Je ne vois pas le rapport entre s'opposer à un projet de loi et voter une motion de censure. Tu peux être contre un amendement mais voter la loi quand même, ou contre une loi et soutenir le gouvernement. Si tu sors d'un groupe parlementaire au moindre désaccord, tu vas te retrouver tout seul au bout de 15 jours, et tu ne sers plus à rien.
1) On va voir le chef avec un devis pour augmenter la bande passante.
2) Le chef: "ouh lala, ça coûte cher. Pourquoi a-t-on besoin d'autant de bande passante?"
3) L'admin: "en théorie, pour le boulot, ça n'est pas nécessaire. Mais on ne peut pas empêcher les gens de faire des trucs privés, et ça empêche les autres de bosser".
4) Le chef se jette sur son clavier et envoie un email contenant un rappel à la charte informatique que tout le monde a dû signer.
Ca depend quel application. Je peux t'en citer pas mal qui auront du mal a soutenir la charge.
Ça me parait peu probable. Évidemment, il faut télécharger l'application à la première utilisation pour la mettre en cache, ça peut être un peu long (mais pas plus que de télécharger un binaire à installer). Ensuite, il n'y a que les données qui transitent. Et alors là, je ne vois pas vraiment quel type d'application peut gérerer des flux de données assez importants pour mettre ta connexion à genoux (traitement d'image, de vidéos, ou de documents sonores peut-être? Et encore, il doit y avoir moyen d'utiliser des caches en local pour ne pas attendre la fin du transfert pour commencer à travailler, ou simplement d'héberger son répertoire de travail sur le serveur distant). Pour la très grande majorité des applications, les seules informations à envoyer proviennent des actions des utilisateurs (clics ou frappes clavier).
Xubuntu 12.04, c'est la version de la distribution. Une distribution contient des centaines de logiciels : le navigateur internet, libre office, le bureau, etc. Parmi tous ces logiciels, il y a le noyau Linux. Quand on change de version de distruibution, on change de version pour tous les logiciels qu'elle contient. La plupart du temps, les versions les plus récentes vont écraser les versions anciennes, c'est complètement transparent. Mais pour quelques composants critiques, comme le noyau Linux, il est possible que la nouvelle version ne remplace pas l'ancienne : l'ancienne version est conservée au cas où la nouvelle fonctionne mal. Les versions du noyau s'accumulent donc au fil des mises à jour. En général, ça n'est pas grave, il n'y a pas vraiment de raison de retirer les anciennes.
car ils ne pouvaient pas tenir la pression du coût d'un procès
En même temps, le coût d'un procès dépend de ce que tu veux y mettre. Même aux US, où la justice est quand même un peu bizarre, ce n'est pas toujours celui qui a les avocats les mieux payés qui gagne.
On peut aussi déplorer le manque de recherche académique sur l'histoire des idées en informatique. Il existe toujours tout un tas de documents informels, de discussions de forums, ou de blogs plus ou moins obscurs qui retracent l'invention de la souris ou de la programmation objet, mais pourquoi ne pas avoir des spécialistes universitaires qui travailleraient là-dessus, et sur qui la justice pourrait justement compter pour extraire la réalité historique de l'invention du blabla juridique entourant le brevet.
Euh… Faut pas prendre les mecs de la NSA pour des idiots non plus.
Pardon, je reformule : il ne s'en rendra pas compte tout de suite.
Imagine : tu as une petite interface toute bien fichue, avec un champ pour copier-coller la partie variable (titres d'un site de news). Tu fais ton copier-coller, et hop, on lance un script qui compose le canary, le chiffre, et le publie. Franchement, ça ne m'étonnerait pas que le gars de la NSA, tout compétent qu'il est, manque le fait que le tout petit paragraphe manque sur le canary final. C'est quand même un gros pavé d'une centaine de lignes, et il ne semble pas intuitif a priori que le développeur du script ait pensé à ne pas inclure ce paragraphe "fixe" dans son pipeline. Le temps de s'en rendre compte, c'est trop tard. En plus, on peut toujours plaider la bonne foi, du style "comment voulez-vous que je fasse les choses correctement avec une arme pointée sur moi".
Oui. C'est clairement une histoire de confiance (d'intégrité de celui qui signe).
Ça peut marcher pour les projets libres qui ne sont pas pilotés par des intérêts financiers : si tu ne peux pas résister aux pressions des agences, tu coules le projet et tu montes un fork. Par contre, dans le monde du business, c'est un suicide.
L'autre problème, c'est que ça ne peut avoir un intérêt que si le logiciel fait quelque chose de simple, et qu'il n'y a pas de base de données d'utilisateurs. Il est évdent qu'un fournisseur d'accès à Internet ou un gros hébergeur va finir par recevoir des demandes légitimes des autorités ; Google, Apple, ou n'importe quel gros FAI ne pourrait pas tenir très longtemps avec un canary global (à moins évidemment que le seul but du canary est d'expliquer aux clients qu'ils ne doivent pas compter sur la sécurité absolue du système, une sorte de disclaimer: "attention, je refile de temps en temps des infos aux autorités").
Que faut-il en déduire ? Pas grand chose à mon avis, sinon que dans le doute la méfiance s'impose.
