CERCLL

CercLL d'Entraide et Réseau Coopératif Autour des Logiciels Libres

  • Visioconférence

  • Languages Disponibles

  • Richard Stallman

  • Le Logiciel Libre

  • Priorité au Logiciel Libre!

  • L’ Agenda du Libre région PACA

  • Mobilizon Chapril

  • Chapril Mumble

  • Articles récents

  • Le Manchot

  • Écoutez

  • Lsdm liste des Gulls

  • Toolinux

  • Mastodon CercLL

  • Méta

  • créer un sondage

  • Un éditeur de texte collaboratif en ligne libre

  • Communication collaborative

  • Framatalk Visioconférence

  • Herbergement d’images

  • Ordinateur recyclé sous Debian

  • Nombres de visites sur ce site

    • 84 937 Visites
  • Entrez votre adresse mail pour suivre ce blog et être notifié par email des nouvelles publications.

    Rejoignez 223 autres abonnés

  • RSS CERCLL

  • Archives

Archive for 10 décembre 2019

De nouvelles opportunités pour lutter contre l’obsolescence logicielle à l’Assemblée nationale

Posted by CercLL sur 10 décembre 2019

Les débats ont repris le lundi 9 décembre 2019 en séance publique de l’Assemblée nationale sur le projet de loi économie circulaire. Bien qu’initialement absente du texte, la question de l’obsolescence logicielle a été introduite au Sénat en septembre 2019. Après que la Commission développement durable semble avoir consacré la nécessité d’un certain niveau d’information des consommateurs et consommatrices, les débats en séance publique seront une nouvelle occasion de renforcer les dispositifs de lutte contre l’obsolescence logicielle.

Lire le texte issu des débats en commission développement durable et le bilan de l’April.

Plusieurs amendements reprennent des propositions déjà défendues au Sénat et en Commission développement durable de l’Assemblée. Ainsi Vincent Thiébaut (La République En Marche) a de nouveau déposé une proposition visant à interdire les pratiques de restriction d’installation de logiciels dans un amendement 247.

Article 4 quater C
Après l’alinéa 5, insérer l’alinéa suivant :
« Art. L. 441‑5. – « Toute technique, y compris logicielle, dont l’objet est de rendre impossible ou de restreindre la liberté d’un consommateur d’installer les logiciels de son choix sur son équipement est interdite. »

De même l’amendement 2045 de Paula Forteza et Cédric Villani vise à permettre l’accès aux interfaces de programmation des « objets connectés », les « API », et à leur documentation, dans des conditions non discriminatoires et sans restriction de mise en œuvre. Tiré d’une proposition conjointe de l’April, HOP et GreenIT.fr, cet amendement est essentiel pour permettre la durabilité et la maîtrise des « objets connectés ».

Après L’article 4 quater D, insérer l’article suivant :
Après l’article L. 111‑4 du code de la consommation est inséré un article L. 111‑4‑1 ainsi rédigé :
« Art. L. 111‑4‑1. – Les fabricants d’objets connectés mettent à la disposition du consommateur les interfaces de programmation de l’objet. Ces interfaces de programmation sont disponibles à compter de la date de mise sur le marché de la dernière unité du modèle concerné et pour une durée illimitée. Les documents de spécifications des interfaces de programmation sont intégralement accessibles librement et gratuitement ou pour un coût minimal, dans des conditions non discriminatoires et sans restriction, juridique ou technique, de mise en œuvre. »

Reprenant une proposition de Halte Obsolescence Programmée (HOP), l’amendement 1285 porté par Mathilde Panot (La France Insoumise) vise à garantir durant au moins dix ans « les mises à jour logicielles individuelles et cumulées ».

Article 4 quater D
Compléter cet article par les six alinéas suivants :
« III. – Le chapitre IV du titre II du code de la consommation est complété par une section 16 ainsi rédigée :
« Section 16
« Contrats de licence de logiciel
« Art. L. 224‑109. – Les mises à jour logicielles individuelles et cumulées sont obligatoirement disponibles pendant une période de dix ans après la fin de la production du logiciel. Elles distinguent obligatoirement les mises à jour correctives et évolutives.
« Les pilotes de périphériques sont obligatoirement disponibles pendant une période de dix ans après la fin de la production du logiciel.
« Le système d’exploitation est obligatoirement disponible pendant une période de dix ans après la fin de la production du logiciel. »

Autre amendement proposé par Halte Obsolescence Programmée et déposé par Matthieu Orphelin (Libertés et Territoires), le 1429. L’objet de l’amendement est de distinguer les mises à jour « correctives » des mises à jour « évolutives », de manière à permettre aux consommatrices et consommateurs de ne pas installer, s’ils ou elles le souhaitent, les secondes. Proposition intéressante : la surabondance de nouvelles fonctionnalités, sans cesse plus gourmandes en ressources, est déterminante pour la durée de vie des appareils.

