Archive pour octobre 2019

ULLM permanence

Jeudi 31 octobre 2019

 

Bonjour les Libristes,

Nos permanences se poursuivent et se tiendront :

à la Maison de la Vie Associative, de 16h00 à 18h00 les vendredis 8, 15, 22 et 29 novembre.

 

Des présentations sont en préparation, nous vous informerons.

Fonctionnement des permanences :

- le premier arrivé se signale à l’accueil et demande l’ouverture d’une salle

- le dernier à partir se signale à l’accueil et demande la fermeture de la salle attribuée.

 

Bien librement.

Blog https://ullm13.blogspot.com/

ULLM http://www.ullm.org/

Mail ullm@netcourrier.com

Firefox 70 détaille les trackers bloqués, de nouvelles protections en place

Jeudi 24 octobre 2019

Ces derniers mois, le navigateur de Mozilla a renforcé son action contre le pistage en ligne, notamment dans les options activées par défaut.

Le résultat est là : « Depuis le 2 juillet, nous avons bloqué plus de 450 milliards de requêtes de pistage tentant de vous suivre en ligne », précise la fondation. Ce, malgré des réglementations comme le RGPD.

« L’industrie publicitaire utilise des dark patterns pour pousser les internautes au consentement » constate Mozilla, qui justifie ainsi ses actions renforcées, face à un secteur qui peine à s’autoréguler et à respecter les droits de chacun.

Avec Firefox 70, les équipes veulent tout d’abord améliorer l’information de l’utilisateur, avec un nouveau rapport précisant le nombre d’éléments bloqués chaque jour et leur typologie : cookies, empreintes, modules sociaux, cryptominage, etc.

La liste détaillée n’est pas donnée, mais Firefox en profitera pour mettre en avant des services de Mozilla comme Monitor (permettant de vérifier si votre mot de passe a fuité en ligne) ou Lockwise (pour stocker vos mots de passe). Des outils améliorés pour l’occasion. On imagine que d’autres pourront trouver leur place à cet endroit. La future offre de VPN payant par exemple ?

Quoi qu’il en soit, la protection contre le pistage renforce sa lutte contre les modules sociaux et leur pistage « cross-site ».

Les équipes précisent également que les performances JavaScript sont améliorées, alors que WebRender est disponible pour plus d’utilisateurs sous Windows (les IGP Intel sont pris en charge). Sous macOS, le navigateur se veut plus économe en énergie, surtout quand il lit des vidéos.

La gestion du thème sombre suit désormais les paramètres des OS, l’import de mots de passe est fonctionnel depuis macOS et des bugs ont bien entendu été corrigés. Pour les développeurs, la liste des améliorations apportée se trouve ici.

Source nextinpact.com

Rentrée !

Jeudi 17 octobre 2019

« S’il est au monde une chose difficile à faire »1, c’est bien d’imaginer un projet pour relancer les activités d’une association. C’est le défi auquel nous sommes confrontés.

L’été s’était écoulé au rythme des épisodes caniculaires. L’Ullm semblait se mouvoir dans les méandres d’un électrocardiogramme plat !

Fichtre !

La veille était activée, quelques énergumènes s’agitaient du côté de la Maison de la vie.

Ils posaient les jalons pour une nouvelle année avec un toit assuré : participation durant 4 semaines aux « journées portes ouvertes » de la MVA, avec présence et participation à 8 permanences afin de répondre à d’éventuelles demandes d’information.

Elles ont été l’occasion de réaliser 250 flyers (artisanaux), les affiches et panneaux « publicitaires » qui s’inscrivaient dans notre effort de communication en direction d’un public potentiel, de favoriser des conciliabules entre les uns et les autres.

Le point d’orgue était notre « réunion générale » du 13 septembre.

Elle a réuni 10 adhérents, (9+1 excusée). Ce fut l’occasion de la présentation d’un rapport d’activité sur les six derniers mois et une discussion autour du « Projet » de création d’un lieu partagé dans lequel nous ne serions pas les seuls bénéficiaires.

