enlevait, horreur!), et ça marche plutôt bien.
Je propose de nommer la méthode "le point GoodWine".
Même pas besoin d'aller chercher Godwin soit-même, c'est
direct dans le texte, et ça en dit long sur le niveau
Tu parles du passage sur le totalitarisme (en citant spécifiquement "encouragement aux délations"), ou de la citation de Goebels, histoire de mettre la bonne ambiance (en comparant les non vaccinés aux juifs, bien sur) ?
A noter que la personne vend des ateliers "Penser le phénomène
totalitaire", du coup mettre "totalitaire" dans une texte de
blog ça permet de faire un peu de pub dessus…
Curieusement, vu le nombre de livres publiés (si j'en crois sa page WP), je doute que ça soit pour l'argent. Je sais que ça ne rapporte pas tant que ça, mais 18 livres, ça doit quand même aider un peu à boucler les fins de mois.
Ensuite, quand je vois que son dernier livre est auto édité en 2017 après avoir écrit pour des maisons d'éditions classiques, je commence un peu à tiquer (mais c'est sans doute parce que j'ai une vision réductrice de la pratique).
Ce qui est triste, c'est que je ne doute pas qu'elle soit compétente dans son domaine, mais faire un paragraphe sur "on a des tas de virus", sous entendu, c'est pas grave, c'est comme dire "je boit de l'eau, pourquoi on a besoin de maître nageur".
Moi, ce que je trouve drôle, c'est de renvoyer à Vincent Pavan qui est le pro-COVID derrière le site qui a démarré la discussion sur la pandémie avant celle ci. C'est finalement marrant comme le monde est petit.
D'ailleurs, ce qui montre que le monde est petit, c'est aussi de voir que son texte a été traduit en allemand, en anglais, et en italien. Comme quoi, les pro-COVID communiquent entre eux.
Étrange mise en abîme… Sans oser un diagnostic psychiatrique,
la personne qui a écrit ça semble transposer ses problèmes
mentaux à toute la population en environnant le tout d'un
jargon pseudoscientifique
J'aurais tendance à dire que même si plein de gens font des projections, ça se retrouve assez souvent.
Par exemple, Donald Trump qui a fait campagne en partie sur un slogan de "drain the swamp" (sous entendu, les personnalités politiques sont corrompus et malhonnêtes, et je vais faire le ménage), alors qu'il se retrouve lui même dans des affaires diverses et variées. La fascination de QAnon pour le même Donald Trump et l'obsession autour de la pédophilie, alors qu'entre les remarques douteuses de Trump sur sa fille, et le fait qu'il connaissait Epstein, c'est pas exactement le messie parfait pour le mouvement.
Ou autre exemple, on a le cas de nombreux prêcheurs virulemment homophobes qui se retrouvent à être surpris avec un mec dans des positions pas très religieuses (Ted Haggard, Paul Barnes, George Rekers, Eddie Long, Paul Crouch, Larry Craig). On trouve facilement des listes en cherchant un peu.
C'est assez fascinant, et un peu inquiétant quand même, parce
que j'imagine que cette personne ne sait pas qu'elle a besoin
d'aide (après, je n'ai aucune idée de la dangerosité
éventuelle de sa maladie).
Ce qui est triste aussi, c'est de voir tellement de gens soit craquer (et bon, les 2 années ont été éprouvantes, donc ça se comprends), soit exploiter sans vergogne la détresse des gens.
A travers le lien j'ai voulu porter la parole des personnes qui
souffrent d'être stigmatisés.
Mais des gens qui ont fait ce choix. Si quelqu'un décide de ne pas prendre le vaccin, par conviction personnel ou par bourrage de crane, c'est un choix fait par la personne.
Ensuite, le souci, c'est que le site en question, il est pas juste "politique", il sent très fort la politique d’extrême droite.
On peut commencer par le titre, "reinfocovid", les racines politiques sont assez transparentes pour qui a un minimum de culture politique:
Le but du site, c'est de récolter des emails. L'appel à envoyer son témoignage est bien visible, la newsletter aussi (on voit bien le design jaune sur fond bleu pour attirer l'attention). C'est en haut de la page, et aussi tout en bas.
On note que la newsletter demande la profession et la ville, ce qui est assez curieux pour un site censé ne pas faire d'analyse marketing.
On peut se poser la question de ce qu'un site comme ça va faire avec des emails. Et la réponse est "la même chose que chaque nuit Minus, tenter de conquérir le monde".
Ou plus prosaïquement, s'en servir pour organiser des manifs, etc. par exemple, une étude de cas serait ce qui est arrivé avec la fachosphère pour les ABCD de l'égalité:
"L’opération, née sur les réseaux sociaux, s’est propagée par SMS. Cela suppose une organisation politique, matérielle et technique considérable, et préparée de longue date.
Savoir à qui l’on s’adresse, de façon précise, implique que des données ont été recueillies sur ces cibles, bien avant le déclenchement de l’opération."
(pour se rafraîchir les souvenirs sur ce cas, ce dossier donne une bonne chronologie)
Donc ce genre de site est une manne pour récolter ce genre d'info.
On noteras aussi la stratégie sur Twitter, visant à juste poster des captures d'écrans avec un lien direct vers la page web. Ça permet de mutualiser avec Instagram, mais aussi sans doute d'évader la modération sur twitter, vu que je suppose qu'il n'y a pas d'OCR (ou que c'est moins courant).
Le site ne dit pas qui est derrière (une association de fait, je pense que ça compte pas légalement), et tout le monde utilise protonmail (ce qui est assez douteux vu les parts de marché de tout les autres acteurs du marché).
En cherchant bien, on trouve un mathématicien derrière l'assoce qui paye les factures. On trouve aussi que ce mathématicien a réussi à se faire suspendre en décembre 2020 pour avoir refuser de porter le masque en septembre 2020. Pour info, le NDD de reinfocovid date d'octobre 2020.
Donc d'un coup, c'est pas juste contre le vaccin ou le pass sanitaire, c'est aussi contre le masque, et sans doute contre toute mesure d'ordre sanitaire.
Il explique son histoire sur le site (à la 3eme personne), et donne les emails des gens à contacter (on pourrait voir un appel au harcèlement, mais bon). Il est aussi engagé dans une procédure judiciaire visiblement depuis mars 2021.
D'ailleurs, c'est amusant parce qu'il a fondé une assoce pour les besoins de Reinfo Covid (octobre 2021), mais quand on y pense, les dépenses sont quand même minime. Bien sur, il faut payer le design du site web, l’hébergement (~10/20€ par mois), sans doute la mailing liste (15/45€ par mois). Mais surtout, faut payer son avocat (dans mon souvenir, c'est cher) et sans doute des avances de frais pour son livre (sortie 2022). C'est curieusement pas trop mis en avant.
Quand on gratte un peu plus, on trouve une interview de lui sur le site du secrétariat de l'enseignement catholique, qui indique qu'il habite au centre de Marseille.
Pris séparément, y a rien de mal. Les gens ont le droit d'être catholique, les gens ont le droit d'habiter à Marseille, les gens ont le droit de faire des sites web pour récolter des emails. Les gens ont le droit de monter des assoces pour financer des actions, dont des plaintes (c'est sur le site). Les gens ont le droit de reprendre des termes de l’extrême droite comme nom de domaine.
Mais pris ensemble, ça commence quand même à peindre un tableau intéressant, parce que l’extrême droite a des scores assez haut à Marseille, parce qu'il y a pas grand monde à part l’extrême droite qui utilise le terme de "réinformation", parce que les liens entre l’extrême droite et certains mouvements catholiques sont plus à démontrer.
Et on peut aussi commencer à se poser des questions, comme ce qui se passe d'un point de vue financier quand on est suspendu de la fonction publique pendant plus d'un an dans une famille de 4 personnes ?
Ou comment est ce qu'une personne inconnue est soudainement relayé partout alors qu'on ne connaît pas les noms des autres personnes suspendus pour avoir refusé de se faire vacciner ?
Les risques de faire une thrombose suite au vaccin sont
moins élevés qu'en prenant l'avion. Je suppose donc que tu
n'as jamais pris et ne prendra jamais l'avion…
Du coup, mathématiquement la solution, c'est de se faire vacciner dans un avion.
Soit la Pv la probabilité d'avoir un thrombose à cause d'un vaccin et Pa la probabilité d'avoir une thrombose dans l'avion.
