CERCLL

CercLL d'Entraide et Réseau Coopératif Autour des Logiciels Libres

Les consultations publiques en ligne doivent être basées sur des logiciels libres

Posted by CercLL sur 13 janvier 2017

La consultation publique en ligne initiée par MM. les députés Luc Belot (PS) et Patrice Martin-Lalande (LR) sera clôturée mardi 17 janvier. Elle porte sur leur proposition de loi « généralisant la consultation publique en ligne, par l’internet, sur les textes de loi avant leur examen par le Parlement »

Au vu du calendrier parlementaire cette proposition de loi ne sera vraisemblablement pas présentée au Parlement, cependant elle a le mérite de faire avancer le débat sur les consultations publiques en ligne. D’autant qu’il est tout à fait probable que la prochaine majorité se saisisse de ce sujet tant il semble populaire : nombreux sont ceux qui semblent considérer ces consultations comme un pilier d’un « renouveau démocratique ». C’est le cas des députés à l’origine de la proposition qui voient dans ces consultations un moyen de « retisser le lien de confiance distendu ».

Si le débat de fond sur l’opportunité et le périmètre de cette procédure présente un intérêt réel, il est une question de forme sur laquelle il ne peut être transigé : les consultations publiques en ligne doivent être basées sur des logiciels libres. Le numérique ne peut aider la démocratie sans en adopter les fondements. C’est dans cette optique que l’April a formulé une proposition d’amendement au texte des députés afin d’inscrire dans la proposition de loi le recours impératif à des logiciels libres au moment de consultations publiques en ligne.

Notons d’ailleurs que la plateforme servant de base à cette consultation, tout comme celle qui avait été utilisée pour le projet de loi « République numérique », repose sur un logiciel privateur de la société Cap Collectif. Sur ce sujet, lire l’excellent billet de Regards Citoyens ; Civic Tech ou Civic Business ? Le numérique ne pourra pas aider la démocratie sans en adopter les fondements.

Si vous souhaitez participer à cette consultation, et notamment soutenir la proposition de l’April, l’inscription à la plateforme a le mérite d’être très rapide et d’exiger un nombre minimal de données personnelles : un pseudonyme, un mot de passe et une adresse électronique suffisent.

Notre proposition d’amendement à la proposition de loi :

À la fin de l’exposé des motifs ajouter:

  • « L’article 4 rappelle que l’utilisation d’outils numériques ne pourra aider la démocratie que s’ils en adoptent les fondements. Il décrit ainsi les critères essentiels que les plateformes de consultations en ligne devront respecter afin de répondre aux impératifs démocratiques à l’heure du numérique en matière de transparence comme de respect de la vie privée.

Insérer un article 4:

Après l’article 12 de la loi organique n° 2009-403 du 15 avril 2009 relative à l’application des articles 34-1, 39 et 44 de la Constitution, sont insérés un chapitre II quater et un article 12 quater ainsi rédigés :

  • « Dispositions relatives à la plateforme de consultation publique en ligne sur les textes de loi
  • « Article 12 quater : La plateforme de consultation publique en ligne utilisée dans le cadre d’un projet ou d’une proposition de loi repose sur des logiciels libres, dont la licence permet l’audit, la diffusion et la réutilisation des codes sources.
  • Elle comporte des fonctionnalités d’extraction de toutes les informations publiques non nominatives générées sous un format ouvert permettant leur libre réutilisation.
  • Les données à caractère personnel collectées dans le cadre de cette consultation ne peuvent faire l’objet d’aucune réutilisation ou d’aucun traitement en dehors des traitements strictement nécessaires à la réalisation de la consultation. Elles sont détruites à l’issue de la consultation. »

Et l’exposé des motifs:

« La qualité des outils logiciels – plateformes dédiées, messagerie, outils collaboratifs… – est déterminante pour l’exercice. […] Le logiciel doit, de préférence, être un logiciel libre dont le code soit accessible et puisse ainsi être audité par le public. Les choix méthodologiques de la consultation doivent être publics et doivent pouvoir être discutés. »
Consultations ouvertes sur internet organisées par les administrations; un instrument précieux au service de la participation du public qui requiert une forte implication des organisateurs, Novembre 2016, COEPIA.

Si la consultation publique par l’internet peut contribuer à retisser le lien de confiance distendu entre représentants et représentés, elle ne pourra se faire sans confiance dans l’outil utilisé. Le numérique ne pourra ainsi aider la démocratie sans en adopter les fondements. Seule l’utilisation du logiciel libre, intrinsèquement transparent et donc auditable par tous, peut offrir un niveau de confiance suffisant en préservant contre toute possibilité de manipulation. « Le code est loi » disait Lawrence Lessig en 2001. Par ailleurs, le modèle de gestion horizontale des logiciels libres s’inscrit parfaitement dans l’esprit d’une démocratie plus participative et plus proche des citoyens, ambition du présent texte.

Dans sa volonté de promouvoir l’ « open data », la loi numérique a consacré le caractère de document administratif des codes source « produits ou reçus » par les administrations. Pour que cette règle puisse produire son plein effet, il convient de prêter une attention particulière aux licences attachées aux logiciels. Les licences libres, comme les licences GPL ou CECILL, garantissent l’accès au code source et la liberté de modifier, de mutualiser et de redistribuer le logiciel. Dans l’objectif de la démocratie participative, garantir la possibilité de communication et de réutilisation des logiciels de consultation publique en ligne semble particulièrement opportune. On pourra ainsi imaginer des initiatives citoyennes locales, ainsi que des collectivités, qui pourraient avoir accès à des outils puissants, de confiance, et bénéficiant du support de la puissance publique.

Enfin, comme l’a notamment rappelé le Conseil d’État dans sa décision n°350431 du 30 septembre 2011, les logiciels libres assurent aux structures utilisatrices une indépendance vis-à-vis de tout éditeur, pérennisant ainsi un marché ouvert et concurrentiel pour les prestataires de services.

