Syndiquer le contenu
Mis à jour : il y a 18 heures 38 min

pkgsrc 2014Q4 est disponible

18 janvier, 2015 - 12:08

Dans un message à des listes de diffusion pkgsrc et NetBSD, Alistair Crooks a annoncé la disponibilité de la branche pkgsrc-2014Q4. Pkgsrc (prononcer package source) est une infrastructure de construction de logiciels tiers pour NetBSD, ainsi que pour d’autres systèmes de type UNIX. Il permet donc à NetBSD et à d’autres systèmes d’exploitation de disposer de nombreux logiciels sous forme source, mais aussi sous forme binaire.

Les développeurs pkgsrc fournissent une nouvelle version stable chaque trimestre. Comme son nom l’indique, pkgsrc 2014Q4 est donc la dernière sur les quatre de l'année 2014 et est disponible depuis le 2 janvier dernier.

Plus de détails sur cette version en particulier en seconde partie de dépêche, qui reprend grandement le courriel d'annonce.

Si vous ne connaissez toujours pas pkgsrc

À force de publier des dépêches sur le sujet (suivez le tag pkgsrc), espérons que vous commencez à connaître la chanson : pkgsrc, c'est le système de paquets logiciels pour NetBSD, issu d'un fork en 1997 de celui de FreeBSD. Nos amis au drapeau orange étant adeptes de la portabilité, il est logique que leur système de paquets puisse fonctionner ailleurs et compte toujours sa vingtaine de plateformes compatibles, allant des systèmes BSD à Windows (grâce à Cygwin/Interix/Services For Unix) en passant par GNU/Linux, OS X et Solaris.

Pour être plus concret sur la portabilité de pkgsrc, certaines personnes maintiennent des dépôts de paquets binaires en dehors de ceux pour NetBSD. Ainsi, le dépôt de la société Joyent contient des ensembles de paquets pour SmartOS, GNU/Linux mais aussi OS X. Saluons aussi le projet Save OS X, qui en plus de fournir un dépôt pour x86_64 (celui de Joyent est pour i386), propose articles et courtes vidéos introduisant pkgsrc pour le système à la pomme.

Enfin, ces initiatives ne sauraient être couronnées de succès sans pkgin, gestionnaire de paquets maintenu par iMil et dont la version 0.7.0 devrait voir le jour sous peu.

Les chiffres du trimestre

En termes de paquets, pkgsrc-2014Q4 c’est (entre parenthèses la différence avec pkgsrc-2014Q3 lorsque le chiffre était indiqué) :

  • 15510 paquets possibles (+ 324) ;
  • 15049 paquets binaires compilés avec clang pour NetBSD-current/x86_64 (+ 308) ;
  • 12972 13026 paquets binaires compilés avec gcc pour SmartOS/x86_64 (- 54) ;
  • 14430 paquets binaires compilés avec gcc pour NetBSD-6.0/x86_64.

Ce trimestre, en termes de modifications, il y a eu :

  • 156 paquets ajoutés ;
  • 48 paquets retirés, dont 9 avec un successeur ;
  • 1575 paquets mis à jour ;
  • 4 paquets ont été renommés.
Les changements

Parmi les ajouts ou mises à jour notables, on peut remarquer :

  • une amélioration des paquets Haskell ;
  • des mises à jour dans les paquets d'émulation Linux, basés sur SUSE 12.1 ;
  • ainsi que de nombreuses bibliothèques Python, Perl, Haskell et Ruby.

La campagne de nettoyage qui a lieu chaque trimestre permet de supprimer ce qui obsolète, ou non utilisé. Cette fois-ci, c'est au tour de libreoffice3, skype1 et skype21.

Au-delà des paquets en eux-même, l'infrastructure de pkgsrc évolue. Ce trimestre, une nouvelle variable fait son apparition : PKGSRC_KEEP_BIN_PKGS (à placer dans son fichier mk.conf). Elle permet de conserver les paquets binaires de ce qui est compilé.

Un commentaire de la dépêche précédente signalait le travail de Jonathan Perkin sur l'amélioration du temps de compilation de tous les paquets de pkgsrc (ce qu'on appelle des bulk build, ou pbulk, du nom de l'outil). Alistair Crooks mentionne que l'intégration des cwrappers (qui permet cette amélioration) a progressé, et que d'autres progrès sont à attendre pour le trimestre prochain.

Alistair Crooks profite de son courriel d'annonce pour faire le bilan, non seulement de l'année 2014, mais aussi depuis 1997. Sur ces 17 années de publication de pkgsrc, 2014 se situe en troisième position en terme de nombre de changements apportés. L'année la plus faste est 2013, suivie par 2004.

Un coup d'oeil à NetBSD

La dernière dépêche traitant de nouvelles versions de NetBSD abordait les versions 6.1.5 et 6.0.6. Quelques semaines plus tard, les mêmes corrections étaient portées sur la branche 5, permettant de publier NetBSD 5.1.5 et 5.2.3. Toutefois, l'attente continue concernant NetBSD 7 : la branche existe depuis plusieurs mois dans CVS, mais est toujours au stade de beta. Si vous le souhaitez, vous pouvez télécharger et installer une de ces versions pour améliorer la future version 7 stable.

Enfin, sur une note plus personnelle, votre serviteur est maintenant lui aussi développeur NetBSD, et espère ainsi agrandir la liste des mises à jour de pkgsrc que vous pourrez lire chaque trimestre.

Télécharger ce contenu au format Epub

Lire les commentaires

Le plein de frags pour cette nouvelle année 2015 (Unvanquished, ET:Legacy, Xonotic)

18 janvier, 2015 - 11:33

Ce mois de janvier à peine commencé a vu plusieurs jeux annoncer des mises à jour importantes, en voici trois :

Ces trois nouvelles versions sont détaillées en seconde partie de dépêche. À vous de jouer !

Sommaire

Pour ne pas le répéter à chaque fois : tous ces jeux sont désormais passés à la version 2 de la SDL.

Unvanquished 0.35.1

Unvanquished alpha 35 vient de sortir. C'est un jeu qui mêle tir à la première personne et stratégie, où une armée d’humains (armes de tir) et une armée d’extraterrestres monstrueux (corps à corps) défendent leur base et attaquent la base adverse.

Unvanquished maintient son rythme actif d’une publication par mois, mais comme nous n’en avons pas parlé dans ces colonnes depuis avril 2013, c’est l’occasion de rappeler l’avancement pour cette année écoulée !

L’interface du jeu est désormais propulsée par libRocket (une interface HTML/CSS). Plus aucune carte de l’ancien Tremulous n’est utilisée, et ce sont dix cartes originales qui sont distribuées officiellement.

La structure de défense de proximité Générateur Tesla est supprimée, et une nouvelle structure est ajoutée : un Rocket Pod qui tire des missiles à longue distance (le Rocket Pod n’est donc pas vraiment un remplaçant pour le Générateur Tesla).

Beaucoup de modèles ont été refait, comme le Granger, ou leur animation refaite comme pour le Trapper, et certains aliens ont été remplacés, comme la Mantis qui remplace le Basilisk.

Coté serveur, la logique de jeu ne tourne plus sur QVM (Quake Virtual Machine) mais sur NaCl (Google Native Client).

Le protocole unv:// permet de rejoindre une partie depuis un lien sur un site web ou posté sur un canal IRC.

Le tout nouveau « Rocket Pod » vient soutenir la tourelle automatique, ici sur la nouvelle carte « Antares ».

Mais les changements ne s’arrêtent pas au jeu lui-même. Le site web vient d’être complètement refait à neuf, avec beaucoup de soin. La priorité : accueillir convenablement le joueur ! Comme le jeu est encore en version alpha, le projet ne communique pas énormément afin d’éviter de causer des frustrations ou des désillusions auprès du grand public. Toutefois, l’équipe soigne sa petite base de joueurs fidèles.


