Monthly Archives: mars 2021

GNOME : le GUADEC 2021 aura lieu en juillet

Featured

Posted on by

La conférence annuelle des développeurs et utilisateurs de GNOME aura bien lieu du 21 au 25 juillet prochains. En fonction de la situation sanitaire, elle se tiendra dans un format hybride : sur place ou à distance.

La GNOME Foundation confirme la tenue de GUADEC 2021 du 21 au 25 juillet à Mexico. En attendant les modalités d’inscription, l’appel à participation est bien ouvert et se termine le 22 mars en soirée.

Les 2 premières journées (21 et 22 juillet) seront dédiées aux conférences et aux « talks » (interventions). Les 23 et 24 juillet seront eux consacrés aux ateliers, BoFs et autres réjouissances.

La Fondation a publié une liste de thématiques idéales pour les conférenciers potentiels, mais elle n’est pas exhaustive :

Développement d’application
Vie privée et sécurité
Communauté et esprit d’équipe
Conception d’expérience utilisateur et développeur
Utilisation des technologies GNOME au-delà du bureau (desktop)
Initiatives nouvelles
Planification de projets et gouvernance

L’inscription pour les conférenciers se fait en ligne.

Source toolinux.com

Session d’échanges « Libre à vous ! » en visio

Featured

Posted on by

Rendez-vous samedi 27 mars 2021 à 16 h en visioconférence pour échanger autour de l’émission « Libre à vous ! ».

Auditeurs et auditrices de notre émission de radio Libre à vous !, nous aimerions échanger avec vous. De votre côté, vous avez peut-être envie de nous poser des questions, de nous faire des remarques. Bien sûr vous pouvez nous contacter par courriel ou par d’autres moyens. Mais vous préférez peut-être un échange plus convivial, dans lequel on se voit. On vous propose donc un nouveau rendez-vous hebdomadaire, chaque samedi à 16h en visioconférence. La première rencontre aura lieu samedi 27 mars et se déroulera sur un salon de visioconférence.

Se connecter en visio samedi 27 mars 2021 à 16 h

Avec sigstore, la Fondation Linux va authentifier les services open source

Featured

Posted on by

Les composantes open source des logiciels sont de plus en plus ciblées par les pirates informatiques ces dernières années. Pour sécuriser la chaîne d’approvisionnement des logiciels, la Fondation Linux vient d’annoncer le projet sigstore permettant de signer les versions de logiciels, images de containers et code binaire. Un projet sur lequel travaillent Google, Red Hat et l’Université Purdue;

 

 

 

La Fondation Linux a lancé un service gratuit que les développeurs peuvent utiliser pour signer numériquement leurs versions et leurs autres objets logiciels, images de containers et code binaire. Le projet vise à renforcer la sécurité et l’auditabilité de la chaîne d’approvisionnement du logiciel open source, qui fait face ces dernières années à un nombre d’attaques sans précédent. Le code Sigstore sur lequel s’appuie ce service a été développé en partenariat avec Google, Red Hat et l’Université Purdue. Il sera maintenu à l’avenir par la communauté. Toutes les signatures et les événements liés seront stockés dans un journal public infalsifiable qui peut être monitoré pour découvrir de potentiels abus.

Sigstore utilise le protocole d’authentification OpenID pour attacher les certificats aux identités. Cela signifie qu’un développeur peut utiliser son adresse email ou son compte avec un fournisseur d’identité OpenID pour signer son logiciel. Cela diffère de la signature de code traditionnelle qui nécessite d’obtenir un certificat d’une autorité de certification (CA) qui est reconnue par les éditeurs ou responsables d’un écosystème logiciel particulier, par exemple Microsoft ou Apple. L’obtention d’un certificat de signature de code traditionnel nécessite de suivre des procédures spéciales qui incluent la vérification d’identité ou la participation à un programme de développement.