Source april.org

bouton_web_soutien_88x31

Posted in Uncategorized | Tagué: , | Leave a Comment »

Les Rencontres Mondiales du Logiciel Libre

Posted by CercLL sur 4 janvier 2017

 

Les Rencontres Mondiales du Logiciel Libre (RMLL) sont un cycle de conférences, d’ateliers et de tables rondes autour du Libre et de ses usages.

banniere_color_240x400

Cet événement se déroule chaque année dans une ville différente depuis l’année 2000.

Rassemblant plusieurs milliers de personnes et pour la première fois à Saint-Étienne, en Auvergne- Rhône-Alpes, la 17ème édition des Rencontres Mondiales du Logiciel Libre se déroulera du 1er au7juillet 2017.

Événement d’ampleur internationale , des conférenciers viennent de l’autre bout du monde présenter leurs projets et discuter de leurs évolutions avec un public attentif et nombreux.

 rmllrmll2

rmll1

 Au delà du logiciel, d’autres domaines seront aussi représentés comme les matériels libres (Hackerspace, Fablab,…) et la création artistique sous Licences libres (graphisme, musique, cinéma…).
Source rmll.info

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Les Rencontres Mondiales du Logiciel Libre

Firefox 52 s’inspirera de Tor pour renforcer la protection de votre vie privée

Posted by CercLL sur 3 janvier 2017

Prévue pour mars prochain, Firefox 52 utilisera une nouvelle fonctionnalité tout droit venue de Tor Browser, qui empêche – ou complique – l’établissement de l’empreinte unique de votre machine.

Naviguer de manière un peu plus anonyme. C’est ce que proposera la version 52 du navigateur Firefox, grâce à une fonctionnalité directement importée de Tor Browser.

Le principe est simple : renvoyer aux sites qui la demandent une liste par défaut des polices de caractères installées sur la machine. De nombreux sites utilisent en effet cette information, combinée à d’autres (extensions, « user agent », contenu du dossier de téléchargements, etc.) pour établir l’empreinte unique de chaque machine.

Empêcher les sites d’établir une empreinte unique

Cette ID permet alors notamment aux régies publicitaires ou aux sites de commerce d’identifier l’internaute de manière précise pour lui proposer des recommandations ou pour analyser son comportement au gré de son historique de navigation.

En fournissant à ces sites une liste blanche de polices de caractères, la même à chaque fois, Firefox 52 les privera donc d’une information permettant d’établir cette ID unique.

En juillet 2016, Mozilla lançait son projet Tor Uplift consistant à implémenter dans Firefox des fonctionnalités de Tor Brower. Firefox 52, encore en bêta, sera disponible le 7 mars prochain. D’ici là, c’est Firefox 51 qu’on verra arriver le 24 janvier prochain et qui devrait apporter la stabilité et la vitesse du multiprocessing au navigateur open source.

Source 01net.com

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur Firefox 52 s’inspirera de Tor pour renforcer la protection de votre vie privée

Evènements 2016

Posted by CercLL sur 2 janvier 2017

 

dscf0002

dscf0010

 

 

 

 

 

 

dscf0005

 

Install Party GNU/Linux.
(Janvier,Février,Mars,Avril,Mai,Juin,Juillet,Septembre,Octobre,Novembre,Décembre 2016)
Divers lieux : La Fabulerie, Plan M, Foyer du Peuple.

Atelier Découvertes des Logiciels Libres Firefox.
(16 Janvier, 13 Février,12 Mars 2016)
Divers Lieux : La Fabulerie, Plan M

Initiation basique d’une distribution Linux.
(16 Avril,14 Mai 2016)
Divers Lieux : La Fabulerie, Plan M

Repair Café Informatique.
(Janvier,Février,Mars,Avril,Mai,Juin,Juillet,Septembre,Octobre,Novembre,Décembre 2016)
Divers lieux.

Rencontre de l’association April (21 mai 2016)
Lieu : Arsenic.

Rencontres de l’Orme 2.16 (8 et 9 juin 2016)
Lieu : Parc Chanot.

Apéro du Libre les 20 ans de l’April (9 décembre 2016)
Lieu : La Boate.

Posted in Uncategorized | Tagué: , , , | Commentaires fermés sur Evènements 2016

Nouvel An

Posted by CercLL sur 31 décembre 2016

L’association CercLL (CercLL d’Entraide et Réseau Coopératif autour des Logiciels Libres) vous présente ses meilleurs vœux pour 2017.

nouvelle-annee-2017

Posted in Uncategorized | Tagué: | Commentaires fermés sur Nouvel An

Firefox va abandonner XP et Vista

Posted by CercLL sur 30 décembre 2016

Mozilla a annoncé que Firefox ne serait plus mis à jour sur les systèmes XP et Vista l’an prochain.

Même si les postes sous XP ou Vista sont encore assez nombreux, la fondation Mozilla vient d’annoncer qu’elle n’y supportera plus le navigateur Firefox à partir de 2017. Le support devrait s’arrêter en septembre, ensuite, il n’y aura plus de mises à jour de sécurité. Dès mars, les utilisateurs seront invités à utiliser la version ESR de Firefox, qui bénéficiera encore des mises à jour de sécurité pendant un certain temps. Le navigateur Chrome lui, a stoppé son support depuis déjà avril dernier.

Après septembre, les utilisateurs utilisant encore ces systèmes n’auront comme d’autre choix que de migrer vers un système plus récent.

Liens :

Le site de Firefox
L‘annonce de Mozilla

Source toolinux.com

bouton_web_soutien_88x31

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur Firefox va abandonner XP et Vista

La renaissance de FramaLibre

Posted by CercLL sur 29 décembre 2016

L’annuaire des logiciels libres de Framasoft subit une grande mise à jour avec l’aide la communauté.

L’association Framasoft avait initié l’annuaire de logiciels libres FramaLibre il y a plus de 10 ans. Le but était à l’époque de faire découvrir au plus grand nombre les outils libres disponibles, mais aujourd’hui le site n’est plus en phase avec son public. Le design est un peu dépassé et les fiches ne sont pas toujours à jour. C’est pourquoi l’équipe de Framasoft a décidé d’y remédier. Au menu, nouveau design, nouveau site avec Drupal et des fiches actualisées. Ils travaillent sur cette nouvelle mouture, en bêta pour le moment, depuis plusieurs semaines déjà.

