Firefox 65 est disponible : le tour des nouveautés

Mozilla vient de rendre disponible la version 65 de son navigateur Firefox et les nouveautés sont nombreuses. Au menu : une protection améliorée contre le pistage et la continuité de la navigation sur les appareils Apple.

Firefox 65 « Quantum » est désormais disponible au téléchargement sur Windows, macOS et Linux. Cette version poursuit les chantiers entamés dans la précédente version du navigateur, à savoir une meilleure protection contre les trackers publicitaires et une navigation plus rapide.

Détraquer les trackers

Principale nouveauté de ce Firefox 65 : une meilleure granularité dans le blocage de certains contenus. L’utilisateur peut désormais choisir entre trois niveaux de blocage : Standard, Strict et Personnalisé.

 

Les nouvelles options de blocage du contenu sur Firefox 65. © Mozilla

Autre ajout de taille, qui fera assurément plaisir aux utilisateurs de Firefox sur macOS et iOS : le support de la technologie HandOff d’Apple. Désormais, lorsque vous naviguez sur Firefox ou Safari sur votre iPhone ou iPad, s’affichera une petite icône Firefox dans votre Dock sur macOS. Un simple clic dessus vous permet de poursuivre la navigation initiée sur smartphone directement sur votre ordinateur.

Une navigation plus rapide

Troisième axe d’amélioration de Firefox 65 : la rapidité de navigation. Dans son patch note, Mozilla explique que le navigateur supporte désormais le format d’images WebP qui permet « la même qualité d’image que les autres formats pour un poids moindre », explique l’éditeur. Par conséquent, les sites Web utilisant ce format d’images se chargeront plus rapidement en utilisant Firefox.

En guise de dernière nouveauté, Firefox prend désormais en charge le format de compression AV1 pour les utilisateurs Windows. Une technologie qui sera amenée à devenir le nouveau standard en la matière, selon l’éditeur.

Source clubic.com

Supercalculateurs, Linux est au cœur de la puissance informatique mondiale !

Linux est désormais l’unique et le seul système d’exploitation exploité par les 500 meilleures supercalculateurs du monde en novembre 2017.

C’est la conclusion du dernier classement proposé par Top500. Cette année marque le 24e anniversaire de ce service internet. Son objectif est de dresser une liste à jour des dernières informations autour des plus puissants supercalculateurs de la planète. Ce classement se nomme le Top500. Il est publié tous les mois de juin et novembre. La qualité et les informations proposées ont permis à Top500 de devenir au fil du temps la référence dans ce domaine de mesure de la puissance de calcul haute performance alias le high-performance computing.

La plus récente publication dévoile qu’en matière du système d’exploitation, les plus importants systèmes de calcul au monde exploitent désormais plus qu’une seule solution, Linux. Chacun ayant bien sur un système d’exploitation propre basé sur Linux. En d’autres termes, Linux domine ce classement des 500 premiers supercalculateurs du monde, ce qui est une grande réussite à saluer.

Linux, la solution numéro 1

Linux Foundation propose de son côté plusieurs statistiques intéressantes. Depuis 1998, Linux domine le TOP 10 mondial des superordinateurs. A ce sujet la fondation explique

«Deux fois par an, la communauté Linux est très fière de compter le nombre de machines Linux dans la liste Top500 […] Après sa première apparition dans cette liste en 1998, Linux a toujours dominé le top 10 au cours de la dernière décennie et compte plus de 90% de la liste depuis juin 2010. »

Chaque année, Linux gagne du terrain par rapport aux d’autres OS comme Microsoft Windows et MacOS d’Apple. Windows n’a cependant pas de souci à avoir. Sa part de marché sur le segment des ordinateurs de bureau est pour le moment écrasante.  Linux est cependant bien présent et bien qu’il ne soit pas souvent mis en avant, il domine d’autres marchés comme les plus puissants serveurs du monde ou d’innombrables services Clouds.

La première liste Top500 a été publiée en juin 1993, il y a 24 ans…

Source ginjfo.com

Faites tourner le Mac de 1984 sous Linux

Le Mac a 35 ans cette année. L’occasion pour un hacker, Josh Juran, de créer un émulateur qui devrait faire un malheur et arrive sous Linux. Il ranime les premières applications compiliées à l’époque sans CD.

