Archive for janvier, 2022

Protection totale contre les cookies : Firefox Focus se lance

Lundi, janvier 31st, 2022

La protection totale contre les cookies lutte contre le pistage intersite. Elle s’intègre dès maintenant dans Firefox Focus pour Android et sera bientôt intégrée à la version iOS/iPadOS. Explication et présentation.

Firefox Focus pour Android est le premier navigateur mobile Firefox à disposer de la protection totale contre les cookies. Celle-ci va permettre de limiter le pistage intersite. Comme l’explique Mozilla, « la protection totale contre les cookies fonctionne en conservant une « boîte à cookies » distincte pour chaque site web que vous visitez ».

Comment ça marche ?

La protection totale contre les cookies va isoler les cookies pour chaque site web que vous visitez. Chaque fois qu’un site web, ou un contenu tiers intégré à un site web, dépose un cookie dans votre navigateur, Firefox Focus le confine dans une « boîte à cookies » dédiée à ce site web. De cette façon, aucun autre site web ne peut pénétrer dans les boîtes à cookies qui ne lui appartiennent pas et découvrir ce que les cookies des autres sites web savent sur vous.

Télécharger Firefox Focus

Vous pouvez télécharger Firefox Focus pour Android et iOS depuis cette page. La version iOS bénéficiera de la nouvelle protection dans une version ultérieure.

Source toolinux.com

Des ordinateurs portables Manjaro Linux avec un clavier français

Jeudi, janvier 27th, 2022

Les ordinateurs portables Linux de Tuxedo seront désormais proposés avec un système d’exploitation Manjaro en option, si TUXEDO_OS – basé sur Ubuntu – ne vous convient pas vraiment. Quels modèles sont-ils concernés ?

Il y a quelques semaines, le constructeur allemand annonçait la sortie de son InfinityBook S 17 – Gen6, un imposant ordinateur de 17 pouces. Nous vous en parlions d’ailleurs dans notre édition du 1er décembre.

Désormais, outre le célèbre InfinityBook Pro Red, d’autres ordinateurs portables TUXEDO avec Manjaro Linux préinstallé sont disponibles. L’Aura 15 Gen 1, le Pulse 14 Gen 1 et le Pulse 15 Gen 1 sont les nouveaux venus. Le système d’exploitation est alors Manjaro, avec le bureau KDE Plasma ou Xfce.

Le constructeur, Tuxedo Computers, fournit d’ailleurs un support technique pour les ordinateurs portables Manjaro. Même si l’équipe Manjaro Linux est le bon contact pour toute question relative au logiciel en lui-même. Cette page (pour l’instant en allemand) recense l’ensemble des modèles concernés.

Rappelons que Tuxedo propose, en option, un clavier français, lors de la commande d’une configuration personnalisée. Lors de la commande, choisissez « French » ou « Belgian » dans « Tastaturlayout ».

Source toolinux.com

Les distributions Linux empoisonnées par la faille PwnKit

Jeudi, janvier 27th, 2022

Un bug lié à Polkit vieux de 12 ans a refait surface mettant en danger les systèmes Linux en les exposant à un accès root. Toutes les distributions majeures potentiellement exposées ont bénéficié de correctifs.

Qualys n’a pas livrer de PoC d’exploit de la faille PwnKit mais des hackers n’ont pas hésité à diffuser un exploit in the wild quelques heures après sa découverte. (crédit : Qualys)

 

Les malwares ne sont pas seulement l’apanage des systèmes Windows. Les environnements MacOS mais aussi Linux constituent aussi des cibles de choix pour les cyberpirates. Une dernière vulnérabilité (CVE-2021-4034 aka PwnKit) concerne justement les environnements Linux et touche potentiellement toutes ses distributions majeures. Celle-ci provient d’un outil système vieux de 12 ans, Polkit, qui donne à des cyberattaquants des privilèges root sur les machines visées. Autant dire qu’il s’agit d’une opportunité très forte pour de prendre le contrôle à des fins de piratage, vol de données, compromissions d’applications…

Anciennement connue sous le nom de PolicyKit, Polkit gère les privilèges utilisateurs sur les systèmes Linux en fournissant un mécanisme pour protéger les interactions et processus entre des personnes disposant de droits d’accès ad hoc et des services. Grâce à lui, les utilisateurs concernés peuvent exécuter des commandes à privilèges élevés utilisant le composant pkexec dont la première version date de mai 2009. La faille liée à ce dernier n’est pas récente, elle remonte même à 2009. Elle débouche, via de la corruption mémoire, sur la prise de contrôle de machines vulnérables à des fins d’escalade de privilèges et de gains d’accès root.