Oui, et que le principe du canary a un gros défaut : il est totalement intolérant aux erreur. Une simple erreur de mise à jour (oubli, blague, vandalisme d'un employé malheureux…) rend le logiciel douteux pour toujours, puisqu'elle est indiscernable d'un message volontaire. Je verrais bien le scénario suivant : le canary est conçu pour que la partie "variable" (avec les news) contienne également le paragraphe critique qui affirme que la boite est clean. Du coup, même avec un gars de la NSA qui pointe un flingue dans son dos, il est tout à fait possible de mettre à jour le canary sans le message, le type de la NSA ne s'en rendra probablement pas compte. Quand il réalisera son erreur, il sera trop tard. Et j'ai l'impression que c'est tout à fait ce qui a pu se passer.
Du coup, je me demande quand même si la technique du canary est très utile quand des entreprises sont impliquées. En gros, passer un message via le canary revient à couler la boite. Bien sûr, ne pas passer le message revient à abuser ses clients, mais quand il y va de la survie financière d'une entreprise, les bons sentiments sont rarement de la partie.
Sous ce titre hautement intellectuel, un partage d'expérience avec mon portable Dell : jamais aucun problème pour brancher l'ordi en VGA avec le driver nvidia proprio et Ubuntu (vidéoprojecteur, TV, n'importe quoi) : la résolution s'adapte automatiquement, la détection à chaud fonctionne parfaitement. En HDMI, grosse cata : écran noir instantané et hard reboot (!), je n'avais pas vu ça depuis que mon chat avait mangé ma souris (littéralement). J'ai du mal à comprendre comment un problème de driver peut faire rebooter la machine, mais apparemment, c'est possible. Inutile de le préciser, le même cable sous Windows fonctionne…
De toutes manières, la question se posait déja avant même l'idée de passer en libre : tu as un soft proprio qui inclut quelque chose (les templates) qui s'apparentent (?) à du code, en provenance d'un autre soft proprio dont la licence est inconnue. Si ce deuxième soft n'autorise pas la redistribution des templates, alors c'était déja un problème avant même de parler de licence GPL.
Entre nous, je trouve que le principe d'un logiciel libre dont le seul objectif est de fournir des fichiers lisibles par un logiciel propriétaire est un peu étrange. On a un workflow avec des briques de libre, mais le pipeline n'est pas libre, quoi qu'il en soit. Au final, j'aurais un peu l'impression de coder un plugin pour un logiciel proprio ; ça rend surtout service à l'éditeur du soft proprio en question (surtout si le type de fichier est couvert par des brevets au autres saloperies qui rendent son remplacement compliqué), mais certainement pas à l'utilisateur…
La NSA non mais les agences gouvernementale des pays "amis" de la NSA, voir les amis des amis… la je t'assure que SI.
Tu peux m'assurer ce que tu veux, je reste dubitatif. En gros, la NSA veut insérer une backdoor dans un logiciel. Elle fait pression sur les contributeurs US pour insérer la backdoor discrètement. Elle utilise ensuite la clause de la loi machin pour les empêcher de révéler qu'elle existe. Ils font ensuite en sorte de récupérer les clés secrètes des contributeurs US qui mettent à jour le canari, pour empêcher la divulgation de leur intervention. Et là, couic, ils ont besoin de récupérer la clé d'un contributeur qui habite en Europe. Tu crois vraiment qu'une agence gouvernementale d'un pays Européen va accepter d'aller menacer illégalement un de leur ressortissant (puisque la loi correspondante n'existe pas en Europe) pour faire appliquer quelque chose qui n'est pas couvert par la loi US (la mise à jour du canari) sans être mise dans la combine (l'accès à la backdoor)? La théorie du complot a des limites. J'imagine que la seule raison pour que ça puisse se faire est que l'agence Européenne ne comprenne pas vraiment pourquoi la NSA veut la clé, mais qu'elle la récupère en preuve de coopération.
bref compromis ou pas… le canary siffle…
Je pense surtout que si l'agence US veut passer inaperçu, elle va tout faire pour maitriser l'ensemble de la chose dès le début (c'est à dire qu'elle va attendre d'être sûre de pouvoir maintenir le canari à jour avant de jouer le moindre pion). Le plus simple me semble être de cibler la démarche : au lieu d'envoyer une lettre recommandée à toute la boîte, on cherche un maillon faible sur qui on peut faire pression, et qui va tout organiser dans le secret : refiler les infos à la NSA, ou modifier discrètement le code (passer une backdoor dans un commit quelconque), en faisant en sorte que personne d'autre ne s'en doute.
Je ne sais pas exactement jusqu'où la justice américaine peut aller, mais si en effet on te force à refiler tes clés et à laisser les ingénieurs de la NSA accéder à tes serveurs, le canari peut très bien être mis à jour par les agences gouvernementales de toutes manières. J'imagine que personne ne pense que c'est une sécurité absolue. Par contre, ça peut quand même pousser les agences en question à la limite de leurs possibilités, typiquement si certains responsables du projet sont européens. Je ne pense pas que la NSA ait les moyens d'intervenir physiquement en Europe, par exemple.
Mouais, faut pas abuser non plus. Ce n'est pas l'œouvre du siècle, mais toute photo originale a droit à la protection au titre de la propriété intelletcuelle. Le délit de contrefaçon semble constitutué, il est évident que c'est la même photo (même angle, même éclairage, même hauteur de la mer, etc), et la photo a été reprise sur un site à vocation commerciale. Le photographe a donc droit à des indemnités, il existe même un barême pour ça.
