CERCLL

CercLL d'Entraide et Réseau Coopératif Autour des Logiciels Libres

  • Visioconférence

  • Languages Disponibles

  • Richard Stallman

  • Le Logiciel Libre

  • Priorité au Logiciel Libre!

  • L’ Agenda du Libre région PACA

  • Mobilizon Chapril

  • Chapril Mumble

  • Articles récents

  • Le Manchot

  • Écoutez

  • Lsdm liste des Gulls

  • Toolinux

  • Mastodon CercLL

  • Méta

  • créer un sondage

  • Un éditeur de texte collaboratif en ligne libre

  • Communication collaborative

  • Framatalk Visioconférence

  • Herbergement d’images

  • Ordinateur recyclé sous Debian

  • Nombres de visites sur ce site

    • 84 410 Visites
  • Entrez votre adresse mail pour suivre ce blog et être notifié par email des nouvelles publications.

    Rejoignez 223 autres abonnés

  • RSS CERCLL

  • Archives

Archive for 14 décembre 2016

Tor Browser disponible en version Sandboxed 0.0.2, avec une isolation en mémoire

Posted by CercLL sur 14 décembre 2016

Les développeurs de Tor Browser travaillent sur une version « sandboxée » du navigateur, qui doit le rendre moins perméable aux exploitations de failles et à certaines attaques. Une préversion est disponible, pour l’instant uniquement sur Linux.

 
image dediée

Tor Browser est un navigateur basé sur Firefox. Le socle technique est donc le même, ce qui ne signifie pas forcément qu’il en reprend l’intégrabilité des fonctions. En l’occurrence, Tor Browser ne possède aucune sandbox, alors que Firefox en dispose pourtant.

La sandbox (littéralement bac à sable) est un mécanisme de protection que l’on retrouve dans pratiquement tous les navigateurs récents. Elle isole dans un espace mémoire clos les données pour empêcher les communications classiques avec le reste du système. Les instructions, fonctionnalités et autres passent par des « portes » soigneusement contrôlées. Principal intérêt : empêcher l’exploitation des failles de sécurité quand celles-ci pourraient appeler des fonctions du système. À moins bien sûr de posséder le moyen de contourner la sandbox, avec une autre brèche par exemple.

Une sandbox pour Tor Browser

Les développeurs de Tor Browser travaillent sur une nouvelle version de leur navigateur, accompagnée cette fois d’une sandbox. Le processus est long et pour l’instant se limite à Linux. Ce « Sandboxed Tor Browser » est disponible dans une première mouture de test 0.0.2. Le numéro de version en dit long sur l’état d’avancement du projet : l’ensemble fonctionne, mais les bugs sont nombreux et la compatibilité limitée.

Puisque l’on parle uniquement de version Linux pour l’instant, le développeur « Yawning Angel » indique que l’interface d’installation et de mise à jour est désormais en GTK3+. Il s’agit en quelque sorte d’un « launcher » qui se charge d’exécuter Tor Browser dans une série de conteneurs logiciels. Ces derniers sont basés sur Linux seccomp-bpf et les espaces de noms utilisateurs. L’ensemble tourne autour de bubblewrap, un projet libre de sandbox.

Une compatibilité limitée

Cette version 0.0.2 ne pourra pas non plus être installée sur n’importe quelle distribution. Par exemple, Ubuntu n’est pas compatible à cause d’une version de bubblewrap trop ancienne. Le développeur prévient : la mouture présente dans le dépôt Universe ne doit pas être installée, elle ne fonctionnera pas. Par ailleurs, il faut que le système soit intégralement en 64 bits, le kernel comme l’espace utilisateur. Un mélange des binaires 32 et 64 bits ne sera pas suffisant.

Les importants enjeux d’une version isolée

Même encore à un stade peu avancé, le projet est important. Bloquer ou réduire l’exploitation des failles revêt un aspect crucial pour la sécurité des utilisateurs de Tor Browser. On rappellera en effet que le FBI a démantelé en 2015 un réseau d’échanges de contenus pédopornographiques en exploitant une faille de Firefox. Or, si des failles sont lancées ouvertes aux quatre vents, elles peuvent être trouvées et donc exploitées pour des raisons beaucoup moins « nobles ».