Pas de PoC PwnKit livré par Qualys mais un exploit dans la nature

Découverte par des chercheurs en sécurité de Qualys et novembre 2021, cette vuln a été dévoilée ce mardi après avoir été corrigée dans la plupart des distributions Linux. « Le scénario d’attaque le plus probable provient d’une menace interne où un utilisateur malveillant peut passer d’aucun privilège à des privilèges root complets. Du point de vue des menaces externes, si un attaquant a pu prendre pied sur un système via une autre vulnérabilité ou une violation de mot de passe, cet intrus peut alors accéder aux privilèges root complets via cette vulnérabilité », a expliqué Bharat Jogi, directeur de recherche en menace et vulnérabilité de Qualys.

Le fournisseur en sécurité, qui a livré des détails techniques sur PwnKit, ne prévoit pas de livrer un PoC d’exploit de PwnKit, estimant qu’il pourrait davantage servir aux attaquants plutôt qu’aux équipes sécurité et white hackers. « Nous nous attendons à ce que l’exploit devienne bientôt public et que les attaquants commencent à l’exploiter – c’est particulièrement dangereux pour tout système multi-utilisateurs qui autorise l’accès des shell aux utilisateurs », a noté Bojan Zdrnja, testeur d’intrusion chez SANS. Il indique ainsi avoir réussi à recréer un exploit qui fonctionnait sur une machine exécutant Ubuntu 20.04. Des hackers s’en sont toutefois chargés à sa place puisque un exploit in the wild a surgi sur la toile quelques heures après. Will Dormann, analyste des vulnérabilités au CERT/CC, a fait savoir que cet exploit était à la fois simple et universel. Le chercheur l’a ensuite testé sur un système ARM64, montrant qu’il fonctionne également sur cette architecture.

De possibles exploits sans trace

Il est plus qu’urgent de procéder aux mises à jour de ses distributions Linux (Ubuntu 14.04 et 16.04 ESM ou 18.04, 20.04 et 21.04, Red Hat…) et prioriser l’installation des derniers correctifs de sécurité. Pour ceux qui ne peuvent pas immédiatement patcher, il est recommandé d’utiliser la commande chmod 0755 /usr/bin/pkexec pour supprimer le bit SUID de pkexec, ce qui l’empêche de s’exécuter en tant que binaire. Ceux qui veulent savoir si la vulnérabilité a été exploitée sur leurs systèmes peuvent vérifier les entrées de journal indiquant que la valeur de la variable SHELL n’a pas été trouvée dans le fichier /etc/shells ou qu’une valeur de variable d’environnement contient contenu suspect. Qualys a cependant prévenu que la vuln PwnKit est également exploitable sans laisser de traces.

Ce n’est pas la première vulnérabilité Polkit découverte, cela avait déjà le cas en juin dernier par le chercheur en sécurité de GitHub Kevin Backhouse, débouchant sur de l’escalade de privilèges.

Source lemondeinformatique.fr

La nouvelle version de Scribus se prépare pour Qt6

Mardi, janvier 25th, 2022

Le logiciel de mise en page libre et multiplateforme s’offre une nouvelle mise à jour importante, mais principalement corrective. Scribus 1.5.8 se prépare notamment à passer à Qt6.

Scribus est un logiciel de PAO libre et open source. Il est disponible pour Windows, macOS et Linux, mais aussi OS/2 Warp 4, Solaris, FreeBSD et NetBSD.

