CERCLL

CercLL d'Entraide et Réseau Coopératif Autour des Logiciels Libres

  • Languages Disponibles

  • Le Logiciel Libre

  • Priorité au Logiciel Libre

  • L’ Agenda du Libre région PACA

  • Articles récents

  • Le Manchot

  • Écoutez

  • EricBlog

  • Toolinux

  • Mastodon CercLL

  • Méta

  • Priorité au Logiciel Libre!

  • AIOLibre

  • créer un sondage

  • Un éditeur de texte collaboratif en ligne libre

  • Communication collaborative

  • Environnement de listes de diffusion

  • Framatalk Visioconférence

  • Herbergement d’images

  • Suivez nous sur Diaspora

  • Ordinateur recyclé sous Debian

  • Nombres de visites sur ce site

    • 68 883 Visites
  • Entrez votre adresse mail pour suivre ce blog et être notifié par email des nouvelles publications.

    Rejoignez 166 autres abonnés

  • RSS CERCLL

  • Archives

Archive for the ‘CercLL’ Category

Le Linux App Summit 2019 commence aujourd’hui

Posted by CercLL sur 12 novembre 2019

L’écosystème des applications Linux est en mouvement cette semaine. Éditeur et développeurs se réunissent à Barcelone jusqu’au 15 novembre.

Le Linux App Summit (LAS) vise à accélérer la croissance de l’écosystème des applications Linux en réunissant l’ensemble des acteurs impliqués dans la création de logiciels conviviaux et de qualité.

La liste des invités et des participants est particulièrement impressionnante : Canonical l’éditeur d’Ubuntu, CodeThink, Endless, Flatpak, GNOME, GStreamer, la suite bureautique Collabora, KDE, LibreOffice, Purism, Red Hat, Ubuntu, Meson, Fractal et elementaryOS (qui vient d’ailleurs d’intégrer nativement Flatpak dans sa dernière mise à niveau d’octobre).

Le programme

Le programme complet a été mis en ligne sur le site officiel.

Linux App Summit 2019

Événement gratuit

Vous êtes sur place (ou pas très loin) ? Bonne nouvelle, la participation à l’événement est libre et l’entrée gratuite. Les 3 journées sont organisées dans le cadre de la Lleialtat Santsenca.

Everyone is welcome to attend LAS and attendance is free of charge. For those who may need it, we have limited travel funds available.

Source toolinux.com

Posted in CercLL | Tagué: , , , | Leave a Comment »

Firefox 72 va vous débarrasser d’une des plaies du Web

Posted by CercLL sur 10 novembre 2019

La prochaine grosse mise à jour du navigateur Web de Mozilla, attendue pour 2020, pourrait bien ennuyer beaucoup de sites Internet qui proposent l’envoi de notifications aux personnes qui surfent sur leurs pages par le biais de fenêtres de dialogue.

Source 01net.com

Posted in CercLL | Tagué: , , , | Leave a Comment »

Les Logiciels Libres

Posted by CercLL sur 7 novembre 2019

Les Logiciels Libres, vous donne rendez-vous avec l’ April le 21 novembre 2019 à partir de 18h30 au Foyer du Peuple 50 rue Brandis 13005 Marseille.

Les logiciels Libres représentent un enjeu majeur, autant dans la maîtrise des outils qu’on utilise au quotidien.

Quel est donc le projet de société que délimitent les logiciels Libres, et en quoi cette question est-elle fondamentale dans notre démocratie?

C’est à ces questions que répondra Jean-Christophe Becquet président de l’April, association que l’on ne présente plus.

Suite à ces échanges un apéro est prévu.

Vous pouvez vous inscrire rendez-vous sur le pad

Plan d’accés

Posted in CercLL | Tagué: , , , , | Leave a Comment »

L’ April appelle à soutenir la fondation GNOME dans son action contre les trolls des brevets

Posted by CercLL sur 4 novembre 2019

La fondation GNOME, attaquée par un patent troll 1, a décidé de répliquer en justice pour se défendre et défendre les communautés du logiciel libre contre les abus du système de brevets. L’April soutient la fondation dans sa démarche et appelle à faire un don au fonds de défense de GNOME contre les trolls des brevets.

GNOME est un environnement de bureau libre, facile d’utilisation, convivial dont l’objectif est de rendre accessibles les systèmes d’exploitation libres. Comme elle l’explique la fondation GNOME (en anglais, traduction ci-dessous), est attaquée par un patent troll Rothschild Patent Imaging (RPI) pour atteinte à un brevet relatif à la distribution d’images (concernant Shotwell le logiciel de GNOME d’organisation d’images et de photos). La fondation a décidé de ne pas se laisser faire et a décidé d’aller en justice pour « envoyer un message à tous les patent trolls dans le domaine du logiciel ».

L’April a toujours combattu les brevets logiciels et les menaces notamment sur le logiciel libre. L’April soutient pleinement la démarche de la fondation GNOME, va contribuer au fonds de défense et encourage à faire un don.

Contribuer au fonds de défense

Traduction par nos soins du communiqué de la fondation GNOME :

GNOME se défend contre un troll de brevets

Il y a un mois, GNOME a été attaqué par un patent troll à l’encontre du développement du logiciel de gestion d’images Shotwell. C’est la première fois qu’un projet de logiciel libre est visé de la sorte, mais nous craignons que ce ne soit pas la dernière. Rothschild Patent Imaging nous a proposé un compromis à l’amiable : contre une somme à cinq chiffres la plainte serait retirée et une licence nous serait accordée pour poursuivre le développement de Shotwell. Cette solution aurait été simple. Elle nous aurait demandé moins de travail, coûté moins d’argent et entraîné beaucoup moins de stress à la fondation. Mais ce n’est pas la bonne solution. Accepter cet accord validerait l’existence de ce brevet et permettrait qu’il soit utilisé comme une arme contre d’innombrables autres acteurs. Nous resterons fermes contre cette attaque sans fondement, non seulement pour GNOME et Shotwell, mais pour tous les projets de logiciel libre et open source.

