Syndiquer le contenu
Mis à jour : il y a 3 heures 13 min

GnuPG utilisé, GnuPG oublié, mais GnuPG financé

7 février, 2015 - 23:24

Il s'est passé quelque chose d'assez extraordinaire ces derniers jours pour GnuPG, alors j'aimerais en parler pour que tout le monde soit au courant.

Sommaire Historique L'origine

C'est en 1991 que Philip Zimmerman (rien à voir avec le français Jérémie) écrit PGP, un logiciel permettant de chiffrer et déchiffrer les conversations entre personnes. À ma connaissance (et Wikipedia ne m'aide pas là-dessus) il n'existait pas de logiciel disponible au grand public permettant de le faire; il s'agissait donc d'une petite révolution, d'autant plus que le logiciel était gratuit, donc utilisable par tout le monde sans restriction.

L'enquête

Cela lui a d'ailleurs valu une enquête en 1993 par le gouvernement américain, parce que la "force" du chiffrement (128 bits minimum) était supérieure à la "force" maximale autorisée (40 bits à l'époque), enquête qui s'achève en 1996 sans suite (lire l'anecdote croustillante sur la technique utilisée par Philip pour contourner cette loi…)

Les évolutions jusqu'à la gloire

Après l'enquête, Philip a monté une boîte pour continuer le développement de PGP. Problème, certains algorithmes (RSA, par exemple) étaient couverts par des brevets, il y avait donc un risque de se faire attaquer en utilisant le logiciel… Philip a donc, avec sa boîte, proposé une spécification ouverte du fonctionnement de PGP sans aucun algorithme couvert par ces brevets, aboutissant à OpenPGP (je référence volontairement la dernière version, pas la version originale), une RFC tout ce qu'il y a de plus standard pour rester dans la transparence. Quelque temps après Stallman a fait une conférence en Allemagne, dans laquelle il a appelé tout le monde à créer une implémentation libre de ce protocole… ce qu'a fait un certain Werner Koch, présent dans l'assistance ce jour-là. C'est ainsi que GnuPG est né.

Les événements récents

GnuPG aura donc 18 ans cette année, et il aura vécu une vie assez tourmentée. Werner a lutté, plus ou moins seul, année après année pour maintenir un logiciel (qui est devenu un ensemble de logiciel) fonctionnel, gratuit, libre, le tout en vivant de dons et de contrats temporaires. Pas la joie. Il s'est même un jour posé la question d'arrêter, puis Snowden est arrivé avec ses révélations lui donnant le courage de continuer, et même de lancer une campagne de financement… qui lui rapportera au final même pas de quoi continuer pendant une année (~18 000 euros).

Son histoire et ses déboires sont racontés dans un article de propublica au titre quelque peu provocateur mais efficace: on y apprend que Werner a porté ce projet à bout de bras depuis le début et que le manque d'argent n'avait pas réussi à ébranler sa motivation, jusqu'à récemment.

Article publié le 5 février avec la discussion Hacker News associée dans la même journée. À ce moment-là le compteur de dons de GnuPG en est à même pas 40 000 euros, alors que la page explique qu'il faut au moins 120 000 euros pour payer les deux développeurs à temps plein nécessaire pour le bon fonctionnement de GnuPG. Mais grâce au passage sur HN, on assiste à quelque chose qui fait chaud au coeur:

  • la barre se remplit en même pas une journée.
  • la Core Infrastructure Initiative décide de donner 60 000 dollars à GnuPG (note: le contrat était signé avant l'article, mais divulgué seulement après)
  • Facebook et Stripe décident chacun de verser 50 000 dollars chaque année à GnuPG
La Core Infrastructure Initiative

Petit aparté: cette Initiative a été montée suite à Heartbleed par quelques grandes boîtes qui ont voulu payer pour assurer la survie de protocoles ultra-importants pour la sécurité: NTP, OpenSSH et OpenSSL. Il semble qu'ils ne considèrent pas GnuPG comme une brique importante de sécurité (privacy, peut-être, mais pas sécurité) ce qui l'empêche d'être inclus dans les bénéficiaires, mais heureusement pour tout le monde ils ont fait une exception temporaire ici.

La suite

Tout va bien dans le meilleur des mondes, donc: GnuPG est financé pour plus d'une année ! Mais est-ce que tout va vraiment bien ? Il aura fallu un nombre d'années de galère et un article évoquant presque la fin de GnuPG pour que les gens se bougent et donnent suffisamment (il y avait quand même eu une campagne de dons juste avant!). On se rappellera :

Tout s'est bien fini à chaque fois, mais est-ce qu'il y a vraiment besoin de pousser une gueulante, au point de menacer de fermer si les gens ne paient pas ? N'y a-t-il pas un moyen suffisamment simple pour connecter ceux qui demandent et ceux qui sont prêts à donner ne serait-ce que 10 euros par an ? J'ai pas eu l'occasion de bien tester Flattr, mais ça m'a l'air d'être une bonne chose pour les gens qui ont la flemme de sortir leur CB pour donner une petite somme, ou pour les créateurs qui ne veulent pas passer la moitié du peu de temps qu'ils ont dans de l'administration de comptes et de paiements. Je sais pas s'il y a des alternatives (notamment je sais que les associations préfèrent des abonnements réguliers aux dons ponctuels, parce que ça leur permet de prévoir et de planifier), mais on dirait que c'est quelque chose qui manque.

En bref, encore un projet sauvé par la générosité des internautes, mais combien de temps ce système pourra-t-il tenir ?

Note: Ce contenu est placé sous licence CC0

Télécharger ce contenu au format Epub

Lire les commentaires

NSA - À propos de BULLRUN

5 février, 2015 - 15:34

Voici la suite des « études » des leaks (fuites) de Snowden menées pour NSA-Observer. Dans cet article, nous allons revenir sur les révélations du Spiegel datant de fin décembre lors du 31c3 (Chaos Computer Congress) et du 17 janvier 2015 portant sur les moyens offensifs de la NSA ainsi que d'autres agences concernant la cryptographie.

La conférence « Reconstructing narratives » de Laura Poitras et Jacob Appelbaum présentant ces documents est visible ci-dessous (mais aussi sur le site du CCC) :

BULLRUN, qu'est ce que c'est ?

BULLRUN est un « programme » de la NSA exploitant différents moyens pour accéder à du contenu chiffré. Le New York Times avait abordé le sujet fin 2013 dans son article « Secret Documents Reveal N.S.A. Campaign Against Encryption » mais sans aucun détail (comme The Guardian ou encore propublica).

Sommaire Historique

On savait, à l'époque, que l'on pouvait distinguer en simplifiant trois méthodes utilisées par la NSA utilise pour pouvoir accéder à du contenu chiffré. La première méthode utilise les mathématiques, c'est-à-dire trouver de nouvelles méthodes pour réussir à casser un algorithme (par exemple pour « casser » RC4).

La deuxième méthode permet « simplement » d'accéder aux clés privées de la cible (pouvant être aussi bien une personne qu'une multinationale) ou aux informations demandées. On arrive là dans un ensemble d'autres programmes, un des plus secrets de la NSA (classification est « CORE SECRETS »). On trouve dans les documents, que les agents peuvent être sous couverture dans une entreprise (qu'elle soit américaine ou étrangère), ou encore que le programme TAREX (pour TARget EXploitation) conduit des opérations clandestines aussi bien SIGINT (renseignement d'origine électromagnétique) qu'HUMINT (renseignement humain) partout dans le monde pour exploiter des systèmes via différents moyens : « off net-enabling » (activité clandestine ou sous couverture sur le terrain), « supply chain-enabling » (modifier des équipements directement dans la chaîne logistique ou via le détournement de livraisons) et « hardware implant-enabling » qui semble regrouper un peu des deux précédents.

Les États-unis ne sont évidemment pas obligés de passer par ce genre d'opérations pour obtenir ce qu'ils veulent de leurs entreprises, il existe le « Foreign Intelligence Surveillance Act » (FISA) et les « lettres de sécurité nationale » qui sont des requêtes contraignantes et qui peuvent obliger une entreprise à permettre un accès à quelque chose en ayant l'obligation de ne pas en parler.

Ainsi, en 2013, l'entreprise Lavabit décida de fermer plutôt que de donner sa clé privée SSL/TLS au FBI, le tribunal la menaçait d'une amende de 5000 € par jour de retard. Lavabit hébergeait les mails d'Edward Snowden parmi ses 400 000 utilisateurs.