La mise à jour 1.5.8 est publiée. Elle se concentre principalement sur la correction de bogues et l’optimisation du code. « Nous avons également commencé à préparer Scribus à l’utilisation de Qt6« , expliquent les développeurs sur le blog officiel.

Parmi les changements importants ou visibles, citons :
améliorations de l’interface utilisateur pour le mode sombre et certaines mises à jour des icônes et de l’interactivité des fenêtres.
améliorations de l’importation de fichiers (IDML, PDF, PNG, TIFF, SVG) ainsi que pour l’exportation en PDF.

Sur mac OS, Scribus inclut désormais un interpréteur Python 3 et est conçu pour mac OS 10.15 et les versions supérieures.

Scribus peut être téléchargé gratuitement via cette page.

Source toolinux.com

GIMP 3.0 est sur le métier : la grande nouveauté de 2022 ?

Mardi, janvier 25th, 2022

Alors que GIMP 2.10.30 est sorti fin décembre, on apprend dans le rapport annuel que la version 3.0 est officiellement sur les rails. Pas de date de sortie annoncée, mais des indices sur les nouveautés.

Nous vous annoncions, dans notre édition du 22 décembre dernier, la sortie de la dernière version de GIMP 2.10.30. À la lecture durapport annuel publié il y a quelques semaines, on apprend que 2021 aura été faste pour le projet : rien moins que 4 versions stables ont été publiées, ainsi que 2 versions de développement. GIMP rassemble aujourd’hui 91 contributeurs, dont 42 traducteurs et 41 développeurs.

Le nouveau chantier s’appelle GIMP 3.0. Certaines fonctionnalités ont pris beaucoup de temps, notamment parce que les développeurs ont modifié les logiques de base, dont le code pour la sélection multiple de calques. Actuellement, les progrès sont réguliers pour le portage GTK3 et le support de Wayland, ainsi que sur la stabilisation de l’API des plug-ins.

Le rapport annuel et les informations techniques sur GIMP 3 sont également disponibles en français dans cet article.

Source toolinux.com

Que devient Iridium, le navigateur web privé, en 2022 ?

Lundi, janvier 24th, 2022

Si vous cherchez un navigateur sécurisé basé sur Chromium ou une alternative à Tor, pourquoi ne pas vous tourner vers l’allemand Iridium Browser ? Il est disponible pour Linux, macOS et Windows.

Nous évoquions sa naissance en 2018. Le logiciel de navigation est toujours bien vivant : il est d’ailleurs soutenu par la Free Software Foundation.

C’est quoi Iridium Browser ?

Iridium est un navigateur web sécurisé basé sur Chromium (version open source de Chrome) et configuré pour garantir votre vie privée.

Une option idéale pour ceux qui souhaitent bénéficier de l’écosystème Chrome (dont les extensions) sans la connexion permanente aux serveurs et aux services de Google.

Ce qu’il faut savoir sur Iridium Browser

En ce début d’année 2022, nous avons rassemblé les informations actualisées pour vous présenter le projet et les avantages d’Iridium Browser pour une navigation web plus privée et sécurisée. Les détails pratiques, ainsi que les réponses aux questions les plus posées sur Iridium, se trouvent sur cette page.

Iridium est-il open source ?

Oui, Iridium Browser est libre et open source. L’application d’utilise pas de composants propriétaires. Le code source se trouve ici et sur Github.

Quelle différence avec Tor Browser ?

Le moteur de Tor Browser et celui d’Iridium sont différents :

Tor Browser est basé sur Mozilla Firefox ESR et permet de naviguer anonymement sur le réseau Tor ;
Iridium est basé sur Chromium (projet open source de Chrome), mais ne peut pas accéder au réseau Tor par défaut (instructions ici).

Quel moteur de recherche par défaut ?

Le navigateur utilise toujours par défaut le moteur de recherche Qwant, mais vous permet d’utiliser n’importe quel autre moteur, dont DuckDuckGo, Google, Bing, Ecosia.

Peut-on se connecter à son compte Google ?

Non, cette option n’est pas proposée. L’éditeur explique que cela impliquerait une communication constante avec les serveurs de Google.