Ceci étant dit, les indemnités ne couvriraient jamais les frais de justice, c'est un délit mineur, et on peut très bien s'arrêter là. Il s'agit plus d'une incivilité qu'autre chose, un problème moral plus que légal. C'est équivalent à "mon voisin n'a pas taillé sa haie qui dépasse chez moi, j'ai dû lui dire, et il l'a taillée" : le préjudice est minime, et il n'y a pas de raison objective de poursuivre plus loin à moins de vouloir jouer au chevalier blanc (avec un risque réel de se faire bananer en justice, parce que la justice, au contraire de ce qu'on entend ici ou là, ça n'est pas qu'une chambre d'application des lois. En particulier, les juges ont horreur de perdre leur temps).
En ce qui concerne le comportement des professionnels en question, j'ai toujours eu la même réaction quand j'ai signalé des plagiats de passages que j'avais écrit sur Wikipédia. J'ai toujours envoyé des mails qui disaient que j'était content que Wikipédia soit réutilisée, mais que je demandais le respect de la licence, et pouf, tous les contenus disparaissent, et pas un mail d'excuses ou d'explications. C'est presque contre-productif, en fait.
Ici, on parle de distribution par une entité pour avoir une utilisation plus loin que le geek dans son coin, pas de compilation par l'utilisateur.
Il me semblait que ma question était claire : il existe des distributions Linux qui ne disposent que de paquets de sources, la compilation étant réalisée automatiquement sur la machine de l'utilisateur. Une telle distribution ne me semble pas affectée par les problèmes de licences sur le brevet, qui ne mentionnent que les binaires.
Et après tu parles de compilation?
Désolé, le journal est clair : 1 partie licence de code, une autre partie brevets.
Je ne vois pas le rapport entre la compilation et le fait que le "journal" ne soit constituté que d'un copié-collé d'une licence logicielle. Beaucoup d'entre nous vivent dans une partie du monde où les brevets logiciels n'ont pas de base légale, il ne me semble pas délirant d'avoir un peu de contexte pour comprendre ce que l'auteur du journal trouve intéressant parmi 200 lignes de charabia juridique spécifique des législations nord-Américaines…
Techniquement, c'est pas un journal, c'est le texte d'une licence. Je ne pense pas qu'on puisse considérer ça comme "lisible".
Rien ne l’empêche, tant que la distrib a la licence MPEG-LA.
OK pour le binaire, mais comment ça marche si la distrib fournit les sources et que le plug-in est compilé sur la machine de l'utilisateur? Il me semble que ça ne viole pas la licence—évidemment, ça sous-entend que l'utilisateur final prend la responsabilité d'utiliser un binaire couvert par un brevet logiciel, mais en Europe, on s'en fout complètement, non?
J'ai dû louper un épisode, parce que je ne comprends pas ce qui empêche la distrib d'empaqueter le binaire du plug-in sous licence BSD compilé par ses soins?
Bon, les brevets logiciels, cdla mrd et tout, on ne revient pas là-dessus. Ceci étant dit, l'argumentaire de StreamScale comporte au moins un point intéressant : ils prétendent que James Plank a été un consultant rémunéré par StreamScale, que dans le cadre de ce contrat, il a signé un certain nombre de clauses, et qu'en contrepartie, il a été mis au coutant de "secrets industriels", secrets qui ont été ensuite révélés dans des publications académiques. Bien entendu, il est impossible de juger en l'état si ces secrets existaient, s'ils ont bien été transmis de StreamScale à Plank et pas l'inverse, etc., mais on n'est pas variment dans le cas où un chercheur académique indépendent se trouve attaqué par une boite privée pour avoir réinventé un algorithme trivial protégé par brevet. Il semble que le chercheur n'était pas vraiment indépendent, mais qu'il avait des relations contractuelles avec cette entreprise, et que ce contrat prévoyait l'échange d'informations sur les algorithmes objets du litige.
Bah, en plus, l'argument de base est débile. Un truc écrit en bash serait "plus libre" qu'un truc écrit en C? Le gars est en train de dire que Linux serait beaucoup plus libre avec un kernel écrit dans un langage de script. On va vachement loin avec des raisonnements comme ça…
OK, bien sûr, il faut préciser les questions. La protection du grand public est impossible, pour deux raisons principales : 1) le grand public fait n'importe quoi, et même si on leur fournissait des systèmes bien foutus, les gens feraient quand même n'importe quoi, et 2) on a décidé, par ignorance, incompétence, paresse, ou cynisme, d'abdiquer politiquement face aux problèmes de sécurité et de protection des données personnelles. Il suffirait de quelques modifications claires du code de la consommation, et une pression politique suffisante pour les faire appliquer, pour évoluer dans un monde beaucoup plus sain : interdiction réelle de la vente liée (en particulier, rendre l'utilisateur réellement propriétaire de son matériel—usus, fructus, et abusus), assimilation des problèmes de sécurité à des vices cachés, etc.
Donc voila, pour le grand public, c'est râpé. Pour les services de l'État, par contre, ça n'est pas perdu. Bon, dans les faits, les finances publiques sont dans un tel état qu'on vit plus en mode URSS post-1991 que dans un État fort et souverain (utilisation de bécanes personnelles, Windows piratés ou obsolètes parce qu'on ne peut pas acheter les licences, site internet entretenu par le gars qui arrose les fleurs, etc), et on est vraiment à un niveau de sécurité proche de 0 pour la plupart des administrations. Mais j'ose espérer qu'il existe quelques services (renseignement, défense, police…) qui investissent encore sur la sécurité, et qui disposent d'un savoir-faire dans ce domaine permettant de se jouer des petits malins assez facilement—je ne parle pas de la NSA, ni même des vrais petits crackers compétents ; je parle des apprentis-pirates qui défendent une cause ou des services officieux Chinois ou Nord-Coréens.
