Juste quelques liens, à mon propre usage parce qu’à chaque fois qu’on me demande des références sur ce type de cas, je ne sais pas les retrouver. D’autres s’ajouteront probablement avec le temps.
#Bouhafs : Le policier poursuit « Je comprends même pas qu’on doive se justifier et s’expliquer autant sur le fond, la forme. Cela me dépasse un peu. Je dois dire que dans ma carrière, j’ai déjà fait des choses bien plus grave. Et je n’ai pas dû me justifier autant… »
Le policier se défend à propos d’un menottage sans justification. Peu avant il a été prouvé par vidéo que l’interpellation ne correspondait pas à son PV et qu’il n’y avait pas eu la rébellion pour laquelle il portait plainte.
2 policiers brutalisent une collègue, la menottent & la jettent violemment dans une cellule. Résultat ? poignet fracturé.
Pour éviter les soucis, ils font accuser un gardé à vue. Il allait être jugé en octobre mais la policière a fini par tout avouer.https://t.co/Eops8SK4Ma
Ce serait, dit-on, un bizutage courant dans certains commissariats. Sauf que ce 16 mai 2020, les policiers y vont fort en la jetant dans la geôle. La jeune gardienne de la paix se fracture le poignet. Elle a beau se plaindre, ses deux collègues la laissent mariner aux fers.
Le lendemain, ils sont obligés de constater que la jeune femme ne jouait pas la comédie : son poignet est bien abîmé. Qu’à cela ne tienne, ces deux membres d’une brigade de jour convainquent leur collègue de mettre sa blessure sur le compte du premier venu. Cela tombe bien, ils viennent de procéder à l’interpellation un peu musclée d’un individu qui a refusé de se laisser contrôler et a résisté. L’homme est placé en garde à vue et un procès-verbal est dressé, détaillant par le menu de quelle manière il s’en est pris violemment à la policière. La preuve : celle-ci voit un médecin qui lui délivre un arrêt de travail et établit son incapacité temporaire totale (ITT) à plusieurs dizaines de jours.
Si la jeune policière n’avait pas craqué, non seulement rien ne se serait su mais les dégâts causés par les deux compères auraient pu être pires dans les mois à venir. Ils étaient sur le point d’obtenir leur habilitation BAC https://t.co/l2JUOmkpub
Les policiers qui ont frappé Maria n’ont jamais assumé leurs actes, pas même pour les justifier. Aucun collègue, aucun supérieur ne les a dénoncés. Sur les images, ils ne reconnaissent personne. Il ne peut pas y avoir de procès https://t.co/LXe80QrLAN
Indignés par les peines de prison ferme prononcées contre les fonctionnaires, leurs collègues ont manifesté devant le tribunal de Bobigny. Le ministère de l’Intérieur a jugé la condamnation « disproportionnée »
[…]
Ce jour-là, un policier est blessé à la jambe, percuté par une voiture de police lors une course-poursuite. Lui et ses collègues décident alors de mentir et accusent dans leur procès-verbal le conducteur de la voiture qu’ils poursuivaient. Ce dernier est placé en garde à vue pour tentative d’homicide sur fonctionnaire de police, un crime passible de la perpétuité.
Dans leur rapport, ils avaient indiqué que l’homme s’était livré à une transaction douteuse avant de s’enfuir et de les percuter à deux reprises alors qu’ils lui demandaient de s’arrêter.
Sur les images de vidéo surveillance de la ville, « on ne voit pas de crime ou de délit commis par le conducteur du scooter », mais « on voit qu’un agent municipal percute le scooter avec son vélo et va au contact du conducteur » […] A la suite de cette affaire, le maire de Belfort Damien Meslot avait suspendu « pour une durée indéterminée » certaines actions de coopération entre la police municipale et la police nationale. Il jugeait alors la garde à vue des deux policiers municipaux « disproportionnée ».
Ils discutent méthodes d’interpellation & donc clé d’étranglement. Au fil de la discussion, l’un des agents propose à sa collègue de la pratiquer sur elle.
Concernant Have I Been Pwnd? il y a pas mal de gens réticents à l’utiliser de peur que ça aspire ce qu’ils saisissent. Et c’est aussi prendre le risque qu’un site frauduleux se fasse passer pour lui.
Il y a deux parties à Have I Been Pwnd?. La première partie c’est une solution pour laisser son email et être averti dès qu’une brèche concerne un de vos comptes.
Là dessus il n’y a aucun risque de sécurité, que du bénéfice. Si vous ne vous êtes pas enregistré, faites-le.
On laisse certes son email mais pour l’instant personne n’a relevé de spam sur ce service (et croyez-moi, il doit y avoir des milliers d’informaticiens qui ont du essayer de mettre une adresse de test spécifique).
La seconde partie propose de saisir son mot de passe et regarde s’il est présent dans la base de données des mots de passe déjà connus.
Troy Hunt a établi un protocole qui permet de vérifier si un mot de passe est dans la base sans avoir à transmettre ce mot de passe au serveur. C’est simple à lire et à comprendre, et ça ne laisse aucune part au doute : Tant qu’on suit ce protocole, tester un mot de passe ne présente aucun risque de divulgation. Aucun.
