Carnet de notes

Auteur/autrice : Éric

  • Et mes mots de passe ?

    Oui, je sais, ça agace tout le monde alors plutôt que de vous dire quoi ne pas faire, on va se conten­ter de dire quoi faire, et on va être réaliste en y mettant un niveau d’ef­fort et d’em­mer­de­ment très bas. J’écris des tartines mais ça se résume en 5 prin­cipes :

    La première règle théo­rique c’est de ne pas réuti­li­ser le même mot de passe deux fois, de ne pas les écrire en clair dans un fichier infor­ma­tique (et si ce sont des mots de passe profes­sion­nels sensibles, de ne pas les écrire du tout).

    Je ne sais pas vous mais j’ai trois zillions de sites, appa­reils et services qui me demandent un mot de passe. Cette première règle théo­rique est déjà impos­sible à suivre humai­ne­ment. Il n’y a pas à tortiller, la première recom­man­da­tion est incon­tour­nable :

    1. Utili­sez un gestion­naire de mots de passe

    Un gestion­naire de mots de passe c’est une sorte de coffre fort pour vos mots de passe. Seul vous y avez accès.

    Certains vous permettent de synchro­ni­ser ce coffre-fort sur vos diffé­rents appa­reils et vous offrent une inter­face pratique pour trou­ver et remplir les mots de passe qui vous sont deman­dés tout au long de la jour­née. Non seule­ment c’est plus sûr que vos anciennes habi­tudes, mais en plus ça sera plus pratique qu’a­vant. Tout bénef.

    Je peux par exemple vous recom­man­der l’open source Bitwar­den mais il y a bien d’autres alter­na­tives.

    Oh, et comme vous avez un beau gestion­naire de mots de passe dédié, désac­ti­vez la mémo­ri­sa­tion auto­ma­tique des mots de passe de votre navi­ga­teur, votre gestion­naire de mots de passe s’en char­gera à sa place. Je parie une bière que vous ne l’aviez de toutes façons pas confi­guré pour être aussi robuste que ce dernier (Chrome ne le permet d’ailleurs même pas pas).

    2. Désac­ti­ver la mémo­ri­sa­tion des mots de passe de votre navi­ga­teur

    Main­te­nant il va falloir créer tous ces mots de passe diffé­rents qu’on va ensuite stocker dans le gestion­naire de mots de passe. Un bon mot de passe est long, complexe, aléa­toire, unique.

    Bien évidem­ment, n’uti­li­sez *jamais* de géné­ra­teur de mot de passe en ligne. Vous auriez un risque que votre mot de passe se retrouve immé­dia­te­ment dans les listes à tester par les robots.

    Tous les gestion­naires de mots de passe vous offri­ront un moyen sûr de géné­rer des mots de passe de bonne qualité. Ils feront dans les 16 carac­tères avec diffé­rentes casses et des carac­tères spéciaux mais on s’en moque : Vous n’au­rez ni à les rete­nir ni à les taper. En fait vous n’avez même pas besoin de savoir à quoi ils ressemblent.

    3. Utili­sez le géné­ra­teur de mots de passe inté­gré à votre outil

    Parfois un admi­nis­tra­teur ou un service choi­sissent eux-même un mot de passe initial. Chan­gez-le avec un généré par vos soins.

    Si on vous dit qu’il est néces­saire de lais­ser le mot de passe qu’on vous a donné, ça doit lancer une alarme dans votre tête : Au mieux votre inter­lo­cu­teur n’est pas compé­tent ou le service n’est pas sûr, au pire quelqu’un se réserve volon­tai­re­ment la capa­cité d’ac­cé­der à vos données. Dans tous les cas vous n’êtes pas en zone sécu­ri­sée sur ce service.

    4. Ne lais­sez jamais les mots de passe par défaut, chan­gez-les

    Il reste qu’il faut rete­nir le mot de passe qui donne accès au gestion­naire de mots de passe lui-même. Il faut aussi rete­nir celui pour ouvrir la session sur le poste de travail person­nel et celui pour le pendant profes­sion­nel. Person­nel­le­ment je retiens aussi celui de ma boite email perso, qui donne virtuel­le­ment accès à tout si je perds les autres clefs.

    J’ai trois possi­bi­li­tés :

    1. Rete­nir 4x 16 carac­tères et symboles aléa­toires.
    2. Utili­ser une suite de symboles qui dérivent d’une phrase qu’on peut rete­nir
    3. Utili­ser une suite de mots plutôt qu’une suite de carac­tères

    Le (2) c’est ce que propose par exemple l’ou­til de la CNIL. Il est un peu agaçant parce qu’il recon­nait assez peu de choses comme des carac­tères spéciaux, mais ça montre bien la démarche.

    Le (3) part de l’idée oppo­sée. On tire au hasard une suite de mots dans une liste. Certains proposent de simple­ment les tirer au dé. Il est possible d’amé­lio­rer la mémo­ri­sa­tion de ces mots en imagi­nant une petite histoire ou petite comp­tine qui les utilise.

    Dans les deux cas l’idée est de relier le mot de passe à une phrase ou des mots qui se mémo­risent plus faci­le­ment.

    5. Utili­sez une méthode « sure » pour géné­rer les quelques mots de passe que vous devrez vrai­ment rete­nir vous-même

    Le danger c’est que notre imagi­na­tion est limi­tée par notre envi­ron­ne­ment.

    N’uti­li­sez pas un proverbe ou un refrain pour le (2), même si ça vous semble peu connu (un ordi­na­teur est capable de tester des dizaines de millions de proverbes ou refrains « peu connus », c’est à dire plus que vous n’en connais­sez vous-même et les variantes que vous pouvez en imagi­ner).

    Chaque suite de termes évidents affai­blira votre mot de passe. Tiens, est-ce que vous avez commencé votre phrase par « Je », « Il » ou « Le » ? Vous avez le droit de rajou­ter un mot/symbole parce que le premier ne compte plus.

    Ne choi­sis­sez pas vous-même les mots pour le (3). Le voca­bu­laire passif de quelqu’un de cultivé est limité à quelques milliers de mots. Le voca­bu­laire courant est bien plus faible et celui que vous aurez le loisir d’avoir en tête sera de quelques centaines tout au plus, avec une série de mots à très forte proba­bi­lité (par exemple tout ce qui est lié à l’in­for­ma­tique, à la sécu­rité ou à ce qui se trouve proche de votre bureau).

    N’uti­li­sez rien qui vous est propre (date, nom, entre­prise, événe­ment, musique préfé­rée, etc.) Ne vous croyez pas plus fin que les autres en cher­chant acti­ve­ment un mot complexe, en opérant des varia­tions ou rempla­ce­ments de lettres. Un robot sera bien plus effi­cace que vous à ces petits jeux. Vrai­ment.