Article 4 quater D
Après l’alinéa 4, insérer l’alinéa suivant :
« Art. L. 217‑22.- Pour les biens comportant des éléments numériques, le vendeur veille à dissocier les mises à jour de sécurité des autres mises à jour, de manière à permettre au consommateur, s’il le souhaite, de n’installer que les mises à jour de sécurité à l’exclusion des autres mises à jour, sans que ce choix entraîne de défaut de conformité du bien. »

L’amendement 904 porté par le Parti Socialiste propose de préciser la définition d’obsolescence programmée. L’amendement propose ainsi l’ajout d’un alinéa à l’article L. 441‑2 du code de la consommation : « ces techniques peuvent notamment inclure l’introduction volontaire d’une défectuosité, d’une fragilité, d’un arrêt programmé ou prématuré, d’une limitation technique, d’une impossibilité de réparer ou d’une non compatibilité ». Pour rappel, cette proposition, repoussée au Sénat, avait été introduite, puis supprimée, lors de la navette parlementaire de la loi de 2015.

Notons enfin, une proposition portée par la rapporteure Graziella Melchior (amendement 2350) ainsi que par Matthieu Orphelin (amendement 1432), Paula Forteza et Cédric Villani (amendement 2036), visant à renforcer l’information des consommateurs et consommatrices sur les mises à jour « qui sont nécessaires au maintien de la conformité de ces biens », sur une période qui ne peut être inférieure à deux ans. La disposition prévoit le droit de refuser l’installation de ladite mise à jour.

À l’instar de ce qui a été voté en Commission, tout renforcement de l’information est une avancée utile. L’April rappelle toutefois que celle-ci ne peut être une fin en soit et qu’elle doit s’accompagner de garanties effectives pour les libertés informatiques des personnes. C’est en redonnant la maîtrise de leurs équipements aux utilisateurs et utilisatrices, en leur donnant les moyens d’être indépendants face aux choix commerciaux des fabricants et des éditeurs de logiciels privateurs, avec des logiciels libres, que l’on pourra répondre à l’objectif de réparabilité et de durabilité des équipements informatiques.

Source april.org

Posted in CercLL | Tagué: , , | Commentaires fermés sur De nouvelles opportunités pour lutter contre l’obsolescence logicielle à l’Assemblée nationale

Linux, Unix : importante faille dans les VPN, avec injection de données et vol de session

Posted by CercLL sur 10 décembre 2019

Linux, Unix : importante faille dans les VPN, avec injection de données et vol de session

Elle porte la référence CVE-2019-14899 et pourrait causer de gros dégâts. Ubuntu 19.10, Fedora, Debian 10.2, Manjaro 18.1.1, Arch 2019.05, FreeBSD, OpenBSD… la liste des distributions touchées est longue.

De manière générale, elle concerne tous les systèmes utilisant la configuration par défaut de systemd sorti après le 28 novembre 2018. En cause, le changement d’un paramètre rp_filter de « strict » à « loose »… avec des conséquences en cascades.

« Cette vulnérabilité affecte la plupart des distributions Linux et des systèmes d’exploitation Unix comme FreeBSD, OpenBSD, macOS, iOS, et Android et permet à un attaquant présent dans le réseau local de déterminer si un autre utilisateur est connecté à un VPN, l’adresse IP virtuelle qui lui a été attribuée par le serveur VPN, et s’il y a ou non une connexion active à un site Web donné », explique le portail de cybersécurité des systèmes de santé qui reprend la publication sur Seclists de William J. Tolley, Beau Kujath et Jedidiah R. Crandall.

Le portail ajoute : « De plus, l’attaquant pourrait déterminer les numéros des séquences et d’acquittements des sessions TCP en comptant les paquets chiffrés et/ou en examinant leur taille. Cela lui permet d’injecter des données dans le flux TCP et de voler ces sessions. Ces vulnérabilités concernent OpenVPN, WireGuard et IKEv2/IPSec, mais potentiellement aussi d’autres technologies VPN ».

Les chercheurs donnent plusieurs pistes permettant de limiter les dégâts, notamment activer le reverse path filtering et mettre en place le filtrage Bogon.

Source nextinpact.com

Posted in CercLL | Tagué: , , , , | 1 Comment »

Obsolescence logicielle : quelques avancées en Commission développement durable sur le droit à l’information

Posted by CercLL sur 10 décembre 2019

En septembre 2019, les sénateurs et sénatrices, de manière transpartisane et contre l’avis du gouvernement, avaient défendu plusieurs propositions pour lutter contre les pratiques sources d’obsolescence logicielle, dont certaines ont été adoptées. Convaincue que les logiciels libres, par les libertés qu’ils confèrent, sont vecteurs d’une informatique plus durable, l’April est restée mobilisée sur ce projet de loi, notamment en renouvelant des propositions qui ont été discutées en Commission du développement durable de l’Assemblée nationale en novembre 2019.

