🚲 Tanguy Ortolo a écrit 12224 commentaires

Non, ce n'est pas neutre. Ils prennent les mêmes depuis 20 ans, or on a seulement 20% de femmes utilisé comme experte. Ne rien faire ne fera que faire perdurer ce chiffre.

Sans statistiques sur les experts potentiels, ça ne prouve rien du tout. Par exemple, si parmi les experts potentiels il y avait également 20% de femmes, la sélection actuelle comprenant 20% de femmes serait un très bon reflet de la réalité, et donc tout sauf une sélection excluant les femmes.

Ne rien faire ne fera que faire perdurer ce chiffre.

Sans autre précision, cette phrase ne donne pas grand chose, mais je pense qu'il faut la comprendre avec un jugement moral sous-entendu, soit pour expliciter : « Ne rien faire ne fera que faire perdurer ce chiffre, et ça, c'est mal. »

Soit. C'est peut-être mal. Mais comme je le précisais entre parenthèse, une discrimination n'est pas forcément mauvaise, et, pour aller plus loin, le fait qu'une situation soit perçue comme mauvaise n'en fait pas le résultat d'une discrimination.

Mais je pensais que la discrimination positive était accepté depuis longtemps. L'effet sur les noirs américains, par exemple, est plus que probant.

Relis mon commentaire : je ne porte pas de jugement moral sur la démarche proposée de sélection volontaire d'une moitié de femmes parmi les experts interrogés par les journalistes, je dis simplement que cette démarche constitue une discrimination.

L'idée n'est pas bête en tant que telle, mais je dois avouer que je suis un peu perplexe quant à l'usage d'un tel annuaire. À lire l'article qui le présente, cet annuaire est conçu pour permettre aux journalistes qui veulent interroger un expert, de choisir une fois sur deux une femme, pour faire moins sexiste.

Or justement, à mon sens, la façon actuelle de procéder, qui consiste sans doute à choisir le premier expert, homme ou femme, qu'on trouve, ou celui qui semple le plus pertinent ou le plus compétent sur le sujet auquel on s'intéresse, n'est justement pas sexiste mais neutre. Qu'on tombe ainsi sur plus d'hommes que de femmes est un fait, qu'on peut regretter, mais ça ne vient pas d'une démarche sexiste, à moins que le procédé de choix de l'expert inclue une étape d'élimination volontaire des femmes.

Et donc, la démarche proposée, qui consisterait à utiliser cet annuaire une fois sur deux pour choisir volontairement une femme, est au contraire explicitement sexiste, en fait c'est même presque la définition du sexisme, à savoir opérer une discrimination, c'est à dire un traitement distinct, basé sur le sexe des personnes.

(À noter que mes remarques s'entendent indépendamment d'un jugement moral, une discrimination basée sur le sexe pouvant être bonne, mauvaise ou ni bonne ni mauvaise selon les cas : la sélection d'un acteur pour un rôle masculin ou féminin étant un bel exemple de procédé dont le caractère volontairement sexiste est tout à fait assumé et largement accepté. D'autant que, dans le cas qui nous concerne, ça me semble plutôt une bonne chose, mais je ne peux pas laisser passer un truc aussi gros que de dire que ça vise à lutter contre le sexisme dans les modes d'opération des journalistes, alors que ça vise précisément à y introduire une démarche sexiste, conçue comme positive.)

Oui

 set fcc_clear = yes

Ça c'est pour stocker en clair les copies des messages qu'on envoie.

Sinon tu peux aussi les chiffrer avec ta clef

 encrypt-to your-keyid

Dans son .gnupg/gpg.conf, notez. Ce n'est pas un réglage de Mutt mais de GnuPG.

De ne pas prendre en charge la toile de confiance en somme ?

Arrêter de lire ses mails sur smartphone,

Non, seulement arrêter de les lire avec des logiciels qui ne prennent pas en charge OpenPGP. Ça n'existe donc pas, sur téléphone, des clients de messagerie qui le prennent en charge ?

et abandonner la synchronisation des contacts.

Non, ça c'est sans rapport. Pour la synchro des contacts, il y a un protocole standard, CardDAV je crois.

Absolument. La date d'expiration a été conçue comme quelque chose d'éditable, pour éviter d'utiliser des clefs perdues, pas pour s'attaquer au problème du vol.

Ce à quoi tu penses, c'est une date d'expiration impérative et non éditable : je ne crois pas que ça existe dans le format de clef publique OpenPGP.

Si on te vole ta clef, il faut être sur du bon usage du certificat de révocation, sinon quelqu'un peut se faire passer pour toi, un bon moment.

Pas un bon moment, éternellement. Avec la clef privée, on peut changer la date d'expiration…

L'expiration rapide des clefs ne résout pas du tout le problème du vol de clef, parce que le voleur disposant de la clef privée, peut l'utiliser pour mettre une nouvelle date d'expiration !

L'idéal serait d'avoir une carte à puce avec la clef dedans.