La seule vraie question est « pouvons-nous faire confiance au site web dans lequel nous saisissons le mot de passe pour suivre ce protocole et ne pas envoyer notre saisie quelque part sur un serveur ? »
Il n’y a pas eu de brèche ou de malveillance sur Have I Been Pwned? jusqu’à présent mais, évidemment, ça n’est en rien une garantie absolue pour l’avenir.
Si vous voulez plus de sécurité, deux possibilités :
Utiliser un site web ou un outil en qui vous avez plus confiance pour qu’il implémente correctement le protocole de Have I Been Pwned?
Des gestionnaires de mots de passe comme Dashlane et Bitwarden proposent de tester directement vos mots de passe depuis le logiciel. Il faut avoir confiance mais, si vous les utilisez comme gestionnaire de mots de passe, c’est à priori déjà le cas.
Ce que je proposais quand je parlais de mot de passe fort et interface c’est exactement ça : C’est au logiciel ou au site web à qui vous allez confier votre mot de passe de toutes façons de le vérifier auprès de la base Have I Been Pwnd? (qu’ils auront téléchargé en local sur leur serveur). Ainsi il n’y a aucun besoin de faire confiance à un acteur tiers, aucun risque supplémentaire.
Ok, mais c’est quoi ce protocole ? Comment peut-on vérifier mon mot de passe sans le divulguer ?
On utilise des condensats, ici SHA1.
Plus exactement on calcule la somme SHA1, sur 40 caractères hexadécimaux, et on envoie les 5 premiers caractères au serveur. Le serveur nous répond avec la liste des sommes SHA1 de mots de passe connus qui partagent les mêmes 5 premiers caractères. À moi de vérifier que le mien ne fait pas partie de cette liste.
Vous lirez que SHA1 n’est pas idéal pour des mots de passe, encore moins sans ajout d’un sel aléatoire. Pour autant il n’y a aucun moyen connu à ce jour pour même imaginer trouver une information partielle à propos de votre mot de passe à partir des 5 premiers caractères de la somme SHA1.
La seule chose possible c’est éventuellement se dire « c’est peut-être un des mots de passe connus qui partagent le même début de somme de contrôle ». L’information ne présente aucun intérêt puisque si justement c’était un de ceux-ci, vous auriez été informés de ne pas l’utiliser. Du coup, en creux, l’information devient « Quelqu’un utilise un mot de passe, et ce ne sera pas un mot de passe connu ». Bref, c’est exactement notre objectif, tout va bien.
Règle générale : Laissez votre gestionnaire de mots de passe générer des mots de passe outrageusement complexes.
Vous n’aurez jamais besoin de les taper ou vous en souvenir vous-même. Vous n’avez en fait même pas besoin de voir ou de savoir à quoi ces mots de passe ressemblent. Laissez-le faire.
Le générateur de mot de passe interne de Bitwarden
Et puis parfois on a besoin d’un mot de passe dont on doit se souvenir, un qu’on doit pouvoir taper au clavier ou un qu’on doit pouvoir dicter au téléphone.
Et dans ce cas là je vous invite à utiliser des mots français plutôt que des lettres, chiffres et symboles incompréhensibles.
La raison est simple : il est plus facile de retenir 4 mots connus que 8 lettres chiffres et symboles aléatoires.
La seule contrainte c’est d’utiliser des mots réellement aléatoires et pas ceux auxquels on pense en essayant naïvement de trouver des mots soi-même. Votre gestionnaire de mots de passe devrait savoir vous générer cette suite de mots. Si ce n’est pas le cas la méthode diceware est à votre disposition :
Cherchez une liste de mots de votre langue en cherchant « diceware » sur votre moteur de recherche favori. Ce sont généralement des listes de 7776 mots qui vont de 11 111 à 66 666.
Lancez 5 fois un dé à 6 faces, regardez le mot qui correspond dans votre grille. Recommencez autant de fois que vous avez besoin de mots.
Calcul d’entropie pour différentes combinaisons (les paliers de couleur sont arbitraires à respectivement 48, 56, 72, 96, 128 et 256 bits d’entropie)
La sécurité c’est parfois contre intuitif : Il suffit de 4 mots français pour être aussi robuste que 8 caractères accessibles au clavier, symboles inclus.
À 5 mots vous avez l’équivalent d’un mot de passe de 10 caractères clavier totalement aléatoires en comptant 28 symboles possibles en plus des lettres et des chiffres.
À 6 mots vous vous avez l’équivalent d’un mot de passe de 12 caractères totalement aléatoires, probablement suffisant pour quasiment tous les usages aujourd’hui. Si vous êtes paranoïaque, 8 mots c’est l’équivalent de 16 caractères totalement aléatoires.
Tout ça n’est pas nouveau. XKCD en parlait déjà il y a plusieurs années. Cette bande dessinée a été parfaite pour démocratiser l’idée mais trop de gens oublient que ça ne fonctionne que pour des mots réellement tirés au hasard.
Attention toutefois : L’humain est très mauvais pour piocher au hasard.
Même avec toute la bonne volonté du monde et en vous croyant machiavélique dans votre choix, il est probable que vous ne piocherez que dans quelques centaines de mots, éventuellement un ou deux milliers.
Le problème d’ailleurs aussi pour les mots de passe « classiques ». « Nicolas2012! » et « Julie+Marc2307 » sont de très mauvais mots de passe bien qu’ils respectent parfaitement toutes les règles.