Pour ces raisons, le directeur général de la fondation GNOME, Neil McGovern, a demandé à notre avocat du cabinet Shearman & Sterling de déposer trois moyens de défense auprès de la cour californienne.

Premièrement : une requête en irrecevabilité. Nous pensons qu’il ne s’agit pas d’un brevet valide, ni qu’un logiciel puisse ou devrait être couvert ainsi par un brevet. Nous voulons nous assurer que ce brevet ne sera jamais utilisé contre qui que ce soit d’autre.

Deuxièmement : notre réponse à la plainte. Nous pensons qu’il n’existe aucune affaire à laquelle GNOME aurait à répondre. Nous voulons montrer que l’utilisation de Shotwell et des logiciels libres en général, n’est pas concernée par ce brevet.

Troisièmement : une demande reconventionnelle contre Rothschild 2. Nous voulons nous assurer qu’ils n’abandonneront pas tout simplement la poursuite lorsqu’ils réaliseront que nous allons nous battre.

Nous voulons envoyer un message à tous les patent trolls dans le domaine du logiciel — nous nous battrons, nous gagnerons et nous ferons reconnaître l’invalidité de votre brevet. Pour cela, nous avons besoin de votre aide. Vous pouvez aider la fondation GNOME à envoyer un message, pour que les patent trolls ne prennent jamais plus pour cible des logiciels libres, en faisant un don au fonds de défense de GNOME contre les chasseurs de brevets (GNOME Patent Troll Defense Fund). Si vous ne pouvez pas, merci de relayer ce message auprès de vos contacts sur les réseaux sociaux.

Source april.org

Posted in CercLL | Tagué: , , , , | Commentaires fermés sur L’ April appelle à soutenir la fondation GNOME dans son action contre les trolls des brevets

Firefox 70 : focus sur l’inspecteur d’accessibilité de Mozilla

Posted by CercLL sur 2 novembre 2019

L’Inspecteur d’accessibilité est disponible par défaut depuis le lancement de Firefox 63 et a été continuellement développé. La mise à jour Firefox 70 apporte un grand nombre d’améliorations. Les voici.

La Fondation Mozilla encourage les développeurs à rendre leurs contenus accessibles, quelles que soient les capacités physiques et cognitives d’une personne et la manière dont elle accède à Internet.

Elle a, pour cela, développé un ensemble d’outils et de fonctionnalités sous la bannière « inspecteur de l’accessibilité« . Objectif : permettre aux gestionnaires de sites web et aux développeurs de tester le niveau d’accessibilité de leurs sites internet et de résoudre les problèmes les plus courants.

C’est le travail confié à A11y, une communauté composée d’une centaine de bénévoles manifestant des besoins spécifiques en matière d’accès et de développement pour Internet. A11y désigne également la référence à la communauté d’experts en accessibilité chez Mozilla.

Les nouveautés avec Firefox 70

Avec le lancement de Firefox 70, plusieurs nouvelles fonctionnalités snt désormais disponibles dans les outils de développement Firefox.

Contrôles au clavier : les problèmes de navigation au clavier et d’acuité visuelle créent souvent des difficultés d’accessibilité pour divers types d’utilisateurs et utilisatrices. Firefox intègre désormais un correcteur pour les problèmes courants liés au clavier et à l’acuité, tout en expliquant comment les résoudre.

Contraste : l’inspecteur d’accessibilité permet de vérifier le contraste des couleurs en pleine page. Il examine aussi les trois types de problèmes de contraste des couleurs identifiés par les règles pour l’accessibilité des contenus web 2.1.

Simulateur de déficience de perception des couleurs : Firefox intègre désormais un nouvel outil qui simule sept types de déficiences de perception des couleurs (ou daltonisme). Les personnes développant des sites web peuvent ainsi avoir un aperçu de la manière dont les personnes souffrant d’un handicap visuel verraient la page. De plus, il permet aux développeurs de savoir s’ils ont coloré quelque chose sans offrir d’alternative, et qui ne pourrait pas être perçu par une personne souffrant de daltonisme.

Sélecteur d’accessibilité : les internautes utilisant une souris pourront analyser les éléments d’un site web à l’aide du sélecteur d’accessibilité, un outil qui met en évidence un élément et affiche ses propriétés. Firefox affiche une barre d’information qui montre le nom, la fonction et le rapport de contraste des couleurs de l’élément.

Source : le blog Hacks de Mozilla (en anglais).

Posted in CercLL | Tagué: , , , | Commentaires fermés sur Firefox 70 : focus sur l’inspecteur d’accessibilité de Mozilla

Linux Mint 19.3 alias Tricia est annoncé pour Noël

Posted by CercLL sur 2 novembre 2019

Le projet Linux Mint a publié une nouvelle lettre d’information mensuelle. Elle propose d’importantes informations autour du développement de cette distribution linux populaire en particulier concernent ses prochaines versions.

Que devez-vous retenir.

  • Le nom de code de Linux Mint 19.3 est Tricia,
  • Sa sortie est prévue pour Noel 2019,
  • Il est prévu l’adoption du noyau Linux 5.0 et Xorg 1.20,
  • Les éditions Cinnamon, MATE et Xfce en 32 bits et 64 bits sont prévues.

Le mois dernier, le chef de projet Linux Mint, Clement Lefebvre, a confirmé que le développement de Linux Mint 19.3 avait commencé. La version finale est prévue normalement pour Noel. Elle va proposer de nombreuses améliorations et des mises à jour de composants et d’applications.

Nous connaissance désormais son nom de code. Linux Mint 19.3 porte l’appélation interne « Tricia ». Le système d’exploitation se base sur la distribution Linux Ubuntu 18.04.3 LTS (Bionic Beaver) de Canonical. L’équipe de développement a prévu une mise à jour des piles de noyau et graphique basée sur le noyaux Linux 5.0 et du serveur d’affichage X.Org 1.20. L’un des objectifs est d’améliorer la compatibilité avec le matériel de dernière génération.