En 2008, Yahoo a été menacé d'une amende de 250 000 $ par jour de retard s'il ne donnait pas des données d'utilisateurs à la NSA.

La troisième méthode consiste à mettre en place ou profiter d'une mauvaise implémentation, comme le générateur de nombre aléatoire Dual_EC_DRBG, qui pourrait permettre, par exemple, de lire des flux SSL/TLS. Une méthode complémentaire consiste à payer une entreprise pour qu'elle utilise quelque chose en particulier, la NSA a payé 10 millions de dollars à l'entreprise RSA, pour utiliser Dual_EC_DRBG dans certains de ses produits (comme BSAFE).

Ainsi, la NSA (et sans doute les autres agences) a activement travaillé à insérer des vulnérabilitées dans des produits commerciaux, des réseaux (par exemple en se connectant à un routeur pour diminuer la crypto d'un VPN), des protocoles (vous pouvez lire les spéculations de John Gilmore sur la NSA et IPsec) ou directement sur des périphériques de cibles.

Le New York Times rapporte qu'en 2006, la NSA avait réussi à pénétrer les communications de trois compagnies aériennes, un système de réservation de voyages, un programme nucléaire d'un gouvernement étranger en craquant les VPNs les protégeant, et en 2010, EDGEHILL (l'équivalent Britannique de BULLRUN) avait réussi à "déchiffrer" le traffic de 30 cibles.

À propos de configurations

Pour ce que l'on en sait, il suffit d'une bonne configuration pour résoudre la majorité des problèmes (à noter tout de même : les documents datent de 2012, et énormement de choses ont pu changer depuis (Heartbleed, Poodle, nouvelles failles, etc).

SSL/TLS

Le cryptographe Matthew Green a fait un article sur les différents moyens que la NSA a pour "casser" SSL/TLS. Selon lui, la NSA peut utiliser plusieurs méthodes :

Bonnes pratiques :
  • dans la mesure du possible, centraliser la configuration SSL/TLS pour un logiciel sur le serveur : pour Apache 2, par exemple, vous pouvez mettre votre configuration (SSLCipherSuite…) dans /etc/apache2/mods-available/ssl.conf (pour Debian et ses dérivées), cette conf sera alors active pour l'ensemble de vos vhosts, et il faudra donc la changer uniquement en cas de besoin (et non vhost par vhost, au risque d'en oublier) ;
  • disposer d'une clé RSA égale ou supérieure à 2048 bits ;
  • utiliser des courbes elliptiques ;
  • activer Forward Secrecy ;
  • utiliser SSLHonorCipherOrder on ;
  • enlever les algorithmes de chiffrement faibles, obsolètes, voire dangereux (par exemple DES et RC4) ;
  • ne plus utiliser SSLv3, et s'assurer par la même occasion que SSLv2 est bien mort et enterré (SSLProtocol all -SSLv2 -SSLv3 pour Apache2 par exemple), TLSv1 est aujourd'hui le minimum acceptable ;
  • désactiver la compression, pour éviter l'attaque CRIME.

Pour vous aider dans la configuration de votre serveur web, vous pouvez utiliser le site JeVeuxHTTPS, et bien entendu le désormais célèbre SSL Labs qui permet de tester sa configuration.

Des outils comme sslscan, xmpp.net (XMPP/Jabber), StartTLS.info (mails) peuvent aussi être utiles.

SSH

La seule trace du terme backdoor dans les documents à propos d'openSSH est en fait un rootkit, ce qui signifie qu'il FAUT avoir réussi à rentrer dans le serveur et à être root pour pouvoir modifier le binaire et permettre l'accès à une clé ou à un mot de passe. À noter que cette modification empêche de voir les connexions « pirates » de ces comptes dans les logs.

Un problème concernant SSH pourrait être l'utilisation d'algorithmes de chiffrement obsolètes. Vous pouvez vérifier ceux proposés par votre serveur avec la commande ssh -vvv pour vous connecter. Une connexion sur un serveur donne quelque chose ressemblant à ceci comme résultat :

ssh -vvv skhaen@exemple.com [...] kex_parse_kexinit: ssh-rsa,ssh-dss kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-256-96,hmac-sha2-512,hmac-sha2-512-96,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96 [...]

Arcfour est en fait un autre nom de RC4, qui pour le coup est cassé depuis un moment. La version 6.7 d'OpenSSH le supprime, et Microsoft recommande de le désactiver depuis 2013.

Pour améliorer la configuration de votre serveur SSH (il n'y a pas que le choix des algorithmes de chiffrement), vous pouvez vous référer aux trois articles ci-dessous. Faites très attention avant toutes modifications, elles peuvent vous empêcher de vous (re)connecter à votre serveur !

IPSec

Concernant IPSec et comment mieux le configurer, vous pouvez vous référer à l'article de Paul Wouters « Don’t stop using IPsec just yet » (en espérant que le problème se trouve bien là).

On peut résumer cet article en deux principales recommandations :

  • utiliser Perfect Forward Secrecy : pfs=yes ;
  • éviter les PreSharedKeys : authby=secret.
Je peux utiliser quoi alors ?

Il ne faut surtout pas tomber dans le piège « on est tous foutus, rien ne marche, on ne peut rien faire » : ce n'est absolument pas le cas. Dans les bonnes nouvelles, nous avons aussi la preuve que Tor, OTR, GPG, TAILS et Redphone sont sûr (du moins en 2012 ;-)).

  • Trivial : suivre le parcours d'un document sur Internet ;
  • mineur : enregistrer un chat privé sur Facebook ;
  • modéré : décrypter un email envoyé via le service de messagerie russe mail.ru ;
  • majeur : utiliser des services comme Zoho (?), Tor, TrueCrypt ou OTR ;
  • catastrophique : utiliser plusieurs protocoles en même temps, par exemple faire passer de la VoIP utilisant ZRTP par le réseau TOR, le tout à partir d'un ordinateur sous Linux.

On notera avec beaucoup d'intérêts qu'il n'y a aucune trace de logiciels commerciaux (bitlocker…) dans les documents.

  • Tor est un logiciel libre qui, grâce à une technique de routage en oignon, permet d’anonymiser les connexions sur Internet ;
  • OTR permet de chiffrer des communications, en particulier sur XMPP/Jabber, ne pas hésiter à l'utiliser avec du SSL/TLS par dessus.

  • GPG permet de chiffrer un mail, un fichier ou un dossier entier ; il permet aussi de signer un fichier (ou un mail) pour s'assurer de son authenticité.

  • TAILS est un système d'exploitation live, que vous pouvez démarrer, sur quasiment n'importe quel ordinateur, depuis un DVD, une clé USB, ou une carte SD. Son but est de préserver votre vie privée et votre anonymat, et de vous aider à utiliser Internet de manière anonyme et contourner la censure (toutes les connexions sortantes vers Internet sont obligées de passer par le réseau Tor).
  • Redphone est une application pour Android qui permet d'avoir des conversations chiffrées (on peut aussi s'intéresser à Textsecure, application Android de la même entreprise pour chiffrer les SMS).

Dans un autre document, le logiciel Truecrypt est aussi considéré comme « solide », il ne reste plus qu'à attendre que son fork soit prêt pour enfin pouvoir le réutiliser.

Le point commun de tous ces logiciels ? Ce sont des logiciels libres.

Les documents sont disponibles sur le site du Spiegel :

Télécharger ce contenu au format Epub

Lire les commentaires

Huitième rencontre du PostgreSQL User Group à Paris le 5 février 2015

4 février, 2015 - 12:47

Le groupe de rencontres PostgreSQL de Paris anime des mini-conférences en semaine et en soirée (de 18h à 21h), pendant lesquelles nous partageons nos expériences autour de notre système de base de données favori.

Cette huitème rencontre aura lieu ce jeudi 5 février de 18 à 23h, dans les locaux de la société eNovance (11bis rue Roquepine, 75008 Paris).

Nous avons la salle, eNovance nous fait le plaisir de nous accueillir jeudi soir dans leurs locaux.

Le sponsoring du Buffet est assuré par l'association PostgreSQL.FR, un grand merci à eux !

Les propositions de talk sont acceptées, merci de vous déclarer si vous voulez nous présenter votre cas d'usage de PostgreSQL ou bien un point technique qui vous passionne !

Le planning prévisionnel est le suivant :

- de 18h à 19h : apéritif d'accueil (avec choix de boissons non alcoolisées et bières, traditionnellement, le sponsor pouvant être créatif) ;
- 19h : ouverture du buffet (traditionnellement, pizza, mais il y a des adresses pour faire différent) ;
- 19h30 : présentation de la soirée et de ses sponsors ;
- 19h40 : premier talk ;
- 20h : « migrating to PostgreSQL, the new story », par Dimitri Fontaine.

