Toujours sur la question des IA, on me signale cet excellent article. Il est question de comment, au nom de l'IA, on a en fait engagé énormément de travailleurs/travailleuses précaires, pour des salaires de merde, pour faire des trucs pas intelligents du tout.

Uncurieux a écrit :



C'est aussi en partie le sujet du très bon livre En attendant les robots. Enquête sur le travail du clic d'Antonio Casilli (site du Seuil — présentation en cinq minutes par l'auteur).

___

Kandjar.

Uncurieux a écrit :



Un mot de passe arbitraire, non. Mais on a quand même des trucs comme ce site qui ont des index de hash.
On est d'accord que si mon mot de passe n'est pas "password123", j'ai peu de chances de le voir se faire "unhasher" par ce site. Mais... On sait jamais.

Il y a deux ans(?), quelqu'un sur un serveur discord où je suis avait créé une énigme avec plusieurs étapes. Pour éviter qu'à chaque étape les gens divergent complètement, il avait fourni un hash MD5 de la réponse de chaque étape, pour que les gens puissent partir sur l'étape suivante en étant sûr de leur réponse.
Si je me souviens bien, il y avait 5 étapes, et 2 des hashs étaient réversibles par un site du genre. Je dis pas que c'est statistiquement significatif, évidemment, c'est une anecdote pour illustration.

Mon point étant surtout d'illustrer que la sécurité du mot de passe dans la base de données dépend de plein de paramètres sur lesquels un utilisateur n'a souvent aucune vision et surtout aucun contrôle, et qu'il est préférable de faire des efforts de son côté plutôt que de se reposer sur une confiance aveugle dans le service qu'on utilise.

Une autre anecdote là-dessus.
Dans la boîte où je travaille, on log tout ce qu'on nous envoie. Si une personne demande un changement de mot de passe, il nous envoie le nouveau mot de passe. Qui est logué. En clair.
Derrière, le mot de passe est hashé dans la base de données. Mais si quelqu'un avait eu accès à notre espace de stockage de logs et qu'il avait su où chercher, il aurait pu trouver des mots de passe en clair.

Il y avait une erreur dans la chaîne, qui rendait complètement inutile toutes les autres protections.

Combien d'applications ont ce genre d'erreurs ou auront ce genre d'erreurs un jour? Qui sait .


Conclusion: Non c'est pas inutile de suivre les bonnes pratiques de création de MDP

Lem a écrit :

> Un mot de passe arbitraire, non. Mais on a quand même des trucs comme ce
> site qui ont des index de hash.
> On est d'accord que si mon mot de passe n'est pas "password123", j'ai peu de chances
> de le voir se faire "unhasher" par ce site. Mais... On sait jamais.

Ce n'est surtout pas lié du tout à la qualité de la fonction de hachage. Tu peux construire une base de donnée équivalente pour n'importe quelle fonction de hachage, et donc ce n'est pas un bon argument pour hurler au feu si quelqu'un utilise md5.

(cela dit je suis d'accord avec les recommandations qui disent qu'il vaut mieux éviter, mais je voulais juste clarifier et pinailler)

Rêves a écrit :

> C'est aussi en partie le sujet du très bon livre En attendant les robots. Enquête sur le travail du clic d'Antonio Casilli (site
> du Seuil — présentation en cinq minutes par l'auteur).

Merci pour la ref et l'interview (j'ai mis le temps à répondre, désolé) ! Oui, on parle bien de la même chose. Ce sont des thématiques que je pense renforcer dans les futures présentations que je ferai sur le thème des IA, donc la ref est d'autant plus précieuse

-----------------------

Dans l'actualité, c'est l'arrivée d'Elon Musk à la tête de Twitter qui agite un peu les réseaux. Cette arrivée s'accompagne d'un licenciement assez important : l'équipe "éthique, transparence et reddition de comptes" (qui a pointé récemment que les algorithmes de twitter sélectionnent les tweets de droite), l'équipe "droits humains", l'équipe "accessibilité" et l'équipe de "modération de contenus" sont limogées. Il y a des rumeurs assez folles sur les critères retenus pour choisir qui virer genre le nombre de lignes de codes produites sur les derniers mois.

