Daily Archives: 17 octobre 2019

Rentrée !

Featured

Posted on by

« S’il est au monde une chose difficile à faire »1, c’est bien d’imaginer un projet pour relancer les activités d’une association. C’est le défi auquel nous sommes confrontés.

L’été s’était écoulé au rythme des épisodes caniculaires. L’Ullm semblait se mouvoir dans les méandres d’un électrocardiogramme plat !

Fichtre !

La veille était activée, quelques énergumènes s’agitaient du côté de la Maison de la vie.

Ils posaient les jalons pour une nouvelle année avec un toit assuré : participation durant 4 semaines aux « journées portes ouvertes » de la MVA, avec présence et participation à 8 permanences afin de répondre à d’éventuelles demandes d’information.

Elles ont été l’occasion de réaliser 250 flyers (artisanaux), les affiches et panneaux « publicitaires » qui s’inscrivaient dans notre effort de communication en direction d’un public potentiel, de favoriser des conciliabules entre les uns et les autres.

Le point d’orgue était notre « réunion générale » du 13 septembre.

Elle a réuni 10 adhérents, (9+1 excusée). Ce fut l’occasion de la présentation d’un rapport d’activité sur les six derniers mois et une discussion autour du « Projet » de création d’un lieu partagé dans lequel nous ne serions pas les seuls bénéficiaires.

Ce projet a aujourd’hui du plomb dans l’aile. Les raisons n’en seront pas évoquées ici. D’autres options, sans abandonner celle-ci, sont dores et déjà sur la table.

Nous en reparlerons.

Cette agitation n’a qu’un but : sauver, disons, pour être optimistes, redynamiser une Association toujours en recherche de sa finalité et des moyens, des compétences, des bras pour y parvenir.

Une feuille de route qui ne dit pas son nom…

1 Selon H.Taine

Source https://ullm13.blogspot.com/

 

Mozilla: Firefox 70 affichera de nouveaux indicateurs de sécurité

Featured

Posted on by

Mozilla révèle que Firefox 70, bientôt disponible, supprime l’indicateur de certificat EV SSL et ajoute un cadenas barré de rouge à tous les sites HTTP.

Firefox 70 introduit de nouveaux indicateurs de sécurité et d’identité de l’icône cadenas dans le navigateur qui donneront moins d’importance aux certificats SSL EV (Extended Validation) et attireront davantage l’attention sur les sites utilisant le protocole HTTP non sécurisé.

Au mois d’août, les développeurs de Mozilla et de Google Chrome évoquaient déjà la suppression des indicateurs SSL EV dans la barre d’adresse, car ils n’indiquent rien de la sécurité et de l’authenticité d’un site.

Google a supprimé les indicateurs EV dans Chrome 77, publié en septembre, et Mozilla fera de même dans Firefox 70, prévu pour ce mois-ci. Cette version supprime l’icône de cadenas vert et le nom du propriétaire du site de la barre d’adresse. Le cadenas pour les sites EV sera désormais le même que pour tout site HTTPS normal.

Mozilla abandonne également le cadenas vert pour préférer un cadenas gris pour les sites HTTPS et utilisera maintenant un cadenas barré de rouge pour signaler toutes les connexions HTTP et FTP.

« L’ancien symbole de cadenas vert deviendra gris : le but est de minimiser l’état de connexion par défaut (sécurisé) et de mettre davantage l’accent sur les connexions rompues ou non sécurisées », a expliqué Johan Hofmann de Mozilla.

Comme avec Chrome, les informations du certificat EV sont toujours disponibles, mais l’utilisateur doit cliquer sur l’icône du cadenas pour afficher le panneau « Informations sur le site ».

Mozilla note que le principal inconvénient de l’affichage des indicateurs EV dans la barre d’adresse est que les utilisateurs doivent remarquer l’absence de l’indicateur EV sur un site malveillant.

« Ce changement masquera l’indicateur à la majorité de nos utilisateurs tout en le maintenant accessible à ceux qui en ont besoin. Il évite également les ambiguïtés qui pourraient se produire lorsque le nom de l’entité dans la barre d’adresse a été coupé pour laisser de l’espace pour l’URL , « a noté Hofmann.

L’icône de cadenas barré est en train d’être introduite en réponse à l’adoption croissante du protocole HTTPS. Actuellement, environ 80% des pages chargées dans Firefox sont sur HTTPS.

De plus, Firefox n’aura plus d’icône d’information à gauche du cadenas. Ses fonctionnalités ont été déplacées vers le cadenas.

Firefox 70 introduira également un bouclier ou une icône de «protections» pour indiquer quand les nouvelles fonctionnalités anti-suivi du navigateur sont activées, actives ou désactivées. Dans Firefox 69, Mozilla a activé l’anti-tracking par défaut pour tous les utilisateurs.

