Sauf que la problématique est complètement différente. Les données du jeu vidéo sont nécessaires à la distribution du jeu. On peut distribuer un LLM sans ses données (enfin c'est le cas général). Pour pouvoir packager Nexuiz dans Debian, Debian doit avoir le droit de distribuer les données de Nexuiz. Alors que pour packager Bloom dans Debian, Debian n'a besoin que d'avoir le droit de télécharger les données de Bloom.
L'analogie avec le jeu vidéo serait que les données d'entraînement ne sont nécessaires que pour la /compilation/ du jeu vidéo. Je vais pas certainement pas prétendre que c'est équivalent en licence à un compilateur. Mais j'évite les analogies foireuses.
En pratique, un LLM ne sera jamais packagé de la manière dont on package Nexuiz, parce que personne n'a l'argent pour "recompiler" un LLM: BERT qui est riquiqui coûte de nos jours 40$/"compilation", ça fait cher la compilation reproductible.
Je n'ai pas de réponse à la question "qu'est-ce qu'être libre pour un modèle IA?", car elle est particulièrement complexe, entre autre pour les questions de coûts [1], mais je trouve que la trivialiser par "on a déjà résolu cette problématique"
[1] Pour le coup, la question des coûts de reproduction existe déjà dans d'autres milieux du libre, comme le matériel. Et j'imagine qu'on a déjà eu quelques cas de projets opensource à plusieurs millions d'€ pour le reproduire, mais j'ai toujours été assez mal à l'aise avec
Les liens donnés sont intéressants mais j''ai l'impression que ce sont uniquement des modèles (basés sur ceux de META) qui sont distribués sans que les jeux de données, les algorithmes et les méthodes d’entraînement ne soient communiquées.
Les méthodes d'entraînement et les algorithmes sont aussi documentés dans leur papiers respectifs, et HuggingFace publie systématiquement leur code d'entraînement.
On ne va redéfinir libre au sens du logiciel. Les quatre libertés fondamentales sont déjà énumérés ci-dessus.
Oui. Pour pouvoir utiliser, reproduire, modifier, et étudier un modèle, les données n'ont pas besoin d'être libres. De même qu'un compilateur n'a pas besoin d'être libre pour que les projets qu'il compile soient considérés comme libres.
Est-ce que si mon modèle a été entraîné avec des données sous copyright, je peux l'utiliser? Clairement le consensus actuel est "oui" sinon aucun modèle propriétaire n'existerait.
Est-ce que ça me permet de le reproduire? Et bien oui, les données de ces exemples sont téléchargeables sur leur site d'origine. Ces données ne sont pas libres, mais elles ne m'empêchent de reproduire le modèle.
Est-ce que ça me permet de le modifier? Si je veux supprimer des éléments du jeu de données, et rajouter d'autres données, je peux le faire sans aucun problème.
Est-ce que je peux l'étudier? Oui aucun problème pour faire les analyses que je souhaite sur le jeu de données.
Bref, un modèle entraîné sur des données propriétaires (mais téléchargeables gratuitement) respecte les libertés fondamentales.
Cela suppose-t-il que les algorithmes et le jeux de données ayant servi à créer le modèle sont également libres ? Ce qui à ma connaissance n'est jamais le cas.
Va falloir définir ce qu'est un "algorithme libre" et un "jeu de données" libres. Pour moi tous les algorithmes sont libres. Et un "jeu de données pour un modèle" est libre si je peux télécharger ces données pour entraîner mon propre modèle. Il peut y avoir un copyright sur ces modèles m'empêchant de redistribuer ces données, pour moi ça reste un modèle libre, donc stricto sensu les données ne sont pas libres, mais le "jeu de données" (= la liste des URLs où télécharger les données) si. Mais pour moi de la même manière que le compilateur d'un projet libre n'a pas besoin d'être libre pour que le projet soit libre, les données elle-même n'ont pas besoin d'être copyleft pour que le modèle soit libre
Et de mon point de vue, la majorité des modèles issues des publications scientifiques valident ces critères. (Notamment parce que pour valider une évolution d'algo, il faut comparer à facteurs constants)
On va pas se mentir, les meilleurs modèles ne sont pas libres, parce que une des valeurs ajoutées majeures dans le domaine de l'IA c'est les jeux de données de qualité, donc ils les gardent pour eux.
Comme mentionné plus haut, je partirais sur griller le composant USB un peu plus en amont si possible (assez souvent y a un contrôleur dédié à l'usb-c).
Sinon, je comprends pas exactement les précisions sur chiffrement mounté/démounté. Lors du reboot en fastboot le device passe assez fatalement en chiffrement démounté. À moins que le kernel de GrapheneOS explicite vide la RAM au démarrage, sans que le bootloader ne le fasse. Mais une recherche rapide ne me donne rien (mais en vrai ça se fait assez facilement en rajoutant memtest dans le kernel+cmdline)
Un commentaire plus haut mentionne l'auto-reboot/reset au branchement USB. Ça avec un memtest au boot ça me parait raisonnable, en supposant que le threat model ne suppose pas que l'attaquant connaisse tes défenses. Aussi, si on considère que l'attaquant est suffisamment sophistiqué pour découvrir des attaques fastboot, il saura aussi empêcher le démarrage du kernel (il "suffit" de court-circuiter un pin de data de l'UFS au bon moment, et l'appareil restera en bootloader, avec la RAM allumée, mais non écrasée par Linux).
Sinon, au risque de dire des évidences, quelques étapes supplémentaires de sécurisations avant ce niveau là:
- Interdire les applications Google—rien que connaître la liste des applications installées par un utilisateur est un danger
- Bloquer WiFi/BT (comme mentionné dans un autre commentaire), et VoLTE/VoWifi qui sont des composants qui ont très régulièrement des failles de sécurité. (j'ai un projet bien avancé de sécurisation VoLTE/VoWifi, mais pour le moment ça n'a attiré personne)
- Installer un adblocker (cf recommandations FBI)
Et enfin, vu que tu parles de faire des séries, c'est que t'as potentiellement de l'argent, donc une vraie sécurité serait de ne pas dépendre de la sécurité des autres:
L'intégralité de la sécurité des Pixels repose sur des clés de signature de Google. Ils peuvent tout à fait publier des firmwares de leur chips qui publient tout les secrets et autorise de démarrer n'importe quoi.
Évidement ils ne vont pas le faire volontairement. Par contre il n'y a aucun visibilité sur qui a ce genre de firmware.
La solution que je propose donc, c'est d'utiliser un smartphone qui autorise de mettre ses propres clés! Au passage, les composants en DMA sont dangereux (même en supposant une iommu fonctionnelle, écrire des drivers qui garantissent les échecs de TOCTOU est non trivial), donc un appareil qui éviterait ces écueils pour les composants "connectés au monde extérieur" (WiFi, 4G/VoLTE. BT/NFC à ma connaissance ne sont jamais en DMA) serait pas mal.
Des smartphones qui autorisent ces sécurités sont les PinePhone Pro et les Librem.
Petits bonus: On peut flasher leur OTP pour interdire le mode USB de la bootrom, et supprimer complètement le support USB du bootloader. Aussi, on peut vider la RAM dès son initialisation (rendant donc inutile une attaque du fastboot s'il existait), plutôt que d'attendre que Android démarre.
Du coup, LineageOS chiffre toutes les données, au même titre que GrapheneOS ?
Oui
Si besoin absolu, j'imagine que créer un second profil + Aurora, pourra dépanner.
Chacun son modèle, ce que tu dis est raisonnable. Perso j'ai Aurora Store dans mon profil principal et secondaire, je mets en secondaires les applications ""dont je suis le produit"" (~= les services gratuits, en pratique j'y ai whatsapp et slack), mais spotify que je paie dans mon profile principal (mais il est vrai que l'app spotify a quand même un peu de code adware dedans)
Si le téléphone volé est verrouillé et le débogage adb désactivé, le rootage augmente-t-il le risque que ces données soient récupérées ?
À supposer que la ROM custom n'a pas désactivé le chiffrement des données (dans les ROMs innofficielles ça arrive, mais c'est facile à vérifier dans les paramètres du téléphone);
Pas besoin de désactiver ADB, il faut uniquement qu'il vérifie la clef de signature de l'ordinateur (petite popup la première fois qu'on connecte un ordi au téléphone en adb);
Alors non le déverrouillage du bootloader ("rootage") n'augmente pas significativement le risque que les données soit récupérées sur une ROM standard.
Les limitations de brute-forces et nombre de tentatives de taper le mot de passe sont gérées par l'élément de sécurité ""matériel"" du smartphone. Donc avec un mot de passe même extrêmement faible de 4 caractères, un attaquant ne pourra pas extraire les données, que le bootloader soit ouvert ou non. [0]
Les limitations viennent plutôt du fait que l'élément de sécurité utilisé par (l'intégralité?) des ROMs Android (GrapheneOS y compris) sont incontrôlables. GrapheneOS ne peut pas demander à cet élément de sécurité de détruire la clé au bout de 3 essais, donc quand GrapheneOS dit qu'il auto-détruit les données au bout de 3 essais, c'est fait côté Linux avec son immense surface d'attaque. Et du coup cette protection spécifique à GrapheneOS n'est pas applicable bootloader ouvert, car on peut remplacer le Linux.
J'ai en projet d'utiliser une carte SIM comme élément de sécurité de mes ROMs Android, qui permet de garantir pour de vrai que le nombre d'essais du code PIN est limité à 3, y compris si le bootloader est ouvert.
TL;DR pour le voleur à l'arrachée lambda, la facilité d'accès aux données est significativement le même que le bootloader soit ouvert ou non.
Il est vachement plus probable que le voleur vous regarde taper votre code au dessus de votre épaule, ou retrouve votre schéma/pin à partir des traces de gras sur l'écran, que ce qu'il exploite le bootloader ouvert pour récupérer vos données.
[0] Sauf faille de sécurité de l’élément de sécurité, mais ça c'est vrai que le bootloader soit ouvert ou non
Il n'est pas évident que ce soit le meilleur choix dans l'absolu. Dans l'idéal, l'open source peut sans doute permettre d'aboutir à une meilleure sécurité, mais en pratique combien d'applis sont auditées et quel effort chaque développeur est-il près à mettre sur la sécurité ? Un article qui ne fait pas plaisir mais qui a le mérite d'analyser sur le plan technique plutôt que passionnel.