Josh Juran lance son émulateur « Advanced Mac Substitute » (AMS) avec pour promesse de faire tourner les anciennes applications Mac compilées pour la série 68000 Motorola. Il est ainsi désormais possible de revivre l’expérience des premiers Mac grâce à une application multi-plateforme, d’Android à Windows en passant par Linux et… macOS X.

Attention, quelques subtilités se glissent dans la note explicative (car tout n’est pas franchement stable à ce stade) : macOS est supporté jusqu’à la version 10.2 et le clavier n’est pas encore compatible sur l’édition Linux. Cela dit, le travail continue.

L’idée est de faire tourner des applications sans devoir passer par des CD d’installation, souvent indispensables pour d’autres émulateurs du même type (car non, ce n’est pas vraiment une première, mais plutôt un symbole).

Site web officiel
Sur Github

Source toolinux.com

Un méchant bug de sécurité identifié et corrigé dans Linux apt

L’un des principaux programmes d’installation de Linux, apt, s’est récemment avéré embarquer une grave faille de sécurité. C’est à présent patché. Les utilisateurs Linux doivent installer le correctif au plus vite.

Si vous voulez installer un programme sur la famille de distributions Debian/Ubuntu/Mint Linux, vous utilisez presque toujours le programme d’installation de logiciels Advanced Package Tool (apt). Il fonctionne bien, mais le chercheur en sécurité Max Justicz a récemment trouvé une façon déplaisante de lancer une attaque de type man-in-the-middle sur apt.

Pire, Justicz a découvert que la vulnérabilité permettrait à un attaquant distant d’exécuter du code arbitraire en tant que root sur n’importe quel système installant n’importe quel paquet. Pour comprendre la gravité de l’attaque, vous devez comprendre comment apt fonctionne.

Falsifier des données pour installer un paquet malveillant

Apt est un frontal du système dpkg. Ce système est une base de données de « paquets » dont les fichiers doivent être installés pour qu’un programme, tel que Firefox, fonctionne. Avec apt, vous pouvez trouver et installer de nouveaux programmes, mettre à jour des programmes, supprimer des programmes et mettre à jour votre base de données locale dbkg.

Jusqu’ici, tout va bien. Mais, quand apt installe un nouveau programme ou met à jour un programme existant, il ne vérifie pas les problèmes éventuels au niveau de l’Uniform Resource Identifier (URI) d’un paquet. Au lieu de cela, il compare simplement les hachages de sécurité PGP renvoyés par la réponse URI Done avec les valeurs du manifeste du paquet signé.

Mais, comme l’attaquant « man-in-the-middle » contrôle les hachages signalés, il peut les falsifier pour donner l’impression qu’un paquet malveillant semble au contraire légitime.

Comme l’indique le message de sécurité d’Ubuntu apt, « apt, à partir de la version 0.8.15, décode les URL cibles des redirections, mais ne les vérifie pas pour les nouvelles lignes, permettant aux attaquants MiTM (ou miroirs de dépôts) d’injecter des en-têtes arbitraires dans le résultat retourné au processus principal. Si l’URL incorpore des hachages du fichier supposé, elle peut donc être utilisée pour désactiver toute validation du fichier téléchargé, car les faux hachages seront pré-placés devant les bons hachages. »

Justicz a montré qu’il pouvait pousser un fichier .deb malveillant dans un système cible en utilisant le fichier Release.gpg. Ce fichier est toujours extrait lors de la mise à jour d’apt et est généralement installé dans un emplacement prévisible.

Justicz a démontré que cela peut être aussi évident que :

<oops.deb contents>
——-DÉBUT SIGNATURE PGP———
…
—–END PGP SIGNATURE———

Et tout ce à quoi « oops » correspond sera installé.

Il a également indiqué que, « par défaut, Debian et Ubuntu utilisent tous deux des dépôts http simples et prêts à l’emploi ». Bien qu’il y ait un vif débat sur la question de savoir si les https plus sûres ont réellement amélioré la sécurité d’apt, Justicz a son opinion sur le sujet : « Je n’aurais pas pu exploiter le Dockerfile en haut de ce message si les serveurs de paquets par défaut avaient utilisé https. »

Correctifs pour Debian et Ubuntu

Alors, est-ce réellement grave ? Cela l’est.