Bien évidemment, la communauté libriste est encouragée à venir participer au grand renouveau de l’annuaire FramaLibre. Le site devrait passer en version stable une fois que la majorité des fiches logicielles aura été actualisée.

Liens :

L’appel à contribution de Framasoft
L’annuaire FramaLibre en bêta

Source toolinux.com

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur La renaissance de FramaLibre

Une appli de bureau pour Gmail

Posted by CercLL sur 28 décembre 2016

WMail est une application de bureau permettant de gérer ses mails sur Gmail.

L’application Wmail va prochainement fêter sa première année d’existence. Le but est de pouvoir accéder et gérer ses mails Gmail sans utiliser son navigateur web. Conçue à l’aide de Chromium, Electron et React, Wmail est disponible, à l’identique, pour Windows et Linux. Le logiciel reprend l’interface de Mail ou Inbox, mais on peut également la personnaliser avec son propre code CSS et Javascript. Une icône indique le nombre de mails non lus et il est évidemment possible de recevoir des notifications, visuelles sonores. Wmail utilise les mêmes raccourcis clavier que Gmail et on peut glisser déposer ses pièces-jointes directement dans ses mails.

Le code est bien sûr disponible sur un dépôt Github et est publié sous la Mozilla Public Licence.

Liens :

Le site de Wmail
Le dépôt Github

Source toolinux.com

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur Une appli de bureau pour Gmail

OpenPGP et GnuPG : 25 ans de chiffrement pour tous, ce qu’il faut savoir avant de s’y mettre

Posted by CercLL sur 27 décembre 2016

Phil Zimmerman a créé PGP il y a 25 ans et le standard OpenPGP fêtera ses 20 ans l’année prochaine. L’occasion de faire le point sur ce qui a donné naissance à GnuPG, avant de nous attarder sur son utilisation pratique.

image dediée

Après vous avoir expliqué les concepts de base de la cryptologie et du chiffrement, nous avons décidé de revenir en détail sur un premier outil qui a l’avantage d’être open source, multiplateforme et d’exister depuis près de 20 ans : Gnu Privacy Guard, aka GnuPG ou GPG.

Nous publierons dans le cadre de ce dossier une série de guides pratiques qui permettront de l’exploiter, de la simple création d’une clef au chiffrement de vos fichiers et de vos emails.

De PGP 1.0 à GnuPG 2.1 : 25 ans de chiffrement

Pour rappel, Phil Zimmerman a créé Pretty Good Privacy (PGP) en 1991, un projet qui s’était exporté hors des États-Unis (malgré les lois en vigueur à l’époque) à travers une solution ingénieuse : le code source avait été distribué sous la forme d’un livre, édité par MIT Press et qui nécessitait ensuite d’utiliser un outil d’OCR. Un épisode qu’il avait raconté en 2013 dans le cadre du reportage Une contre-histoire des internets :

À l’occasion du lancement de sa troisième version, le projet a été pris en charge par la société PGP Inc, rachetée plusieurs fois puis intégrée à Symantec en 2010. Mais c’est dès 1997 que le besoin de la création d’un standard qui n’était soumis à aucune licence ni aucun brevet s’est fait sentir. OpenPGP était alors né à travers la RFC2240 de l’Internet Engineering Task Force (IETF). Désormais, il s’agit de la RFC4880.

GnuPG est donc une implémentation open source de ce standard, dont la première version stable a vu le jour deux ans plus tard, en 1999. Un outil de référence, tant pour le chiffrement de documents que des emails dans de nombreuses applications. Fin 2013, peu après les révélations d’Edward Snowden, l’équipe faisait appel au financement participatif pour donner un nouvel élan au projet et mettre sur pieds la version 2.1. Sur 24 000 euros demandés, 36 732 euros ont été obtenus.

Aujourd’hui, OpenPGP et GnuPG sont contestés par certains (comme Moxie Marlinspike, co-auteur du protocole Signal) pour leur complexité, notamment lorsqu’il s’agit de messagerie instantanée ou de gestion depuis un appareil mobile. L’histoire retiendra en effet que lorsqu’Edward Snowden a cherché à contacter le journaliste Glenn Greenwald pour la première fois, celui-ci ne savait pas utiliser ces outils. Il a ensuite contacté Laura Poitras, plus habituée à ce genre de pratiques.

signalSignal Desktop
Signal, une messagerie électronique qui mise sur un chiffrement efficace, mais simple et transparent

Mais GnuPG reste un outil flexible, autorisant de nombreux usages dans le domaine du chiffrement. Si beaucoup voient en des applications comme Signal des remplaçants, il s’agit plutôt de bons compléments pour des besoins spécifiques, comme le rappelait récemment Neal H. Walfield, qui travaille sur GnuPG.

Bien qu’imparfait et sans doute pas assez « clef en main », il reste néanmoins important à connaître et à maîtriser dès lors que l’on s’intéresse à cette problématique, avec l’espoir de comprendre un minimum ce que l’on fait. Après tout, ce n’est pas parce que les voitures autonomes existent qu’il ne faut plus apprendre à conduire.

Trois branches et de nombreux outils

GnuPG est distribué seul, via deux branches principales : stable et moderne. La première est conservatrice dans ses fonctionnalités et intègre en général surtout des correctifs. La seconde implémente de nombreuses nouveautés. Il existe aussi une branche classique (1.4) pour ceux qui veulent assurer une compatibilité avec d’anciens systèmes.

Actuellement vous avez le choix entre la 2.0.30 – qui sera considérée comme en fin de vie le 31 décembre 2017 – et la 2.1.17. Cette dernière ne supporte plus les clef PGP-2 mais propose le support des algorithmes de cryptographie sur les courbes elliptiques (ECC), une procédure de création de clefs par défaut plus simple, des procédures de création et de signature de clef rapides, des correctifs et autres améliorations diverses.

Notez que l’équipe de GnuPG distribue plusieurs outils, notamment des bibliothèques pour les développeurs. Gnu Privacy Assistant (GPA) est aussi disponible pour la gestion de vos clefs et smartcards, ainsi que pour le chiffrement de textes. Le site d’OpenPGP, lui, présente avant tout le standard et son histoire, ainsi que des outils qui l’exploitent pour différents usages.

