Benoît Sibaud a écrit 9617 commentaires

Sinon tirée de https://linuxfr.org/users/oumph/journaux/linuxfr-org-premiere-quinzaine-de-mai-2024

on a une liste de 6556 serveurs mastodon via nos logs web… dans le User-Agent " http.rb/… (Mastodon/…; +https://)"

à LinuxFr.org mais sans Android donc beaucoup moins en mobilité, éventuellement sans Go qui vient de Google et dont je ne mesure pas l'importance encore dans le langage (ça enlèverait les images et les epub du site), sans plusieurs gems Ruby (ça casserait le site web), probablement sans des modules node aussi, il y a en aussi dans les tests mastodon donc ça gênerait pour share et les réseaux sociaux, etc. Point positif on n'a plus Google+ / Google Buzz (bon ok eux non plus). Bref l'absolu 0% Google (ou Microsoft ou Amazon ou Apple ou Oracle) est probablement difficile à atteindre en informatique. Le "sans communication" (pas de télémétrie, pas de téléchargement/téléversement, pas de vérification de mise à jour, pas d'anti-méchant/filtre/CDN, etc.) avec eux est probablement nettement plus facile.

Sans parler du fait qu'à un moment ça ne dépend plus de nous, mais de vous : 31% des comptes actifs ont une adresse gmail par exemple (vs 36% en 2017). Donc on doit communiquer avec Google pour le site principal, les listes de diffusion, etc. (Couper gmail et AWS nous ferait nettement moins de spam…)
Ou encore l'utilisation d'images en googledrive.com, ssl-images-amazon.com, images-amazon.com, media-amazon.com et autres *.google.com, *.amazonaws.com utilisées par notre lectorat (ok on les met en cache en local, et on a dit que le serveur serait cassé de toute façon).

Un autre point est que le logiciel en local n'est mis à jour que si je l'accepte (on peut certes imaginer un cheval de Troie qui se mettr à jour tout seul mais on s'éloigne du sujet je dirais). Bref si j'ai confiance dans le logiciel S en version x.y.z sur mon ordi, il va garder ma confiance (moyennement l'évolution du temps donc de la dette technique, les failles découvertes, etc.).
A contrario, le logiciel SaaS est mis à jour indépendemment de moi/n'importe quand, le fait qu'il fasse ce qu'il dit à un instant T est déjà difficile/impossible à montrer, et qu'il le fera encore à T+1 encore plus. De fait il faut un plus grand niveau de confiance pour exécuter du code distant d'un tiers (que du local), et a fortiori lui donner des données à traiter.

Nb: souvent le tiers pense la même chose, ça lui pose des problèmes d'avoir du code exécuté chez les personnes utilisatrices…

Des exemples

https://bsky.app/profile/did:plc:fdio3z6twkpzaemh57uceudl/rss (@ahpnils.bsky.social - Nils)

https://framapiaf.org/@bookynette.rss (Bookynette)

Le bon sténographe bon ben il produit un texte limpide avec mention de date.
Le mauvais sténographe, bon ben il produit un texte stéganographié avec trace de datte.

En tant qu'utilisateur de nombreux flux RSS sur diverses instances mastodon et sur bluesky, ça ne remplace pas le besoin d'aller sur les comptes avec ton navigateur pour voir ce qui n'est pas dans les flux RSS : les message mis en visibilité, les commentaires, la notion de fil de mesages, etc. Bref je regarde les RSS pour savoir si quelque chose a été dit, mais je consulte aussi les comptes (via des collections sur Firefox mobile, ce que bluesky commence à ne pas aimer vu les requêtes simultanées déclenchées).

Nb: j'ai arrêté de suivre X/Twitter bien avant les derniers délires de Megalo 1^er, parce qu'il n'était plus lisible sans compte, tuant l'open web, luttant activemment contre les proxys Nitter, et évidemment sans RSS.

Et pour revenir aux RSS, certains flux de personnes très actives sont assez difficiles / pénibles à suivre : la FSF par exemple, qui rabâche beaucoup et fréquemment, certaines journalistes/journaux (ils font ça à temps plein eux).

Ici c'est linuxfr.org parce que ça serait beaucoup trop chiant de changer le nom de domaine maintenant. Mais on y parle logiciels libres (parmi d'autres choses d'ailleurs), et Python en est un. Et on fait des efforts pour l'accueil svp.