J'ai survolé l'article [0] car il fait référence à des choses que je connais déjà. Il me parait globalement correct, pour autant ne répond pas à la question que j'ai soulève: J'essaie de montrer la différence entre protection de la vie privée et sécurité. Ce ne sont pas des sujets orthogonaux, ils sont reliés, pour autant ils ne sont pas identiques.
Je ne prétends pas qu'un LineageOS en applis FDroid est plus sécurisé qu'un GrapheneOS en applis Google (je dirais que c'est à peu près du même niveau, oui GrapheneOS et Google font beaucoup plus de sécurités, mais Google fait des systèmes d'une complexité pharaonique donc intrinsèquement plus fragiles). Par contre si le serveur de https://f-droid.org/en/packages/com.colnix.fta/ se fait pwn, j'en ai absolument rien à carrer, car il n'a aucune information sur moi. Si le serveur Google se fait pwn (ce qui est bien moins probable je suis bien d'accord!) par contre les attaquants ont accès à toutes mes données.
Bref pour reprendre mon titre: La meilleure protection pour les données de vie privée c'est de ne pas en avoir.
[0] De plus, la grande majorité des recommandations de l'auteur sont déjà appliquées sur LineageOS (parce que fait par Android):
- Une politique de contrôle d'accès restreinte (SELinux, AppArmor), certaines distributions ne vont pas assez loin dans leur intégration: Check
- Un kernel patché pour le renforcer (Grsecurity, Linux-hardened, PaX…), éventuellement compilé soi-même et récent: Kinda check? Enfin ils ont KASAN, KASLR, et différents trucs qui y a 10 ans faisaient rêver
- Configuration renforcée du kernel par sysctl (cf. liens plus bas): Check, par exemple Android a un /proc en hidepid=2
- Chiffrement intégral des disques (LUKS) Check
- Mise en place de mitigations diverses (sandboxing, verified boot si possible, allocateur de mémoire renforcé): Check, toutes les applications sont largement sandboxées
- Application des bonnes pratiques : mises à jour rapides et régulières, réduction de la surface d'attaque (installer le moins de services possibles = KISS, moindre privilège): Une victoire de canard pour un LineageOS/microg/fdroid vs le monde Google
Le seul intérêt du re-vérrouillage du bootloader c'est si on laisse ce téléphone sans surveillance dans un endroit physiquement hostile, et que l'attaquant ne veut pas se faire détecter.
Je ne doute pas que certaines personnes ont besoin de ce type de protection, mais personnellement mon threat model n'inclut pas d'insécurité physique. Par contre mon threat model personnel inclut une insécurité vis-à-vis des GAFAM [1]. Ce par quoi je suis mieux protégé avec microg que sans (donc exit GrapheneOS)
[1] Je considère que la probabilité qu'un de mes comptes chez les GAFAM soit considéré par un algorithme comme malveillant parce que ne rentrant pas dans les comportements normaux est de plus de 30%, avec à peu près 1% chances de recours.
Désolé pour ce titre un peu grossier, qui reprend un adage RGPD "Les données les plus sécurisées sont celles qu'on ne stocke pas".
Il faut toujours se rappeler que les services Google sont omniprésents dans la majorités des applications proprios. Enlever les données de localisation aux Google Play Services, c'est mignon, mais dès qu'on utilise une application qui se connecte aux Google Play Services, elle envoie une grande partie de ses données aux Google Play Services.
L'exemple de vie privée majeure aux États-Unis de cette année passée c'est le suivi de cycle/grossesse/avortement, et la délation obligatoire dans certains états. Si vous installez une application de suivi de grossesse par le Google Play Store, Google saura que vous avez une application de suivi de grossesse. On peut imaginer n'importe quelle prouesse technologique côté OS, cela restera vrai.
Un OS sans aucune sécurité (excepté le navigateur web) avec que des applications libres auditées restera une meilleure protection de vie privée qu'un OS avec un cloisonnement parfait mais des applications dont le but est d'espionner ses utilisateurs.
Bref, AMA pour votre vie privée, il est bien plus efficace (et écologique) d'utiliser F-Droid et ses applis (dont microg qui a même un mode sans internet) sur n'importe quelle ROM Android Custom [1] que d'acheter un Pixel pour avoir GrapheneOS.
[1] Instant pub: Si vous avez un appareil Android quelconque dont la version d'origine est au moins Android 9, et que vous pouvez le rooter ou déverrouiller son bootloader, vous pourrez toujours installer une ROM custom sous le format GSI (Generic System Image), qui réutilise les drivers fournis par le constructeur, même si c'est un téléphone extrêmement niche
Sur le fait de mettre le dtb ou non, est imo un problème épineux. Le kernel est censé garantir une compatibilité arrière, mais personne ne teste vraiment. Et lorsque le kernel rajoute le support de nouveaux composants (par exemple les Rockchip n'ont eu la déclaration Mali GPU dans le dts mainline plusieurs années après le support du reste du chip), il faut le modifier pour rajouter ce support. Ne pas s'autoriser l'upgrade après la sortie va pousser à faire comme l'ACPI/UEFI à avoir des workarounds horrible partout dans tous les drivers.
L'origine des device tree étant la même que le kernel, autant tout mettre ensemble IMO.
Pour autant, le bootloader devrait fournir un dtb par défaut, et ne prendre le dtb de /boot qu'en fallback. Mais c'est peut-être le cas de petitboot, ton journal ne le mentionne pas.
Sinon, je vais mentionner un "concurrent" de petitboot, qui est shippé par un concurrent d'Odroid: Pine64 shippe twoboot (sur les pinephones par exemple). Comme petitboot, c'est un bootloader graphique, qui peut booter sur les différents médias disponibles, qui peut booter un kernel depuis de l'ext4.
Par contre c'est "juste" un uboot, donc exit tous les hacks possibles décrits dans ce journal. Perso j'ai clairement une préférence pour les bootloaders à base de kexec, c'est infini plus modulaire (tu veux booter sur le dernier kernel + rootfs en https tiré du pipeline de CI, en SSL mutuellement authentifié avec ACK de lancement du boot pour mesurer le temps de boot, avec dump automatique du pstore pour les kernels panics? no problemo).
Pour éviter l'effet que tu mentionne d'avoir une image debian par carte embarquée, il faut embarquer le bootloader dans un autre stockage, typiquement une NOR en SPI. Hélas, ça a un coût non négligeable, d'où le fait que la plupart des cartes embarquées n'en ont pas. Si en plus, on prend une NOR suffisamment grosse pour stocker Linux, ça coûte encore plus cher.
Je trouve que ça en vaut largement le coût, mais je comprends que la plupart des cartes embarquées ne fassent pas ce choix.
Un trilogue ça se fait à trois. Rien dans l'Union Européenne ne se fait avec l'accord de (potentiellement implicite) l'intégralité des gouvernements des pays (Conseil Européen, part du trilogue), et des députés Européens des-dit pays (Parlement Européen, troisième élément du trilogue. Mais là c'est à la majorité)
En fait ce que cette image montre, c'est que le cerveau est beaucoup plus intéressé par la luminance (= la luminosité d'un pixel), que par la couleur d'une zone. La couleur reste intéressante, mais par grosse tache disons.
Mais ça, on le sait depuis très longtemps. Donc tous les algos de compression d'image/vidéo depuis très longtemps séparent la luminance de la couleur, et mettent plus de bits dans le fichier pour stocker la luminance que pour stocker l'image, c'est pour ça qu'il n'y a pas de gain à avoir. Pour comprendre pourquoi c'est en fait bien pire, faut entrer un peu dans les détails.
Pour avoir cette notion de "couleur par grosse tache", on utilise deux outils:
Le premier, c'est un bête down-sampling. La très grande majorité des vidéos (mais plus rarement les images) ne stockent que un quart de la résolution sur la couleur: Une vidéo 1920x1080 aura 1920 * 1080 valeurs de luminance, mais seulement 1920 x 540 valeurs de couleurs (ou 960 x 540 vecteurs de couleur, vu qu'une seule valeur n'est pas suffisante pour définir une couleur).
Le deuxième est du filtrage fréquentiel (principalement par transformée de Fourier ou équivalent). Ça va nous permettre des filtrer les "taches" par taille (aussi bien la couleur que la luminosité). Pour choisir quelle est la plus petite taille d'objets on va garder, les algos de compressions utilisent des méthodes "psycho-visuelles" pour déterminer. Ici, il serait très visible si on perdait les informations de couleur de la taille de la grille. L'algo décide donc de filtrer à des tailles du "fil" de la grille. Ce qui va exiger une précision vachement plus petite que la taille qu'il va choisir pour l'image d'origine. Ça va donc prendre bien plus de stockage.
On pourrait aussi voir cette question d'un point de vue entropique: la couleur apporte globalement peu d'information, et peu se déduire de la luminance. La grille est plus difficile à prédire vu le contexte.
Les autoroutes ont donc une masse d'info phénoménale?
Il me parait raisonnable (de par typiquement ton exemple, mais aussi détections de fraudes) de dire que scanner la plaque d'immatriculation à l'entrée est nécessaire pour la fourniture du service (ce qui exempte donc de demande de consentement).
Par contre, sur le "masse": pour la fourniture de service, il est inutile techniquement de conserver les données plus de 3 jours (soyons extrême, un mois [1]). Ce qui, tout de suite, fait beaucoup moins phénoménale.
Aussi le RGPD protège sur les types de traitements faits. Même s'ils ont le droit d'enregistrer les plaque d'immatriculation sans consentement, ils n'ont pas le droit d'en faire grand chose d'autre que de la facturation, ou des statistiques anonymes. (vraiment anonymes, pas pseudonymes)
Encore une fois, je ne parle que d'application RGPD pure. Je ne fais absolument aucun pari sur est-ce que les sociétés d'autoroutes respectent la loi. Si tu veux approfondir l'analyse, la société d'autoroute est censée avoir une politique de vie privée affichée quelque part…
[1] Je ne serais pas surpris qu'il y ait des obligations de stockages plus long que 3 jours pour la police, comme il en existe pour les FAIs
Actuellement je ne suis pas au courant d'une intégration propre à la Github Copilot dans VSCode qui soit dispo facilement en auto-hebergé.
