Bonjour, Choisiy-le-Roi ! Deuxième journée de #PSES2018 ! Des lapins, de l'Internet, de la liberté, du numérique, de la bière, de la société, du pain ! https://www.passageenseine.fr/

Et on commence avec m4dz sur le "privacy by design". Je suis au premier rang, sur le canapé. #RGPD #donnéesPersonnelles #PSES2018

« Avec son smartphone, on a l'impression d'avoir de super-pouvoirs, mais les éditeurs des apps savent bien qu'on est des gamins attardés. » #PSES2018

« Cybercommerçant, vous utilisez un PrestaShop avec le template de base, vous captez des données personnelles dont vous n'avez pas besoin (date de naissance, dans le formulaire par défaut) » et vous violez le #RGPD sans en être conscient. #PSES2018

Places aux PETs (Privacy-Enhancing Technologies). Chiffrement, gestion des permissions, vérification légale intégrée au code, etc.

Déjà, dès la conception du projet, pensez vie privée, ne demandez pas trop de permissions, réfléchissez « en ai-je vraiment besoin ? »

#PSES2018

Un bon exemple, le site patronal FemmesNumérique ,https://femmes-numerique.fr/ bien fait question vie privée (on peut personnaliser les permissions, ce n'est pas uniquement "tout accepter"). #PSES2018

« Voici un exemple. Désolé pour le JS, je suis un fronteux. » #PSES2018

« Personne ne vous demande d'être cryptographe, mais il y a des tas de bibliothèques bien faites, aucune excuse pour ne pas chiffrer les données. » #PSES2018

« Votre application doit fonctionner aussi bien quand l'utilisateur a refusé toutes les permissions de collecte. » @m4dz tue le game de la France Tèche : avec des conseils comme ça, comment pourra-t-on faire aussi pire que les GAFA ? #PSES2018

« C'est aimable, vous pouvez faire ce que vous voulez. » Ah, non, en fait, je crois qu'il disait que le truc était thémable. #PSES2018

Webmestres qui voulez des stats, utilisez #Matomo (ex-Piwick). #PSES2018 #RGPD

Et ne faites pas comme la banque de @m4dz qui flique ses clients avec Google Analytics. #RGPD #PSES2018

Autre bon dark pattern : quand l'utilisateur demande ses données, lui envoyer un tas de fichiers texte pas structurés. #RGPD #PSES2018

Rappel sur l'anonymisation : la plupart du temps, ça ne marche pas. On arrive très souvent à retrouver les gens. Utiliser des techniques comme "differential privacy", qui introduit du bruit dans les données. #PSES2018

Les traces que laissent les utilisateurs, vues par l'admin système, par Nanar de Nardon à #PSES2018

Utiles pour résoudre les problèmes techniques, ou pour répondre aux amis du petit déjeuner.

Les équipements Wifi qui envoient une "trap" SNMP à chaque désassocation/association (et l'admin a snmptrapd qui tourne sur sa machine...) #PSES2018 #àLaTrace

Sur la sécurité et la vie privée avec DHCP, ne pas manquer le RFC 8386 https://www.rfc-editor.org/info/rfc8386 #PSES2018

Et une solution pour DHCP, le RFC 7844 http://www.bortzmeyer.org/7844.html #viePrivée #DHCP #PSES2018

Beaux exemples de traces liées au trafic #DNS (l'utilisateur qui regarde "un-jeu-réaliste-pour-les-hommes.DOMAINE"...) #PSES2018 #teamRFC7626

Excellent exposé, très concret, avec plein d'exemples, sur toutes les traces qu'on laisse en se connectant au réseau. (Dans les logs du proxy, Xhamster…) #PSES2018

« Le monde se divise en deux : ceux qui ont l'UID 0 et ceux qui contactent le support. Toi, tu contactes le support. » #PSES2018 #Audiard #Unix

« Et s'il utilise Tor ? »

« Alors, la seule trace sera qu'il utilise Tor. C'est déjà important. »

#PSES2018

« Au CNRS, des tas d'unités utilisent des mauvais certificats (car c'est trop galère d'avoir des "bons"), donc il y a toujours des avertissements, donc les utilisateurs sont entrainés à cliquer OK, donc HTTPS ne protège plus. » #PSES2018

Discussion sur la stratégie de la crèpe, pour contrer Google. #PSES2018

Maintenant, l'avenir de Next Inpact, par David Legrand. Faut-il avoir une presse libre ?

#PSES2018

Next Inpact a quinze ans (mais ça s'appelait PC Inpact avant et d'autres noms avant). #presseLibre #PSES2018

J'ai oublié l'uèrèleu : https://www.nextinpact.com/ (Il avait été proposé de faire un PSES entièrement consacré à Next Inpact, mais ça a été refusé) #PSES2018

« Il y a 20 ans, les sites Web étaient jaunes avec des liens bleus. » Ping @Natouille #WebSiteFromHell #PSES2018

« Mais, globalement, le Web s'est amélioré depuis. » On voit qu'il n'a pas vu mon blog. #PSES2018

Il y a longtemps, bien longtemps, dans un Web très lointain, Next Inpact était un site de hardware, « on testait des cartes-mères »... #PSES2018

« Fausses nouvelles et putaclic partout, information nulle part. » L'évolution de la presse technique #cÉtaitMieuxAvant #PSES2018

Ah, il ne faut pas dire putaclic, il faut dire « nouvelle engageante ». #PSES2018