Venez nombreux !

Télécharger ce contenu au format Epub

Lire les commentaires

The Incredible Automation Day, le jeudi 19 mars 2015 à Paris

4 février, 2015 - 12:08

« The Incredible Automation Day » est le premier événement dédié à l’automatisation IT dans le but de rassembler dev et ops pour créer un espace d’échange et de discussion autour de l’innovation et l’automatisation.

Date : Jeudi 19 mars 2015 de 09:00 à 17:00 (Heure : France)
Lieu : Pan Piper, 2-4 Impasse Lamier, 75011 Paris, France

Au programme, 15 intervenants, 9 labs soit 480 minutes consacrées à l’automatisation et l’innovation.
Mitchell Hashimoto (Vagrant, Packer…), Christine Ebadi (D2SI Icelab) et Jérôme Petazzoni (Docker) ouvriront le bal (et non la BaL) durant la matinée et l'après-midi sera consacrée aux ateliers, présentations, démos et "hands-on-labs".

Dev ou Ops ou même curieux, vous êtes la bienvenue, ce ne sera pas "que technique".

Télécharger ce contenu au format Epub

Lire les commentaires

Sortie de la version 6.8 de Noalyss

4 février, 2015 - 12:01

Noalyss est un ERP complet, il comprend non seulement la comptabilité, la comptabilité analytique mais aussi la gestion (suivi client, suivi de fournisseur, stock, prévision) et même la liaison entre le suivi et les opérations comptables. Il est facile de faire correspondre plusieurs opérations comptables avec toute une série d'actions comme le bon de commande, la livraison, etc. Afin de faciliter le suivi, les actions de gestion (courrier, devis, bons de commande…) peuvent aussi avoir des tags afin de les classer.

Pour cette version, l'accent a été mis sur l'ergonomie, beaucoup de choses sont beaucoup plus simples à réaliser, comme l'activation de plugin, la reprise de l'inventaire, la recherche de fiche par poste comptable. Comme à chaque version majeure, les greffons ont du être adaptés et ont été améliorés.

Noalyss est publié sous licence GPLv2, c'est le nouveau nom de PHPcompta.

De façon plus complète, on peut citer comme nouveautés :

  • possibilité d'avoir plusieurs contacts ou compagnies dans le suivi ;
  • simplification des ajouts de plugins, ceux-ci sont fournis avec un fichier XML et les activer pour un profil ne demande plus qu'un seul clic ;
  • reprise de la situation des stocks de l'année précédente pour encoder les stocks ;
  • TVA Non payée (autoliquidation, intracommunautaire, NPR) n'apparaît plus dans les différents fichiers de journaux, le montant TVAC ne le tient pas en compte,(c'est uniquement à l'affichage) ce qui améliore la lisibilité, cependant elle reste visible dans le détail ainsi que dans les exports CSV ;
  • ajout des scénarios afin de déboguer et tester plus facilement ;
  • utilisation des clefs analytiques, celle-ci sont configurables par journaux ;
  • simplification de l'encodage des banques, en rapprochant avec une opération existante, le client ou le fournisseur est mis à jour automatiquement.

Améliorations :

  • amélioration des thèmes ;
  • amélioration des détails opérations, simplification pour changer la comptabilité analytique ;
  • la comptabilité analytique peut fonctionner de manière croisée ou parallèle ;
  • la génération de document dans le suivi permet maintenant d'inclure le titre de l'action ;
  • vérification plus complète de la comptabilité ;
  • recherche des fiches par poste comptable ;
  • traduction vers l'anglais des interfaces ;
  • meilleure prise en charge pour les tablettes.

Plugins (greffons) :

  • amortissement : export des tableaux en PDF, ajout des opérations dans le suivi ;
  • facturation : apparence, meilleure apparence pour la TVA autoliquidé, ajout dans le suivi ;
  • import des banques : complétion automatique du client grâce au rapprochement ;
  • outil comptable : export en CSV de toutes les opérations, ce fichier peut être donné à votre comptable pour qu'il l'intègre dans son logiciel .
Télécharger ce contenu au format Epub

Lire les commentaires

Concours de programmation multijoueurs CodinGame le 6 Février 2015

4 février, 2015 - 10:00

Le 6 Février prochain à 18h (heure de Paris), CodinGame lancera son prochain challenge de programmation en ligne multijoueurs « The Great Escape ».

Gratuite et ouverte aux développeurs du monde entier, la compétition se déroulera sur deux semaines (24h/24). Objectif : coder l'intelligence artificielle la plus efficace pour s'échapper d'un labyrinthe tout en piégeant ses ennemis.

Les participants pourront tenter de décrocher les lots offerts aux meilleurs du classement, ou candidater pour des emplois ou des stages auprès des sociétés sponsors de l'évènement.

Les développeurs de tous niveaux sont les bienvenus : pas besoin d'être un expert en IA pour se faire plaisir !

Les modalités de participation sont les suivantes :

  • participation en ligne et gratuite ;
  • 20 langages de programmation disponibles (C/C++, C#, Java, Javascript, PHP, Python, Python 3, Perl, Go, Dart, Scala, Haskell, Objective-C, Pascal, Ruby, Bash, Groovy, Clojure, VB.NET) ;
  • prix à gagner : GoPro 4, iPad Mini, et t-shirts ;
  • sponsors proposant des postes : Nintendo, Ubisoft, Zenika…
Télécharger ce contenu au format Epub

Lire les commentaires

Projet d'album d'autocollants (style Panini) d'assos et projets libristes pour geeks libristes

3 février, 2015 - 17:08

Nous sommes de nombreux geeks à avoir le vice du sticker. Nos ordinateurs peuvent en témoigner. Et si on faisait un chouette album style Panini, pour coller ses stickers associatifs, encourager les geeks à se rencontrer et récolter de l'argent pour un projet libriste ? Et par dessus tout, pour se faire plaisir.

Pour cela nous organisons une grande collecte de fichiers sources et nous avons besoin de vous : envoyez les fichiers sources des stickers de vos assos libristes à operationpanini [CHEZ] ldn-fai.net avec les dimensions des stickers une fois imprimés.

PS : Nous allons envoyer les nôtres ce soir ! Proposez nous dans les commentaires d'ici dimanche 8 février 2015 8h00 une photo de votre ordinateur portable avec un autocollant LinuxFr.org dessus (ça fonctionne aussi avec une photo de votre bureau, tour, écran, etc.). La plus sympa retenue par l'équipe du site gagne un livre !

Les RMLL, FOSDEM, Capitole du Libre, Solutions Linux; Libres et Open Source, Open World Forum et autres sauteries geeks sont souvent l'occasion d'attraper toujours plus des stickers, qu'on aime se refiler et coller un peu partout. Certains vont jusqu'à recouvrir l'intégralité du capot de leur PC, avec plusieurs couches si nécessaire. Finalement, il ne manque plus qu'un album style Panini pour les Geeks, pour les collectionner joyeusement. Et on aimerait bien proposer ça :).

Objectifs du projet :

  • inciter les communautés de libristes à se rencontrer, au moins histoire de terminer une page de l'album ;
  • faire connaître les assos ;
  • en profiter pour récolter de l'argent en margeant sur le prix de l'album, pour un projet libre (qui reste à déterminer, mais l'objectif n'est pas de financer LDN, qui est à l'initiative du projet) ;
  • s'amuser !

L'album sera évidemment libre, et les stickers des assos sont généralement gratuits.

Ça concerne toutes les associations ou conférences autour de la culture libre, qu'elles soient connues ou pas, du moment qu'elles ne sont pas trop éphémères. Pourquoi pas une double-page LUG de France ?

Pour faire participer une association, envoyez vos fichiers sources de stickers à operationpanini [CHEZ] ldn-fai.net, avec les dimensions des stickers une fois imprimés.

