Ce qu’il faut retenir du vote sur le Digital Services Act en Europe

Les députés européens ont, ce mercredi, approuvé le DSA, un projet de mesures contre les contenus illicites. Objectif : assurer la responsabilité des plateformes et améliorer les processus de modération de contenus. Résumé et implications.

Le DMA (Digital Markets Act) – dont nous vous parlions encore en décembre dernier avec la neutralité des appareils réclamée par la FSFE – a été approuvé fin 2021. Ce 20 janvier, le Parlement Européen a fait de même pour le DSA, Digital Services Act, avec 530 voix pour, 80 absentions et seulement 78 voix contre.

C’est donc fait : le Digital Services Act est approuvé et constituera un mandat de négociation avec la présidence française du Conseil qui représente les États membres, donc à l’ouverture des négociations avec les États membres de l’UE.

Le texte comprend des mesures qui comprennent des procédures clairement définies pour supprimer les produits, services et contenus illicites en ligne, mais aussi plus d’options pour les publicités sans suivi et interdiction d’utiliser les données des mineurs pour les publicités ciblée.

Les utilisateurs de services auraient le droit de demander une indemnisation pour les dommages subis. Enfin, le DSA intègre également une évaluation des risques obligatoire et une transparence renforcée des algorithmes pour lutter contre les contenus préjudiciables et la désinformation

Des obligations supplémentaires s’imposeront aux très grandes plateformes, peut-on lire dans le communiqué officiel : elles seront soumises à des obligations spécifiques en raison des risques particuliers qu’elles présentent en ce qui concerne la diffusion de contenus préjudiciables et illicites. Lourde responsabilité pour les réseaux sociaux : « les très grandes plateformes en ligne devraient fournir au moins un système de recommandation qui ne soit pas basé sur le profilage« .

Une impressionnante série d’amendements ont déjà été déposés.

Source toolinux.com

Les CNIL européennes rendent leur avis sur le projet de règlement sur l’IA

Le Comité européen et du Contrôleur européen de la protection des données ont rendu leur avis (en anglais) sur le projet de règlement établissant des règles harmonisées concernant l’intelligence artificielle.

Les autorités de protection, dont la CNIL en France, souligne « la nécessité de tracer des lignes rouges aux futurs usages de l’IA ». Elles demandent que les exceptions prévues à l’interdiction de l’identification biométrique à distance des personnes dans les espaces publics soient tout simplement retirées.

• Les contrôleurs européens veulent interdire la surveillance biométrique de masse

« L’avis recommande également une interdiction des systèmes biométriques utilisés aux fins de classer les individus dans des groupes basés sur l’ethnicité supposée, le sexe, l’orientation politique ou sexuelle, ou d’autres motifs pour lesquels la discrimination est interdite »

De même, « l’utilisation de systèmes d’IA pour déduire les émotions d’une personne physique est par ailleurs considérée comme hautement indésirable et devrait également être soumise à une interdiction de principe (sauf cas très spécifiques, tels que certains objectifs de santé ) ».

Même sort pour les systèmes utilisés pour la notation sociale qui « doivent être systématiquement interdits ».

La CNIL et ses homologues européens réclament aussi plus de précisions sur la gouvernance du « Comité européen de l’intelligence artificielle » (CEIA), instance introduite par le projet de règlement. Elles veulent à ce titre que soient définies plus finalement les règles destinées à « garantir son indépendance » et « renforcer ses pouvoirs » afin de « lui permettre ainsi d’exercer un véritable contrôle, notamment lors de la mise en œuvre de systèmes d’IA à l’échelle européenne ».

« Les autorités de protection des données devraient être désignées comme autorités de contrôle national de l’intelligence artificielle », réclament encore ces acteurs dans leur avis.

Source nextinpact.com

Avec sigstore, la Fondation Linux va authentifier les services open source

Les composantes open source des logiciels sont de plus en plus ciblées par les pirates informatiques ces dernières années. Pour sécuriser la chaîne d’approvisionnement des logiciels, la Fondation Linux vient d’annoncer le projet sigstore permettant de signer les versions de logiciels, images de containers et code binaire. Un projet sur lequel travaillent Google, Red Hat et l’Université Purdue;

La Fondation Linux a lancé un service gratuit que les développeurs peuvent utiliser pour signer numériquement leurs versions et leurs autres objets logiciels, images de containers et code binaire. Le projet vise à renforcer la sécurité et l’auditabilité de la chaîne d’approvisionnement du logiciel open source, qui fait face ces dernières années à un nombre d’attaques sans précédent. Le code Sigstore sur lequel s’appuie ce service a été développé en partenariat avec Google, Red Hat et l’Université Purdue. Il sera maintenu à l’avenir par la communauté. Toutes les signatures et les événements liés seront stockés dans un journal public infalsifiable qui peut être monitoré pour découvrir de potentiels abus.