Au secours !

En plus de ce nouveau site pour vous accueillir, vous êtes invités à rejoindre le canal #unvanquished sur le réseau IRC Freenode où un bot annonce les parties en cours : c’est un moyen très pratique de ne pas rater les meilleures parties ! Cela signifie aussi qu’il suffit souvent de se connecter à un serveur et de commencer à jouer pour que d’autres joueurs rejoignent !

L’équipe organise également un dev game tous les dimanches à 20:00 UTC (21h pour nos lecteurs d’Europe occidentale), afin de tester certains ajustements ou tout simplement pour le plaisir de jouer. Comme le rendez-vous est connu et que beaucoup y sont fidèles (et l’attendent avec impatience), c’est le bon moment à réserver dans sa semaine pour passer une excellente soirée de jeu !

Pour télécharger Unvanquished 0.35.1, c’est par ici.

Enemy Territory:Legacy 2.72

Comme promis, ET:Legacy est sorti en version stable 2.71, et même 2.72… il s'agit d'un projet qui maintient le moteur libre de Wofenstein: Enemy Territory, un jeu multijoueur en équipe qui vous renvoie pendant la seconde guerre mondiale pour mener à bien vos missions ou au contraire, mettre en échec celles du camp adverse !

Cette version 2.72 publiée par ET:Legacy arrive donc près de neuf ans après la dernière version de Wolfenstein: Enemy Territory publiée par Splash Dammage

La majorité des modifications sont des corrections, pas de grands changement majeurs sur la jouabilité (ce n’est pas le but du projet). On peut cependant noter qu’à la manière d’Unvanquished et son protocole unv://, ET:Legacy sait interpréter les url et:// et puis y a pas que ça tout d’même !

Pour en savoir plus sur ET:Legacy et Wolfestein: Enemy Teritory, et notamment pour tout ce qu’ET:Legacy a apporté au moteur orignal, n’hésitez pas à lire l’article « Enemy Territory: Legacy, en résistance » qui décrit tout cela.


Parviendrez-vous à empêcher l’Axe de charger et amorcer ce canon démesuré ?

ET:Legacy a lui aussi complètement refondu son site et prévoit comme Unvanquished d’organiser des matchs réguliers pour tester le jeu en développement, ainsi que d’utiliser un bot sur #etelegacy@Freenode pour annoncer ces parties. À suivre donc !

Cependant le projet ET:Legacy a déjà une base de joueurs bien plus vaste qu’Unvanquished étant entendu qu’il s’agit de maintenir le moteur d’un jeu préexistant avec sa base de joueurs convaincus.

ET:Legacy est pleinement compatible avec Wolfenstein: Enemy Territory, donc bien que ce soit la première fois qu’ET:Legacy soit publié en version stable, il existe déjà plusieurs centaines de serveurs disponibles en ligne…

Vous pouvez télécharger ET:Legacy 2.72 depuis cette page.

Xonotic 0.8.0

Xonotic est un grand classique du twitch game libre : vous voilà téléporté dans une arène avec un arsenal d’armes aussi variées qu’efficaces afin d’amasser le plus de points pour vous ou votre équipe (frags ou capture de drapeau). Le jeu est rapide et soutenu et mettra à l’épreuve vos meilleurs réflexes ! Xonotic est un fork du jeu Nexuiz fondé sur le moteur DarkPlaces hérité de Quake, dont il se place ici en très digne héritier.


La nouvelle arme « Arc » sur la nouvelle carte « Vorix ».

Un an et demi après la version 0.7.0, cette version 0.8.0 apporte notamment une nouvelle arme : Arc, qui rappellera à certains le Lightning Gun de Quake Ⅲ Arena, mais avec une trajectoire souple, et qu’il ne faut pas utiliser trop longtemps sous peine de surchauffe ! Une nouvelle musique accompagnera vos parties : X-Force, et trois nouvelles cartes ont été ajoutées au mode « capture du drapeau » : « Catharsis », « Implosion », et « Vorix ». À la fin d’une partie, il est désormais possible de voter le type de jeu avant de voter la prochaine carte à jouer !


Invasion : Vous n’y survivrez pas !

Un nouveau mode de jeu apparaît, « Invasion », où le joueur doit se battre contre une marée de monstres… Un nouveau système de bonus nommés « Buffs » peut également être activé, qui donne au joueur des pouvoirs spéciaux lorsqu’ils sont ramassés.

Vous pouvez aussi suivre le canal #xonotic sur QuakeNet et organiser des parties de Xonotic sur #xonotic.pickup, après avoir téléchargé Xonotic 0.8.0 à partir de cette page.

Bons frags !

Télécharger ce contenu au format Epub

Lire les commentaires

Assemblée Générale de Linux Azur le 7 février 2015 à Valbonne

18 janvier, 2015 - 10:51

Linux Azur, déjà 16 ans, révèle toutes ses activités 2014 et projets 2015 en Assemblée Générale statutaire. Rendez-vous samedi le 7 février 2015, dès 14h30, à la salle du Centre de Vie situé place Méjane, dans le quartier de Garbejaïre, à Valbonne, dans la technopole de Sophia Antipolis.

Ordre du jour :

  • rapport moral 2014 ;
  • présentation rapport financier 2014 ;
  • point sur les JM2L 2015 ;
  • questions diverses ;
  • nomination des membres du nouveau Conseil d'Administration.

Pour nous donner une idée du nombre de biscuits, bonbons, thé, café, sodas et jus de fruits à vous offrir, inscrivez-vous :-)

Les membres et les curieux seront les bienvenus \o/

Télécharger ce contenu au format Epub

Lire les commentaires

Soirée Linux thème smartphones à Digne le 22 janvier

17 janvier, 2015 - 21:39

Linux-Alpes organise la première soirée Linux à Digne de 2015 et vous donne rendez-vous chez Xsalto le jeudi 22 janvier pour une soirée consacrée à Linux et aux logiciels libres.

À partir de 20h chez Xsalto, voir le plan d'accès.

Ce mois-ci, coup de projecteur sur les logiciels libres pour smartphones … et tout ce qui permet faire communiquer votre système Linux et votre appareil sous Android.

Comme à l'habitude, cette soirée sera l'occasion pour tous de poser vos questions, échanger autour du logiciel libre et de Linux.

Venez nombreux

Télécharger ce contenu au format Epub

Lire les commentaires

Remplacement de Photoshop par Krita dans une université parisienne

17 janvier, 2015 - 15:30

Après avoir réussi une levée de fonds de près de 20 000€, le projet Krita a une bonne nouvelle pour cette année 2015.

Le département Arts et Technologie de l'Image (ATI) de l'université Paris 8 est en train de remplacer Photoshop par Krita cette année.

Ce département a pour but d'apprendre aux étudiants :

  • à utiliser des logiciels graphiques (2D, 3D, effet spéciaux et Compositing) ;
  • à programmer les leurs (en Python, C# ou C++).

Jusqu'à récemment il utilisait Adobe Photoshop mais à cause de prises en charge inadaptées de l'entreprise, le département a décidé de le remplacer.

En novembre dernier, François Grassard (enseignant de Compositing à l'ATI, bien connu des utilisateurs de Blender/Natron) a invité David Revoy à faire une présentation générale de Krita 2.8 et la facilité de ce changement. Une présentation longue de 4 heures a expliqué toute l'interface et les fonctionnalités clés de Krita 2.8.

Deux insuffisances ont été pointées : le mode single viewport/canvas et le manque de la transformation de perspective. Mais heureusement ces fonctionnalités sont déjà présentes dans la prochaine version (pour comprendre ce qu'est la transformation de perspective, une vidéo est présente).
Les fonctionnalités les plus appréciées étaient la longue liste de modes de fusion, le mode de texture Wrap around, les possibilités de faire des compositing complexes avec la pile de couches (par exemple des couches de clones) et bien sûr l'intérêt d'étudier le code et de le modifier.