Plus d'infos

Télécharger ce contenu au format Epub

Lire les commentaires

Se passer de Dropbox en montant son coffre-fort numérique à la maison

3 février, 2015 - 09:13

Se passer de Dropbox en montant son coffre-fort numérique à la maison, pour moins cher qu'un LaCie, Pour cette recette il vous faut

  • un mini-ordinateur silencieux (OlinuXIuno par exemple, 45 €)
  • un petit routeur-wifi (le boitier ADSL de votre opérateur fait l'affaire)
  • 2 x 2 To de disque dur en SATA (du gros plateau qui gratte, c'est moins cher)
  • un socle USB avec deux emplacement SATA (30 €)
  • une connexion Internet
  • votre ordinateur de travail, et éventuellement celui d'un second utilisateur

Temps de préparation : 1h
Temps de cuisson : 2 jours pour la synchronisation initiale des disques
Coût de revient : 50 % du prix d'un boîtier commercial et propriétaire de même capacité

La recette Commandez un OLinuXino, par exemple le LIME2, ou autre (cubieboard, arduino, raspberry PI…)

Avec éventuellement, une batterie, et une carte mémoire pré-configurée avec un système Debian dessus…

Ajoutez-y un socle USB pour deux disques dur SATA Préparez l'OlinuXIno en mode serveur web comme détaillé ici par GuiGui

Et surtout, changer les mots de passe par défaut des utilisateurs.

Partitionnez et assemblez les deux disques en RAID 1

sudo cfdisk /dev/sda # créer une partition de toute la taille, de type 0xfd

Idem pour /dev/sdb. En cas de besoin, une documentation est disponible en français : http://doc.ubuntu-fr.org/raid_logiciel

Créez le tableau RAID1

sudo mdadm --create /dev/md0 --level=1 --raid-disks=2 /dev/sda1 /dev/sdb1

Chiffrez le tout

sudo cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 /dev/md0

Il faut bien retenir le mot de passe qu'on choisi là. En cas de besoin, une documentation plus détaillée est disponible en français ici : http://doc.ubuntu-fr.org/cryptsetup

Ouvrez, formatez et montez le disque

sudo cryptsetup luksOpen /dev/md0 luks-md0
sudo mkfs.ext4 /dev/mapper/luks-md0
sudo mkdir /mnt/md0
sudo echo "/dev/mapper/luks-md0 /mnt/md0 auto default 0 1" >> /etc/fstab
mount /mnt/md0

Émincez votre boîtier modem/routeur ADSL grossièrement

Pour rediriger le port 22 (ou 443 au choix) vers l'OlinuXIno.

Configurez votre machine Au moulin à fstab

Pour vous pour monter localement le répertoire de votre OlinuXIno via sshfs :
sudo echo "sshfs#$USER@oli:/mnt/md0 /mnt/oli fuse defaults,users,noauto 0 0" >> /etc/fstab

Remplacez $USER par ce que vous avez en cuisine.

En cas de besoin, une documentation plus détaillée est disponible en français ici : http://doc.ubuntu-fr.org/sshfs

Ajoutez une pincée d'/etc/hosts

sudo echo "XXX.XXX.XXX.XXX oli" >> /etc/hosts

Pour qu' « oli » pointe vers l'IP publique du boîtier ADSL.

Et c'est prêt !

Maintenant, depuis n'importe quelle connexion Internet, en tapant : mount /mnt/oli vous pouvez enfourner vos données dans votre coffre-fort numérique, distant, chez vous, chiffré, redondé.

En ajoutant un nouvel utilisateur sur l'OlinuXIno, vous voilà avec du partage de fichiers sécurisés "à la Dropbox". Z'avez plus qu'à jouer finement sur les droits d'accès.

Le prochain épisode expliquera, pour le dessert, comment configurer votre serveur domestique personnel en seedbox pour soigner votre ratio Bittorrent !

PS

Un petit :
sudo echo "Host oli\n\tPort 443" >> /etc/ssh/ssh_config

Dans le /etc/ssh/ssh_config, permet de passer par le port 443, celui du HTTPS sensé être accessible partout…

PPS

J'ai eu la meme préoccupation il a y quelques années, et c'était un poil moins simple : http://s.d12s.fr/realisations/tutos/Debian_sftp_chroot.html

Bonus

Pour s'assurer qu'un utilisateur n'a accès au serveur domestique qu'en SFTP, et à un sous répertoire précis (son bac à sable) :

sudo usermod -s /usr/lib/sftp-server user2 sudo echo '/usr/lib/sftp-server' >> /etc/shells

Le dossier de l'utilisateur doit appartenir à root:root

sudo mkdir /mnt/md1/user2

L'utilisateur viendra ecrire la dedans, le dossier doit lui appartenir :

sudo mkdir /mnt/md1/user2/ecriture sudo chown user2.user2 /mnt/md1/user2/ecriture

il faut maintenant configurer ssh pour verrouiller l'utilisateur dans son dossier :

sudo echo "Subsystem sftp /usr/lib/openssh/sftp-server\n\tChrootDirectory /mnt/md1/%u\n\tX11Forwarding no\n\tAllowTcpForwarding no\n\tForceCommand internal-sftp" >> /etc/ssh/sshd_config

Pour partager entre tous les utilisateurs du serveur domestique :

sudo mkdir /mnt/md1/user2/partage # (pour partager entre utilisateurs) sudo chmod 777 /mnt/md1/user2/partage sudo echo "/mnt/md1/partage /mnt/md1/user2/partage none defaults,rbind 0 0" >> /etc/fstab

Si on souhaite partager tout le disque, mais en lecture seule, de manière récursive dans un sous répertoire, il est possible de faire :

sudo mkdir /mnt/md1/user2/tout-le-disque-en-lecture-seule # (l'utilisateur pourra voir le reste du disque là) sudo echo "bindfs#/mnt/md1 /mnt/md1/pressecitron/oli-lecture-seule fuse perms=a=rX 0 0" >> /etc/fstab

Dans tous les cas, sur l'ordinateur d'user2, il faut encore au moins :
- configurer /etc/hosts pour qu'oli existe
- s'assurer que : sudo apt-get install fuse
- créer le dossier « oli » local : sudo mkdir /mnt/oli
- et configurer /etc/fstab/ avec
sudo echo "sshfs#$USER@oli:/ /mnt/oli fuse defaults,users,noauto 0 0" >> /etc/fstab

Télécharger ce contenu au format Epub

Lire les commentaires

Création d'entreprise et logiciel libre - Romain Bignon de la société Budget Insight

3 février, 2015 - 02:13

Avant-propos : cet entretien peut sembler être une entorse à la série « vivre du logiciel libre » dans la mesure où la société Budget Insight ne « vit » pas du logiciel libre. C'est la raison pour laquelle cette dépêche n'est pas intitulée « Vivre du logiciel libre […] » mais « Création d'entreprise et logiciel libre […] »

La série d'entretiens sur le logiciel libre et la création d'entreprise continue. Mi-décembre, vous aviez pu lire les échanges avec Daniel Castronovo au sujet de la création et de la cessation d'activité de son entreprise Ikux. Cet entretien présentait la particularité de faire suite à un entretien 3 ans auparavant.

Pour démarrer l'année 2015, voici Romain Bignon, cofondateur de Budget Insight, un éditeur de logiciels. Bien que ne commercialisant pas une offre « open-source », Budget Insight est acteur du logiciel libre notamment à travers le controversé Weboob. Budget Insight était d'ailleurs cité dans la dépêche "Ces startups qui contribuent au libre" fin 2012.

Vous pourrez découvrir l'entretien avec Romain Bignon en deuxième partie de dépêche, suite à quoi vous êtes vivement invités à commenter et questionner :)

Nom et prénom Romain Bignon Société Budget Insight Activité de l'entreprise Éditeur de logiciels Démarrage de l'activité Février 2012 Localisation de la clientèle France Nombre de collaborateurs 6 Sites web https://www.budget-insight.com https://www.budgea.com/ Sommaire La création d'entreprise

Bonjour Romain, peux-tu présenter en quelques lignes qui tu es et ce que tu fais ?

Bonjour, je suis un développeur autodidacte de 26 ans, auteur de plusieurs logiciels libres, les plus connus étant minbif et weboob. J'ai travaillé plusieurs années dans deux entreprises du libre : INL/Edenwall, malheureusement aujourd'hui fermée, et Avencall.

Comment t'es venue l'idée de créer Budget Insight ?

Weboob est née en 2010 de l'union d'un « scraper » pour un site de rencontre, et d'un autre pour le site de la banque BNP Paribas. L'augmentation du nombre de contributeurs a apporté toute une palette de nouveaux modules bancaires, ainsi que des modules de récupération de factures (EDF, etc.).

Courant 2011, alors que j'étais à Avencall, j'ai eu l'envie avec un ami de monter une boite. Ayant fait une rupture conventionnelle pour glander sur mon canapé m'assurer un revenu le temps de monter le projet, nous avons cherché diverses idées et modèles économiques. L'une d'elle m'est venue à la lecture d'un article du Canard Enchaîné parlant de dématérialisation et de coffre-forts électroniques, en utilisant weboob pour l'automatisation de la récupération des factures. Très rapidement, s'est rajoutée l'idée de les associer aux données bancaires, et de fournir des indicateurs (camemberts, catégorisation automatique, etc.).

