Follow

Laisser ses vidéo en licence libre est vraiment une opportunité pour encourager à la créativité. J'adore l'idée que qq'un puisse récupérer une de mes vidéo et l'utiliser pour son projet personnel.

Une de mes vidéo à été utilisée pour constituer une progression pédagogique vraiment bien fichue sur canoprof. Tout le cours s'articule sur les parties de ma vidéo, qui a été chapitré et largement agrémentée de ressources.
bit.do/dqB23

Merci CLEMI Aix-Marseille
Je suis très fier de ça. 😎

@HygieneMentale Tu as pas un site en dehors de youtube, ou trouver tes supports graphiques etc ? J'ai déjà vu quelques vidéo, mais je n'ai pas souvenir d'un site web...

@e_jambon
Il est aussi en #HTTPS :
laelith.fr/Zet/Episodes/
(mais il faut un module qui bloque les requêtes non chiffrées pour naviguer correctement)
@HygieneMentale

@FF255 @HygieneMentale@oc.todon.frA
Ah tiens, peut être que toi (ou un autre) saura répondre à cette question :

D'un point de vue purement technique, le fait que la connexion se fasse en https certifie t'il que le contenu que je consulte est le bon ?

Autrement dit : est-il possible techniquement de construire un réseau capable de mentir sur le https ?

@e_jambon C'est important seulement si tu veux communiquer des données personnelles sensibles.

Mon site ne demande rien a personne, l'adresse en http:// est tout a fait suffisante.

laelith.fr/Zet/Episodes/

@HygieneMentale
Oui, je comprends bien le http, même le https en soit.

Ce que je ne comprends absolument pas, c'est comment la chaîne de certification qu'on utilise démontre que je peux lui faire confiance. Encore moins pourquoi ça semble évident à tout le monde comme si la question ne se posait plus.

Enfin, je n'arrive pas à comprendre comment il serait possible que l'administrateur de mon réseau ne soit pas obligatoirement le dernier maillon de cette chaîne.

D'où ma question.

@HygieneMentale @e_jambon

Il y'a plusieurs points.
Le HTTPS permet de chiffrer le "contenu" des échanges entre toi et le serveur.
Ça veux dire que vu de l'extérieur on ne peut pas savoir ce que vous echangez.

Après le chiffrement est fait grâce a un certificat. Le pb reste pr la garantie du certificat utilisé. Il est possible à 1 admin réseau d'usurper le certificat pr pouvoir lire les échanges.
C'est pour cela qu'il faut aussi vérifier d'où vient le certificat

@moritan @HygieneMentale @e_jambon
#HTTPS n'apporte pas uniquement une garantie de confidentialité (chiffrement), il permet aussi de certifier l'intégrité des données transmises, sauf si le poste client accepte des certificats supplémentaires qui ne devraient pas être considérés comme de confiance (voir attaque de l'homme du milieu).
@ANSSI @bortzmeyer @aeris @OpenPony @bluetouff

@FF255 @moritan @HygieneMentale @e_jambon @ANSSI @bortzmeyer @OpenPony @bluetouff Le problème, c’est que les autorités de certifications font juste n’importe quoi en ce moment. Ça devient le far west, en pire… Genre Symantec, autorité de certification, détenteur de Bluecoat, fabriquant de matos d’interception TLS…

@FF255 @aeris @moritan @HygieneMentale @ANSSI @bortzmeyer @OpenPony @bluetouff

Mon assertion était raisonnable si je comprend bien.

Pire, les certificats, en plus d'être un outil d'espionnage, c'est aussi l'outil de mensonge ultime quand on accède au saint graal.

Me trompe-je ?

@e_jambon @bluetouff @OpenPony @bortzmeyer @ANSSI @HygieneMentale @moritan @FF255 C’est un peu le concept, c’est pour ça qu’on aurait besoin de toute urgence du support décent de DNSSec + TLSA + DANE/TA-EE… Mais ce n’est malheureusement pas la veille pour une raison inconnue…

@aeris @FF255 @moritan @HygieneMentale @e_jambon @ANSSI @OpenPony @bluetouff Le principe de X.509 a toujours été mauvais (c'est une norme UIT, après tout). C'est pour cela qu'il faut déployer DANE bortzmeyer.org/6698.html

@FF255 @moritan @HygieneMentale @e_jambon @ANSSI @aeris @OpenPony @bluetouff Attention, je crois que la question originale ne portait pas sur l'intégrité pendant le transport (que TLS assure en effet) mais sur l'authenticité du document. Et, là, c'est le drame : le Web ne fournit toujours pas de mécanisme de signature des données.

@bortzmeyer @FF255 @moritan @HygieneMentale @ANSSI @aeris @OpenPony @bluetouff
Tu réponds exactement à ma question (et tu confirmes ce que je pensais avoir bien compris).

@e_jambon @FF255 @moritan @HygieneMentale @ANSSI @aeris @OpenPony @bluetouff Oui, en 2017, si tu veux authentifier un document récupéré sur le Web, il n'y a toujours que PGP.

@FF255 @bortzmeyer @moritan @HygieneMentale @ANSSI @aeris @OpenPony @bluetouff Ah bin en fait merci, parce que j'apprend des trucs au passage et j'ai eu plein de réponses grâce à toi ;)

@e_jambon Bon, tant mieux alors ! ^^ Ça sert d'avoir des zexperts sur Mastodon ! :P

@bortzmeyer @FF255 @moritan @HygieneMentale @e_jambon @ANSSI @OpenPony @bluetouff Ça commence à apparaître avec SRI, mais ça ne sera pas la panacées (œuf/poule, tofu, first content, tout ça)

@moritan @HygieneMentale @e_jambon L'interception HTTPS nécessite que le pirate ait pu installer un certificat sur la machine bortzmeyer.org/https-intercept Morale : il n'y a pas de sécurité si on ne contrôle pas intégralement sa machine.