Question de fond : l'information doit-elle être gratuite ? Si le lecteur ne paie pas, qui ? #modèleÉconomique #PSES2018

L'orateur cite "Nabila" comme exemple de sujet intéressant. C'est quoi, "Nabila" ? Une distribution Linux ? #PSES2018

« Le lecteur n'a pas toujours raison, mais il faut toujours l'écouter. » Tiens, c'est pareil avec les utilisateurs, quand on est développeur ou sysadmin. #PSES2018

Modèle économique actuel de Next Inpact : le paywall (comme Mediapart, Arrêt sur Images ou le Monde). #PSES2018

Un média comme Next Inpact coûte environ 700 000 € / an. Il ne suffit pas de louer un serveur chez OVH pour faire un site intéressant. #PSES2018

« S'il y a peu de journalistes à @PasSageEnSeine c'est aussi pour des raisons de coûts : les déplacements coûtent. »

Mouais, enfin, ils vont tous au CES à Las Vegas, qui est quand même plus cher que Choisy-le-Roi.

#PSES2018

Dernier projet « La Presse Libre » https://beta.lapresselibre.fr/ un moyen de s'abonner d'un coup à divers médias.

La presse qui prend son avenir en main, au lieu de dépendre des GAFA.

#PSES2018

Maintenant, @Shaft sur scène, sous les applaudissements nourris d'une foule en délire, enthousiaste malgré la chaleur équatoriale qui règne ici.

#pandaRouxForcémentRoux #PSES2018

Première installation, démarrage de #Firefox, il propose par défaut YouTube, Amazon, Facebook... (Et c'est pas juste un affichage, il envoie des requêtes #DNS, prévenant ainsi tout le monde.) #viePrivée #Mozilla #PSES2018

La page des extensions de #Firefox utilise Google Analytics... « Ça ferait trop de travail de s'auto-héberger un Matomo. » #PSES2018

Et #Firefox teste un module #DNS DNS-over-HTTPS qui envoie toutes les requêtes DNS à #Cloudflare. #PSES2018

Bref, #Firefox est loin de la "privacy by default". La config devrait être sécurisée par défaut, au lieu de demander à M. Michu de débrayer ces trucs. #PSES2018

#Firefox sur Android est encore pire, avec quatre mouchards (dont seulement deux sont avoués par Mozilla, dont un avec données identifiant un individu). La vie privée, il y a le discours, et il y a la pratique. #PSES2018

Mozilla est une grosse usine : 1000 employés, 520 M$ de CA. C'est pas quatre gusses dans un garage.
La grande majorité des revenus vient de Google, payant pour que son moteur soit par défaut dans la liste des moteurs de recherche.
#PSES2018

Suzanne Vergnolle et Benoit Piédallu vont nous parler des détails pratiques du #RGPD, je crois.

#viePrivée #PSES2018

« Tout le monde me parle du #RGPD, dit des choses différentes. Tiens, je vais le lire, mais pas tout seul, des gens divers vont apporter des éclairages différents. » (novembre 2017) #GDPRbookClub « Vous pouvez lire la loi » #PSES2018

« Il fallait un lieu neutre, on a pris un bar. » #hips #RGPD #PSES2018

Première discussion sur le texte du #RGPD « c'est quoi, une personne physique ? » « C'est fait de chair et de sang. » Mais le RGPD protège-t-il les morts ? (Réponse : non)

Rappel : la pseudonymisation n'empêche pas les données d'être personnelles.

#PSES2018

19h19 : on a défini les termes. On va passer à la politique : dans quel cas peut-on faire des traitements de données personnelles ? #licéité #RGPD #PSES2018 #consentement

Le consentement n'est pas nécessaire au traitement de données personnelles. Tu es renversé par une voiture, on cherche ton groupe sanguin sans demander de permission. Et on ne peut pas s'opposer au traitement de ses données par les impôts. #RGPD #PSES2018

Plus l'excuse fourre-tout du #RGPD : « intérêt légitime », qui sert à tout et n'importe quoi (justifier un mouchard sur la page Web d'un média car la survie de la presse via la pub relève de l'intérêt légitime). #PSES2018

Parmi les points les plus oubliés du #RGPD : il faut *minimiser* les données. Arrêtez de collecter plein de données à tout hasard, sans même savoir pourquoi !
#PSES2018

« Les données sont le pétrole du XXIe siècle »

Oui, elles polluent et sont dangereuses.

#PSES2018

À chaque séance du club de lecture, une discussion sur l'actualité. Souvent une fuite de données (Equifax). #PSES2018

La conférence de Suzanne Vergnolle & Benoît Piédallu devrait être obligatoire pour tout citoyen·ne dont les données personnelles sont traitées (c'est-à-dire tout le monde). Très clair et très important. #RGPD #PSES2018

Prochain (et dernier) #GDPRbookClub le 2 juillet au Carpe DIem café à Paris. Viendez. #RGPD #PSES2018

La juriste qui dit « ce n'est pas si désagréable que ça de lire la loi »

Bientôt un Book Club sur la lecture du code source de Linux « ce n'est pas si désagréable que ça de lire du C »

#PSES2018

Et maintenant Marc Rees pour finir cette journée #viePrivée avec « Le #RGPD pour les noobs »

#PSES2018

« Suis-je conforme au #RGPD ? »

« Si tu étais conforme à la loi I&L - qui date de 1978 - alors tu es conforme pour l'essentiel. »

Belle réponse à tous les paniquards on-va-tous-mourir-à-cause-du-RGPD.

#RGPD #PSES2018