Sigstore utilise le protocole d’authentification OpenID pour attacher les certificats aux identités. Cela signifie qu’un développeur peut utiliser son adresse email ou son compte avec un fournisseur d’identité OpenID pour signer son logiciel. Cela diffère de la signature de code traditionnelle qui nécessite d’obtenir un certificat d’une autorité de certification (CA) qui est reconnue par les éditeurs ou responsables d’un écosystème logiciel particulier, par exemple Microsoft ou Apple. L’obtention d’un certificat de signature de code traditionnel nécessite de suivre des procédures spéciales qui incluent la vérification d’identité ou la participation à un programme de développement.

Une PKI géré par la Fondation Linux

Le client de signature sigstore génère une paire de clés éphémères de courte durée et contacte l’infrastructure de clé publique (PKI) sigstore qui sera gérée par la Fondation Linux. Le service de PKI vérifie que la connexion OpenID a bien été accordée et délivre un certificat basé sur la paire de clé qui sera utilisée pour signer le logiciel. L’événement de signature est enregistré dans le journal public de logs et les clés sont ensuite supprimées. Il s’agit ici d’une autre différence par rapport à la signature numérique existante parce que chaque événement de signature génère une nouvelle paire de clés et un certificat. Finalement, l’objectif est d’avoir une preuve publique qu’une identité particulière a signé un fichier à un moment donné. C’est à la communauté de bâtir ensuite des outils utilisant ces informations pour créer des politique et des mécanismes d’application.

« C’est simplement basé sur les autorités de certification X.509 normales, afin que chacun puisse ajouter sa propre autorité de certification racine », indique Dan Lorenc, membre de l’équipe de sécurité open source de Google et contributeur du projet. « Il est possible de se débarrasser de la nôtre si on ne veut pas lui faire confiance, chacun peut ajouter ses propres intermédiaires », a-t-il expliqué à CSO. Les développeurs peuvent utiliser le service PKI public et le journal de transparence ou bien ils peuvent déployer leur propre système de signature interne pour leur organisation. Le code du service de journalisation, baptisé Rekor, et celui de l’autorité de certification racine, Fulcio, sont en open source, disponible sur GitHub.

Contrer les attaques de référentiels de packages

De façon générale, la signature de code logiciel est utilisé pour fournir des garanties sur la provenance du logiciel, en apportant la preuve qu’une portion de code vient bien d’un développeur ou d’une organisation en qui l’utilisateur a confiance. Les solutions de liste blanche d’applications, par exemple, utilisent ces informations pour appliquer les politiques d’utilisation sur les logiciels et leur provenance lorsque l’un d’eux va s’exécuter sur un système particulier. Ces politiques peuvent être étendues de la même façon aux gestionnaires de packages. Tout logiciel moderne est construit à l’aide de composants open source tiers qui constituent souvent la majeure partie de leur base de code. C’est pour cette raison qu’il y a eu des attaques contre des référentiels de packages open source comme npm, PyPi ou Ruby Gems.

L’une des techniques d’attaques récemment révélée est la confusion de dépendance. Elle agit en trompant les gestionnaires de packages par l’installation d’une fausse variante d’un package local particulier. Pour se faire, elle publie un package ayant le même nom mais se présentant comme une version supérieure dans le référentiel public. Les politiques de sécurité construites autour des signatures numériques des logiciels peuvent aider à prévenir de telles attaques. Elles permettent aussi de contrer celles où le serveur de téléchargement ou de mise à jour utilisé par un développeur de logiciels est compromis avec des packages légitimes remplacés par des logiciels malveillants ou des attaques de type « man-in-the-middle » contre les mécanismes de mise à jour du logiciel.

Créer des outils de type HaveIBeenPwned à partir du journal

Il existe d’autres attaques, comme la compromission de l’ordinateur d’un développeur ou de l’infrastructure de construction des logiciels, ou encore l’injection de code malveillant au cours des premières étapes du développement logiciel, comme dans la récente attaque SolarWinds qui a impacté des milliers d’entreprises. La signature de code n’aurait pas nécessairement empêché cette attaque car la signature d’une version logicielle est l’une des dernières étapes avant la distribution et elle aurait été faite après l’injection de code. Cependant, un journal de transparence comme celui qui fait partie de sigstore pourrait fournir des informations précieuses aux enquêteurs sur un incident ou même conduire à la détection précoce d’une compromission.