Clément Lefebvre explique

« La prochaine version de Linux Mint s’appellera « Tricia ». Elle sortira avec les environnements de bureau Cinnamon, MATE et Xfce en 32 bits et 64 bits juste avant Noël. Pour renforcer la compatibilité avec le matériel moderne, Linux Mint 19.3 sera livré avec le noyau 5.0 et Xorg 1.20. »

Linux Mint 19.3 alias Tricia

Distribution Linux Mint 19.3 alias Tricia

Linux Mint 19.3 bénéficiera de nombreuses améliorations et fonctionnalités comme par exemple une meilleure prise en charge des écrans HiDPI / 4K en Cinnamon et MATE. Il faut s’attendre à des icônes claires sur tous les ordinateurs de bureau et de nouveaux écrans de démarrage pour GRUB et Plymouth.

VLC Media Player et Xplayer vont disparaitre au profil de Celluloid 0.17 qui est basé sur le célèbre lecteur multimédia MPV. Tomboy a également remplacé par Gnote 3.34. Enfin, l’édition Xfce sera livrée avec le dernier environnement de bureau Xfce 4.14, qui prend en charge le support GTK3 et le support initial HiDPI.

Source ginjfo.com

Posted in CercLL | Tagué: , , , | Commentaires fermés sur Linux Mint 19.3 alias Tricia est annoncé pour Noël

Projet d’audit des logiciels libres de l’Union européenne : un sondage ouvert jusqu’au 30 novembre

Posted by CercLL sur 25 octobre 2019

Dans le cadre du projet EU-FOSSA (European Union Free and Open Source Auditing) la Commission européenne a lancé un sondage le 5 septembre 2019, ouvert jusqu’au 30 novembre 2019, pour « comprendre les besoins des développeurs et développeuses de logiciels libres et de leurs communautés ». Le sondage, uniquement en anglais, contient neuf questions, dont un champ texte libre. Compter une dizaine de minutes.

Répondre au sondage

EU-FOSSA est un projet initié par les eurodéputé⋅es Max Anderson et Julia Reda — après la découverte d’une faille de sécurité dans OpenSSL, Heartbleed, existant depuis 2012 et découverte en 2014 — et porté par la Commission européenne depuis 2015. Il a pour but de participer à l’amélioration de la sécurité des logiciels libres les plus « critiques ». Reconduit pour trois ans en 2017 sous le nom de EU-FOSSA 2, il s’agit d’une série de primes pour la découverte de failles de sécurité, ou Bug Bounty, a été lancée en janvier 2019.

Le sondage, relativement court, se compose d’une série de questions à choix multiples dont l’objet est de déterminer comment la Commission peut « aider les développeurs et développeuses à améliorer la sécurité des logiciels libres » (un champ texte libre permet de préciser son point de vue), et de deux sondages visant à déterminer le logiciel « le plus critique » à auditer, côté serveur et côté poste de travail.

Source april.org

Posted in CercLL | Tagué: , , | Commentaires fermés sur Projet d’audit des logiciels libres de l’Union européenne : un sondage ouvert jusqu’au 30 novembre

Firefox 70 détaille les trackers bloqués, de nouvelles protections en place

Posted by CercLL sur 24 octobre 2019

Firefox 70 détaille les trackers bloqués, de nouvelles protections en place

Ces derniers mois, le navigateur de Mozilla a renforcé son action contre le pistage en ligne, notamment dans les options activées par défaut.

Le résultat est là : « Depuis le 2 juillet, nous avons bloqué plus de 450 milliards de requêtes de pistage tentant de vous suivre en ligne », précise la fondation. Ce, malgré des réglementations comme le RGPD.

« L’industrie publicitaire utilise des dark patterns pour pousser les internautes au consentement » constate Mozilla, qui justifie ainsi ses actions renforcées, face à un secteur qui peine à s’autoréguler et à respecter les droits de chacun.

Avec Firefox 70, les équipes veulent tout d’abord améliorer l’information de l’utilisateur, avec un nouveau rapport précisant le nombre d’éléments bloqués chaque jour et leur typologie : cookies, empreintes, modules sociaux, cryptominage, etc.

La liste détaillée n’est pas donnée, mais Firefox en profitera pour mettre en avant des services de Mozilla comme Monitor (permettant de vérifier si votre mot de passe a fuité en ligne) ou Lockwise (pour stocker vos mots de passe). Des outils améliorés pour l’occasion. On imagine que d’autres pourront trouver leur place à cet endroit. La future offre de VPN payant par exemple ?

Quoi qu’il en soit, la protection contre le pistage renforce sa lutte contre les modules sociaux et leur pistage « cross-site ».

Les équipes précisent également que les performances JavaScript sont améliorées, alors que WebRender est disponible pour plus d’utilisateurs sous Windows (les IGP Intel sont pris en charge). Sous macOS, le navigateur se veut plus économe en énergie, surtout quand il lit des vidéos.

La gestion du thème sombre suit désormais les paramètres des OS, l’import de mots de passe est fonctionnel depuis macOS et des bugs ont bien entendu été corrigés. Pour les développeurs, la liste des améliorations apportée se trouve ici.

Source nextinpact.com

Posted in CercLL | Tagué: , , , | Commentaires fermés sur Firefox 70 détaille les trackers bloqués, de nouvelles protections en place

Ubuntu fêtait hier ses 15 ans

Posted by CercLL sur 21 octobre 2019

 

La première version de la distribution est sortie en octobre 2004 et portait le numéro de version 4.10. Une nomenclature année/mois qui ne s’est jamais démentie depuis.

Le nom-même « Ubuntu » résume une philosophie venant d’Afrique et signifiant « Je suis ce que je suis à cause de ce que nous sommes tous ». Dans un esprit d’interconnexions et de partage, l’icône de la distribution représente trois personnes en cercle se tenant par les mains.