La proba Pva d'avoir une thrombose à cause du vaccin dans l'avion, c'est Pa*Pv, vu que c'est la proba des 2 événements en même temps.
Si Pa est de 1/100, et Pv est de 1/100 aussi, alors Pva = 1/10000.
Mais bien sur, le gouvernement refuse de mettre en place des solutions simples pour sauver le peuple, encore la faute des écolos et des vegans.
(je précise que c'est du sarcasme, je sais bien que les vegans n'ont rien à voir avec le refus du gouvernement)
Il y a un moyen simple de résoudre la crise à court terme et
long terme, c'est d'arreté la politique de capitalisation de la
santé, et redonner les moyens aux hopitaux.
Alors, supposons, est ce qu'avoir 100% de la population française qui travaille dans un hôpital (qui est le maximum théorique à l’échelle de la France pour donner les moyens) empêcherait l'épidémie ?
D'un coté, ça voudrait dire 100% de vaccinés. De l'autre, travailler à l’hôpital n’empêche pas de tomber malade.
Conclusion, donner le maximum théorique de moyen ne va pas résoudre la crise à court terme.
On en arrive assez vite à la question de savoir si la petite fille est en fait une future Hitler.
J'ai une solution élégante pour ça, mais j'ai pas la place dans la marge pour expliquer ça, et j'ai un trolley à prendre (même si la RATP dit qu'il y a du monde sur les voies).
En terme de cinéma, il ne faut pas confondre le ciné états-
unien (et celui qui le copie pour mieux se vendre, à la
manière des films de Besson) avec celui d'autres pays
Bah, y a des films indépendants américain aussi, je pense que qualifié ça d'états uniens, c'est simplifier beaucoup la question, et ça masque les dynamiques.
Je pense que la séparation est plus sur les films qui ont un budget pour être exportés (donc 1) traduit 2) adapté à un public spécifique) et ceux qui n'ont pas.
Hollywood, en temps que nébuleuse qui représente l'industrie du cinéma, a l'expertise à ce niveau vu que c'est en place depuis longtemps. Par comparaison, la Corée du Sud, sauf erreur de ma part, a commencé la modernisation de son industrie du cinéma dans les années 2000 (si je me souviens bien).
Tu fait un truc en langue anglaise, tu touches les USA (330 millions de gens), mais aussi sans doute le royaume uni, l'australie, le canada sans trop de probléme.
À coté de ça, tu fais un film en français, le marché est fondamentalement plus petit. Je parle de marché spécifiquement, car il suffit pas d'avoir des gens qui parlent la langue, il faut aussi les infras qui vont avec, et des gens qui veulent payer pour voir les films. Le Congo a beau avoir le plus de francophones au monde, le taux de pauvreté fait qu'il y a sans doute moins de perspective commerciale.
Donc tu fait un film français, tu as belgique, suisse, france, et sans doute quebec. C'est plus petit que le marché US uniquement.
Du coup, mon hypothèse est que le cinéma hollywoodien, parce qu'il arrive plus facilement à faire des économies d’échelles, a réussi à plus vite s'industrialiser, et à prendre de l'avance.
Demander un budget de 300 millions pour un film que tu va montrer à un marché de 500 millions de personnes, c'est plus facile à justifier que pour un marché de 100 millions. Et du coup, je suppose qu'il y a plus de moyens, et ça part soit dans le fait d'avoir plus d'effets spéciaux, soit d'avoir plus de films (y compris plus de films pourris). Et qui dit plus de films dit sans doute plus de succès au total.
Donc tu te retrouves avec une industrie qui sait ce qui marche grâce à des données depuis des années et qui bosse pour vendre des trucs qui marchent.
Des protestants et la morale judéo-chretienne, on a ça aussi en Europe, mais je ne crois pas (à vérifier) qu'on a eu un équivalent au code Hayes en France, par exemple.
Et par exemple, sur l'inclusion de personnages LGBT dans l'univers Marvel, une des hypothèses n'est pas que le marché US va mal réagir (c'est plus les années 1980), mais plus que la Chine va refuser un visa d'exploitation, et que ça va peser dans la balance commercial.
Les boites auquel je pense c'est RedHat, Microsoft et
Salesforce. C'est pas Amazon ou Apple mais il y a tout de même
un GAFAM dans le lot.
Si par Red Hat, tu veux pointer sur les donations faites en décembre pour curl, plot twist, le virement a été fait par quelqu'un de mon équipe (à savoir Ruth).
Elle a demandé en interne des noms de projets qui peuvent recevoir des dons soit via OpenCollective, soit via une association (en citant SPI et SFC). Ou via Github Donations à condition de passer par Open Collective.
SPI et SFC sont des structures basées aux USA, sauf erreur de ma part. OpenCollective est basé au Delaware, donc je pense que ça va beaucoup plus vite en terme de gestion de risque vu que la loi US s'applique aussi directement sur l'intermédiaire.
Et de plus, le programme en question a été commencé y a un peu plus d'un an avec 3 projets pilotes avant d'étendre à plus, donc quand je dit "il faut un peu de paperasse et de temps", c'est pas juste pour gagner du karma.
Mais oui, une fois que c'est en place, ça va beaucoup plus vite (vu que la demande de noms a été faite le 2 décembre, le virement a été fait le 15, mais Ruth a aussi l'habitude de travailler avec notre direction financière donc je suppose que ça aide pas mal).
Il y a des cas qui sont de vrais problèmes. Je ne sais pas
trop pour Facebook, mais prends un streamer twitch qui a des
modérateurs qui n'ont aucune rémunération pour quelque chose
qui constitue un véritable travail
Oui, clairement. Ensuite, c'est surtout qu'il y a une zone entre "je gagne à peine de quoi payer mes jeux, la caméra et le setup", et "je gagne ma vie et de quoi payer des prestas", et c'est la ou ça devient sans doute tendu quand une personne gagne sa vie et l'autre pas, surtout quand l'investissement en temps semble comparable (vu que si X streame et Y modère pendant ce temps, ça prends plus ou moins le même temps).
Dans le cas de Facebook, Facebook paie des modérateurs (ou plutot, sous traite ça au portugal) et investit dans des IAs pour réduire les couts, mais aussi éviter d'infliger à des humains de faire la modération.
Mais se pose la question de la modération humaine d'un groupe dédié à une structure, comme serait une communauté de fans, par exemple.
Moi, je note surtout que linuxfr n'est pas le top 10 d'un coté ou de l'autre.
C'est assez louche, je pense qu'il y a une censure étatique vis à vis de la moulosphére, et qu'on essaye de museler l'opposition philosophique au modèle capitalo-proprio poussé par Bill Gates et France Télécom.
Historiquement, le fascisme (qu'on va en général ranger dans "extrême droite") est souvent lié à une forme de mensonge.
Par exemple, le NSDAP (le partie nazi) s'est présenté à la base comme anti bourgeois (c'est dans le nom en allemand, le A pour Arbeiterpartei), puis à changé du tout au tout vers l'anti-marxisme pour obtenir le support de l'industrie.
Ce fut le même topo en Grèce de ce que je sais, et j'imagine en Italie (même si je connais un peu moins tout ça). C'est aussi ce qu'on retrouve dans le texte d'Umberto Eco sur le fascisme eternel:
Thus, by a continuous shifting of rhetorical focus, the enemies are at the same time too strong and too weak.
On retrouve aussi le mensonge dans l'idée que c'était mieux avant, eg l'appel à la tradition (mensonge sur le fait que c'était en général pas mieux avant sauf sans doute pour des élites spécifiques). On le retrouve aussi dans l'idée d'un complot international (exemple, les Protocoles des Sages de Sion et son usage dans Mein Kampf).
Donc l'usage du mensonge est fondateur dans certaines théories d’extrême droite.
Malgré la présence importante de productions russes dans le top 10 (sputnik, RT), ou de sites qui "relaie de la propagande russe" (Planetes360, TVlibertes), je pense qu'on peut être fier de voir qu'on a quand même des productions de chez nous comme FranceSoir ou pour un coté un peu plus terroir, Breizh info.
Ça fait chaud au coeur de voir que nos productions françaises n'ont pas à rougir face à l'industrie de St Peterbood qui inonde nos écrans.
(c'est du sarcasme, pour le cas ou c'est pas clair)
Tu donne l'impression que les entreprises ne peuvent pas
payer et que c'est une paperasse incommensurable digne des
travaux d'Hercule, ce n'est vraiment pas le ressenti que
j'ai de la part des personnes qui font ces démarches.