    * * *

    Et voilà. Main­te­nant vous avez des mots de passe sûrs, uniques, stockés en sécu­rité. C’est déjà infi­ni­ment mieux que la moyenne, et ça ne vous a pas coûté grand chose en effort.

    La dernière étape c’est de renou­ve­ler vos anciens mots de passe : ceux qui peuvent être trou­vés par des robots, ceux qui sont les mêmes sur plusieurs services, etc. Certains gestion­naires de mots de passe comme Dash­lane peuvent même le faire pour vous.

    Bonus : Renou­ve­lez vos anciens mots de passe peu sûrs

    Si vous avez envie d’al­ler plus loin on peut parler de ne pas lais­ser déver­rouillé votre gestion­naire de mots de passe, de mettre en place une authen­ti­fi­ca­tion à double facteur, de bien penser à ce que vos postes de travail et votre smart­phone se verrouillent immé­dia­te­ment après une courte période d’inac­ti­vité, qu’ils demandent une authen­ti­fi­ca­tion au réveil, qu’ils aient des disques chif­frés… mais tout ça est pour un second épisode.

  • Petit retour sur le télé­tra­vail

    Je fais du télé­tra­vail depuis presque trois mois désor­mais. Il est peut-être temps pour un retour sur expé­rience, non ?

    Spoi­ler pour les pres­sés : Je suis mitigé.

    J’y ai gagné

    Un vrai bureau assez profond, pas de circu­la­tion autour de moi, personne pour voir mon écran, de la lumière natu­relle et un agen­ce­ment pour qu’elle ne m’éblouisse pas, un chauf­fage suffi­sant que je peux régler loca­le­ment…

    Ça devrait être un mini­mum partout mais ça ne l’est pas. Le faible inves­tis­se­ment dans les espaces de travail de la plupart des boites que j’ai croisé fait que c’est le premier point posi­tif qui me vient à l’es­prit.

    La fin des temps de trajet. Bien entendu, comparé à mes trajets Paris-Lyon le gain est énorme mais diffi­cile de consi­dé­rer que c’est lié au télé­tra­vail. Comparé à mon précé­dent boulot sur Lyon disons que j’y gagne peut-être 30 minutes par jour. C’est moins fantas­ma­go­rique que sur le papier parce que je mutua­li­sais mes trajets avec l’ac­com­pa­gne­ment du petit à l’école ou les courses du soir. Là je dois sortir exprès pour.

    C’est aussi diffi­cile

    Bosser de chez soi c’est avoir un bureau chez soi. J’y ai perdu la chambre d’ami et je ne m’y atten­dais pas. Rien n’a changé, il y a toujours eu un bureau encom­bré, et on dépliait le canapé-lit au besoin. Sauf que désor­mais je dois dire aux amis de me lais­ser la pièce avant 9h le matin et de ne pas y reve­nir avant 19h le soir, et de ne pas lais­ser trai­ner leurs affaires person­nelles entre les deux parce que j’oc­cu­pe­rai la pièce. Pas glop.

    Ok, j’y ai gagné en temps de trajet mais pendant ce temps je lisais, je regar­dais des séries, parfois j’avais la tête encore au boulot ou au contraire j’an­ti­ci­pais sur le programme de la maison, parfois je me repo­sais simple­ment la tête. Aujourd’­hui je passe du travail à la famille sans tran­si­tion et c’est inten­sif. Il me manque cruel­le­ment de ce sas de décom­pres­sion qu’é­tait le temps de trajet.  Limite si faire une marche dehors de dix minutes avant et après le travail rien que pour ça n’au­rait pas du sens.

    Les inter­ac­tions de travail sont aussi toutes plus complexes. Beau­coup passe à l’écrit et la visio pose beau­coup moins de diffi­cul­tés qu’an­ti­cipé. Tant que les gens ont un casque audio pour éviter l’écho et que tout le monde est à distance, ça va. Pour les réunions où une part signi­fi­ca­tive des colla­bo­ra­teurs sont dans une même salle de réunion locale, là par contre c’est très diffi­cile de se main­te­nir.

    Si la visio se passe bien, il faut toute­fois penser à la lancer et c’est là que ça pêche. Dans un même bureau on passe faci­le­ment voire l’autre pour discu­ter ou s’iso­ler dans une salle de réunion. Sans face à face on a tendance à rester plus long­temps à l’écrit avant de lancer la visio.

    On perd aussi la faci­lité de comprendre si le collègue est dispo­nible ou pas, s’il est d’hu­meur, quand est le bon moment pour parler. C’est au point ou si la personne n’est pas connec­tée je ne sais pas toujours si elle est en dehors de ses heures, si elle est concen­trée sur le projet, ou si elle est en congés et que ce n’est pas indiqué sur le calen­drier.

    La vraie diffé­rence, enfin, c’est surtout qu’on ne voit pas l’hu­meur des gens, qu’on n’a pas les discus­sions de machine à café, qu’on ne ressent pas la même chose. Le lien social est absent, ou presque.

    J’avais pensé que l’isole­ment social me pèse­rait moins qu’à d’autres. Je suis assez intro­verti, je parti­cipe peu à la machine à café (d’au­tant que je ne bois pas de café, je ne fume pas, je ne bois pas d’al­cool… mine de rien ça limite les prétextes). Et pour­tant… ne pas avoir parfois un délire dans le bureau entre deux collègues, une discus­sion passion­née à midi, un espace infor­mel le soir… ça manque beau­coup.

    La force de l’écrit et de la visio font qu’on y réserve le produc­tif. Il y a 8 ou 9 jour­nées d’équipes avec tout le monde sur Paris dans l’an­née pour créer du lien. C’est bien, c’est utile, mais ça ne remplace pas tout.

    Et le reste ?

    Et bien le reste ne change pas vrai­ment. Les infor­ma­ti­ciens sont déjà assez isolés. Je ne vois pas de pair program­ming mais j’ima­gine qu’on doit pouvoir monter des choses en ce sens. Il y a juste d’autres choses à faire avant.

    Idem pour les meetup et autres réunions de veille tech­nique. Ça devra prendre une forme diffé­rente, je ne peux pas vous dire laquelle aujourd’­hui mais je ne vois pas pourquoi on ne pour­rait pas trou­ver une forme adap­tée.

    Et les horai­res… Tout le monde fantasme sur les horaires et la liberté qui va avec. En réalité ça ne change pas grand chose là non plus. Si l’em­ployeur est à cheval sur les horaires au bureau il le sera sur la présence en ligne. S’il est plus cool il pourra l’être dans la même mesure pour du télé­tra­vail, pas forcé­ment beau­coup plus. Dans tous les cas on inter­agit avec des tiers, ce qui impose d’être connecté aux mêmes heures. Rien que le daily du matin cadre bien la jour­née.