Une PKI géré par la Fondation Linux

Le client de signature sigstore génère une paire de clés éphémères de courte durée et contacte l’infrastructure de clé publique (PKI) sigstore qui sera gérée par la Fondation Linux. Le service de PKI vérifie que la connexion OpenID a bien été accordée et délivre un certificat basé sur la paire de clé qui sera utilisée pour signer le logiciel. L’événement de signature est enregistré dans le journal public de logs et les clés sont ensuite supprimées. Il s’agit ici d’une autre différence par rapport à la signature numérique existante parce que chaque événement de signature génère une nouvelle paire de clés et un certificat. Finalement, l’objectif est d’avoir une preuve publique qu’une identité particulière a signé un fichier à un moment donné. C’est à la communauté de bâtir ensuite des outils utilisant ces informations pour créer des politique et des mécanismes d’application.

« C’est simplement basé sur les autorités de certification X.509 normales, afin que chacun puisse ajouter sa propre autorité de certification racine », indique Dan Lorenc, membre de l’équipe de sécurité open source de Google et contributeur du projet. « Il est possible de se débarrasser de la nôtre si on ne veut pas lui faire confiance, chacun peut ajouter ses propres intermédiaires », a-t-il expliqué à CSO. Les développeurs peuvent utiliser le service PKI public et le journal de transparence ou bien ils peuvent déployer leur propre système de signature interne pour leur organisation. Le code du service de journalisation, baptisé Rekor, et celui de l’autorité de certification racine, Fulcio, sont en open source, disponible sur GitHub.

Contrer les attaques de référentiels de packages

De façon générale, la signature de code logiciel est utilisé pour fournir des garanties sur la provenance du logiciel, en apportant la preuve qu’une portion de code vient bien d’un développeur ou d’une organisation en qui l’utilisateur a confiance. Les solutions de liste blanche d’applications, par exemple, utilisent ces informations pour appliquer les politiques d’utilisation sur les logiciels et leur provenance lorsque l’un d’eux va s’exécuter sur un système particulier. Ces politiques peuvent être étendues de la même façon aux gestionnaires de packages. Tout logiciel moderne est construit à l’aide de composants open source tiers qui constituent souvent la majeure partie de leur base de code. C’est pour cette raison qu’il y a eu des attaques contre des référentiels de packages open source comme npm, PyPi ou Ruby Gems.

L’une des techniques d’attaques récemment révélée est la confusion de dépendance. Elle agit en trompant les gestionnaires de packages par l’installation d’une fausse variante d’un package local particulier. Pour se faire, elle publie un package ayant le même nom mais se présentant comme une version supérieure dans le référentiel public. Les politiques de sécurité construites autour des signatures numériques des logiciels peuvent aider à prévenir de telles attaques. Elles permettent aussi de contrer celles où le serveur de téléchargement ou de mise à jour utilisé par un développeur de logiciels est compromis avec des packages légitimes remplacés par des logiciels malveillants ou des attaques de type « man-in-the-middle » contre les mécanismes de mise à jour du logiciel.

Créer des outils de type HaveIBeenPwned à partir du journal

Il existe d’autres attaques, comme la compromission de l’ordinateur d’un développeur ou de l’infrastructure de construction des logiciels, ou encore l’injection de code malveillant au cours des premières étapes du développement logiciel, comme dans la récente attaque SolarWinds qui a impacté des milliers d’entreprises. La signature de code n’aurait pas nécessairement empêché cette attaque car la signature d’une version logicielle est l’une des dernières étapes avant la distribution et elle aurait été faite après l’injection de code. Cependant, un journal de transparence comme celui qui fait partie de sigstore pourrait fournir des informations précieuses aux enquêteurs sur un incident ou même conduire à la détection précoce d’une compromission.

Selon Luke Hinds, responsable de la sécurité chez Red Hat, le journal peut être utilisé pour bâtir des outils de monitoring similaires dans leur fonctionnement au service de notification de violation de données HaveIBeenPwned.com. Avec ce dernier, un utilisateur peut saisir son adresse e-mail et être averti s’il apparaît dans l’une des violations publiques qui ont été répertoriées. Les développeurs pourraient utiliser un tel outil pour être avertis chaque fois que leur adresse e-mail apparaît dans le journal sigstore. Si un tel événement se produit alors qu’ils savent qu’ils n’ont pas été actifs, c’est immédiatement un signal d’alarme indiquant que leur compte ou système a peut-être été compromis et que quelqu’un signe un logiciel en leur nom. « Le journal de transparence n’a pas la capacité de bloquer les attaques, mais il vous donne sur ces attaques des informations que vous n’avez tout simplement pas actuellement », a déclaré Luke Hinds à CSO. « Il assure la transparence autour de la supply chain logicielle ».