Il est possible en effet que la multinational qui m'emploie soit un cas extrême. Je vois le temps qu'on a mis pour avoir 1 fournisseur dans le système, c'était assez décourageant, donc j'imagine pas vraiment faire ça sur 20 à 30 logiciels.
Ensuite, encore une fois, pour une boite plus petite, je ne doute pas que c'est beaucoup plus simple. Une PME va juste faire le virement et basta.
Mais en général, c'est rarement les PME qu'on accuse de profiter du logiciel libre sans rien donner en retour.
Boh ça tu as pleins de cas louche. Si je contribue à un
logiciel libre disons gitlab, est-ce que ça n'est pas du
travail déguisé pour une entreprise qui va profiter de mon
travail comme produit d'appel ? Je suis curieux de savoir
comment la DGCCRF voit ce genre de choses.
Je suppose que le point important, c'est la relation de subordination. À priori, je pense qu'il n'y a pas de relation de subordination entre un projet lambda (gitlab) et un codeur lambda (barmic).
Mais tu as raison de pointer ça, et je pense que c'est une question qui s'inscrit dans la réflexion autour des réseaux sociaux et du travail de création fait par les utilisateurs.
Ton exemple me parait plus équitable que les histoires autour de Facebook, car Gitlab va aussi contribuer au pot commun, même si, comme tu le pointes, c'est un produit d'appel.
Mais je n'ai pas dit "une interdiction", j'ai parlé de "c'est pas si simple". C'est rien d'insurmontable, vu qu'on arrive à faire le sponsoring.
Et comme tu le souligne, la boite qui paye doit vérifier, mais vérifier, c'est de la paperasse, et c'est un peu intrusif hélas.
Genre, si demain on dit "on veut te filer des thunes, mais on a besoin de ta carte d'identité pour vérifier ta nationalité", ça va faire grincer des dents à juste titre.
L'exemple du FOSDEM est aussi un bon exemple parce que le FOSDEM est une assoce, c'est établi et le sponsoring est tout les ans. Donc tu fais la paperasse une fois, et ça parait pas louche, et ça va.
Payer des devs une fois, c'est autre chose.
Et je ne parle pas de la question du travail déguisé, parce qu'il y a aussi ce coté intéressant (à savoir que si une boite file de l'argent à X pour faire du travail sur un logiciel Y qui est vendu/utilisé, je comprends que les impôts regardent ça d'un œil bizarre car c'est comme une presta sans payer d’impôts, et les impôts, ils aiment pas ça)
Les États Unis ont un certain nombre de loi fédéral vis à vis de la corruption, notamment le Foreign Corruption Practice Act (loi sur la corruption à l'étranger).
Moi, j'ai la nationalité française, je bosse à Paris, avec un contrat français avec une boite française en temps qu'admin sys. Et pourtant en pratique, ça impacte ma vie professionnelle de plusieurs façons, car mon employeur est filiale de filiale d'une boite aux USA, elle même filiale d'une boite plus grande, aussi aux USA.
Primo, tout les ans, toute la boite a une formation obligatoire sur le sujet du FCPA. C'est une formation sur le web, avec des vidéos, des questions, et ça tombe en hiver. On a aussi une sensibilisation vis à vis du RGPD et de la sécurité.
Pendant des années, ça a été illustré par la même histoire sur la construction d'un stade dans un pays imaginaire, ou quelqu'un sous pression de son sous traitant paye un pot de vin pour finir la construction à temps d'un stade (eg, contourner la demande de permis qui va prendre 4 mois), mais … le stade s'effondre à cause de ça 2 slides plus tard, et c'est mal(tm).
La formation a fini par être refondu (donc avec d'autres histoires) au bout d'un certain temps mais ça avait fini par devenir un meme en interne. Je suis assez fier de faire un score parfait chaque année depuis 5 ans en français ou en anglais, mon objectif est de réussir à faire la formation dans une 3eme langue, car on s'occupe comme on peut.
Secundo, et c'est la ou ça devient intéressant, c'est que les USA sont assez rigide sur la question de la corruption, dans le sens ou ils estiment que si il y a un acte de corruption dans ta chaîne de responsabilité même dans un autre pays, tu es responsable.
Si moi, je paye un pot de vin pour passer la douane plus vite pour aller à Yerevan en Arménie dans le cadre du boulot (histoire arrivé à un collègue dans un autre cadre), alors mon employeur est responsable aux yeux de la justice américaine, et quelqu'un peut aller en taule ou avoir une amende. Je ne sais pas si c'est le cas aussi en France, mais en général, ça surprends pas mal de savoir que les USA considèrent que leur loi s'applique en dehors de leur territoire et sur les non ressortissants.
Autant dire que le consensus sur les 6 niveaux de chef au dessus de moi, tous aux USA, est qu'il ne faut pas tenter le diable, d’où les formations, et des vérifications sur les notes de frais, etc, etc.
Je suis admin sys, donc le risque de filer des pots de vins à un douanier est assez mince. Mais la corruption, vis à vis de la loi des USA, c'est défini de façon assez large, dans le sens ou si ça implique de l'argent et quelqu'un lié à un état, c'est louche.
Par exemple, si je fait un tirage au sort pour gagner un smartphone sur un stand du FOSDEM, et paf, c'est une fonctionnaire espagnole qui gagne, ça peut être vu comme de la corruption. Si je paye un repas avec la carte bleue de la boite à un prof norvégien toujours lors du FOSDEM, ça peut être vu comme de la corruption.
Et surtout, je file du cash ou je fait un virement à un étudiant en doctorat (cad, quelqu'un en France payé par l'état), ça peut être vu comme de la corruption.
Et la ou ça devient encore plus drôle, c'est que c'était déjà assez lourd, mais on a aussi le concept (dont j'ai oublié le nom exact) d'entreprise quasi gouvernemental.
Exemple, EDF. EDF n'est pas le gouvernement français, mais le gouvernement français a la majorité des parts, donc ça compte comme si c'était le gouvernement. Et EDF a des sous traitants, donc techniquement, les sous traitants peuvent compte comme EDF, donc comme des fonctionnaires vis à vis de la loi US anti corruption à l'étranger.
Donc prenons un example. Supposons que Roberta Codeusedelogquatreji, qui travaille bosse pour EDF dans une ESN et qui bosse sur log4j sur son temps libre. Mon employeur ne devrait pas lui faire de virement direct pour soutenir log4j, parce qu'elle bosse pour EDF, et donc on a des vérifications à faire avant pour pas avoir d'emmerde avec la justice des USA.
Je ne dit pas que c'est pas faisable, mais c'est relou. Par exemple, on a maintenant un tableau listant les montants et les circonstances des exceptions (par origine de la personne qui paye et de la personne qui recoit, et du statut de la personne qui recoit et de ou ça se passe et comment ça se passe), et "filer du cash" n'est pas dessus (payer des repas, des goodies, oui), donc il faut demander. Et connaissant la boite, je suppose que ça va aussi vite que d'avoir un laisser passer A-38.
Ça c'est pour le FCPA.
Ensuite vient la question de l'OFAC. C'est l'Office of Foreign Assets Controls, le bureau du contrôle des biens étrangers.
C'est un département du ministère des finances des USA, en charge de faire appliquer des sanctions économiques (parmi tant d'autres). En gros, les ressortissants US n'ont pas le droit d'interagir économiquement avec les gens sur la liste publié par l'OFAC. La liste est sur le site web, un fichier texte de 9 megaoctets avec 6300 entités (personne, entreprise, etc).
Comme la politique étrangère du pays n'est pas caractérisé par sa subtilité, il y a directement des pays sur la liste comme l'Iran, la Corée du nord, la Syrie, etc. Ça a donné des choses comme ici, ici, ici au cours des années.
La liste des sanctions est assez complexe, et change régulièrement. Par exemple, c'est aussi l'OFAC qui fait qu'il est interdit d'importer du matériel produit par de la main d'oeuvre Ouïghour (donc je sens que mon prochain serveur va prendre un peu plus de temps à commander à cause de ça.
Donc techniquement, une boite US qui file des thunes à un dev de log4j qui est un citoyen d'Iran (même vivant à l'étranger) serait dans la merde, car c'est interdit. Et le souci de l'OFAC, c'est que ça dépend directement du président (donc non élu), et qu'ils sont un chouia rigide et pas exactement sympa. De ce que j'ai compris, ça ne va pas changer de si tôt, et personne n'a vraiment envie d'attirer l'attention des impôts en demandant des exceptions.