À noter que les logiciels libres ne sont pas inconnus dans ce département (NdM: et de Paris VIII en général, berceau de l'association April par exemple). Durant un projet de 3 semaines, les étudiants de Master 1 ne travaillent pas seulement avec Krita mais aussi avec Blender et Natron (une alternative au logiciel propriétaire de compositing numérique nodal Nuke). Une démonstration de François Grassard peut être téléchargée.

Télécharger ce contenu au format Epub

Lire les commentaires

RPGBoss 0.6.x

17 janvier, 2015 - 12:16

Vous connaissez sûrement le fameux logiciel de création de RPG à savoir RPG Maker. Le gros défaut de ce logiciel est qu'il est payant et surtout qu'il ne fonctionne que sur Windows (les jeux créés avec aussi).
C'est alors qu'une personne nommée Tommy décida de refaire un clone complet mais cette fois-ci multiplate-forme (Windows, Mac, Linux). Ce logiciel se nomme RPGBoss, il est gratuit, libre (AGPLv3), codé en Scala et tourne avec la JVM de Java (6, 7 et 8).

Voici un aperçu des fonctionnalités:

  • Gestion de plusieurs projet

  • Création de carte

  • Gestion de base de donnée

  • Import de titleset

-Gestion des événements

  • etc.

Pour ma part je m'occupe de la traduction en français du logiciel, donc si vous trouvez des mauvaises traductions n'hésitez pas à me contacter à mycaranille AT gmail.com

Ce logiciel a besoin d'une bonne communauté que ce soit de game makers ou de développeurs.

QUESTIONS / REPONSES

J'en ai profité pour poser des question à Tommy (qui ne parle qu'anglais et qui est le concepteur du logiciel)

Q. Pourquoi RPGBoss ?

R. Tout simplement car j'utilise RPG Maker depuis que je suis jeune et que je souhaite faire un programme et des jeux multi-plateforme.

Q. Pourquoi avoir choisi du SCALA pour le programme ?

R. Car il est beaucoup plus concis et lisible que le Java.

Q. Des ambitions pour le projet ?

R. Le terminer, mon but est qu'il ait toutes les fonctionnalités de RPG Maker.

Q. D'autre choses à dire ?

R. Oui, nous sommes à la recherche de personnes ayant une bonne notion de la programmation objet car si un jour je me fais renverser par un bus j'aimerais que quelqu'un puisse continuer le programme.

Télécharger ce contenu au format Epub

Lire les commentaires

Debian 7.8, huitième mise à jour de Wheezy

15 janvier, 2015 - 21:22

Le 10 janvier a été publiée la huitième mise à jour de Debian 7 (nommée "wheezy"). En plus des traditionnelles mises à jour de sécurité, on notera la montée de version de certains logiciels (PHP 5, Icedove, ClamAV, tzdata, wireless-regdb, MySQL 5.5 et pilotes Nvidia) et la correction de certains bugs pouvant s'avérer bloquants pour certains utilisateurs.

À noter que cette mise à jour intègre déjà deux régressions connues pour le noyau Linux :

  • la mise en veille ne fonctionne plus pour certains ordinateurs portables : ce problème pour lequel vous trouverez plus de détail dans ce message du forum Linux.Debian/Ubuntu a déjà été résolu par un développeur Debian et le correctif est déjà téléchargeable
  • la migration d'une machine virtuelle active d'un hôte fonctionnant avec une version plus ancienne du noyau vers un hôte fonctionnant avec la version du noyau distribuée avec Debian 7.8 échouera si la machine virtuelle a été créée avec un périphérique réseau VirtIO ; la solution est de migrer une telle machine virtuelle à froid (en l'arrêtant avant de la déplacer).

La liste exhaustive des changements et des failles corrigées est en seconde partie de la dépêche.

Sommaire A apache2:
  • correction d'un moyen de contourner les directives "RequestHeader unset" CVE-2013-5704
  • suppression de la sensibilité à la casse lors de la comparaison des noms de domaine pour SNI
apt :

amélioration de la gestion des téléchargements par portions de fichiers

B base-files, debian-installer :

mise à jour du numéro de version

bashburn:

intégration des mises à jour depuis mybashburn

bind9 :

correction d'une faille permettant à un attaquant utilisant des zones construites de façon malveillante ou un serveur intrus de faire émettre par BIND un nombre illimité de requêtes pour tenter de suivre la délégation

C c-icap :

correction de plusieurs vulnérabilités permettant à un attaquant distant de provoquer le plantage de c-icap, ou avoir d'autres conséquences indéterminées CVE-2013-7401, CVE-2013-7402

clamav, libclamunrar :
  • mise à jour à la dernière version
  • correction d'un bug provoquant une boucle infinie lors du traitement de certains fichiers cab
cpio :

correction de problèmes d'écriture hors limites, de vérification d'intervalle et de déréférencement de pointeur NULL CVE-2014-9112

curl :

correction d'un bug pouvant conduire libcurl à envoyer des informations sensibles qui ne sont pas destinées à être envoyées, lors de la réalisation d'une opération HTTP POST CVE-2014-3707

D debian-archive-keyring :

ajout des clés de Jessie

debootstrap:

correction du risque d'installation mal ordonnée de base-passwd et base-files

dbus :

nouvelle tentative de correction de CVE-2014-3636, une vulnérabilité dans dbus-daemon permettant à des attaquants locaux d'empêcher les nouvelles connexions à dbus-daemon ou de déconnecter les clients existants en épuisant les limites du descripteur CVE-2014-7824

dhcpcd5:

patch contre une possibilité d'attaque par déni de service CVE-2014-6060

digikam:

amélioration du script d'upgrade (la documentation était cassée lors de la mise à jour depuis squeeze)

dokuwiki :
  • correction de deux failles permettant à un attaquant distant d'accéder de manière aléatoire à des images via un appel Ajax « media file details » ou « media diff » CVE-2014-8761, CVE-2014-8762
  • correction de deux failles permettant de se connecter à un dokuwiki connecté à un Active Directory en utilisant un compte valide et un mot de passe commençant par \0 CVE-2014-8763, CVE-2014-8764
drupal7: E evolution-data-server:

activation de toutes les version de SSL/TLS supportées par NSS

F file :

correction d'une faille permettant à des attaquants de provoquer un déni de service (lecture hors limites et plantage de l'application) en fournissant un ficher ELF contrefait pour l'occasion CVE-2014-3710

firebird2.5 :

correction d'une faille permettant de provoquer un déni de service à distance CVE-2014-9323

flac :

correction de deux failles permettant de provoquer un plantage avec un fichier audio corrompu CVE-2014-8962, CVE-2014-9028

freecol:

désactivation de la vidéo d'introduction qui bloquait parfois au démarrage

G getmail4 :

correction de plusieurs failles HDM dans la gestion des protocoles SSL CVE-2014-7273, CVE-2014-7274, CVE-2014-7275

gnustep-base:
  • correction d'un moyen de provoquer un déni de service CVE-2014-2980
  • correction d'une régression de l'API Apple runtime GNU-36706
gosa:

correction d'une faille de type Cross-site scripting

graphviz :

correction d'une faille permettant à un attaquant de provoquer le plantage de graphviz voire d'exécuter du code arbitraire CVE-2014-9157