Ce projet a aujourd’hui du plomb dans l’aile. Les raisons n’en seront pas évoquées ici. D’autres options, sans abandonner celle-ci, sont dores et déjà sur la table.

Nous en reparlerons.

Cette agitation n’a qu’un but : sauver, disons, pour être optimistes, redynamiser une Association toujours en recherche de sa finalité et des moyens, des compétences, des bras pour y parvenir.

Une feuille de route qui ne dit pas son nom…

1 Selon H.Taine

Source https://ullm13.blogspot.com/

 

Mozilla: Firefox 70 affichera de nouveaux indicateurs de sécurité

Jeudi 17 octobre 2019

Mozilla révèle que Firefox 70, bientôt disponible, supprime l’indicateur de certificat EV SSL et ajoute un cadenas barré de rouge à tous les sites HTTP.

Firefox 70 introduit de nouveaux indicateurs de sécurité et d’identité de l’icône cadenas dans le navigateur qui donneront moins d’importance aux certificats SSL EV (Extended Validation) et attireront davantage l’attention sur les sites utilisant le protocole HTTP non sécurisé.

Au mois d’août, les développeurs de Mozilla et de Google Chrome évoquaient déjà la suppression des indicateurs SSL EV dans la barre d’adresse, car ils n’indiquent rien de la sécurité et de l’authenticité d’un site.

Google a supprimé les indicateurs EV dans Chrome 77, publié en septembre, et Mozilla fera de même dans Firefox 70, prévu pour ce mois-ci. Cette version supprime l’icône de cadenas vert et le nom du propriétaire du site de la barre d’adresse. Le cadenas pour les sites EV sera désormais le même que pour tout site HTTPS normal.

Mozilla abandonne également le cadenas vert pour préférer un cadenas gris pour les sites HTTPS et utilisera maintenant un cadenas barré de rouge pour signaler toutes les connexions HTTP et FTP.

« L’ancien symbole de cadenas vert deviendra gris : le but est de minimiser l’état de connexion par défaut (sécurisé) et de mettre davantage l’accent sur les connexions rompues ou non sécurisées », a expliqué Johan Hofmann de Mozilla.

Comme avec Chrome, les informations du certificat EV sont toujours disponibles, mais l’utilisateur doit cliquer sur l’icône du cadenas pour afficher le panneau « Informations sur le site ».

Mozilla note que le principal inconvénient de l’affichage des indicateurs EV dans la barre d’adresse est que les utilisateurs doivent remarquer l’absence de l’indicateur EV sur un site malveillant.

« Ce changement masquera l’indicateur à la majorité de nos utilisateurs tout en le maintenant accessible à ceux qui en ont besoin. Il évite également les ambiguïtés qui pourraient se produire lorsque le nom de l’entité dans la barre d’adresse a été coupé pour laisser de l’espace pour l’URL , « a noté Hofmann.

L’icône de cadenas barré est en train d’être introduite en réponse à l’adoption croissante du protocole HTTPS. Actuellement, environ 80% des pages chargées dans Firefox sont sur HTTPS.

De plus, Firefox n’aura plus d’icône d’information à gauche du cadenas. Ses fonctionnalités ont été déplacées vers le cadenas.

Firefox 70 introduira également un bouclier ou une icône de «protections» pour indiquer quand les nouvelles fonctionnalités anti-suivi du navigateur sont activées, actives ou désactivées. Dans Firefox 69, Mozilla a activé l’anti-tracking par défaut pour tous les utilisateurs.

Un bouclier gris indique que les protections sont activées, le violet indique qu’elles sont actives et un bouclier barré indique que l’utilisateur a désactivé les protections pour le site.

La sortie de Firefox 70 est prévue pour le 22 octobre.