Ensuite, je ne connais pas la loi française. Je ne doute pas que ça soit plus souple, mais je suppose que faire cracher l'argent à une banque, ç'est aussi non trivial, en partie parce que même une banque française va vouloir respecter la loi US pour ne pas se fermer ce marché ou se faire bloquer l'accès à SWIFT. C'est aussi exactement pour ça que l'Europe a mis en place des choses comme INSTEX, ou des lois visant à protéger les entreprises qui ont une relation commercial avec l'Iran.
Donc voila, c'est la version longue de "on peut pas filer de l'argent n'importe comment sinon des stades risquent de s'effondrer". Je ne doute pas que dans une petite boite, ça se passe autrement, et peut être que c'est juste mon employeur qui est particulièrement prudent. Mais je pense qu'à partir d'une certaine taille, tout le monde devient prudent.
Tu montes une boite/association qui envoie la facture en son
nom.
Alors je ne doute pas qu'il y a des tas de moyens de contourner le FCPA ou les sanctions de l'OFAC, mais je garde mes compétences spéciales pour les cas spéciaux.
Et si j'en crois les trainings annuels, si je respecte pas la loi à la lettre, y a un stade qui va s'effondrer dans un pays pauvre non spécifié 6 mois après, ou un truc comme ça.
Pour moi, ce qui manque, c'est la possibilité de limiter
l'accès réseau et l'accès au FS de façon simple, sans passer
par du selinux
Alors, ce que tu veux, c'est pas simple. Je veux bien reconnaître que la syntaxe de selinux est pourri, mais même avec une syntaxe moins pourri, ça serait lourd, car la lourdeur ne vient pas que de la syntaxe, mais du fait qu'il faut lister tout les accès, et ça prends du temps, c'est pour ça que les gens ont tendances à ne pas le faire.
Et c'est pas un souci technique, car des méthodes hors SELinux, y en a.
Tu veux filtrer l’accès réseau, tu as iptables (et nftables) en sortie, avec par exemple le match "owner".
Tu veux filter l'http, tu peux mettre un proxy squid en sortie, et mettre des ACL sur la destination.
Tu veux restraindre le FS par application, tu as systemd, avec ProtectHome et tout ce qui va avec (InaccessiblePaths, ReadOnlyPaths, etc, cf systemd.exec
Ou, si tu as de l'argent pour refaire le SI, Openshift (et donc Kubernetes avec les bons réglages) lance les applications sans accès root dans des namespaces séparés, avec un fs en read only (sauf répertoire spécifique explicitement indiqué). Tu peux aussi filtrer en sortie avec les NetworkPolicies.
Et du coup, chaque application qui tourne dans un conteneur doit indiquer les volumes en lecture/écriture, les ports en entrée, et le stockage est normalement séparé par application, donc un peu comme pour Android.
Mais voila, comme android, ça implique de balancer tout le travail déjà fait, ou de bâtir des choses par dessus l'existant. Et il faut gérer la machinerie aussi, bien sur.
J’ai donc du mal à croire à priori que ce pauvre chauffeur ait
trouvé le bug critique qui lance la voiture full patate sans
aucun input.
Alors, je suis d'accord avec l'idée mais mon optimisme ne me permet pas d'envisager un code sans bug à la con.
Et une autre hypothèse aurait pu être un bug matériel qui a aboutit à une erreur sans faire crasher tout le soft (car oui, ça peut aussi arriver).
Ou, Tesla ne déploie pas ses firmwares partout en même temps, et c'était une pre release (style dark deploy à la google) avec un bug à la con, mais la boite ne veut pas le dire.
Je vais pas lister tout la page wikipedia, mais je me souviens de l'histoire de mentir sur les accidents dans ses usines en 2018, donc je sais pas trop si on peut encore donner le bénéfice du doute à la boite.
Je pense surtout que la question est de savoir qui est responsable.
Autant pour un taxi autonome (exemple, waymo), ç'est la même chose qu'avec un taxi normal (eg, pas le passager), autant c'est plus compliqué quand c'est une voiture privé, et que tu es sans doute moins censé avoir une personne assigné à ta voiture (car c'est aussi l'idée, c'est d'avoir un chauffeur sans avoir à le payer au prix d'un chauffeur maintenant).
on demandait beaucoup plus aux applications (logs, métriques,
tableaux de bord) avant
Je pense que les bonnes pratiques maintenant, c'est aussi d'avoir les métriques dispos pour usage via prometheus via HTTP, ou d'être kubernetes-compatible (pour le "readyness probe" et "liveness probe", via HTTP aussi).
Ensuite, c'est peut être après demain dans certains SI, voir la semaine prochaine, quand le passage à la virtualisation sera fini (juste après la migration à RHEL 6)
Mais je sais qu'il y a des gens qui stockent plus que simplement des comptes dans un annuaire LDAP. Avec LDAP, tu as quand même:
- une réplication
- un système d'ACL sur qui peut écrire quoi
- des API pour la majorité des langages
Supposons que tu as une tonne d'application en java (genre 200/300). Pour savoir qui est responsable de ça, tu as besoin d'une liste, et si la liste pouvait être aussi utilisable pour les accès aux serveurs, ça serait pas mal chouette.
Donc tu te dit "on peut mettre chaque appli dans l'annuaire", après tout, il est la, ça te coûte virtuellement rien de plus vu que l'annuaire est déjà "payé" (eg, y a des backups, les ports sont ouverts, y a des ACLs, y a la redondance et la réplication). Et surtout, son uptime, c'est le souci de quelqu'un d'autre, et ça sera son souci que tu l'utilises ou pas.
Mais une fois que tu as ça dans l'annuaire, alors c'est tenant de t'en servir pour savoir par exemple qui recoit les mails quand ça crashe. Parce que oui, log4j permet de faire ça, et donc de faire 1 fichier de config unifié sur toutes les applis qui dit "chaque application qui envoie un message de niveau X va envoyer ça par mail aux gens qui sont listés dans l'annuaire sous le groupe qui correspond au nom de l'application", c'est assez propre, vu que l'info est a un seul endroit.
Autre avantage, tu peux laisser chaque groupe modifier ses préférences de journalisation via LDAP sans donner directement un accès aux serveurs en prod pour toucher la config. Et en fait, sans leur demander d'apprendre à faire du XML, de l'ansible ou autre chose. Quand tu as des gens qui vont et qui viennent, voir qui vont d'un projet à un autre, c'est une solution.
Est ce que ça arrive souvent, je sais pas, je bosse pas dans une banque, et j'ai pas 200 applis java à gerer.
Est ce qu'il y a des tas de façons de faire sans ça, clairement. Des alias mails, une base de données spécifiquement, ou juste embaucher des gens plus cher qui savent faire du XML et du ssh (sans doute non compatible avec "on va réduire le budget" ceci dit).
Et de toute façon, la question n'est pas "pourquoi LDAP ?" en particulier, mais "pourquoi du dynamique ?".
log4j, c'est des logs, mais fondamentalement, les logs, c'est du routage de flux texte. Et si on voit la logique d'avoir la possibilité pour postfix de faire des lookups LDAP, alors je peux imaginer des cas ou ça peut servir aussi pour log4j (cf mes exemples inventés).
[^] # Re: Praticiens
Posté par Misc (site web personnel) . En réponse au journal À quoi bon le libre. Évalué à 1.
Alors je ne pense pas que les gens se lèvent le matin et se disent "je vais tuer des gens".
Par contre, je pense qu'à un moment, il y en a qui vont sortir de leur torpeur et réaliser qu'ils ont contribué à des morts, oui.
Pas que en poussant à éviter le vaccin, mais avec tout ce qui traine dans la sphère des complotistes (que ça soit en poussant d'autres vers des médecins foireuses, des naturopathes, ou en poussant des mouvements d’extrême droite).
C'est pas exactement mon souci. Que je sache, il y a eu plus d'actions violentes de la part des militants antivaxx que sur les militants antivaxx.
Exemple ici en octobre, ici en decembre, ici encore en decembre, ici en juillet.
Si quelqu'un arrive et dit "je voulais me faire vacciner, mais j'ai lu un commentaire d'un inconnu sur Linuxfr, et à la place, j'ai continué à manifester", c'est son droit. C'est se masquer la face, mais on est dans un pays libre, et ça ne rentre pas dans des activités interdites.
Et en pratique, les militants antivaxx s'estiment déjà stigmatisé donc que ça soit à cause de moi ou à cause de leur imagination, je préfère que ça soit à cause de moi.