Néanmoins des modèles existent. Je crois que la hype actuelle du modèle de code auto-hebergé c'est starcoder: https://huggingface.co/bigcode/starcoder . En cherchant un peu on trouve des plugins vscode pour starcoder genre https://github.com/Lisoveliy/StarCoderEx mais j'ai aucune idée de son déploiement local. (À vue de nez pour une inférence locale, faut compter 30Go de RAM et ~ 5charactère/seconde (sachant que ça compte l'entrée et la sortie) sur un CPU 8 coeurs. Ça peut théoriquement descendre à 10Go de RAM avec de moins bons résultats, mais je sais pas où on en est de ça. Pour être à une vitesse plus confortable faudra probablement être sur GPU avec 16Go de VRAM. (Note: J'ai pas réussi à faire tourner starcoder lui-même pour le moment, alors que j'ai pas de problèmes pour d'autres, donc je pifométrise un peu)
Je réitère ce qui a été dit dans les autres commentaires, il est suicidaire de leur faire confiance aveuglement, et dans mon expérience l'énergie nécessaire pour comprendre et s'assurer que ce que le modèle a sorti fait bien ce qu'on lui demande est plus élevée que de l'écrire soit-même. (Néanmoins je le trouve utile pour donner des pistes)
stocker un mot de passe en clair est parfaitement inutile, même pour pouvoir le rappeler au client : s'il ne se souvient pas du mot de passe, il suffit de lui remettre celui par défaut qui est écrit sur le boîte
et déconnecter ses autres appareils dans la foulée?
Je vais faire une mauvaise analogie. Le capitalisme, c'est comme l'IA, ça fait ni plus ni moins que ce qu'on lui a demandé.
Je m'explique:
Il me parait assez clair que le capitalisme est excellent à optimiser les ressources qui ont une valeur monétaire. Si on veut ""corriger"" l'écologie, il suffit de mettre le coût réel de l'écologie dans le capitalisme.
C'est plus ou moins ce qu'on fait sur les cigarettes: les taxes sont là pour compenser leur coût sociétal. (Bon pas vraiment parce que ces taxes vont pas à la sécu, mais bref…)
Le problème, c'est que y en a qui ont essayé de faire ça, et ils ont vu des giratoires jaunes…
Toutes les problématiques sociétales ne peuvent être corrigés par des taxes, car une taxe suppose un capitalisme fonctionnel, qui suppose une concurrence "pure et parfaite". Donc par exemple, pour un capitalisme fonctionnel, il est nécessaire d'avoir une loi qui autorise les consommateurs à changer d'opérateur mobile facilement.
AMA le plus gros problème du capitalisme par rapport au contrôle parfait centralisé c'est les contournement et les fuites en avant qui vont avec. Par exemple, il existait (je ne sais pas si c'est encore le cas) une course entre les psychédéliques de synthèse et la législation: il est "facile" de créer un nouveau psychédélique de synthèse qui n'est pas banni par la loi à sa sortie (même fonctions chimiques actives que la version précédente, mais quelques petits changements sur la molécule suffisent à ce que la loi ne s'applique plus). Le capitalisme à l'ère de l'internet nécessite un système politique efficace et rapide pour pouvoir répondre rapidement aux nouvelles menaces (Mais notez qu'un système de contrôle centralisé parfait aurait aussi besoin d'être efficace et rapide). Et niveau efficacité politique, je sais pas si vous avez remarqué, mais on est resté bloqué 6 mois sur un sujet relativement mineur (impact moins de 4% de la vie de moins de 20% de la population), alors que l'écologie qui est prévu pour coûter 50% de nos impôts (donc 30% de notre temps de travail à tous), rien, nada, peau de zob.
Pour réduire au maximum les potentiels leaks des applis Microsoft, tu peux installer Shelter depuis FDroid, qui te créera un profil de travail. (Ça marche sur n'importe quel Android)1
Sur le concept, un profil de travail est un utilisateur différent, il a une base de contacts differents, liste d'applis différents, bref presque toutes les données sont instanciées une deuxième fois. Juste cet utilisateur peut tourner en même temps que l'utilisateur principal.
Petit bonus, ça permet de couper les applis en question quand tu le souhaites
Je comprends que ton attaque est contre Brother. De mon point de vue, c'est contre les navigateurs web qu'elle devrait se diriger.
Tu parles de la programmation de l'obsolescence. Brother n'avait aucun plan pour bricker leurs imprimantes. Dans leur plan, elle fonctionnait parfaitement y a 10 ans et il était prévu que le logiciel fonctionne tout autant de nos jours.
Des gens avaient effectivement un planning qui prédiraient plusieurs années à l'avance que les imprimantes seraient inurilisablzs : ces gens sont les navigateurs web. C'est eux qui ont programmé cette obsolescence.
Juste non, rien que trouver un routeur qui supporte le MPTCP parait compliqué, et même si c'était le cas, ça serait probablement très compliqué à configurer. Sauf éventuellement la OverTheBox d'OVH qui est une solution complètement clé en main pour cette problématique (mais je doute qu'elle soit bien configurable)
PC de récup avec 3 cartes réseau + pfSense (par exemple)
C'est probablement la solution la plus souple pour développer la solution, mais le OpenWRT consommerait moins. Si t'as déjà un PC de récup, ma suggestion serait de faire le setup sur pc de récup, et une fois que t'es satisfait le transférer sur de l'OpenWRT
Sinon, en terme de techno, je connais deux catégories d'implémentations: Du routage par connections TCP (i.e. dire les connections TCP vont moitié moitié à gauche ou à droite, ou celles vers akamai, ou, …), ou juste passer par un VPN MPTCP (ce que fait l'OverTheBox OVH) qui va faire une vraie agrégation de tout le trafic, auquel cas il faut un autre bout pour le VPN (typiquement une VM dans le cloud)
Et sinon pour information, il existe speedify.com une appli payante/proprio qui fait du équivalent MPTCP sur smartphone
Ça serait d'arrêter de mettre un tracker dès qu'on promet la moindre source de revenu. C'est dur d'auditer qui vend des données à qui et comment, même si la RGPD doit nous en protéger, et les fuites sont inévitables. La meilleure protection, c'est juste de rien sortir/utiliser comme données.
Numérama sont bien mignons, à vouloir absolument des trackers pour afficher des pubs, mais on a pas attendu internet et les trackers pour rémunérer des gens pour afficher de la pub…
Note à l'attention de l'auteur du journal: Mes remarques sont semi-troll, semi-sérieuses. J'écris maintenant ce message à ton attention, dans un ton plus compréhensif et constructif.
Je n'ai sincèrement pas compris une bonne moitié du journal, alors que je pense être un profil relativement standard par ici. Je traîne sur DLFP depuis… bon bah, DLFP hein déjà. Je suis libriste convaincu, contributeur opensource, ingénieur développeur logiciel, bref du relativement standard par ici.
Si tu penses que ton journal devait être compréhensible par les profils typiques de ce site, sache que tu te trompes. Tu peux commencer à faire une analyse sur cette question: Pourquoi ce qui te parait évident, ne l'est pas? Il peut y avoir différentes raisons: mauvaise analyse du milieu dans lequel tu as posté, mauvaise analyse des connaissances moyenne du milieu, mauvaise analyse de l'étendue de la diversité de profils, mauvaise analyse des pré-requis nécessaire à la compréhension de ton texte (i.e. il manque de contexte). Personnellement, je pense que dans le cas de ce journal, il s'agit d'une combinaison de tout ce que je viens de dire, qui est causé par le fait que tu te trouves actuellement, sur ces sujets, dans une bulle. Tout les gens que tu côtoies savent pertinemment de quoi tu parles, donc t'extrapoles et tu supposes que tout le monde sait de quoi tu parles, sans avoir besoin de contexte ni d'explication. Malheureusement, des guerres d'informations et des guerres judiciaires, il y en a de très nombreuses simultanément. Même en supposant que je sois omniscient, je ne pourrais pas savoir de quoi tu parles, car il en existe plusieurs.
Si grâce à cette réflexion, tu aboutis à la conclusion que tu vis dans une bulle, félicitations! C'est un premier grand pas majeur vers l'ouverture vers le monde. Et je pense qu'il est important de se reposer ces réflexions régulièrement: de vérifier régulièrement "suis-je dans une bulle?" Les bulles peuvent arriver très facilement, et, peuvent être limité à certain domaine en particulier.
Par exemple, LinuxFR est une bulle pour qui les logiciels propriétaires sont le mal, et il est évident que tout devrait être logiciel libre. Il est important de se rendre compte que ce n'est qu'une bulle, et qu'il existe d'autre monde, où ce choix (libre >> proprio) est non évident, voire opposé.
J'ai mentionné dans mon message le fait que tu avais l'air d'avoir actuellement une faible capacité d'attention. Je le pense vraiment. Tes phrases sont (très) courtes, les paragraphes aussi, les liaisons d'un paragraphe à l'autre sont très peu articulées. Je pense que comme la majorité de la population, tu es victime des différents voleurs d'attentions (réseaux sociaux, publicité, divertissements, …).
C'est très dur d'en sortir, et moi-même je tombe facilement dedans (j'ai dû changer de fenêtre au moins 10 fois si ce n'est 50 fois le temps d'écrire ce message…). Ma recommandation personnelle là dessus est de te trouver une tâche que tu apprécies, et te plonger dedans à 100%, en s'interdisant absolument toute distraction autre (TV, smartphone, discuter avec d'autre personne, …). Certaines personnes font du puzzle, d'autre lisent un livre, du bricolage peut aussi être pas mal.
Voilà. Je n'ai aucune idée de si mon message peut t'aider à retrouver une certaine santé d'esprit, mais en tout cas, je te le souhaite. La route est longue et semée d’embûches, bon courage. Note que je ne suppose pas nécessairement que ce que ton journal est forcément idiot. Néanmoins présentement, tu n'es pas en état d'esprit de pouvoir en discuter avec nous dans les commentaires, pour qu'on puisse se faire notre avis réfléchi.