Ça existe, même si je ne vois pas le rapport avec la durée d'utilisation d'une clef donnée. Et ça ne simplifie pas du tout l'utilisation, ça la complique. Enfin, la configuration et les opérations de gestion en tout cas, parce que l'utilisation courante se résume à saisir un code PIN.

La génération d'une paire de clef pourrait se faire directement à l'installation.

Je n'ai pas vérifié récemment, mais il me semble qu'avec Enigmail, c'est justement le cas, sauf si l'utilisateur indique qu'il veut procéder autrement.

Tous les messages devraient être signé de base, et si on a une clef d'une personne : le mail devrait être directement crypté sans rien demandé de plus.

Je me demande si ce n'est pas justement le cas par défaut avec Enigmail, au moins pour la seconde partie de ta phrase.

Le WoT ont s'en fout un peu. Surtout si clef doivent vivre peu de temps, car la gestion de la révocation est complexe.

Traduction : la vraie sécurité on s'en fout un peu. C'est effectivement vrai pour la plupart des gens, mais ça risque d'être difficile de faire accepter un truc pareil aux développeurs de solutions de chiffrement, parce qu'eux s'y connaissent, justement, et auraient du mal à accepter de rendre facile une utilisation mal sécurisée de leur logiciel. Ceci dit, ça pourrait bien prendre la forme d'une option à l'installation : voulez-vous faire de la sécurité sérieuse, ou est-ce que vous vous en foutez ?

La clef publique (ou son fingerprint) peut aussi être attaché au mail signé, ainsi le plugin de la personne en face peut récupérer la clef toute seule.

Aucun intérêt, l'info est déjà dans la signature OpenPGP.

Mais les gens sont convaincus que ça leur est utile, et le ratio utilité/difficulté passe.

Hmm, les gens concernés, ce sont les enfants de 6 ans. Si je me souviens bien, à cet âge-là je me rendais certes compte qu'il était utile de savoir lire et écrire, mais étant un enfant, donc plus impulsif et moins raisonnable qu'aujourd'hui, aller à l'école ne m'amusait pas immédiatement, et si j'avais eu le choix, j'aurais bien séché la classe.

Tout ça pour dire qu'il y a des cas où il faut forcer les gens, en l'occurrence les enfants, à apprendre des trucs pas intuitifs. Ils peuvent comprendre que ça leur est utile, mais ça ne suffit pas à ce qu'ils le fassent volontairement. Cette dernière remarque s'applique également aux adultes, sauf qu'on ne peut pas trop forcer des adultes à aller prendre des cours…

Attention, ce n'est pas parce qu'une technologie n'est pas intuitive ou facile à assimiler qu'elle est mauvaise. Sinon, je vous signale qu'on ne serait pas ici à lire nos commentaires mutuels et à y répondre par écrit, parce qu'on se serait arrêtés à l'utilisation de livres d'image pour enfants, sans texte, parce que la lecture et l'écriture sont des technologies excellentes qui ne sont ni intuitives, ni faciles à apprendre.

Les explications ne sont pas franchement claires à mon avis, mais voilà ce que j'en ai compris. Il s'agit d'un service de fourniture de courrier électronique, avec un logiciel de messagerie dédié — natif pour iOS et Android, dans un navigateur Web pour les autres, ou sans doute avec n'importe quel logiciel de messagerie compatible pour les motivés — qui applique systématiquement un chiffrement OpenPGP pour les messages envoyés à d'autres utilisateurs du même service, et peut-être à d'autres destinataires connus pour avoir une clef PGP.

Concernant le chiffrement, c'est donc simplement de l'OpenPGP. Concernant la simplicité, c'est apparemment simplement OpenPGP sans validation de l'identité du destinataire : j'ai trouvé un clef avec l'adresse électronique de mon destinataire, je l'utilise sans poser de question. Concernant la sécurité, ce serait donc celle d'un chiffrement sans vérification : vulnérable au MiTM mais pas à l'écoute simple.

Certes, sauf que ça appellerait sl pour toutes les commandes inexistantes, or sl est à la base conçu pour sanctionner les faute de frappe. Par exemple, taper nc sur une machine ou netcat n'est pas installé, ce n'est pas une faute de frappe, contrairement à taper entcat par exemple.

À propos de sl, je trouve dommage que cet outil indispensable ne couvre qu'une erreur courante sur ls. Je me demande s'il serait possible de bricoler un truc pour appeler sl pour toutes les commandes inexistantes mais proches de commandes existantes, comme atp-get par exemple.

Il y a quelques années, on générait couramment des doubles paires de clefs DSA de 1024 bits — pour la certification net la signature — et ElGamal de 2048 bits — pour le chiffrement — à cause me semble-t-il de problèmes de brevets sur RSA. Depuis, cette pratique a été largement découragée, et comme les brevets RSA ont expiré en 2000, on recommande généralement d'utiliser des clefs RSA de 2048 bits ou plus, si possible 4096 bits, avec sous-clefs séparées par rôles.