C'est meilleur pour mon ego, et ça fait une croyance hors sol de moins pour eux.
[^] # Re: Transposons à d'autres interdictions, et oubli d'indication "publiblog"
Posté par Misc (site web personnel) . En réponse au lien Psychopathologie du totalitarisme 1/3. Évalué à 3.
Je propose de nommer la méthode "le point GoodWine".
Tu parles du passage sur le totalitarisme (en citant spécifiquement "encouragement aux délations"), ou de la citation de Goebels, histoire de mettre la bonne ambiance (en comparant les non vaccinés aux juifs, bien sur) ?
Curieusement, vu le nombre de livres publiés (si j'en crois sa page WP), je doute que ça soit pour l'argent. Je sais que ça ne rapporte pas tant que ça, mais 18 livres, ça doit quand même aider un peu à boucler les fins de mois.
Ensuite, quand je vois que son dernier livre est auto édité en 2017 après avoir écrit pour des maisons d'éditions classiques, je commence un peu à tiquer (mais c'est sans doute parce que j'ai une vision réductrice de la pratique).
Ce qui est triste, c'est que je ne doute pas qu'elle soit compétente dans son domaine, mais faire un paragraphe sur "on a des tas de virus", sous entendu, c'est pas grave, c'est comme dire "je boit de l'eau, pourquoi on a besoin de maître nageur".
Moi, ce que je trouve drôle, c'est de renvoyer à Vincent Pavan qui est le pro-COVID derrière le site qui a démarré la discussion sur la pandémie avant celle ci. C'est finalement marrant comme le monde est petit.
D'ailleurs, ce qui montre que le monde est petit, c'est aussi de voir que son texte a été traduit en allemand, en anglais, et en italien. Comme quoi, les pro-COVID communiquent entre eux.
[^] # Re: Du ressort d'un professionnel?
Posté par Misc (site web personnel) . En réponse au lien Psychopathologie du totalitarisme 1/3. Évalué à 5.
J'aurais tendance à dire que même si plein de gens font des projections, ça se retrouve assez souvent.
Par exemple, Donald Trump qui a fait campagne en partie sur un slogan de "drain the swamp" (sous entendu, les personnalités politiques sont corrompus et malhonnêtes, et je vais faire le ménage), alors qu'il se retrouve lui même dans des affaires diverses et variées. La fascination de QAnon pour le même Donald Trump et l'obsession autour de la pédophilie, alors qu'entre les remarques douteuses de Trump sur sa fille, et le fait qu'il connaissait Epstein, c'est pas exactement le messie parfait pour le mouvement.
Ou autre exemple, on a le cas de nombreux prêcheurs virulemment homophobes qui se retrouvent à être surpris avec un mec dans des positions pas très religieuses (Ted Haggard, Paul Barnes, George Rekers, Eddie Long, Paul Crouch, Larry Craig). On trouve facilement des listes en cherchant un peu.
Ce qui est triste aussi, c'est de voir tellement de gens soit craquer (et bon, les 2 années ont été éprouvantes, donc ça se comprends), soit exploiter sans vergogne la détresse des gens.
[^] # Re: Que du mobile
Posté par Misc (site web personnel) . En réponse au lien La messagerie Olvid passe open-source (certifiée ANSSI). Évalué à 5.
Si j'en crois le compte de la boite sur Twitter, un client Linux est prévu (autre qu'android)
[^] # Re: Explications
Posté par Misc (site web personnel) . En réponse au lien Tenir bon. Évalué à 10.
Mais des gens qui ont fait ce choix. Si quelqu'un décide de ne pas prendre le vaccin, par conviction personnel ou par bourrage de crane, c'est un choix fait par la personne.
Ensuite, le souci, c'est que le site en question, il est pas juste "politique", il sent très fort la politique d’extrême droite.
On peut commencer par le titre, "reinfocovid", les racines politiques sont assez transparentes pour qui a un minimum de culture politique:
https://fr.wikipedia.org/wiki/R%C3%A9information
Le but du site, c'est de récolter des emails. L'appel à envoyer son témoignage est bien visible, la newsletter aussi (on voit bien le design jaune sur fond bleu pour attirer l'attention). C'est en haut de la page, et aussi tout en bas.
On note que la newsletter demande la profession et la ville, ce qui est assez curieux pour un site censé ne pas faire d'analyse marketing.
On peut se poser la question de ce qu'un site comme ça va faire avec des emails. Et la réponse est "la même chose que chaque nuit Minus, tenter de conquérir le monde".
Ou plus prosaïquement, s'en servir pour organiser des manifs, etc. par exemple, une étude de cas serait ce qui est arrivé avec la fachosphère pour les ABCD de l'égalité:
https://leplus.nouvelobs.com/contribution/1137871-rumeur-sur-la-theorie-du-genre-a-l-ecole-le-revelateur-du-pouvoir-de-nuisance-de-soral.html
"L’opération, née sur les réseaux sociaux, s’est propagée par SMS. Cela suppose une organisation politique, matérielle et technique considérable, et préparée de longue date.
Savoir à qui l’on s’adresse, de façon précise, implique que des données ont été recueillies sur ces cibles, bien avant le déclenchement de l’opération."
(pour se rafraîchir les souvenirs sur ce cas, ce dossier donne une bonne chronologie)
Donc ce genre de site est une manne pour récolter ce genre d'info.
On noteras aussi la stratégie sur Twitter, visant à juste poster des captures d'écrans avec un lien direct vers la page web. Ça permet de mutualiser avec Instagram, mais aussi sans doute d'évader la modération sur twitter, vu que je suppose qu'il n'y a pas d'OCR (ou que c'est moins courant).
Le site ne dit pas qui est derrière (une association de fait, je pense que ça compte pas légalement), et tout le monde utilise protonmail (ce qui est assez douteux vu les parts de marché de tout les autres acteurs du marché).
En cherchant bien, on trouve un mathématicien derrière l'assoce qui paye les factures. On trouve aussi que ce mathématicien a réussi à se faire suspendre en décembre 2020 pour avoir refuser de porter le masque en septembre 2020. Pour info, le NDD de reinfocovid date d'octobre 2020.
Donc d'un coup, c'est pas juste contre le vaccin ou le pass sanitaire, c'est aussi contre le masque, et sans doute contre toute mesure d'ordre sanitaire.
Il explique son histoire sur le site (à la 3eme personne), et donne les emails des gens à contacter (on pourrait voir un appel au harcèlement, mais bon). Il est aussi engagé dans une procédure judiciaire visiblement depuis mars 2021.
D'ailleurs, c'est amusant parce qu'il a fondé une assoce pour les besoins de Reinfo Covid (octobre 2021), mais quand on y pense, les dépenses sont quand même minime. Bien sur, il faut payer le design du site web, l’hébergement (~10/20€ par mois), sans doute la mailing liste (15/45€ par mois). Mais surtout, faut payer son avocat (dans mon souvenir, c'est cher) et sans doute des avances de frais pour son livre (sortie 2022). C'est curieusement pas trop mis en avant.
Quand on gratte un peu plus, on trouve une interview de lui sur le site du secrétariat de l'enseignement catholique, qui indique qu'il habite au centre de Marseille.
Pris séparément, y a rien de mal. Les gens ont le droit d'être catholique, les gens ont le droit d'habiter à Marseille, les gens ont le droit de faire des sites web pour récolter des emails. Les gens ont le droit de monter des assoces pour financer des actions, dont des plaintes (c'est sur le site). Les gens ont le droit de reprendre des termes de l’extrême droite comme nom de domaine.
Mais pris ensemble, ça commence quand même à peindre un tableau intéressant, parce que l’extrême droite a des scores assez haut à Marseille, parce qu'il y a pas grand monde à part l’extrême droite qui utilise le terme de "réinformation", parce que les liens entre l’extrême droite et certains mouvements catholiques sont plus à démontrer.
Et on peut aussi commencer à se poser des questions, comme ce qui se passe d'un point de vue financier quand on est suspendu de la fonction publique pendant plus d'un an dans une famille de 4 personnes ?
Ou comment est ce qu'une personne inconnue est soudainement relayé partout alors qu'on ne connaît pas les noms des autres personnes suspendus pour avoir refusé de se faire vacciner ?
[^] # Re: Que les non-vaccinés restent chez eux s'ils tombent malades
Posté par Misc (site web personnel) . En réponse au lien Tenir bon. Évalué à 6.