Il est possible d’être connecté durant la navigation, mais pas au niveau du navigateur pour, par exemple, synchroniser ses signets, son historique ou ses données personnelles. Dans ce cas, Chrome (disponible sous Linux) s’impose naturellement, mais l’intérêt d’un navigateur web privé disparaît.

Pourquoi inclure Google Safe Browsing ?

Si Iridium Browser propose par défaut l’option Google Safe Browsing, il faut savoir que les requêtes se font sur le serveur allemand de l’éditeur, iridiumbrowser.de, qui conserve un cache des données Google Safe Browsing. Cette option peut d’ailleurs être désactivée.

À qui appartient Iridium Browser ?

Iridium Browser est un projet open source financé par l’entreprise allemande NETitwork GmbH, spécialisée en sécurité informatique.

Quelle est la dernière version d’Iridium ?

À l’heure où nous écrivons ces lignes, la dernière version du navigateur Iridium est 2021.12.96, basée sur Chromium 96.0.4664.110.

Iridium Browser version 2020.11

Comment mettre à jour Iridium Browser ?

Contrairement à Chrome, Brave et Opera, les mises à jour ne se font pas automatiquement. Il est conseillé de suivre le blog et le fil RSS pour savoir quand les nouvelles versions sont disponibles et stables.

Télécharger Iridium Browser

Le navigateur Iridium est disponible pour :

Windows : il existe une version standard et une version portable, qui prennent toutes deux en charge les versions 32 bits, 64 bits et Windows 11 ;
macOS : Iridium assure la prise en charge de macOS Monterey et des puces ARM d’Apple (M1 et supérieures) ;
Linux : des versions optimisées sont proposées pour openSUSE Tumbleweed, openSUSE Leap 15.2/15.3, Fedora 34/35, Red Hat Enterprise Linux 8 et CentOS 8.

La page de téléchargement se trouve ici.

Où sont les versions iOS et Android ?

Iridium Browser n’est pas développé pour le mobile et les tablettes. Il n’existe pas de version Android et/ou iOS/iPadOS.

Liens utiles

Iridium Browser, site web officiel
Iridium, le navigateur vraiment privé de l’OSBA (février 2018)

Source toolinux.com

La Commission européenne lance un nouveau programme de chasse aux bugs dans cinq logiciels libres

Lundi, janvier 24th, 2022

Des bug bounties allant jusqu’à 5.000 euros sont offerts pour détecter des failles dans des logiciels open source très utilisés par les services publics européens, comme LibreOffice ou Mastodon.

Le bâtiment Berlaymont, siège de la Commission européenne à Bruxelles, en juin 2015. Photo: Fred Romero / Wikimedia Commons / CC by

La Commission européenne a annoncé cette semaine lancer un nouveau programme de « bug bounty » pour des logiciels libres. Le programme de primes à la chasse aux bugs, ouvert le 13 janvier sur la plateforme Intigriti, propose des récompenses allant jusqu’à 5.000 euros «pour la recherche de failles de sécurité dans LibreOffice, LEOS, Mastodon, Odoo et CryptPad, des solutions open source utilisées par les services publics dans toute l’Union européenne. Il y a un bonus de 20% pour fournir un correctif de code pour les bogues qu’ils découvrent.»

Un bonus de 20% pour le correctif

Le Bureau du programme Open Source de la Commission européenne (EC OSPO) a au total prévu un budget de 200.000 euros «pour se concentrer à nouveau sur la sécurité des logiciels open source largement utilisés par les services publics».

Un nouvel ensemble de primes de bogues a été lancé le 13 janvier en utilisant la plateforme de primes de bogues Intigriti. Au total, un montant de 200.000 euros a été financé par le Bureau du programme Open Source de la Commission européenne (EC OSPO) pour se concentrer à nouveau sur la sécurité des logiciels open source largement utilisés par les services publics.

«Les chercheurs sont appelés à trouver des failles de sécurité telles que les fuites de données personnelles, l’élévation horizontale/verticale des privilèges [une définition là] et l’injection SQL. La récompense la plus élevée sera de 5.000 euros pour les vulnérabilités exceptionnelles et un bonus de 20% si le correctif est également fourni.»