  • 120 € la jour­née

    Je vais peut-être jouer le trouble fête et je vais peut-être me faire huer, mais 120€ pour un junior je trouve cela correct. Entre 0 et 2 ans, les gens sortent de l'école (Et quand je parle d'école, c'est soit des écoles d'informatiques, de design, soit des écoles via des MOOC genre OpenClassrooms en 1 an, avec au final peu de compétences dans chaque matières, je sais de quoi je parle, j'ai été mentor pour eux.). Du coup 120€ je trouve ça suffisant pour ce type de profil ! Personnellement, je vis à Québec depuis bientôt 7 mois, et j'ai commencé à faire des piges (freelance). On est payés pour des contrats à genre 25$ de l'heure, voire 35$, et j'ai 5 ans d'expérience. (En gros ça fait un taux journalier compris entre 175 et 245$). On a le même taux d'imposition (environ 25%) et on vit pourtant très bien ! Bref tout ça pour dire que personnellement je trouve les tarifs corrects. Voir un junior avec un tarif journalier à 300€ serait tellement ridicule. C'est comme si l'expérience de la personne n'avait aucune valeur, et que finalement bah "tu es développeur (ou autre), tu dois avoir un salaire élevé". #YO-LO.

    Ça revient sur le tapis trop souvent alors on va la refaire. Les plus pres­sés peuvent passer direc­te­ment à la conclu­sion.

    Mettons qu’on parte sur 217 jours de travail poten­tiels, ce qui est plus ou moins la norme Syntec. Là dessus on peut comp­ter 10% du temps en admi­nis­tra­tif, commer­cial et avant-vente.

    Mettons aussi 5% de temps non facturé, pour compen­ser une erreur, une jour­née pas effi­cace, une jour­née à vide parce qu’on attend un docu­ment ou une vali­da­tion du client…

    On arrive à 184 jours factu­rés. Bien entendu un déve­lop­peur free­lance sans aucune expé­rience et donc sans réseau n’a aucune chance de factu­rer 184 jours sa première année (même ensuite on est dans le haut de la four­chette, et il ne sera plus sans expé­rience) mais imagi­nons tout de même, pour la beauté de l’exer­cice.

    184 jours x 120 € HT = 22 080 € factu­rés par la plate­forme.

    Là dessus il faut reti­rer les frais. On part sur un auto-entre­pre­neur (les autres statuts coûte­ront plus cher). Les coti­sa­tions sociales sont de 22,2% à préle­ver sur le chiffre d’af­faire. Il reste donc 17 178 € avant les frais.

    Dans les frais il y a déjà les 12% de la plate­forme, soit 2 650 € annuels.

    À ça j’ajoute au mini­mum : 300 € de respon­sa­bi­lité civile profes­sion­nelle, 50 € de compte bancaire dédié avec moyen de paie­ment, 500 € d’amor­tis­se­ment maté­riel moyen, 100 € de consom­mables et pape­te­rie, 300 € de CFE, 200 € de licences et saas. Parce que c’est essen­tiel je compte aussi 1 000 € de mutuelle.

    Ça parait beau­coup mais c’est large­ment sous-évalué. On compte en TTC, l’auto-entre­pre­neur ne se fait pas rembour­ser la TVA.

    Comp­tons aussi que pour travailler il occupe 6 m² dédiés chez lui (une demie-pièce) qu’on peut évaluer à 13 € mensuels le m² charges comprises (oui, c’est arbi­traire, mettons qu’il a un appar­te­ment pas cher dans une grande ville) soit envi­ron 1 000 €.

    17 178 – 2 650 – 2 450 – 1 000 = 11 078 € nets annuels.

    Un free­lance à 120 € par jour c’est moins de 80% d’un SMIC (13 845 € nets).

    J’ai pris le cas vrai­ment idéal, des frais réduits et quasi­ment aucun jour non facturé. En pratique ça sera beau­coup moins.

    Bien entendu pour ça il n’a aucune garan­tie de travail, aucune assu­rance chômage, impos­si­bi­lité sérieuse d’ac­cès au crédit, une galère pour trou­ver un loge­ment à cause de tout ce qui précède, et des indem­ni­tés symbo­liques en cas d’ar­rêt de travail pour raison de santé.

    Donc non un quart de moins que le SMIC ce n’est pas « correct » pour un plein temps avec une quali­fi­ca­tion très tech­nique. C’est même assez honteux de le suggé­rer.

  • Il parait qu’on nous apprend à apprendre

    Qu’a­vez-vous appris dans vos études supé­rieures qui vous serve encore aujourd’­hui ? Moi pas grand chose, et je pense qu’il en va de même pour la plupart des infor­ma­ti­ciens qui sont passés par le circuit des écoles d’in­gé­nieur clas­siques. Pour les autres il y a proba­ble­ment plus de concret mais on regarde bien vite au-delà des acquis de la forma­tion initiale.

    Il parait qu’on nous apprend à apprendre, à réflé­chir, à trou­ver des solu­tions à des problèmes nouveaux, que c’est le cœur de notre métier.

    C’est peut-être vrai mais à ce moment là c’est ensuite que ça dérape.

    Ensuite on ne parle plus de forma­tion ni d’ap­pren­tis­sage. Même le stage de fin d’étude n’est qu’une auto­ri­sa­tion à être un peu moins produc­tif ou à passer quelques jours à lire des docu­men­ta­tions.

    « Tu es déjà bien assez cher, on ne peut pas se permettre de te former à ce que tu ne connais pas. Si tu ne sais pas c’est que tu n’es pas la personne qu’il nous faut. Nous on veut quelqu’un qui puisse nous appor­ter de l’ex­pé­rience. »

    Plus on avance, plus on exige que l’in­for­ma­ti­cien sache. Il doit savoir tout faire, tout esti­mer, faire les bons choix du premier coup, imagi­ner l’ar­chi­tec­ture pour les 2 ans à venir d’un produit dont on n’a pas encore décidé à quoi il ressem­blera le mois prochain, comme s’il avait la science infuse.

    Dans le meilleur des cas on déclen­chera une pres­ta­tion d’ac­com­pa­gne­ment dans l’an­née sur un sujet haute­ment tech­nique ou une forma­tion excep­tion­nelle de deux jours sur une techno super récente, un peu comme si le savoir pouvait s’ache­ter sur étalage.

    Ne marchons-nous pas un peu sur la tête ?

    En plus d’être inef­fi­cace, cette façon de faire rend les colla­bo­ra­teurs soit mal dans leur peau (via la pres­sion, le senti­ment de ne pas y arri­ver) soit désim­pliqués (quand ils finissent par perdre confiance ou lâcher l’en­vie d’y arri­ver). Bien entendu le donneur d’ordre finit par raffer­mir ses attentes et son contrôle, alimen­tant la pompe pour un joli cercle vicieux dont il est diffi­cile de sortir.