Je suis donc surpris de lire que RSA ne fait pas partie des algorithmes obligatoires, et qu'il n'est pas envisagé de l'y ajouter.

Puisqu'on parle de filtres, quelqu'un pourrait-il expliciter ce dont on parle ? Parce que bon, dans le domaine du courrier électronique, un filtre, ça peut désigner plusieurs choses :

• des filtres spécifiques au MTA, par exemple un moyen de refuser tout le courrier qui provient de untel ;
• des filtres externes branchés par relais SMTP (MTA → filtre → re-MTA) ;
• des milters standard branchés par socket Unix ou réseau sans réinjection (MTA ↔ milter à un moment de la chaîne de traitement des messages), introduits par Sendmail ;
• des règles définies par les destinataires pour la livraison et le tri de leur courrier, que ce soit par un logiciel externe (procmail, fdm…) ou par un système interne au MDA, et avec un langage spécifique ou standard (sieve).

Arrêtons de nous croire mieux que les autres: la France, c'est un petit pays de merde, point. On a trop peu de connaissances exportables pour se prendre pour les Dieux de l'Europe ou même pour s'imaginer avoir une quelconque place de choix dans le monde.

Ah oui ? Puisqu'on parle d'informatique et de téléphonie, souvenons-nous où a été inventé l'ordinateur personnel et le Groupe Spécial Mobile, quand même.

Quel est le problème avec ce qui existe déjà, et qui peut être combiné ? Genre LZ4 puis AES ?

En francais, je cherche un algorithme de compression qui permet de faire:
[…]
Apres, pour avoir une bonne performance, au lieu d'encrypter[…]

En français, tu cherches un algorithme qui permette de faire… Après, pour avoir une bonne performance, au lieu de chiffrer…

Avertissement : je parle de choses que j'ai seulement entendues ou lues en espérant que cela pourra être utile à d'autres, n'étant personnellement pas du tout concerné par ces sujets.

Il me semble qu'il y a des logiciels pour téléphone portable qui demandent des permissions illégitimes, par exemple l'accès au répertoire téléphonique de l'utilisateur, et qui, si on les bloque a posteriori avec un outil comme Privacy Guard Manager, refusent de fonctionner pour forcer l'utilisateur à rétablir cet accès.

Et donc, il me semble que, pour répondre à ce problème, il existe au moins un logiciel qui permet non seulement de modifier les permissions des autres logiciels, mais également de les lancer en simulant de permissions, et en fournissant en réalité des données bidon. Si quelqu'un se souvient de quoi il s'agit, ça devrait pouvoir être utile aux utilisateurs de logiciels indélicats sur téléphone portable.

On le trouve dans les bombes de chantilly.

Et en cartouches pour les siphons qui servent à faire sa propre crème chantilly. L'intérêt du protoxyde d'azote est qu'il est soluble dans la crème. Par conséquent, en mettant dans le siphon de la crème et du protoxyde d'azote sous pression, puis en remuant un peu, on dissout une bonne quantité de gaz dans la crème. Ensuite, quand on laisse sortir la crème, en retournant à pression ambiante, le protoxyde d'azote ne peut plus être dissous en si grande quantité, et forme des bulles dans la crème, qui devient une chantilly !

Ça ne marcherait pas du tout avec du dioxyde de carbone par exemple.

Justement j'ai une question : c'est quoi les problèmes que ça va résoudre ? Dans PKI, le principal problème à l'origine de beaucoup d'autres c'est que c'est un système centralisé.

Pas tout à fait, ce n'est pas un système avec un centre mais avec plusieurs centres mal contrôlés.

Est-ce que tu n'a pas l'impression que DANE ne fait que déplacer la centralisation du système CA+navigateurs vers le DNS (racines+registrars) ?

C'est un façon de voir les choses, et effectivement la responsabilité est placée sur les registres, la fraude correspondant l'émission d'un faux certificat par une autorité reconnue ayant pour équivalent le transfert illégitime d'un nom de domaine par son registre.

Mais une autre façon de voir les choses est de reconnaître que, de toute façon, on se fie déjà aux registres du DNS. On passe alors d'un système basée sur la confiance en les registres des TLD et les autorités de certification X.509, à un système basé sur la confiance en les seuls registres de TLD.

Par ailleurs, DANE permet d'indiquer des contraintes sur les certificats ou sur les clefs qui peuvent, au choix de l'administrateur, se substituer ou s'ajouter à celles liées à la validation X.509.

Autre question : comment ça va se passer si je veux faire un certif sur une machine sans nom de domaine (juste avec l'IP) ?

Je ne pense pas que tu le puisse en effet.

La solution la plupart des problèmes des chaînes de certification X.509 actuellement utilisées pour TLS existe, c'est DANE. L'ennui, c'est que les fabricants de navigateurs Web n'en ont rien à foutre.

Et les raccourci du Jardin zen est sympa, mais franchement casse-gueule ! Je n'irais pas utiliser ça pour une course sérieuse…