Yves-Alexis Perez, membre de l’équipe de sécurité de Debian, a écrit: « Cette vulnérabilité pourrait être utilisée par un attaquant situé en interception entre APT et un miroir afin d’injecter du contenu malveillant dans la connexion HTTP. Ce contenu pourrait alors être reconnu comme un paquet valide par APT et utilisé ultérieurement pour l’exécution de code avec les privilèges root sur la machine cible. »

Aussi dommageable que puisse être ce bug, les correctifs sont déjà disponibles pour Debian et Ubuntu. Des correctifs seront bientôt accessibles pour Mint et d’autres distributions Linux basées sur Debian/Ubuntu. Lorsque vous corrigez apt, l’équipe de sécurité Debian vous recommande de prendre des mesures.

Désactivez les redirections afin d’empêcher l’exploitation, avec les commandes suivantes en tant que root :
apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade

La mauvaise nouvelle à présent : « Ceci est connu pour casser certains serveurs proxy lorsqu’il est utilisé à la place de security.debian.org. Si cela se produit, les utilisateurs peuvent faire passer leur source de sécurité APT pour utiliser la suivante : deb http://cdn-fastly.deb.debian.org/debian-security stable/updates main. »

Donc, tant que vous agissez rapidement pour mettre à jour vos systèmes, cette nouvelle faille de sécurité ne devrait pas poser de problème. Cela dit, il ne faudra pas tarder trop longtemps. Cette vulnérabilité sera exploitée. C’est juste une question de temps.

Source zdnet.fr

En janvier 2019, l’Union européenne ouvre la chasse aux failles dans les logiciels libres

EU-FOSSA, ou European Union Free and Open Source Software Auditing, est un projet initié par les eurodéputé⋅es Max Anderson et Julia Reda — après la découverte d’une faille de sécurité dans OpenSSL, Heartbleed existant depuis 2012 et découverte en 2014 — et porté par la Commission européenne depuis 2015. En 2017, le projet a été reconduit pour trois ans sous le nom de EU-FOSSA 2 et, après un premier Bug Bounty en novembre 2017, une prime pour la détection de failles de sécurité pour le lecteur média libre VLC, la Commission a annoncé en janvier 2019 quinze nouvelles primes pour des logiciels libres utilisés par les institutions européennes.

L’eurodéputée Julia Reda rappelle sur son site, en anglais, l’enjeu et l’historique de ce projet :

Le problème a fait que de nombreuses personnes ont pris conscience de l’importance des logiciels libres dans l’intégrité et la fiabilité d’Internet et d’autres infrastructures. Comme beaucoup d’autres organisations, des institutions comme le Parlement européen, le Conseil ou la Commission se basent sur des logiciels libres pour faire tourner leur site web et bien d’autres choses. Mais l’Internet n’est pas seulement crucial pour notre économie et notre administration. C’est l’infrastructure sur laquelle repose notre vie de tous les jours. C’est le moyen par lequel nous récupérons de l’information et par lequel nous sommes politiquement actifs 1.

Elle liste également les projets libres concernés, les plateformes de signalement, la période de « chasse à la prime » et le montant des récompenses disponibles. Certaines primes sont ouvertes jusqu’à la fin juillet 2019, pour Keepass par exemple, ou d’autres, comme Drupal, le sont jusqu’à octobre 2020.

Un « Bug bounty » est une prime pour les personnes qui recherchent activement des failles de sécurité. Le montant de la prime dépend de la sévérité de la faille découverte et de l’importance relative du logiciel. […]. Vous pouvez contribuer aux projets ci-dessous [voir la liste] en analysant les logiciels et en soumettant les bugs ou vulnérabilités que vous trouvez dans les plateformes concernées 2.

L’April salue cette initiative, la personne publique agissant pleinement dans sa mission de service public en participant, ici par le biais de primes, à la sécurité informatique de logiciels librement utilisables et réutilisables, par toutes et tous, et qui ont un rôle déterminant dans l’infrastructure globale d’Internet. L’association soutient évidement l’objectif annoncé par l’eurodéputée de pérennisation de la sécurité des logiciels libres dans le budget de l’Union européenne.