Des chercheurs de l’Université Purdue travaillent sur un prototype d’outil de surveillance qui utilisera le journal. Les responsables de ce projet espèrent qu’au fur et à mesure la communauté open source et les acteurs privés de la sécurité vont construire des outils autour du service sigstore. Par exemple, les entreprises évoluant dans le développement pourraient déployer le système et créer des contrôles de sécurité granulaires. « En soi, ce n’est pas un moteur d’application de politique que nous créons, mais les outils et primitives que vous pouvez utiliser pour bâtir l’un de ces moteurs d’application de politique », explique Dan Lorenc, membre de l’équipe de sécurité open source de Google. « Vous pouvez avoir 12 développeurs et décider que 7 d’entre eux doivent signer un artefact pour que celui-ci soit bon », cite-t-il en exemple. « Vous pouvez imaginer toutes sortes de scénarios comme celui-là. »

Source lemondeinformatique.fr

OpenDay

Featured

Posted on by

Les vidéos des présentations de l’OpenDay sont désormais disponibles sur
PeerTube sous licence libre Creative Commons BY-SA 4.0.

Encore bravo aux étudiants pour l’organisation de cet événement ! C’est
leur implication qui a rendu possible cette matinée de conférences et la
diffusion des vidéos.

Présentation du logiciel libre, Jean-Christophe Becquet
https://tube.nocturlab.fr/videos/watch/684aa6b8-c0ca-4bcd-8320-89d542e219d4?fbclid=IwAR0TVULkynJyx6il5IFCtfrFD9wj4cdwAih4Zy1dStOFUKKkAnfteta706o

Logiciel libre, entreprises et modèles économiques, Clément Oudot et
Damien Accorsi
https://tube.nocturlab.fr/videos/watch/6e945ea6-e561-40a0-b05c-0d86e3116952?fbclid=IwAR1uK45ysxZ9504Aa8g3wfMW3Hth9jALO2Dsibb8v3Gt2YE5W5oB5LSEGzg

Comment contribuer au logiciel libre ?, Mélanie Nguyen
https://tube.nocturlab.fr/videos/watch/6c99f648-b3b2-489c-bcd4-373b2df26e82?fbclid=IwAR38KWOnZynIWqNqSvSxtfsSiydIJOpBp-Fqyfho1EP_yM82DblJrWhndIc

Favoriser l’auto-hébergement des données personnelles avec un Raspberry,
Marc Hepiegne et Samuel Vermeul
https://tube.nocturlab.fr/videos/watch/270229ac-9570-4bc6-ad54-71e032103f73?fbclid=IwAR17JGmBXSlgiWpw-w5n5zOhbN2b0FYTm9PmTAwFQWXj6mOiGFgxNTMn3vY

Rappel du programme avec les liens vers les supports et les vidéos des
présentations.
https://open-day.netlify.app/#/Planning

La distribution Linux Lite basée sur Ubuntu peut-elle remplacer Windows sur le desktop ?

Featured

Posted on by

 

Linux comme système d’exploitation pour un ordinateur de bureau et non Windows ? L’idée continue de faire débat et des exemples venus de pays comme l’Allemagne l’illustrent. Ces développements portent les germes d’une possible relance du chantier LiMux dont l’annonce de l’abandon au profit de Windows 10 est tombée au cours du troisième trimestre de l’année 2017 dans le cadre d’un précédent accord de coalition entre le Parti social-démocrate (SPD) et l’Union chrétienne sociale (CSU). Ils ne ferment non plus la porte à des regards de la municipalité de Munich sur des distributions comme Linux Lite qui ciblent les habitués de Windows.