Personne n'avait encore proposé de mettre le gouvernement devant des recherches adultes pour l'occuper et l'empêcher de légiférer ?

Si l'on en croit notre lectorat (vu sur LinuxFr.org !) :

Domaines à plus de trois comptes parmi les comptes actifs

• mastodon.social
  
• mamot.fr
  
• framapiaf.org
  
• piaille.fr
  
• pouet.chapril.org
  
• mastodon.tetaneutral.net
  

Faut pas insérer le JS n'importe où

<script>window.generalData = {isVisitor: "1"}</script>    <script defer src="https://webtools.europa.eu/load.js?globan=1110" type="text/javascript"></script>
<!DOCTYPE html>

<html  dir="ltr" lang="en" xml:lang="en">

Un serveur et une VM linuxfr.org utilisaient aussi les DNS ouverts FDN et ont été reconfigurés pour remettre les sauvegardes d'aplomb.

(Et merci FDN <3)

https://mastodon.gougere.fr/@gaetan@mediapart.social/114183766692296464
-> https://blogs.mediapart.fr/kevin-limonier/blog/170325/le-controle-des-reseaux-sociaux-une-question-de-securite-nationale

En fait, beaucoup de données passent par l'Europe, bien plus que nous ne le pensons. Marseille, par exemple, est en train de devenir l'un des trois premiers centres d'échange de données au monde.

Nous avons cette force à la couche inférieure du cyberespace, mais à la couche supérieure, nous sommes très mauvais.

LinuxFr.org le site des survivalistes :

• Edmond-Jules : bon, Paul-Kevin n'est pas revenu aujourd'hui, je pense qu'on va dire que ce machin violet qui pousse par terre n'est pas comestible.
• Marcel-Luc : sinon j'ai un retour d'expérience sur ces quadrupèdes avec des griffes et des dents, ben ça fait mal, faut pas les brancher
• Catherine-Martha : oui, et aussi l'approche par l'ingénierie est formelle, les catapultes sont peu efficaces pour la chasse au lapin
• Marcel-Luc : je ne comprends pas, ça avait l'air de marcher dans 0.A.D.
• Hubert-Lucile : t'as essayé un kill -9 rabbit ? …

Quitte à cumuler les problématiques, ça serait mieux qu'il soit d'origine étrangère, de préférence d'un pays aujourd'hui disparu, disons la Yougoslavie par exemple. Idéalement d'un pays avec un alphabet différent, disons l'actuelle Serbie. Et encore il n'aurait alors pas de nom patronymique comme les Russes ou les Bulgares ou les Ukrainiens. Et trans. Et XXY. Et avec un nom à particule. Et utilisateur d'Emacs.

Corrigé, merci.

Autres liens https://www.francetvinfo.fr/societe/justice/onze-ong-d-afrique-de-l-ouest-portent-plainte-contre-vincent-bollore_7138758.html
https://www.humanite.fr/monde/afrique-de-louest/des-milliards-deuros-de-revenus-vincent-bollore-attaque-en-justice-par-11-ong-pour-ses-activites-suspectes-en-afrique-de-louest
https://www.lefigaro.fr/actualite-france/ports-africains-une-plainte-pour-recel-et-blanchiment-deposee-contre-vincent-bollore-20250319
https://www.lemonde.fr/societe/article/2025/03/19/vincent-bollore-et-son-groupe-vises-par-une-plainte-panafricaine-l-accusant-d-etre-au-c-ur-d-un-systeme-de-corruption_6583461_3224.html
https://www.courrierinternational.com/article/vu-de-belgique-une-plainte-panafricaine-inedite-deposee-contre-le-groupe-bollore-pour-recel-et-blanchiment_228923

Le côté corruption, recel et blanchiment présumés en Afrique ne concerne pas "directement" LinuxFr.org sauf si cette logistique portuaire est liée à des terres rares ou des minéraux pour l'électronique, du recyclage de déchets informatiques, du déploiement d'infrastructures info ou télécom, ou indirectement mine la francophonie, porte atteinte à la liberté d'expression ou à la véracité des infos en ligne (cf implications politiques et médiatiques de M. Bolloré), dégrade la démocratie, ou est liée aux médias, éditions, major du divertissement, etc. contrôlées par la famille Bolloré. Je ne dirais pas osef, mais oui ce n'est pas le coeur du sujet ici.