Je donne là une évidence mais c’est plus général que ça. Un mot de passe qui est généré sans aide d’un générateur d’aléatoire est un mauvais mot de passe, peu importe à quoi il ressemble de loin. Les chiffres et symboles sont quasiment aux mêmes positions. Certaines lettres et chiffres sont peu voire pas du tout utilisés.
Tout ça diminue significativement la robustesse du mot de passe, même quand vous essayez de vous même d’y palier en cherchant compliqué. Utilisez une machine ou un système externe quel qu’il soit, quitte à ce que ce soit une paire de dés lancés à la main.
Je rage à chaque fois que je vois des règles complexes sur les mots de passe saisis. J’ai l’impression qu’on a échoué à expliquer la sécurité.
Une fois qu’on exclut les mots de passe uniquement en chiffres, il n’y a quasiment plus que la longueur du mot de passe qui compte. Vous voulez un mot de passe sûr avec uniquement des lettres ? Il suffit d’ajouter un unique caractère supplémentaire. Autant dire pas grand chose quand on est déjà à 9 ou 10.
En réalité la différence est encore plus réduite que ça parce qu’en demandant d’ajouter des chiffres et symboles ce sont toujours les mêmes qui apparaissent, mis à la fin ou en remplacement des mêmes lettres (a qui donne @ par exemple).
Pire : Pour retenir un mot de passe complexe avec majuscules, chiffres et symboles, l’utilisateur risque de mettre quelque chose de connu ou déjà utilisé ailleurs. On est parfois dans le contre-productif.
Si vous deviez utiliser des règles de saisie du mot de passe, gardez n’en qu’une : la longueur. Le reste c’est de la littérature.
Maintenant, et si vous changiez de stratégie ? Aidez l’utilisateur et expliquez-lui ce qu’il se passe au lieu de lui apporter des contraintes.
Commencez par lui proposer un mot de passe par défaut, avec une liste de mots connus et à orthographe simple.
Proposez ensuite un indicateur pour la force du mot de passe. Là vous pouvez prendre en compte la longueur mais aussi la présence dans la base Have I Been Pwnd.
Une fois passé le strict minimum, c’est à l’utilisateur de décider ce qu’il veut. Ne lui imposez pas un mot de passe de 12 caractères pour réaliser un sondage sur la date de sa prochaine soirée entre amis.
Votre rôle c’est de lui donner les clefs pour faire son choix, pas de le faire à sa place.
L’indicateur de complexité peut tout à fait avoir plusieurs paliers en fonction de la présence de différentes classes de caractères. Vous pouvez aussi essayer de détecter des dates, le fait que le dernier caractère soit juste un chiffre ou un point d’exclamation, et des suites un peu trop classiques comme 123 ou ou azerty.
Si vous détectez des espaces alors c’est probablement une phrase (s’il y a des petits mots facilement reconnaissables comme « le », « la », « il », « ce », « est », etc. ) ou des suites de mots (dans le cas contraire). Vous pouvez là aussi adapter votre calcul de complexité et la longueur recommandée.
Au bout d’une certaine résistance parlons uniquement amélioration.
Le processus classique des entretiens de recrutement en informatique c’est :
Une prise de connaissance
Un entretien orienté technique
Un entretien orienté humain
Un entretien de confirmation
Suivant les entreprises, l’entretien humain vient avant ou après l’entretien technique. C’est d’ailleurs intéressant parce que ça en dit parfois long sur ce que la boite priorise dans ses recrutements.
Sur les postes à responsabilité on a souvent une multitudes de discussions avec différents acteurs clefs de la société entre les deux entretiens principaux et l’entretien de confirmation.
La totalité du processus décrit ici c’est entre 3 et 6 heures au total.
La prise de connaissance c’est souvent 15 minutes pour confirmer ce qu’il y a derrière l’annonce (pour le candidat), ce qu’il y a derrière le CV (pour l’entreprise) et que les deux correspondent avant de demander à chacun d’investir du temps. Quand la communication passe bien et que le candidat a du temps ou des questions ça peut aller jusqu’à 45 minutes, rarement plus.
L’entretien humain semble la partie la moins comprise autour de moi quand j’en discute. On me parle de test psy et de marketing bullshit. Pour moi c’est de la discussion et c’est littéralement le plus important dans tout le processus, que ce soit côté candidat ou côté employeur. Il s’agit de s’assurer que le candidat, la boite et les autres salariés vont s’entendre. Si le terme de valeurs est galvaudé, il y a beaucoup de ça. On parlera aussi fonctionnement de l’entreprise, évolution des postes, organisation, motivations, management, etc. Sur cet partie j’apprécie un temps long parce qu’il s’agit d’ouvrir une discussion au delà des discours préparés.
L’entretien technique c’est le plus litigieux pour moi. La plupart comprennent « test technique » mais je n’ai jamais vu pour l’instant de test technique que je trouve vraiment pertinent. On arrive souvent bien mieux à qualifier les choses en montrant le code source, en discutant autour, ou éventuellement en parlant en codant ensemble. Plus que qualifier le niveau technique, on qualifie aussi que ça se passera bien sur la base de code, sur comment l’équipe travaille, etc. C’est de la discussion et donc ça prend du temps aussi.