Source april.org

 

 

voici Inkscape 1.0 (enfin, presque)

Enfin ! 15 ans après sa création, Inkscape franchit un cap en ce début d’année : ce clone open source d’Illustrator et CorelDraw passera bientôt en version finale 1.0. La version alpha vient d’être libérée.

C’est l’un des logiciels libres préconisés par l’État français dans le cadre de la modernisation de ses systèmes d’informations : Inkscape est un logiciel libre de dessin vectoriel sous licence GNU GPL. Il gère des fichiers conformes avec les standards XML, SVG et CSS du W3C. Multiplateforme, il est proposé sur Linux, Windows, macOSX et FreeBSD.

L’application peut être utilisée pour créer et manipuler des objets (dessins, formes). La version 1.0 annoncée fin de la semaine dernière était très attendue. Elle introduit une interface utilisateur peaufinée, le support des thèmes et, surtout, des écrans 4K/HiDPI. En outre, Inkscape offre de nouvelles options pour l’exportation au format PNG, les fontes variables et la possibilité d’effectuer des rotations et un effet miroir.

Le projet avance vers la sortie de la version 1.0 finale, confirme le site officiel : « Les équipes d’Inkscape cherchent des utilisateurs qui pourraient tester la version alpha avant la sortie. (…) Inkscape change de traqueur de bogues. Pour les nouveaux bogues, le projet va utiliser le traqueur de GitLab  »

Rendez-vous sur le site web officiel.

Source toolinux.com

Chrome OS facilitera l’installation d’applications Linux

Un nouveau commit posté le 14 janvier dernier au code source de l’OS de Google indique que l’installation d’applications Linux sur ChromeOS va devenir aussi simple qu’une requête dans un moteur de recherche.

Chrome OS est un système articulé autour d’un noyau Linux, mais il avait été bridé à sa conception pour n’inclure que des pilotes et un navigateur Chrome adapté. Il s’est depuis ouvert aux applications web plus évoluées, au Play Store (donc aux applications Android) et désormais aux logiciels développés pour Linux (en version stable).

Par défaut, à l’heure actuelle, le support des applications Linux dans Chrome OS n’inclut qu’un nombre limité de dépôts, mais les choses vont rapidement changer dès que la fonction repérée par le site 9To5Google quittera le stade bêta.

Il suffira bientôt d’effectuer une recherche dans la barre d’applications pour se voir suggérer des applications, qui seront ensuite récupérées via l’Advanced Package Tool de la distribution Debian. Cette fonction permettait déjà de trouver des applications Android et des web apps, mais elle a été retirée avec Chrome OS 70 pour travailler sur un « touch-friendly launcher » (lanceur plus adapté aux commandes tactiles). Son intégration va donc grandement faciliter les opérations d’installation (et probablement de mise à jour) des applications.

Source toolinux.com

Firefox 69 désactivera le plugin Adobe Flash par défaut

Le développeur du navigateur Firefox désactivera Adobe Flash par défaut à compter de sa prochaine mise à jour. La fin d’un long processus pour le plugin décrié pour ses multiples problèmes de sécurité.

Mozilla a finalement pris le plus fort sur Adobe Flash. Le développeur du navigateur Firefox franchira ainsi au cours de l’année un nouveau palier dans la guerre des nerfs l’opposant au plugin d’Adobe avec la sortie annoncée de Firefox 69, qui désactivera la prise en charge par défaut de Flash.

La prochaine mouture de Firefox devrait, lors de son lancement, constituer la troisième et ultime étape du processus d’abandon par Mozilla du support du plugin historiquement buggé, dont l’agonie devrait prendre fin le 31 décembre 2020. Pour rappel, Flash est le dernier plugin NPAPI pris en charge par le navigateur.

Mozilla a signalé le changement, repéré par Ghacks, dans un nouveau rapport de bogue qui note « nous désactiverons Flash par défaut dans Nightly 69 et laisserons le déploiement se faire ». A noter que Firefox 69 sera disponible dans sa version stabilisée début septembre, selon le calendrier de sortie de Mozilla.