Tu veux dire qu'un État démocratique et souverain n'aurait pas les moyens de mettre en place les moyens de lutter contre des groupuscules motivés? Il ne faut pas déconner non plus. On ne vit pas dans un film américain, où des ados boutonneux rentrent comme ils veulent dans les ordinateurs de la CIA.
D'ailleurs, les failles de sécurité, vers, virus, exploits, et autres "performances" de crackers qui sont régulièrement publiées viennent assez souvent d'agences gouvernementales. En ce qui concerne l'intrusion dans des systèmes, la récolte d'informations, et la destruction à distance des capacités de communication, je parie plus sur la NSA que sur Daesh :-)
Attends, 6 milliards de personnes, ça peut poser 6 milliards de petits carreaux. Même si on prend des petits carreaux de piscine ou de la mosaïque (1cm / 1cm), ça fait 600 000 mètres carrés de carrelage (un carré de 774m de côté, ou 387 picines olympiques.
Oui, mais du coup, ça veut dire qu'acheter un smartphone sous Android, c'est pire que d'acheter un PC livré avec Windows : on paye pour l'OS qu'on ne veut pas, et on risque de rendre le matériel inutilisable à la moindre mauvaise manip.
* Quid de la garantie?
* Quid du support de l'opérateur téléphone (oui, parce qu'un téléphone sert aussi à téléphoner!)
* Quid des offres commerciales (style "on reprend votre ancien appareil pour une somme symbolique et on vous fait payer le nouveau à crédit")?
Le problème, c'est qu'il y a une différence entre accepter d'utiliser un OS semi-proprio comme Android (on peut par exemple utiliser l'Android par défaut, et ajouter des applications libres, ça peut sembler un compromis acceptable) et rester bloqué sans mises à jour pendant des années. Quand Microsoft arrête le support d'une ancienne version de Windows, la mise à jour n'est plus possible à cause de Microsoft ; c'est une décision politique de la part du fournisseur de l'OS. Les problèmes qu'on a avec les tablettes et les smartphones, c'est que Google sort toujours de nouvelles versions de l'OS, mais que pour des raisons techniques et/ou commerciales, la possibilité de mettre à jour dépend exclusivement de la bonne volonté du constructeur de l'appareil, constructeur qui sort 57 modèles par an, et qui ne voit pas l'intérêt de proposer des mises à jour (il faut une équipe qui teste les mises à jour, un service qui gère les bugs dûs aux mises à jour, et on risque même d'améliorer le fonctionnement des appareils avec le temps, ce qui dissuade d'acheter de nouveaux modèles). Bref, tout est totalement verrouillé grâce à la connivence et aux ententes plus ou moins forcées entre les acteurs du marché, et c'est hyper-malsain.
Il y a 10 ans, je n'aurais jamais pu imaginer qu'une partie substantielle de l'humanité utilise Linux au quotidien. Mais je n'aurais jamais pu imaginer non plus que ces Linux soient virtuellement intouchables et que les appareil partent à la poubelle avec le même OS binaire au bit près que lors de l'achat.
Si je pouvais mettre à jour mon Android comme n'importe quelle distribution Linux, qu'est-ce que je serais content! Mon smartphone est un gadget jetable, qui vivra toute sa vie avec le système avec lequel il est né.
Laisser l'employé choisir librement sa formation? Bien sûr, on peut faire comme ça. On va laisser l'employé choisir librement entre une formation interne et une formation externe qui coûte 3 fois plus cher. Je suis certain que les entreprises vont jouer le jeu, et vont bien insister pour que leurs employés choisissent librement.
Il n'est pas pété de thunes Linus? C'est sympa de refaire sa salle de bains tout seul, mais c'est quand même tentant de faire appel à un pro qui se pête les genoux à ta place, quand tu peux te le permettre…
[^] # Re: Il y a des projets de lois mais aussi des lois déjà passées
Posté par arnaudus . En réponse au journal Dark side of the law. Évalué à 3.
Je ne vois pas le rapport entre s'opposer à un projet de loi et voter une motion de censure. Tu peux être contre un amendement mais voter la loi quand même, ou contre une loi et soutenir le gouvernement. Si tu sors d'un groupe parlementaire au moindre désaccord, tu vas te retrouver tout seul au bout de 15 jours, et tu ne sers plus à rien.
[^] # Re: Hello
Posté par arnaudus . En réponse au message Solution Open-Source pour restriction de connexion Internet. Évalué à 8.
1) On va voir le chef avec un devis pour augmenter la bande passante.
2) Le chef: "ouh lala, ça coûte cher. Pourquoi a-t-on besoin d'autant de bande passante?"
3) L'admin: "en théorie, pour le boulot, ça n'est pas nécessaire. Mais on ne peut pas empêcher les gens de faire des trucs privés, et ça empêche les autres de bosser".
4) Le chef se jette sur son clavier et envoie un email contenant un rappel à la charte informatique que tout le monde a dû signer.
[^] # Re: Perdu
Posté par arnaudus . En réponse au journal Linux pas prêt pour le desktop ? Pas grave !. Évalué à 2.