Linux Lite est présenté comme système d’exploitation passerelle mis sur pied pour rendre la transition de Windows à un système d’exploitation basé sur le noyau Linux aussi aisée que possible. Basée sur la version support à long terme d’Ubuntu 20.04, la version 5.4 rc1 de Linux Lite est disponible depuis peu. Elle vient avec de nombreuses améliorations dont l’une des plus notables est la prise en charge totale de l’UEFI. En sus, on note (à côté d’autres nouveautés) l’introduction de nouveaux outils de configuration de pare-feu (désactivé par défaut) et de génération de notifications de mises à jour.

Vidéo

Linux Lite 5.4 rc1 ne corrige malheureusement pas l’une des plus grosses tares connues pour faire partie des raisons pour lesquelles Linux n’arrive pas à s’imposer dans la filière des systèmes d’exploitation de bureau face à Windows : l’éditeur ne propose pas de partenariat avec un fabricant d’équipement d’origine (OEM). À date, UOS Linux est l’un des rares systèmes d’exploitation basés sur le noyau Linux à adopter cette approche.

Avec la sortie de UOS Linux (ou Deepin Linux v20) en mars 2021, l’éditeur assure que le système d’exploitation prend en charge des processeurs de fabricants locaux comme Longsoon et Sunway. La manœuvre est destinée à s’assurer que ce dernier soit installé sur des ordinateurs dotés dudit matériel et livrés aux utilisateurs. Union Tech annonce des temps de démarrage pouvant descendre jusqu’à 30 secondes sur lesdites plateformes. En sus, le groupe annonce des partenariats avec des entreprises comme Huawei dans le but de voir le système d’exploitation installé par défaut sur ses ordinateurs portables. La stratégie vise à faire en sorte que l’OS gagne plus en popularité au niveau national ; une approche qui pourrait avoir des retombées positives pour le système d’exploitation à l’échelle globale… C’est en tout cas ce qu’espèrent les esprits derrière la manœuvre qui veulent prouver que la Chine peut aussi exporter de bons systèmes d’exploitation. D’après Union Tech, l’OS répond aux besoins quotidiens sur le desktop même s’il ne prend pas en charge de nombreux logiciels professionnels. Son adoption en Chine se fera dans le cadre d’un processus progressif.

On peut le voir comme une conséquence de la guerre économique entre les USA et la Chine : Lenovo n’a de cesse d’embrasser Linux. De façon historique, Lenovo a toujours certifié uniquement certains produits avec un sous-ensemble limité de configurations matérielles pour les utilisateurs qui déploient Linux sur un ordinateur de bureau ou un poste de travail mobile. L’entreprise étend désormais son offre de certification à plusieurs modèles d’ordinateurs grand public ThinkPad X, X1, L et T : ThinkPad X13 (Intel et AMD) ; ThinkPad X13 Yoga ; ThinkPad X1 Extreme Gen 3 ; ThinkPad X1 Carbon Gen 8 ; ThinkPad X1 Yoga Gen 5 ; ThinkPad L14 ; ThinkPad L15 ; ThinkPad T14 (Intel et AMD) ; ThinkPad T14s (Intel et AMD) ; ThinkPad T15p ; ThinkPad T15. Les ordinateurs de la série L viendront préinstallés avec Ubuntu 18.04. Ceux des séries X et X1 sortiront des maisons Lenovo avec Ubuntu 20.04 LTS préinstallé.

L’offre concerne également les stations de travail ThinkPad P et ThinkStation : ThinkPad P15s ; ThinkPad P15v ; ThinkPad P15 ; ThinkPad P17 ; ThinkPad P14s ; ThinkPad P1 Gen 3 ; ThinkStation P340 ; ThinkStation P340 Tiny ; ThinkStation P520c ; ThinkStation P520 ; ThinkStation P720 ; ThinkStation P920 ; ThinkStation P620. Celles-ci viennent équipées de Linux Ubuntu 20.04 LTS préinstallé. Lenovo devrait poursuivre avec la manœuvre pour d’autres modèles. En effet, cette extension fait suite à l’annonce de l’atterrissage d’une certification Linux sur sa gamme entière d’ordinateurs ThinkPad P et ThinkStation. Dans le cadre de cette initiative, l’entreprise se veut claire : il s’agit de donner le choix entre Ubuntu et RedHat pour chaque modèle ou configuration.