Du coup, mathématiquement la solution, c'est de se faire vacciner dans un avion.
Soit la Pv la probabilité d'avoir un thrombose à cause d'un vaccin et Pa la probabilité d'avoir une thrombose dans l'avion.
La proba Pva d'avoir une thrombose à cause du vaccin dans l'avion, c'est Pa*Pv, vu que c'est la proba des 2 événements en même temps.
Si Pa est de 1/100, et Pv est de 1/100 aussi, alors Pva = 1/10000.
Mais bien sur, le gouvernement refuse de mettre en place des solutions simples pour sauver le peuple, encore la faute des écolos et des vegans.
(je précise que c'est du sarcasme, je sais bien que les vegans n'ont rien à voir avec le refus du gouvernement)
[^] # Re: Que les non-vaccinés restent chez eux s'ils tombent malades
Posté par Misc (site web personnel) . En réponse au lien Tenir bon. Évalué à 3.
Tu veux dire comme dry january, qui a été définancé par les lobbys des industrielles de la boisson et l'opinion publique française depuis 2019 ?
[^] # Re: Que les non-vaccinés restent chez eux s'ils tombent malades
Posté par Misc (site web personnel) . En réponse au lien Tenir bon. Évalué à 2.
Alors, supposons, est ce qu'avoir 100% de la population française qui travaille dans un hôpital (qui est le maximum théorique à l’échelle de la France pour donner les moyens) empêcherait l'épidémie ?
D'un coté, ça voudrait dire 100% de vaccinés. De l'autre, travailler à l’hôpital n’empêche pas de tomber malade.
Conclusion, donner le maximum théorique de moyen ne va pas résoudre la crise à court terme.
[^] # Re: Défi narratif
Posté par Misc (site web personnel) . En réponse au lien 2021 : Les 3 lois de la robotique ne sont pas respectées ;-(. Évalué à 2.
On en arrive assez vite à la question de savoir si la petite fille est en fait une future Hitler.
J'ai une solution élégante pour ça, mais j'ai pas la place dans la marge pour expliquer ça, et j'ai un trolley à prendre (même si la RATP dit qu'il y a du monde sur les voies).
[^] # Re: Mens sana…
Posté par Misc (site web personnel) . En réponse au journal J'ai regardé la série Fondation.. Évalué à 5.
Bah, y a des films indépendants américain aussi, je pense que qualifié ça d'états uniens, c'est simplifier beaucoup la question, et ça masque les dynamiques.
Je pense que la séparation est plus sur les films qui ont un budget pour être exportés (donc 1) traduit 2) adapté à un public spécifique) et ceux qui n'ont pas.
Hollywood, en temps que nébuleuse qui représente l'industrie du cinéma, a l'expertise à ce niveau vu que c'est en place depuis longtemps. Par comparaison, la Corée du Sud, sauf erreur de ma part, a commencé la modernisation de son industrie du cinéma dans les années 2000 (si je me souviens bien).
Tu fait un truc en langue anglaise, tu touches les USA (330 millions de gens), mais aussi sans doute le royaume uni, l'australie, le canada sans trop de probléme.
À coté de ça, tu fais un film en français, le marché est fondamentalement plus petit. Je parle de marché spécifiquement, car il suffit pas d'avoir des gens qui parlent la langue, il faut aussi les infras qui vont avec, et des gens qui veulent payer pour voir les films. Le Congo a beau avoir le plus de francophones au monde, le taux de pauvreté fait qu'il y a sans doute moins de perspective commerciale.
Donc tu fait un film français, tu as belgique, suisse, france, et sans doute quebec. C'est plus petit que le marché US uniquement.
Du coup, mon hypothèse est que le cinéma hollywoodien, parce qu'il arrive plus facilement à faire des économies d’échelles, a réussi à plus vite s'industrialiser, et à prendre de l'avance.
Demander un budget de 300 millions pour un film que tu va montrer à un marché de 500 millions de personnes, c'est plus facile à justifier que pour un marché de 100 millions. Et du coup, je suppose qu'il y a plus de moyens, et ça part soit dans le fait d'avoir plus d'effets spéciaux, soit d'avoir plus de films (y compris plus de films pourris). Et qui dit plus de films dit sans doute plus de succès au total.
Donc tu te retrouves avec une industrie qui sait ce qui marche grâce à des données depuis des années et qui bosse pour vendre des trucs qui marchent.
Des protestants et la morale judéo-chretienne, on a ça aussi en Europe, mais je ne crois pas (à vérifier) qu'on a eu un équivalent au code Hayes en France, par exemple.
Et par exemple, sur l'inclusion de personnages LGBT dans l'univers Marvel, une des hypothèses n'est pas que le marché US va mal réagir (c'est plus les années 1980), mais plus que la Chine va refuser un visa d'exploitation, et que ça va peser dans la balance commercial.
[^] # Re: Comme openssl
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 3.
Si par Red Hat, tu veux pointer sur les donations faites en décembre pour curl, plot twist, le virement a été fait par quelqu'un de mon équipe (à savoir Ruth).
Elle a demandé en interne des noms de projets qui peuvent recevoir des dons soit via OpenCollective, soit via une association (en citant SPI et SFC). Ou via Github Donations à condition de passer par Open Collective.
SPI et SFC sont des structures basées aux USA, sauf erreur de ma part. OpenCollective est basé au Delaware, donc je pense que ça va beaucoup plus vite en terme de gestion de risque vu que la loi US s'applique aussi directement sur l'intermédiaire.
Et de plus, le programme en question a été commencé y a un peu plus d'un an avec 3 projets pilotes avant d'étendre à plus, donc quand je dit "il faut un peu de paperasse et de temps", c'est pas juste pour gagner du karma.
Mais oui, une fois que c'est en place, ça va beaucoup plus vite (vu que la demande de noms a été faite le 2 décembre, le virement a été fait le 15, mais Ruth a aussi l'habitude de travailler avec notre direction financière donc je suppose que ça aide pas mal).
Oui, clairement. Ensuite, c'est surtout qu'il y a une zone entre "je gagne à peine de quoi payer mes jeux, la caméra et le setup", et "je gagne ma vie et de quoi payer des prestas", et c'est la ou ça devient sans doute tendu quand une personne gagne sa vie et l'autre pas, surtout quand l'investissement en temps semble comparable (vu que si X streame et Y modère pendant ce temps, ça prends plus ou moins le même temps).
Dans le cas de Facebook, Facebook paie des modérateurs (ou plutot, sous traite ça au portugal) et investit dans des IAs pour réduire les couts, mais aussi éviter d'infliger à des humains de faire la modération.
Mais se pose la question de la modération humaine d'un groupe dédié à une structure, comme serait une communauté de fans, par exemple.
[^] # Re: Des productions françaises !
Posté par Misc (site web personnel) . En réponse au lien Le top 10 des mésinformateurs francophones . Évalué à 10.
Moi, je note surtout que linuxfr n'est pas le top 10 d'un coté ou de l'autre.
C'est assez louche, je pense qu'il y a une censure étatique vis à vis de la moulosphére, et qu'on essaye de museler l'opposition philosophique au modèle capitalo-proprio poussé par Bill Gates et France Télécom.
Nous sachons
[^] # Re: Surprise !
Posté par Misc (site web personnel) . En réponse au lien Le top 10 des mésinformateurs francophones . Évalué à 7.
Oui, c'est pas super étonnant.
Historiquement, le fascisme (qu'on va en général ranger dans "extrême droite") est souvent lié à une forme de mensonge.
Par exemple, le NSDAP (le partie nazi) s'est présenté à la base comme anti bourgeois (c'est dans le nom en allemand, le A pour Arbeiterpartei), puis à changé du tout au tout vers l'anti-marxisme pour obtenir le support de l'industrie.
Ce fut le même topo en Grèce de ce que je sais, et j'imagine en Italie (même si je connais un peu moins tout ça). C'est aussi ce qu'on retrouve dans le texte d'Umberto Eco sur le fascisme eternel:
On retrouve aussi le mensonge dans l'idée que c'était mieux avant, eg l'appel à la tradition (mensonge sur le fait que c'était en général pas mieux avant sauf sans doute pour des élites spécifiques). On le retrouve aussi dans l'idée d'un complot international (exemple, les Protocoles des Sages de Sion et son usage dans Mein Kampf).
Donc l'usage du mensonge est fondateur dans certaines théories d’extrême droite.