Un bouclier gris indique que les protections sont activées, le violet indique qu’elles sont actives et un bouclier barré indique que l’utilisateur a désactivé les protections pour le site.

La sortie de Firefox 70 est prévue pour le 22 octobre.

Source : Mozilla: Firefox 70 brings you these new security indicators

 

Unix/Linux : importante faille dans Sudo, le correctif disponible

Featured

Posted on by

Sudo est probablement l’un des utilitaires les plus utilisés et connus du monde Unix/Linux. Il sert à donner temporairement des droits plus élevés à un processus, sans avoir à basculer l’ensemble du compte utilisateur sur des droits équivalents.

La vulnérabilité, estampillée CVE-2019-14287, permet à un programme malveillant ou un utilisateur de contourner les règles de sécurité de Sudo pour exécuter un code arbitraire. Les privilèges peuvent même être obtenus quand la configuration de l’outil interdit explicitement l’accès root.

Cette faille particulière prend appui sur la conception de Sudo, qui permet en théorie à n’importe quel utilisateur avec des droits suffisants d’exécuter une commande en tant qu’un autre compte. Cette transversalité peut ainsi remonter jusqu’aux privilèges root.

Pour l’exploiter, un programme ou un utilisateur malveillant doit utiliser l’ID « -1 » ou « 4294967295 ». Pourquoi ces identifiants ? Parce que la fonction chargée de convertir l’ID en nom d’utilisateur traite ces deux valeurs comme « 0 », qui correspond à root.

Il y a tout de même une condition : au moins un utilisateur doit avoir été déclaré dans le fichier de configuration situé dans /etc/sudoers. Les développeurs de Sudo donnent l’exemple suivant :

myhost bob = (ALL, !root) /usr/bin/vi

Cette ligne déclare que « bob » peut exécuter vi en tant que n’importe quel autre utilisateur, excepté root. À cause de la faille toutefois, bob pourra exécuter vi en tant que root s’il exécute d’abord la commande sudo -u#-1 vi.

La brèche a été colmatée dans la version 1.8.28 de Sudo publiée hier soir. La mise à jour est déployée progressivement sur l’ensemble des système concernés (et ils sont nombreux). La faille n’est pas critique, mais est considérée comme importante. Il est donc recommandé d’installer la nouvelle version dès que possible.

Source nextinpact.com

Souveraineté numérique et logiciel libre: un rapport du Sénat invite l’Etat à plus de volontarisme

Featured

Posted on by

Le rapport Longuet sur « le devoir de souveraineté numérique » regrette l’absence de doctrine de l’Etat en matière de logiciels libres, et l’incite à « engager rapidement une réflexion au niveau interministériel sur ce sujet ».

Au Sénat, la commission d’enquête sur la souveraineté numérique, constituée en avril, a rendu il y a quelques jours son rapport, intitulé «le devoir de souveraineté numérique». Ce document issu d’un semestre de travaux et d’auditions est riche, traitant des données personnelles, de la protection de la concurrence, des cryptomonnaies etc., et soulignant le rôle de l’Europe et de la régulation face aux GAFAM américains et aux BATX chinois (Baidu, Alibaba, Tencent, Xiaomi). Il prône notamment l’adoption d’une loi triennale « d’orientation et de suivi de la souveraineté numérique ».

Le navire de guerre Mistral en 2012 – Photo: U.S. Navy / Wikimedia Commons (domaine public)

Les membres de la commission, dont le rapporteur est l’ancien ministre de la Défense Gérard Longuet (LR), se sont entre autres intéressés à la question du logiciel libre (pages 155 et suivantes du tome 1 du rapport).

Lire les codes sources, « une des conditions essentielles de la souveraineté de l’État »

Ils observent:

«Les administrations publiques pourraient également engager une réflexion sur le recours au logiciel libre en vue de s’assurer de maîtriser leurs données et de mieux conduire, potentiellement à moindre coût, les politiques publiques dont elles ont la charge.»

«Quand les administrations utilisent des logiciels achetés à des entreprises privées, elles doivent s’assurer de la sécurité de l’accès à ces informations et de l’impossibilité pour le fournisseur de les recueillir et de les exploiter.»

Le rapport note que l’État ne semble pas avoir, d’après les auditions menées, de «doctrine générale pour intégrer dans ses appels d’offre cette dimension essentielle de la sécurité des données. Pour s’assurer du respect d’un cahier des charges qui intégrerait cette exigence, il lui faudrait se doter de moyens d’analyse des solutions proposées dont la plupart des ministères semblent dépourvus. Plusieurs de nos interlocuteurs ont souligné que la lisibilité totale des codes sources des programmes informatiques pouvait être une des conditions essentielles de la souveraineté de l’État sur ses moyens numériques.»