Clef publique, clef privée, WOT et TOFU

Comme nous l’avons évoqué dans notre article sur le chiffrement, GPG propose un fonctionnement dit asymétrique. Ainsi, vous disposez d’une paire de clefs, l’une publique et l’autre privée.

La première est à diffuser largement, elle permettra à des tiers de chiffrer des documents de manière à ce que vous seul puissiez les lire. De manière générale, il est recommandé de la mettre en avant dans des espaces qui vous appartiennent et où vous êtes clairement identifié : votre bio sur un réseau social, votre blog, etc.

Chiffrement asymétrique

Crédits : Roumanet/WikipédiaCette identification est nécessaire car n’importe qui peut créer une paire de clefs pour n’importe quel nom/email. C’est pour cela que le concept de « web of trust » a été mis en place, permettant à tout utilisateur d’indiquer qu’il certifie qu’une clef donnée correspond bien à personne précise. Une action favorisée par les « key signing party ».

Pour ceux qui veulent aller plus loin, notez qu’un nouveau modèle de confiance dévoilé l’année dernière commence à être mis en place : Trust On First Use (TOFU). Il a notamment été détaillé dans ce journal de LinuxFR et vise à faciliter les échanges lors d’un premier contact.

La clef privée doit rester secrète. Elle vous permettra de signer des éléments pour prouver que vous en êtes à l’origine et qu’ils n’ont pas été modifiés, ou de déchiffrer ceux qui vous sont envoyés. Attention, si vous la perdez, elle sera impossible à remplacer. De plus, si vous changez de clef, la nouvelle ne permettra pas de déchiffrer les documents et emails chiffrés pour la précédente.

Une clef privée est toujours protégée par une phrase de passe qui permettra de la déverrouiller. Ainsi, si quelqu’un venait à la découvrir, tout ne sera pas perdu (mais il faudra éviter d’oublier cette phrase ou qu’elle soit trop facile à deviner). Une clef privée prend la forme d’une longue suite de caractères, vous pouvez donc la « sauvegarder » sous la forme papier (certains outils permettant de générer un PDF spécifique).

Identités, photos, commentaires et empreintes

Chaque paire de clefs peut être liée à une ou plusieurs identités. Celles-ci se composent de trois éléments liés à votre paire de clefs : un nom, un email et un commentaire. Vous pouvez aussi ajouter des photos permettant de vous identifier. Bien entendu, cela ne doit pas forcément se faire sous votre vrai nom, et vous pouvez décider d’avoir un fonctionnement plus discret, avec une identité sous pseudonyme.

Chaque clef est identifiée par une empreinte de 40 caractères ou un ID qui se compose des huit derniers caractères de cette dernière. Lorsque vous voulez permettre d’identifier votre clef, veillez à bien communiquer l’empreinte complète pour éviter tout problème.

En effet, des cas de collisions sur l’ID ont été rencontrés ces derniers mois, il ne peut donc être considéré comme suffisant. L’idéal est d’ailleurs de proposer un lien vers le contenu complet de votre clef

Détail clef GnuPG macOS GPG Keychain

Quelle taille de clef choisir ?

Passons à la taille de la clef. Avec RSA – l’algorithme recommandé (ECC n’est proposé qu’en mode expert) – on considère que celle-ci est sécurisée à partir de 2048 bits, mais il est souvent conseillé d’utiliser une valeur supérieur. Le maximum est actuellement fixé à 4096 bits.

Utiliser cette valeur est donc le choix le plus « sécuritaire », qui devrait permettre de protéger votre contenu même si une solution venait à être trouvée pour casser le RSA 2048 bits (ce qui est encore loin d’être le cas). Attention néanmoins, certains outils sont limités à un fonctionnement sur 2048 bits et des appareils peu performants (smartphones par exemple) peuvent ne pas apprécier de devoir fournir une puissance de calcul importante pour une clef de 4096 bits.

Des éléments à prendre en compte au moment de faire votre choix.

Date d’expiration et révocation

Le dernier point à prendre en compte est la date d’expiration. Celle-ci ne concerne que votre clef publique. Une clef privée ne peut, par essence, pas expirer.

Il s’agit là d’une protection utile, notamment si vous veniez à perdre l’accès à votre clef privée. Dans ce cas, vous ne pourrez plus modifier la date d’expiration de la clef publique, et celle-ci finira par apparaître comme invalide. Dans ses dernières versions, GPG utilise une durée de deux ans par défaut. N’hésitez pas à raccourcir cette limite.

Il peut aussi être intéressant de changer régulièrement de clef. En effet, si vous chiffrez cinq ans d’échanges avec une même clef privée et que celle-ci vient à être découverte, c’est l’ensemble des messages qui pourra être déchiffré. Alors qu’en changeant régulièrement de clef, le risque sera plus limité.

Une notion notamment développée dans le concept de Perfect Forward Secrecy, comme nous l’évoquions dans notre précédent article, dont il peut être intéressant de s’inspirer. Tout dépend de votre besoin et du niveau de protection que vous voulez assurer à vos documents et emails.

Notez enfin que lorsque vous créez une paire de clefs, il vous sera conseillé de créer une clef de révocation. Cela permet, lorsque vous publiez vos informations sur un serveur de clefs, d’indiquer que votre clef privée a été compromise. Les personnes avec qui vous échangez sauront alors qu’ils ne doivent plus l’utiliser (nous reviendrons sur ce point plus en détails dans un prochain article).

Retrouvez notre dossier Chiffrement, clefs de sécurité et cryptobidules :

Source nextinpact.com

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur OpenPGP et GnuPG : 25 ans de chiffrement pour tous, ce qu’il faut savoir avant de s’y mettre

Noël

Posted by CercLL sur 24 décembre 2016

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Noël

Firefox sera bientôt vraiment plus stable, plus rapide et plus sûr

Posted by CercLL sur 23 décembre 2016

La Fondation Mozilla poursuit le déploiement du multi-processus et du sandboxing pour que son navigateur gagne en vitesse, stabilité et en sécurité.