Ça me parait peu probable. Évidemment, il faut télécharger l'application à la première utilisation pour la mettre en cache, ça peut être un peu long (mais pas plus que de télécharger un binaire à installer). Ensuite, il n'y a que les données qui transitent. Et alors là, je ne vois pas vraiment quel type d'application peut gérerer des flux de données assez importants pour mettre ta connexion à genoux (traitement d'image, de vidéos, ou de documents sonores peut-être? Et encore, il doit y avoir moyen d'utiliser des caches en local pour ne pas attendre la fin du transfert pour commencer à travailler, ou simplement d'héberger son répertoire de travail sur le serveur distant). Pour la très grande majorité des applications, les seules informations à envoyer proviennent des actions des utilisateurs (clics ou frappes clavier).
# Distribution != Noyau
Posté par arnaudus . En réponse au message Effacer un noyau précis. Évalué à 2.
Xubuntu 12.04, c'est la version de la distribution. Une distribution contient des centaines de logiciels : le navigateur internet, libre office, le bureau, etc. Parmi tous ces logiciels, il y a le noyau Linux. Quand on change de version de distruibution, on change de version pour tous les logiciels qu'elle contient. La plupart du temps, les versions les plus récentes vont écraser les versions anciennes, c'est complètement transparent. Mais pour quelques composants critiques, comme le noyau Linux, il est possible que la nouvelle version ne remplace pas l'ancienne : l'ancienne version est conservée au cas où la nouvelle fonctionne mal. Les versions du noyau s'accumulent donc au fil des mises à jour. En général, ça n'est pas grave, il n'y a pas vraiment de raison de retirer les anciennes.
[^] # Re: Atomic operations on data structures
Posté par arnaudus . En réponse au journal Microsoft s'en prend à Kyocera sur sept brevets Android. Évalué à 4.
En même temps, le coût d'un procès dépend de ce que tu veux y mettre. Même aux US, où la justice est quand même un peu bizarre, ce n'est pas toujours celui qui a les avocats les mieux payés qui gagne.
On peut aussi déplorer le manque de recherche académique sur l'histoire des idées en informatique. Il existe toujours tout un tas de documents informels, de discussions de forums, ou de blogs plus ou moins obscurs qui retracent l'invention de la souris ou de la programmation objet, mais pourquoi ne pas avoir des spécialistes universitaires qui travailleraient là-dessus, et sur qui la justice pourrait justement compter pour extraire la réalité historique de l'invention du blabla juridique entourant le brevet.
[^] # Re: Mise à jour du canari
Posté par arnaudus . En réponse au journal Les produits de Silent Circle sont-ils compromis ?. Évalué à 2.
Pardon, je reformule : il ne s'en rendra pas compte tout de suite.
Imagine : tu as une petite interface toute bien fichue, avec un champ pour copier-coller la partie variable (titres d'un site de news). Tu fais ton copier-coller, et hop, on lance un script qui compose le canary, le chiffre, et le publie. Franchement, ça ne m'étonnerait pas que le gars de la NSA, tout compétent qu'il est, manque le fait que le tout petit paragraphe manque sur le canary final. C'est quand même un gros pavé d'une centaine de lignes, et il ne semble pas intuitif a priori que le développeur du script ait pensé à ne pas inclure ce paragraphe "fixe" dans son pipeline. Le temps de s'en rendre compte, c'est trop tard. En plus, on peut toujours plaider la bonne foi, du style "comment voulez-vous que je fasse les choses correctement avec une arme pointée sur moi".
Ça peut marcher pour les projets libres qui ne sont pas pilotés par des intérêts financiers : si tu ne peux pas résister aux pressions des agences, tu coules le projet et tu montes un fork. Par contre, dans le monde du business, c'est un suicide.
L'autre problème, c'est que ça ne peut avoir un intérêt que si le logiciel fait quelque chose de simple, et qu'il n'y a pas de base de données d'utilisateurs. Il est évdent qu'un fournisseur d'accès à Internet ou un gros hébergeur va finir par recevoir des demandes légitimes des autorités ; Google, Apple, ou n'importe quel gros FAI ne pourrait pas tenir très longtemps avec un canary global (à moins évidemment que le seul but du canary est d'expliquer aux clients qu'ils ne doivent pas compter sur la sécurité absolue du système, une sorte de disclaimer: "attention, je refile de temps en temps des infos aux autorités").
[^] # Re: Mise à jour du canari
Posté par arnaudus . En réponse au journal Les produits de Silent Circle sont-ils compromis ?. Évalué à 5.
Oui, et que le principe du canary a un gros défaut : il est totalement intolérant aux erreur. Une simple erreur de mise à jour (oubli, blague, vandalisme d'un employé malheureux…) rend le logiciel douteux pour toujours, puisqu'elle est indiscernable d'un message volontaire. Je verrais bien le scénario suivant : le canary est conçu pour que la partie "variable" (avec les news) contienne également le paragraphe critique qui affirme que la boite est clean. Du coup, même avec un gars de la NSA qui pointe un flingue dans son dos, il est tout à fait possible de mettre à jour le canary sans le message, le type de la NSA ne s'en rendra probablement pas compte. Quand il réalisera son erreur, il sera trop tard. Et j'ai l'impression que c'est tout à fait ce qui a pu se passer.
Du coup, je me demande quand même si la technique du canary est très utile quand des entreprises sont impliquées. En gros, passer un message via le canary revient à couler la boite. Bien sûr, ne pas passer le message revient à abuser ses clients, mais quand il y va de la survie financière d'une entreprise, les bons sentiments sont rarement de la partie.
# VGA, pas caca, HDMI, pipi
Posté par arnaudus . En réponse au message TV connectée à Internet sous Linux.. Évalué à 2.