Source : Mozilla: Firefox 70 brings you these new security indicators

 

Unix/Linux : importante faille dans Sudo, le correctif disponible

Jeudi 17 octobre 2019

Sudo est probablement l’un des utilitaires les plus utilisés et connus du monde Unix/Linux. Il sert à donner temporairement des droits plus élevés à un processus, sans avoir à basculer l’ensemble du compte utilisateur sur des droits équivalents.

La vulnérabilité, estampillée CVE-2019-14287, permet à un programme malveillant ou un utilisateur de contourner les règles de sécurité de Sudo pour exécuter un code arbitraire. Les privilèges peuvent même être obtenus quand la configuration de l’outil interdit explicitement l’accès root.

Cette faille particulière prend appui sur la conception de Sudo, qui permet en théorie à n’importe quel utilisateur avec des droits suffisants d’exécuter une commande en tant qu’un autre compte. Cette transversalité peut ainsi remonter jusqu’aux privilèges root.

Pour l’exploiter, un programme ou un utilisateur malveillant doit utiliser l’ID « -1 » ou « 4294967295 ». Pourquoi ces identifiants ? Parce que la fonction chargée de convertir l’ID en nom d’utilisateur traite ces deux valeurs comme « 0 », qui correspond à root.

Il y a tout de même une condition : au moins un utilisateur doit avoir été déclaré dans le fichier de configuration situé dans /etc/sudoers. Les développeurs de Sudo donnent l’exemple suivant :

myhost bob = (ALL, !root) /usr/bin/vi

Cette ligne déclare que « bob » peut exécuter vi en tant que n’importe quel autre utilisateur, excepté root. À cause de la faille toutefois, bob pourra exécuter vi en tant que root s’il exécute d’abord la commande sudo -u#-1 vi.

La brèche a été colmatée dans la version 1.8.28 de Sudo publiée hier soir. La mise à jour est déployée progressivement sur l’ensemble des système concernés (et ils sont nombreux). La faille n’est pas critique, mais est considérée comme importante. Il est donc recommandé d’installer la nouvelle version dès que possible.

Source nextinpact.com

Souveraineté numérique et logiciel libre: un rapport du Sénat invite l’Etat à plus de volontarisme

Jeudi 17 octobre 2019

Le rapport Longuet sur « le devoir de souveraineté numérique » regrette l’absence de doctrine de l’Etat en matière de logiciels libres, et l’incite à « engager rapidement une réflexion au niveau interministériel sur ce sujet ».

Au Sénat, la commission d’enquête sur la souveraineté numérique, constituée en avril, a rendu il y a quelques jours son rapport, intitulé «le devoir de souveraineté numérique». Ce document issu d’un semestre de travaux et d’auditions est riche, traitant des données personnelles, de la protection de la concurrence, des cryptomonnaies etc., et soulignant le rôle de l’Europe et de la régulation face aux GAFAM américains et aux BATX chinois (Baidu, Alibaba, Tencent, Xiaomi). Il prône notamment l’adoption d’une loi triennale « d’orientation et de suivi de la souveraineté numérique ».

Le navire de guerre Mistral en 2012 – Photo: U.S. Navy / Wikimedia Commons (domaine public)

Les membres de la commission, dont le rapporteur est l’ancien ministre de la Défense Gérard Longuet (LR), se sont entre autres intéressés à la question du logiciel libre (pages 155 et suivantes du tome 1 du rapport).

Lire les codes sources, « une des conditions essentielles de la souveraineté de l’État »

Ils observent:

«Les administrations publiques pourraient également engager une réflexion sur le recours au logiciel libre en vue de s’assurer de maîtriser leurs données et de mieux conduire, potentiellement à moindre coût, les politiques publiques dont elles ont la charge.»

«Quand les administrations utilisent des logiciels achetés à des entreprises privées, elles doivent s’assurer de la sécurité de l’accès à ces informations et de l’impossibilité pour le fournisseur de les recueillir et de les exploiter.»