L’édition 2020 du Dell XPS 13 pour les développeurs est disponible pour un peu plus de 1000 dollars. Nouveauté : la certification Linux Ubuntu 20.04 LTS fruit du partenariat de longue date entre Canonical et Dell dans le cadre du projet Sputnik. Ainsi, l’entreprise américaine est avec Lenovo parmi les rares sur le marché à faire des incursions sur le terrain du matériel livré avec Linux préinstallé. Il se dit que c’est un préalable nécessaire pour que le célèbre système d’exploitation open source espère battre la famille des OS Windows dans la filière des ordinateurs de bureau. Le temps nous dira si ce dernier est suffisant pour que Linux devienne le champion sur le desktop.

Source  linuxliteos

Comment installer Flatpak pour les applications Linux sous ChromeOS et quel Chromebook choisir ?

Featured

Posted on by

Cela fait deux ans que le système d’exploitation ChromeOS a adopté les applications Linux natives. Voici comment utiliser Flatpak pour faciliter leur installation et quelques modèles Chromebook disponibles à moins de 350 euros en ligne.

Applications Linux et Chrome OS

Depuis mai 2019, la plupart des ordinateurs et tablettes ChromeOS peuvent faire tourner des applications Linux natives. Nous vous en parlions d’ailleurs dans cet article.

Comment ça marche ?

Jusqu’alors, il fallait utiliser une solution d’émulation (comme Crouton) pour faire tourner Ubuntu ou Debian aux côtés de ChromeOS. Désormais, il suffit d’activer un conteneur Debian depuis le terminal fourni avec ChromeOS. Et c’est logique : après tout, ChromeOS est un système d’exploitation basé sur un noyau Linux, des pilotes et les technologies Chromium.

C’est quoi Flatpak ?

Flatpak (auparavant xdg-app) est un système de virtualisation d’application pour les distributions Linux. Endless OS a été la première distribution Linux à intégrer Flatpak, suivie par Linux Mint.

Comment installer Flatpak dans ChromeOS

Pour installer Flatpak dans ChromeOS, il suffit de suivre ce guide pratique simplifié (en anglais).

Voici les étapes nécessaires pour Flatpak dans ChromeOS :

1. Activer le support Linux : aller dans chrome ://settings et faire dérouler la page jusqu’à la section Linux (Beta) et activer la fonction ;
2. Lancer le terminal : depuis la barre de recherche, taper ’Terminal’ et lancer l’application ;
3. Installer flatpak via le terminal grâce à la commande suivante

sudo apt install flatpak

4. Ajouter un dépôt comme flathub.org grâce à la commande suivante :

sudo flatpak –user remote-add –if-not-exists flathub
https://flathub.org/repo/flathub.flatpakrepo

Vous pouvez alors redémarrer votre session ou votre appareil ChromeOS pour profiter des applications Linux Flatpak directement dans ChromeOS.

La manipulation est encore plus simple sous Linux directement. Des guides pratiques sont disponibles en fonction de votre distribution (Ubuntu, Fedora, Endless OS, RedHat, Linux Mint, openSUSE, Debian, Gentoo, elementaryOS, etc.).

Quel Chromebook choisir à moins de 350 euros ?

Les ordinateurs sous ChromeOS présentent un avantage : ils ont souvent besoin de moins de puissance que d’autres systèmes d’exploitation. Ils sont donc plus abordables. Voici quelques modèles sous la barre des 300 euros, disponibles en ligne avec livraison chez vous, souvent le lendemain.

Acer Chromebook CB314-1H-C81H

Cet ordinateur portable de 14 pouces (résolution de 1.366 sur 768 pixels) tourne avec un processeur Intel Celeron N4020. Il dispose de 32 GB d’espace et tourne avec 4 Go de RAM. Autonomie : 12 heures environ, avec USB-C. Compatible microSD pour étendre le stockage. Il pèse 1,7 kg.

Il est disponible en ligne à 279€ TTC avec une remise de 20€.