    * * *

    Et c’est de pire en pire au fur et à mesure des respon­sa­bi­li­tés. Quand on parle de lead, je crois que je ne connais quasi­ment personne qu’on ait formé à ce poste et aux enjeux. Tu l’es ou tu ne l’es pas. Ça s’ar­rête là. Tu coûte déjà trop cher et personne n’est là pour prendre du temps à ça.

    Quand on commence à parler de mana­ge­ment ça devient déli­rant. Personne n’ex­plique, comme si avoir été enca­dré (pour ceux qui l’ont vrai­ment été) suffi­sait à savoir répondre aux besoins d’une équipe.

    Pas très éton­nant qu’on tombe faci­le­ment dans le culte du cargo au niveau des méthodes et des croyances.

  • Faire plus de réunions

    Je vois souvent des gens mili­ter contre les réunions. Mon expé­rience est oppo­sée. Faites des réunions, souvent, autant que néces­saire.

    Faites les courtes, avec un ordre du jour précis commu­niqué à l’avance et avec un livrable en sortie : déci­sion prise, infor­ma­tion parta­gée, docu­ment édité en commun ou assi­gna­tion de tâches.

    Se réunir c’est commu­niquer et colla­bo­rer. Je suis étonné que beau­coup ne se rendent pas encore compte que c’est le cœur du travail en entre­prise.

    Je n’ai encore jamais croisé d’or­ga­ni­sa­tion malade d’un trop plein de réunions bien menées. L’op­posé est par contre assez facile à trou­ver.

    Géné­ra­le­ment ces réunions sont néces­saires.

    Le problème n’est pas dans l’exis­tence de la réunion mais dans l’ab­sence de travail réalisé avant (prépa­ra­tion, ordre du jour, envoi des docu­ments utiles pour que chacun ait le contexte et puisse l’étu­dier au préa­lable), pendant (pas de cadrage, pas de livrable, pas de fil conduc­teur, pas de suivi de l’ordre du jour, personnes qui parlent sans savoir ou qui lancent des discus­sions hors sujet, voire non construc­tives) ou après (pas de suivi, actions à faire non assi­gnées à des respon­sables, pas de commu­ni­ca­tion au reste de l’en­tre­prise, pas de prise en compte des déci­sions).

    Du coup les réunions sont longues, semblent ne servir à rien (et souvent ne servent à rien). Les suppri­mer fait dispa­raitre l’ano­ma­lie visible mais ne répond pas du tout au besoin initial. On met juste la pous­sière sous le tapis en espé­rant que ça va bien se passer. C’est rempla­cer un mauvais fonc­tion­ne­ment par un autre.

    Atten­tion toute­fois : Ne rédui­sez pas les réunions à la partie effi­cace. Quand vos réunions seront courtes et centrées sur les besoins opéra­tion­nels, quand vous aurez éliminé les temps morts et les échanges hors sujet… l’en­tre­prise va en souf­frir.

    Il y a aussi besoin de respi­ra­tion. Il y a besoin du lien social où on demande à son voisin s’il a passé de bonnes vacances. Il y a besoin que la personne en face répète une énième fois la stra­té­gie ou le problème qu’il a, parce que tout n’est pas entendu la première fois. Il y a besoin que la personne à l’autre bout de la table parte parfois en hors sujet pour faire germer une idée ou remarque plutôt que de l’ou­blier l’ins­tant d’après.

    Ceci n’est pas un plai­doyer pour un joyeux bordel, mais les temps morts et les déra­pages sont dans une certaine mesure essen­tiels à l’en­tre­prise et à son bon fonc­tion­ne­ment.

    Une façon de voir c’est que les gens soient bien à l’heure, donc souvent cinq minutes en avance là où on se dit bonjour et où on créé le lien, et que les cinq à dix minutes suivant la réunion ne soient pas occu­pées, pour permettre aux gens d’échan­ger en mode « devant la machine à café ». Vous gardez la réunion effi­cace sans pour autant confondre les colla­bo­ra­teurs avec des robots.

  • Rempla­cer Ligh­troom

    Le trai­te­ment des images est une grosse partie de mon travail photo­gra­phique. Aujourd’­hui c’est essen­tiel­le­ment du ligh­troom, excep­tion­nel­le­ment du photo­shop quand je souhaite défor­mer des choses ou faire du masquage complexe.

    Là dessus je fais la sélec­tion, je traite les contrastes, les courbes, les lumières, les couleurs, la netteté, le vignet­tage. Je recadre, retouche les peaux, fais des trai­te­ments locaux, retire des objets dans le fond ou renforce un élément de la photo. Je tente diffé­rentes solu­tions, duplique virtuel­le­ment les images, compare, copie des réglages de photo en photo, note, filtre ma sélec­tion au fur et à mesure et exporte les jpeg.

    La version « clas­sique » de Ligh­troom étant appelé à s’éteindre, j’ai cher­ché voir autre chose, autant pour sortir du modèle de sous­crip­tion que pour voir ce qui existe ailleurs.

    J’ai testé les Dark­table et Rawthe­ra­pee, Affi­nity, On1 photo raw et DxO photo­lab. Mise à jour : On m’a depuis proposé de jeter un oeil à Lumi­nar et je crois qu’on tient le bon.

    Sur Dark­table et Rawthe­ra­pee on retrouve le défaut trop clas­sique des outils open source. L’in­ter­face est complexe, pas pratique, peu agréable. Je privi­lé­gie toujours les outils libres quitte à batailler un peu plus au quoti­dien, mais là la marche semblait un peu trop haute.

    Dark­table a l’air plus adapté à ce que je veux faire mais j’en suis au point où une partie de la fenêtre sortait de mon écran et qu’il m’était impos­sible de la redi­men­sion­ner plus petite. Les ascen­seurs ne semblaient pas répondre aux gestes habi­tuels de mon touch­pad non plus. C’est peut-être spéci­fique à la version Mac cepen­dant.

    Rawthe­ra­pee était encore plus complexe. Je suis convaincu que ça doit être puis­sant mais là on sort de mon usage, et je n’ai pas envie d’ap­prendre la théo­rie du trai­te­ment d’image pour simple­ment trai­ter mes photos.

    On m’avait vendu l’as­pect non destruc­teur et les capa­ci­tés de déve­lop­pe­ment raw d’Af­fi­nity mais je me suis retrouvé avec un équi­valent de Photo­shop qui n’en parta­geait pas pour autant la logique que je connais­sais. J’y revien­drais peut-être mais ça ne m’a pas convaincu.