# Des productions françaises !
Posté par Misc (site web personnel) . En réponse au lien Le top 10 des mésinformateurs francophones . Évalué à 5.
Malgré la présence importante de productions russes dans le top 10 (sputnik, RT), ou de sites qui "relaie de la propagande russe" (Planetes360, TVlibertes), je pense qu'on peut être fier de voir qu'on a quand même des productions de chez nous comme FranceSoir ou pour un coté un peu plus terroir, Breizh info.
Ça fait chaud au coeur de voir que nos productions françaises n'ont pas à rougir face à l'industrie de St Peterbood qui inonde nos écrans.
(c'est du sarcasme, pour le cas ou c'est pas clair)
[^] # Re: Comme openssl
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 3.
Il est possible en effet que la multinational qui m'emploie soit un cas extrême. Je vois le temps qu'on a mis pour avoir 1 fournisseur dans le système, c'était assez décourageant, donc j'imagine pas vraiment faire ça sur 20 à 30 logiciels.
Ensuite, encore une fois, pour une boite plus petite, je ne doute pas que c'est beaucoup plus simple. Une PME va juste faire le virement et basta.
Mais en général, c'est rarement les PME qu'on accuse de profiter du logiciel libre sans rien donner en retour.
Je suppose que le point important, c'est la relation de subordination. À priori, je pense qu'il n'y a pas de relation de subordination entre un projet lambda (gitlab) et un codeur lambda (barmic).
Mais tu as raison de pointer ça, et je pense que c'est une question qui s'inscrit dans la réflexion autour des réseaux sociaux et du travail de création fait par les utilisateurs.
Ton exemple me parait plus équitable que les histoires autour de Facebook, car Gitlab va aussi contribuer au pot commun, même si, comme tu le pointes, c'est un produit d'appel.
[^] # Re: Comme openssl
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 4.
Mais je n'ai pas dit "une interdiction", j'ai parlé de "c'est pas si simple". C'est rien d'insurmontable, vu qu'on arrive à faire le sponsoring.
Et comme tu le souligne, la boite qui paye doit vérifier, mais vérifier, c'est de la paperasse, et c'est un peu intrusif hélas.
Genre, si demain on dit "on veut te filer des thunes, mais on a besoin de ta carte d'identité pour vérifier ta nationalité", ça va faire grincer des dents à juste titre.
L'exemple du FOSDEM est aussi un bon exemple parce que le FOSDEM est une assoce, c'est établi et le sponsoring est tout les ans. Donc tu fais la paperasse une fois, et ça parait pas louche, et ça va.
Payer des devs une fois, c'est autre chose.
Et je ne parle pas de la question du travail déguisé, parce qu'il y a aussi ce coté intéressant (à savoir que si une boite file de l'argent à X pour faire du travail sur un logiciel Y qui est vendu/utilisé, je comprends que les impôts regardent ça d'un œil bizarre car c'est comme une presta sans payer d’impôts, et les impôts, ils aiment pas ça)
[^] # Re: Isolation des accès réseaux
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 3.
Oula, faut que je dorme plus, c'était sur la page wikipedia, pas sur freebsd.org. Ou sur https://papers.freebsd.org/2020/linux.conf.au/goodkin_freebsd_the_other_unix-like_os/
[^] # Re: Comme openssl
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 5.
Alors oui, mais c'est long.
Les États Unis ont un certain nombre de loi fédéral vis à vis de la corruption, notamment le Foreign Corruption Practice Act (loi sur la corruption à l'étranger).
Moi, j'ai la nationalité française, je bosse à Paris, avec un contrat français avec une boite française en temps qu'admin sys. Et pourtant en pratique, ça impacte ma vie professionnelle de plusieurs façons, car mon employeur est filiale de filiale d'une boite aux USA, elle même filiale d'une boite plus grande, aussi aux USA.
Primo, tout les ans, toute la boite a une formation obligatoire sur le sujet du FCPA. C'est une formation sur le web, avec des vidéos, des questions, et ça tombe en hiver. On a aussi une sensibilisation vis à vis du RGPD et de la sécurité.
Pendant des années, ça a été illustré par la même histoire sur la construction d'un stade dans un pays imaginaire, ou quelqu'un sous pression de son sous traitant paye un pot de vin pour finir la construction à temps d'un stade (eg, contourner la demande de permis qui va prendre 4 mois), mais … le stade s'effondre à cause de ça 2 slides plus tard, et c'est mal(tm).
La formation a fini par être refondu (donc avec d'autres histoires) au bout d'un certain temps mais ça avait fini par devenir un meme en interne. Je suis assez fier de faire un score parfait chaque année depuis 5 ans en français ou en anglais, mon objectif est de réussir à faire la formation dans une 3eme langue, car on s'occupe comme on peut.
Secundo, et c'est la ou ça devient intéressant, c'est que les USA sont assez rigide sur la question de la corruption, dans le sens ou ils estiment que si il y a un acte de corruption dans ta chaîne de responsabilité même dans un autre pays, tu es responsable.
Si moi, je paye un pot de vin pour passer la douane plus vite pour aller à Yerevan en Arménie dans le cadre du boulot (histoire arrivé à un collègue dans un autre cadre), alors mon employeur est responsable aux yeux de la justice américaine, et quelqu'un peut aller en taule ou avoir une amende. Je ne sais pas si c'est le cas aussi en France, mais en général, ça surprends pas mal de savoir que les USA considèrent que leur loi s'applique en dehors de leur territoire et sur les non ressortissants.
Autant dire que le consensus sur les 6 niveaux de chef au dessus de moi, tous aux USA, est qu'il ne faut pas tenter le diable, d’où les formations, et des vérifications sur les notes de frais, etc, etc.
Je suis admin sys, donc le risque de filer des pots de vins à un douanier est assez mince. Mais la corruption, vis à vis de la loi des USA, c'est défini de façon assez large, dans le sens ou si ça implique de l'argent et quelqu'un lié à un état, c'est louche.
Par exemple, si je fait un tirage au sort pour gagner un smartphone sur un stand du FOSDEM, et paf, c'est une fonctionnaire espagnole qui gagne, ça peut être vu comme de la corruption. Si je paye un repas avec la carte bleue de la boite à un prof norvégien toujours lors du FOSDEM, ça peut être vu comme de la corruption.
Et surtout, je file du cash ou je fait un virement à un étudiant en doctorat (cad, quelqu'un en France payé par l'état), ça peut être vu comme de la corruption.
Et la ou ça devient encore plus drôle, c'est que c'était déjà assez lourd, mais on a aussi le concept (dont j'ai oublié le nom exact) d'entreprise quasi gouvernemental.
Exemple, EDF. EDF n'est pas le gouvernement français, mais le gouvernement français a la majorité des parts, donc ça compte comme si c'était le gouvernement. Et EDF a des sous traitants, donc techniquement, les sous traitants peuvent compte comme EDF, donc comme des fonctionnaires vis à vis de la loi US anti corruption à l'étranger.
Donc prenons un example. Supposons que Roberta Codeusedelogquatreji, qui travaille bosse pour EDF dans une ESN et qui bosse sur log4j sur son temps libre. Mon employeur ne devrait pas lui faire de virement direct pour soutenir log4j, parce qu'elle bosse pour EDF, et donc on a des vérifications à faire avant pour pas avoir d'emmerde avec la justice des USA.
Je ne dit pas que c'est pas faisable, mais c'est relou. Par exemple, on a maintenant un tableau listant les montants et les circonstances des exceptions (par origine de la personne qui paye et de la personne qui recoit, et du statut de la personne qui recoit et de ou ça se passe et comment ça se passe), et "filer du cash" n'est pas dessus (payer des repas, des goodies, oui), donc il faut demander. Et connaissant la boite, je suppose que ça va aussi vite que d'avoir un laisser passer A-38.
Ça c'est pour le FCPA.
Ensuite vient la question de l'OFAC. C'est l'Office of Foreign Assets Controls, le bureau du contrôle des biens étrangers.
C'est un département du ministère des finances des USA, en charge de faire appliquer des sanctions économiques (parmi tant d'autres). En gros, les ressortissants US n'ont pas le droit d'interagir économiquement avec les gens sur la liste publié par l'OFAC. La liste est sur le site web, un fichier texte de 9 megaoctets avec 6300 entités (personne, entreprise, etc).
Comme la politique étrangère du pays n'est pas caractérisé par sa subtilité, il y a directement des pays sur la liste comme l'Iran, la Corée du nord, la Syrie, etc. Ça a donné des choses comme ici, ici, ici au cours des années.