Lenovo IdeaPad Duet Chromebook

Ce modèle 2-en-1 est à la fois une tablette ChromeOS à écran tactile et un ordinateur portable avec un clavier rétractable. Ce Chromebook de Lenovo fait 10 pouces avec une résolution full HD (1.920 sur 1.080 pixels). Il tourne sur nu processeur basse consommation MediaTek. Comptez 10 heures d’autonomie, en mode tablette ou en mode hybride (ordinateur).

Il est disponible au prix de 349€ en ligne avec 128 GB. La version 64 GB est encore disponible au prix de 260€.

Source toolinux.com

L’application Steam Link est arrivée sous Linux (Flatpak)

Featured

Posted on by

 

Collabora et Valve ont annoncé ce mercredi la disponibilité de l’application Steam Link pour les systèmes Linux 64 bits. Voici ce qu’il faut savoir.

C’est quoi Steam Link ?

L’application Steam Link permet de « streamer » les jeux Steam sur un téléphone, une tablette et un téléviseur. L’application est Android, iOS/tvOS et sur le Raspberry Pi.

L’application Steam Link est disponible gratuitement.

Steam Link pour Linux

C’est grâce à une collaboration entre Valve et l’éditeur Collabora (qui édite la suite bureautique en ligne Collabora Office basée sur LibreOffice) que l’application Steam Link est aujourd’hui disponible pour Linux. Objectif : pouvoir diffuser les jeux Steam en streaming depuis n’importe quel ordinateur.

Steam Link now available on #Linux https://t.co/Fcn9WRp38U #gaming #Steam

— Collabora (@Collabora) March 2, 2021

Vous pouvez trouver un adaptateur Steam Link en ligne.

Comment télécharger Steam Link pour Linux ?

Steam Link est disponible pour les systèmes Linux 64 bits sous la forme d’une application Flatpak, que vous pouvez installer sur n’importe quelle distribution GNU/Linux à partir de ce lien Flathub.

Lisez également : « Steam : les jeux Windows maintenant disponibles sous Linux«

Source toolinux.com

Linux Mint presse les utilisateurs à actualiser leur distribution

Featured

Posted on by

Une partie des utilisateurs de Linux Mint n’appliquent pas les mises à jour de sécurité et certains se servent encore d’une version ayant atteint la fin de son cycle de vie. Le créateur de cette distribution Linux réputée facile d’emploi s’en inquiète.

« Les mises à jour de sécurité sont très importantes. Les statistiques nous disent qu’elles ne sont pas appliquées par tous les utilisateurs. Appliquer les mises à jour maintenant ! N’utilisez pas de version de Linux Mint en fin de vie ». C’est par ces injonctions rappelant les fondamentaux de sécurité que Clément Lefèbvre, le créateur de cette distribution Linux, a alerté ses utilisateurs la semaine dernière dans un billet de blog. Pour s’assurer que ses recommandations pressantes soient bien lues, il les fait précéder de la mention TLDR (too long ; didn’t read) pour attirer l’attention des moins patients.

Car c’est un avertissement de sécurité qu’il délivre ici en s’inquiétant de voir certains utilisateurs de Mint négliger l’application des correctifs qui protègent des attaques locales ou distantes et des malwares. Or, argue-t-il, la distribution fournit « l’un des meilleurs gestionnaires de mises à jour », « très simple à utiliser », qui facilite la procédure et peut automatiser les updates. Sans oublier l’outil Timeshift, installé à partir de la version 18.3, qui permet de créer des snapshots permettant de restaurer la configuration précédente de la distribution pour annuler les effets de la mise à jour en cas de problème.

Linux Mint 17.x toujours utilisée mais plus supportée depuis 2019

Comment l’équipe de Linux Mint sait-elle qu’il y a un défaut d’actualisation chez ses utilisateurs alors qu’elle ne récupère aucune métrique auprès d’eux. Les statistiques viennent ici de Yahoo. « Après que nous ayons mis à jour Firefox 85, nous avons demandé à Yahoo de nous donner une répartition du trafic Linux Mint par agent utilisateur ». Ces statistiques ne couvrent que les personnes qui se servent de Yahoo mais elles donnent un aperçu de la situation. « Nous avons pu constater que seuls 30% des utilisateurs ont mis à jour leur navigateur web en moins d’une semaine », indique Clément Lefèbvre. Ces statistiques montrent aussi que d’autres postes s’appuyant sur des versions récentes de Linux Mint n’appliquent aucun update. « Par exemple, une partie utilise Firefox 77 qui a été livré avec Linux Mint 20 ».