    On1 photo raw corres­pond bien plus à ce que je cher­chais. Comparé à Ligh­troom il semble beau­coup plus basé sur l’ap­pli­ca­tion de filtres et d’ef­fets prédé­ter­mi­nés. Je pour­rais m’y faire mais j’ai du mal à retrou­ver mes petits lors d’une première explo­ra­tions. Il faut dire que je reprends toujours de zéro sur Ligh­troom, sans utili­ser les presets, donc ma pratique va un peu à contre­sens de ce que propose On1 comme compor­te­ment par défaut.

    Ce qui me bloque c’est surtout le côté retouche. J’ai des outils qui semblent basiques mais rien pour m’y raccro­cher. Visi­ble­ment ça créé d’of­fice un PSD. Je suppose qu’on y verra les diffé­rentes couches dedans mais je n’ai rien direc­te­ment dans On1 pour sélec­tion­ner une retouche et l’an­nu­ler, ou la modi­fier. Ça ne va juste pas être possible.

    DxO photo­lab ressemble à un clone de Ligh­troom l’er­go­no­mie en moins. Mon usage semble entrer parfai­te­ment dans l’ou­til. Le trai­te­ment de chaque modi­fi­ca­tion est lent, bien plus que Ligh­troom, mais je pour­rai m’y faire. L’in­ter­face me semble moins pratique mais on y gagne peut-être en confi­gu­ra­tion dans le panneau de droite. Bref, pourquoi pas.

    Le seul problème que je vois est au niveau des retouches. Je n’ai plus que des répa­ra­tions locales auto­ma­tiques, sans possi­bi­lité de choi­sir la zone réfé­rence ni possi­bi­lité d’uti­li­ser un tampon pour les cas les plus complexes. J’ai moins de contrôle donc j’ai peur de devoir bascu­ler souvent vers un logi­ciel d’édi­tion en paral­lèle.

    Chan­ger d’ou­til et d’ha­bi­tudes est toujours diffi­cile mais là j’ai l’im­pres­sion que la concur­rence n’est pas au niveau. La bascule risque d’être diffi­cile.

    Et Lumi­nar ?

    Merci de m’avoir proposé Lumi­nar. On travaille par couche d’ef­fets succes­sifs. L’in­ter­face est bien faite, les valeurs par défauts et propo­si­tions sont censées. On joue faci­le­ment et je me suis retrouvé avec des choses que je n’au­rais pas su trou­ver sans aide sur Ligh­troom. Bref, ça m’a donné envie de bascu­ler.

    J’ai cepen­dant toujours le même défaut que sur DxO. Les rempla­ce­ments/effa­ce­ments ne peuvent pas être contrô­lés manuel­le­ment et je n’ai pas assez confiance pour croire que ça se passera toujours bien. Quant à la créa­tion de masque avec le pinceau, elle n’a pas de mode de détou­rage assisté. Là on touche quelque chose de vrai­ment gênant pour ma pratique. Ça peut se traduire par des heures de boulot en plus vu que j’uti­lise beau­coup de trai­te­ment local basé sur des détou­rages.

    Il manque aussi tout le cata­lo­gage, donc la possi­bi­lité de compa­rer ds photos, de filtrer mes sélec­tions, ou de reco­pier des réglages entre photos. Bien dommage.

    Je vais peut-être essayer de voir ce que je peux faire sur une séance, pour voir. Clai­re­ment c’est le meilleur candi­dat.

  • Inci­ta­tion à perfor­mance par des primes dans les admi­nis­tra­tions de santé

    Il se nomme d’après une légende de l’Inde colo­nia­liste. Esti­mant qu’il y avait trop de cobras dans la ville de Delhi, les auto­ri­tés déci­dèrent de mettre en place une récom­pense pour chaque tête de cobra rappor­tée. La mesure eu un franc succès, jusqu’à ce que l’ad­mi­nis­tra­tion découvre des fermes de cobras, elle arrêta alors le programme de récom­penses et les éleveurs relâ­chèrent leur animaux, augmen­tant le nombre de cobras initia­le­ment présents dans la ville.

    Visi­ble­ment tout le monde ne connait pas encore l’ef­fet cobra.

    Ce matin j’en­tends une poli­tique de la majo­rité parler d’in­ci­ta­tion à perfor­mance par des primes dans les admi­nis­tra­tions de santé, et plus parti­cu­liè­re­ment en EHPAD. En quelques minutes elle dit que l’im­por­tant n’est pas de faire des actes mais d’ai­der les gens, et envi­sage trois exemples d’in­di­ca­teurs :

    • La baisse du nombre d’actes
    • Permettre aux gens de rentrer chez eux plus tôt (baisse de durée des séjours)
    • Limi­ter le nombre de fois où on fait reve­nir les gens (baisse des réad­mis­sions)

    Sérieu­se­ment, même avec des agents dont l’objec­tif prin­ci­pal sera la qualité des soins, n’y a-t-il personne pour iden­ti­fier d’aussi mauvais indi­ca­teurs ? pour voir que ça va déra­per, voire être dange­reux ?

    Nous allons mettre des gens, souvent mal payés vis à vis de leur impli­ca­tion, en posi­tion de se dire « ça me semble utile mais si je fais cet acte de soin je risque de faire une croix sur ma prime ». Vu qu’on parle de primes d’équipes, on peut même avoir la pres­sion malsaine des collègues « tu aurais du refu­ser la réad­mis­sion de cette personne, tu ne peux pas mettre en diffi­culté finan­cières tes collègues comme ça en cette période », qu’elle soit expli­cite, impli­cite ou même auto-suggé­rée.

    Le pire étant la prise de risque du  « norma­le­ment ça devrait bien se passer, si je la renvoie chez elle dès main­te­nant, on évite d’am­pu­ter le salaire de ce mois ».

    Vous n’y croyez pas ?

    Nos soignants sont dédiés à la cause. J’ai bon espoir que le person­nel résiste au mieux à cette pres­sion, quitte à devoir faire une croix sur leur rétri­bu­tion finan­cière et à se prendre encore des critiques sur leur gestion. Dans le meilleur des cas nous aurons un superbe exemple du méca­nisme de double contrainte contra­dic­toire, géné­rant un mal-être supplé­men­taire gigan­tesque, de l’épui­se­ment ou des burn out.

    Notre poli­tique se plai­gnait qu’on parle de prime à la perfor­mance dans le service public depuis long­temps sans pour autant l’avoir fait. Oui, ceci peut expliquer cela : C’est diffi­cile de trou­ver de bons indi­ca­teurs sans effet pervers. Très diffi­cile, surtout quand la rela­tion de confiance est déjà rompue avec l’au­to­rité de contrôle.

    * * *

    Oui, la gestion finan­cière est impor­tante. Inci­ter à éviter les gâchis est une bonne chose. Mais si on commence à donner des primes sur ce critère, il risque de primer sur l’objet même du service donné. C’est du mana­ge­ment de base ça. Comment ceux qui veulent faire fonc­tion­ner le service public comme une entre­prise peuvent-ils l’ou­blier ?