H heilroom-mailx :
  • suppression de l’interprétation des métacaractères de l'interpréteur dans certaines adresses de courrier électronique CVE-2004-2771
  • suppression d'une « fonctionnalité inattendue » (corrigée également dans le paquet bsd-mailx) de traitement des adresses de courrier électronique, syntaxiquement valables, comme des commandes d'interpréteur à exécuter CVE-2004-7844
I icedove, filetray, nostalgy, sieve-extension, enigmail : iceweasel :
  • nouveau paquet xulrunner (qui ne sera plus intégré au paquet iceweasel
  • correction de mutliples erreurs de sécurité mémoire, vérifications de permissions manquantes et d'autres erreurs d'implémentation (les mêmes que pour icedove)
intel-microcode, iucode-tool :
  • suppression des instuctions TSXpour l'architecture Haswell
  • correction de mutliples risques identifiés par un outil d'analyse de code
J jasper : K konversation :

correction d'un bug provoquant un plantage à la réception de messages malformés utilisant le chiffrement FiSH CVE-2014-8483

L libdatetime-timezone-perl, tzdata, wireless-regdb :

mise à jour à la dernière version de l'applicatif et des fichiers de données

libgcrypt11 :

amélioration de la protection des sous-clés de chiffrement Elgamal qui pouvaient se retrouver divulguées CVE-2014-5270

libksba :

correction d'une faille permettant de provoquer un dépassement de tampon en utilisant des messages S/MIME ou des données OpenPGP basées sur ECC contrefaits pour l'occasion CVE-2014-9087

libtasn1-3 :

correction de failles permettant à attaquant de provoquer un déni de service grâce à un accès hors limites ou un déréférencement de pointeur NULL CVE-2014-3467, CVE-2014-3468, CVE-2014-3469

libvncserver :

correction de plusieurs failles permettant de provoquer un plntage à distance CVE-2014-6051, CVE-2014-6052, CVE-2014-6053, CVE-2014-6054, CVE-2014-6055

libxml2 :

correction d'une faille permettant à un attaquant distant de fournir un fichier XML contrefait pour l'occasion qui, lors de son traitement par une application utilisant libxml2, mènerait à une consommation excessive du CPU (déni de service) basée sur des substitutions excessives d'entités, même si la substitution d'entités est désactivée, ce qui est le comportement par défaut de l'analyseur (CVE-2014-3660)

libxml-security-java :

correction d'une faille permettant d'usurper des signatures XML CVE-2013-2172

libyaml, libyaml-libyaml-perl :

correction d'un bug permettant de planter une application utilisant la libyaml en lui fournissant une chaîne contrefaite CVE-2014-9130

linux : M mediawiki mime-support :

correction d'un défaut qui pourrait permettre à un attaquant d'exécuter à distance du code arbitraire via run-mailcap CVE-2014-7209

mumble :
  • correction de l'échec de communication UDP lorsque le micro est activé et les données envoyées
  • correction d'un crash à la connexion
  • échappement HTML de certaines chaînes de caractères externes avant de les réutiliser CVE-2014-3756
  • correction d'une vulnérabilité lors de l'utilisation d'images SVG avec des références à des fichiers locaux CVE-2014-3755
mutt :

correction d'un bug provoquant un plantage avec un simple entête de mail corrompu CVE-2014-9116

mysql-5.5 :

passage en version 5.5.40

N netcfg:

correction de la vérifications des limites lors de l'itération de la table des serveurs de nom

nss :

correction d'une vulnérabilité d'utilisation de mémoire après libération qui permet à des attaquants distants d'exécuter du code arbitraire en provoquant le retrait inapproprié d'une structure NSSCertificate d'un domaine de confiance CVE-2014-1544

ntpd :
  • suppression de la clé faible à usage interne qui permettait à des attanquants de reconfigurer ntpd ou d'exploiter d'autres failles CVE-2014-9293
  • amélioration de l'entropie de ntp-keygen CVE-2014-9294
  • correction de plusieurs dépassements de tampon de ntpd CVE-2014-9295
  • amélioration du traitement d'un cas d'erreur CVE-2014-9295
nvidia-graphics-drivers, nvidia-graphics-modules :

mise à jour à la dernière version

O openssl: openvpn :

correction d'une faille permettant à un client authentifié de faire planter un serveur OpenVPN en envoyant un paquet de contrôle contenant moins de quatre octets comme charge utile CVE-2014-8104

P pdns-recursor, unbound :

correction d'une faille permettant à un attaquant contrefaisant une zone et capable d'émettre (ou de faire émettre) des requêtes au serveur de piéger le résolveur en lui faisant suivre une série infinie de délégations, conduisant ainsi à un épuisement de ressources et à une utilisation excessive du réseau CVE-2014-8601, CVE-2014-8602

php5 :
  • passage en version 5.4.34
  • correction d'un bug provoquant un plantage de php5-cgi suite à un dépassement de mémoire
  • correction d'un bug de compatibilité entre php5-pgsql et PostgreSQL 9.1
  • correction du binaire file embarqué dans php5 (voir plus haut)
pidgin:
  • correction d'une faille permettant de planter pidgin à distance avec une émoticône de grande longueur CVE-2014-3695
  • correction d'une faille permettant de planter pidgin à distance avec des messages Groupwise non conformes CVE-2014-3696
  • correction d'une faille permettant de divulguer la mémoire à distance avec des messages XMPP non conformes CVE-2014-3698
polarssl :

correction d'une faille permettant de provoquer un déni de service via une fuite de mémoire dans l'analyse des certificats X.509

ppp :

correction d'une faille permettant une élévation de privilège par un attaquant local CVE-2014-3158

pyyaml :

correction d'une faille permettant à un attaquant capable de charger une entrée YAML contrefaite pour l'occasion dans une application utilisant Python-YAML de provoquer le plantage de l'application CVE-2014-9130

Q qemu, qemu-kvm :
  • correction d'une faille permettant à un utilisateur client privilégié d'écrire dans l'espace d'adresse de qemu sur l'hôte CVE-2014-8106
  • ajout de l'ajout d'une validation des paramètres fournis par le client dans les fonctions rectangle du pilote vmware-vga CVE-2014-3689
  • ajout de l'ajout d'une validation des paramètres dans le pilote d'affichage VNC de QEMU CVE-2014-7815
quassel :

correction d'une vulnérabilité de lecture hors limites CVE-2014-8483

S shutdown-at-night :

ajout d'une vérification des utilisateurs avant d'éteindre

sox :

correction de failles de dépassement de tas CVE-2014-8145

spamassassin:

mise en compatibilité avec les dernières regles perl publiées

subversion :

correction d'une faille de mod_dav_svn permettant une attaque distante CVE-2014-3580

T tcpdump :
  • correction d'une faille du mode verbeux permettant de provoquer un crash à distance CVE-2014-8767
  • correction d'une faille permettant de récupérer des données ou de provoquer un crash à distance CVE-2014-8769
  • correction d'une faille permettant de provoquer un crash à distance via un paquet PPP corrompu CVE-2014-9140
torque :

correction d'une faille permettant à un utilisateur sans les droits d'administrateur de tuer n'importe quel processus, y compris ceux appartenant à l'utilisateur root

U unzip :

correction de failles de dépassement de tas CVE-2014-8139, CVE-2014-8140, CVE-2014-8141

W wget :

correction d'une faille permettant la création de fichiers arbitraires dans le système de l'utilisateur quand Wget est exécuté en mode récursif auprès d'un serveur FTP malveillant CVE-2014-4877

wireshark:

correction de plusieurs vulnérabilités dans les dissecteurs/analyseurs pour RTP, MEGACO, Netflow, RTSP, SES et Sniffer CVE-2014-6422 CVE-2014-6423 CVE-2014-6424 CVE-2014-6427 CVE-2014-6428 CVE-2014-6429 CVE-2014-6430 CVE-2014-6431 CVE-2014-6432

wordpress :
  • correction d'une vulnérabilité XSS exploitable par des commentaires ou des articles CVE-2014-9031
  • correction d'une vulnérabilité du formulaire de changement de mot de passe CVE-2014-9033
  • ajout d'une borne maximale dans la taille des mots de passe CVE-2014-9034
  • correction d'une vulnérabilité XSS dans la fonction "Press This" CVE-2014-9035
  • correction d'une vulnérabilité XSS dans e filtrage HTML de CSS dans les articles CVE-2014-9036
  • amélioration de la gestion des anciens mots de passe MD5 CVE-2014-9037
  • amélioration du cœur HTTP qui bloquait insuffisamment l'espace d'adresses IP de bouclage CVE-2014-9038
  • ajout de l'invalidation automatique des requêtes de réinitialisation de mot de passe obsolètes CVE-2014-9039
wpa-supplicant:

Correction d'un problème de vérification des entrées dans les outils wpa_cli et hostapd_cli permettant à un système wifi distant à portée de fournir une chaîne contrefaite déclenchant l'exécution de code arbitraire fonctionnant avec les privilèges du processus wpa_cli affecté

X xorg-server :

Correction de failles qui pourraient conduire à une augmentation de droits ou à un déni de service :
CVE-2014-8091, CVE-2014-8092, CVE-2014-8093, CVE-2014-8094, CVE-2014-8095, CVE-2014-8096, CVE-2014-8097, CVE-2014-8098, CVE-2014-8099, CVE-2014-8100, CVE-2014-8101, CVE-2014-8102

Note : plusieurs traductions de failles sont issues au moins partiellement du site internet de Debian et diffusées à l'origine sous licence de publication ouverte.

Télécharger ce contenu au format Epub

Lire les commentaires

Firefox 35 heures

15 janvier, 2015 - 01:18

Firefox 35, le navigateur web libre et ouvert de la fondation Mozilla, est sorti le 13 janvier 2015, pour GNU/Linux, Android (et Windows et Mac OS X). Cette version apporte son lot d’améliorations, notamment sur la sécurité, le Javascript, le CSS, le nouveau système de visioconférence Hello et sur l'utilisation du gestionnaire de téléchargements sous Android.

Cette dépêche régulière est le travail de nombreux contributeurs sur l'espace de rédaction de LinuxFr.org (linuxfr.org/redaction). Venez apporter vos contributions, afin que l'on puisse atteindre la qualité des dépêches noyau, par exemple.

Sommaire Changements généraux Sécurité

Lors de l’accès à un site par connexion chiffrée (HTTPS), il est possible de faire une attaque de l'homme du milieu, ou MIM pour Man In the Middle, en utilisant un certificat valide chez une autre autorité de certification.

Firefox vérifiait déjà, depuis la version 32 sur desktop et 34 sur mobile, si le certificat venait de la bonne autorité de certification, mais uniquement d’après une liste établie à l’avance de quelques gros sites (ceux épinglés par Chrome et ceux de Mozilla, puis Tor et Dropbox).

Or, on peut indiquer dans un entête HTTP (HTTP Public Key Pinning, épinglage de clé public HTTP) l’autorité de certification qui produit les certificats valides du site. Firefox prend désormais en compte cet entête pour empêcher la connexion s’il détecte un certificat non-conforme à ce qui est indiqué par l’entête. Voir le brouillon de la RFC de l'IETF pour les plus courageux.

L’entête peut toujours être modifié par un attaquant lors de la première visite, mais cela augmente grandement la sécurité.

Source

Performances

Quelques changements sont à souligner :

  • Amélioration de la gestion des modifications de style dynamiques (ex : animations CSS ou modification du CSS via Javascript) pour améliorer la réactivité ;
  • Réduction de l’utilisation de ressources pour les images redimensionnées ;
  • Utilisation du rendu par tuile sur Mac OS X. Son utilisation sur Android avait déjà montré de bien meilleures performances.
Pour les développeurs

Pour une liste complète des changements, voir le wiki de Mozilla pour les développeurs.

CSS

Les filtres CSS sont activés par défaut. Les filtres CSS permettent d’appliquer un changement avant que la ressource ne soit affichée, c’est notamment utile pour appliquer un effet à des images. Voir le wiki de Mozilla pour les développeurs pour plus d’informations.

Prise en charge de l'inspection des pseudo éléménts ::before et ::after.

Javascript

Côté Javascript, plusieurs changements :

  • Implémentation de Resource Timing API, pour collecter des infos de délais des ressources à partir de JS ;
  • Implémentation de l’API CSS Font Loading pour mieux maitriser le comportement du CSS lors du téléchargement de polices ;
  • WebSocket est désormais disponible dans les Workers ;
  • Changement de la sémantique de let en Javascript pour correspondre à la spécification ES6.
Version Bureau Firefox Hello

Firefox Hello fonctionne désormais par salon (chat rooms), qui persistent si un des deux utilisateurs part. Mais les salons semblent limités pour l’instant à deux personnes, pour tests initiaux. Gageons que l’on pourra bientôt organiser des réunions sur Firefox !

D’autre part, l’interface a été bien améliorée.

Vidéo

Avec cette version, Firefox étend le nombre de plate-formes supportant nativement le codec H.264. Cette fois-ci, c'est au tour de Mac OS X de prendre en charge ce codec vidéo, sur Snow Leopard (10.6) et supérieur.

Autre
  • Firefox pouvait déjà afficher le flux d’actualité de certains réseaux sociaux dans une barre latérale. À cela s’ajoute un bouton «Partager cette page» dans la barre d’outils de Firefox et différents services (Facebook, Twitter, Google+, Delicious, Pocket, etc.) peuvent être ajoutés ;
  • Un bouton «Application» a été ajouté dans le menu «Outils» de la barre de menu (si vous ne l’avez pas caché) et dans la liste des boutons à placer dans le menu personnalisation. Il permet d’accéder au Firefox Marketplace ;
  • PDF.js a été mis à jour. De nombreux petits changements pour faire la mention de quelques uns. Nous vous invitons, pour les plus courageux, à lire la liste des changements.
Développeurs

De nombreux de petits changements sont à noter dans l’inspecteur :

  • « Propriétés du DOM » maintenant présent dans le menu contextuel de l’inspecteur ;
  • On peut maintenant inspecter les pseudos-éléments ::before et ::after ;
  • Onglet « Calculé » : survoler un sélecteur CSS surligne tous les nœuds qui correspondent ;
  • Moniteur réseau : vues pour les entêtes des requêtes/réponses.

On note aussi la prise en charge de l’extension WebGL EXT_blend_minmax.

Version Mobile

De son côté, la version mobile n'est pas en reste :

  • Amélioration du Mozilla's geolocation service (service de géolocalisation) en partageant les signaux Wi-fi et cellulaires. Activez cette fonctionnalité en ouvrant le menu Paramètres, section « Données collectées », paramètre « Service de localisation de Mozilla » ;
  • Les recherches via Bing se font maintenant en HTTPS ;
  • Boîte de recherche ajoutée aux pages d’erreur réseau ;
  • Utilisation du gestionnaire de téléchargements d’Android ce qui permet de voir aussi les téléchargements de Firefox dans l’application « Téléchargements » d’Android et le sélecteur de fichier.

Le breton et l’espéranto ont été ajoutés à la version mobile.

Un bug est connu pour Android 5.0 (Lollipop) qui empêche la lecture des fichiers MP3 depuis Firefox.

Versions suivantes

Pour Firefox 36, à ne pas confondre avec la version 3.6, avant-dernière version avant le passage au cycle rapide, nous verrons ces améliorations :

  • Les tuiles épinglées sur la page de nouvel onglet peuvent être synchronisées ;
  • Beaucoup de progrès HTML5.

Firefox 37 se concentrera sur le CSS et le Javascript.