L’entretien de confirmation c’est pour toutes les questions qui restent. On reparle souvent de valeur. On discute des questions levées par les entretiens précédents. On parle de l’avenir et des objectifs de l’entreprise. On parle rémunération. C’est entretien est aussi important en ce qu’il permet de faire intervenir une autre personne et d’avoir un feedback différent, que ce soit pour le recruteur ou pour le candidat.
Si on prend le temps de la discussion, on arrive plus à 5 heures qu’à 3 heures, et je ne vois rien d’inutile à faire sauter là dedans.
À chaque étape la question est essentiellement « Est-ce qu’on veut travailler ensemble ? pourquoi ? qu’est-ce qui pourrait coincer ? ». À l’entretien technique on peut éventuellement ajouter « Où positionner le candidat par rapport aux salariés actuels au niveau compétences et rémunération ? ». Le reste c’est de la littérature.
On peut par contre moduler.
Je disais que je n’ai jamais vu de test technique vraiment pertinent, encore moins ceux à réaliser chez soi, mais j’ai à moitié menti. Il y a une chose qui a assez bien fonctionné : « Tiens, je te donne accès à notre code source et nos PR, tu peux fouiller comme tu veux et c’est à toi de nous dire si tu as les compétences et l’envie de travailler là dessus. Si oui on t’invite à la discussion technique et tu verras si tu veux travailler avec nous. ».
Du coup l’entretien technique lui même est essentiellement « Passe une demie journée avec un développeur à discuter du code, de l’équipe, de son organisation, et faire du pair programming. Tu pourras nous confirmer ensuite si tu as bien envie de travailler avec nous. »
C’est plus long mais quand c’est possible ça me parait une approche plus saine et plus efficace que la démarche de test. Les retours des candidats ont tous été très positifs, plus que sur les autres processus que j’ai pu superviser. Vu que ça permet bien de cerner la personne on peut réduire d’autant les autres étapes et on arrive à garder une durée totale assez similaire.
Ça c’est ce que je préfère vis à vis de mes valeurs et mes fonctionnements. D’autres boites appuieront plus sur les compétences techniques. D’autres préféreront vous faire discuter avec les équipes produit ou un directeur. En fait tout ça est intéressant, ça en dit long aussi sur ce qui est jugé important par la société, donc ça permet au candidat de savoir lui aussi où il met les pieds.
Est-ce encore trop ?
Possible. Je n’ai pas de réponse universelle. Je ne donne que mes retours et mon expérience.
L’idée c’est de proposer un processus « idéal » et ensuite de l’adapter autant que possible aux circonstances et aux personnes, par exemple pour qui habite loin, qui ne peut pas se libérer en journée, ou qui ne peut pas se permettre d’être vu dans les locaux avant que ce ne soit officiel.
Ce qui m’apparait certain c’est que je ne sais pas évaluer un employeur, son équipe, son organisation, ses valeurs et le poste qu’il propose en deux heures. J’ai vécu des environnements et directions toxiques. Croyez-moi si je dis que jamais ne ne conseillerai à quiconque de s’engager en CDI rapidement sans faire un vrai processus.
C’est vrai aussi dans l’autre sens. En tant qu’employeur je ne sais pas faire évaluer l’adéquation d’un candidat sur des discussions de moins d’une heure ou après avoir vu une seule personne.
Que faire alors pour qui ne peut ou ne veut investir plus de 2 heures ?
Je ne sais pas. Je suis ouvert aux suggestions mais ma réponse pour l’instant est « je ne sais pas faire ».
On parle de s’engager pour 6 à 8 heures par jour, 5 jours par semaine, pour 2 à 10 ans. Tout ça ne se résume pas en quelques questions et « je fais mon job tu me payes, pas besoin d’ergoter ».
Ça serait très différent pour une mission courte ou un rôle de consultant (ou en tout cas ça l’a été pour moi vu que j’ai aussi ces expériences là).
Et c’est là que ça devient intéressant. Quand on demande le processus idéal, les répondant n’excluent pas du tout les entretiens de 3 à 6 heures, au contraire. C’est même la réponse la plus mise en avant.
Ce n’est représentatif que des gens qui ont répondu, mais je trouve ça intéressant quand même. Je ne semble pas être le seul à trouver important de qualifier la relation avant d’entrer en période d’essai.
L’enjeu est pour moi beaucoup plus de ce qu’on met dans les différentes étapes du processus que de sa longueur effective (tant qu’on reste dans le raisonnable, on m’a parlé de tests techniques de 15 h à faire chez soi et ça… juste non). Je veux des discussions libres à double sens et pas des tests unilatéraux.
Je ne parle que des métiers que je connais, c’est à dire le recrutement en CDI d’ingénieurs en informatique, développeurs ou managers. Il se peut tout à fait que ça ne se généralise pas à d’autres contextes.
On m’a parlé de période d’essai comme solution aux processus de recrutement à rallonge mais…
La période d’essai ne fait pas partie du processus de recrutement (ou ne devrait pas).
Une période d’essai c’est coûteux, financièrement et humainement. Si l’un des deux doit rompre il le fera – et ça arrivera parfois malgré toute la bonne volonté des différentes parties – mais le but du processus de recrutement est justement d’éviter autant que possible de se reposer sur cette possibilité.
C’est d’abord vrai pour le candidat.