Le rapport note que l’État ne semble pas avoir, d’après les auditions menées, de «doctrine générale pour intégrer dans ses appels d’offre cette dimension essentielle de la sécurité des données. Pour s’assurer du respect d’un cahier des charges qui intégrerait cette exigence, il lui faudrait se doter de moyens d’analyse des solutions proposées dont la plupart des ministères semblent dépourvus. Plusieurs de nos interlocuteurs ont souligné que la lisibilité totale des codes sources des programmes informatiques pouvait être une des conditions essentielles de la souveraineté de l’État sur ses moyens numériques.»

Deux conceptions opposées

La commission a relevé «deux conceptions opposées du recours au logiciel libre par les administrations».

La Dinsic (direction interministérielle du numérique et du système d’information et de communication) «a ainsi fait part de sa vision particulièrement nuancée, résumée par la phrase suivante: ‘Chaque fois que l’usage est bon, le logiciel libre a sa place.’ Cette conception repose sur le constat de l’inadaptation aux besoins de certaines solutions libres déjà utilisées par l’État, qui a pu conduire les agents à recourir à des solutions propriétaires en ligne, et donc peu sécurisées. Par ailleurs, il a considéré que le coût complet (en prenant en compte les coûts de maintenance) des logiciels libres ‘n’est pas si éloigné de celui des logiciels propriétaires’.» (Note: l’actuel directeur de la Dinsic, nommé en 2018, avait déjà tenu un discours relativement tiède sur le Libre, voir cette interview à NextInpact).

Le PDG de l’Inria, Bruno Sportisse, a de même déclaré que «sur ce sujet, il ne faut pas avoir de dogme dans un sens comme dans l’autre.» Enfin, la ministre des Armées a expliqué: «Nous devons sans cesse ménager l’interopérabilité de nos forces. Nos alliés fonctionnent à partir de codes sources qui proviennent de la même entreprise, ce qui constitue une difficulté et ralentit le développement du recours aux logiciels libres.» (Note: maigre justification du fameux contrat «open bar» avec Microsoft. On constate que l’Italie, qui fait aussi partie de l’Otan, ne semble pas avoir eu de difficulté à passer à LibreOffice – il y a déjà quatre ans).

L’incitation pro-Libre du CNNum

A contrario, les sénateurs ont aussi reçu en auditions La Quadrature du Net et l’April, qui ont bien sûr «plaidé vigoureusement en faveur du logiciel libre, tant pour les administrations que pour les individus, notamment parce que l’utilisateur, qui a accès au code source, peut en comprendre le fonctionnement et le modifier, ce qui est de nature à préserver sa liberté et à nourrir sa confiance dans la solution numérique.

L’association April lutte ainsi pour éviter ou mettre fin aux partenariats conclus par les administrations de l’État avec les géants américains du numérique, comme le ministère de l’Éducation nationale, le ministère de la Justice ou celui de la Défense. Elle plaide également pour que l’État encourage le logiciel libre, par exemple au moyen d’appels d’offres, ou en soutenant les contributions des agents publics. »

Le rapport Longuet observe aussi que le CNNum, le Conseil national du numérique avait aussi pris position (PDF – en 2017) en faveur du logiciel libre «en recommandant de leur donner la priorité dans la commande publique, pour trois raisons: le logiciel libre permet aux administrations de mieux adapter leurs services publics en développant des solutions qui leurs sont propres tout en étant interopérables, et de mieux les maîtriser, en permettant un audit et la correction en continu des failles de sécurité; enfin, le logiciel libre serait globalement moins cher.»

En 2015 déjà, le rapport «Ambition numérique» du CNNum poussait en ce sens, déclenchant des inquiétudes chez les éditeurs de logiciels propriétaires.