Warty Warthog, comme s’appelait la première mouture, faisait partie de ces rares distributions à l’époque à pouvoir s’installer depuis un unique CD. L’orientation du système était déjà plantée : basée sur Debian, elle proposait une utilisation simplifiée, avec notamment un accent mis sur la détection du matériel.

Ubuntu 4.10 était livrée avec le bureau GNOME 2.8, Firefox 0.9, la suite bureautique OpenOffice.org 1.1.2 ou encore le client email Evolution 2.0. Le gestionnaire de paquets était alors Synaptic et la distribution comportait certains vieux noms comme GAIM, GIMP, gFTP ou encore Xchat.

15 ans plus tard, on ne peut nier le chemin parcouru et l’impact majeur du système sur l’informatique en général, par sa volonté de simplifier de nombreuses étapes pour l’utilisateur.

Ubuntu a également essaimé dans toutes les directions. On lui connait ainsi plusieurs variantes majeures et officielles, basées sur d’autres environnements de bureau ou thématiques, comme Kubuntu, Ubuntu Budgie, Ubuntu MATE ou Edubuntu. De nombreuses distributions sont également basées sur le système (environ 75), comme Linux Mint, elementary OS ou encore Pop!_OS (dont la version 19.10 vient justement de sortir).

Rappelons qu’Ubuntu 19.10 est sortie en fin de semaine dernière. Une amélioration en douceur, avant l’importante version 20.04 LTS, attendue pour avril prochain et qui sera supportée cinq ans (contre neuf mois pour les versions classiques).

Source nextinpact.com

Posted in CercLL | Tagué: , , | Commentaires fermés sur Ubuntu fêtait hier ses 15 ans

La Bataille du Libre de P. Borrel. Ateliers et projection

Posted by CercLL sur 21 octobre 2019

 Mercredi 20 novembre 2019 de 15h00 à 22h00, au Videodrome 2 49 Cours Julien 13006 Marseille

En partenariat avec l’association Aïolibre
Le Videodrome 2 vous accueille pour un atelier numérique éthique et convivial!

Venez découvrir le monde de Linux et des Logiciels Libres

15h: Ateliers
Libérons notre vie numérique: dégafamisation, outils libres, sécurité numérique
avec l’association Aïolibre

20h30: projection
La Bataille du libre de Philippe Borrel,  Documentaire, 1h27

Désormais l’informatique est au cœur de presque toutes les activités humaines.

A t-elle contribué à faire de nous des citoyens plus autonomes ? Ou plutôt les consommateurs passifs d’un marché devenu total ?

Sans que nous en ayons conscience, deux logiques s’affrontent aujourd’hui au cœur de la technologie, depuis que les principes émancipateurs du logiciel libre sont venus s’attaquer dans les années 80 à ceux exclusifs et “privateurs” du droit de la propriété intellectuelle.

Logiciels libres, semences libres, médicaments libres, connaissances libres…

En mettant l’accent sur la liberté, la coopération et le partage, ces initiatives de partage redonnent par la même occasion de l’autonomie et du pouvoir à leurs utilisateurs.

Elles peuvent ainsi contribuer à faire émerger un monde libéré des brevets et des excès de la propriété intellectuelle.

Source : labatailledulibre.org

Libérons notre vie numérique: dégafamisation, outils libres, sécurité numérique

Animé par l’association Aïolibre

Ramenez votre ordinateur, votre tablette ou votre téléphone, nous vous aidons à les libérer des GAFAMs (Google, Amazon, Facebook, Apple, Microsoft), à les sécuriser, à maîtriser vos données par des alternatives libres.

Des coins parents-enfants sont également prévus pour apprendre en famille à se protéger, à activer le contrôle parental, à désactiver toute pub, à mieux apprendre par le numérique et les logiciels libres, à jouer avec des jeux libres et éducatifs.

Prix libre. Places limitées. Réservation conseillée.

L’atelier en détail et réservation

Posted in CercLL | Tagué: , , , , , , , , | Commentaires fermés sur La Bataille du Libre de P. Borrel. Ateliers et projection

L’agence allemande de cybersécurité recommande Firefox

Posted by CercLL sur 18 octobre 2019

Le BSI, équivalent allemand de l’Anssi, a testé Firefox, Chrome, IE et Edge. Firefox était le seul navigateur à satisfaire toutes les exigences minimales pour des fonctionnalités de sécurité obligatoires.

Firefox est le seul navigateur à avoir obtenu les meilleures notes lors d’un récent audit effectué par l’agence allemande de sécurité informatique – l’Office fédéral allemand de la sécurité de l’information (ou le Bundesamt für Sicherheit in der Informationstechnik – BSI).

La BSI a testé Mozilla Firefox 68 (ESR), Google Chrome 76, Microsoft Internet Explorer 11 et Microsoft Edge 44. Les tests n’incluaient pas d’autres navigateurs tels que Safari, Brave, Opera ou Vivaldi.

L’audit a été effectué en se basant sur des règles détaillées dans une directive pour les « navigateurs sécurisés modernes » publiée par le BSI le mois dernier, en septembre 2019.

La BSI utilise normalement ce guide pour conseiller les agences gouvernementales et les entreprises du secteur privé sur les navigateurs sécurisés.

L’agence allemande de cybersécurité a publié une première directive relative aux navigateurs sécurisés en 2017, mais a revu et mis à jour les spécifications au cours de l’été.

La BSI a mis à jour son guide pour prendre en compte les mesures de sécurité améliorées ajoutées aux navigateurs modernes, telles que HSTS, SRI, CSP 2.0, la gestion de la télémétrie et des mécanismes améliorés de gestion des certificats.