C’est avec la version 48 de Firefox que la Fondation Mozilla a commencé à déployer le multi-processus. Avec la version 50 du navigateur, cette évolution née du projet Electrolysis, lancé en 2009, puis mis en pause entre 2011 et 2013, est devenue accessible à tout le monde ou presque – aux utilisateurs qui ont adopté des extensions pour Firefox jugées compatibles avec cette nouveauté. Mais c’est avec la version 51, qui sortira fin janvier prochain, que la révolution commencera réellement.

Isoler pour optimiser et sécuriser

La plupart des navigateurs « modernes » utilisent ce mode de fonctionnement. C’est le cas d’Internet Explorer, de son successeur Edge, de Safari et évidemment de Chrome. Tous isolent deux éléments essentiels au fonctionnement d’un navigateur :

  • d’une part, le moteur de rendu, qui interprète le code HTML de la page, les feuilles de styles (CSS) et les Javascripts.
  • d’autre part, le cadre du navigateur en lui-même.

Pour être plus clair, les développeurs des navigateurs et ceux de Firefox en l’occurrence veulent séparer, isoler des éléments aussi divers que le noyau du navigateur, chaque onglet, le contenu de chacun de ces onglets, les extensions et autres moteurs (Javascripts, notamment).

Ainsi, chacun représente un processus séparé et indépendant. Ce qui signifie qu’en cas de plantage, un seul élément tombe, sans entraîner avec lui tout le reste. Ainsi, si un onglet plante, cela n’entraîne pas le plantage complet du navigateur et la perte de données qui va avec. Sans même parler de la frustration de l’utilisateur.
En cas d’attaque, c’est un seul processus qui est compromis. Et comme il est maintenu dans une sandbox (un bac à sable), le problème sera plus facilement contenu, ce qui évitera la propagation du risque, qui peut parfois aboutir à un vol de données ou à une prise de contrôle à distance.

Des gains de performances incroyables

Pour l’utilisateur, le multi-processus apporte donc plus de fluidité et de rapidité lors des séances de surf. Avec la version 49, la Fondation avait apporté cette nouveauté à près de 50% de sa base d’utilisateurs soit quasiment tous les internautes n’utilisant pas ou très peu d’extensions. Grâce à cet apport, d’après Mozilla, ces personnes avaient pu profiter d’une amélioration de 400% à 700% de la vitesse de chargement des pages.

La version 50 du navigateur, mise à la disposition des internautes au mois de novembre, a permis à plus d’extensions, celles qui ont été explicitement indiquées comme compatibles avec le multi-processus d’être prises en charge.


Le fruit d’une réorganisation

Il aura fallu attendre juillet 2015 et une refondation de la stratégie de développement de Firefox par la Fondation Mozilla pour que le multi-processus redevienne une priorité.
Avant d’en arriver là et de quasiment toucher au but, les équipes de développement avait dû repenser les extensions de Firefox, qui pèsent pour beaucoup dans son succès. Ainsi, en 2015, un nouveau système d’extension avait été introduit, afin de permettre aujourd’hui d’intégrer le multiprocessing.

Une amélioration qui va de pair avec la mise en place des bacs à sable, qui garantissent la sécurité des différents processus. Pour l’heure, seule la version 50 pour Windows profite du sandboxing. Des protections qui devraient être renforcées à l’avenir et étendues aux versions de Firefox pour Mac et Linux.

Si tous les tests nécessaires se déroulent comme prévu, Firefox 51, attendue pour le 24 janvier 2017, devrait apporter le multiprocessing pour tous les utilisateurs, et fonctionner avec toutes les extensions à l’exception de celles qui sont explicitement signalées comme incompatibles.

Alors les équipes de Firefox auront bouclé une étape importante de la mue de leur navigateur. Mais elles préparent d’ores et déjà l’après, en travaillant à optimiser le nombre de processus simultanés qui peuvent être supportés sans nuire à la vitesse, à la stabilité ou à la sécurité du navigateur. Un travail de longue haleine dont vous pouvez êtres les observateurs en utilisant, éventuellement, les « nightly builds », plutôt réservées aux développeurs et au curieux.

Source : Mozilla

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur Firefox sera bientôt vraiment plus stable, plus rapide et plus sûr

LibreOffice chamboule son interface et simplifie l’accès aux extensions

Posted by CercLL sur 23 décembre 2016

LibreOffice 5.3 introduira une nouvelle interface modulaire, baptisée MUFFIN, afin que les utilisateurs puissent choisir celle qui leur convient. Parallèlement, la Document Foundation lance un site dédié aux extensions et modèles.

image dediée

Depuis que LibreOffice est apparu comme un « fork » d’OpenOffice, la suite bureautique a gagné de manière croissante en visibilité. Un succès indéniable pour ce projet gratuit et open source, la grande majorité des distributions Linux l’ayant par exemple intégrée par défaut. Pourtant, et malgré de multiples améliorations et un important « décrassage » de l’ancien code, une critique revient souvent : l’interface n’évolue pas, ou très peu.

Quelles que soient les améliorations portées sur les fonctionnalités et la modernisation du code, LibreOffice garde une interface qui, si elle convient à bon nombre d’utilisateurs, fait dire à d’autres que la suite est « datée ». Une apparence vieillotte qui a été abordée quelques fois par les développeurs, avec quelques promesses d’évolutions futures. Lesquelles ? On ne le savait pas vraiment jusqu’à présent.

Trois modes d’affichage selon les besoins ou les envies

La fondation vient justement d’indiquer dans un billet ce qu’elle comptait faire. À partir de LibreOffice 5.3, une nouvelle expérience utilisateur sera proposée – sous forme expérimentale ou finale, on ne sait pas vraiment encore. Cette nouvelle « UX » est modulaire : elle propose à l’utilisateur d’adapter l’interface elle-même selon ses goûts, avec plusieurs modes de présentation assez différents.