Malheureusement, l'absence de soutien de mes proches, et le fait que l'on avait tous deux des profils techniques menant à beaucoup d'incertitudes au niveau business, nous ont conduit à abandonner le projet.

Et alors que j'étais sur le point de rechercher du boulot, un centralien avec un projet d'entreprise similaire ayant entendu parler de weboob m'a proposé de picoler avec lui, et ça a débouché sur la création de Budget Insight.

Quelle a été votre démarche pour cette création ? Avez-vous été aidés ?

En février 2012, nous avons donc déposé les statuts de la SAS, puis nous avons été rapidement incubés à l'École Centrale Paris. Cette incubation nous a donné le privilège d'être suivi par un coach, fondateur d'Incwo (aujourd'hui client à nous), qui nous a énormément aidé tout au long de notre évolution.

Nous étions au départ trois associés, Clément (le centralien, qui s'occupe du business), Mathieu (développeur frontend) et moi (développeur backend).

Mathieu a fini par nous quitter, étant beaucoup moins investi que nous, travaillant à distance (il habite Lyon et nous sommes à Paris), et n'étant pas aligné sur l'évolution de la stratégie de la boite.

Avez-vous eu besoin de financements ? Où les avez-vous trouvés ?

Outre l'apport initial, nous avons effectivement sollicité deux types de financements. D'une part, des aides sous forme de subvention ou de prêts à taux zéro, publiques (PIA 1 et 2, AIMA) et privées (Réseau Entreprendre 92). D'autre part, nous avons également ouvert notre capital à un Business Angel.

Aujourd'hui, après 3 années d'activité, vous êtes 6 collaborateurs. Quelle a été la chronologie et la stratégie de vos recrutements ?

Nous avons embauché notre premier salarié (un contributeur weboob) début 2013 lorsque nous avons commencé à faire du service, qui a malheureusement dû nous quitter six mois plus tard pour des raisons de santé. Nous l'avons alors remplacé par quelqu'un d'autre sur cette partie, puis nous avons pris une seconde personne pour travailler sur l'intégration de Budgea en marque blanche, puis sur Budgea Pro.

Maintenant, puisque nous avons arrêté de faire du service, les deux développeurs sont sur Budgea Pro qui reste notre principal axe d'évolution.

Nous avons également fait appel par le passé à quelques amis pour des prestations ponctuelles (notamment sur les applications mobiles), et nous avons un étudiant de l'école 42 en stage chez nous dont nous sommes très contents (nous espérons l'embaucher à terme).

Côté commercial, nous avons assez peu investi (à tort, rétrospectivement), mon associé s'en occupant principalement. Nous avons eu quelques stagiaires (dont une qui a été géniale), mais cela devrait constituer notre première embauche en 2015 dès que nous aurons le budget pour ça.

Du B2C vers le B2B

Il me semble que votre activité originale était basée sur le service Budgea, ciblant le grand public via deux formules : une gratuite et une premium à 2,5€/mois. Cette stratégie impose l'acquisition de nombreux utilisateurs et clients. 3 ans après le lancement, où en êtes vous ?

Effectivement, notre positionnement initial était un service web et mobile pour les particuliers avec deux axes pour gagner de l'argent :

  • Une version Premium, donnant accès à des fonctionnalités avancées tels que le prévisionnel ;
  • Des recommandations personnalisées de produits bancaires et d'assurances via des partenaires.

Comme tu le dis, pour valider le modèle, il faut de nombreux utilisateurs, et cela a un coût. Nous avons fait plusieurs campagnes, nous ayant permis d'atteindre aujourd'hui plusieurs dizaines de milliers d'utilisateurs. Néanmoins, nous avions déjà des concurrents bien installés (Bankin et Linxo) ayant levé des fonds, et donc ayant une force de frappe plus importante.

Nous avons tenté de nous démarquer d'eux par la fonctionnalité du prévisionnel, basée sur des algorithmes statistiques pour détecter automatiquement les dépenses récurrentes et variables, et projetant l'évolution du solde à venir sur un mois. Mais nous avons constaté que cette « killer-feature » n'était pas suffisante pour faire la différence.

Enfin, faire du B2C impose d'avoir une approche marketing importante, or cette caractéristique ne fait pas partie de notre ADN, contrairement à Bankin qui sont très bons dans ce domaine.

Budgea est donc une jolie vitrine de nos technologies, mais nous n'investissons plus dans l'acquisition d'utilisateurs car elle nous rapporte aujourd'hui moins d'un millier d'euros par mois.

Du coup, comment gagnez vous de l'argent ?

Après avoir été lauréats du Réseau Entreprendre 92, nous y avons rencontré le patron d'une autre société qui, impressionné par Budgea, nous a proposé de faire du service pour lui. L'idée était de lui développer son outil interne de production, en utilisant notre agrégation bancaire, puisque son cœur d'activité est de produire des indicateurs aux PME.

Nous avons par la suite été également approchés par d'autres sociétés, notamment des cabinets d'expertise comptable. Cela a été un véritable tournant dans notre réflexion, puisque nous nous sommes rendus compte qu'il y avait un réel besoin sur le marché professionnel d'outils de gestion de trésorerie.

Ça a débouché sur le lancement de Budgea Pro fin 2014, adressé aux TPE et aux experts comptables, en tant que plateforme collaborative, et qui constitue notre principal axe de développement sur 2015.

En parallèle, nous avons également répondu à divers appels d'offres de banques.

Qui sont vos clients ?

Aujourd'hui, nous avons trois typologies de clients :

  • des grands comptes (tels la Banque Accord et l'Express) qui intègrent Budgea en marque blanche pour le proposer à leurs clients ;
  • les éditeurs de logiciels (ERP, trésorerie, notes de frais, etc.) qui utilisent la Budgea API pour faire de l'agrégation bancaire ;
  • les experts-comptables et les TPE pour Budgea Pro.

Comptant des banques parmi vos clients, peux-tu nous en dire un peu plus sur la perception du logiciel libre dans ce domaine ?

Très mauvaise en général :). Cela dépend évidement de l'interlocuteur, mais les « décideurs » associent le logiciel libre à cheap, amateur, qui ne gère pas la montée en charge, etc.

Nous avons abandonné l'idée de les convaincre, nous préférons minimiser cet aspect lors des échanges commerciaux, insistant sur le fait que notre solution peut très bien fonctionner avec Oracle, par exemple.

Cela dit, Linux et Apache font exception, car eux sont relativement bien acceptés.

En revanche, un autre souci que nous avons rencontré, est la sécurité perçue.

Lorsque nous avons intégré Budgea en marque blanche pour une banque, un audit a été commandé par celle-ci auprès d'un prestataire, qui s'est contenté de fournir un rapport de scan automatisé, bourré de faux positifs (il était indiqué notamment qu'il y avait une version de mediawiki vulnérable, alors qu'on ne l'utilise évidemment pas). Ce rapport a été remonté tel quel par la DSI à la direction de la banque, ce qui nous a valu de batailler.

Il nous a été également demandé de mettre à jour Apache de 2.2 à 2.4, car la version utilisée serait vulnérable ! Ce ne fut pas simple de faire comprendre que le système d'exploitation utilisé (Debian) propose des mises à jour de sécurité, et qu'installer une version séparée, non seulement n'améliorait pas la sécurité, mais pire augmentait le risque, puisqu'on se passait du support sécurité de Debian !

Enfin, un scan réalisé avec ssllabs a donné une note de A-, ce qui a crispé, alors que le site de cette banque est lui-même noté… F.

Et le fait que vos solutions reposent sur Weboob (qui est déjà très controversé sur LinuxFR ;) ?

Dans la même logique, nous ne parlons pas (ou peu) de weboob, car outre le nom qui peut faire mauvaise impression, nous vendons un package complet et non pas un ensemble de briques.

Cela dit, ça nous a apporté des opportunités, une grosse banque nous ayant contacté pour un appel d'offre après nous avoir connu via weboob !

En tout cas, le fait qu'il y ait beaucoup d'éditeurs de logiciels qui sont clients de la Budgea API, l'offre commerciale d'agrégation bancaire autour de weboob, montrent que ce dernier répond à une véritable problématique professionnelle, contrairement à ce que peuvent penser quelques trolleurs sur linuxfr :).