Selon le nouveau guide de la BSI, pour être considéré comme « sécurisé », un navigateur moderne doit satisfaire à ces exigences minimales:

  • Doit prendre en charge TLS
  • Doit avoir une liste de certificats de confiance
  • Doit prendre en charge les certificats de validation étendue (EV)
  • Doit vérifier les certificats chargés par rapport à une liste de révocation de certification (CRL) ou à un protocole OCSP (Online Certificate Status Protocol)
  • Le navigateur doit utiliser des icônes ou des couleurs vives pour indiquer le moment où les communications avec un serveur distant sont chiffrées ou en clair
  • Les connexions aux sites Web distants exécutés avec des certificats arrivés à expiration ne doivent être autorisées qu’après accord de l’utilisateur.
  • Doit prendre en charge la sécurité du transport strict HTTP (HSTS) (RFC 6797)
  • Doit prendre en charge la politique de même origine (SOP)
  • Doit prendre en charge la politique de sécurité du contenu (CSP) 2.0
  • Doit prendre en charge l’intégrité des sous-ressources (SRI)
  • Doit prendre en charge les mises à jour automatiques.
  • Doit prendre en charge un mécanisme de mise à jour distinct pour les composants et extensions de navigateur cruciaux.
  • Les mises à jour du navigateur doivent être signées et vérifiables
  • Le gestionnaire de mots de passe du navigateur doit stocker les mots de passe sous une forme chiffrée.
  • L’accès au coffre-fort de mots de passe intégré au navigateur ne doit être autorisé qu’après que l’utilisateur a entré un mot de passe principal.
  • L’utilisateur doit pouvoir supprimer les mots de passe du gestionnaire de mots de passe du navigateur.
  • Les utilisateurs doivent pouvoir bloquer ou supprimer les cookies
  • Les utilisateurs doivent pouvoir bloquer ou supprimer l’historique de saisie semi-automatique.
  • Les utilisateurs doivent pouvoir bloquer ou supprimer l’historique de navigation.
  • Les administrateurs d’organisation doivent être en mesure de configurer ou d’empêcher les navigateurs d’envoyer des données de télémétrie / utilisation.
  • Les navigateurs doivent prendre en charge un mécanisme permettant de rechercher des contenus / URL nuisibles.
  • Les navigateurs doivent permettre aux organisations d’exécuter des listes noires d’URL stockées localement – Doit prendre en charge une section de paramètres dans laquelle les utilisateurs peuvent activer / désactiver les plug-ins, les extensions ou JavaScript.
  • Les navigateurs doivent pouvoir importer des paramètres de configuration créés de manière centralisée, idéal pour les déploiements d’entreprise à grande échelle.
  • Doit permettre aux administrateurs de désactiver les fonctionnalités de synchronisation de profil dans le cloud
  • Doit être exécuté après son initialisation avec des droits minimaux sur le système d’exploitation.
  • Doit prendre en charge le sandboxing. Tous les composants du navigateur doivent être isolés les uns des autres et du système d’exploitation. La communication entre les composants isolés ne peut s’effectuer que via des interfaces définies. L’accès direct aux ressources de composants isolés ne doit pas être possible.
  • Les pages Web doivent être isolées les unes des autres, idéalement sous la forme de processus autonomes. L’isolation au niveau des threads est également autorisée.
  • Les navigateurs doivent être codés à l’aide de langages de programmation prenant en charge les protections de mémoire de pile et de pile.
  • Le fournisseur de navigateur doit fournir des mises à jour de sécurité au plus tard 21 jours après la publication d’une faille de sécurité. Si le fournisseur de navigateur principal ne fournit pas de mise à jour de sécurité, les entreprises doivent passer à un nouveau navigateur.
  • Les navigateurs doivent utiliser des protections de mémoire du système d’exploitation telles que le format d’espace d’adresse aléatoire ou la prévention de l’exécution des données (DEP) .
  • Les administrateurs d’organisation doivent être en mesure de réglementer ou de bloquer l’installation de modules complémentaires / extensions non autorisés. Selon la BSI, Firefox est le seul navigateur à prendre en charge toutes les exigences ci-dessus.

Les domaines dans lesquels d’autres navigateurs ont échoué incluent:

  • Manque de prise en charge d’un mécanisme de mot de passe principal (Chrome, IE, Edge)
  • Pas de mécanisme de mise à jour intégré (IE)
  • Aucune option pour bloquer la collecte de télémétrie (Chrome, IE, Edge)
  • Pas de support SOP (Same Origin Policy) (IE)
  • Pas de support CSP (Content Security Policy) (IE)
  • Pas de support SRI (Subresource Integrity) (IE)
  • Pas de support pour les profils de navigateur, différentes configurations (IE, Edge)
  • Manque de transparence organisationnelle (Chrome, IE, Edge)

Posted in CercLL | Tagué: , , , | Commentaires fermés sur L’agence allemande de cybersécurité recommande Firefox

Rapport du Sénat sur la souveraineté numérique : il est urgent d’engager la réflexion sur le recours aux logiciels libres au sein de l’État

Posted by CercLL sur 17 octobre 2019

Le rapport sénatorial sur « Le devoir de souveraineté numérique » dresse un constat sévère face au manque de stratégie politique du gouvernement et indique qu’il est urgent d’engager une réflexion au niveau interministériel sur la conduite d’une politique publique du logiciel libre.

De mai à septembre 2019, une commission d’enquête sénatoriale sur la souveraineté numérique, initiée par le groupe Les Républicains et pour laquelle Gérard Longuet a été nommé rapporteur, a conduit près de 40 auditions sous la présidence de Franck Montaugé. L’April a été auditionnée dans ce cadre aux côtés de La Quadrature du Net et de l’ISOC France le 2 juillet. Le rapport a été remis le 1er octobre 2019.

Lire le rapport

Auditionnée dans le cadre de cette commission d’enquête, l’April a pu présenter sa définition de la notion de « souveraineté numérique » comme la détermination des conditions de l’expression et de la maîtrise des activités et des libertés fondamentales sur les réseaux informatiques. Cette audition a été l’occasion pour l’April de rappeler l’éthique qu’elle défend, de préciser à nouveau, s’il en était besoin, que les logiciels libres, par les libertés qu’ils garantissent, sont une incarnation de principes structurants de tout système démocratique : l’accès aux règles et leur lisibilité, la capacité de les discuter et d’agir sur leur élaboration. Alors que des pans de plus en plus importants de nos intimités, de nos interactions sociales mais aussi de nos relations avec les pouvoirs publics passent par des outils informatiques, la défense et la promotion du logiciel libre apparaissent comme un enjeu fondamental de « souveraineté numérique » et de démocratie.