Selon Luke Hinds, responsable de la sécurité chez Red Hat, le journal peut être utilisé pour bâtir des outils de monitoring similaires dans leur fonctionnement au service de notification de violation de données HaveIBeenPwned.com. Avec ce dernier, un utilisateur peut saisir son adresse e-mail et être averti s’il apparaît dans l’une des violations publiques qui ont été répertoriées. Les développeurs pourraient utiliser un tel outil pour être avertis chaque fois que leur adresse e-mail apparaît dans le journal sigstore. Si un tel événement se produit alors qu’ils savent qu’ils n’ont pas été actifs, c’est immédiatement un signal d’alarme indiquant que leur compte ou système a peut-être été compromis et que quelqu’un signe un logiciel en leur nom. « Le journal de transparence n’a pas la capacité de bloquer les attaques, mais il vous donne sur ces attaques des informations que vous n’avez tout simplement pas actuellement », a déclaré Luke Hinds à CSO. « Il assure la transparence autour de la supply chain logicielle ».

Des chercheurs de l’Université Purdue travaillent sur un prototype d’outil de surveillance qui utilisera le journal. Les responsables de ce projet espèrent qu’au fur et à mesure la communauté open source et les acteurs privés de la sécurité vont construire des outils autour du service sigstore. Par exemple, les entreprises évoluant dans le développement pourraient déployer le système et créer des contrôles de sécurité granulaires. « En soi, ce n’est pas un moteur d’application de politique que nous créons, mais les outils et primitives que vous pouvez utiliser pour bâtir l’un de ces moteurs d’application de politique », explique Dan Lorenc, membre de l’équipe de sécurité open source de Google. « Vous pouvez avoir 12 développeurs et décider que 7 d’entre eux doivent signer un artefact pour que celui-ci soit bon », cite-t-il en exemple. « Vous pouvez imaginer toutes sortes de scénarios comme celui-là. »

Source lemondeinformatique.fr

Ce qu’il faut savoir sur la version 2 d’/e/OS Apps Installeur

Le projet /e/OS – système d’exploitation Android sans services Google – continue de se bonifier avec un nouvel installateur d’applications. La V2 est en cours de test et remplacera bientôt l’installateur actuel.

Quoi de neuf dans la version 2 ?

/e/OS Apps Installeur offrira une meilleure prise en charge des applications Android et gèrera le format de fichier XAPK.

Qu’est-ce que cela signifie pour vous ?

Un accès à des applications Android plus récentes, disponibles plus rapidement.

Applications Android open source uniquement ?

Vous avez le choix. Vous pourrez choisir le type d’applications que vous souhaitez afficher : toutes ou seulement les logiciels Open Source.

Nouveauté : Progressive Web Apps

Une prise en charge des applications Web progressives (préliminaire) a également été ajoutée, avec une première sélection de PWA. Dans un premier temps, les PWA s’ouvriront dans le navigateur web, mais les développeurs ajouteront bientôt une intégration complète sur l’écran d’accueil afin qu’elles se comportent pleinement comme des applications natives.

Tester /e/OS Apps Installeur v2

La version 2 n’est pas encore disponible de manière publique. Si vous souhaitez savoir quand le nouvel installateur d’applications sera disponible, vous pouvez vous abonner au canal d’annonces sur Telegram à l’adresse suivante.

Source toolinux.com

La Linux Fondation lance le projet DENT

La Fondation Linux annonce un projet de création d’un OS réseau pour mieux relier les sites distants d’une entreprise. Le premier cas d’usage sera pour les entreprises du retail.

Le projet DENT a déjà reçu des soutiens comme comme Amazon, Cumulus Networks, Delta Electronics Inc, Marvell, Mellanox, Wistron NeWeb (WNC). (Crédit : geralt / Pixabay)

Dernier projet de la Linux Foundation, DENT permettra de créer des OS réseau pour les commutateurs réseau désagrégés dans les campus et les entreprises éloignées du cœur de réseau. Le but est de proposer un système unique, développé par une communauté rassemblant des fournisseurs de silicium, des ODM, des intégrateurs de systèmes, des OEM et des utilisateurs finaux. Le cas d’utilisation initial se concentrera sur l’industrie du retail avec des membres comme Amazon, Cumulus Networks, Delta Electronics Inc, Marvell, Mellanox, Wistron NeWeb (WNC).