J'ai constaté que pas mal de banques proposent des solutions de gestion intégrée à leur portail. Ces solutions reposent-elles sur vos technologies ?

Nous équipons la Banque Accord et avons travaillé avec le Crédit Agricole. Nous avons des concurrents qui ont fourni des parties de leurs technologies (agrégation ou catégorisation automatique) à certaines banques, et d'autres (à l'instar de la Société Générale) développent leurs solutions de gestion en interne.

Je me souviens avoir découvert ces fonctionnalités sur les portails des banques après que Budgea se soit lancé. Est-ce votre service qui a poussé les banques à proposer ces fonctionnalités ?

Ce sont les services similaires au nôtre qui ont effectivement incité les banques à se mettre à la page, car elles se sont rendu compte que nous captions leurs utilisateurs. C'est grâce à l'agrégation bancaire avec des outils tels que weboob que les PFM ont pu émerger, les banques étant très frileuses à l'idée d'ouvrir leurs données à des éditeurs tiers.

Plusieurs d'entre elles, dont la « Direction de l'innovation » est représentée par le stéréotype du banquier du troisième âge, ont tenté (sans succès) de mettre en place des mesures pour empêcher le scraping. Heureusement, d'autres (tels le Crédit Agricole ou AXA Banque) sont plus innovantes et proposent des APIs.

Ceci est en tout cas la preuve que l'ouverture est le meilleur moyen de favoriser l'innovation.

Contribution au libre

Budgea est parfois présenté comme la version "graphique" des modules bancaires de Weboob. Il n'en est néanmoins pas pour autant libre. Puisque vous ne gagnez pas d'argent avec, pourquoi ne pas le libérer ?

C'est une option à laquelle nous avons plusieurs fois réfléchi et qui nous tente bien. Cela permettrait potentiellement de fédérer une communauté de développeurs autour de l'application, qui serait du coup profitable à notre déclinaison professionnelle.

Néanmoins, cela nécessite un certain travail, puisqu'il faut d'une part mettre en place la logistique (packaging, documentation d'installation, documentation développeur, bug tracker public, etc.) et d'autre part soigner la communication pour favoriser la création de cet écosystème. La quantité de travail que nous avons aujourd'hui ne nous permet pas d'investir du temps là-dedans à court terme, mais j'espère qu'on pourra faire ça d'ici fin 2015, car je pense que ça pourrait réellement être bénéfique si nous faisons les choses correctement.

À suivre donc, DLFP sera le premier informé :).

Tu cumules les rôles de directeur général de Budget Insight, président de l'association Weboob et lead développeur Weboob. N'y a-t-il pas un conflit d'intérêts entre ces différentes casquettes ?

L'Association Weboob a justement été créée dans l'optique de limiter le conflit d'intérêt. Il a été décidé à sa constitution de me nommer président car j'étais alors le plus actif contributeur (non seulement en code mais dans la communauté), mais dans l'optique de laisser ma place une fois que la machine sera lancée.

Nous atteignons bientôt ce but puisque lors de la prochaine AG je devrais laisser ma place à Florent Fourcot.

Note que je ne suis déjà plus Release Manager, Florent occupant ce poste depuis plus d'un an.

D'ailleurs la société Budget Insight finance-t-elle des contributions à Weboob ? À d'autres logiciels ou technos libres ?

Budget Insight est bien sûr le premier contributeur sur la partie bancaire, et apporte de nombreuses améliorations au core. Nous avons créé plus d'une quinzaine de modules et assurons une maintenance quasi quotidienne de l'ensemble des modules bancaires, via le buildbot humain que représentent les utilisateurs de Budgea.

La plupart des collaborateurs actuels ou passés de Budget Insight ont payé leur patch (Simon Muraïl, Vincent Paredes, Laurent Bachelier, Noé Rubinstein).

Conclusion

Des projets dans les cartons ? Des innovations à venir ?

Comme tu l'auras compris, le gros de notre activité en 2015 concernera avant tout les professionnels.

Les prochaines innovations qui devraient arriver très vite, sont l'intégration d'un système d'OCR pour la reconnaissance des méta-données des factures, et le lettrage automatisé entre celles-ci et les mouvements bancaires.

Nous allons également mettre en place une interface de gestion de budgets de trésorerie, basée sur le système de prévisionnel de Budgea, adaptée pour les pros.

Un dernier mot ? Un retour d'expérience à partager ?

Je ne regrette absolument pas de m'être lancé, car outre la satisfaction personnelle qu'il y a à gérer une activité et le plaisir que j'ai d'arriver le matin au bureau et de voir l'équipe et l'ambiance qui s'est créée, et même si c'est pas facile tous les jours, c'est extrêmement formateur sur un large panel de sujets : le business, la comptabilité, la gestion de projets clients (qui est au final très différente de la gestion d'un logiciel libre), le management, les RH, la relation client, la gestion des merdes, etc.

Ma courte expérience m'a également appris l'importance du réseau et son entretien, ainsi que le fait qu'il faut être en permanence à l'écoute du marché pour être prêt à pivoter (comme on l'a fait), car il est facile d'aller dans le mur en étant persuadé de détenir une idée révolutionnaire qui n'est pas adaptée.

Enfin, il ne faut pas avoir peur de faire des erreurs, car on en fait de toute façon, et ce qui compte est d'arriver à en tirer le meilleur pour avancer.

Merci Romain pour le temps que tu as pris pour répondre à ces questions (et pour le temps que tu vas prendre pour répondre aux commentaires;) Bonne continuation.

Télécharger ce contenu au format Epub

Lire les commentaires

Revue de presse de l'April pour la semaine 5 de l'année 2015

3 février, 2015 - 01:59

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

[L'OBS] La Chine veut fouiner dans les ordis américains. Comme ses petits copains

Par Andréa Fradin, le samedi 31 janvier 2015. Extrait:

La Chine, pas franchement connue pour son amour d’un Internet libre et sans entrave, en remet une couche. Et vise cette fois-ci les équipementiers américains.

Lien vers l'article original: http://rue89.nouvelobs.com/2015/01/31/chine-veut-fouiner-les-ordis-americains-comme-petits-copains-257421

Et aussi:

[Rue89Lyon] Comment et avec qui utiliser les logiciels libres à Lyon

Par Eva Thiébaud, le vendredi 30 janvier 2015. Extrait:

Une asso de Lyon a fait 5000 euros d’économie; des étudiants manipulent des machines complètement propres. Les logiciels libres, c’est fantastique, même s’ils effraient encore certains (complexité, changement d’habitude…). Entre la Maison des Rançy et l’université Lyon 2, on a rencontré à Lyon celles et ceux qui se frottent au libre et l’enseigne.

Lien vers l'article original: http://www.rue89lyon.fr/2015/01/30/comment-avec-qui-utiliser-logiciels-libres-lyon

Et aussi:

[internet ACTU.net] Le code est-il vraiment la loi?

Par Hubert Guillaud, le vendredi 30 janvier 2015. Extrait:

Le chercheur de l’université de Toronto, Quinn DuPont (@quinndupont), qui s’apprête à publier Cryptographie, mot-clé critique des humanités numériques, revenait récemment dans son blog sur la célèbre phrase de Lawrence Lessig, “le code est la loi”. Il rappelle que Lessig a inventé cette formule “en réagissant au déploiement des systèmes de gestion de droits numériques (DRM) pour contrer le partage illégal de fichiers. La leçon que nous devons tirer de cette phrase est que ontologiquement (et légalement) le code est préalable.

Lien vers l'article original: http://www.internetactu.net/2015/01/30/le-code-est-il-vraiment-la-loi

[Direction Informatique] Encore de la place pour le logiciel libre dans Montréal ville «intelligente»?

Par Dominique Lemoine, le vendredi 30 janvier 2015. Extrait:

La stratégie 2014-2017 de la Ville de Montréal pour devenir une ville dite «intelligente et numérique» s’appuierait notamment sur la mise en place d’une architecture technologique ouverte et interopérable.

Lien vers l'article original: http://www.directioninformatique.com/encore-de-la-place-pour-le-logiciel-libre-dans-montreal-ville-intelligente/33184

[Developpez.com] Devrions-nous écrire moins de code et plus de blogs ? Selon plusieurs développeurs, le code n'est pas notre principale fonction

Par Amine Horseman, le vendredi 30 janvier 2015. Extrait:

Laura Klein, auteur du livre UX for Lean Startups avait écrit une lettre sur Medium destinée «aux Ingénieurs qui ne se soucient pas réellement de leurs clients» dans laquelle elle explique son point de vue concernant l'écriture du code dans le métier de développeur.