Plusieurs propositions relatives à l’obsolescence logicielle ont été déposées en Commission. Elles ont été discutées lors de la première séance du mercredi 27 novembre 2019. Le compte-rendu ainsi que la vidéo des débats sont disponibles. Le texte issu des débats en Commission développement durable est disponible sur le site de l’Assemblée.

Particularité des débats, alors que la commission saisie au fond sur le projet de loi est la Commission développement durable – dont la rapporteure est Véronique Riotton – la Commission des Affaires économiques (CAE) – dont la rapporteure est Graziella Melchior — a été saisie au fond sur les questions relatives aux dispositions de « garanties logicielles » introduites au Sénat à l’article 4 quater D. La disposition, quoique perfectible1, a été remplacée par une disposition portée par la rapporteure Melchior consacrant l’information des consommateurs et consommatrices sur « la durée au cours de laquelle les mises à jour des logiciels fournis lors de l’achat du bien restent compatibles avec un usage normal de l’appareil ». Si les contours demeurent flous, l’article renvoie à décret pour en préciser les modalités d’application.

Article 4 quater D
I. – Le chapitre VII du titre Ier du livre II du code de la consommation est complété par une section 5 ainsi rédigée :
« Section 5
« Information du consommateur sur les mises à jour de logiciel
« Art. L. 217-21. – Le fabricant d’appareils numériques informe le vendeur de la durée au cours de laquelle les mises à jour des logiciels fournis lors de l’achat du bien restent compatibles avec un usage normal de l’appareil. L’usage de l’appareil est dans ce cas considéré comme normal lorsque ses fonctionnalités répondent aux attentes légitimes du consommateur. Le vendeur met ces informations à disposition du consommateur. Les modalités d’application du présent article sont précisées par décret. »

Parmi les amendements soutenus par l’April, certains visaient à lutter contre les pratiques consistant à restreindre, voire interdire, l’installation de logiciels par un utilisateur sur son équipement informatique. L’amendement CD1111 proposait ainsi l’interdiction de ces mesures, sur le modèle de l’article 4 quater C adopté au Sénat. Il a été rejeté. En revanche, l’amendement CD1112, dont l’objet est l’inscription d’un droit à l’information précontractuelle sur l’existence de telles mesures, a été adopté. Il s’agit du nouvel article 4 quater E.

Article 4 quater E (nouveau)
Au 5° de l’article L. 111-1 du code de la consommation, après le mot : « interopérabilité, », sont insérés les mots : « à l’existence de toute restriction d’installation de logiciel, ».

Les deux amendements ont reçu des avis défavorables par la secrétaire d’État Brune Poirson et par les rapporteures Véronique Riotton et Graziella Melchior. L’argument principalement opposé est la transposition à venir, début 2020, de deux directives européennes : la directive « vente de biens » et la directive « contenus et services numériques », dont le champ d’application pourrait inclure les questions relatives à l’obsolescence logicielle, notamment sous le prisme de la conformité. La disposition de la rapporteure Melchior vise d’ailleurs à s’inscrire dans le cadre de ces textes dont elle reprend la terminologie, en particulier l’expression assez floue d’« usage normal ». Notons qu’en ce qui concerne l’amendement CD1112, la rapporteure Melchior l’a jugé « pertinent », la secrétaire d’État y étant « plutôt favorable » en rappelant la prévalence de l’avis de Matignon.

Le même renvoi, potentiel, aux futurs textes de transposition, a été utilisé contre la proposition d’ouverture des interfaces de programmation (voir les amendements CD821, CD1115 et CD1445), également défendue par l’April, ainsi que GreenIT.fr et Halte Obsolescence programmée.

Les débats se déroulent entre la minute 00:30:20 et la minute 00:50:12 de la vidéo.

Un premier pas sans doute utile a été fait en Commission, le droit à l’information étant une composante essentielle pour permettre à toutes et tous de maîtriser leur informatique, notamment pour que celle-ci soit plus durable. Il conviendra d’amplifier cette dynamique en séance publique où les débats ont repris le 9 décembre, en offrant des garanties plus effectives pour les libertés informatiques des personnes. Plusieurs amendements offrent des pistes en ce sens et devront être soutenus.

Source april.org

Posted in CercLL | Tagué: , , , , , | Commentaires fermés sur Obsolescence logicielle : quelques avancées en Commission développement durable sur le droit à l’information

 
%d blogueurs aiment cette page :