Télécharger ce contenu au format Epub

Lire les commentaires

Atelier DHCP à Courbevoie le 17 janvier 2015

14 janvier, 2015 - 21:48

Un atelier DHCP, organisé par le GULL StarinuX, est prévu le samedi 17 Janvier 2015 de 9h30 à 17h, au 48 rue de Colombes 92400 Courbevoie (SNCF : gare de Courbevoie), salle vitrée n°8, étage 1A.

(il était initialement prévu le 27 décembre 2014 et reporté à cause des fêtes de fin d'année)

Créer votre serveur DHCP qui distribue automatiquement des adresses IP aux stations de son réseau et domaine. Envoyer la même n° IP vers une station déterminée selon son adresse MAC.

Une bonne occasion aussi de revoir ses classiques sur les réseaux !

Précision : comme à l'accoutumée une participation de 20 € annuelle est demandée (10 € demandeurs d'emploi). Elle est valable pour plus de 18 ateliers.

Télécharger ce contenu au format Epub

Lire les commentaires

Journée du Logiciel Libre à Moulins le 28 Février 2015

14 janvier, 2015 - 19:55

La médiathèque de Moulins dans l'Allier (03), propose une journée du Logiciel Libre, le samedi 28 Février 2015 de 10h30 à 18h, dans ses locaux situés Place du Maréchal de Lattre de Tassigny - 03000 Moulins.

La matinée sera consacrée à une discussion libre avec des utilisateurs du système GNU/Linux, et l'après-midi, ce sera install-party, découverte concrète d'Ubuntu, avec des démos de logiciels, des échanges. Vous pouvez apporter votre matériel.

Accès libre et gratuit, alors venez nombreux !

Télécharger ce contenu au format Epub

Lire les commentaires

Rendez-vous Python à Nantes le 27 janvier 2015 : Pyramid, générateurs et co-routines

14 janvier, 2015 - 12:12

Le 27 janvier 2015, à la cantine du numérique de Nantes, nous proposons aux passionnés ou simples curieux du langage Python un rendez-vous autour de deux petites conférences:

  • une introduction à Pyramid, un framework Python léger et pleinement compatible WSGI. Nous présenterons les principaux concepts du framework. Création de projet, dispatching contre traversing, rendu de template, sécurité, événements, intégration d'application WSGI tierce.

  • Générateurs & co-routines Durant cette présentation il sera question du langage Python en tant que tel et en particulier de deux concepts voisins : les générateurs, qui permettent une expression "paresseuse" et les co-routines, qui introduisent un style de programmation relativement méconnu. Après une présentation des aspects syntaxiques, nous pourrons échanger sur les cas d'utilisation possibles de ces concepts.

Le tout est en partenariat avec l'AFPY (Association Francophone Python).
Des meetups Python sont proposés tous les derniers mardis du mois, en alternant une fois sur un style conférence, l'autre sur un style BarCamp.

Télécharger ce contenu au format Epub

Lire les commentaires

[code] Trouver les erreurs

14 janvier, 2015 - 10:26

Le récent problème d'OpenSSL et de ses failles peut nous avoir rendu dubitatifs quant à la supposée meilleure qualité des logiciels libres.

Cette dépêche se veut un petit rappel sur ce qui impacte la qualité d'un programme informatique, et de ce que l'on peut en déduire pour la communauté libre, et open source.

Sommaire État des lieux des méthodes utilisées dans l'industrie

Depuis que l'informatique existe (soit environ 40 ans), les erreurs ont toujours existé. L'eau coulant sous les ponts, des méthodes informelles, puis formelles ont vu le jour : tests de non-régression, tests unitaires, revue de code informelle, prototypes, etc.

Ces dernières années, les tests unitaires se généralisent, et le programmeur moyen se sent bien plus à l'aise pour changer son code quand les tests unitaires disent que tout va bien.

Est-ce la panacée ? Est-ce suffisant ?

L'industrie s'est posé la question depuis longtemps (tels qu'IBM, Microsoft, la NASA, etc.).

Voici un graphique[1] récapitulant le taux d'erreurs détectées grâce à plusieurs méthodes (NdM: données antérieures à 2004). Les noms sont masqués dans le graphique, mais ils sont détaillés en dessous de celui-ci : cela permet de deviner et surtout d'être surpris :

A: Revues de conception (informel) B: Inspection de conception (formel) C: Revue de code (informel) D: Inspection de code (formel) E: Prototypage F: Vérification personnelle de code G: Tests unitaires H: Test d'une nouvelle fonction (ou d'un nouveau composant) I: Tests d'intégration J: Tests de régression K: Tests systèmes L: Béta test à faible volume (moins de 10 sites) M: Béta test à haut volume (plus de 1000 sites) Combien d'erreurs ?

À partir de combien d'erreurs peut-on dire qu'un logiciel est de bonne qualité ?

De manière générale, ce taux varie entre 1 et 25 défauts pour 1 000 lignes de code. La plupart des projets sont dans cette plage, mais certains projets sont mieux ficelés que d'autres : le taux de défauts au sein du code de la navette spatiale américaine est estimé à zéro sur 500 000 lignes de codes [2].

Répartition des erreurs

Avec de telles données, il est possible de supposer, en première approximation, qu'un projet a un niveau de défaut de dix pour 1 000 lignes de code. De fait, il semble naturel de penser qu'il y a sûrement un défaut de caché toutes les 100 lignes.

L'erreur de ce raisonnement est l'hypothèse d'équirépartition des erreurs, qui est malheureusement fausse. En effet, on retrouve l'adage du « 80/20 », c'est-à-dire que 80 % des défauts se retrouvent dans 20 % des classes ou fonctions [3].

Par exemple, Carpers Jones a identifié 31 classes sur les 425 du code de l'Information Management System d'IBM qui étaient un nid d'erreurs particulier. Elles ont été corrigées ou ré-écrites, ce qui a diminué les coûts de maintenance de 45 % et divisé par dix le taux de plaintes (pas juridiques) venant des utilisateurs.

Combos

Le graphique précédent montre que certaines méthodes sont meilleures que d'autres, tels qu'une bêta très distribuée, le prototypage, l'inspection de code formelle, l'inspection de la conception de manière formelle ou encore les tests unitaires.

Néanmoins, chaque méthode ne va pas détecter les mêmes défauts qu'une autre. Certaines ont des lieux communs, d'autres se complètent.

Conclusions

Grâce à ces quelques informations, on peut en tirer quelques conclusions pour les projets que l'on peut trouver dans la communauté.

Le projet écrit par une seule personne

Développer seul n'est pas simple, car la majorité des méthodes qui marchent le mieux demandent la participation d'autres personnes.
Néanmoins, prototyper son architecture (et le publier), ainsi que des tests unitaires permettent de se distinguer et de sauver les meubles (si la couverture des tests est proche de 100 %, en terme de lignes testées, non de fonctions).
Quelques utilisateurs peuvent également grandement améliorer le taux de détection d'erreurs, ce qui encourage à faire des versions assez rapidement.

Néanmoins, écrire des tests unitaires est gourmand en temps, pour un résultat plutôt contrasté : passer plus de temps à prototyper et écrire quelques tests mieux choisis est à considérer.

Le projet par une équipe réduite, mais viable (moins de 10 personnes)

En plus des points précédents, il devient possible de mettre en place une inspection de code formelle (basée sur des listes de choses à vérifier, avec retours d'information et amélioration des dites listes) sur la conception et le code. L'idée étant que l'algorithme est soumis aux autres, dont les retours sont pris en compte, de même avec le code.

Ce n'est pas forcément plus lent, puisque le nombre de défauts à corriger sera plus réduit par la suite et corriger tardivement est souvent long et coûteux [4].

Projets de grande envergure

C'est exactement pareil, mais les choses peuvent tourner plus facilement.

Code déjà écrit, tout le monde peut le lire !