Le tout dans un contexte où Musk s'est plaint d'une baisse importante du sponsoring (donc de la viabilité de la plate-forme) à cause — selon lui — d'activistes qui militeraient auprès de groupes achetant de la publicité sur twitter. Le tweet a rapidement été accompagné, aux US, du nouveau bandeau de fact checking produit par les utilisateurs/utilisatrices, celles/ceux-ci pointant des déclarations officielles de ces entreprises qui parlaient de réserves à cause de la nouvelle politique de modération. En effet, Musk a annoncé un réseau avec une liberté d'expression renforcée, or si ces annonces plaisent à certains utilisateurs (masculin intentionnel), c'est beaucoup moins le cas pour les sponsors qui veulent pas être associés aux discours racistes dont Musk sous-entendait qu'ils seraient tolérés. D'où ce genre de messages assez discret mais qui annonce le contraire : "twitter cannot become a free-for-all hellscape".

J'en profite aussi pour citer un chouette article de prospective sur ce que devient Twitter sous Musk (et réciproquement) publié dans The Verge : Welcome to hell, Elon, je le recommande.

Edit : Article de mediapart sur le sujet, et du new-york times

Article anecdotique

Un bourgeois crame une œuvre de Frida Kahlo[ref nécessaire] pour ensuite vendre 10000 NFT de cette œuvre. Il en vend 4, et il a les autorités du Mexique sur le dos pour destruction de patrimoine artistique.

Le calendrier de l'avent du code 2022 a commencé

Il s'agit d'une série de questions (deux par jour) de difficulté croissante, qui nécessitent souvent de lire automatiquement un fichier texte puis de calculer des données dessus.

C'est souvent utilisé par des gens pour découvrir un nouveau langage, parce que ça fait un bon prétexte pour apprendre.

Je ne sais pas si ça mériterait un topic entier, mais s'il y a des gens qui veulent essayent et cherchent des conseils, je peux guider pour le langage Python

L'actualité du monde vidéoludique, c'est la sortie d'un jeu dans l'univers d'Harry Potter. Le jeu a été massivement marketé et publicisé à sa sortie, et il a eu un des plus gros succès dès sa sortie.

Bien entendu, le jeu a un contexte, qui est que l'autrice responsable de la franchise HP utilise aujourd'hui sa réussite culturelle et financière pour pourrir la vie des personnes trans autant qu'elle le peut (être soutenue par des groupes d'extrème droite au nom du "féminisme", faut le dire vraiment très vite pour pas vriller). Beaucoup de communautés LGBTQ autour du monde ont donc souligné leur déplaisir à l'idée de voir le jeu soutenu quand ils savent quelles conséquences cela aura sur leurs vies (pour situer, JK Rowling a par exemple créé un centre spécifique dédié aux femmes victimes de violences dont elle exclut explicitement les femmes trans, elle s'est également publiquement opposée à une loi qui permettrait aux Écossais.e.s de faire reconnaitre plus facilement leur genre à l'état-civil…). Bref : si vous avez 60 euros à perdre, je vous recommande d'acheter un autre jeu moins cher et de filer la différence à votre asso LGBT préférée (et joignant le geste à la parole et par pur virtue signaling, je viens de leur faire un versement).

Bref : comme beaucoup des jeux solo qui sortent, il y a une protection anti-piratage. Pour faire simple, à l'époque où les machines n'étaient pas sur internet, les gens pouvaient pirater les jeux et se les filer sous le manteau sans qu'il soit vraiment possible de faire quoi que ce soit contre (les techniques anti-piratages de l'époque consistaient par exemple à demander le k-ème mot de la p-ème page du manuel, obligeant à avoir le manuel disponible, ce qui est plus pénible à photocopier que le logiciel lui-même. Il y a eu aussi beaucoup de systèmes protégés par un code d'activation écrit sur la boite, mais il était impossible d'empêcher un code de servir plusieurs fois. Avec l'arrivée d'internet, c'est beaucoup plus simple, vu que vous pouvez surveiller les gens qui jouent au fur et à mesure. Si votre voisin utilise votre code d'activation, vous ne pourrez pas tous les deux accéder au jeu multijoueur sur le serveur central. Il y a eu aussi des techniques pour rendre les supports difficiles à copier (genre des CD-Rom qui avaient plusieurs pistes, ou ultimement, des logiciels qui nécessitent un périphérique branché sur un port de la machine pour fonctionner).

