Tag Archives: Open Source

Les applications de Tutanota sont sorties de leur phase bêta

Featured

Posted on by

Le service de courrier électronique sécurisé Tutanota annonce la fin du label bêta pour ses applications de bureau. La première version stable est disponible et le développement se poursuit.

Depuis le 21 juin, les utilisateurs du service Tutanota peuvent télécharger et installer la première version stable de l’application de courrier électronique de bureau. Elle est disponible, en plus du webmail, pour Windows, macOS et en version Linux.

Caractéristiques

Les clients de bureau s’intègrent plus profondément dans le système d’exploitation, y compris sous Linux, mais conservent les avantages de la version web au grand complet : boîte aux lettres, carnet d’adresses et calendrier cryptés, recherche de données cryptées en local, notifications d’email et de calendrier, raccourcis, filtres, liste d’autorisation pour les expéditeurs de confiance pour charger les images, mais aussi une authentification à deux facteurs avec TOTP.

Quelle différence avec la version web ?

Les clients sont plus avancés, car ils peuvent ouvrir des fichiers, envoyer des notifications, utiliser le stockage secret du système, effectuer une vérification orthographique plus poussée ou encore définir Tutanota comme client de courriel par défaut. L’éditeur annonce également une politique d’installation pour une utilisation professionnelle.

Et demain ?

Réclamée depuis plusieurs années, la fonction d’import de courrier électronique provenant d’un autre service n’est toujours pas d’actualité, contrairement à Proton ou Mailfence. Les développeurs annoncent également la mise en place d’un label blanc pour les clients de bureau et les applications, l’activation du support hors ligne et la possibilité d’ajouter l’authentification à deux facteurs en mode U2F.

Les clients sont-ils open source ?

Oui, les clients Linux, macOS et Windows sont open source, une stratégie assumée par l’éditeur et sous licence GPL-3.0. Le code source se trouve sur GitHub.

Où trouver les applications Tutanota ?

Les applications de bureau de Tutanota sont disponibles grauitement pour Windows, macOS et Linux. Les applications mobiles sont également proposées sur iOS/iPadOS et Android, notamment sur F-Droid, la boutique d’applications mobiles open source.

Source toolinux.com

Dessin vectoriel : les nouveautés d’Inkscape 1.1

Featured

Posted on by

Le logiciel libre Inkscape n’en finit pas de soigner sa monture pour se mesurer à Adobe Illustrator et séduire les illustrateurs, amateurs comme professionnels. La version 1.1 débarque avec une copieuse liste d’améliorations.

C’est quoi Inkscape ?

Inkscape est un logiciel de dessin vectoriel pour sur Windows, macOS et GNU/Linux. Il est utilisé par des graphistes et concepteurs professionnels, mais aussi par des amateurs.

Que peut-on faire avec Inkscape ?

Inkscape permet de créer des illustrations, des icônes, des logos, des diagrammes, des cartes et des rendus pour le web. L’application utilise le format – standard ouvert du W3C – SVG.

Est-ce un logiciel libre ?

Oui, Inkscape est un logiciel libre et open source sous licence GPL.

Inkscape 1.1 : les nouveautés

Inkscape 1.1 est considéré comme une version majeure, avec de nombreuses nouveautés et fonctionnalités, dont :

Une boîte de dialogue de bienvenue, qui permet de sélectionner l’apparence d’Inkscape et de choisir la taille du nouveau document ou le fichier à ouvrir
Une palette de commandes qui s’ouvre lorsque vous appuyez sur la touche ?
Un système d’ancrage des boîtes de dialogue réécrit
Un nouveau mode d’incrustation des contours
Des options des préférences désormais plus faciles à trouver grâce au nouveau champ de recherche
Une extension pour la mise à jour des extensions et l’installation d’extensions supplémentaires (en bêta)

Pour en savoir plus, vous pouvez consulter les notes de publication complètes d’Inkscape 1.1 (en anglais pour l’instant).

Le site officiel est quasi entièrement traduit en français à cette adresse.

Télécharger Inkscape

Vous pouvez télécharger gratuitement la dernière version d’Inkscape pour Windows, macOS ou encore GNU/Linux depuis cette page. Le code source se trouve ici.

Pour télécharger Inkscape sous Linux, 3 formats sont disponibles prêts à l’emploi : AppImage, Snap et PPA.

Source toolinux.com

Sortie d’Audacity 3.0 : un nouveau format d’enregistrement

Featured

Posted on by

Ce sont des dizaines de bugs qui ont été éradiqués pour mener à la sortie d’Audacity 3.0 pour Linux, Windows et macOS. Avec un nouveau format d’enregistrement par défaut.

C’est quoi Audacity ?