Si mon message t'as été utile, merci de me le signaler :-)
PS: Évidement que libre >> proprio. Y a que des blasphémateurs qui peuvent penser l'inverse.
PPS: J'ai bien peur que tu ne lises pas ce message en entier, mais je ne sais pas comment faire pour te délivrer ce message autrement
J'ai absolument aucune idée du sujet de ce poste, je comprends rien.
Nous sommes en plein milieu d’une guerre d’informations
Oui, depuis que la démocratie existe, on a eu une guerre d'informations entre "la droite" et "la gauche"? (c'est évidement une simplification extrême, des gens apolitiques pouvant aussi faire des guerres d'informations, cf EEE de Microsoft)
Moi je préfère commencer mon texte par "L'air nous entoure tous". Tout aussi plat, et inutile, mais je cherche pas à attirer l'attention/les clics (comme l'ont prouvé les réactions facebook qui valent 5 fois plus si c'est l'énervement)
et d’une guerre juridique.
Euh, oui? Qui? Tu parles de la guerre juridique de la CNIL contre les sites qui font mal leur bandeau de cookies?
Ah, du coup tu parles de la guerre des informations privées gouvernée par la RGPD, c'est ça?
Nous savons maintenant qu’une grande partie de notre gouvernement est corrompue au point de jeter son propre peuple en pâture à n’importe quelle multinationale pour quelques miettes de monnaie dette.
Je trouve que le débat du gouvernement qui achète des licences Microsoft pour l'éducation nationale commence à se faire un peu vieux, mais euh soit.
Un grand pouvoir ou un grand sauveur ne nous sortiront pas de cette folie. C’est bien bien nous, les gens ordinaires, qui pouvons trouver des actions de bonté, d’amour et de résistance dans notre quotidien.
Bah euh… du coup, tu veux un grand pouvoir qui est la démocratie? Je euh… oui, c'est bien. Pareil, ce débat me parait un peu désuet, j'ai l'impression qu'il est résolu depuis quelques siècles, mais euh soit.
J'avoue avoir beaucoup de mal à voir la cohérences entre les différents sujets présentés.
Les médias et les politiques s’enfoncent dans le ridicule
J'avoue m'être arrêté à Loana de Loft Story, et au casse-toi pauv'con de Sarkozy. Y a vraiment plus ridicule que ça depuis? Enfin si, j'ai entendu qu'un prétendant avant sorti un doigt à une mémé, soit. Rien de vraiment neuf sous les tropiques.
et provoquent le seuil critique du réveil en masse des consciences. Encourageons ce réveil.
Ah, ça y est, les gens arrêtent d'utiliser les réseaux sociaux comme source principale d'information? La valeur à la bourse de FacebookWMeta me fait dire que non. Tu aurais des sources pour étayer cette assertion stp?
Fuir le conflit est devenu impossible pour celui ou celle qui refuse de se soumettre.
Tu sais, Someone is wrong on the internet n'est qu'une blague. Elle représente certes un fond de réalité, sur lequel est basé les réseaux sociaux, pour autant, il est réaliste pour l'être humain de s'arrêter. (mais je dois bien avouer, que là, présentement, je suis tombé en plein dedans)
Le conflit devient bénéfique lorsqu’il est admis, affronté et vécu. Résoudre et non se résoudre (ou se dissoudre).
Ah, pardon, j'ai mal lu la salle. Tu fais ton entretiens psy de couple sur un journal LinuxFR? ok ok, pardon. Je trouve qu'on passe vraiment du coq à l'âne dans ton journal. Peut-être as-tu des troubles de l'attention? Si c'est le cas, dis le explicitement, je pense que les gens ici sont ouverts à ces troubles, et peuvent t'aider à vivre avec.
Le narratif du méchant virus s’épuise. Quelle pourrait être la prochaine étape ?
J'avoue, log4shell était bien bruyant, j'aimerais bien avoir des vrais stats du nombre de services impactés. Depuis shellshock, ça faisait longtemps qu'on avait pas vu autant de sysadmins travailler. Prochaine étape? Bah écoute, on a fait la faille dans du CGI, puis dans du java. Je pense que la prochaine étape, c'est une faille dans le Go?
D’autres manipulations médiatiques sournoises risquent d’être tentées pour nous faire accepter une chute des monnaies dettes.
Ah, on parle économie Turque maintenant… On passe plutôt du netcat à l'âne là, tellement les sujets ont rien à voir. Mais du coup oui, c'est une bonne remarque. Ces manipulations ont déjà été faites, Erdoğan a déjà fait sa comm pour manipuler sa monnaie. Ni la population ni les économistes n'ont l'air super convaincus, je sais pas trop ce que ça va donner. J'espère que le peuple Turc s'en sortira bien.
Un « pseudo-hack » géant justifiant la grande réinitialisation de tout le système bancaire et financier? Persévérons dans les systèmes d’échanges et d’entraide alternatifs.
Oh, économie mondiale maintenant? T'es entrain d'espérer que des gens arrivent à justifier que tous les comptes en banques tombent à 0, pour effacer toutes les dettes et tous les gens riches exclusivement par leur héritage, et donc permettre aux gens à salaire acceptable mais avec faible héritage de vivre correctement? Écoute. Je suis de tout cœur avec toi dans cet espoir de faire une "grande réinitialisation". C'est beau d'avoir des rêves. Perso j'y crois hélas pas trop.
Boycottons l’ancien monde.
Euh… "l'ancien monde" c'est l'Europe correct? Les Amériques le nouveau monde donc? Ça parait osé pour le Québec de vouloir ignorer la France, après ils ont déjà bien forké la langue, ils ont pas notre monnaie. J'ai envie de dire, que notre culture est libre, s'ils veulent la forker, grand bien leur fasse. Refuser de cherry-picker des morceaux de notre culture me parait être un choix étrange, mais la culture est libre, c'est tout à fait leur choix. Et s'ils veulent plus tard changer d'avis, pour reprendre des morceaux de notre culture Européenne, grand bien leur fasse!
Préparons nous à rendre les monnaies dettes à leurs créateurs.
Je ne crois pas qu'on puisse donner de l'argent à la BCE contre sont gré…? Disons que dans leur arsenal d'outils de régulation de l'économie, ça serait un outil bien bizarre. Je pense que cet argent tu peux directement le donner à des mendiants, ça sera bien plus efficace pour l'économie. Sauf si ton but est de faire stagner l'économie pour faire de la décroissance, auquel cas, donne ton argent à Bill Gates
Méfions nous des informations anxiogènes ou euphoriques (opposition contrôlée ou contenue) qui nous découragent à l’action.
Le reste me parait être équivalent à la première phrase: du texte auto-généré par un chatbot Bernard-Henri Lévy-esque sur de la "philosophie"
En tout cas, je te souhaite beaucoup de courage pour tes troubles de l'attention! Vivre avec est dur, mais c'est faisable. Et je réitère: Tu trouveras ici beaucoup de gens pour t'aider sur cette question. C'est une maladie amplifiée par les réseaux sociaux, donc c'est un vrai sujet d'actualité et chacun est différent sur ces questions. En t'exprimant sur tes problèmes au quotidien, on doit pouvoir t'aider à construire des mécanismes pour te rendre fonctionnel.
Quelques analyses supplémentaires qui ne devraient pas être trop dures à ajouter je pense:
- Analyse de sentiment par sujet. Typiquement pour le nucléaire, il manque de savoir si c'est un sentiment d'angoisse qui en ressort, ou un sentiment d'espoir, ou autre
- Analyse de sentiment global. (Est-ce que CNEWS est plus angoissant que France Info?)
- Analyse par heure. Comme déjà mentionné un certain nombre de chaînes sont connues pour tricher leurs stats CSA en utilisant des horaires au milieu de la nuit
Plus dur, et probablement moins utile:
- Détection du sexe des interlocuteurs
- Identification de la voix pour voir qui réutilise en permanence les mêmes "experts"
- Détection de l'age basé sur la voix
Pour moi ce service est comme Whatsapp avant son rachat par Facebook. Ça parait cool, mais ça reste complètement centralisé, donc aucune idée de ce qu'il va se passer dans le futur. L'application est certes opensource, mais la licence interdit de se connecter sur le serveur officiel si on fork.
Moi ce que je voudrais c'est une transformation ala email. Les emails sont plutôt décentralisés. Tout en étant plutôt interopérable. Des acteurs qui reçoivent déjà des sous de ma part peuvent l'héberger pour moi (mon opérateur), donc pas besoin de pubs, ou espérer que les dons suffisent.
[^] # Re: Any purpose
Posté par Ph Husson (site web personnel) . En réponse au journal L'OSI publie une définition de l'IA "opensource"... mais pas trop?. Évalué à 3.
Sauf que la problématique est complètement différente. Les données du jeu vidéo sont nécessaires à la distribution du jeu. On peut distribuer un LLM sans ses données (enfin c'est le cas général). Pour pouvoir packager Nexuiz dans Debian, Debian doit avoir le droit de distribuer les données de Nexuiz. Alors que pour packager Bloom dans Debian, Debian n'a besoin que d'avoir le droit de télécharger les données de Bloom.
L'analogie avec le jeu vidéo serait que les données d'entraînement ne sont nécessaires que pour la /compilation/ du jeu vidéo. Je vais pas certainement pas prétendre que c'est équivalent en licence à un compilateur. Mais j'évite les analogies foireuses.
En pratique, un LLM ne sera jamais packagé de la manière dont on package Nexuiz, parce que personne n'a l'argent pour "recompiler" un LLM: BERT qui est riquiqui coûte de nos jours 40$/"compilation", ça fait cher la compilation reproductible.
Je n'ai pas de réponse à la question "qu'est-ce qu'être libre pour un modèle IA?", car elle est particulièrement complexe, entre autre pour les questions de coûts [1], mais je trouve que la trivialiser par "on a déjà résolu cette problématique"
[1] Pour le coup, la question des coûts de reproduction existe déjà dans d'autres milieux du libre, comme le matériel. Et j'imagine qu'on a déjà eu quelques cas de projets opensource à plusieurs millions d'€ pour le reproduire, mais j'ai toujours été assez mal à l'aise avec
[^] # Re: Any purpose
Posté par Ph Husson (site web personnel) . En réponse au journal L'OSI publie une définition de l'IA "opensource"... mais pas trop?. Évalué à 2.