Pour venir je dois généralement démissionner avant. Je ne retrouverai pas le poste duquel je suis parti et je risque d’être moins en position de choisir ce que je veux si je dois retrouver quelque chose rapidement après une période d’essai rompue. Si la recherche prend longtemps et que c’est moi qui ai dû quitter une boite toxique en pleine période d’essai, je n’aurais même pas forcément accès aux allocations chômage entre temps.
C’est encore pire pour les plus juniors. Un trou dans le CV ou une première expérience rompue dans les premiers mois peuvent faire peur à un futur employeur. Au mieux ils devront s’en justifier et tous ne sont pas à l’aise avec ça.
C’est aussi vrai pour ceux qui ont quitté une boite en mauvais termes. Si l’expérience suivante est une période d’essai rompue, quelle qu’en soit la raison, ça va commencer à être plus difficile pour les futurs entretiens (à tort, mais c’est la réalité quand même).
Bref, une entreprise qui me proposerait de raccourcir les entretiens préalables en échange d’un risque plus élevé de rompre au niveau de la période d’essai, c’est une entreprise que j’ai envie de fuir.
J’attends que l’entreprise fasse tout son possible pour ne pas jouer à la roulette avec ma situation professionnelle, et s’assurer que je conviens avant de m’embaucher et pas après. C’est une question de respect envers le candidat.
Ça fonctionne d’ailleurs dans les deux sens. J’ai vu dans ma vie des boites ou des managers toxiques. Je sais combien ça peut tuer à petit feu. Je vais passer la majorité du temps non-contraint de ma vie avec l’entreprise sur les prochaines années. J’ai besoin de temps pour discuter, de comprendre les valeurs de la société, de voir mes futurs collègues, tout ça avant d’amorcer la période d’essai.
C’est évidemment aussi vrai pour l’entreprise. Il y a un coût financier important (on parle en centaines d’heures lors de l’intégration d’un nouveau salarié, de décalage de projets, etc.) mais il y a surtout un enjeu humain majeur.
Un nouveau salarié qui se révèle toxique c’est de nature à pourrir toute la boite, durablement et pas que pendant les quelques semaines ou mois de présence.
Un salarié qui se révèle incompétent peut ajouter de la tension sur les questions salariales des présents, faire perdre de la motivation ou donner des envies de départ.
Un salarié inadapté mais avec de grands liens humains peut aussi générer des tensions et départ quand sa période d’essai est rompue.
Dans tous les cas c’est un maximum de perturbations, d’investissement et de projets reculés. On sait qu’on ne pourra pas tout garantir à 100% mais investir quelques heures en amont du recrutement est quasiment toujours rentable.
La règle assez partagée c’est le « en cas de doute il n’y a pas de doute ». C’est à dire que s’il y a un doute dans les entretiens de recrutement, on ne teste pas en période d’essai et on répond « non » immédiatement. Dire non à un candidat intéressant est bien moins coûteux que dire oui à un candidat qui se révèle inadapté.
Bien évidemment ça se module. On peut prendre plus de risques avec un candidat qui a déjà démissionné, en toute transparence et en accord avec lui, qu’avec quelqu’un qui devra démissionner d’un emploi qui lui convient déjà.
Il n’y a aucun droit inaliénable à s’exprimer sur une quelconque plateforme. Un forum a le droit de vous dire d’aller voir ailleurs tout autant qu’un individu n’a aucune obligation à vous écouter. Tout ça ne relève pas de la liberté d’expression.
C’est plus complexe que ça parce les libertés ne peuvent pas être que théoriques, elle doivent être effectives. Dans un système à aspiration démocratique, la liberté d’expression c’est aussi la capacité à faire surgir une opinion ou une pensée dans l’espace public, et la laisser circuler.
Certaines plateformes d’expression sont aujourd’hui tellement centrales qu’en exclure des opinions biaiserait gravement la volonté démocratique de nos pays. Cette exclusion peut, de fait, y devenir un problème de liberté d’expression.
Il n’y a rien de neuf dans tout ça. Les contraintes liées aux oligopoles sont déjà tout à fait établies dans le milieu économique. Dès que tu deviens trop central ou que ton poids est démesuré au point de gêner un nouvel entrant, tu ne fais plus tout ce que tu veux ; on t’impose des règles et des obligations pour sauvegarder la concurrence.
Ce à quoi je fais référence n’est ni plus ni moins que la même chose, appliqué aux libertés. La concurrence des idées n’est pas moins importante que la concurrence économique.
Nous devrions considérer la situation d’oligopole des plateformes avant de trop vite dire qu’une société privée a le droit de définir les règles internes qu’elle souhaite.
Les conditions d’utilisation et de modération de Facebook, Google, Twitter et quelques autres sont bel et bien des enjeux de liberté d’expression. La collectivité, via les États, a toute légitimité à avoir un droit de regard et à y apporter des contraintes ou obligations — et ce autant vis à vis de ce qui doit être interdit que vis à vis de ce qui doit être autorisé, et aux voies de recours.
Une fois que c’est dit, on fait quoi ? parce qu’évidemment, c’est compliqué. La suite est forcément du registre de la pensée à haute voix plus que quelque chose d’affirmatif.
Je ne crois pas à la solution de l’autorité de régulation qui va imposer des contraintes ou obligation ad-hoc en réaction aux cas qui se présentent. Ça fonctionne pour l’autorité de concurrence au niveau économique mais c’est vis à vis d’un nombre réduit d’acteurs, ayant tous les moyens de défendre leur position, et d’aller en justice le cas échéant.