Réécouter l’audition conjointe de l’April ou lire sa transcription

La lisibilité des codes sources : une condition essentielle de souveraineté

Le rapport issu des travaux de la commission s’est en partie fait l’écho de ces considérations, principalement sous l’angle des marchés publics dans la sous-section « 3. mobiliser tous les leviers de la politique industrielle » (à partir de la page 153). Le rapport insiste sur l’importance du soutien à l’industrie française et européenne logicielle1 et sur le « levier de l’achat public ». Le document relève à cette occasion l’enjeu particulier de la maîtrise des données et met en avant que « plusieurs de [ses] interlocuteurs ont souligné que la lisibilité totale des codes sources des programmes informatiques pouvait être une des conditions essentielles de la souveraineté de l’État sur ses moyens numériques. » Le rapport souligne ainsi la nécessité, urgente, d’engager une réflexion de fond sur la conduite d’une politique publique du logiciel libre.

«  Les administrations publiques pourraient également engager une réflexion sur le recours au logiciel libre en vue de s’assurer de maîtriser leurs données et de mieux conduire, potentiellement à moindre coût, les politiques publiques dont elles ont la charge. […] À tout le moins, il est urgent d’engager rapidement une réflexion au niveau interministériel sur ce sujet. L’idée, présentée devant notre commission, selon laquelle le choix d’acquisition de logiciels par les ministères serait, in fine, dicté par le confort d’utilisation des agents n’est pas recevable. »

En évoquant le « confort d’utilisation des agents » dans son rapport, la commission tacle un des arguments de Nadi Bou Hanna, l’actuel directeur de la DINSIC (Direction interministérielle du numérique et du système d’information et de communication de l’État), qui, lors de son audition, plaidait pour une approche « pragmatique » de l’informatique qui se traduirait, selon lui, par une « neutralité » quant au choix des licences d’utilisation – donc les droits de l’administration sur les logiciels qu’elle utilise. C’est dans cette logique qu’il a exprimé son opposition au fait d’« imposer » des outils, libres, aux agents publics. Cette manière de poser le débat est une façon peu subtile de passer sous silence la dimension intrinsèquement politique des choix relatifs aux licences des logiciels employés par les pouvoirs publics. Il n’est bien sûr pas question de forcer les agents à l’usage de logiciels libres, en dépit de leurs besoins matériels, mais bien de mettre en place, et à hauteur de ce qu’il est possible, des politiques d’accompagnement vers plus de liberté informatique, pour une meilleure maîtrise des systèmes d’information. Les logiciels libres doivent justement permettre aux agents publics de mieux remplir leur mission, en partant de leurs pratiques, de leurs besoins, plutôt que de leur imposer des outils qui conditionneront leurs usages 2.

Promouvoir et défendre le logiciel libre pour une meilleure « souveraineté numérique »

Dans un encadré (page 155), le rapport développe la notion de logiciel libre en mettant en exergue « deux conceptions opposées du recours au logiciel libre par les administrations » : celle du gouvernement et celle des promoteurs des libertés informatiques. Il cite à cette occasion l’audition de l’April et de La Quadrature du Net qui « ont plaidé vigoureusement en faveur du logiciel libre » et fait le lien avec l’expression concrète de cet engagement :

« L’association April lutte ainsi pour éviter ou mettre fin aux partenariats conclus par les administrations de l’État avec les géants américains du numérique, comme le ministère de l’Éducation nationale, le ministère de la Justice ou celui de la Défense. Elle plaide également pour que l’État encourage le logiciel libre, par exemple au moyen d’appels d’offres, ou en soutenant les contributions des agents publics. »

L’encouragement politique est en effet indispensable. Mais une formalisation normative est impérative pour organiser la conduite du changement vers une généralisation du recours aux logiciels libres. Cela doit passer par l’inscription dans la loi d’un principe de priorité au logiciel libre et aux formats ouverts dans les marchés publics. (Relire à ce sujet la position de l’April lors des débats relatifs à la loi « pour une république numérique »).

On pourra par ailleurs regretter le biais dans lequel s’inscrit la commission dans son rapport en revendiquant la nécessité de « champions européens du numérique ». Il n’y a en effet pas lieu de réduire la problématique de « souveraineté numérique » – c’est peut-être là le défaut du terme – à une simple question de nationalité. Un silo technologique privateur, qu’il soit européen ou non, imposera toujours ses propres intérêts. Les acteurs du logiciel libre, entreprises et communautés au sens large, s’inscrivent bien davantage dans les tissus économiques locaux et dans une logique de réseaux et de collaboration.

Des auditions éclairantes sur le manque de vision politique du gouvernement sur les usages informatiques

Lors de leurs interventions la sénatrice Catherine Morin-Desailly et le sénateur Pierre Ouzoulias ont régulièrement sollicité les membres du gouvernement pour qu’ils précisent leur « stratégie » en matière de « souveraineté numérique » et manifesté leur inquiétude face à l’absence de prise de position politique claire. Constat explicite dans le rapport :

« La stratégie gouvernementale pour la défense de la souveraineté numérique est dispersée entre souveraineté et libertés publiques, sécurité et défense, et présence économique effective sur un marché nécessairement mondial, ce qui la rend peu lisible. Les ministères et grands opérateurs publics doivent impérativement mieux articuler leurs efforts et leurs actions en faveur de la souveraineté numérique, posée comme un enjeu fédérateur. […] Nous avons, au cours de nos travaux, constaté qu’il manquait, au-delà des actions menées, engagées ou projetées, une impulsion fédératrice. »

Si les ministres de l’Armée et de la Justice ont soigneusement évité de répondre aux questions relatives aux pratiques contractuelles de leurs propres ministères, particulièrement vis-à-vis de Microsoft, le secrétaire d’État au numérique, Cédric O, et le directeur de la DINSIC, Nadi Bou Hanna, ont plus clairement affiché leur idéologie. Ainsi leur « stratégie logicielle » est réduite à une simple considération de « performance » ou d’« efficacité ». Une approche focalisée sur une lecture strictement technique et dépourvue d’une réflexion politique transversale sérieuse, le tout sous couvert de « pragmatisme ». Publiée en octobre 2019, la feuille de route « Tech.Gouv » de la DINSIC reflète, s’il le fallait encore, cette absence de pensée politique et marque un recul fort par rapport aux travaux menés par la DINSIC en faveur du logiciel libre alors qu’elle était dirigée par Henri Verdier. En février 2018, la Cour des comptes avait pourtant appelé à amplifier la stratégie initiée.