Pour les jeux de données
https://en.wikipedia.org/wiki/BERT_%28language_model%29#Cost ===>
https://huggingface.co/datasets/bookcorpus/bookcorpus
https://github.com/openlm-research/open_llama ===> https://huggingface.co/datasets/tiiuae/falcon-refinedweb ; https://huggingface.co/datasets/bigcode/starcoderdata ; https://huggingface.co/datasets/togethercomputer/RedPajama-Data-1T
Et le troisième lien que je voulais mettre mais que j'ai glissé https://huggingface.co/bigscience/bloom ===> https://huggingface.co/spaces/bigscience/BigScienceCorpus
Je rajoute SmolLM2 que HuggingFace vient de sortir où les auteurs annoncent que sera public prochainement: https://www.reddit.com/r/LocalLLaMA/comments/1ggmsmo/comment/lutybsd/
Les méthodes d'entraînement et les algorithmes sont aussi documentés dans leur papiers respectifs, et HuggingFace publie systématiquement leur code d'entraînement.
Oui. Pour pouvoir utiliser, reproduire, modifier, et étudier un modèle, les données n'ont pas besoin d'être libres. De même qu'un compilateur n'a pas besoin d'être libre pour que les projets qu'il compile soient considérés comme libres.
Est-ce que si mon modèle a été entraîné avec des données sous copyright, je peux l'utiliser? Clairement le consensus actuel est "oui" sinon aucun modèle propriétaire n'existerait.
Est-ce que ça me permet de le reproduire? Et bien oui, les données de ces exemples sont téléchargeables sur leur site d'origine. Ces données ne sont pas libres, mais elles ne m'empêchent de reproduire le modèle.
Est-ce que ça me permet de le modifier? Si je veux supprimer des éléments du jeu de données, et rajouter d'autres données, je peux le faire sans aucun problème.
Est-ce que je peux l'étudier? Oui aucun problème pour faire les analyses que je souhaite sur le jeu de données.
Bref, un modèle entraîné sur des données propriétaires (mais téléchargeables gratuitement) respecte les libertés fondamentales.
[^] # Re: Any purpose
Posté par Ph Husson (site web personnel) . En réponse au journal L'OSI publie une définition de l'IA "opensource"... mais pas trop?. Évalué à 2.
Va falloir définir ce qu'est un "algorithme libre" et un "jeu de données" libres. Pour moi tous les algorithmes sont libres. Et un "jeu de données pour un modèle" est libre si je peux télécharger ces données pour entraîner mon propre modèle. Il peut y avoir un copyright sur ces modèles m'empêchant de redistribuer ces données, pour moi ça reste un modèle libre, donc stricto sensu les données ne sont pas libres, mais le "jeu de données" (= la liste des URLs où télécharger les données) si. Mais pour moi de la même manière que le compilateur d'un projet libre n'a pas besoin d'être libre pour que le projet soit libre, les données elle-même n'ont pas besoin d'être copyleft pour que le modèle soit libre
Et de mon point de vue, la majorité des modèles issues des publications scientifiques valident ces critères. (Notamment parce que pour valider une évolution d'algo, il faut comparer à facteurs constants)
Le LLM "historique" BERT est basé sur des datasets publics (https://en.wikipedia.org/wiki/BERT_%28language_model%29#Cost), on trouve de nombreux LLM basés sur des datasets ouverts https://github.com/openlm-research/open_llama, le LLM financé par le gouvernement est basé sur des datasets ouverts https://github.com/openlm-research/open_llama. Il existe aussi des modèles dont les données d'apprentissages sont effectivement copyleft (je sais que ça existe pour la génération d'image et les LLMs), mais là présentement je retrouve pas.
On va pas se mentir, les meilleurs modèles ne sont pas libres, parce que une des valeurs ajoutées majeures dans le domaine de l'IA c'est les jeux de données de qualité, donc ils les gardent pour eux.
# Alternative
Posté par Ph Husson (site web personnel) . En réponse au journal Sécurisation du port USB-C sur smartphone pour moules barbares. Évalué à 4.
Comme mentionné plus haut, je partirais sur griller le composant USB un peu plus en amont si possible (assez souvent y a un contrôleur dédié à l'usb-c).
Sinon, je comprends pas exactement les précisions sur chiffrement mounté/démounté. Lors du reboot en fastboot le device passe assez fatalement en chiffrement démounté. À moins que le kernel de GrapheneOS explicite vide la RAM au démarrage, sans que le bootloader ne le fasse. Mais une recherche rapide ne me donne rien (mais en vrai ça se fait assez facilement en rajoutant memtest dans le kernel+cmdline)
Un commentaire plus haut mentionne l'auto-reboot/reset au branchement USB. Ça avec un memtest au boot ça me parait raisonnable, en supposant que le threat model ne suppose pas que l'attaquant connaisse tes défenses. Aussi, si on considère que l'attaquant est suffisamment sophistiqué pour découvrir des attaques fastboot, il saura aussi empêcher le démarrage du kernel (il "suffit" de court-circuiter un pin de data de l'UFS au bon moment, et l'appareil restera en bootloader, avec la RAM allumée, mais non écrasée par Linux).
Sinon, au risque de dire des évidences, quelques étapes supplémentaires de sécurisations avant ce niveau là:
- Interdire les applications Google—rien que connaître la liste des applications installées par un utilisateur est un danger
- Bloquer WiFi/BT (comme mentionné dans un autre commentaire), et VoLTE/VoWifi qui sont des composants qui ont très régulièrement des failles de sécurité. (j'ai un projet bien avancé de sécurisation VoLTE/VoWifi, mais pour le moment ça n'a attiré personne)
- Installer un adblocker (cf recommandations FBI)
Et enfin, vu que tu parles de faire des séries, c'est que t'as potentiellement de l'argent, donc une vraie sécurité serait de ne pas dépendre de la sécurité des autres:
L'intégralité de la sécurité des Pixels repose sur des clés de signature de Google. Ils peuvent tout à fait publier des firmwares de leur chips qui publient tout les secrets et autorise de démarrer n'importe quoi.
Évidement ils ne vont pas le faire volontairement. Par contre il n'y a aucun visibilité sur qui a ce genre de firmware.
La solution que je propose donc, c'est d'utiliser un smartphone qui autorise de mettre ses propres clés! Au passage, les composants en DMA sont dangereux (même en supposant une iommu fonctionnelle, écrire des drivers qui garantissent les échecs de TOCTOU est non trivial), donc un appareil qui éviterait ces écueils pour les composants "connectés au monde extérieur" (WiFi, 4G/VoLTE. BT/NFC à ma connaissance ne sont jamais en DMA) serait pas mal.
Des smartphones qui autorisent ces sécurités sont les PinePhone Pro et les Librem.
Petits bonus: On peut flasher leur OTP pour interdire le mode USB de la bootrom, et supprimer complètement le support USB du bootloader. Aussi, on peut vider la RAM dès son initialisation (rendant donc inutile une attaque du fastboot s'il existait), plutôt que d'attendre que Android démarre.
[^] # Re: Les données les plus privatisées, c'est celles qui n'existent pas
Posté par Ph Husson (site web personnel) . En réponse à la dépêche Comparatif : GrapheneOS vs LineageOS. Évalué à 3.
Oui
Chacun son modèle, ce que tu dis est raisonnable. Perso j'ai Aurora Store dans mon profil principal et secondaire, je mets en secondaires les applications ""dont je suis le produit"" (~= les services gratuits, en pratique j'y ai whatsapp et slack), mais spotify que je paie dans mon profile principal (mais il est vrai que l'app spotify a quand même un peu de code adware dedans)
[^] # Re: Les données les plus privatisées, c'est celles qui n'existent pas
Posté par Ph Husson (site web personnel) . En réponse à la dépêche Comparatif : GrapheneOS vs LineageOS. Évalué à 7.
À supposer que la ROM custom n'a pas désactivé le chiffrement des données (dans les ROMs innofficielles ça arrive, mais c'est facile à vérifier dans les paramètres du téléphone);
Pas besoin de désactiver ADB, il faut uniquement qu'il vérifie la clef de signature de l'ordinateur (petite popup la première fois qu'on connecte un ordi au téléphone en adb);
Alors non le déverrouillage du bootloader ("rootage") n'augmente pas significativement le risque que les données soit récupérées sur une ROM standard.
Les limitations de brute-forces et nombre de tentatives de taper le mot de passe sont gérées par l'élément de sécurité ""matériel"" du smartphone. Donc avec un mot de passe même extrêmement faible de 4 caractères, un attaquant ne pourra pas extraire les données, que le bootloader soit ouvert ou non. [0]
Les limitations viennent plutôt du fait que l'élément de sécurité utilisé par (l'intégralité?) des ROMs Android (GrapheneOS y compris) sont incontrôlables. GrapheneOS ne peut pas demander à cet élément de sécurité de détruire la clé au bout de 3 essais, donc quand GrapheneOS dit qu'il auto-détruit les données au bout de 3 essais, c'est fait côté Linux avec son immense surface d'attaque. Et du coup cette protection spécifique à GrapheneOS n'est pas applicable bootloader ouvert, car on peut remplacer le Linux.
J'ai en projet d'utiliser une carte SIM comme élément de sécurité de mes ROMs Android, qui permet de garantir pour de vrai que le nombre d'essais du code PIN est limité à 3, y compris si le bootloader est ouvert.
TL;DR pour le voleur à l'arrachée lambda, la facilité d'accès aux données est significativement le même que le bootloader soit ouvert ou non.
Il est vachement plus probable que le voleur vous regarde taper votre code au dessus de votre épaule, ou retrouve votre schéma/pin à partir des traces de gras sur l'écran, que ce qu'il exploite le bootloader ouvert pour récupérer vos données.