La lecture de code déjà écrit n'est que très rarement aussi efficace que l'inspection formelle avant publication de code par plusieurs personnes. La NASA a déterminé que cela permettait de trouver environ 3 défauts par heure d'effort. On peut supposer qu'un programmeur moyen n'est pas aussi bon qu'un programmeur moyen de la NASA, ce qui tend à demander énormément de temps et d'envie.

Mais, l'histoire d'OpenSSL nous a montré que le temps et l'envie ne semblent pas vraiment être là, une fois le code écrit.

Fuzzing ou test de résilience

En sécurité informatique, il est possible de tester un logiciel dans des conditions non prévues lors de la conception et d'en observer le fonctionnement, c'est ce que l'on appelle des tests à conditions aléatoires, mais il peut être préférable de les nommer tests de résilience.

Tester la résilience d'un logiciel est relativement simple et ne demande pas d'en connaitre les moindres rouages, mais ce n'est pas toujours quelque chose de voulu. Voici deux exemples opposés qui permettent de comprendre que c'est plus un choix de conception, mais pas nécessairement une manière d'améliorer la qualité du code (cela reste un test automatique, avec ses avantages et défauts).

Firefox 35 vient de sortir, et tester sa résilience est bienvenu : si une page html est mal-formée, il est plus sain d'essayer de l'afficher tout de même, que de planter en perdant les onglets de l'utilisateur. De manière générale, les algorithmes de cryptographie se veulent résilients aux attaques et, pourquoi pas, aux défauts d'implémentation.

À l'opposé, une machine à découpe plasma a tout intérêt à s'arrêter si une donnée non conforme se présente : il en va de la sécurité de l'opérateur. De manière générale, dans le domaine de la médecine, il est préférable que le programme soit correct plutôt que résilient.

On voit ici la mise en exergue de ce que « qualité » signifie d'un projet à l'autre.

Mot de la fin

Cette dépêche vous apporte simplement quelques chiffres pour y voir plus clair dans le monde de la qualité des logiciels en général.

Pour en savoir plus, il vous est conseillé de lire « Code Complete » par Steve McConnel (en anglais).

Notes

[1] : Mise en forme de la table 20-2 de Code Complete par Steve McConnel, deuxième édition (2004). Les barres d'incertitudes représentent le minimum et le maximum d'erreurs détectées pour chaque méthode, ce qui n'est pas forcément symétrique (réalisé avec matplotlib)
[2] : d'après Fishman, en 2006
[3] : Endres 1975, Gremillion 1984, Boehm 1987b, Shull et al 2002
[4] : Code Complete par Steve McConnel, deuxième édition (2004), p. 474.

Télécharger ce contenu au format Epub

Lire les commentaires

Install Party le 14 janvier 2015 à Saint Jean en Royans (Drôme)

13 janvier, 2015 - 17:24

Rendez-vous mercredi 14 janvier 2015 à 20h dans les locaux d'Activ-Royans (29 Rue Pasteur à Saint Jean en Royans, voir OpenStreetMap) pour une Install Party de systèmes et solutions libres qui fait suite à la soirée "Liberté Numérique et Protection de la Vie Privée" organisée le 3 décembre 2014 par l'Université Populaire du Royans. Venez nombreux.

Télécharger ce contenu au format Epub

Lire les commentaires

Café Numérique le 17 janvier 2015 à la Médiathèque de Teyran

13 janvier, 2015 - 09:36

Montpel'libre vous propose un Café numérique à la médiathèque de Teyran , le samedi 17 janvier 2015 de 10h à 12h, pour découvrir et échanger sur les logiciels libres et plus précisément le système d’exploitation Linux.

Montpel'libre présentera le principe de l’installation en dual-boot, permettant de faire cohabiter deux systèmes d’exploitation sur un même ordinateur – Windows et Linux – de façon à pouvoir choisir l’un ou l’autre à chaque démarrage. Vous découvrirez également les principales distributions et environnements de bureau (Unity, Gnome, KDE, Xfce, LXDE, Cinnamon et MATE) disponibles sous Linux.

Si vous souhaitez sauter le pas et être accompagné pour installer ce nouveau système sur votre ordinateur, vous pourrez vous inscrire à l’install’party du samedi suivant.

Samedi 17 janvier 10h00 à 12h00
Médiathèque de Teyran - Place du ballon 34820 Teyran
Bus Hérault Transport ligne 111 au départ de Castelnau-le-Lez station G. Pompidou
GPS : Latitude : 43.683601 | Longitude : 3.925709

Télécharger ce contenu au format Epub

Lire les commentaires

Montpellier le 13 janvier 2015 : les journalistes et leurs sources face aux menaces électroniques

13 janvier, 2015 - 09:36

Après 20 ans de numérisation à marche forcée, le cyberespace est un espace autant d’expression et de création que d’infractions. Les journalistes, influenceurs de l’opinion publique et détenteurs de données sensibles, doivent tenir compte de l’impact négatif de cette numérisation sur la sécurité et la confidentialité de leurs échanges avec leurs sources.
Les risques concernant les journalistes et leurs sources ne sont pas uniquement situés sur leurs PC et Internet, mais aussi par exemple sur leurs smartphones.
Quels sont les risques techniques et juridiques ? La protection réside-t-elle dans l’éducation ?

Des présentations seront faites sur :

  • Les menaces juridiques et électroniques
  • Les bonnes pratiques et les contre-mesures juridiques et électroniques disponibles
  • Un atelier de mise en place de certains outils logiciels de sécurité : GPG, Jitsi…

Organisé par Montpel'libre
Mardi 13 janvier 2015 de 12h30 à 14h00
1, place du Nombre d’Or 34000 Montpellier
GPS Latitude : 43.608199 | Longitude : 3.887789
Tramway ligne 1, arrêt Antigone

Télécharger ce contenu au format Epub

Lire les commentaires

SmartLab aussi appelé DumbLab : un hackerspace à Limoges

13 janvier, 2015 - 08:04

Le hackerspace de Limoges, SmartLab aussi appelé DumbLab ouvre officiellement ses portes le vendredi 6 Février 2015 à 19 h 30.

Les principaux domaines qui intéressent le lab sont la sécurité informatique, les télécommunications et plus généralement l'électronique. Nous convions toutes les personnes intéréssées afin qu'elles puissent découvrir les locaux, le matériel ainsi que les projets du lab, poser des questions et pourquoi pas devenir membre :).

À cette occasion un apéro sera organisé dans nos locaux fraîchement rénovés. Rendez-vous donc le Vendredi 6 Février 2015 dans nos locaux situés impasse Daguerre.
N'hésitez pas à en parler autour de vous !

Pour tout renseignement, n'hésitez pas à consulter le site. Contact : smartlab.limoges@gmail.com

Télécharger ce contenu au format Epub

Lire les commentaires

Revue de presse de l'April pour la semaine 2 de l'année 2015

13 janvier, 2015 - 00:11

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

[paris-normandie.fr] Une journée pour le web libre

Par Lucie Aubourg, le vendredi 9 janvier 2015. Extrait:

Bienvenue dans «l’univers du libre». Cette dénomination englobe simplement «l’ensemble des démarches liées aux initiatives non propriétaires et non lucratives du web.» Tony Gheeraert, vice-président chargé du numérique à l’université de Rouen, s’est donné pour mission de sensibiliser le public à cette question qui lui «tient à cœur».

Lien vers l'article original: http://www.paris-normandie.fr/detail_communes/articles/2273354/une-journee-pour-le-web-libre#.VLLv5P3JOO4

[infoDSI] Les professionnels de la sécurité informatique font plus confiance à des solutions de collaboration open source qu’à des solutions propriétaires

Par Olivier Thierry, le jeudi 8 janvier 2015. Extrait:

Selon un mythe ancien, les logiciels open source seraient fondamentalement risqués car ils déchargent les fournisseurs de toute responsabilité. On croit de façon générale que l’open source est synonyme d’une «bande de joyeux développeurs». Une autre perception, un peu plus positive, est que l’on peut faire confiance à la communauté des développeurs jusqu’à un certain point, et que l’open source est destinée aux personnes ayant un souci financier et disposées à échanger l’aspect sécuritaire contre l’aspect économique.