Vis à vis de dizaines de millions de particuliers qui n’ont pas ces moyens, l’échelle n’est plus la bonne.
À partir du moment où une plateforme devient centrale, j’ai tendance à penser que toute expression légale doit être protégée. La plateforme a éventuellement matière à définir le comment mais plus le quoi.
Ça ne veut pas dire forcément passer à une liberté d’expression à l’américaine. Ça veut juste dire que les équilibres entre ce qui peut être dit et ce qui ne peut pas être dit sont à régler au niveau de la collectivité publique et plus au niveau de la plateforme privée. Ça veut dire prendre la loi comme référence et plus l’interprétation interne des conditions d’utilisation. Si la loi n’est pas suffisante, complétons ou corrigeons la loi.
Et en pratique ? En pratique ça ne change finalement pas tant que ça le quotidien. Les plateformes sont toujours contraintes de retirer les contenus manifestement illégaux qui lui ont été signalés, et éventuellement de les transmettre à l’autorité judiciaire.
On peut rendre responsables ces mêmes plateformes d’opérer une politique de modération adaptée à leur taille et aux propos qui y sont tenus. On a là une obligation de moyens pour plus de pro-activité que le paragraphe précédent.
La différence vient des contenus dont l’illégalité n’est pas manifeste. Là l’utilisateur doit avoir un moyen de recours rapide. S’il y a toujours litige, alors le contenu est remis en ligne et automatiquement transmis à une autorité judiciaire.
Idéalement on pourrait imaginer que la transmission signale si le problème est urgent (en référé), ou potentiellement grave / récurrent (s’assurer que l’autorité judiciaire ne le laisse pas sous la pile).
Ça demande une chose claire : Remettre l’autorité judiciaire dans la boucle, et donc des moyens adaptés.
Ça peut se mitiger (un peu) via l’obligation de moyen décrite plus haut. Si la plateforme transmet trop de choses non pertinentes, elle en serait redevable. Si la plateforme transmet essentiellement des choses pertinentes, alors on peut compter que les frais soient à la charge des particuliers qui font appel à tort (vu qu’ils le font en conscience).
Je n’exclus pas non plus qu’une grosse partie des traitements de premier niveau par l’autorité judiciaire ne soient pas faits par des juges mais par des petites mains aux qualifications moins importantes.
Je vois passer ça et je me dis « mais c’est énorme ! »
On parle d’une machine avec 8 Go de RAM. Il s’avère qu’à priori il s’agit essentiellement d’utilisation de swap pour la mémoire. Peu de mémoire et un accès disque très rapide, ce n’est pas totalement idiot et ça explique le schéma inhabituel avec plus d’écritures que de lectures.
Il reste qu’un SSD n’est garanti que pour une certaine quantité d’écritures dans sa vie.
Par le passé les Macbook utilisaient des version OEM des puces Samsung. Apple ne fournissant à ma connaissance pas les spécifications des puces des Macbook, utilisons celles de Samsung comme ordre de grandeur :
Mettons donc 400 To pour un disque de 512 Go (pour les gammes PRO, c’est moins que ça pour les EVO). Au rythme de l’auteur initial, on en a pour environ 50 mois, un peu plus de 4 ans.
Ça ne va pas forcément casser immédiatement après ces 4 ans mais ça donne quand même une durée de vie inconfortablement courte. Je ne semble pas être le seul à trouver ça embêtant, d’autant que le SSD n’est pas remplaçable sur les Macbook M1.
On est loin des réassurances « 400 To c’est énorme, ça fait plus de 100 Go par jour tous les jours pendant 10 ans. »
J’ai regardé chez moi, un Macbook pro Intel de 2020, 10 mois d’utilisation pour du développement : 39 To (et plus de lecture que d’écriture). Ça semble élevé mais un peu plus raisonnable avec 8 à 9 ans d’utilisation.
L’ami Franck a lui 312 To d’écriture après 2 ans et demi d’utilisation sur son Macbook Intel (et un tiers de mois en lecture). Il lui resterait moins de 1 an garanti. On retrouve un peu moins de 4 ans de durée de vie. Pas tout rose donc.
Et vous ? ça se trouve via smartctl -A /dev/disk0
Je suis preneur de votre type exact de machine, de son ancienneté, de la taille de votre disque, du montant d’écriture (data units written), du montant de lecture (data units read), et si possible du nombre d’heures effectives (power on hours).
Un des conseils si vous voulez tenter l’aventure du télétravail : Investissez !
Entreprises
Oui, il faut un ordinateur portable efficace. Oui ça veut dire investir plus que pour un PC fixe au bureau. Ça veut même dire investir encore plus parce que lancer Zoom ça prend en soi des ressources non négligeables.
Je ne dis pas tout. L’ordinateur portable c’est non seulement l’outil de travail du salarié mais aussi la seule représentation de l’entreprise qu’il aura en face de lui. Exit les locaux et les autres employés, il aura cet ordinateur portable et tout passera à travers.
L’ordinateur rame ? C’est comme si vous laissiez des souris ou des fuites au plafond dans vos locaux. Chaque frustration liée à cet outil ce sera un coup de canif dans l’image de l’entreprise, sa volonté de s’y impliquer ou d’y rester, et son envie de faire des efforts en restant positif.