Sous ce titre hautement intellectuel, un partage d'expérience avec mon portable Dell : jamais aucun problème pour brancher l'ordi en VGA avec le driver nvidia proprio et Ubuntu (vidéoprojecteur, TV, n'importe quoi) : la résolution s'adapte automatiquement, la détection à chaud fonctionne parfaitement. En HDMI, grosse cata : écran noir instantané et hard reboot (!), je n'avais pas vu ça depuis que mon chat avait mangé ma souris (littéralement). J'ai du mal à comprendre comment un problème de driver peut faire rebooter la machine, mais apparemment, c'est possible. Inutile de le préciser, le même cable sous Windows fonctionne…
[^] # Re: Tout dépend
Posté par arnaudus . En réponse au message Distribution de templates d'environnements propriétaires dans un projet sous licence libre. Évalué à 2.
De toutes manières, la question se posait déja avant même l'idée de passer en libre : tu as un soft proprio qui inclut quelque chose (les templates) qui s'apparentent (?) à du code, en provenance d'un autre soft proprio dont la licence est inconnue. Si ce deuxième soft n'autorise pas la redistribution des templates, alors c'était déja un problème avant même de parler de licence GPL.
Entre nous, je trouve que le principe d'un logiciel libre dont le seul objectif est de fournir des fichiers lisibles par un logiciel propriétaire est un peu étrange. On a un workflow avec des briques de libre, mais le pipeline n'est pas libre, quoi qu'il en soit. Au final, j'aurais un peu l'impression de coder un plugin pour un logiciel proprio ; ça rend surtout service à l'éditeur du soft proprio en question (surtout si le type de fichier est couvert par des brevets au autres saloperies qui rendent son remplacement compliqué), mais certainement pas à l'utilisateur…
[^] # Re: rsync.net
Posté par arnaudus . En réponse au journal Les produits de Silent Circle sont-ils compromis ?. Évalué à 5.
Tu peux m'assurer ce que tu veux, je reste dubitatif. En gros, la NSA veut insérer une backdoor dans un logiciel. Elle fait pression sur les contributeurs US pour insérer la backdoor discrètement. Elle utilise ensuite la clause de la loi machin pour les empêcher de révéler qu'elle existe. Ils font ensuite en sorte de récupérer les clés secrètes des contributeurs US qui mettent à jour le canari, pour empêcher la divulgation de leur intervention. Et là, couic, ils ont besoin de récupérer la clé d'un contributeur qui habite en Europe. Tu crois vraiment qu'une agence gouvernementale d'un pays Européen va accepter d'aller menacer illégalement un de leur ressortissant (puisque la loi correspondante n'existe pas en Europe) pour faire appliquer quelque chose qui n'est pas couvert par la loi US (la mise à jour du canari) sans être mise dans la combine (l'accès à la backdoor)? La théorie du complot a des limites. J'imagine que la seule raison pour que ça puisse se faire est que l'agence Européenne ne comprenne pas vraiment pourquoi la NSA veut la clé, mais qu'elle la récupère en preuve de coopération.
Je pense surtout que si l'agence US veut passer inaperçu, elle va tout faire pour maitriser l'ensemble de la chose dès le début (c'est à dire qu'elle va attendre d'être sûre de pouvoir maintenir le canari à jour avant de jouer le moindre pion). Le plus simple me semble être de cibler la démarche : au lieu d'envoyer une lettre recommandée à toute la boîte, on cherche un maillon faible sur qui on peut faire pression, et qui va tout organiser dans le secret : refiler les infos à la NSA, ou modifier discrètement le code (passer une backdoor dans un commit quelconque), en faisant en sorte que personne d'autre ne s'en doute.
[^] # Re: rsync.net
Posté par arnaudus . En réponse au journal Les produits de Silent Circle sont-ils compromis ?. Évalué à 5.
Je ne sais pas exactement jusqu'où la justice américaine peut aller, mais si en effet on te force à refiler tes clés et à laisser les ingénieurs de la NSA accéder à tes serveurs, le canari peut très bien être mis à jour par les agences gouvernementales de toutes manières. J'imagine que personne ne pense que c'est une sécurité absolue. Par contre, ça peut quand même pousser les agences en question à la limite de leurs possibilités, typiquement si certains responsables du projet sont européens. Je ne pense pas que la NSA ait les moyens d'intervenir physiquement en Europe, par exemple.
[^] # Re: C'est super grave ?
Posté par arnaudus . En réponse au journal Utilisation de photo sans autorisation. Évalué à 9.
Mouais, faut pas abuser non plus. Ce n'est pas l'œouvre du siècle, mais toute photo originale a droit à la protection au titre de la propriété intelletcuelle. Le délit de contrefaçon semble constitutué, il est évident que c'est la même photo (même angle, même éclairage, même hauteur de la mer, etc), et la photo a été reprise sur un site à vocation commerciale. Le photographe a donc droit à des indemnités, il existe même un barême pour ça.
Ceci étant dit, les indemnités ne couvriraient jamais les frais de justice, c'est un délit mineur, et on peut très bien s'arrêter là. Il s'agit plus d'une incivilité qu'autre chose, un problème moral plus que légal. C'est équivalent à "mon voisin n'a pas taillé sa haie qui dépasse chez moi, j'ai dû lui dire, et il l'a taillée" : le préjudice est minime, et il n'y a pas de raison objective de poursuivre plus loin à moins de vouloir jouer au chevalier blanc (avec un risque réel de se faire bananer en justice, parce que la justice, au contraire de ce qu'on entend ici ou là, ça n'est pas qu'une chambre d'application des lois. En particulier, les juges ont horreur de perdre leur temps).