Lien vers l'article original: http://www.developpez.com/actu/80813/Devrions-nous-ecrire-moins-de-code-et-plus-de-blogs-Selon-plusieurs-developpeurs-le-code-n-est-pas-notre-principale-fonction

[Next INpact] La Commission européenne veut avancer sur les données perso et le droit d'auteur

Par Xavier Berne, le jeudi 29 janvier 2015. Extrait:

Alors que de nombreux textes discutés au niveau de l’Union européenne s’enlisent, la nouvelle Commission semble vouloir s’activer pour que le règlement sur les données personnelles soit définitivement adopté avant l’année prochaine. Un projet de directive sur le droit d’auteur pourrait également être présenté d’ici cet été.

Lien vers l'article original: http://www.nextinpact.com/news/92907-la-commission-europeenne-veut-avancer-sur-donnees-perso-et-droit-d-auteur.htm

Et aussi:

[Silicon.fr] Linux: pour Torvalds la diversité des contributeurs est un détail

Par Ariane Beky, le lundi 26 janvier 2015. Extrait:

Le créateur du noyau Linux, Torvalds, a déclaré lors de la Linux.conf.au que la diversité et la mixité sont «des détails sans importance».

Lien vers l'article original: http://www.silicon.fr/linux-linus-torvalds-diversite-contributeurs-detail-106673.html

[ZDNet France] Librem: un laptop open source pour les puristes

Par Louis Adam, le lundi 26 janvier 2015. Extrait:

Annoncé en fin d’année dernière, le PC portable Librem devrait voir le jour à la suite d’une campagne de crowdfunding réussie. Cet ordinateur portable développé par la société Purism promet d’être basé au maximum sur des logiciels libres.

Lien vers l'article original: http://www.zdnet.fr/actualites/librem-un-laptop-open-source-pour-les-puristes-39813603.htm

Télécharger ce contenu au format Epub

Lire les commentaires

Pharo, c’est “près de chez nous et maintenant !” le 19 février 2015 à Mons

3 février, 2015 - 01:59

Ce jeudi 19 février 2015 à 19h se déroulera la 36ème séance montoise des Jeudis du Libre de Belgique à l'université de Mons, Campus Plaine de Nimy, avenue Maistriau, Grands Amphithéâtres, Auditoire Curie (cf. ce plan sur le site de l’UMONS, ou la carte OSM).

Le sujet de cette séance sera « Pharo (langage de programmation orienté objet) », en lien avec la thématique « Live programming, langage de programmation, Web », et s'adressera à un public de développeurs, d'étudiants ou d'académiques.

L’animateur conférencier sera Stéphane Ducasse (INRIA RMoD Team, Lille).

La participation sera gratuite et ne nécessitera que votre inscription nominative, de préférence préalable, ou à l’entrée de la séance. Merci d’indiquer votre intention en vous inscrivant via la page d'inscription dans les liens.

La séance sera suivie d’un verre de l’amitié. Vous pourrez lire en deuxième partie de dépêche une présentation de Pharo et de l'animateur conférencier.

Description

Pharo est un langage pur objet dynamiquement typé et réflexif. Il est inspiré de Smalltalk mais Pharo veut ré-inventer Smalltalk. Par exemple, la version 4.0 de Pharo contient un nouveau compilateur qui offre la possibilité d’avoir des variables d’instances de première classe. Un nouveau protocole réflexif est en gestation ainsi qu’un système de modules. Un bootstrap complet de Pharo est possible, tout comme d’avoir un noyau complet en 11ko. Pharo offre du live programming.

Cependant, la raison d’être de Pharo est de créer un écosystème au sein duquel l’innovation et le business fleurissent. L’objectif de Pharo est que des programmeurs puissent faire du business et de manière fun et efficace! La pile web de Pharo est sexy : Seaside, Seaside-Rest, Reef (client/server components), Magritte (metamodel pour generation de formulaire), Zinc server Http/s superbe, Voyage (layer mongodb),…

Cette présentation fera un rapide tour des buts, de la communauté et des réalisations actuelles. Un survol de quelques frameworks existants sera présenté. Ensuite un rapide survol de la syntaxe sera présenté et on codera un petit langage pour partager ensemble les sensations de programmer en Pharo. Finalement, Pharo s’améliore tous les jours : notre philosophie est une amélioration par jour – comme Kent Beck nous le disait, on oublie souvent que faire une chose tous les jours est la meilleure façon d’avancer.

Pharo, c’est “près de chez nous et maintenant !” comme en attestent les Pharo Days 2015 avec plus de 70 développeurs de toute l’Europe regroupés à Lille les 29 et 30 Janvier !

Bio

Stéphane Ducasse est directeur de recherche Inria première classe et dirige l’équipe RMoD à Lille. Il est expert en conception objet, conception de langages à objets, programmation réflexive ainsi que maintenance et évolution de larges applications (visualisation, métriques, meta modelisation). Ses travaux sur les traits ont été introduits dans AmbientTalk, Slate, Pharo, Perl-6, PHP 5.4 and Squeak. Ils ont été portés sur Ruby et JavaScript, et ont influencé les langages Scala et Fortress. Stéphane Ducasse est un des développeurs de Pharo, un langage open-source inspiré de Smalltalk. Il est aussi un des développeurs de Moose, une plate-forme d’analyses, et un des fondateurs de Synectique, une société proposant des outils d’analyses dédiées. Stéphane Ducasse est auteur de nombreuses publications scientifiques (son h-index est 47 d’après Google Scholar), et de quelques livres sur l’apprentissage de la programmation et d’autres sujets comme la programmation web (cf. http://book.seaside.st).

Rappel

Si ce cycle mensuel vous intéresse, n’hésitez pas à consulter l’agenda et à vous inscrire sur la liste de diffusion afin de recevoir systématiquement les annonces.

Les Jeudis du Libre se veulent des espaces d’échanges autour de thématiques des Logiciels Libres. Les rencontres montoises se déroulent chaque troisième jeudi du mois, et sont organisées dans des locaux et en collaboration avec des Hautes Écoles et Facultés Universitaires montoises impliquées dans les formations d’informaticiens (UMONS, HEH et Condorcet), et avec le concours de l’A.S.B.L. LoLiGrUB, active dans la promotion des logiciels libres.

Télécharger ce contenu au format Epub

Lire les commentaires

LAN 0AD le 6 février 2015 à Lille

2 février, 2015 - 23:39

Ce vendredi à Akedo on plonge dans l'antiquité ! Une LAN 0AD est programmée de 19h à 22h sur les PC gamers de la salle. 3h de jeu pour 3€ avec explication des mécanismes du jeu, présentation des civilisations pour recréer des batailles historiques ou complètement improbables.

Les plus assidus y trouveront une similitude avec les LAN organisées précédemment par Extended Play, puisqu'il s'agit de la même organisation derrière cet événement.

Coordonnées de la salle : 2 rue Colson, à l'angle avec la rue Nationale à Lille.

Télécharger ce contenu au format Epub

Lire les commentaires

Plasma 5.2, l'espace de travail de KDE

2 février, 2015 - 22:51

Plasma 5.2 est sorti le 27 janvier 2015, 2 mois et demi après la sortie de la version 5.1. Pour rappel, Plasma est l’espace de travail (aussi appelé shell) de KDE. Cette version nous apporte de nouveaux composants, un bon nombre de nouvelles fonctionnalités et bien des corrections de bogues.

Découvrez les nouveautés en seconde partie de l'article.

Sommaire Nouveaux composants portés Système

Au menu, en bref : BlueDevil, KSSHAskPass, Muon, configuration de l'apparence du gestionnaire de connexions (SDDM), KScreen, GTK Application Style, KDecoration.

Plus de détails dans la suite de cette dépêche.

BlueDevil

Un ensemble de composants pour gérer les périphériques Bluetooth. Cela configurera votre souris, clavier, l'envoi et la réception de fichiers, et vous pourrez naviguer dans la liste des périphériques.

KSSHAskPass

Si vous accédez à des ordinateurs avec des clés SSH, mais que ces clés ont des mots de passe, alors ce module vous donnera une interface graphique pour entrer des mots de passe.

Muon

Muon permet d’installer et de gérer des logiciels et autres extensions pour votre ordinateur. C'est une interface graphique simplifiée pour apt, il faut donc que votre distribution préférée propose apt, ce qui est possible même avec des rpms.

