Pelote de liens : une linguiste, des mots de passe et du joli web

Allez, je continue à faire le tour de mes onglets ouverts avec cette fois-ci une dose de critique de l’IA, une touche de sécurité informatique et des morceaux de développement web.

***

Article : You Are Not a Parrot And a chatbot is not a human. And a linguist named Emily M. Bender is very worried what will happen when we forget this.

La journaliste Elizabeth Weil a discuté avec Emily Bender, professeure de linguistique en charge du Master of Science in Computational Linguistics à l’université de Washington, ainsi qu’avec plusieurs autres personnes travaillant ou étudiant ce qu’on appelle aujourd’hui « l’intelligence artificielle ».

L’article pose des questions difficiles, tout en mettant en évidence l’absence de prise de recul qui accompagne la vague actuelle. J’ai trouvé intéressant d’avoir le point de vue de deux femmes - une journaliste et une experte du domaine critiqué. Leur façon de considérer un peu différemment la technologie et de poser des questions pertinentes est une bouffée d’air bienvenue dans un monde de « techbros » milliardaires un peu trop enthousiastes pour être honnêtes. L’article est long mais se lit bien.

Bender remains particularly fond of an alternative name for AI proposed by a former member of the Italian Parliament: “Systematic Approaches to Learning Algorithms and Machine Inferences.” Then people would be out here asking, “Is this SALAMI intelligent? Can this SALAMI write a novel? Does this SALAMI deserve human rights?”

Blurring the line is dangerous. A society with counterfeit people we can’t differentiate from real ones will soon be no society at all. (…) We can’t have people eager to separate “human, the biological category, from a person or a unit worthy of moral respect.” Because then we have a world in which grown men, sipping tea, posit thought experiments about raping talking sex dolls, thinking that maybe you are one too.


Papier : Crack me if You Can 2023 - Hashcat Team Debrief

Beaucoup trop d’auto-congratulation et de testostérone dans ce papier, mais quelques détails instructifs sur les moyens utilisés par les gens dont c’est le métier pour casser des mots de passe.

On apprend sans trop de surprise :

  • qu’ils s’appuient sur des outils de traitement statistique du langage à base de « Large Language Models » pour générer des mots de passe crédibles plus efficacement, et que ça fonctionne bien ;
  • qu’ils exploitent des resources « Cloud » quand ils ont besoin de puissance de calcul, malgré la ribambelle de cartes graphiques et autres circuits dédiés dont ils disposent ;
  • que malgré ces outils, ils ont encore du mal à casser les passphrases longues, même tirées de livres connus à l’avance ;
  • que l’algorithme bcrypt leur pose vraiment problème — et donc qu’il y a tout intérêt à l’utiliser partout où cela est possible quand on veut protéger des mots de passe d’utilisateurs correctement.

All cloud assets, combined with all ZTEX FPGA boards, were solely dedicated to cracking bcrypt hashes (because fuck bcrypt)


Article : I Tracked an NYC Subway Rider’s Movements with an MTA ‘Feature’

Un court article du nouveau média en ligne « 404 media ». Plus que le fond du problème - on peut consulter l’historique des voyages d’une personne utilisant sa carte bancaire pour se déplacer dans le métro New-Yorkais, simplement en connaissant le numéro de la carte - l’article met en lumière les abus qui peuvent découler.

“Obviously this is a great fit for abusers who live with their victims or have physical access, however brief, to their wallets,” Eva Galperin, the director of cybersecurity at activist organization the Electronic Frontier Foundation (EFF) and who has extensively researched how abusive partners use technology, told 404 Media. “​​Credit card info is not a goddamn unique identifier.”


Lien : Proton Pass is open source and audited for security

L’équipe de Proton Mail a développé un gestionnaire de mots de passe et en a ouvert le code source. L’interface du client a l’air un peu plus moderne que celle de Bitwarden (également open source), mais je n’ai pas compris le modèle économique derrière Proton Pass (c’est entièrement gratuit et à vie, d’après eux). Peut-être est-ce un moyen d’attirer des gens vers la suite complète, pour les inciter à prendre un abonnement.


Lien : Atkinson Hyperlegible Font

Une police de caractères proposée par le Braille Institute, avec une licence plutôt très ouverte. C’est la police de caractères utilisée par défaut dans l’interface d’administration du moteur de blog Dotclear depuis la version 2.25 (février 2023).


Lien : Tailwind CSSColor Generator

Un générateur de palettes monochromatiques assez bien fait, qui permet d’obtenir des variantes contrastées en conservant une tonalité de couleur cohérente.


Présentation : Quoi de neuf dans ES2025 ?

Une présentation courte (~30 planches) mais dense des nouveautés apportées par les itérations 2020-2023 de la spécification JavaScript, des trucs qui vont très probablement arriver dans ES2024, et des bidules qui pourraient débarquer en 2025.

(via @porteneuve, évidemment)


Lien : Address bar autocomplete suggestions in Firefox: Changing results on the fly

Je ne pense jamais à utiliser ces petites astuces pour filtrer les résultats dans la barre d’adresse de Firefox, et pourtant c’est bien pratique.


Lien : CSS @layer

Le support n’est pas si récent (février 2022 dans Firefox), mais j’étais passé bien à côté de cette syntaxe. Ça a l’air bien pratique pour refactoriser des feuilles de style ou tester de nouvelles choses sans s’embêter avec des commentaires (qui s’imbriquent mal).