L’un des critères de sélection des primes était l’utilisation au sein des services publics européens. Outre LibreOffice, Mastodon, Odoo et Cryptpad, qui «remplissaient amplement ce critère et ont donc été retenus», l’OSPO a décidé de sélectionner LEOS, «un éditeur juridique utilisé par la Commission européenne, le Parlement, le Conseil et plusieurs États membres».

70 bugs importants découverts lors du précédent programme

L’échelle des primes proposées est la suivante (voir pour Mastodon par exemple): 250 euros pour un petit bug, 1.000 pour un bug moyen, 2.500 pour une faille importante, 4.000 «critique» et 5.000 si le bug découvert est «exceptionnel».

En 2019, la Commission européenne avait lancé un premier programme de chasse aux bugs pour 15 projets libres, comme Drupal, Keepass, FileZilla et VLC Media Player, avec des primes qui allaient de 25.000 à 90.000 euros.

La Commission a indiqué à la clôture de ce premier programme, mi-2020, avoir versé au total plus de 200.000 euros répartis en 15 primes, pour la découverte de plus de 200 bugs, dont 70 de gravité élevée ou critique. Une vulnérabilité dans l’émulateur de terminal PuTTY était passée inaperçue depuis 20 ans, a souligné l’institution bruxelloise.

Source zdnet.fr

Le ministère des Armées a fini son étude pour s’équiper en logiciel libre… reste plus qu’à en attendre la communication

Samedi, janvier 22nd, 2022

 

Le ministère des Armées annonçait, en janvier, 2020, la conduite d’une étude pour s’équiper de poste de travail entièrement libre (système d’exploitation et logiciels de bureautique). Fin décembre 2021, en réponse à deux questions écrites de députés sur le sujet, le ministère annonçait enfin l’aboutissement de l’étude et donnait quelques brefs éléments concernant ses conclusions. L’April a demandé communication de cette étude.

Dans sa réponse à la question écrite de 2019 de la sénatrice Christine Prunaud qui l’interrogeait sur sa dépendance à Microsoft, le ministère des Armées avait annoncé, en janvier 2020, la conduite d’une étude pour s’équiper de poste de travail entièrement libre (système d’exploitation et logiciels de bureautique). Deux ans plus tard l’administration annonce enfin que cette étude est terminée, à nouveau en réponse à des questions écrites, celle posée par Philippe Latombe (Modem) – auteur notamment d’un rapport sur la souveraineté numérique1– et celle posée par Bastien Lachaud (LFI). Ce dernier pointe spécifiquement, dans sa question, la dépendance du ministère à Microsoft et fait le lien avec les accords Open Bar successifs qui le lient à l’entreprise depuis 2007.

Alors que le contrat liant le ministère et Microsoft devait arriver à terme en 2021, il est important de savoir si cette étude est finalement allée à son terme et quels en sont les résultats. Aussi, [le député] souhaite savoir ce qu’il en est et si le ministère compte finalement s’affranchir de l’emprise qu’exerce implicitement Microsoft sur ses activités.

Sur la question de la dépendance à Microsoft, le ministère annonce que des « orientations précises ont été définies » et donne pour seul exemple sa décision de ne pas recourir au cloud commercial de l’entreprise. Aucune information sur la reconduite de l’accord Open Bar. Plus généralement, sur l’opportunité de s’équiper en poste de travail 100% libre, la réponse du ministère ne nous apprend pas grand chose, si ce n’est qu’aucun « obstacle technique résultant d’une éventuelle adhérence aux logiciels propriétaires » n’a été identifié et que « l’étude a également permis de cerner l’effort humain et financier supplémentaire qui serait à consentir pour réaliser la migration du parc de postes internet existants » (ce qui à priori était son objet même). Une réponse donc assez laconique, seule la lecture complète de l’étude permettra de comprendre les intentions de la Grande muette. Puisqu’il s’agit d’un document administratif l’April en a demandé communication.