    Quand on base le service public – non rentable par nature – sur des indi­ca­teurs de perfor­mance finan­ciers, c’est évident que ça va mal se passer quelque part. Quand on veut gérer des services publics avec des recettes idéo­lo­giques éculées, ça ne se passe pas mieux.

    Au-delà, le prin­cipe même des primes sur objec­tif est contre-produc­tif à la base, mais là aussi il faut avoir un peu lu pour éviter les préju­gés basés sur l’in­tui­tion. Je vous recom­mande au mini­mum la courte vidéo de cet ancien billet.

  • Le burn-out en mala­die profes­sion­nelle, la FAQ

    J’en ai marre du FUD sur l’ins­crip­tion du burn out au tableau des mala­dies profes­sion­nelles alors je vais faire une petite FAQ.

    Je parle dans la suite de burn out mais si vous voulez être pédant vous pouvez parler du syndrome d’épui­se­ment profes­sion­nel. Ça fait plus scien­ti­fique mais ça revient au même.

    Ce n’est pas (offi­ciel­le­ment reconnu comme) une mala­die

    Si. Ça ne prête en fait pas vrai­ment à débat.

    La France est un pays qui aime bien les listes admi­nis­tra­tives mais on n’en est heureu­se­ment pas à défi­nir exhaus­ti­ve­ment ce qui est ou pas une mala­die en fonc­tion d’une liste offi­cielle. Cette liste offi­cielle exhaus­tive n’existe pas.

    Pour être complet, il existe bien une clas­si­fi­ca­tion inter­na­tio­nale mais qui a pour objec­tif de caté­go­ri­ser puis réali­ser des statis­tiques, pas de régle­men­ter ou défi­nir ce qui doit être reconnu ou non comme une mala­die. Elle fait de plus l’objet de critiques et contro­verses juste­ment concer­nant la section sur les mala­dies mentales.

    Nous n’avons même pas de défi­ni­tion légale de ce qu’est une mala­die au regard de la loi. Il nous reste donc le diction­naire :

    Alté­ra­tion de l’état de santé se mani­fes­tant par un ensemble de signes et de symp­tômes percep­tibles direc­te­ment ou non, corres­pon­dant à des troubles géné­raux ou loca­li­sés, fonc­tion­nels ou lésion­nels, dus à des causes internes ou externes et compor­tant une évolu­tion.

    Il me parait super­flu de démon­trer que le burn out entre bien dans cette défi­ni­tion. Pour les plus récal­ci­trants, le même diction­naire parle de mala­die (noire) pour un « état patho­lo­gique carac­té­risé par un état de profonde tris­tesse » et de mala­die (mentale, nerveuse ou psychique) pour du « trouble du compor­te­ment ».

    J’ai pris la défi­ni­tion du TLFi parce que ce diction­naire fait clai­re­ment réfé­rence mais si vous préfé­rez la plus offi­cielle neuvième édition du diction­naire de l’Aca­dé­mie française, on y trouve « Alté­ra­tion plus ou moins profonde et durable de la santé ; état d’une personne malade ». Sauf à nier la notion de santé mentale et de mala­die psychique, on peut faci­le­ment dire que le burn out quali­fie là aussi.

    À ceux qui ne se suffisent pas de l’ar­gu­men­ta­tion linguis­tique, le burn-out est suivi par des méde­cins et/ou psycho­logues, parfois de façon médi­ca­men­teuse (même si ce n’est clai­re­ment pas un bon critère pour iden­ti­fier une mala­die). Il est souvent la cause racine d’in­ter­rup­tions de temps de travail données par des méde­cins et vali­dées par la sécu­rité sociale. On a des docu­ments issus d’or­ga­ni­sa­tions et d’ad­mi­nis­tra­tions de santé à propos du burn out. Il est même excep­tion­nel­le­ment reconnu pour certaines personnes comme acci­dent du travail (sisi) ou comme mala­die profes­sion­nelle (preuve s’il en est que même l’ad­mi­nis­tra­tion consi­dère que ça peut en être une, le problème n’est pas là).

    L’ins­crip­tion au tableau n’est pas néces­saire

    Elle ne l’est pas. On peut tout à fait faire recon­naitre son burn out comme mala­die profes­sion­nelle sans que cette mala­die ne soit inscrite au tableau. Il y a une procé­dure pour ça, qui juge le cas indi­vi­duel. Certains cas sont accep­tés tous les ans.

    Le para­graphe précé­dent est d’ailleurs vrai pour *tou­tes* les mala­dies inscrites au tableau. *Tou­tes* pour­raient théo­rique­ment être recon­nues comme mala­dies profes­sion­nelles même si elles n’y étaient pas inscrites. L’enjeu n’est pas là.

    Le problème c’est que la procé­dure indi­vi­duelle est complexe. Il faut prou­ver la mala­die (ça c’est l’étape simple), que la mala­die peut être provoquée par les condi­tions de travail (ça reste faisable) mais aussi que ce sont ces condi­tions de travail et *exclu­si­ve­ment* ces condi­tions de travail qui ont déclen­ché la mala­die. Et là…

    Démon­trer l’ab­sence d’autres causes possibles, même partielles, c’est carré­ment mission impos­sible. Démon­trer l’ab­sence de quelque chose, c’est déjà géné­ra­le­ment un tour de force mais alors quand on parle de déter­mi­ner objec­ti­ve­ment et exhaus­ti­ve­ment les causes d’une affec­tion menta­le… ça devient du Houdini.

    Bref, il y a évidem­ment des excep­tions, des cas qui permettent d’ap­por­ter des preuves, ou même proba­ble­ment des dossiers excep­tion­nel­le­ment étudiés avec empa­thie et bien­veillance malgré des règles théo­rique­ment très strictes, mais autant dire que la procé­dure indi­vi­duelle n’est pas la solu­tion. N’es­pé­rez pas réus­sir.

    Le problème est d’ailleurs le même pour l’es­sen­tiel des mala­dies profes­sion­nelles. Tu es soumis à un agent patho­gène pendant des années. Tu tombes malade avec la mala­die corres­pon­dante. Théo­rique­ment rien ne prouve que tu n’au­rais pas pu l’at­tra­per ailleurs, que tu ne l’au­rais pas eu quand même.

    C’est *exac­te­ment* pour ça qu’on a créé le tableau des mala­dies profes­sion­nelles. Ça dit que si les condi­tions d’ex­po­si­tion sont réunies au travail (au deman­deur de le prou­ver) et qu’il a attrapé la mala­die décrite (à prou­ver aussi) alors dans ces cas là, et unique­ment dans ces cas là, on présume que la cause est proba­ble­ment profes­sion­nelle.