La disposition par défaut reste présente, avec les deux barres d’outils classiques superposées en haut de l’écran. Trois nouvelles présentations peuvent cependant être choisies. La première concentre tous les outils principaux dans une seule barre, libérant ainsi de l’espace en hauteur. La deuxième fait apparaître une barre latérale à droite de l’écran. L’espace en hauteur est ainsi préservé, mais l’utilisateur a certains paramètres en fonction du contexte.

libreofficelibreoffice

Un ruban façon Microsoft Office

Enfin, la Notebookbar est tout simplement une reprise des Rubans de Microsoft, apparus dans Office avec la version 2007 de la suite bureautique. Pour l’instant, il s’agit en fait d’un seul ruban pour concentrer la plupart des fonctions principales. Il n’y a pas, comme dans Word, des rubans dédiés à l’insertion, la création, les références, la révision et autres, tout simplement parce que les menus classiques – Fichier, Ouvrir, Affichage, etc. – restent présents, alors que Microsoft les a supprimés. Cependant, une partie du contenu change en fonction du contexte, selon par exemple que l’on travaille sur du texte ou une image.

Pour mieux coller à cette philosophie de souplesse, la Document Foundation a d’ailleurs trouvé un nom amusant pour accompagner le concept : MUFFIN, pour « My User Friendly & Flexible INterface ». Comme indiqué hier par le développeur Italo Vignoli dans son billet, l’équipe estime que le projet devrait permettre de répondre à la plupart des demandes, d’autant que l’on peut changer de vue en fonction des besoins, par exemple si l’on travaille sur un petit portable à la définition limitée.

libreoffice

Le mode par défaut restera le même

Toujours selon Vignalo, chaque interface « a été conçue pour correspondre à un groupe différent d’utilisateurs ». Il s’agit probablement de la réponse à des demandes inconciliables sur plusieurs années, chacun ayant évidemment une vision assez nette de ce que doit être une interface « parfaite ». Cependant, notez que ces trois nouveaux modes d’affichage seront dans tous les cas optionnels : l’interface par défaut continuera d’être celle affichant deux barres d’outils superposées.

Les utilisateurs devraient donc pouvoir mettre la main sur ces nouveautés dans la prochaine version 5.3 de la suite open source. Ceux qui souhaitent connaître plus en détails les réflexions de la fondation sur les révisions de l’interface pourront lire un billet plus détaillé de l’équipe s’occupant du design.

Notez enfin que même si une bêta 2 de LibreOffice 5.3 est actuellement disponible en téléchargement, elle ne contient pas ces nouvelles interfaces. L’équipe ne donne pas de calendrier sur ce point, et on ne sait pas si elles pourront être testées avant la version finale.

Un nouveau site pour les modèles et extensions

La Document Foundation, décidément très en forme, vient également de réviser son site dédié aux contenus supplémentaires pour LibreOffice, sous plusieurs formes. On y trouve ainsi une trentaine d’extensions, et plusieurs centaines de modèles pour divers types de documents.

Andreas Mantke, l’un des responsables de LibreOffice, indique dans un billet que les extensions et les modèles sont deux éléments qui ont permis de diversifier la suite et font partie intégrante de sa « force ». L’ancien site était cependant devenu peu adapté aux contenus qu’il hébergeait, faisant naitre un besoin de remise à plat.

Le nouveau site comporte une section d’accueil mais également des onglets, pour donner un accès direct aux extensions ou aux modèles. Chaque élément dans les listes peut recevoir les votes des utilisateurs, ce qui influe directement sur le classement : les mieux notées apparaissent en haut, gagnant ainsi en visibilité. Côté extensions, on trouve par exemple la copie des cellules visibles uniquement pour Calc, LanguageTool, un outil dédié de vérification multilingue, ou encore TextMaths, un éditeur d’équations LaTeX.

Avant une intégration au sein de la suite ?

Tous ces contenus sont disponibles gratuitement et ne dépendent d’aucune plateforme en particulier. On peut donc les installer depuis Linux, macOS ou Windows, directement depuis chaque page. Si LibreOffice est déjà installé, le fichier récupéré est alors ouvert dans la foulée et demande une confirmation avant de s’intégrer dans le logiciel concerné. Chaque fiche contient par ailleurs des informations de compatibilité sur les versions prises en charge de la suite. « Copy only visible cells – 1.2 » ne fonctionne par exemple que sur LibreOffice 5.0 minimum.

On peut se demander si l’équipe ne finira par intégrer directement un panneau de sélection de ces contenus dans la suite bureautique. Un peu finalement à la manière de Firefox, dont les extensions figuraient sur un site dédié, avant d’être rassemblées dans une fenêtre du navigateur.

Posted in Uncategorized | Tagué: , | Commentaires fermés sur LibreOffice chamboule son interface et simplifie l’accès aux extensions

Dégooglisons Internet : Framasoft fait le bilan de son action

Posted by CercLL sur 16 décembre 2016

Framasoft, à l’origine de la campagne « Dégooglisons Internet », a qualifié à plusieurs reprises son initiative de succès, sans toutefois entrer dans les détails. C’est désormais chose faite, l’association publiant de nombreux chiffres.

image dediée

« Dégooglisons Internet » est une campagne incitative : elle invite les utilisateurs à se poser la question de l’hébergement de leurs données et à se méfier des grandes entreprises concentrant toutes les informations sur leurs serveurs. Google était en ligne de mire car elle est sans doute la plus visible, mais avec Apple, Facebook, Amazon, Microsoft, ils forment les GAFAM et symbolisent la toute-puissance actuelle du cloud.

La campagne s’est avancée en plusieurs phases, souvent sur une semaine, Framasoft lançant alors un nouveau service chaque jour. L’association indiquait parfois que le succès était au rendez-vous, ce qui se matérialisait d’ailleurs dans certains cas par un blocage des inscriptions.

Framasoft ne propose pas en effet des équivalents directs aux services existants, mais propose des outils qui permettent de réaliser ses propres installations. Elle fournit des solutions hébergées, en partie pour montrer l’exemple, mais le nombre d’inscriptions est souvent limité, comme nous l’expliquait Luc Didry, qui gère les services.

Framadate, Framapad, Framacalc et Framindmap : les quatre plus gros services

Maintenant que « Dégooglisons Internet » en est à sa troisième année, Framasoft a décidé de faire le point. L’association a publié hier des statistiques sur bon nombre de services, dont certains restent très utilisés. La star chez Framasoft, c’est Framadate, l’alternative à Doodle (qui permet la création de rendez-vous). Ce sont ainsi 591 000 demandes qui ont été générées depuis la mise en ligne du service, avec une moyenne de 1 100 nouvelles par jour.