La désagrégation est une des dernières méthodes de mise en réseau ouverte qui s’est développé ces derniers temps dans les datacenters et les infrastructures de télécommunications.  Cependant, dans les réseaux d’entreprise – en particulier avec des sites éparpillés sur un territoire – il n’existe actuellement rien pour relier les sites en périphéries qui ne sont pas dans le cloud public traditionnel. DENT utilise le noyau Linux, Switchdev et d’autres projets basés sur Linux pour permettre aux développeurs de traiter les ASIC réseau et le silicium comme tout autre matériel. Il simplifie les abstractions et la gestion des API qui existent actuellement dans les commutateurs utilisés et sur d’autres logiciels ouverts. Les sites distants et les magasins de détail ont ainsi besoin d’une pile d’OS réseau simple, que Linux se propose de fournir.

Source lemondeinformatique.fr

Montréal précise son engagement pour le logiciel libre

La métropole canadienne précise son choix de modernisation avec les logiciels libres, « plus adaptables aux besoins réels d’une organisation comme la nôtre ».

Le parti politique municipal Projet Montréal (gauche) a remporté en novembre 2017 la mairie de la métropole québécoise (portant à la tête de la municipalité pour la première fois une femme, Valérie Plante). Projet Montréal est engagé de longue date en faveur des logiciels libres – dans son programme en 2009, comme en 2013, figurait « faire de Montréal la capitale du logiciel libre en Amérique du Nord ».

En janvier, la nouvelle mairie a mis en avant son objectif de modernisation du parc informatique en misant sur le logiciel libre.

« Investir dans les solutions libres »

La semaine dernière, François Croteau, maire d’arrondissement et membre du comité exécutif (l’organe qui dirige la municipalité, où il est responsable de la ville intelligente, des technologies de l’information et de l’innovation) de la Ville de Montréal, a présenté la politique de la métropole en la matière. Elle doit la libérer de ce qu’il qualifie de « menottage informatique ». Le journal Metro rapporte que « dans tous ses prochains appels d’offres de logiciels, la Ville s’engage à privilégier l’achat de logiciels libres au détriment de logiciels commerciaux qui imposent des licences limitées sur plusieurs années ».

« Au départ, des ressources financières devront être investies pour faire le transfert vers le logiciel libre. ‘Il faut se donner une expertise en programmation. On ne peut pas profiter de ce type de logiciels sans participer à leur élaboration, alors il faut investir dans les solutions libres. Il y aura un gain à terme’, a avancé M. Croteau. L’ouverture aux logiciels libres va aussi permettre à la Ville de collaborer avec d’autres municipalités du Canada, voir du monde. Un logiciel libre peut, par définition, se partager et être enrichi par ses utilisateurs, et ce, gratuitement. »

Le site québécois Direction informatique note que « la Ville participera à la communauté du libre notamment en publiant des développements informatiques sur une page GitHub.
Cette politique précise aussi que la Ville de Montréal s’engage à ‘considérer systématiquement les solutions proposées par l’industrie du libre pour tous les remplacements ou développements de logiciels et de matériel’, ainsi qu’à ‘fonder son choix d’utiliser un logiciel ou du matériel libre en fonction de sa capacité de répondre aux besoins d’affaires, aux critères technologiques et à ceux de sécurité, ainsi qu’à des critères spécifiques à l’industrie du libre’. »

Important renouvellement informatique en cours

Comme signalé dans ce blog en janvier, « l’informatique à la mairie de Montréal a connu de fortes turbulences, avec l’emprisonnement en 2009 pour fraude d’un des gestionnaires du département. En 2016 ce dernier était qualifié de ‘shop informatique de bas niveau’ par le vérificateur général de la Ville.

En octobre 2016, rapportait le Journal de Québec, il était annoncé que 20% du personnel serait renouvelé; ‘115 postes d’informaticien à temps plein sont ouverts depuis début octobre et plus d’une dizaine d’autres ont déjà été octroyés’, écrivait alors le média québécois. Il indiquait que le département employait 600 personnes, avec un budget annuel de 70,7 millions de dollars canadiens (65 millions d’euros). »

Interviewé par Bruno Guglielminetti (audio là – à 10 min 30 pour cette partie), François Croteau souligne: « La nature même du Libre fait qu’ils [les logiciels libres] sont plus adaptables aux besoins réels d’une organisation comme la nôtre. »

Et il relève que l’informatique de la mairie de Montréal comptait un « taux de désuétude de 90% » et a donc des renouvellements en cours, par exemple en bureautique (il cite l’emploi actuel de Lotus Note à la mairie). S’il ne veut pas donner de chiffres d’économie à venir, même s’il en prévoit, François Croteau donne en exemple Vancouver, engagé dans la voie du Libre depuis près d’une décennie, et qui en recueille les fruits.

Source zdnet.fr