Quelles suites ?

Le rapport offre un état des lieux utile de la situation et indique la direction à suivre, notamment en mettant en exergue que loin d’adresser les enjeux liés à la « souveraineté numérique », le gouvernement actuel s’inscrit dans l’inertie d’années de politiques publiques d’où sont absentes ces considérations. La commission d’enquête préconise plusieurs pistes pour adresser ces enjeux. On peut ainsi citer la définition « d’une stratégie nationale numérique au sein d’un Forum institutionnel temporaire du numérique » ou le vote « d’une loi d’orientation et de suivi de la souveraineté numérique (LOSSN) ».

Quelles qu’en soient les modalités institutionnelles, l’April insiste sur le fait qu’aucune politique publique visant à répondre à ces problématiques ne pourra faire l’économie d’une priorité aux logiciels libres et à la mise à plat des relations entre l’État et certains « géants » technologiques comme les GAFAM, ces grandes entreprises du secteur informatique qui font payer leurs services avec nos libertés.

Source april.org

Posted in CercLL | Tagué: , , , , | Commentaires fermés sur Rapport du Sénat sur la souveraineté numérique : il est urgent d’engager la réflexion sur le recours aux logiciels libres au sein de l’État

Mozilla: Firefox 70 affichera de nouveaux indicateurs de sécurité

Posted by CercLL sur 17 octobre 2019

Mozilla révèle que Firefox 70, bientôt disponible, supprime l’indicateur de certificat EV SSL et ajoute un cadenas barré de rouge à tous les sites HTTP.

Posted in CercLL | Tagué: , , , | Commentaires fermés sur Mozilla: Firefox 70 affichera de nouveaux indicateurs de sécurité

Unix/Linux : importante faille dans Sudo, le correctif disponible

Posted by CercLL sur 16 octobre 2019

Unix/Linux : importante faille dans Sudo, le correctif disponible

Sudo est probablement l’un des utilitaires les plus utilisés et connus du monde Unix/Linux. Il sert à donner temporairement des droits plus élevés à un processus, sans avoir à basculer l’ensemble du compte utilisateur sur des droits équivalents.

La vulnérabilité, estampillée CVE-2019-14287, permet à un programme malveillant ou un utilisateur de contourner les règles de sécurité de Sudo pour exécuter un code arbitraire. Les privilèges peuvent même être obtenus quand la configuration de l’outil interdit explicitement l’accès root.

Cette faille particulière prend appui sur la conception de Sudo, qui permet en théorie à n’importe quel utilisateur avec des droits suffisants d’exécuter une commande en tant qu’un autre compte. Cette transversalité peut ainsi remonter jusqu’aux privilèges root.

Pour l’exploiter, un programme ou un utilisateur malveillant doit utiliser l’ID « -1 » ou « 4294967295 ». Pourquoi ces identifiants ? Parce que la fonction chargée de convertir l’ID en nom d’utilisateur traite ces deux valeurs comme « 0 », qui correspond à root.

Il y a tout de même une condition : au moins un utilisateur doit avoir été déclaré dans le fichier de configuration situé dans /etc/sudoers. Les développeurs de Sudo donnent l’exemple suivant :

myhost bob = (ALL, !root) /usr/bin/vi

Cette ligne déclare que « bob » peut exécuter vi en tant que n’importe quel autre utilisateur, excepté root. À cause de la faille toutefois, bob pourra exécuter vi en tant que root s’il exécute d’abord la commande sudo -u#-1 vi.

La brèche a été colmatée dans la version 1.8.28 de Sudo publiée hier soir. La mise à jour est déployée progressivement sur l’ensemble des système concernés (et ils sont nombreux). La faille n’est pas critique, mais est considérée comme importante. Il est donc recommandé d’installer la nouvelle version dès que possible.

Source nextinpact.com

Posted in CercLL | Tagué: , , , , | Commentaires fermés sur Unix/Linux : importante faille dans Sudo, le correctif disponible

Souveraineté numérique et logiciel libre: un rapport du Sénat invite l’Etat à plus de volontarisme

Posted by CercLL sur 15 octobre 2019

Le rapport Longuet sur « le devoir de souveraineté numérique » regrette l’absence de doctrine de l’Etat en matière de logiciels libres, et l’incite à « engager rapidement une réflexion au niveau interministériel sur ce sujet ».

Au Sénat, la commission d’enquête sur la souveraineté numérique, constituée en avril, a rendu il y a quelques jours son rapport, intitulé «le devoir de souveraineté numérique». Ce document issu d’un semestre de travaux et d’auditions est riche, traitant des données personnelles, de la protection de la concurrence, des cryptomonnaies etc., et soulignant le rôle de l’Europe et de la régulation face aux GAFAM américains et aux BATX chinois (Baidu, Alibaba, Tencent, Xiaomi). Il prône notamment l’adoption d’une loi triennale « d’orientation et de suivi de la souveraineté numérique ».

Le navire de guerre Mistral en 2012 – Photo: U.S. Navy / Wikimedia Commons (domaine public)

Les membres de la commission, dont le rapporteur est l’ancien ministre de la Défense Gérard Longuet (LR), se sont entre autres intéressés à la question du logiciel libre (pages 155 et suivantes du tome 1 du rapport).