Le confort des agents ne peut pas être le critère ultime

Les sénateurs constatent que «pour répondre à cette exigence [de maîtrise des données], mais aussi afin de réaliser, autant que possible, des économies d’acquisition, de gestion, de maintenance et de formation, plusieurs administrations ont fait le choix de développer leurs propres solutions informatiques, à partir de logiciels dont les codes sources sont publics. C’est, par exemple, le cas de la Gendarmerie qui, depuis 2009, a équipé les 80.000 postes informatiques de ses services de solutions informatiques libres qui lui ont permis de regagner son indépendance et sa souveraineté vis-à-vis des éditeurs privés. Il serait très utile de réaliser rapidement le bilan de cette expérience unique et d’évaluer les possibilités de son extension à d’autres ministères.»

(au passage, ce bilan a plusieurs fois été fait et toujours été positif…)

En conclusion de leur partie sur le Libre, les rapporteurs jugent:

«Il est urgent d’engager rapidement une réflexion au niveau interministériel sur ce sujet. L’idée, présentée devant notre commission, selon laquelle le choix d’acquisition de logiciels par les ministères serait, in fine, dicté par le confort d’utilisation des agents n’est pas recevable.»

La commission – composée de sénateurs de différents partis et présidée par un socialiste – était d’initiative Les Républicains. La majorité LREM ignorera-t-elle ce rapport pour cela, ou peut-on espérer que ces utiles travaux ne finissent pas dans un tiroir?

Source zdnet.fr

La Bataille du Libre de P. Borrel. Ateliers et projection

Mercredi 9 octobre 2019

Mercredi 20 novembre 2019 de 15h00 à 22h00, au Videodrome 2  49 Cours Julien 13006 Marseille

En partenariat avec l’association Aïolibre
Le Videodrome 2 vous accueille pour un atelier numérique éthique et convivial!

15h: Ateliers
Libérons notre vie numérique: dégafamisation, outils libres, sécurité numérique
avec l’association Aïolibre

20h30: projection
La Bataille du libre de Philippe Borrel,  Documentaire, 1h27

Libérons notre vie numérique: dégafamisation, outils libres, sécurité numérique

Animé par l’association Aïolibre

Ramenez votre ordinateur, votre tablette ou votre téléphone, nous vous aidons à les libérer des GAFAMs (Google, Amazon, Facebook, Apple, Microsoft), à les sécuriser, à maîtriser vos données par des alternatives libres.

Des coins parents-enfants sont également prévus pour apprendre en famille à se protéger, à activer le contrôle parental, à désactiver toute pub, à mieux apprendre par le numérique et les logiciels libres, à jouer avec des jeux libres et éducatifs.

Prix libre. Places limitées. Réservation conseillée.

L’atelier en détail et réservation

Linus Torvalds valide la fonctionnalité Lockdown sur le noyau Linux

Mardi 8 octobre 2019

Une fonctionnalité de verrouillage dans le noyau Linux, proposée depuis plusieurs années, vient d’être acceptée par le créateur du kernel, Linus Torvalds. Lorsqu’elle sera activée, Lockdown permettra de restreindre l’accès à certaines fonctions du noyau.

L’introduction d’une fonctionnalité de « lockdown » dans le noyau Linux vient d’être approuvée par Linus Torvalds, après de nombreuses années d’échanges sur le sujet.

La plupart des distributions les plus courantes du système d’exploitation en ont proposé des variantes depuis de nombreuses années, mais le créateur du kernel open source était jusque-là réticent à l’insérer dans le noyau de l’OS.

Cette fonctionnalité a été présentée par Matthew Garret, ingénieur chez Google, qui en est à l’origine avec David Howells et d’autres développeurs.

Elle « introduit une fonctionnalité optionnelle de verrouillage du noyau destinée à renforcer le lien entre UID 0 et le noyau », indique la description d’origine.

« Lorsqu’elle est activée, différentes parties du kernel sont restreintes. Les applications qui s’appuient sur un accès de bas niveau vers les matériels ou le kernel cessent alors de fonctionner.

C’est la raison pour laquelle cela ne devrait pas être activé sans une évaluation préalable appropriée », préviennent ses zélateurs.