Le deuxième service le plus visité est Framapad, une solution de travail collaboratif sur des documents via le web. La situation est cependant plus compliquée, car Framasoft a mis en place un effacement automatique des données après un certain temps. Cependant, MyPad – qui autorise via la création d’un compte à garder des pads permanents – stocke actuellement 41 500 documents. Viennent ensuite Framacalc et Framindmap, respectivement pour les feuilles de calcul collaboratives et les cartes mentales, qui totalisent à eux deux 105 000 comptes. Le second a permis la création de 133 000 cartes à ce jour.

Framadrive, alternative à Dropbox, se retrouve pour sa part bloqué à 5 084 comptes, pour un total hébergé de 1,1 To de données. Rappelons que le service ne devait pas dépasser les 5 000 comptes et qu’il était limité à 2 Go, Framasoft indiquant à l’époque qu’il était délicat d’offrir davantage, à cause des coûts induits par l’hébergement. Cependant, l’association indique qu’elle pourrait avoir une solution plus tard, voire qu’elle est actuellement en travaux. Affaire à suivre donc.

Une avalanche de chiffres

Voici la liste des autres chiffres donnés :

  • Framacarte (cartes personnalisées) : 403 comptes et 5 800 cartes créées
  • Framanews (lecteur de flux RSS) : 500 utilisateurs et 10 800 flux synchronisés et consultés
  • Framabag (alternative à Pocket, fondé sur wallabag) : 11 420 comptes créés, mais pas de chiffres sur le nombre de liens sauvegardés
  • Framadrop (alternative chiffrée à WeTransfer) : les chiffres sont temporaires car les données sont effacées une fois qu’elles ont été sauvegardées. Au moment où le billet de blog était publié, 48 000 fichiers étaient échangés, pour un total de 874 Go.
  • Framavox (décisions en équipe) : 1 500 groupes, pour un total de 3 626 personnes
  • Framalistes (alternative à Google Groups) : 1 850 listes, servant 1 050 emails à 21 500 personnes par jour
  • Framanotes (alternative à Evernote) : 3 060 comptes pour 12 900 notes
  • Framaforms : 1 800 formulaires
  • Framatalk (alternative à Skype) : un millier d’audio/vidéoconférences par semaine en moyennes
  • Framagenda (calendrier) : 4 500 comptes

Précisons que le site Framastats donne des chiffres supplémentaires. Le réseau Framasoft lui-même existe ainsi depuis pas moins de 15 ans maintenant, 12 pour l’association. Cette dernière dispose en tout de 33 projets, dont 6 sont en cours. 117 245,68 euros de dons ont été récupérés et 2 900 heures de bénévolat ont été comptabilisées.

Évidemment, ces chiffres peuvent ne pas paraître impressionnants quand ils sont comparés à ceux des GAFAM. On rappellera donc que l’objectif de Framasoft n’est clairement pas de les concurrencer. Comme nous l’avait indiqué en juin dernier Pierre-Yves Gosset, délégué général de l’association, l’objectif est de montrer qu’il existe des alternatives, pas de substituer aux géants du service en ligne, ce qui serait contraire au propos. Framasoft l’indiquait d’ailleurs hier dans son bilan : « il existe une possibilité de re-centraliser et concentrer vos données personnelles, ce que nous ne voulons pas ».

Une situation financière qui reste délicate

Mais quoi qu’il en soit, ces « démonstrations à grande échelle » ont un coût, même si l’association rêve que les utilisateurs quittent ces services pour s’occuper de leurs propres solutions. Ce qui permet à Framasoft d’aborder la question financière, qui pose toujours problème.

Framasoft indique avoir rattrapé son retard grâce aux dons. Cette dépendance reste très forte : en 2015, ils assuraient ainsi 90 % du financement. Le prix de l’indépendance, comme aime à le rappeler l’équipe. Elle précise que si une certaine quantité de travail est accomplie par les bénévoles, la logistique, le support, la surveillance de la qualité de service et d’autres aspects nécessitent de maintenir des personnes employées à temps plein, en l’occurrence six.

Et malheureusement, l’exercice 2016 semble difficile pour Framasoft. Le budget tablait ainsi sur 205 000 euros pour assurer l’intégralité des frais de fonctionnement. Actuellement, l’association n’a réuni que 185 000 euros. Elle assure cependant ne pas être menacée, tout en précisant que cette somme influe directement sur « les énergies » qu’elle pourra consacrer aux projets de 2017.

D’importantes ambitions pour 2017

Or, ces projets sont nombreux. Tous les services de type Frama n’ont pas encore été lancés. Des alternatives à YouTube, Meetup, Twitter, doivent arriver, de même que des plateformes de blog, de pétitions, et même peut-être un webmail. Le collectif CHATONS, qui met en avant l’hébergement éthique des données chez des partenaires, doit évoluer vers la transmission d’expérience, tout en assurant sa promotion.

L’association rappelle d’ailleurs que les dons permettent d’obtenir d’importantes déductions fiscales. Déclaré par exemple, un don de 100 euros ne revient qu’à 34 euros.

Source nextinpact.com

Posted in Uncategorized | Tagué: , | Commentaires fermés sur Dégooglisons Internet : Framasoft fait le bilan de son action

Tor Browser disponible en version Sandboxed 0.0.2, avec une isolation en mémoire

Posted by CercLL sur 14 décembre 2016

Les développeurs de Tor Browser travaillent sur une version « sandboxée » du navigateur, qui doit le rendre moins perméable aux exploitations de failles et à certaines attaques. Une préversion est disponible, pour l’instant uniquement sur Linux.

 
image dediée

Tor Browser est un navigateur basé sur Firefox. Le socle technique est donc le même, ce qui ne signifie pas forcément qu’il en reprend l’intégrabilité des fonctions. En l’occurrence, Tor Browser ne possède aucune sandbox, alors que Firefox en dispose pourtant.