Lien vers l'article original: http://www.infodsi.com/articles/153291/professionnels-securite-informatique-font-plus-confiance-solutions-collaboration-open-source-solutions-proprietaires-olivier-thierry-chief-marketing-officer-zimbra-specialiste-open-source.html

Et aussi:

[vousnousils] Les serious games à la maternelle: un jeu d’enfant!

Par Fabien Soyez, le mercredi 7 janvier 2015. Extrait:

Apprendre en s'amusant, avec les jeux sérieux? Cela commence dès la maternelle. Témoignage d'un professeur des écoles qui utilise, avec succès et lucidité, une série de jeux ludo-éducatifs avec sa classe.

Lien vers l'article original: http://www.vousnousils.fr/2015/01/07/les-serious-game-a-la-maternelle-un-jeu-denfant-559573

Et aussi:

[Numerama] Offre Libre: un label pour les vrais professionnels du logiciel libre

Par Guillaume Champeau, le mercredi 7 janvier 2015. Extrait:

L'Association Francophone des Utilisateurs de Logiciels Libres (AFUL) lance un label "Offre libre" pour distinguer les offres commerciales qui respectent parfaitement l'esprit du logiciel libre, qui ne se résume pas à l'utilisation de technologies open-source.

Lien vers l'article original: http://www.numerama.com/magazine/31792-offre-libre-un-label-pour-les-vrais-professionnels-du-logiciel-libre.html

Et aussi:

[NetPublic] Informatique libre et éco-gestes: Guide pratique par l'EPN de Bédoin

Par Jean-Luc Raymond, le lundi 5 janvier 2015. Extrait:

L’EPN ERIC (Espace Régional Internet Citoyen) ECG de la MJC de Bédoin (Vaucluse) outre son offre d’accompagnement au numérique: formations informatiques tous publics et aide à la démocratisation des logiciels libres, s’est également une spécialité de la promotion pour une informatique éco-responsable.

Lien vers l'article original: http://www.netpublic.fr/2015/01/informatique-libre-et-eco-gestes-guide-pratique

[Le Monde.fr] Le Chaos Communication Congress, place forte de la contre-culture numérique

Par Martin Untersinger, le samedi 3 janvier 2015. Extrait:

Le grand rassemblement de hackeurs et d’experts en sécurité informatique fête cette année ses trente ans.

Lien vers l'article original: http://www.lemonde.fr/pixels/article/2015/01/03/le-chaos-communication-congress-place-forte-de-la-contre-culture-numerique_4548903_4408996.html

Et aussi:

Télécharger ce contenu au format Epub

Lire les commentaires

Conférence : PHP, Internet et Libertés, le 29 janvier 2015, à Reims

13 janvier, 2015 - 00:01

L'association ExiaTux vous invite à une série de conférences le jeudi 29 janvier 2015 :

  • 15 h 00 : Informatique et Libertés par Benoît Ansieau :
    Aujourd'hui avec nos ordinateurs, serveurs, téléphones, tablettes, objets connectés,… l'expression de nos libertés devient de plus en plus dépendante des outils informatiques.

    • Ces outils sont-ils en mesure de nous assurer ces libertés ?
  • 17 h 00 : PHP : Un projet libre par Remi Collet :
    Fonctionnement d'un important projet Open Source :

    • pour les utilisateurs
    • pour les contributeurs
    • pour les développeurs
    • aperçu de PHP 7

Rendez-vous au centre CESI de Reims
7 bis avenue Robert Schuman
51100 Reims
France

Tramway A (Direction Hôpital Robert Debré) ou B (Direction Gare Champagne TGV) : Arrêt Kennedy

Télécharger ce contenu au format Epub

Lire les commentaires

Compilation de logiciels libres pour Windows

12 janvier, 2015 - 11:44

Une nouvelle compilation de logiciels libres pour Windows est disponible. Plus de 60 logiciels libres ont été sélectionnés en suivant autant que possible ces critères :

  • richesse fonctionnelle ;
  • licence(s) libre(s), de préférences copyleftées et compatibles avec les licences GNU ;
  • logiciels existants sous Windows, GNU/Linux, Mac OS X ;
  • pérennité du logiciel : développement actif, communauté importante ;
  • utilisation de langages et de bibliothèques indépendantes de Windows ;
  • version française.

NdM : il faut l'acheter pour connaître la liste des logiciels libres concernés et les versions présentes ; cette liste est prévue pour évoluer.

Les logiciels sont distribués avec l’installeur COMPILIBRE qui :

  • affiche la liste des logiciels, triés par catégories ou par ordre alphabétique ;
  • affiche la description de chaque logiciel ;
  • permet de copier ou d’installer chaque logiciel sur son ordinateur, en suivant les instructions d’installation ;
  • permet de consulter le site web de chaque logiciel ;
  • affiche des documentations ou permet de les copier sur son ordinateur.

Avant d’être ajouté dans la compilation, chaque logiciel a été installé sur une version originale et à jour de Windows XP Pro et de Windows 7, dans VirtualBox. Cela a permis de vérifier les dépendances (Ghostscript, Visual C++ 2008, 2010, 2012, 2013, Java, .NET…) en 32 ou en 64 bits, de choisir les paramètres d’installation, de vérifier le bon fonctionnement du logiciel et de connaître les paramétrages indispensables avant de l’utiliser (choix de la langue par exemple). Toutes ces informations sont ajoutées dans la compilation, ce qui garantit une installation réussie des logiciels et fait gagner beaucoup de temps.

Si vous cherchez un prestataire pour une formation ou du développement de logiciel libre, la compilation inclut des annuaires des Entreprises du Numérique Libre (uniquement en Lorraine pour l’instant).

Vous pouvez acheter la compilation sur Prof Tux ou sur Libre-Shop, en téléchargement ou sur une clé USB. Cette version sera mise à jour en permanence. Il est notamment prévu de remplacer Java par OpenJDK dans les logiciels distribués.

Vous pouvez aussi proposer d’autres logiciels et aider à améliorer l’installeur COMPILIBRE (programmation, graphisme, traductions…). Vous pouvez aussi faire un don, ce qui permettra de rémunérer un stagiaire en développement informatique lorsqu’il y aura assez de dons. Lors du stage, il sera notamment prévu de remplacer MySQL par SQLite ou par un autre système de stockage de données plus portable, de faciliter l’internationalisation et d’intégrer Raptor Editor.

Si vous souhaitez avoir une compilation de logiciels libres personnalisée, écrivez à david.vantyghem@free.fr. Dans l’avenir, le système ReactOS sera aussi pris en compte.

Télécharger ce contenu au format Epub

Lire les commentaires

L'université de Rouen organise sa 1ère tribune du libre le 16 janvier 2015

11 janvier, 2015 - 22:08

L'université de Rouen organise la 1ère Tribune du libre, le vendredi 16 janvier au Technopôle du Madrillet (Rouen).

Lieu : UFR Sciences et techniques (Amphi B) Technopôle du Madrillet - St-Etienne du Rouvray

Pour les personnes ne pouvant y assister, une diffusion podcast est prévue sur le portail vidéo de l'université : webtv.univ-rouen.fr

Le programme comprend :

  • une première session « la conquête de la liberté » avec des intervenants de l'université, de l'April et de Wikimédia France
  • une seconde session « le Libre en action » avec des intervenants de l'université, de RotomaLUG, et de l'AFUL.

Télécharger ce contenu au format Epub

Lire les commentaires