[0] Sauf faille de sécurité de l’élément de sécurité, mais ça c'est vrai que le bootloader soit ouvert ou non
[^] # Re: Les données les plus privatisées, c'est celles qui n'existent pas
Posté par Ph Husson (site web personnel) . En réponse à la dépêche Comparatif : GrapheneOS vs LineageOS. Évalué à 3.
J'ai survolé l'article [0] car il fait référence à des choses que je connais déjà. Il me parait globalement correct, pour autant ne répond pas à la question que j'ai soulève: J'essaie de montrer la différence entre protection de la vie privée et sécurité. Ce ne sont pas des sujets orthogonaux, ils sont reliés, pour autant ils ne sont pas identiques.
Je ne prétends pas qu'un LineageOS en applis FDroid est plus sécurisé qu'un GrapheneOS en applis Google (je dirais que c'est à peu près du même niveau, oui GrapheneOS et Google font beaucoup plus de sécurités, mais Google fait des systèmes d'une complexité pharaonique donc intrinsèquement plus fragiles). Par contre si le serveur de https://f-droid.org/en/packages/com.colnix.fta/ se fait pwn, j'en ai absolument rien à carrer, car il n'a aucune information sur moi. Si le serveur Google se fait pwn (ce qui est bien moins probable je suis bien d'accord!) par contre les attaquants ont accès à toutes mes données.
Bref pour reprendre mon titre: La meilleure protection pour les données de vie privée c'est de ne pas en avoir.
[0] De plus, la grande majorité des recommandations de l'auteur sont déjà appliquées sur LineageOS (parce que fait par Android):
- Une politique de contrôle d'accès restreinte (SELinux, AppArmor), certaines distributions ne vont pas assez loin dans leur intégration: Check
- Un kernel patché pour le renforcer (Grsecurity, Linux-hardened, PaX…), éventuellement compilé soi-même et récent: Kinda check? Enfin ils ont KASAN, KASLR, et différents trucs qui y a 10 ans faisaient rêver
- Configuration renforcée du kernel par sysctl (cf. liens plus bas): Check, par exemple Android a un /proc en hidepid=2
- Chiffrement intégral des disques (LUKS) Check
- Mise en place de mitigations diverses (sandboxing, verified boot si possible, allocateur de mémoire renforcé): Check, toutes les applications sont largement sandboxées
- Application des bonnes pratiques : mises à jour rapides et régulières, réduction de la surface d'attaque (installer le moins de services possibles = KISS, moindre privilège): Une victoire de canard pour un LineageOS/microg/fdroid vs le monde Google
[^] # Re: Les données les plus privatisées, c'est celles qui n'existent pas
Posté par Ph Husson (site web personnel) . En réponse à la dépêche Comparatif : GrapheneOS vs LineageOS. Évalué à 4.
En quoi avoir un bootloader déverrouillé change quoique ce soit contre le vol?
[^] # Re: Les données les plus privatisées, c'est celles qui n'existent pas
Posté par Ph Husson (site web personnel) . En réponse à la dépêche Comparatif : GrapheneOS vs LineageOS. Évalué à 9.
Le seul intérêt du re-vérrouillage du bootloader c'est si on laisse ce téléphone sans surveillance dans un endroit physiquement hostile, et que l'attaquant ne veut pas se faire détecter.
Je ne doute pas que certaines personnes ont besoin de ce type de protection, mais personnellement mon threat model n'inclut pas d'insécurité physique. Par contre mon threat model personnel inclut une insécurité vis-à-vis des GAFAM [1]. Ce par quoi je suis mieux protégé avec microg que sans (donc exit GrapheneOS)
[1] Je considère que la probabilité qu'un de mes comptes chez les GAFAM soit considéré par un algorithme comme malveillant parce que ne rentrant pas dans les comportements normaux est de plus de 30%, avec à peu près 1% chances de recours.
# Les données les plus privatisées, c'est celles qui n'existent pas
Posté par Ph Husson (site web personnel) . En réponse à la dépêche Comparatif : GrapheneOS vs LineageOS. Évalué à 10.
Désolé pour ce titre un peu grossier, qui reprend un adage RGPD "Les données les plus sécurisées sont celles qu'on ne stocke pas".
Il faut toujours se rappeler que les services Google sont omniprésents dans la majorités des applications proprios. Enlever les données de localisation aux Google Play Services, c'est mignon, mais dès qu'on utilise une application qui se connecte aux Google Play Services, elle envoie une grande partie de ses données aux Google Play Services.
L'exemple de vie privée majeure aux États-Unis de cette année passée c'est le suivi de cycle/grossesse/avortement, et la délation obligatoire dans certains états. Si vous installez une application de suivi de grossesse par le Google Play Store, Google saura que vous avez une application de suivi de grossesse. On peut imaginer n'importe quelle prouesse technologique côté OS, cela restera vrai.
Un OS sans aucune sécurité (excepté le navigateur web) avec que des applications libres auditées restera une meilleure protection de vie privée qu'un OS avec un cloisonnement parfait mais des applications dont le but est d'espionner ses utilisateurs.
Bref, AMA pour votre vie privée, il est bien plus efficace (et écologique) d'utiliser F-Droid et ses applis (dont microg qui a même un mode sans internet) sur n'importe quelle ROM Android Custom [1] que d'acheter un Pixel pour avoir GrapheneOS.
[1] Instant pub: Si vous avez un appareil Android quelconque dont la version d'origine est au moins Android 9, et que vous pouvez le rooter ou déverrouiller son bootloader, vous pourrez toujours installer une ROM custom sous le format GSI (Generic System Image), qui réutilise les drivers fournis par le constructeur, même si c'est un téléphone extrêmement niche
# dtb & alternatives
Posté par Ph Husson (site web personnel) . En réponse au journal Petitboot sur ARM, le bon, le bad et le ugly. Évalué à 6.
Sur le fait de mettre le dtb ou non, est imo un problème épineux. Le kernel est censé garantir une compatibilité arrière, mais personne ne teste vraiment. Et lorsque le kernel rajoute le support de nouveaux composants (par exemple les Rockchip n'ont eu la déclaration Mali GPU dans le dts mainline plusieurs années après le support du reste du chip), il faut le modifier pour rajouter ce support. Ne pas s'autoriser l'upgrade après la sortie va pousser à faire comme l'ACPI/UEFI à avoir des workarounds horrible partout dans tous les drivers.
L'origine des device tree étant la même que le kernel, autant tout mettre ensemble IMO.
Pour autant, le bootloader devrait fournir un dtb par défaut, et ne prendre le dtb de /boot qu'en fallback. Mais c'est peut-être le cas de petitboot, ton journal ne le mentionne pas.
Sinon, je vais mentionner un "concurrent" de petitboot, qui est shippé par un concurrent d'Odroid: Pine64 shippe twoboot (sur les pinephones par exemple). Comme petitboot, c'est un bootloader graphique, qui peut booter sur les différents médias disponibles, qui peut booter un kernel depuis de l'ext4.
Par contre c'est "juste" un uboot, donc exit tous les hacks possibles décrits dans ce journal. Perso j'ai clairement une préférence pour les bootloaders à base de kexec, c'est infini plus modulaire (tu veux booter sur le dernier kernel + rootfs en https tiré du pipeline de CI, en SSL mutuellement authentifié avec ACK de lancement du boot pour mesurer le temps de boot, avec dump automatique du pstore pour les kernels panics? no problemo).
Pour éviter l'effet que tu mentionne d'avoir une image debian par carte embarquée, il faut embarquer le bootloader dans un autre stockage, typiquement une NOR en SPI. Hélas, ça a un coût non négligeable, d'où le fait que la plupart des cartes embarquées n'en ont pas. Si en plus, on prend une NOR suffisamment grosse pour stocker Linux, ça coûte encore plus cher.
Je trouve que ça en vaut largement le coût, mais je comprends que la plupart des cartes embarquées ne fassent pas ce choix.
[^] # Re: A bas la commission européenne
Posté par Ph Husson (site web personnel) . En réponse au journal La carte d'identité européenne eIDAS bientôt requise pour utiliser les grandes plateformes?. Évalué à 3.
Un trilogue ça se fait à trois. Rien dans l'Union Européenne ne se fait avec l'accord de (potentiellement implicite) l'intégralité des gouvernements des pays (Conseil Européen, part du trilogue), et des députés Européens des-dit pays (Parlement Européen, troisième élément du trilogue. Mais là c'est à la majorité)
# Séparation chroma/luma
Posté par Ph Husson (site web personnel) . En réponse au journal Du format et de la taille des images. Évalué à 10.
En fait ce que cette image montre, c'est que le cerveau est beaucoup plus intéressé par la luminance (= la luminosité d'un pixel), que par la couleur d'une zone. La couleur reste intéressante, mais par grosse tache disons.
Mais ça, on le sait depuis très longtemps. Donc tous les algos de compression d'image/vidéo depuis très longtemps séparent la luminance de la couleur, et mettent plus de bits dans le fichier pour stocker la luminance que pour stocker l'image, c'est pour ça qu'il n'y a pas de gain à avoir. Pour comprendre pourquoi c'est en fait bien pire, faut entrer un peu dans les détails.
Pour avoir cette notion de "couleur par grosse tache", on utilise deux outils:
Le premier, c'est un bête down-sampling. La très grande majorité des vidéos (mais plus rarement les images) ne stockent que un quart de la résolution sur la couleur: Une vidéo 1920x1080 aura 1920 * 1080 valeurs de luminance, mais seulement 1920 x 540 valeurs de couleurs (ou 960 x 540 vecteurs de couleur, vu qu'une seule valeur n'est pas suffisante pour définir une couleur).
Le deuxième est du filtrage fréquentiel (principalement par transformée de Fourier ou équivalent). Ça va nous permettre des filtrer les "taches" par taille (aussi bien la couleur que la luminosité). Pour choisir quelle est la plus petite taille d'objets on va garder, les algos de compressions utilisent des méthodes "psycho-visuelles" pour déterminer. Ici, il serait très visible si on perdait les informations de couleur de la taille de la grille. L'algo décide donc de filtrer à des tailles du "fil" de la grille. Ce qui va exiger une précision vachement plus petite que la taille qu'il va choisir pour l'image d'origine. Ça va donc prendre bien plus de stockage.