En ce qui concerne le comportement des professionnels en question, j'ai toujours eu la même réaction quand j'ai signalé des plagiats de passages que j'avais écrit sur Wikipédia. J'ai toujours envoyé des mails qui disaient que j'était content que Wikipédia soit réutilisée, mais que je demandais le respect de la licence, et pouf, tous les contenus disparaissent, et pas un mail d'excuses ou d'explications. C'est presque contre-productif, en fait.
[^] # Re: Sous Linux aussi
Posté par arnaudus . En réponse au journal H264 par Cisco dans Firefox (suite). Évalué à 2.
Il me semblait que ma question était claire : il existe des distributions Linux qui ne disposent que de paquets de sources, la compilation étant réalisée automatiquement sur la machine de l'utilisateur. Une telle distribution ne me semble pas affectée par les problèmes de licences sur le brevet, qui ne mentionnent que les binaires.
Je ne vois pas le rapport entre la compilation et le fait que le "journal" ne soit constituté que d'un copié-collé d'une licence logicielle. Beaucoup d'entre nous vivent dans une partie du monde où les brevets logiciels n'ont pas de base légale, il ne me semble pas délirant d'avoir un peu de contexte pour comprendre ce que l'auteur du journal trouve intéressant parmi 200 lignes de charabia juridique spécifique des législations nord-Américaines…
[^] # Re: Sous Linux aussi
Posté par arnaudus . En réponse au journal H264 par Cisco dans Firefox (suite). Évalué à 3.
Techniquement, c'est pas un journal, c'est le texte d'une licence. Je ne pense pas qu'on puisse considérer ça comme "lisible".
OK pour le binaire, mais comment ça marche si la distrib fournit les sources et que le plug-in est compilé sur la machine de l'utilisateur? Il me semble que ça ne viole pas la licence—évidemment, ça sous-entend que l'utilisateur final prend la responsabilité d'utiliser un binaire couvert par un brevet logiciel, mais en Europe, on s'en fout complètement, non?
[^] # Re: Sous Linux aussi
Posté par arnaudus . En réponse au journal H264 par Cisco dans Firefox (suite). Évalué à 4.
J'ai dû louper un épisode, parce que je ne comprends pas ce qui empêche la distrib d'empaqueter le binaire du plug-in sous licence BSD compilé par ses soins?
# Avocat du diable
Posté par arnaudus . En réponse à la dépêche Nouvel exemple de brevets logiciels comme freins à l'innovation et la recherche. Évalué à 5.
Bon, les brevets logiciels, cdla mrd et tout, on ne revient pas là-dessus. Ceci étant dit, l'argumentaire de StreamScale comporte au moins un point intéressant : ils prétendent que James Plank a été un consultant rémunéré par StreamScale, que dans le cadre de ce contrat, il a signé un certain nombre de clauses, et qu'en contrepartie, il a été mis au coutant de "secrets industriels", secrets qui ont été ensuite révélés dans des publications académiques. Bien entendu, il est impossible de juger en l'état si ces secrets existaient, s'ils ont bien été transmis de StreamScale à Plank et pas l'inverse, etc., mais on n'est pas variment dans le cas où un chercheur académique indépendent se trouve attaqué par une boite privée pour avoir réinventé un algorithme trivial protégé par brevet. Il semble que le chercheur n'était pas vraiment indépendent, mais qu'il avait des relations contractuelles avec cette entreprise, et que ce contrat prévoyait l'échange d'informations sur les algorithmes objets du litige.
# lecteurs
Posté par arnaudus . En réponse au journal Gameolith disparait dans un silence absolu !. Évalué à 6.
Ou alors des darons qui s'intéressent plus au kernel, à systemd, à la confidentialité des données, qu'à des jeux vidéos.
[^] # Re: Moins de liberté, pour plus de sécurité
Posté par arnaudus . En réponse à la dépêche systemd : l’init martyrisé, l’init bafoué, mais l’init libéré !. Évalué à 10.
Bah, en plus, l'argument de base est débile. Un truc écrit en bash serait "plus libre" qu'un truc écrit en C? Le gars est en train de dire que Linux serait beaucoup plus libre avec un kernel écrit dans un langage de script. On va vachement loin avec des raisonnements comme ça…
[^] # Re: guerre perdu d'avance
Posté par arnaudus . En réponse à la dépêche Quand la cybernétique hiberne l'éthique. Évalué à 2.
OK, bien sûr, il faut préciser les questions. La protection du grand public est impossible, pour deux raisons principales : 1) le grand public fait n'importe quoi, et même si on leur fournissait des systèmes bien foutus, les gens feraient quand même n'importe quoi, et 2) on a décidé, par ignorance, incompétence, paresse, ou cynisme, d'abdiquer politiquement face aux problèmes de sécurité et de protection des données personnelles. Il suffirait de quelques modifications claires du code de la consommation, et une pression politique suffisante pour les faire appliquer, pour évoluer dans un monde beaucoup plus sain : interdiction réelle de la vente liée (en particulier, rendre l'utilisateur réellement propriétaire de son matériel—usus, fructus, et abusus), assimilation des problèmes de sécurité à des vices cachés, etc.
