Hello,

Comme je sais qu'il y a ici pas mal de gens qui bossent dans la sécurité informatique, j'ai une question : je suis tombé sur les CGU de Let's Encrypt (https://letsencrypt.org/documents/LE-SA-v1.7-June-04-2026-diff.pdf). Est-ce que cela veut dire que Let's Encrypt devient un pouvoir politique malgré lui, plutôt qu'un service universel ? Doit-on se poser la question de trouver une alternative à Let's Encrypt ?

Si je comprends bien, on a un problème de gouvernance problématique.

Pour qu'une autorité de certification soit reconnue, il faut qu'elle soit validée au sein des navigateurs par les organismes qui gèrent les "Root Stores" (magasins de certificats). Ces organismes se résument à un quatuor d'entreprises privées : Microsoft, Alphabet (Google), Apple et Mozilla.

Ces entreprises privées, ainsi que les autorités de certification, se coordonnent au sein du CABF (CA/Browser Forum). Le problème, ces acteurs dominants sont tous américains. L'organisme qui édite les certificats (Let's Encrypt) et ceux qui les valident (les navigateurs) sont donc juridiquement dépendants des lois américaines (comme les sanctions de l'OFAC). L'Internet mondial est donc une extension du droit américain. Si l'État américain décide de mettre sous embargo n'importe quel pays ou entité, toute cette chaîne doit s'y plier. Il y a donc un déséquilibre énorme des pouvoirs, centralisés sur un seul gouvernement.

Et nous avons un autre souci. Imaginons que demain, on crée un organisme supranational qui chapeaute au niveau mondial les certifications. Son but serait d'éviter qu'un pays puisse s'approprier une certification (comme un régime autoritaire créant un MiTM), avec pour seule mission la sauvegarde et la sécurité des utilisateurs du réseau, au-delà du droit d'un pays.

Dans les faits, cet organisme ne verrait jamais le jour. Car pour fonctionner, il lui faudrait l'accord technique des entreprises qui contrôlent les navigateurs pour inclure sa certification racine. Si ces entreprises américaines décident de ne pas l'inclure, il n'y a plus aucune possibilité d'avoir une alternative viable. Aujourd'hui, par l'entremise de ces entreprises technologiques, les États-Unis ont un droit de veto technique sur le monde entier.

#Infosec #CyberSecurite #MastoSec #LetsEncrypt #PKI #SouveraineteNumerique #GouvernanceInternet #Geopolitique #Decentralisation

aie aie aie, j'avance lentement sur https://www.pokedev.ch mais j'avance.
Vous souhaitez découvrir #ada ? https://www.pokedev.ch/cards/ada

Si des gens sont motivé.... https://tangled.org/moustik.tngl.sh/pokedev

#stack #django #typescript #TypeDB #svelte

J'ai fais une demande de fond, mais je ne sais même pas si cela sera réellement utile.

https://framapiaf.org/@sebsauvage/116577629742897132

Je vais prendre le message de @sebsauvage pour y intégrer une réflexion sur mes convictions.

---
uBlock Origin est un outil d'autodéfense pour le confort visuel et quelques règles invisibles, mais il entretient une dangereuse illusion de sécurité. Le problème de fond n'est plus les pop-ups ou les cookies, bien que je ne les minimise pas, attention. Mais la systémie d'un web agressif, capitaliste et ancrée dans la compétition et la captation du plus grand nombre. c'est un spot publicitaire géant...

Même avec uBO activé en mode strict et sans accepter aucun cookie, un serveur web peut extraire beaucoup de données pour cartographier un comportement par défaut et manipuler le contenu pour toujours plus de captation.

- L'empreinte et le contexte (Le plus connu... Fingerprinting & Réseau)
Il y a la provenance exacte : le Referrer HTTP (le site d'où l'on vient en somme) et l'historique des redirections intermédiaires invisibles.
La configuration matérielle (bien que partiellement blocable) : résolution d'écran, niveau de batterie, API Canvas/WebGL, polices installées, matériel audio.
Et bien sûr le contexte : adresse IP, fournisseur d'accès, géolocalisation déduite et type de connexion.

- La biométrie comportementale (le plus chiant)
On trouve le suivi oculaire et moteur : les mouvements précis de la souris, les clics et les zones survolées (heatmaps).
L'engagement : le temps passé actif sur la page, la vitesse et la profondeur de défilement (scroll).
Le Keylogging natif : le rythme de frappe et le texte saisi dans un formulaire, avant même de cliquer sur "Envoyer".

-Et plein d'autres choses encore, jusqu'au micro et nom du réseau wifi... bref...

Le meilleur moyen d'en prendre conscience n'est pas d'en faire la liste, mais de le démontrer.
Faites le test sur des outils comme Cover Your Tracks (EFF) ou avec un bout de code JS en local pour les plus téméraires... : la quantité de données silencieusement siphonnées vers le serveur first-party (puis redistribuées) est effrayante.
Pas mal de pages web en font la démonstration, mais est-ce suffisant à l'échelle du monde ? Cela pose également un autre problème. Les connaissances techniques deviennent un gap très important à la protection et la conscientisation face à un web prédateur. Nous ne sommes pas tous égaux devant la pratique et c'est un problème fondamental.

C'est en gros, la limite de la solution technique.
On ne peut pas corriger techniquement un modèle économique prédateur, agressif, qui voit l'internaute comme une manne financière, ou une captation de l'internaute comme valeurs. uBO nous oblige à colmater indéfiniment et imparfaitement les fuites d'un système cassé. C'est donc insuffisant.
La seule réponse durable n'est pas dans le navigateur ou dans le comportement de l'internaute, car cela induit un différentiel de traitement injuste, elle est dans le droit :
L'Intégrité Numérique à l'échelle européenne.