Les développeurs ne donnent pour l’instant aucune indication sur la sortie d’une version finale. Le projet va continuer à progresser, mais il est probable que le rythme soit lent.

Les utilisateurs intéressés pourront télécharger les sources du projet depuis le dépôt Git associé. Il n’y a pour l’instant aucun binaire déjà compilé et il faudra donc procéder manuellement.

Source nextinpact.com

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur Tor Browser disponible en version Sandboxed 0.0.2, avec une isolation en mémoire

Deux parlementaires demandent au ministre de la Défense de faire œuvre de transparence sur l’ « Open Bar » souscrit auprès de Microsoft

Posted by CercLL sur 14 décembre 2016

Deux parlementaires, Mme Isabelle Attard, députée (non-inscrite) du Calvados, et Mme Joëlle Garriaud-Maylam, sénatrice (LR) des Français établis hors de France, de deux chambres et de deux bords politiques différents, interrogent, par voie de question écrite (question n° 101223 et question n° 24267), le ministre de la Défense, M. Jean-Yves le Drian, sur le contrat « Open Bar » qui lie le ministère à Microsoft depuis 2009.

Le 18 octobre 2016 l’émission Cash Investigation de France 2 était en partie consacrée au dossier « Open Bar » Microsoft / Défense. L’April avait alors publié un récapitulatif de l’affaire. Cette émission a permis de mettre en lumière, auprès du grand public, les contradictions et l’opacité de la « grande muette » concernant ce contrat, mais également de verser de nouveaux éléments au dossier. Autant d’éléments qui ont poussé ces deux élues à demander plus de transparence au ministre de la Défense.

Isabelle Attard, après une première question écrite en 2013, toujours sans réponse, interroge cette fois-ci le ministre, par sa question écrite n° 101223 publiée le 13 décembre 2016, sur « le périmètre et le contenu de l’ « accord de sécurité » passé entre l’État français et la société Microsoft ». Elle s’inquiète de ce que « la souveraineté numérique de l’État français dépende principalement de la bonne foi » de l’entreprise américaine alors que la National Security Agency (NSA) « introduit systématiquement des portes dérobées ou « backdoors » dans les produits logiciels »

L’April avait également demandé la communication de cet accord.

Joëlle Garriaud-Maylam avait déjà interrogé le ministre en 2014 sur les risques de perte de souverainté. Elle relève dans cette nouvelle question écrite n° 24267 publiée le 8 décembre 2016, les contre-vérités qui lui furent adressées dans la réponse du ministre, notamment sur la « maîtrise des coûts ». Elle rappelle que « le seul scénario qui était déconseillé a été celui qui in fine a été retenu » d’après les mots, dans l’émission Cash Investigation, du directeur du groupe d’experts alors mandaté pour envisager différents scenarii. Elle relève également que le rapporteur pour la commission des marchés publics de l’État avait émis de fortes réserves et interrogations. La Sénatrice demande donc que des « précisions soient apportées sur les conditions de passation et les éléments ayant motivé le choix initial de recourir à cet accord dit « open bar » malgré ces avis contradictoires ». Elle souligne l’importance particulière de ces interrogations alors que le contrat actuel arrive à son terme en 2017 et risque donc d’être reconduit.

Ces mêmes éléments avaient conduit l’April à demander la création d’une commission d’enquête parlementaire.

Nous appelons de nos vœux le ministre de la Défense à sortir de son silence et à présenter publiquement les raisons qui ont poussé la France à conclure et renouveler un tel accord « Open Bar » malgré tous les éléments rationnels émis contre la signature d’un tel contrat.

Source april.org

bouton_web_soutien_88x31

Posted in Uncategorized | Tagué: | Commentaires fermés sur Deux parlementaires demandent au ministre de la Défense de faire œuvre de transparence sur l’ « Open Bar » souscrit auprès de Microsoft

 
%d blogueurs aiment cette page :