De nos jours, une grosse boite qui fabrique ces protections s'appelle Denuvo. Le principe est le suivant : à l'installation du jeu, une signature de la machine (dépendant du matériel utilisé, donc) est fabriquée, et envoyée sur internet, et on reçoit en réponse un patch pour le programme, qui lui permet de fonctionner uniquement sur cette machine. Ainsi, impossible de le copier, sauf si on arrive à générer le patch. Et il se trouve que la compétition entre Denuvo et les équipes de hackers tourne depuis au moins 2014. Avec des hauts et des bas, mais il faut retenir que l'important se joue à la sortie du jeu (dans les 30 premiers jours) parce que c'est à ce moment que le gros des ventes a lieu.

Dans le cas HP, le crack est sorti au bout de 9 jours seulement, publié par une hackeuse Russe qui se fait appeler Empress. Et chose un peu paradoxale, Empress accompagne ses cracks de fichiers contenant ses idées politiques, qui sont assez moisies. Ainsi, tout en piratant le jeu, Empress a publié un message transphobe de soutien à JK Rowling pour ses idées transphobes.

Source : Ce thread

Uncurieux a écrit :



Merci pour la petite histoire. Je ne savais pas qu'Empress était le pseudo d'une russe de 22 ans. Je m'imaginais un groupe de plus d'une personne derrière ces cracks et pas qu'une jeune femme seule à pirater ce Denuvo. Si tu en as d'autres comme ça, ça serait cool de partager. C'est toujours intéressant d'en savoir plus.

Owi a écrit :

> Merci pour la petite histoire.

De rien. Je viens de tomber sur une autre ici, qui est amusante aussi.

Et qui permet d'illustrer un truc : dans le milieu informatique, on parle de codes correcteurs d'erreurs pour des codages de l'information qui utilisent des formes de redondance pour détecter des erreurs. Un exemple un peu basique de ça, ce serait de dire qu'au lieu d'écrire "1011", on écrit "111 000 111 111" (c'est à dire on triple chaque bit). S'il y a une erreur quelque part, il suffit de prendre la valeur majoritaire dans chaque paquet de trois et hop ("111 000 110 111" => "111 000 111 111"). Et on sait faire heureusement des choses plus efficaces que ça pour détecter ou corriger des erreurs.

Ces codages peuvent être activés au niveau des programmes ou directement dans les périphériques (il y a des codes correcteurs très efficaces dans les lecteurs de disques optiques, typiquement, qui peuvent rattraper théoriquement un cm de données effacées sur une piste). Et donc par exemple les barrettes de RAM peuvent avoir ou non des codes correcteurs directement. Si c'est le cas, la RAM perd un peu en performances et devient plus chère, mais détecte et corrige des éventuelles erreurs à la volée. Sauf que... le marché du composant suit beaucoup les tendances des milieux où on achète des gros ordis, et dans un jeu vidéo, savoir qu'un bit flippe au milieu, c'est généralement pas du tout important, donc on s'en fout (l'effet le plus probable, c'est une texture qui s'affiche moins bien ou un truc du genre). Donc avoir de la RAM ECC coûte cher (il faut compter ×3 sur le prix au moins, sans parler du fait qu'il faut parfois (c'était le cas à un moment mais j'ai plus assemblé de machine depuis 10 ans alors je sais pas trop si c'est encore d'actualité) une carte mère spécifique…

Bref : quasi personne n'utilise de RAM ECC et des fois vous pouvez avoir des bugs peu reproductibles à cause d'un bit qui flippe quelque part dans votre mémoire