Login theme configuration (SDDM)

SDDM est désormais le gestionnaire de connexion de choix pour Plasma, et ce nouveau module de Configuration Système vous permet d'en configurer le thème.

KScreen

Kscreen, le module permettant de configurer et de gérer plusieurs écrans, fait un pas en avant, et devient disponible avec cette version de plasma.

Au passage, la gestion de plusieurs écrans a également été améliorée, puisque le code de détection a été porté pour utiliser XRandR directement, corrigeant de multiples bogues dans la foulé.

GTK Application Style

Ce module permet de configurer le thème et le couleurs utilisées par les applications utilisant le cadriciel GTK.

KDecoration

Cette bibliothèque facilite et fiabilise la création de thèmes pour KWin, le gestionnaire de fenêtres de Plasma. On retrouve de grandes amélioration de mémoire, de performances et de stabilité ; le thème Breeze a rendu nécessaire ces améliorations pour être activé par défaut. Si quelques fonctionnalités vous manquent, ne vous inquiétez pas, elles seront au rendez-vous pour la version 5.3.

Autres changements Fonctionnalités

Lors du changement d’un élément du bureau, une notification nous permet d’annuler l’action :

Résultats mieux classés dans KRunner, lancé avec Alt-Espace ou Alt-F2 :

Toujours dans KRunner, il est possible de contrôler le lecteur de musique pour, par exemple, passer à la piste suivante en tapant next.

De nouveaux widgets arrivent, notamment 15 puzzles, un navigateur internet, ou encore montrer le bureau.

L’intégration de logind avec le verrouilleur d'écran a été améliorée pour permettre de s'assurer que l'écran est bien vérouillé avant la mise en veille (cela pouvait se produire juste après la sortie de veille auparavant). En outre, il est maintenant possible de configurer le fond d'écran de l'écran verrouillé. En interne, ça utilise une partie du protocole Wayland, qui est le futur du bureau Linux.

La liste des applications par défaut dans le panneau kickoff a été mise à jour en y ajoutant la messagerie instantanée, Kontact et Kate.

Le retour attendu de l'activation ou de la désactivation du pavé tactile est bienvenu ! (pour les claviers disposant d'une touche dédiée.)

Baloo

Baloo, l’index sémantique de recherche, s'optimise au démarrage : il consomme maintenant de 2 à 3 fois moins de temps processeur au lancement. L'analyseur syntaxique de requêtes ajoute la gestion de la propriété type (ou kind, qui sont synonymes), ce qui permet de filtrer les résultats par type dans KRunner par exemple. Ainsi, day type:audio permet de rechercher tous les fichiers audio dont le nom ou le contenu contient le mot day. Rappelons que baloo est également accessible en ligne de commande grâce à baloosearch.

Pour éviter que certains fichiers non-intéressants soient indexés, Baloo n'indexe plus par défaut les fichiers textes dont la taille est supérieure à 10 mébioctets.

La documentation de Baloo n'étant pas des plus aisées à trouver, voici un petit récapitulatif de sa syntaxe :

# Recherche des fichiers contenant les mots données (insensible à la casse) bouts de mots à trouver # implicitement liés par des ET logiques # Recherche avec ET et OU alpha OR beta # Tri par type de fichiers type:video gone girl # Recherche complexe artist:(queen OR oasis) tracknumber:4

Voici une liste de propriétés que vous pouvez utiliser, en fonction des types de fichiers (d'après le code source) :

Documents Images Audio Author Keywords BitRate Title Width Channels Subject Height Duration Creator AspectRatio Genre Generator FrameRate SampleRate PageCount ImageMake TrackNumber WordCount ImageModel ReleaseYear LineCount ImageDateTime Comment Language ImageOrientation Artist Copyright PhotoFlash Album Publisher PhotoPixelXDimension AlbumArtist Description PhotoPixelYDimension Composer CreationDate PhotoDateTimeOriginal Lyricist PhotoFocalLength PhotoFocalLengthIn35mmFilm PhotoExposureTime PhotoFNumber PhotoApertureValue PhotoExposureBiasValue PhotoWhiteBalance PhotoMeteringMode PhotoISOSpeedRatings PhotoSaturation PhotoSharpness Apparence

Une amélioration du thème Breeze :

  • Décorations de fenêtres ;
  • Nouvelles icônes ;
  • Curseur blanc (dit neige).

En outre, Breeze configure les thèmes GTK dès la première connexion par souci d'homogénéité.

Voici les décorations :

Plus de 300 bogues corrigés dans les modules Plasma.

Voici les icônes :

Conclusion

Plasma 5.3, prévu pour le 28 avril prochain, devrait peaufiner tout ça, même si le bureau est maintenant utilisable sans gros soucis. En parallèle, de nombreuses applications passerons la version Qt 5/Kframeworks par défaut (telle que Dolphin ou encore KCalc).

Amarok sera-t-il porté vers Qt 5 ? C'est difficile à dire. Alors peut-être Clémentine ?

N'hésitez-pas à tester tout ça au sein de votre distribution favorite !

Télécharger ce contenu au format Epub

Lire les commentaires

Revue de presse - février 2015

2 février, 2015 - 00:27

Le mois de janvier fût marqué par des drames que nous ne sommes pas près d'oublier. En France, la presse est libre. Sans la liberté de blâmer, il n'est point d'éloge flatteur ; et comme le rappelle toutes les semaines un canard, la liberté de la presse ne s’use que quand on ne s’en sert pas. Pour ce deuxième mois de l'année, les marchands de journaux disposent encore une fois de nombreux titres dans leurs rayons et cet hiver, la sécurité semble être la préoccupation principale.

Comment protéger sa vie privée ? Y a-t-il un danger à se connecter en wifi ? Comment installer un firewall ? Pour le n° 83 de Planète Linux, 2015 est l’année de la sécurité informatique.

Linux Pratique n° 87 vous propose de découvrir comment anonymiser tout votre trafic [réseau] avec Tor. Par ailleurs, d'autres sujets sont abordés comme la sécurisation d'un serveur serveur web avec chroot ainsi que l'utilité d'un pare-feu.

Souhaitez vous optimiser la protection de votre système et de vos applications ? Le hors-série n° 76 Sécurité & Linux devrait vous intéresser. À noter qu'un chapitre est consacré à la sécurité sous Android.

MISC n° 77 propose un dossier sur la sécurité des moyens de paiement. Comment faciliter les échanges tout en évitant la fraude ? Les réponses sont dans MISC.

Hackable n° 4 le magazine des amateurs de tournevis et de fer à souder se recentre une nouvelle fois sur Raspberry Pi et ses nouvelles cartes.

Les pythoneux pointilleux se délecteront du n° 179 de GNU/Linux Magazine. Tandis que les débutants en programmation porteront leur attention sur le n° 182 de Programmez! qui tente de convaincre son lectorat de l'intérêt du métier de développeur. Le magazine a tout de même le mérite de présenter la première version d'Android Studio apparue discrètement en décembre.

Les sommaires complets de chacun de ces magazines sont en ligne via les liens ci-dessous.

Télécharger ce contenu au format Epub

Lire les commentaires

Club de la Presse : Petit déj’ de la com’ « L’utilisation des données numériques dans la presse »

2 février, 2015 - 00:24

Cette fois, nous organiserons un Petit déj’ de la com à 8h30 afin de pouvoir inviter plus de monde, notamment des communicants. Suite à de nombreuses demandes qui nous ont été faites lors de la première journée. Ainsi, pour le gens de Montpel’libre qui veulent venir, ils peuvent contacter directement le Club de la Presse par mail ou téléphone pour s’inscrire.

Une diffusion en directe sera proposée sur le site web du Club, pour permettre aux personnes qui ne peuvent pas se déplacer, de suivre quand même l’intervention.

Comment exploiter les données locales ? Les données numériques, dîtes « data », envahissent notre quotidien jusqu’à être présentées, par les spécialistes du numérique, comme l’une des révolutions les plus importantes qu’aient connu l’humanité. Venez découvrir ce qui se cache derrière ces big, fast, smart, open…data.

Quels sont les enjeux pour la profession de journaliste ? Comment la recherche d’information se doit d’évoluer pour s’adapter à cette avalanche de données ?

Faire face à la menace numérique et juridique.

Jeudi 5 février 2015 de 8h30 à 10h00
1, place du Nombre d’Or 34000 Montpellier

GPS Latitude : 43.608199 | Longitude : 3.887789

Tramway ligne 1, arrêt Antigone

Télécharger ce contenu au format Epub

Lire les commentaires