Donc voila, pour le grand public, c'est râpé. Pour les services de l'État, par contre, ça n'est pas perdu. Bon, dans les faits, les finances publiques sont dans un tel état qu'on vit plus en mode URSS post-1991 que dans un État fort et souverain (utilisation de bécanes personnelles, Windows piratés ou obsolètes parce qu'on ne peut pas acheter les licences, site internet entretenu par le gars qui arrose les fleurs, etc), et on est vraiment à un niveau de sécurité proche de 0 pour la plupart des administrations. Mais j'ose espérer qu'il existe quelques services (renseignement, défense, police…) qui investissent encore sur la sécurité, et qui disposent d'un savoir-faire dans ce domaine permettant de se jouer des petits malins assez facilement—je ne parle pas de la NSA, ni même des vrais petits crackers compétents ; je parle des apprentis-pirates qui défendent une cause ou des services officieux Chinois ou Nord-Coréens.
[^] # Re: guerre perdu d'avance
Posté par arnaudus . En réponse à la dépêche Quand la cybernétique hiberne l'éthique. Évalué à 4.
Tu veux dire qu'un État démocratique et souverain n'aurait pas les moyens de mettre en place les moyens de lutter contre des groupuscules motivés? Il ne faut pas déconner non plus. On ne vit pas dans un film américain, où des ados boutonneux rentrent comme ils veulent dans les ordinateurs de la CIA.
D'ailleurs, les failles de sécurité, vers, virus, exploits, et autres "performances" de crackers qui sont régulièrement publiées viennent assez souvent d'agences gouvernementales. En ce qui concerne l'intrusion dans des systèmes, la récolte d'informations, et la destruction à distance des capacités de communication, je parie plus sur la NSA que sur Daesh :-)
[^] # Re: Linus multifonction
Posté par arnaudus . En réponse à la dépêche Sortie du noyau Linux 3.19. Évalué à 6.
Attends, 6 milliards de personnes, ça peut poser 6 milliards de petits carreaux. Même si on prend des petits carreaux de piscine ou de la mosaïque (1cm / 1cm), ça fait 600 000 mètres carrés de carrelage (un carré de 774m de côté, ou 387 picines olympiques.
Ça fait une belle salle de bains.
[^] # Re: Linus multifonction
Posté par arnaudus . En réponse à la dépêche Sortie du noyau Linux 3.19. Évalué à 10.
Oui, mais du coup, ça veut dire qu'acheter un smartphone sous Android, c'est pire que d'acheter un PC livré avec Windows : on paye pour l'OS qu'on ne veut pas, et on risque de rendre le matériel inutilisable à la moindre mauvaise manip.
* Quid de la garantie?
* Quid du support de l'opérateur téléphone (oui, parce qu'un téléphone sert aussi à téléphoner!)
* Quid des offres commerciales (style "on reprend votre ancien appareil pour une somme symbolique et on vous fait payer le nouveau à crédit")?
Le problème, c'est qu'il y a une différence entre accepter d'utiliser un OS semi-proprio comme Android (on peut par exemple utiliser l'Android par défaut, et ajouter des applications libres, ça peut sembler un compromis acceptable) et rester bloqué sans mises à jour pendant des années. Quand Microsoft arrête le support d'une ancienne version de Windows, la mise à jour n'est plus possible à cause de Microsoft ; c'est une décision politique de la part du fournisseur de l'OS. Les problèmes qu'on a avec les tablettes et les smartphones, c'est que Google sort toujours de nouvelles versions de l'OS, mais que pour des raisons techniques et/ou commerciales, la possibilité de mettre à jour dépend exclusivement de la bonne volonté du constructeur de l'appareil, constructeur qui sort 57 modèles par an, et qui ne voit pas l'intérêt de proposer des mises à jour (il faut une équipe qui teste les mises à jour, un service qui gère les bugs dûs aux mises à jour, et on risque même d'améliorer le fonctionnement des appareils avec le temps, ce qui dissuade d'acheter de nouveaux modèles). Bref, tout est totalement verrouillé grâce à la connivence et aux ententes plus ou moins forcées entre les acteurs du marché, et c'est hyper-malsain.
Il y a 10 ans, je n'aurais jamais pu imaginer qu'une partie substantielle de l'humanité utilise Linux au quotidien. Mais je n'aurais jamais pu imaginer non plus que ces Linux soient virtuellement intouchables et que les appareil partent à la poubelle avec le même OS binaire au bit près que lors de l'achat.
[^] # Re: Linus multifonction
Posté par arnaudus . En réponse à la dépêche Sortie du noyau Linux 3.19. Évalué à 10.
Si je pouvais mettre à jour mon Android comme n'importe quelle distribution Linux, qu'est-ce que je serais content! Mon smartphone est un gadget jetable, qui vivra toute sa vie avec le système avec lequel il est né.
[^] # Re: Oui mais
Posté par arnaudus . En réponse au journal Hold-up sur le financement des formations. Évalué à 10.
Laisser l'employé choisir librement sa formation? Bien sûr, on peut faire comme ça. On va laisser l'employé choisir librement entre une formation interne et une formation externe qui coûte 3 fois plus cher. Je suis certain que les entreprises vont jouer le jeu, et vont bien insister pour que leurs employés choisissent librement.
# Linus multifonction
Posté par arnaudus . En réponse à la dépêche Sortie du noyau Linux 3.19. Évalué à 5.
Il n'est pas pété de thunes Linus? C'est sympa de refaire sa salle de bains tout seul, mais c'est quand même tentant de faire appel à un pro qui se pête les genoux à ta place, quand tu peux te le permettre…