    L’em­ployeur peut toujours prou­ver que les condi­tions d’ex­po­si­tion n’étaient pas si réunies que ça, notam­ment par des mesures de préven­tion et des règles internes pour éviter l’ex­po­si­tion. Il peut toujours prou­ver qu’il y a d’autres causes pour un cas précis. Bref, ce n’est qu’une présomp­tion, mais elle permet d’évi­ter une preuve impos­sible à appor­ter, ou en tout cas d’évi­ter de reje­ter un nombre exces­sif de dossiers légi­times.

    On ne parle que de ça. Prou­ver qu’il y a un envi­ron­ne­ment propre à une pres­sion exces­sive, du harcè­le­ment moral, une déres­pon­sa­bi­li­sa­tion puis­sante et une situa­tion psychique propre à créer le burn out effec­ti­ve­ment subi, ça reste diffi­cile. C’est diffi­cile, subjec­tif, fran­che­ment pas une porte ouverte à toutes les demandes farfe­lues, mais entre ça et prou­ver l’ab­sence d’autres sources possibles, c’est le jour et la nuit.

    Pensez qu’il faut de plus faire tout ça alors qu’on est juste­ment dans un état de faiblesse et d’épui­se­ment mental extrême, parti­cu­liè­re­ment vis à vis de tout ce qui vient du milieu du travail. C’est un peu comme deman­der à un amputé des deux bras de rédi­ger lui-même par écrit les circons­tances de son acci­dent.

    On peut le faire recon­naitre comme acci­dent du travail

    Pour moi c’est le plus magni­fique contre-argu­ment. L’idée c’est qu’au lieu d’at­tri­buer le burn out à une expo­si­tion globale à une situa­tion profes­sion­nelle propice, on tente d’iden­ti­fier un fait déclen­cheur unique. Ça permet de quali­fier un acci­dent et de le faire recon­naitre ainsi.

    Ça fonc­tionne parfois, pour ceux qui arrivent à iden­ti­fier un événe­ment déclen­cheur spéci­fique, mais ça n’est en rien une solu­tion géné­ra­li­sable.

    C’est surtout un contour­ne­ment. Pour quali­fier un acci­dent du travail, il faut toujours prou­ver qu’il y a mala­die (les consé­quences de l’ac­ci­dent). Il faut toujours prou­ver que la cause est profes­sion­nelle. Il faut cepen­dant en plus prou­ver que cette cause a un fait déclen­cheur soudain et unique.

    En théo­rie ce devrait être plus limité, plus diffi­cile. En pratique la procé­dure est plus simple, plus ouverte.

    L’idée c’est donc de trou­ver un fait signi­fi­ca­tif sur lequel on pour­rait tenter de raccro­cher le burn out, quitte à esca­mo­ter tout le reste. Sauf dans quelques cas excep­tion­nels, on est à la limite de la fausse décla­ra­tion.

    Que certains en soient réduits à passer par là et que ça fonc­tionne démontre plutôt juste­ment à quel point le parcours de recon­nais­sance indi­vi­duelle de burn out en mala­die profes­sion­nelle est tota­le­ment inadapté. Il y a besoin d’un allè­ge­ment des preuves, exac­te­ment dans ce que permet l’ins­crip­tion au tableau prévu à cet effet.

    Et puis merde ! présup­po­ser que le syndrome d’épui­se­ment *pro­fes­sion­nel* a a-priori une cause liée à l’en­vi­ron­ne­ment profes­sion­nel est-ce vrai­ment si déli­rant que ça ?

    On préfère agir via une poli­tique de santé publique

    Faites donc. Il y a une telle absence d’ac­tion face au problème que ça ne peut pas faire de mal. J’ima­gine qu’une simple circu­laire inci­tant les admi­nis­tra­tions concer­nées à trai­ter les dossiers avec bien­veillance et empa­thie pour­rait déjà large­ment contri­buer à une amélio­ra­tion des choses. Même ça n’a pas été fait (ce qui pour moi est la preuve qu’il y a surtout une volonté de ne *pas* ouvrir la porte à des prises en compte de mala­dies mentales, du moins pas autre­ment qu’au compte goutte).

    On pour­rait aussi impo­ser aux employeurs de grandes entre­prises d’avoir des dispo­si­tifs de préven­tion et de prise en compte du problème. L’ins­pec­tion du travail pour­rait enquê­ter dans les domaines et entre­prises qui génèrent des taux anor­maux de burn out. Elle pour­rait aussi passer à la répres­sion quand les condi­tions humaines sont destruc­trices pour l’in­di­vidu. Pour ça on pour­rait recru­ter un peu dans l’ins­pec­tion du travail qui n’ar­rive déjà pas à gérer le strict mini­mum et où imagi­ner analy­ser l’en­vi­ron­ne­ment psychique doit rele­ver de la science-fiction.

    Bref, faites donc, mais je ne vois pas en quoi ce serait exclu­sif d’une inscrip­tion au tableau des mala­dies profes­sion­nelles. Au contraire, faire les deux serait d’une superbe cohé­rence dans l’ac­tion publique.

    Ça va amener plein d’abus

    FUD (fear, uncer­tainty and doubt).

    On ne parle déjà que de gens effec­ti­ve­ment atteints par le syndrome d’épui­se­ment profes­sion­nel, qui peuvent être recon­nus comme tels et le prou­ver. Ce n’est pas un truc marrant qu’on prend par plai­sir. On ne parle pas de simple­ment réper­to­rier tous ceux qui sont fati­gués ou n’ont pas envie d’al­ler travailler le lundi matin.

    Ensuite on parle de prou­ver des condi­tions. Chaque inscrip­tion au tableau des mala­dies profes­sion­nelles est liée à des condi­tions d’ex­po­si­tion profes­sion­nelles. Il faudra donc prou­ver que l’en­vi­ron­ne­ment corres­pond à celui de nature à créer des burn out. On parlera proba­ble­ment de pres­sion, de mana­ge­ment humi­liant, de harcè­le­ment, et globa­le­ment de situa­tion psycho­lo­gique destruc­trice. Il faudra le prou­ver, et imagi­nez bien que l’em­ployeur fera tout ce qu’il peut pour ne surtout pas lais­ser acter offi­ciel­le­ment qu’il a un tel envi­ron­ne­ment.

    Bref, on va permettre de faire effec­ti­ve­ment recon­naitre des cas de burn out sans deman­der l’im­pos­sible. On ne dit pas que ça va d’un coup être facile pour autant.

    Mais surtout, aujourd’­hui on sait que cette mala­die touche du monde, et que ça augmente de plus en plus. Les dossiers accep­tés sont peu nombreux. L’abus il existe déjà, aujourd’­hui, et il est au détri­ment des gens qui souffrent.

    En déter­mi­nant de quelle côté est la présomp­tion (le seul effet de l’ins­crip­tion au tableau des mala­dies profes­sion­nelles), on peut choi­sir la situa­tion qui génè­rera le moins d’injus­tices.