@bortzmeyer fonctionne donc avec les certificats bluecoat genereusement offerts par symantec ? #questioninnocente

@e_jambon @HygieneMentale
La chaine de confiance est :
(1) - l'administrateur de ton poste
(2) - l'autorité de certification,
(3) - ta vigilance,
(4) - le site auquel tu te connectes.

(1), l'administrateur de ton poste te fournit les AC réputées. Pour les particuliers, c'est l'éditeur de l'OS ou de la distribution Linux.
(3) - à toi de vérifier que le nom du site est le bon et éventuellement le champs 'org' du certificat.

@MarcFramboisier @HygieneMentale
Il y a plein d'autres infos aussi sur le fil de la conversation si ça te tente.

@HygieneMentale
j'aime bien une vidéo qui propose de montrer une méthodologie pour débusquer les sites qui induisent les gens en erreur ;
mais qui finit lui-même par utiliser la même méthode que les sites qu'il dénonce ;-)
En effet après une belle démonstration,
- pourquoi les premiers sites (présentés) qui avaient relayé des informations fausses, ne sont donc pas dignes de confiance.
Voici que le présentateur, publie une liste de sites à la suite de sa démonstration (à suivre)

@HygieneMentale (suite 2)
Ce qui immanquablement provoque un amalgame avec la démonstration précédente, évidemment.
- mais cette fois-ci sans démontrer quels sont les faits (ou même les preuves) que les nouveaux sites ajoutés sur cette liste, sont du même acabit. (qu'est-ce qui le prouve ? sinon le fait ici que cette personne le déclare)
N'est-ce pas pourtant une des choses reprochées aux sites incriminés ?
Faites ce que je dis, mais ne dites pas ce que je fais ;-) (à suivre)

@yannlefranco
Bonjour Yann.
En effet, j'ai créé des dossier avec les désinformations de chaque site que j'ai fait apparaître dans ma "bulle", mais dans une vidéo je n'ai pu en traiter que quelques uns parmi les plus caricaturaux.

Je fourni toutes mes sources sur demande dans les commentaires de la vidéo. 😋

@yannlefranco
Cette vidéo date d'il y a 2 ans. Et j'ai très rapidement reconnu par la suite que j'avait fait une maladresse :

J'aurais du dessiner 2 bulles séparées, car en fait il y a peu de partages entre les sites de complots extra-terrestres-illuminati-reptiliens, et les sites de complots extreme-droite-identitaires.

Je redessinerais ca autrement si je devait refaire cette vidéo aujourd'hui. :/

@HygieneMentale
Mais n'est-ce justement pas l'objectif de cette vidéo (en tout cas, ce qu'elle prétend)
Pourquoi alors utiliser un outil qui contredit l'objectif que l'on désire atteindre ?
cette "bulle" est bien le point central de la démonstration, et pourtant ça rate complètement le déroulé de la démonstration,
autant prendre un revolver et se tirer une balle dans le pied, ça sera plus rapide ...
D'où ma critique du manque de logique...

@HygieneMentale (suite 3)
et pour finir il cite en référence le "Decodex" du monde. Vraiment ?
Wow, alors Inso, je viens de tomber de bas, je te pensais plus logique que cela.
Cette vidéo est une approximation et un manque de logique évident, ne serait-ce que par cette utilisation de l’amalgame de façon grossière, pour critiquer l'utilisation de l'amalgame. LOL

@yannlefranco
Je cite le DECODEX dans une vidéo d'il y a 2 ans ? Je ne vois pas comment ce serait possible. 😯

Les seules fois où j'ai parlé du DECODEX c'était pour critiquer la démarche .
Par exemple ici :
youtube.com/watch?v=ppU_XuaDUa

@yannlefranco
Oh, oui, tu parle de la progression pédagogique.

Je pense que c'est une des seules utilités valables du DECODEX : un outil pédagogique a utiliser en classe d'EMI.

Surtout depuis la version d'Avril du DECODEX (qui a fait disparaitre les listes vertes et oranges qui posaient probleme)

Je trouve que les listes bleue et rouge ont une utilité pédagogique en classe.

@HygieneMentale
comment un "Index" (aka Index de l’Église) peut-il être un instrument pédagogique pour développer l'esprit critique ?
ce truc (le "Decodex") annihile l'esprit critique - quelles que soient les adaptations, on transforme pas un âne en cheval.
Le fait même, qu'ils soient juge et partie, font que le truc rejette toutes les bases d'une "justice" impartiale.
Le "Decodex" est une honte journalistique et Hubert Beuve-Mery doit se retourner dans sa tombe...

@HygieneMentale
eh bien, on voit pas dans cette vidéo ici, où est la critique,
au contraire, il semble que le Decodex soit présenté comme une référence ...

@HygieneMentale @yannlefranco hygiène mentale produit de bons contenus, je suis content qu'il puisse être réutilisé par des profs.

@yannlefranco @HygieneMentale j'ai notamment boosté pour la démarche de publier sous licence libre. J'ai pas regardé la vidéo, mais ses réponses à tes remarques pertinentes me conviennent.

@HygieneMentale Tout à fait d'accord, trop de prof n'ont pas encore le réflexe de publier leur travail en licence commons par peur d'être jugé parfois. C'est dommage on fait tous parti du même bateau et les prof qu'ils soient à Lille, Marseille ... ou Romorantin ont tous des compétences à partager.

Sign in to participate in the conversation
Octodon

oc.todon.fr is a mostly French-speaking Mastodon instance with an active moderation. oc.todon.fr est une instance Mastodon principalement francophone et avec une modération active.