La liste des sanctions est assez complexe, et change régulièrement. Par exemple, c'est aussi l'OFAC qui fait qu'il est interdit d'importer du matériel produit par de la main d'oeuvre Ouïghour (donc je sens que mon prochain serveur va prendre un peu plus de temps à commander à cause de ça.
Donc techniquement, une boite US qui file des thunes à un dev de log4j qui est un citoyen d'Iran (même vivant à l'étranger) serait dans la merde, car c'est interdit. Et le souci de l'OFAC, c'est que ça dépend directement du président (donc non élu), et qu'ils sont un chouia rigide et pas exactement sympa. De ce que j'ai compris, ça ne va pas changer de si tôt, et personne n'a vraiment envie d'attirer l'attention des impôts en demandant des exceptions.
Ensuite, je ne connais pas la loi française. Je ne doute pas que ça soit plus souple, mais je suppose que faire cracher l'argent à une banque, ç'est aussi non trivial, en partie parce que même une banque française va vouloir respecter la loi US pour ne pas se fermer ce marché ou se faire bloquer l'accès à SWIFT. C'est aussi exactement pour ça que l'Europe a mis en place des choses comme INSTEX, ou des lois visant à protéger les entreprises qui ont une relation commercial avec l'Iran.
Donc voila, c'est la version longue de "on peut pas filer de l'argent n'importe comment sinon des stades risquent de s'effondrer". Je ne doute pas que dans une petite boite, ça se passe autrement, et peut être que c'est juste mon employeur qui est particulièrement prudent. Mais je pense qu'à partir d'une certaine taille, tout le monde devient prudent.
[^] # Re: Comme openssl
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 2.
Alors je ne doute pas qu'il y a des tas de moyens de contourner le FCPA ou les sanctions de l'OFAC, mais je garde mes compétences spéciales pour les cas spéciaux.
Et si j'en crois les trainings annuels, si je respecte pas la loi à la lettre, y a un stade qui va s'effondrer dans un pays pauvre non spécifié 6 mois après, ou un truc comme ça.
[^] # Re: Isolation des accès réseaux
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 2.
La trademark, et le fait que personne n'a payé pour la certif.
La vraie question est plus "pourquoi on croit que FreeBSD est plus un Unix que Linux", alors que c'est marqué Unix-like sur la page.
[^] # Re: Isolation des accès réseaux
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 4.
Alors, ce que tu veux, c'est pas simple. Je veux bien reconnaître que la syntaxe de selinux est pourri, mais même avec une syntaxe moins pourri, ça serait lourd, car la lourdeur ne vient pas que de la syntaxe, mais du fait qu'il faut lister tout les accès, et ça prends du temps, c'est pour ça que les gens ont tendances à ne pas le faire.
Et c'est pas un souci technique, car des méthodes hors SELinux, y en a.
Tu veux filtrer l’accès réseau, tu as iptables (et nftables) en sortie, avec par exemple le match "owner".
Tu veux filter l'http, tu peux mettre un proxy squid en sortie, et mettre des ACL sur la destination.
Tu veux restraindre le FS par application, tu as systemd, avec ProtectHome et tout ce qui va avec (InaccessiblePaths, ReadOnlyPaths, etc, cf systemd.exec
Ou, si tu as de l'argent pour refaire le SI, Openshift (et donc Kubernetes avec les bons réglages) lance les applications sans accès root dans des namespaces séparés, avec un fs en read only (sauf répertoire spécifique explicitement indiqué). Tu peux aussi filtrer en sortie avec les NetworkPolicies.
Et du coup, chaque application qui tourne dans un conteneur doit indiquer les volumes en lecture/écriture, les ports en entrée, et le stockage est normalement séparé par application, donc un peu comme pour Android.
Mais voila, comme android, ça implique de balancer tout le travail déjà fait, ou de bâtir des choses par dessus l'existant. Et il faut gérer la machinerie aussi, bien sur.
Donc des solutions, y en a.
[^] # Re: Tout couper?
Posté par Misc (site web personnel) . En réponse au journal tesla. Évalué à 6.
Alors, je suis d'accord avec l'idée mais mon optimisme ne me permet pas d'envisager un code sans bug à la con.
Et une autre hypothèse aurait pu être un bug matériel qui a aboutit à une erreur sans faire crasher tout le soft (car oui, ça peut aussi arriver).
Ou, Tesla ne déploie pas ses firmwares partout en même temps, et c'était une pre release (style dark deploy à la google) avec un bug à la con, mais la boite ne veut pas le dire.
Je vais pas lister tout la page wikipedia, mais je me souviens de l'histoire de mentir sur les accidents dans ses usines en 2018, donc je sais pas trop si on peut encore donner le bénéfice du doute à la boite.
[^] # Re: La mauvaise foi est humaine
Posté par Misc (site web personnel) . En réponse au journal tesla. Évalué à 4.
Je pense surtout que la question est de savoir qui est responsable.
Autant pour un taxi autonome (exemple, waymo), ç'est la même chose qu'avec un taxi normal (eg, pas le passager), autant c'est plus compliqué quand c'est une voiture privé, et que tu es sans doute moins censé avoir une personne assigné à ta voiture (car c'est aussi l'idée, c'est d'avoir un chauffeur sans avoir à le payer au prix d'un chauffeur maintenant).
[^] # Re: La vraie remise en question
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 2.
Je pense que les bonnes pratiques maintenant, c'est aussi d'avoir les métriques dispos pour usage via prometheus via HTTP, ou d'être kubernetes-compatible (pour le "readyness probe" et "liveness probe", via HTTP aussi).
Ensuite, c'est peut être après demain dans certains SI, voir la semaine prochaine, quand le passage à la virtualisation sera fini (juste après la migration à RHEL 6)
[^] # Re: La vraie remise en question
Posté par Misc (site web personnel) . En réponse au journal log4shell : Et après ?. Évalué à 8.
Alors au début, je me suis dit pareil.
Mais je sais qu'il y a des gens qui stockent plus que simplement des comptes dans un annuaire LDAP. Avec LDAP, tu as quand même:
- une réplication
- un système d'ACL sur qui peut écrire quoi
- des API pour la majorité des langages
Supposons que tu as une tonne d'application en java (genre 200/300). Pour savoir qui est responsable de ça, tu as besoin d'une liste, et si la liste pouvait être aussi utilisable pour les accès aux serveurs, ça serait pas mal chouette.
Donc tu te dit "on peut mettre chaque appli dans l'annuaire", après tout, il est la, ça te coûte virtuellement rien de plus vu que l'annuaire est déjà "payé" (eg, y a des backups, les ports sont ouverts, y a des ACLs, y a la redondance et la réplication). Et surtout, son uptime, c'est le souci de quelqu'un d'autre, et ça sera son souci que tu l'utilises ou pas.
Mais une fois que tu as ça dans l'annuaire, alors c'est tenant de t'en servir pour savoir par exemple qui recoit les mails quand ça crashe. Parce que oui, log4j permet de faire ça, et donc de faire 1 fichier de config unifié sur toutes les applis qui dit "chaque application qui envoie un message de niveau X va envoyer ça par mail aux gens qui sont listés dans l'annuaire sous le groupe qui correspond au nom de l'application", c'est assez propre, vu que l'info est a un seul endroit.
Autre avantage, tu peux laisser chaque groupe modifier ses préférences de journalisation via LDAP sans donner directement un accès aux serveurs en prod pour toucher la config. Et en fait, sans leur demander d'apprendre à faire du XML, de l'ansible ou autre chose. Quand tu as des gens qui vont et qui viennent, voir qui vont d'un projet à un autre, c'est une solution.
Est ce que ça arrive souvent, je sais pas, je bosse pas dans une banque, et j'ai pas 200 applis java à gerer.
Est ce qu'il y a des tas de façons de faire sans ça, clairement. Des alias mails, une base de données spécifiquement, ou juste embaucher des gens plus cher qui savent faire du XML et du ssh (sans doute non compatible avec "on va réduire le budget" ceci dit).
Et de toute façon, la question n'est pas "pourquoi LDAP ?" en particulier, mais "pourquoi du dynamique ?".
log4j, c'est des logs, mais fondamentalement, les logs, c'est du routage de flux texte. Et si on voit la logique d'avoir la possibilité pour postfix de faire des lookups LDAP, alors je peux imaginer des cas ou ça peut servir aussi pour log4j (cf mes exemples inventés).