Trois paragraphes et ce n’est pas assez : Investissez dans ce foutu ordinateur portable. Mettez-y deux fois le prix que vous y auriez mis, renouvelez-le aussi plus souvent.
⁂
Et pourtant, ce n’est pas tout. Achetez un écran secondaire, grande taille et de qualité, même s’il n’y en avait pas au bureau.
Achetez aussi une vraie chaise ergonomique réglable. Pas celle à 100 €, une vraie. Là aussi, plus chère que dans vos locaux parce que le salarié aura potentiellement moins de raison de bouger de sa chaise pendant les heures de travail.
Ajoutez-y un bon casque et/ou un vrai micro qui permettent de communiquer sans bruit parasite. S’il y a un peu de bruit dans la rue ou chez les voisins, investissez carrément dans un casque à réduction de bruit active, les modèles efficaces à 300 euros et plus.
Si vous avez des salariés qui doivent réfléchir ensemble, proposez-leur aussi un tableau blanc et une caméra grand angle pour partager ce tableau blanc.
Si on veut aller jusqu’au bout on peut même proposer un bureau assis-debout électrique.
Oh ! et si une part importante de l’activité se passe au téléphone ou si des tiers ont besoin de les appeler, payez-leur un téléphone et un numéro différent de leur personnel. Oui c’est important.
⁂
Oh, et je n’ai pas dit ? Financez la moitié de l’accès Internet, ainsi que la taxe foncière, du loyer, de la taxe d’habitation et des factures électricité et chauffage au pro-rata de la place rapport à la place utilisée dans le logement.
Déjà parce que c’est légitime, mais aussi parce que ça peut inciter certains à dédier au bureau un espace dans le logement, voire emménager là où ils auront un tel espace.
Croyez-moi, l’investissement vaut le coup (et ce type de financement n’est pas soumis aux cotisations sociales).
Salariés
Je ne devrais pas le dire parce que ça peut inciter des entreprises à ne pas investir mais… Si l’entreprise ne vous paye pas tout ce qui est plus haut et que vous avez le salaire qui vous le permet : Faites-le !
Faites-le sur vos deniers ou changez d’entreprise pour une qui porte attention aux conditions de travail des salariés ;-)
J’insiste particulièrement sur la connexion internet : Oubliez le wifi pourri. Si votre wifi est trop mauvais, utilisez une connexion câble, éventuellement un boitier CPL si vous avez besoin.
⁂
Au delà, réservez-vous un espace pour le bureau. Un lieu avec de la lumière naturelle, une lumière électrique blanche et non jaune, un minimum d’espace, et si possible une porte qui ferme s’il y a d’autres personnes dans la maison.
Ça peut être la cuisine, peu importe, mais évitez la chambre ou le salon. Différenciez là où c’est possible la pièce de repos et la pièce de travail.
⁂
Oh ! et n’espérez pas gardez vos enfants pendant le télétravail. Niet, jamais, ou pas autrement qu’en mode urgence pour la journée le temps de trouver une solution. En fait un bon critère pourrait être « ne gardez pas vos enfants pendant le télétravail si vous ne les auriez pas emmené au travail ».
Mais, Éric, ça coûte un pognon de dingue !
Vous n’accueilleriez pas vos salariés dans un coin non aménagé avec une juste table de cantine quelques tabourets et aucune séparation phonique avec vos salles de réunion. Pourquoi le faire avec des salariés en télétravail ?
Côté entreprise en comptant 3 ans de renouvellement pour l’ordinateur et le petit électronique, 6 ans pour le reste, en prenant tout en très haut de gamme et premium, j’arrive à un amortissement… entre 800 et 1600 € hors taxe par an.
Oui, on en est là. Moins de 1 500 € par an. Autant dire rien.
Sur un salarié en présence, rien que le remboursement de la moitié de ses abonnements transport et le versement transport additionnel auprès de la collectivité doivent arriver à peu près à ce niveau. Ne parlons même pas du coût de l’espace de vos bureau, des consommables, du mobilier, de l’entretien, des services généraux, de l’électricité, de la sécurité, des assurances. Vous pourriez payer 2x ça et faire encore des économies.
À ces niveaux là vous pourriez même dire à vos salariés de prendre ce qu’ils veulent sans vraie limite et leur laisser comme un avantage en nature dans le solde de tout compte à leur départ.
Il y a un courant chez les (vieux) dev web du « c’était mieux avant tous ces sites pleins de javascript »
Et bien permettez-moi de vous dire, ce n’était pas mieux avant. Vraiment pas.
Le web d’avant était globalement moins performant, moins utilisable, moins compatible, et pas énormément plus pérenne.
Non, sérieusement, c’était extrêmement pénible, autant pour le développeur que pour l’utilisateur.
Côté performance c’est le jour et la nuit.
Ok on a des sites plein de JS qui mettent plusieurs secondes à charger mais c’est à comparer à avant où la moindre page quasi vide se chargeait en plus de temps que ça.
Attendre 30 secondes une page sans vidéo ni comportement particulier n’avait rien d’anormal.
À l’époque, la bonne pratique vis à vis de certains pays c’était même de mettre autant de choses que possible dans la page parce qu’ils allaient faire autre chose pendant qu’elle se chargeait et que quand ils revenaient il étaient hors de question qu’ils recommencent. Il fallait donc tout mettre à l’avance sur des kilomètres, au cas où, plutôt que de les faire naviguer page à page. On en était là.