Lire les codes sources, « une des conditions essentielles de la souveraineté de l’État »

Ils observent:

«Les administrations publiques pourraient également engager une réflexion sur le recours au logiciel libre en vue de s’assurer de maîtriser leurs données et de mieux conduire, potentiellement à moindre coût, les politiques publiques dont elles ont la charge.»

«Quand les administrations utilisent des logiciels achetés à des entreprises privées, elles doivent s’assurer de la sécurité de l’accès à ces informations et de l’impossibilité pour le fournisseur de les recueillir et de les exploiter.»

Le rapport note que l’État ne semble pas avoir, d’après les auditions menées, de «doctrine générale pour intégrer dans ses appels d’offre cette dimension essentielle de la sécurité des données. Pour s’assurer du respect d’un cahier des charges qui intégrerait cette exigence, il lui faudrait se doter de moyens d’analyse des solutions proposées dont la plupart des ministères semblent dépourvus. Plusieurs de nos interlocuteurs ont souligné que la lisibilité totale des codes sources des programmes informatiques pouvait être une des conditions essentielles de la souveraineté de l’État sur ses moyens numériques.»

Deux conceptions opposées

La commission a relevé «deux conceptions opposées du recours au logiciel libre par les administrations».

La Dinsic (direction interministérielle du numérique et du système d’information et de communication) «a ainsi fait part de sa vision particulièrement nuancée, résumée par la phrase suivante: ‘Chaque fois que l’usage est bon, le logiciel libre a sa place.’ Cette conception repose sur le constat de l’inadaptation aux besoins de certaines solutions libres déjà utilisées par l’État, qui a pu conduire les agents à recourir à des solutions propriétaires en ligne, et donc peu sécurisées. Par ailleurs, il a considéré que le coût complet (en prenant en compte les coûts de maintenance) des logiciels libres ‘n’est pas si éloigné de celui des logiciels propriétaires’.» (Note: l’actuel directeur de la Dinsic, nommé en 2018, avait déjà tenu un discours relativement tiède sur le Libre, voir cette interview à NextInpact).

Le PDG de l’Inria, Bruno Sportisse, a de même déclaré que «sur ce sujet, il ne faut pas avoir de dogme dans un sens comme dans l’autre.» Enfin, la ministre des Armées a expliqué: «Nous devons sans cesse ménager l’interopérabilité de nos forces. Nos alliés fonctionnent à partir de codes sources qui proviennent de la même entreprise, ce qui constitue une difficulté et ralentit le développement du recours aux logiciels libres.» (Note: maigre justification du fameux contrat «open bar» avec Microsoft. On constate que l’Italie, qui fait aussi partie de l’Otan, ne semble pas avoir eu de difficulté à passer à LibreOffice – il y a déjà quatre ans).

L’incitation pro-Libre du CNNum

A contrario, les sénateurs ont aussi reçu en auditions La Quadrature du Net et l’April, qui ont bien sûr «plaidé vigoureusement en faveur du logiciel libre, tant pour les administrations que pour les individus, notamment parce que l’utilisateur, qui a accès au code source, peut en comprendre le fonctionnement et le modifier, ce qui est de nature à préserver sa liberté et à nourrir sa confiance dans la solution numérique.

L’association April lutte ainsi pour éviter ou mettre fin aux partenariats conclus par les administrations de l’État avec les géants américains du numérique, comme le ministère de l’Éducation nationale, le ministère de la Justice ou celui de la Défense. Elle plaide également pour que l’État encourage le logiciel libre, par exemple au moyen d’appels d’offres, ou en soutenant les contributions des agents publics. »

Le rapport Longuet observe aussi que le CNNum, le Conseil national du numérique avait aussi pris position (PDF – en 2017) en faveur du logiciel libre «en recommandant de leur donner la priorité dans la commande publique, pour trois raisons: le logiciel libre permet aux administrations de mieux adapter leurs services publics en développant des solutions qui leurs sont propres tout en étant interopérables, et de mieux les maîtriser, en permettant un audit et la correction en continu des failles de sécurité; enfin, le logiciel libre serait globalement moins cher.»

En 2015 déjà, le rapport «Ambition numérique» du CNNum poussait en ce sens, déclenchant des inquiétudes chez les éditeurs de logiciels propriétaires.

Le confort des agents ne peut pas être le critère ultime

Les sénateurs constatent que «pour répondre à cette exigence [de maîtrise des données], mais aussi afin de réaliser, autant que possible, des économies d’acquisition, de gestion, de maintenance et de formation, plusieurs administrations ont fait le choix de développer leurs propres solutions informatiques, à partir de logiciels dont les codes sources sont publics. C’est, par exemple, le cas de la Gendarmerie qui, depuis 2009, a équipé les 80.000 postes informatiques de ses services de solutions informatiques libres qui lui ont permis de regagner son indépendance et sa souveraineté vis-à-vis des éditeurs privés. Il serait très utile de réaliser rapidement le bilan de cette expérience unique et d’évaluer les possibilités de son extension à d’autres ministères.»

(au passage, ce bilan a plusieurs fois été fait et toujours été positif…)

En conclusion de leur partie sur le Libre, les rapporteurs jugent:

«Il est urgent d’engager rapidement une réflexion au niveau interministériel sur ce sujet. L’idée, présentée devant notre commission, selon laquelle le choix d’acquisition de logiciels par les ministères serait, in fine, dicté par le confort d’utilisation des agents n’est pas recevable.»

La commission – composée de sénateurs de différents partis et présidée par un socialiste – était d’initiative Les Républicains. La majorité LREM ignorera-t-elle ce rapport pour cela, ou peut-on espérer que ces utiles travaux ne finissent pas dans un tiroir?

Source zdnet.fr

Posted in CercLL | Tagué: , , , | Commentaires fermés sur Souveraineté numérique et logiciel libre: un rapport du Sénat invite l’Etat à plus de volontarisme

 
%d blogueurs aiment cette page :