Alors qu’un plan logiciels libres a été annoncé en novembre 2021, en application d’un circulaire du Premier ministre pour une politique publique de la donnée et des codes source, et que l’April a accepté de participer à un « conseil d’expertise réunissant administrations et représentants de l’écosystème », une réponse rapide — sans besoin de saisir la commission d’accès comme c’est habituellement le cas – serait une démonstration appréciable de l’engagement du gouvernement sur ces questions.

Source april.org

Ce qu’il faut retenir du vote sur le Digital Services Act en Europe

Vendredi, janvier 21st, 2022

Les députés européens ont, ce mercredi, approuvé le DSA, un projet de mesures contre les contenus illicites. Objectif : assurer la responsabilité des plateformes et améliorer les processus de modération de contenus. Résumé et implications.

Le DMA (Digital Markets Act) – dont nous vous parlions encore en décembre dernier avec la neutralité des appareils réclamée par la FSFE – a été approuvé fin 2021. Ce 20 janvier, le Parlement Européen a fait de même pour le DSA, Digital Services Act, avec 530 voix pour, 80 absentions et seulement 78 voix contre.

C’est donc fait : le Digital Services Act est approuvé et constituera un mandat de négociation avec la présidence française du Conseil qui représente les États membres, donc à l’ouverture des négociations avec les États membres de l’UE.

Le texte comprend des mesures qui comprennent des procédures clairement définies pour supprimer les produits, services et contenus illicites en ligne, mais aussi plus d’options pour les publicités sans suivi et interdiction d’utiliser les données des mineurs pour les publicités ciblée.

Les utilisateurs de services auraient le droit de demander une indemnisation pour les dommages subis. Enfin, le DSA intègre également une évaluation des risques obligatoire et une transparence renforcée des algorithmes pour lutter contre les contenus préjudiciables et la désinformation

Des obligations supplémentaires s’imposeront aux très grandes plateformes, peut-on lire dans le communiqué officiel : elles seront soumises à des obligations spécifiques en raison des risques particuliers qu’elles présentent en ce qui concerne la diffusion de contenus préjudiciables et illicites. Lourde responsabilité pour les réseaux sociaux : « les très grandes plateformes en ligne devraient fournir au moins un système de recommandation qui ne soit pas basé sur le profilage« .

Une impressionnante série d’amendements ont déjà été déposés.

Source toolinux.com

Vous pouvez tester GNOME 42 : la version alpha est disponible

Mardi, janvier 18th, 2022

Intrépides, développeurs et testeurs peuvent passer à GNOME 42 dès maintenant. Vous avez deux mois pour aider la communauté à développer l’environnement graphique de nouvelle génération. Voici ce qui va changer.

La version 42 de GNOME promet d’être beaucoup plus importante que la série 40 qui l’a précédée. Les changements sont significatifs pour l’avenir de GNOME et sont répartis entre GNOME Shell, Mutter, les applications natives et les bibliothèques de base.

Quoi de neuf dans GNOME 42 ?

La gtk4-ification est en marche ! En effet, Libadwaita est publié et GNOME 42 en dépendra fortement, puisque GNOME 42 doit assurer la migration vers GTK 4. D’ailleurs, quelques applications et modules migrent déjà vers GTK 4 et libadwaita, un processus qui va se poursuivre dans les prochains cycles également. Exemple : gnome-desktop peut être construit avec GTK 4, tout comme libgweather.

La liste des nouveautés est copieuse et peut être consultée ici.

Comment tester GNOME 42 alpha

Si vous souhaitez compiler GNOME 42.alpha, vous pouvez utiliser le projet officiel BuildStream avec le fichier tar xz suivant. Les paquets sources sont disponibles à cette adresse.

Cette version reste une alpha. Bien qu’elle soit utilisable, elle est principalement destinée aux tests.

Quand sort GNOME 42 ?

GNOME 42 devrait sortir le 24 mars 2022.

Pour tout savoir sur GNOME 42 et sur le calendrier de sortie, rendez-vous sur cette page.

Source toolinux.com