Si les moteurs de recherche Altavista et Google avaient gagné c’était d’ailleurs aussi pour ça : En ayant des pages d’accueil quasiment vides, c’étaient celles qu’on arrivait à charger dans un temps acceptable avant de lancer la recherche.
Tout était lent au point que, pendant un moment, on a même considéré le WAP et ses 1ko/s comme acceptable. Même une page quasi vide mettait forcément plusieurs secondes.
Aujourd’hui j’ai parfois un peu de temps de chargement initial mais ça n’a plus rien à voir, et le reste de la navigation est souvent quasi instantané.
Rien que de ne pas recharger la page à chaque action ça change la vie. Vous n’imaginez pas.
C’est la même chose côté compatibilité.
Ok aujourd’hui on a parfois des choses qui ne passent qu’avec Chrome mais avant c’était tout le web qui était dans une guerre de tranchée.
Il fallait le bon navigateur, dans la bonne version, sur le bon système d’exploitation, avec un écran de la bonne taille. Même là on priait une fois sur deux pour avoir le bon plugin, la bonne version de flash ou la machine virtuelle Java à jour pour les applets.
C’était au point où il n’était pas rare d’avoir une page « ce site nécessite Internet Explorer 4 avec Flash et une résolution d’écran d’au moins 1280 × 1024 » avant d’arriver à la page d’accueil.
C’était invivable, réellement.
Je me rappelle de l’époque intermédiaire où nous étions une poignée de militants à essayer de démontrer qu’on s’en sortirait mieux en suivant des standards avec HTML et CSS. Je me rappelle Openweb et Pompage. Je me rappelle les contributions à l’équipe Technical Evangelism de Mozilla qui s’occupait de contacter les responsables de sites pour suggérer des modifications afin que le web soit navigable ailleurs que sur Internet Explorer.
Ce jour est arrivé et ça fait un bien fou.
Aujourd’hui je ne me pose quasiment plus la question du navigateur. Je sais que ça va fonctionner. Les rares problèmes finissent par être corrigés, ou concernent des améliorations dispensables. Je peux même généralement utiliser le même site sur mon ordinateur de bureau et sur mon téléphone.
Des problèmes de compatibilité aujourd’hui ? « You know nothing, Jon Snow ».
Ce n’était pas non plus plus utilisable.
On peut râler tout son saoul contre nos webapp javascript, nos publicités, nos bannières cookies et tout ce que vous voulez, mais même ainsi je n’échangerais pas le web d’aujourd’hui contre le web d’avant.
Je ne parle même pas de graphisme. Aujourd’hui je peux faire plusieurs actions sans recharger la page ni perdre ce qui est en cours. Je peux recadrer la photo dans la page que je viens d’envoyer sur un forum. Je peux mesurer l’avancement de l’envoi de cette photo. Je peux continuer à utiliser le forum voire à naviguer dedans pendant que ma photo se transfère. Je peux voir en temps réel si la photo que je voulais envoyer a le bon format. J’ai une autocomplétion efficace sur le nom que j’associe au fichier. Quand j’ai fini je peux modifier mes différentes options avec une prise en compte instantanée et voir le résultat en temps réel sur ma fenêtre.
Arrêtez de fantasmer le web d’avant, c’était une plaie.
Travailler en temps réel à plusieurs sur un même document relevait à de la science fiction à l’époque.
Il y a des usages où de simples pages de texte suffiraient amplement mais je n’ai quand même aucune envie de retourner au web d’avant.
Pas une seule seconde.
On s’est amélioré sur tous les points, sans exception. Le pire d’aujourd’hui est objectivement souvent meilleur que le meilleur de l’époque.
En fait une partie des applications web d’aujourd’hui sont à la fois plus performants, plus compatibles et plus utilisables que l’étaient même les applications natives avant.
Le vrai problème, c’est que nos attentes ont évolué encore plus vite.
Vous vous énervez parce qu’il faut fermer le bandeau d’information cookie et que le site ne réagit pas en attendant quelques secondes le chargement complet quand vous l’utilisez sur le mauvais navigateur ? Bande d’enfants gâtés.
On s’habitue vite. Même les plus vieux se font avoir.
Je vous vois venir. Vous allez me dire que tout ça est surtout grâce à l’explosion de la bande passante et de la puissance des machines.
Oui, et ? Il reste que tout s’est amélioré, très nettement.
Certes on aurait d’encore meilleures performances si on était resté sur de simples pages web plein texte, et on se serait évité certains problèmes, mais on n’aurait alors pas progressé sur d’autres aspects.
On n’a pas gâché 90% de l’amélioration de bande passante et de puissance de calcul avec du JS, du CSS, des polices de caractères, de la vidéo et des grosses images. On a juste utilisé une partie de ces améliorations pour d’autres gains que de la performance pure.
C’est certain qu’il y a des usages où peut-être que des documents pur texte simples et échangés très rapidement seraient préférables. Nos technologies permettent déjà de le faire si on en a besoin.
C’est juste que les compromis et les équilibres ne pointent pas si souvent que ça dans cette direction. Prétendre faire un nouveau web qui forcerait ce choix ne serait pas une avancée, ce serait une forte régression.