Les propriétés sont largement indépendantes en fait :

• bon algo de condensat (SHA2 par exemple) vs mauvais algo (disons BASE64 pour le besoin de l'exemple)
• bien pour de la crypto (Keccak par exemple) vs pas bien pour de la crypto (MD5)
• rapide (BLAKE3) vs lent (Argon2)

/dev/zero est un mauvais algo de condensat, très mauvais en termes de crypto mais très rapide.
MD5 est un bon algo de condensat, rapide, mais plus au niveau pour de la crypto.
Etc.

Pierre : Il s’appelle Juste Leblanc.
François: Ah bon, il a pas de prénom ?
Pierre : Je viens de vous le dire : Juste Leblanc.
François : Hein ?
Pierre : Leblanc c’est son nom, et c’est Juste son prénom.
François : euh…
Pierre : Monsieur Pignon, votre prénom, à vous, c’est François, c’est juste ?
François : Oui…
Pierre : Eh ben lui c’est pareil, c’est Juste.
François: …

(référence)

NOTE: BLAKE3 is not a password hashing algorithm, because it's designed to be fast, whereas password hashing should not be fast. If you hash passwords to store the hashes or if you derive keys from passwords, we recommend Argon2.

Page d'accueil du projet sur GitHub

https://www.lalettre.fr/fr/action-publique/2025/03/19/polytechnique-cede-aux-sirenes-du-cloud-de-microsoft,110389616-eve
https://next.ink/175788/leducation-nationale-signe-pour-100-millions-deuros-de-solutions-et-services-microsoft/
https://www.linforme.com/tech-telecom/article/l-hebergement-de-nos-donnees-de-sante-chez-microsoft-au-coeur-d-une-vive-polemique_2666.html
https://www.lesechos.fr/start-up/ecosysteme/microsoft-le-nouveau-parrain-de-la-french-tech-2153754
https://www.cio-online.com/actualites/lire-air-france-klm-mise-sur-google-cloud-pour-sa-data-16026.html
…

Bref, je pense qu'il manque un peu de test de robustesse pour s'assurer que BLAKE3 est vraiment solide pour du condensat cryptographique, mais à part ça, j'aimerais vraiment le voir plus utilisé que le reste.

Formulé ainsi, ça fait un peu « il manque juste la preuve qu'il remplit sa fonction de base, mais sinon il est super ». Tendance « on ne sait pas si le goût et la consommabilité de cette eau de Javel sont ok, mais ça pourrait faire du Bourgogne Grand Cru à vraiment pas cher ».
(BLAKE3 est peut-être très bien par ailleurs, je n'en ai aucune idée, je ne réagis qu'à la petite phrase finale du journal)

Un autre exemple avec le droit sui generis des bases de données ?
https://europa.eu/youreurope/business/running-business/intellectual-property/database-protection/index_fr.htm

On peut faire des requêtes sur une base de données, mais pas multiplier les requêtes pour extraire l'intégralité de la base et la réutiliser ailleurs.

Le PDF:

Creation Date: 4/9/24, 12:37:19 PM
Modification Date: 4/9/24, 12:37:19 PM

et https://www.europol.europa.eu/media-press dit "Update date:09 Apr 2024"

Clairement pas nouveau. Titre modifié.

Guillaume Poupard, ancien DG ANSSI, DG adjoint de Docaposte
https://www.linkedin.com/posts/guillaume-poupard-3604531b5_8ter-narcotrafic-pegasus-activity-7307293850782289921-_VC-/
« Est-ce que cette méthode est moins dangereuse que l’affaiblissement des mécanismes de chiffrement🔐 ou le séquestre des clés🔑 ? Ca ne fait aucun doute. Mais moins idiot que totalement crétin n’est pas nécessairement synonyme d’intelligent… »

Ça serait considéré discriminatoire en France je dirais :

• si c'est pour le nom après le mariage, vu que quel que soit le genre des conjoints, ils peuvent prendre un ou deux noms, et que ça se décline pour les enfants, ça n'a pas de sens de le restreindre à madame
• si c'est pour le nom de naissance, et qu'on peut changer de nom(s) par mariage notamment, indépendamment du genre, ça n'a pas de sens non plus en France