Lockdown va être fourni sous la forme d’un module de sécurité LSM dans la branche 5.4 du noyau qui va être livrée sous peu et permettra donc de verrouiller ce dernier plus tôt dans le processus de démarrage.

La fonctionnalité sera désactivée par défaut parce qu’elle pourrait endommager les systèmes existants. Activée, elle permettra de restreindre l’exploitation du noyau, y compris pour les utilisateurs du compte racine, ce qui rendra l’accès au reste de l’OS plus difficile pour les comptes racines compromis.

Linus Torvalds explique que cela restreint l’accès aux fonctions du kernel qui pourraient autoriser l’exécution de code arbitraire via du code apporté par des processus situés en dehors du noyau (userland processes).

Ainsi qu’énuméré sur git.kernel.org, cela bloque notamment les processus d’écriture ou de lecture /dev/mem et /dev/kmem memory ainsi que l’accès à l’ouverture /dev/port et renforce la signature de module du kernel.

Source lemondeinformatique.fr

 

Un titre qui en dit long

Lundi 7 octobre 2019

La liberté du Libre

Ah la Liberté quel grand mot, quel mot fort…… attendez je ne vais pas ici faire quelque développement philosophique, sur le sujet en général mais en tant que nouveau pratiquant des Logiciels Libres.
Rassasié de cette « liberté encadrée ,et faussement amicale » des Microsoft et autres GAFA, je me suis me suis engagé il n’y a pas si longtemps dans cette association des Utilisateurs des Logiciels libres.
Et j’ai navigué un peu en zig zag cherchant souvent la bonne route…..
-et j’ai subi des vents contraires qui m’ont conduit dans de telles impasses que j’ai dû quelques fois repartir de zéro. (= 2 ordi plantés)
-et j’ai collectionné nombre de distributions, ballotté par les houles des influences croisées.
-aux moments de déprime j’ai même failli revenir à ma maison de retraite des 7 fenêtres
-Et enfin je suis venu, malgré tout, auprès du costaud Ubuntu et de la fine et déliée Mint et je peux faire encore plus, encore mieux, que chez les 7 fenêtres.
Pour autant 4002 distributions me paraissaient une perte d’énergie décourageante.
Cependant, je ne veux pas tomber dans la culture de l’efficience qui fait fondre les petits inventifs autonomes dans une soupe épaisse qui a la prétention d’être la meilleure. Je me réjouis donc de cette dynamique de la Liberté. Les principes sont posés à chacun d’en tirer le meilleur en pleine autonomie
Avant on me laissait le choix du fond d’écran et autres décors, mais maintenant nous profitons, et des distributions, et d’un grand nombre d’applications. Ce n’est pas rien.
Ainsi être libre c’est exercer des choix ouverts et éclairés, et la floraison de nombreuses distributions, n’est qu’une des conséquences de la liberté de chaque libriste.
Ici 400 Veut simplement dire beaucoup
Georges C.
Source https://ullm13.blogspot.com/

Avant – Après

Lundi 7 octobre 2019
Flyer astucieux proposé par Jacques D. Belle synthèse de
nos motivations
Avant                        Après 
  
ORDINATEUR MALADE !
Vous possédez un vieil ordinateur dont le système d’exploitation est obsolète
(Windows Vista, XP…) et qui rame ou tout simplement vous en avez assez des mises à jour, des virus,ou des spams qui vous bloquent constamment!!!!!
A L’U.L.L.M.
(Utilisateursdes Logiciels Libres du pays Martégal)
Nous vous proposons des systèmes d’exploitation fiables et plus légers (Linux Mint, Ubuntu…) dont vous gérez les mises à jour, plus d’antivirus, vous conservez vos adresses mail, votre navigateur ( Firefox…), une suite bureautique compatible avec Word et Excel, Gimp retouche photos,etc…

www.ullm.org

Source https://ullm13.blogspot.com/