Deux conceptions opposées

La commission a relevé «deux conceptions opposées du recours au logiciel libre par les administrations».

La Dinsic (direction interministérielle du numérique et du système d’information et de communication) «a ainsi fait part de sa vision particulièrement nuancée, résumée par la phrase suivante: ‘Chaque fois que l’usage est bon, le logiciel libre a sa place.’ Cette conception repose sur le constat de l’inadaptation aux besoins de certaines solutions libres déjà utilisées par l’État, qui a pu conduire les agents à recourir à des solutions propriétaires en ligne, et donc peu sécurisées. Par ailleurs, il a considéré que le coût complet (en prenant en compte les coûts de maintenance) des logiciels libres ‘n’est pas si éloigné de celui des logiciels propriétaires’.» (Note: l’actuel directeur de la Dinsic, nommé en 2018, avait déjà tenu un discours relativement tiède sur le Libre, voir cette interview à NextInpact).

Le PDG de l’Inria, Bruno Sportisse, a de même déclaré que «sur ce sujet, il ne faut pas avoir de dogme dans un sens comme dans l’autre.» Enfin, la ministre des Armées a expliqué: «Nous devons sans cesse ménager l’interopérabilité de nos forces. Nos alliés fonctionnent à partir de codes sources qui proviennent de la même entreprise, ce qui constitue une difficulté et ralentit le développement du recours aux logiciels libres.» (Note: maigre justification du fameux contrat «open bar» avec Microsoft. On constate que l’Italie, qui fait aussi partie de l’Otan, ne semble pas avoir eu de difficulté à passer à LibreOffice – il y a déjà quatre ans).

L’incitation pro-Libre du CNNum

A contrario, les sénateurs ont aussi reçu en auditions La Quadrature du Net et l’April, qui ont bien sûr «plaidé vigoureusement en faveur du logiciel libre, tant pour les administrations que pour les individus, notamment parce que l’utilisateur, qui a accès au code source, peut en comprendre le fonctionnement et le modifier, ce qui est de nature à préserver sa liberté et à nourrir sa confiance dans la solution numérique.

L’association April lutte ainsi pour éviter ou mettre fin aux partenariats conclus par les administrations de l’État avec les géants américains du numérique, comme le ministère de l’Éducation nationale, le ministère de la Justice ou celui de la Défense. Elle plaide également pour que l’État encourage le logiciel libre, par exemple au moyen d’appels d’offres, ou en soutenant les contributions des agents publics. »

Le rapport Longuet observe aussi que le CNNum, le Conseil national du numérique avait aussi pris position (PDF – en 2017) en faveur du logiciel libre «en recommandant de leur donner la priorité dans la commande publique, pour trois raisons: le logiciel libre permet aux administrations de mieux adapter leurs services publics en développant des solutions qui leurs sont propres tout en étant interopérables, et de mieux les maîtriser, en permettant un audit et la correction en continu des failles de sécurité; enfin, le logiciel libre serait globalement moins cher.»

En 2015 déjà, le rapport «Ambition numérique» du CNNum poussait en ce sens, déclenchant des inquiétudes chez les éditeurs de logiciels propriétaires.

Le confort des agents ne peut pas être le critère ultime

Les sénateurs constatent que «pour répondre à cette exigence [de maîtrise des données], mais aussi afin de réaliser, autant que possible, des économies d’acquisition, de gestion, de maintenance et de formation, plusieurs administrations ont fait le choix de développer leurs propres solutions informatiques, à partir de logiciels dont les codes sources sont publics. C’est, par exemple, le cas de la Gendarmerie qui, depuis 2009, a équipé les 80.000 postes informatiques de ses services de solutions informatiques libres qui lui ont permis de regagner son indépendance et sa souveraineté vis-à-vis des éditeurs privés. Il serait très utile de réaliser rapidement le bilan de cette expérience unique et d’évaluer les possibilités de son extension à d’autres ministères.»

(au passage, ce bilan a plusieurs fois été fait et toujours été positif…)

En conclusion de leur partie sur le Libre, les rapporteurs jugent:

«Il est urgent d’engager rapidement une réflexion au niveau interministériel sur ce sujet. L’idée, présentée devant notre commission, selon laquelle le choix d’acquisition de logiciels par les ministères serait, in fine, dicté par le confort d’utilisation des agents n’est pas recevable.»

La commission – composée de sénateurs de différents partis et présidée par un socialiste – était d’initiative Les Républicains. La majorité LREM ignorera-t-elle ce rapport pour cela, ou peut-on espérer que ces utiles travaux ne finissent pas dans un tiroir?

Source zdnet.fr