On pourrait aussi voir cette question d'un point de vue entropique: la couleur apporte globalement peu d'information, et peu se déduire de la luminance. La grille est plus difficile à prédire vu le contexte.
# Masse d'info phénoménale
Posté par Ph Husson (site web personnel) . En réponse au journal Enregistrement de la plaque d'immatriculation aux péages. Évalué à 6.
En terme de lecture du RGPD:
Il me parait raisonnable (de par typiquement ton exemple, mais aussi détections de fraudes) de dire que scanner la plaque d'immatriculation à l'entrée est nécessaire pour la fourniture du service (ce qui exempte donc de demande de consentement).
Par contre, sur le "masse": pour la fourniture de service, il est inutile techniquement de conserver les données plus de 3 jours (soyons extrême, un mois [1]). Ce qui, tout de suite, fait beaucoup moins phénoménale.
Aussi le RGPD protège sur les types de traitements faits. Même s'ils ont le droit d'enregistrer les plaque d'immatriculation sans consentement, ils n'ont pas le droit d'en faire grand chose d'autre que de la facturation, ou des statistiques anonymes. (vraiment anonymes, pas pseudonymes)
Encore une fois, je ne parle que d'application RGPD pure. Je ne fais absolument aucun pari sur est-ce que les sociétés d'autoroutes respectent la loi. Si tu veux approfondir l'analyse, la société d'autoroute est censée avoir une politique de vie privée affichée quelque part…
[1] Je ne serais pas surpris qu'il y ait des obligations de stockages plus long que 3 jours pour la police, comme il en existe pour les FAIs
# À la hache
Posté par Ph Husson (site web personnel) . En réponse au journal AI générative pour scripter en Python ?. Évalué à 8.
Actuellement je ne suis pas au courant d'une intégration propre à la Github Copilot dans VSCode qui soit dispo facilement en auto-hebergé.
Néanmoins des modèles existent. Je crois que la hype actuelle du modèle de code auto-hebergé c'est starcoder: https://huggingface.co/bigcode/starcoder . En cherchant un peu on trouve des plugins vscode pour starcoder genre https://github.com/Lisoveliy/StarCoderEx mais j'ai aucune idée de son déploiement local. (À vue de nez pour une inférence locale, faut compter 30Go de RAM et ~ 5charactère/seconde (sachant que ça compte l'entrée et la sortie) sur un CPU 8 coeurs. Ça peut théoriquement descendre à 10Go de RAM avec de moins bons résultats, mais je sais pas où on en est de ça. Pour être à une vitesse plus confortable faudra probablement être sur GPU avec 16Go de VRAM. (Note: J'ai pas réussi à faire tourner starcoder lui-même pour le moment, alors que j'ai pas de problèmes pour d'autres, donc je pifométrise un peu)
Je réitère ce qui a été dit dans les autres commentaires, il est suicidaire de leur faire confiance aveuglement, et dans mon expérience l'énergie nécessaire pour comprendre et s'assurer que ce que le modèle a sorti fait bien ce qu'on lui demande est plus élevée que de l'écrire soit-même. (Néanmoins je le trouve utile pour donner des pistes)
[^] # Re: De source interne : OUI
Posté par Ph Husson (site web personnel) . En réponse au journal Le support technique du FAI a accès au mot de passe du wifi !?. Évalué à 4.
et déconnecter ses autres appareils dans la foulée?
# Mauvaise analogie ©
Posté par Ph Husson (site web personnel) . En réponse au journal Le capitalisme : un système en tort ?. Évalué à 2.
Je vais faire une mauvaise analogie. Le capitalisme, c'est comme l'IA, ça fait ni plus ni moins que ce qu'on lui a demandé.
Je m'explique:
Il me parait assez clair que le capitalisme est excellent à optimiser les ressources qui ont une valeur monétaire. Si on veut ""corriger"" l'écologie, il suffit de mettre le coût réel de l'écologie dans le capitalisme.
C'est plus ou moins ce qu'on fait sur les cigarettes: les taxes sont là pour compenser leur coût sociétal. (Bon pas vraiment parce que ces taxes vont pas à la sécu, mais bref…)
Le problème, c'est que y en a qui ont essayé de faire ça, et ils ont vu des giratoires jaunes…
Toutes les problématiques sociétales ne peuvent être corrigés par des taxes, car une taxe suppose un capitalisme fonctionnel, qui suppose une concurrence "pure et parfaite". Donc par exemple, pour un capitalisme fonctionnel, il est nécessaire d'avoir une loi qui autorise les consommateurs à changer d'opérateur mobile facilement.
AMA le plus gros problème du capitalisme par rapport au contrôle parfait centralisé c'est les contournement et les fuites en avant qui vont avec. Par exemple, il existait (je ne sais pas si c'est encore le cas) une course entre les psychédéliques de synthèse et la législation: il est "facile" de créer un nouveau psychédélique de synthèse qui n'est pas banni par la loi à sa sortie (même fonctions chimiques actives que la version précédente, mais quelques petits changements sur la molécule suffisent à ce que la loi ne s'applique plus). Le capitalisme à l'ère de l'internet nécessite un système politique efficace et rapide pour pouvoir répondre rapidement aux nouvelles menaces (Mais notez qu'un système de contrôle centralisé parfait aurait aussi besoin d'être efficace et rapide). Et niveau efficacité politique, je sais pas si vous avez remarqué, mais on est resté bloqué 6 mois sur un sujet relativement mineur (impact moins de 4% de la vie de moins de 20% de la population), alors que l'écologie qui est prévu pour coûter 50% de nos impôts (donc 30% de notre temps de travail à tous), rien, nada, peau de zob.
# Separer les mondes
Posté par Ph Husson (site web personnel) . En réponse au journal J'ai ressuscité un ordinophone. Évalué à 6.
Hello,
Pour réduire au maximum les potentiels leaks des applis Microsoft, tu peux installer Shelter depuis FDroid, qui te créera un profil de travail. (Ça marche sur n'importe quel Android)1
Sur le concept, un profil de travail est un utilisateur différent, il a une base de contacts differents, liste d'applis différents, bref presque toutes les données sont instanciées une deuxième fois. Juste cet utilisateur peut tourner en même temps que l'utilisateur principal.
Petit bonus, ça permet de couper les applis en question quand tu le souhaites
# Qui programme l'obsolescece?
Posté par Ph Husson (site web personnel) . En réponse au journal Brother ne mettra pas à jour les micrologiciels des imprimantes qui utilisent TLS 1.0. Évalué à 10.
Je comprends que ton attaque est contre Brother. De mon point de vue, c'est contre les navigateurs web qu'elle devrait se diriger.
Tu parles de la programmation de l'obsolescence. Brother n'avait aucun plan pour bricker leurs imprimantes. Dans leur plan, elle fonctionnait parfaitement y a 10 ans et il était prévu que le logiciel fonctionne tout autant de nos jours.
Des gens avaient effectivement un planning qui prédiraient plusieurs années à l'avance que les imprimantes seraient inurilisablzs : ces gens sont les navigateurs web. C'est eux qui ont programmé cette obsolescence.
# 2 cents
Posté par Ph Husson (site web personnel) . En réponse au journal Adieu la fibre, bonjour ADSL+4G. Mais comment agréger ?. Évalué à 9.
Juste non, rien que trouver un routeur qui supporte le MPTCP parait compliqué, et même si c'était le cas, ça serait probablement très compliqué à configurer. Sauf éventuellement la OverTheBox d'OVH qui est une solution complètement clé en main pour cette problématique (mais je doute qu'elle soit bien configurable)
C'est probablement la solution la plus souple pour développer la solution, mais le OpenWRT consommerait moins. Si t'as déjà un PC de récup, ma suggestion serait de faire le setup sur pc de récup, et une fois que t'es satisfait le transférer sur de l'OpenWRT
Sinon, en terme de techno, je connais deux catégories d'implémentations: Du routage par connections TCP (i.e. dire les connections TCP vont moitié moitié à gauche ou à droite, ou celles vers akamai, ou, …), ou juste passer par un VPN MPTCP (ce que fait l'OverTheBox OVH) qui va faire une vraie agrégation de tout le trafic, auquel cas il faut un autre bout pour le VPN (typiquement une VM dans le cloud)
Et sinon pour information, il existe speedify.com une appli payante/proprio qui fait du équivalent MPTCP sur smartphone
# Le plus simple
Posté par Ph Husson (site web personnel) . En réponse au journal Logiciels transmettant en douce des données vers la russie. Évalué à 10.
Ça serait d'arrêter de mettre un tracker dès qu'on promet la moindre source de revenu. C'est dur d'auditer qui vend des données à qui et comment, même si la RGPD doit nous en protéger, et les fuites sont inévitables. La meilleure protection, c'est juste de rien sortir/utiliser comme données.
Numérama sont bien mignons, à vouloir absolument des trackers pour afficher des pubs, mais on a pas attendu internet et les trackers pour rémunérer des gens pour afficher de la pub…
[^] # Re: Je comprends rien
Posté par Ph Husson (site web personnel) . En réponse au journal La goutte. Évalué à 10.
Note à l'attention de l'auteur du journal: Mes remarques sont semi-troll, semi-sérieuses. J'écris maintenant ce message à ton attention, dans un ton plus compréhensif et constructif.
Je n'ai sincèrement pas compris une bonne moitié du journal, alors que je pense être un profil relativement standard par ici. Je traîne sur DLFP depuis… bon bah, DLFP hein déjà. Je suis libriste convaincu, contributeur opensource, ingénieur développeur logiciel, bref du relativement standard par ici.
Si tu penses que ton journal devait être compréhensible par les profils typiques de ce site, sache que tu te trompes. Tu peux commencer à faire une analyse sur cette question: Pourquoi ce qui te parait évident, ne l'est pas? Il peut y avoir différentes raisons: mauvaise analyse du milieu dans lequel tu as posté, mauvaise analyse des connaissances moyenne du milieu, mauvaise analyse de l'étendue de la diversité de profils, mauvaise analyse des pré-requis nécessaire à la compréhension de ton texte (i.e. il manque de contexte). Personnellement, je pense que dans le cas de ce journal, il s'agit d'une combinaison de tout ce que je viens de dire, qui est causé par le fait que tu te trouves actuellement, sur ces sujets, dans une bulle. Tout les gens que tu côtoies savent pertinemment de quoi tu parles, donc t'extrapoles et tu supposes que tout le monde sait de quoi tu parles, sans avoir besoin de contexte ni d'explication. Malheureusement, des guerres d'informations et des guerres judiciaires, il y en a de très nombreuses simultanément. Même en supposant que je sois omniscient, je ne pourrais pas savoir de quoi tu parles, car il en existe plusieurs.