Désactivation planifiée en septembre

La décision de l’éditeur du navigateur Firefox s’inscrit dans un mouvement de désaffection du plugin par l’ensemble des concurrents de Mozilla. Google a ainsi indiqué récemment qu’il désactivera Flash par défaut à compter du lancement de Chrome 76, qui devrait être distribué dans une version stabilisée à compter du mois de juillet prochain. Jusqu’alors, si les utilisateurs de ce dernier pouvaient toujours activer Flash dans les paramètres, l’utilisation de ce plugin nécessitait toutefois de leur part une autorisation explicite. Depuis le lancement de Chrome 69, les utilisateurs du navigateur de Google doivent en outre autoriser chaque site à utiliser Flash à chaque redémarrage.

Une fois Flash désactivé par défaut dans Firefox, Mozilla a indiqué que ses utilisateurs ne seront plus invités à activer le plugin, mais que possibilité leur sera offerte de l’activer sur certains sites en utilisant les paramètres du navigateur. A compter de 2020, Mozilla a toutefois indiqué que le support Flash sera complètement supprimé des versions grand public de Firefox. Le plugin d’Adobe continuera d’être pris en charge dans la version Firefox Extended Support Release (ESR) jusqu’à fin 2020. Destination finale prévue en 2021 pour Flash, date à laquelle Mozilla a indiqué que Firefox « refusera de charger le plugin ». A noter que Microsoft désactivera également le plugin par défaut dans Edge et Internet Explorer au milieu ou à la fin de 2019.

Plugin pionnier mais souvent tourné en dérision malgré la publication de correctifs ne concernant pas ses failles de sécurité, le Flash d’Adobe devrait décliner jusqu’à sa mort clinique prévue par l’éditeur de logiciel en 2020. A cette date, Adobe encouragera les créateurs de contenu à migrer vers des formats ouverts.

Source znet.fr

Les projets de Tails pour 2019

Popularisée par le soutien appuyé d’Edward Snowden, la distribution live sécuritaire Tails -basée sur le projet Debian – a dévoilé fin 2018 ses plans ambitieux pour l’année à venir. Les voici résumés.

C’est quoi, Tails ?

Comme le précise le site officiel, Tails est un système live dont le but est de préserver votre vie privée et votre anonymat.

« Il vous permet d’utiliser Internet de manière anonyme et de contourner la censure quasiment partout où vous allez et sur n’importe quel ordinateur. Tails ne laisse aucune trace de ce que vous avez fait, sauf si vous le demandez explicitement. Tails est un système d’exploitation complet destiné à être utilisé depuis une clef USB ou un DVD indépendamment du système installé sur l’ordinateur. C’est un logiciel libre basé sur Debian GNU/Linux. »

Et pour 2019

L’heure est à la simplification : « En 2019, nous ferons les efforts qu’il faut pour rendre Tails plus facile à comprendre et à utiliser. » L’idée est évidemment de permettre au plus grand nombre d’utilisateurs de se l’approprier et de se protéger contre la surveillance et la censure. Cela commencera par une refonte du site web, pour le rendre… moins austère. Un regard suffit.

Pour l’OS en lui-même, concrètement, les développeurs vont s’attacher à améliorer l’installation et le mise à jour. Dès ce mois de janvier, un nouveau mécanisme d’installation permettra d’installer plus facilement Tails sur macOS par exemple, avec le support de Secure Boot, mais aussi sous Linux et Windows (rappelons que Tails est un système live).

Enfin, mi-octobre, Tails a lancé une nouvelle campagne de récolte de fonds : depuis lors, les dons ont été nombreux (+61%) mais leur volume a diminué (-51%), notamment à cause de la valeur du bitcoin.

Source toolinux.com

Thunderbird a 15 ans et va renaître cette année

La partie de « je t’aime moi non plus » est terminée entre la Fondation Mozilla et son client de messagerie Thunderbird. L’équipe est renforcée et la mission pour 2019 consiste à le remettre en ordre de marche. Voici l’état du chantier.

Nous avions bien vu passer des offres d’emploi en novembre dernier, mais cette fois, les intentions sont nettement plus claires. Ce 2 janvier, Ryan Sipes (Community Manager du projet Thunderbird) a pris la peine de rédiger un long article plutôt réjouissant sur l’avenir du logiciel de courriel, qui serait toujours utilisé par plus de 20 millions de personnes dans le monde, 15 ans après sa naissance.