C'est un concept juridique fondamental (déjà effectif dans certaines constitutions cantonales comme à Genève et ailleurs en Suisse) qui doit devenir le standard européen.
Cela englobe le droit à la non-manipulation, soit l'interdiction stricte de capter des données comportementales pour influencer les choix.
La souveraineté sur son identité, c'est-à-dire le contrôle absolu de ce qu'une machine peut savoir de nous, sans avoir à lutter contre des dark patterns ou des pratiques sous-marines.
Le droit à la sécurité par défaut, pour un web où l'infrastructure n'est pas conçue pour l'extraction asymétrique des données (le fameux security/safety by design).
Et enfin, le droit à une vie hors ligne : sans pénalité sociale, administrative et même économique.

En résumé : uBlock Origin sert à réparer l'interface, l'intégrité numérique sert à réparer le système.

Il faut reprendre Rousseau et le Contrat Social, pour le transposer stricto sensu au numérique. Une extension de l'identité.
Petite référence personnelle: https://www.slatkine.com/fr/editions-slatkine/74977-book-07211052-9782832110522.html

Maintenant, nous devons repenser à l'espace public, au commun et à la constitution. Pourquoi le concept même du droit de circuler sur le web n'est-il pas le même que celui de l'espace public ?
Pourquoi le web est devenu un centre commercial ? Pourquoi autant d'Enclosure sur un protocole http/smtp etc... ? Pourquoi les trottoirs du web sont emplis de capteurs pour satisfaire le capitalisme de surveillance ?

Il s'agit donc de déclarer que certaines extensions de notre identité humaine (notre biométrie comportementale, notre attention) sont inaliénables et ne peuvent faire l'objet d'aucune transaction commerciale comme une interprétation de l'intégrité physique, morale à une autre échelle. Une transposition de droit. voilà ce que je pense de notre monde. Il nous faut l'intégrité numérique.

#IntegriteNumerique
#uBlockOrigin
#ViePrivée
#Privacy
#CapitalismeDeSurveillance
#DroitsNumériques
#Enclosures
#WebDecentralise

Merci sebsauvage pour l'opportunité ;)

a tresor... https://matklad.github.io/links.html

#softwareengineering

https://mastodon.social/@h4ckernews/116556568722213579

https://www.seangoedecke.com/software-engineering-may-no-longer-be-a-lifetime-career/

My fuc..... response.

Firstly, comparing the arduousness of manual labor to that of intellectual work makes no sense. I can understand the overlap in principle, but not in consequence. For a start, the secondary sector is much more Taylorized (Fordized if you want), then the living conditions are much lower. And finally, the activity is much more arduous for the body and the mind than in the tertiary or quaternary sector (software eng.).

Talking about the loss of theoretical and practical knowledge regarding the use of AI or not is also something I would nuance. Yes, he or she who no longer codes loses in skills, but not so much in knowledge. Reflexes change, review management changes. The coordination of a project changes. But to go from there to saying that the person who no longer codes loses in knowledge is a shortcut which, in addition to being limiting, is fallacious. The engineer who no longer codes has issues with reflexes. In no case issues with understanding the code. And that is where I would put a nuance. The eng. always knows where to look for information, build their project, structure it.

From a practical point of view, they will write fewer lines, but in exchange, they will allow for better planning. They will certainly be less up to date on the use of a function, but they will be able to explain how the function must be encapsulated, and everything relating to micro-services or monoliths. In no way should AI make a decision. If you let it do so, you lose everything and gain an incommensurable technical debt.
Defend yourselves !!!! Explain to the paper-pushers that their AI is not going to succeed in explaining why such a technology is better for their project. The engineer or the architect will take everything into account, from OOP to the ultimate spec lost in the very depths of the JAVA doc regarding the Floating-Point Remainder Operator and why it is important. Calculate the cost of a bad operator choice in 5 years and tell your paper-pusher: "Do you still want the AI to manage your project in OCaml?"

AI is useful, I am not saying the contrary, but there is clearly a fundamental difference between a tool that makes decisions that have consequences and a secondary sector worker who uses an excavator instead of a shovel... (in both cases, he works in the cold, his pay is the same, but he kills his back less). He remains the master of his actions... Whereas the AI... there is a fabulation of domination and power and a dramatic misunderstanding. Who is responsible for the choice? The AI will never substitute itself for the responsible person (it's not me Madam Judge, it's gpt 8 that didn't pay attention that passwords must be hashed in Argon2 and not in SHA-1... it was in its .md though...)

So no, software engineers and architects will not be replaced, unless the statistical paper-pushers who calculate in lines of code spawned per hour assume the service interruptions, the maintenance and production release costs.

Today, everyone swears only by Claude Code and other "magical" crayfish supposed to do "everything" in our place. The result? They generate with pleasure all the bullshit that maintainers are desperately trying to protect themselves from: obese and incomprehensible PRs, impossible to reproduce bug reports, and feature additions that outright break the API because the tool mixes up terminologies without understanding the business domain of the project. I've seen AI proposals that didn't even respect the Single Responsibility Principle (SRP)... the basics!
So yes, this machine swallows docs by the kilometer. It spits out text with an incredible and fascinating aplomb (like the sexist boss who wants to make believe he knows your job). But it is plausible, never exact. And that is the whole difference with an eng.: instead of coding blindly, the human analyzes the system, the dependencies, the architecture, the production structure... the specificities... then finally decides, and makes the architectural decision, before delegating to the AI the drafting of the Slack message to explain to the team why we are not going to import such a bloated library just for the three features we need.

Pisses me off in the end :D

#HackerNews
#softwareengineering
#careerchange
#techindustry
#futureofwork
#softwareengineering
#Tech
#AIHype
#Architecture
#DevLife