Par ailleurs, en croisant deux sources, d’autres chiffres montrent que certains utilisateurs se servent encore de Linux Mint 17.x. Or, cette version a atteint la fin de son cycle de vie en avril 2019 et ne reçoit plus aucune mise à jour de sécurité depuis près de 2 ans maintenant, pointe le créateur de la distribution. « Si vous utilisez toujours Linux Mint 17.x, vous devez faire un backup de vos données et réinstaller une version moderne aussi vite que possible », enjoint-il. Un message d’alerte pour mettre à jour Firefox est envoyée aux utilisateurs concernés.

A l’avenir, le rappel des updates pourra se faire insistant

Pour tenter de remédier à cette situation à l’avenir, Linux Mint cherche à améliorer encore son gestionnaire de mise à jour. Dans certains cas, il viendra rappeler aux utilisateurs d’appliquer les updates et même, dans les cas particuliers, insister pour qu’elles soient faites, prévient Clément Lefèbvre dans un billet posté il y a deux jours. La dernière version de Linux Mint est la 20.1. Elle sera supportée jusqu’en avril 2025.

Source lemondeinformatique.fr

 

Des exploits Linux et Windows utilisant la faille Spectre découverts

Featured

Posted on by

Après avoir fait trembler la planète IT en 2018, la faille Spectre refait parler d’elle. Deux exploits Linux et Windows mal camouflés dans un outil de test d’intrusion met potentiellement à risque les systèmes utilisant d’anciens processeurs non corrigés.

La faille Spectre découverte en janvier 2018 avait affecté un très grand nombre de processeurs Intel, AMD, ARM mais également Oracle et IBM. (crédit : D.R.)

 

L’ombre de Spectre plane. Après avoir semé la panique chez les fabricants de puces tout au long du premier semestre 2018, cette vulnérabilité refait parler d’elle. Un chercheur français en sécurité, Julien Voisin, raconte dans un billet de blog avoir découvert deux exploits de Spectre. Une nouvelle qui n’est pas à prendre à la légère quand on sait qu’à l’origine, cette faille est liée à une erreur de conception au sein de la mémoire protégée du noyau (kernel) permettant un accès malveillant à des données en mémoire tampon. Si les fabricants et designers de puces (Intel, AMD, ARM, Oracle, IBM…) ont depuis palier la situation en mettant à jour leurs puces, les plus anciennes (à partir de 1995) dont les correctifs n’ont pas été appliqués, sont à risque.

Les deux exploits Spectre révélés par Julien Voisin sont loin d’être cachés dans les tréfonds du dark web, mais au contraire répertoriés dans la base de données de la plateforme d’analyse de malware VirusTotal. Le chercheur en sécurité indique avoir testé avec succès cet exploit sur un système Fedora permettant de vider le contenu de /etc/shadow, un fichier Linux qui stocke les informations de comptes utilisateurs du système d’exploitation. Outre Linux, un exploit pour Windows a aussi été trouvé.

Des exploits logés dans un outil de pen test d’Immunity

Alors comment un tel exploit a pu se retrouver dans une base de données d’un éditeur de sécurité en accès libre ? D’après HackerNews, cet exploit serait en fait utilisé en tant que module intégré à l’outil de test de pénétration Canvas, développé par Immunity. Dans un tweet, l’ancien CEO de cette société rachetée en 2019 par Cyxtera Technologies, Dave Aitel, laisse d’ailleurs présumer que la découverte de Julien Voisin est bien liée au module Canvas Spectre. Les liens vers ces deux exploits ont été téléchargés le mois dernier dans la base de VirusTotal, englobés dans le fichier d’installation 7.26 pour Windows et Linux de Canvas d’Immunity. Comme quoi le remède peut parfois être plus néfaste que le mal lui même…

Source lemondeinformatique.fr