La sandbox (littéralement bac à sable) est un mécanisme de protection que l’on retrouve dans pratiquement tous les navigateurs récents. Elle isole dans un espace mémoire clos les données pour empêcher les communications classiques avec le reste du système. Les instructions, fonctionnalités et autres passent par des « portes » soigneusement contrôlées. Principal intérêt : empêcher l’exploitation des failles de sécurité quand celles-ci pourraient appeler des fonctions du système. À moins bien sûr de posséder le moyen de contourner la sandbox, avec une autre brèche par exemple.

Une sandbox pour Tor Browser

Les développeurs de Tor Browser travaillent sur une nouvelle version de leur navigateur, accompagnée cette fois d’une sandbox. Le processus est long et pour l’instant se limite à Linux. Ce « Sandboxed Tor Browser » est disponible dans une première mouture de test 0.0.2. Le numéro de version en dit long sur l’état d’avancement du projet : l’ensemble fonctionne, mais les bugs sont nombreux et la compatibilité limitée.

Puisque l’on parle uniquement de version Linux pour l’instant, le développeur « Yawning Angel » indique que l’interface d’installation et de mise à jour est désormais en GTK3+. Il s’agit en quelque sorte d’un « launcher » qui se charge d’exécuter Tor Browser dans une série de conteneurs logiciels. Ces derniers sont basés sur Linux seccomp-bpf et les espaces de noms utilisateurs. L’ensemble tourne autour de bubblewrap, un projet libre de sandbox.

Une compatibilité limitée

Cette version 0.0.2 ne pourra pas non plus être installée sur n’importe quelle distribution. Par exemple, Ubuntu n’est pas compatible à cause d’une version de bubblewrap trop ancienne. Le développeur prévient : la mouture présente dans le dépôt Universe ne doit pas être installée, elle ne fonctionnera pas. Par ailleurs, il faut que le système soit intégralement en 64 bits, le kernel comme l’espace utilisateur. Un mélange des binaires 32 et 64 bits ne sera pas suffisant.

Les importants enjeux d’une version isolée

Même encore à un stade peu avancé, le projet est important. Bloquer ou réduire l’exploitation des failles revêt un aspect crucial pour la sécurité des utilisateurs de Tor Browser. On rappellera en effet que le FBI a démantelé en 2015 un réseau d’échanges de contenus pédopornographiques en exploitant une faille de Firefox. Or, si des failles sont lancées ouvertes aux quatre vents, elles peuvent être trouvées et donc exploitées pour des raisons beaucoup moins « nobles ».

Les développeurs ne donnent pour l’instant aucune indication sur la sortie d’une version finale. Le projet va continuer à progresser, mais il est probable que le rythme soit lent.

Les utilisateurs intéressés pourront télécharger les sources du projet depuis le dépôt Git associé. Il n’y a pour l’instant aucun binaire déjà compilé et il faudra donc procéder manuellement.

Source nextinpact.com

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur Tor Browser disponible en version Sandboxed 0.0.2, avec une isolation en mémoire

Deux parlementaires demandent au ministre de la Défense de faire œuvre de transparence sur l’ « Open Bar » souscrit auprès de Microsoft

Posted by CercLL sur 14 décembre 2016

Deux parlementaires, Mme Isabelle Attard, députée (non-inscrite) du Calvados, et Mme Joëlle Garriaud-Maylam, sénatrice (LR) des Français établis hors de France, de deux chambres et de deux bords politiques différents, interrogent, par voie de question écrite (question n° 101223 et question n° 24267), le ministre de la Défense, M. Jean-Yves le Drian, sur le contrat « Open Bar » qui lie le ministère à Microsoft depuis 2009.

Le 18 octobre 2016 l’émission Cash Investigation de France 2 était en partie consacrée au dossier « Open Bar » Microsoft / Défense. L’April avait alors publié un récapitulatif de l’affaire. Cette émission a permis de mettre en lumière, auprès du grand public, les contradictions et l’opacité de la « grande muette » concernant ce contrat, mais également de verser de nouveaux éléments au dossier. Autant d’éléments qui ont poussé ces deux élues à demander plus de transparence au ministre de la Défense.

Isabelle Attard, après une première question écrite en 2013, toujours sans réponse, interroge cette fois-ci le ministre, par sa question écrite n° 101223 publiée le 13 décembre 2016, sur « le périmètre et le contenu de l’ « accord de sécurité » passé entre l’État français et la société Microsoft ». Elle s’inquiète de ce que « la souveraineté numérique de l’État français dépende principalement de la bonne foi » de l’entreprise américaine alors que la National Security Agency (NSA) « introduit systématiquement des portes dérobées ou « backdoors » dans les produits logiciels »

L’April avait également demandé la communication de cet accord.

Joëlle Garriaud-Maylam avait déjà interrogé le ministre en 2014 sur les risques de perte de souverainté. Elle relève dans cette nouvelle question écrite n° 24267 publiée le 8 décembre 2016, les contre-vérités qui lui furent adressées dans la réponse du ministre, notamment sur la « maîtrise des coûts ». Elle rappelle que « le seul scénario qui était déconseillé a été celui qui in fine a été retenu » d’après les mots, dans l’émission Cash Investigation, du directeur du groupe d’experts alors mandaté pour envisager différents scenarii. Elle relève également que le rapporteur pour la commission des marchés publics de l’État avait émis de fortes réserves et interrogations. La Sénatrice demande donc que des « précisions soient apportées sur les conditions de passation et les éléments ayant motivé le choix initial de recourir à cet accord dit « open bar » malgré ces avis contradictoires ». Elle souligne l’importance particulière de ces interrogations alors que le contrat actuel arrive à son terme en 2017 et risque donc d’être reconduit.

Ces mêmes éléments avaient conduit l’April à demander la création d’une commission d’enquête parlementaire.

Nous appelons de nos vœux le ministre de la Défense à sortir de son silence et à présenter publiquement les raisons qui ont poussé la France à conclure et renouveler un tel accord « Open Bar » malgré tous les éléments rationnels émis contre la signature d’un tel contrat.

Source april.org

bouton_web_soutien_88x31

Posted in Uncategorized | Tagué: | Commentaires fermés sur Deux parlementaires demandent au ministre de la Défense de faire œuvre de transparence sur l’ « Open Bar » souscrit auprès de Microsoft

 
%d blogueurs aiment cette page :