Durant plusieurs années, la Fondation ne savait pas très bien ce qu’il fallait en faire, face à l’émergence des webmails. Elle avait même trouvé plusieurs repreneurs, mais face à la gronde et à la mobilisation de ses utilisateurs, Mozilla a finalement dû se résigner à reprendre les commandes de Thunderbird en 2017 et déclare que les ressources sont aujourd’hui réunies pour un nouveau départ. Ressources humaines notamment : de 4 contributeurs, l’équipe vient de passer à 8 personnes et en comptera 14 d’ici la fin de l’année. Objectif : moderniser l’application (et il est temps).

Une année chargée à venir

Plusieurs projets sont lancés, pour prendre la relève de la version 60 et le menu est costaud : support (façon Firefox) des architectures multi-processeurs, résolution des énormes problèmes de lenteur (quel que soit l’OS) et… un ravalement de façade. Il est certes possible d’adopter un thème tiers pour personnaliser Thunderbird, mais l’application a grand besoin d’une véritable adaptation aux codes modernes d’un logiciel multi-plateforme.

Autres dossiers importants : le support de Gmail (notamment dans ses fonctions les plus avancées), la gestion des extensions, les filtres, l’agenda et le désormais très demandé chiffrement des courriels. Un ingénieur spécialisé dans la confidentialité des échanges a d’ailleurs été embauché pour remplir ce rôle. En dehors d’une meilleure intégration de l’extension Enigmail (chiffrement et la vérification OpenPGP) éditée par Mozilla, on peut imaginer que Thunderbird va pouvoir se mettre en ordre de bataille pour supporter Protonmail (via son Bridge), Tutanota ou le futur service Qwant Mail, qui reposera sur OpenPAAS de Linagora.

Pas un mot sur des déclinaisons mobiles (iOS ou Android), mais le chantier est déjà assez costaud sur les principales plateformes « fixes » que sont Windows, Linux et macOS X pour 2019.

Liens

Le site officiel(en français)
« Thunderbird in 2019 » sur le blog de Mozilla

Source toolinux.com

Firefox affiche des bandeaux publicitaires, Mozilla fait-il une erreur ?

La dernière version du navigateur Firefox s’accompagne de changements importants. Mozilla a procédé à des modifications discrètes et déjà polémiques. Explications.

Le petit monde des navigateurs Internet est très actif en ce moment. Microsoft a annoncé l’abandon de son moteur EdgeHTML au profit de Chromium et Mozilla vient de faire des ajustements dans Firefox.  La démarche a été faite de manière discrète.

La dernière version du navigateur Firefox a commencé à afficher des annonces publicitaires dans de nouveaux onglets. Les rapports à ce sujet se multiplient. Cela se produit sur toutes les plates-formes de bureau. Il est expliqué sur Reddit qu’une bandeau publicitaire apparait en bas de l’écran. Il incite l’utilisateur à cliquer afin de se rendre sur Booking.

« Prêt à planifier la prochaine réunion de famille? Voici un merci de Firefox. Réservez votre prochain séjour à l’hôtel sur Booking.com dès aujourd’hui et recevez un chèque-cadeau Amazon de 20 $. Joyeuses fêtes de Firefox ! »

En cliquant sur le bouton « Trouver un hôtel », les utilisateurs accèdent à Booking.

Firefox et la publicité, une option désactivable

Pour le moment, ces messages publicitaires intrusifs n’apparaissent que de temps en temps. Il semble que la fonction ne soit active que pour un petit nombre d’utilisateurs. Il est donc possible qu’il s’agisse d’un test de la part de Mozilla.

A l’image de Microsoft, Mozilla n’appelle pas cela de la publicité mais des « snippets ». Il y a une bonne nouvelle. Une option pour désactiver cette fonctionnalité est prévue. Il faut se rendre dans

Options> Accueil>

Mozilla n’a fait aucune déclaration. Nous ne savons pas s’il s’agit d’un test ou d’un nouveau comportement du navigateur. En attendant, les réactions sont négatives. Les utilisateurs ne sont pas satisfaits malgré une option pour désactiver cette fonctionnalité. Qu’en pensez-vous ?

Source ginjfo.com

Nouvel An