Si grâce à cette réflexion, tu aboutis à la conclusion que tu vis dans une bulle, félicitations! C'est un premier grand pas majeur vers l'ouverture vers le monde. Et je pense qu'il est important de se reposer ces réflexions régulièrement: de vérifier régulièrement "suis-je dans une bulle?" Les bulles peuvent arriver très facilement, et, peuvent être limité à certain domaine en particulier.
Par exemple, LinuxFR est une bulle pour qui les logiciels propriétaires sont le mal, et il est évident que tout devrait être logiciel libre. Il est important de se rendre compte que ce n'est qu'une bulle, et qu'il existe d'autre monde, où ce choix (libre >> proprio) est non évident, voire opposé.
J'ai mentionné dans mon message le fait que tu avais l'air d'avoir actuellement une faible capacité d'attention. Je le pense vraiment. Tes phrases sont (très) courtes, les paragraphes aussi, les liaisons d'un paragraphe à l'autre sont très peu articulées. Je pense que comme la majorité de la population, tu es victime des différents voleurs d'attentions (réseaux sociaux, publicité, divertissements, …).
C'est très dur d'en sortir, et moi-même je tombe facilement dedans (j'ai dû changer de fenêtre au moins 10 fois si ce n'est 50 fois le temps d'écrire ce message…). Ma recommandation personnelle là dessus est de te trouver une tâche que tu apprécies, et te plonger dedans à 100%, en s'interdisant absolument toute distraction autre (TV, smartphone, discuter avec d'autre personne, …). Certaines personnes font du puzzle, d'autre lisent un livre, du bricolage peut aussi être pas mal.
Voilà. Je n'ai aucune idée de si mon message peut t'aider à retrouver une certaine santé d'esprit, mais en tout cas, je te le souhaite. La route est longue et semée d’embûches, bon courage. Note que je ne suppose pas nécessairement que ce que ton journal est forcément idiot. Néanmoins présentement, tu n'es pas en état d'esprit de pouvoir en discuter avec nous dans les commentaires, pour qu'on puisse se faire notre avis réfléchi.
Si mon message t'as été utile, merci de me le signaler :-)
PS: Évidement que libre >> proprio. Y a que des blasphémateurs qui peuvent penser l'inverse.
PPS: J'ai bien peur que tu ne lises pas ce message en entier, mais je ne sais pas comment faire pour te délivrer ce message autrement
# Je comprends rien
Posté par Ph Husson (site web personnel) . En réponse au journal La goutte. Évalué à 10.
J'ai absolument aucune idée du sujet de ce poste, je comprends rien.
Oui, depuis que la démocratie existe, on a eu une guerre d'informations entre "la droite" et "la gauche"? (c'est évidement une simplification extrême, des gens apolitiques pouvant aussi faire des guerres d'informations, cf EEE de Microsoft)
Moi je préfère commencer mon texte par "L'air nous entoure tous". Tout aussi plat, et inutile, mais je cherche pas à attirer l'attention/les clics (comme l'ont prouvé les réactions facebook qui valent 5 fois plus si c'est l'énervement)
Euh, oui? Qui? Tu parles de la guerre juridique de la CNIL contre les sites qui font mal leur bandeau de cookies?
Ah, du coup tu parles de la guerre des informations privées gouvernée par la RGPD, c'est ça?
Je trouve que le débat du gouvernement qui achète des licences Microsoft pour l'éducation nationale commence à se faire un peu vieux, mais euh soit.
Bah euh… du coup, tu veux un grand pouvoir qui est la démocratie? Je euh… oui, c'est bien. Pareil, ce débat me parait un peu désuet, j'ai l'impression qu'il est résolu depuis quelques siècles, mais euh soit.
J'avoue avoir beaucoup de mal à voir la cohérences entre les différents sujets présentés.
J'avoue m'être arrêté à Loana de Loft Story, et au casse-toi pauv'con de Sarkozy. Y a vraiment plus ridicule que ça depuis? Enfin si, j'ai entendu qu'un prétendant avant sorti un doigt à une mémé, soit. Rien de vraiment neuf sous les tropiques.
Ah, ça y est, les gens arrêtent d'utiliser les réseaux sociaux comme source principale d'information? La valeur à la bourse de FacebookWMeta me fait dire que non. Tu aurais des sources pour étayer cette assertion stp?
Tu sais, Someone is wrong on the internet n'est qu'une blague. Elle représente certes un fond de réalité, sur lequel est basé les réseaux sociaux, pour autant, il est réaliste pour l'être humain de s'arrêter. (mais je dois bien avouer, que là, présentement, je suis tombé en plein dedans)
Ah, pardon, j'ai mal lu la salle. Tu fais ton entretiens psy de couple sur un journal LinuxFR? ok ok, pardon. Je trouve qu'on passe vraiment du coq à l'âne dans ton journal. Peut-être as-tu des troubles de l'attention? Si c'est le cas, dis le explicitement, je pense que les gens ici sont ouverts à ces troubles, et peuvent t'aider à vivre avec.
J'avoue, log4shell était bien bruyant, j'aimerais bien avoir des vrais stats du nombre de services impactés. Depuis shellshock, ça faisait longtemps qu'on avait pas vu autant de sysadmins travailler. Prochaine étape? Bah écoute, on a fait la faille dans du CGI, puis dans du java. Je pense que la prochaine étape, c'est une faille dans le Go?
Ah, on parle économie Turque maintenant… On passe plutôt du netcat à l'âne là, tellement les sujets ont rien à voir. Mais du coup oui, c'est une bonne remarque. Ces manipulations ont déjà été faites, Erdoğan a déjà fait sa comm pour manipuler sa monnaie. Ni la population ni les économistes n'ont l'air super convaincus, je sais pas trop ce que ça va donner. J'espère que le peuple Turc s'en sortira bien.
Oh, économie mondiale maintenant? T'es entrain d'espérer que des gens arrivent à justifier que tous les comptes en banques tombent à 0, pour effacer toutes les dettes et tous les gens riches exclusivement par leur héritage, et donc permettre aux gens à salaire acceptable mais avec faible héritage de vivre correctement? Écoute. Je suis de tout cœur avec toi dans cet espoir de faire une "grande réinitialisation". C'est beau d'avoir des rêves. Perso j'y crois hélas pas trop.
Euh… "l'ancien monde" c'est l'Europe correct? Les Amériques le nouveau monde donc? Ça parait osé pour le Québec de vouloir ignorer la France, après ils ont déjà bien forké la langue, ils ont pas notre monnaie. J'ai envie de dire, que notre culture est libre, s'ils veulent la forker, grand bien leur fasse. Refuser de cherry-picker des morceaux de notre culture me parait être un choix étrange, mais la culture est libre, c'est tout à fait leur choix. Et s'ils veulent plus tard changer d'avis, pour reprendre des morceaux de notre culture Européenne, grand bien leur fasse!
Je ne crois pas qu'on puisse donner de l'argent à la BCE contre sont gré…? Disons que dans leur arsenal d'outils de régulation de l'économie, ça serait un outil bien bizarre. Je pense que cet argent tu peux directement le donner à des mendiants, ça sera bien plus efficace pour l'économie. Sauf si ton but est de faire stagner l'économie pour faire de la décroissance, auquel cas, donne ton argent à Bill Gates
Je crois que les informations anxiogènes ont, pour le moment, assez fortement poussé à l'action.
Le reste me parait être équivalent à la première phrase: du texte auto-généré par un chatbot Bernard-Henri Lévy-esque sur de la "philosophie"
En tout cas, je te souhaite beaucoup de courage pour tes troubles de l'attention! Vivre avec est dur, mais c'est faisable. Et je réitère: Tu trouveras ici beaucoup de gens pour t'aider sur cette question. C'est une maladie amplifiée par les réseaux sociaux, donc c'est un vrai sujet d'actualité et chacun est différent sur ces questions. En t'exprimant sur tes problèmes au quotidien, on doit pouvoir t'aider à construire des mécanismes pour te rendre fonctionnel.
# Analyses suivantes
Posté par Ph Husson (site web personnel) . En réponse à la dépêche Compter automatiquement les mots prononcés sur les chaînes d'information continue. Évalué à 4.
Superbe boulot, bravo!
Quelques analyses supplémentaires qui ne devraient pas être trop dures à ajouter je pense:
- Analyse de sentiment par sujet. Typiquement pour le nucléaire, il manque de savoir si c'est un sentiment d'angoisse qui en ressort, ou un sentiment d'espoir, ou autre
- Analyse de sentiment global. (Est-ce que CNEWS est plus angoissant que France Info?)
- Analyse par heure. Comme déjà mentionné un certain nombre de chaînes sont connues pour tricher leurs stats CSA en utilisant des horaires au milieu de la nuit
Plus dur, et probablement moins utile:
- Détection du sexe des interlocuteurs
- Identification de la voix pour voir qui réutilise en permanence les mêmes "experts"
- Détection de l'age basé sur la voix
# Centralisation
Posté par Ph Husson (site web personnel) . En réponse au journal Signal la bonne alternative à Whatsapp ?. Évalué à 10.
Pour moi ce service est comme Whatsapp avant son rachat par Facebook. Ça parait cool, mais ça reste complètement centralisé, donc aucune idée de ce qu'il va se passer dans le futur. L'application est certes opensource, mais la licence interdit de se connecter sur le serveur officiel si on fork.
Moi ce que je voudrais c'est une transformation ala email. Les emails sont plutôt décentralisés. Tout en étant plutôt interopérable. Des acteurs qui reçoivent déjà des sous de ma part peuvent l'héberger pour moi (mon opérateur), donc pas besoin de pubs, ou espérer que les dons suffisent.