    Ce serait anor­mal de consi­dé­rer que l’em­ployeur est forcé­ment en faute

    Ça tombe bien, il n’en est pas ques­tion ici. Il s’agit d’at­tri­buer une cause qui permet à la sécu­rité sociale de couvrir plus ou moins bien les consé­quences de la mala­die, pas de dire si cette cause relève ou non d’une faute de l’em­ployeur.

    Il peut y avoir une mala­die profes­sion­nelle sans faute ni indem­ni­sa­tion spéci­fique de l’em­ployeur, comme il peut y avoir recon­nais­sance d’une faute et indem­ni­sa­tion du préju­dice sans recon­nais­sance pour autant d’une mala­die profes­sion­nelle.

    Main­te­nant à titre person­nel je ne verrai pas forcé­ment d’un mauvais œil qu’on commence à inquié­ter les employeurs quand le burn out vient de condi­tions humaines inac­cep­tables ou d’un défaut de préven­tion flagrant.

  • Reprendre le contrôle

    On m’a encore demandé quel serait la prochaine petite révo­lu­tion. Ça tourne dans ma tête depuis un moment et j’ai ma réponse : la reprise de contrôle.

    Je veux reprendre le contrôle de ma vie privée, de mes données, de ce qui est fait avec.

    Ça veut dire sortir les données des silos où elles sont

    Télé­char­ger mes factures pour y accé­der hors du site web de chacun de mes four­nis­seurs élec­tri­cité, gaz, inter­net, télé­phone, etc. Télé­char­ger mes rele­vés bancaires, ceux de mes rembour­se­ments de santé, ceux de mes consom­ma­tions télé­pho­niques.

    Télé­char­ger mes contacts sur Face­book, LinkedIn, Twit­ter. Inven­to­rier et synchro­ni­ser les likes, les favo­ris, les groupes, les listes, les commen­taires.

    Il faut que je puisse accé­der simple­ment à ces données, les croi­ser, créer des usages autour sans que tout se fasse labo­rieu­se­ment à la main.

    Cozy Cloud vient de faire l’an­nonce du lance­ment de sa V3 et j’y vois un premier pas essen­tiel dans la bonne direc­tion. L’ar­ri­vée du RGPD va proba­ble­ment aussi bien aider à l’émer­gence de quelques projets sur la récu­pé­ra­tion des données.

    Ça veut dire proté­ger mes données

    Proté­ger mes données ça ne veut pas dire mettre un mot de passe compliqué. Ça veut dire ne plus permettre qu’un tiers puisse y accé­der sans ma permis­sion. C’est autant de la sécu­rité que de la vie privée.

    Je ne veux pas que Drop­box puisse lire mes fichiers, que Micro­soft connaisse le contenu des docu­ments édités en ligne avec mes amis, qu’un employé de Google puisse lire toutes mes archives email depuis 10 ans et qu’il connaisse les détails de ma vie en regar­dant mon agenda.

    Et pour­tant je ne crois pas à l’auto-héber­ge­ment et au retour à l’in­for­ma­tique locale. Pouvoir accé­der à mes données de n’im­porte où sans jongler à la main avec diffé­rentes versions d’un même fichier est un confort que je ne veux pas remettre en cause.

    Je veux simple­ment chif­frer mes données, côté client, sans donner la clef au pres­ta­taire.

    Certains services le proposent pour les fichiers dans le cloud mais ça reste encore trop rares. Côté email, agenda et colla­bo­ra­tion sur des docu­ments en ligne, là c’est le désert ou presque.

    Ne me parlez pas de GPG, ça ne répond pas au besoin. Je ne veux pas attendre le jour où mes colla­bo­ra­teurs m’en­ver­ront des emails déjà chif­frés. Je doute que ça arrive dans les dix prochaines années. Je veux pouvoir chif­frer de mon côté les emails qu’ils m’en­voient en clair, avant même de les écrire sur disque.

    Ça veut dire chan­ger le fonc­tion­ne­ment des OS

    Je ne veux pas que n’im­porte quel logi­ciel sur mon poste puisse inter­agir avec mes données ou avec le reste du système.

    Les OS mobiles sont déjà un peu plus avan­cés que les autres. Chaque appli­ca­tion est isolée et n’a pas accès à tout le disque, à tous les péri­phé­riques, encore moins aux autres appli­ca­tions. C’est le début, mais il suffit d’au­to­ri­ser skype à utili­ser le micro pour que l’app soit capable d’es­pion­ner silen­cieu­se­ment 24/24. Si ça fonc­tionne à peu près juste­ment parce qu’on est en silo avec très peu de données communes.

    Demain Il y a toute une approche à inver­ser, où on n’at­tri­bue pas des droits à des appli­ca­tions mais où on part des données.

    Sérieu­se­ment, je ne peux même pas sépa­rer le perso et le pro sans avoir à créer deux comptes utili­sa­teurs sépa­rés sur ma machine.

    Je veux pouvoir donner accès au carnet d’adresse mais unique­ment aux contacts pro, et pas Pierre ni Nico­las, mais je veux bien donner accès à Julie qui est dans mes contacts persos. En réalité je veux faire plus que sépa­rer pro et perso. Je ne veux pas que l’ap­pli­ca­tion en face gère ce filtre, je veux moi choi­sir quelles données il verra, en amont.

    Là on est quasi­ment au pied de la montagne. Qubes-OS est un des seuls que je vois tenter quelque chose mais ça reste une approche sécu­rité basée sur une isola­tion complète de plusieurs envi­ron­ne­ments, pas une maitrise des données elles-mêmes. Il y a tout à créer.

  • Dis Mozilla, et si tu écou­tais tes utili­sa­teurs ?

    La première fois que Mozilla a imaginé de mettre des publi­ci­tés dans la page « nouvel onglet ». Quand on réflé­chit à des pistes nouvelles, parfois on s’égare. Pas de problème. La conclu­sion de la commu­nauté était que non, il ne fallait pas de publi­ci­tés dans les nouveaux onglets. Même en opt-out, même en respec­tant le « do not track ». À partir de là on sait.

    La seconde fois, quand Mozilla a parti­cipé à un contexte promo­tion­nel pour une série TV, on a bien voulu parler de faux pas. L’exer­cice était limité, la réponse a toute­fois été sans appel : Non.

    Un verre ça va, trois verres bonjour les dégâts. Après ces deux tenta­tives, remettre le couvert une troi­sième fois avec une idée quasi iden­tique à la première, ça commence à être un problème dont il faut parler, plus des erre­ments.

    Mozilla, je comprends le problème de finan­ce­ment mais si tu n’écoutes pas tes utili­sa­teurs, tout le finan­ce­ment imagi­nable se révé­lera bien vain.