Audacity est un logiciel d’enregistrement et de montage sonores.

Qui a créé Audacity ?

Audacity a été créé par Dominic Mazzoni de l’Université Carnegie en 2000.

Logiciel libre ?

Oui, Audacity est un logiciel libre, open source et gratuit. Il est distribué sous licence libre (GPL).

Audacity 3 : les nouveautés

160 bugs ont été neutralisés selon la présentation officielle, mais la principale nouveauté de la version 3.0 d’Audacity est l’introduction d’un nouveau format audio d’enregistrement, .aup3, qui succède à .aup. Ce dernier regroupe l’ensemble des « petits’ fichiers d’un projet au sein d’un seul fichier doté d’une basé de données SQlite. La version .aup3 serait moins gourmande en ressources et plus fiable.

On note également une nouvelle version du ‘Noise Gate’ et un tout nouvel outil d’analyse ‘Label Sounds’ (sons et silences).

Toujours en attente par contre : un ravalement de façade, notamment sous Linux et macOS, où l’interface commence clairement à dater et à ne plus correspondre aux standards de l’époque. Cela tombe bien : un sondage a été lancé en ligne pour connaître les attentes des utilisateurs.

Télécharger et installer Audacity

Audacity peut être téléchargé gratuitement via le site officiel pour Linux, Windows et macOS.

Le code source est accessible via cette page.

Le support du MP3 est toujours conditionné à une extension.

Source toolinux.com

Avec sigstore, la Fondation Linux va authentifier les services open source

Featured

Posted on by

Les composantes open source des logiciels sont de plus en plus ciblées par les pirates informatiques ces dernières années. Pour sécuriser la chaîne d’approvisionnement des logiciels, la Fondation Linux vient d’annoncer le projet sigstore permettant de signer les versions de logiciels, images de containers et code binaire. Un projet sur lequel travaillent Google, Red Hat et l’Université Purdue;

 

 

 

La Fondation Linux a lancé un service gratuit que les développeurs peuvent utiliser pour signer numériquement leurs versions et leurs autres objets logiciels, images de containers et code binaire. Le projet vise à renforcer la sécurité et l’auditabilité de la chaîne d’approvisionnement du logiciel open source, qui fait face ces dernières années à un nombre d’attaques sans précédent. Le code Sigstore sur lequel s’appuie ce service a été développé en partenariat avec Google, Red Hat et l’Université Purdue. Il sera maintenu à l’avenir par la communauté. Toutes les signatures et les événements liés seront stockés dans un journal public infalsifiable qui peut être monitoré pour découvrir de potentiels abus.

Sigstore utilise le protocole d’authentification OpenID pour attacher les certificats aux identités. Cela signifie qu’un développeur peut utiliser son adresse email ou son compte avec un fournisseur d’identité OpenID pour signer son logiciel. Cela diffère de la signature de code traditionnelle qui nécessite d’obtenir un certificat d’une autorité de certification (CA) qui est reconnue par les éditeurs ou responsables d’un écosystème logiciel particulier, par exemple Microsoft ou Apple. L’obtention d’un certificat de signature de code traditionnel nécessite de suivre des procédures spéciales qui incluent la vérification d’identité ou la participation à un programme de développement.

Une PKI géré par la Fondation Linux

Le client de signature sigstore génère une paire de clés éphémères de courte durée et contacte l’infrastructure de clé publique (PKI) sigstore qui sera gérée par la Fondation Linux. Le service de PKI vérifie que la connexion OpenID a bien été accordée et délivre un certificat basé sur la paire de clé qui sera utilisée pour signer le logiciel. L’événement de signature est enregistré dans le journal public de logs et les clés sont ensuite supprimées. Il s’agit ici d’une autre différence par rapport à la signature numérique existante parce que chaque événement de signature génère une nouvelle paire de clés et un certificat. Finalement, l’objectif est d’avoir une preuve publique qu’une identité particulière a signé un fichier à un moment donné. C’est à la communauté de bâtir ensuite des outils utilisant ces informations pour créer des politique et des mécanismes d’application.

« C’est simplement basé sur les autorités de certification X.509 normales, afin que chacun puisse ajouter sa propre autorité de certification racine », indique Dan Lorenc, membre de l’équipe de sécurité open source de Google et contributeur du projet. « Il est possible de se débarrasser de la nôtre si on ne veut pas lui faire confiance, chacun peut ajouter ses propres intermédiaires », a-t-il expliqué à CSO. Les développeurs peuvent utiliser le service PKI public et le journal de transparence ou bien ils peuvent déployer leur propre système de signature interne pour leur organisation. Le code du service de journalisation, baptisé Rekor, et celui de l’autorité de certification racine, Fulcio, sont en open source, disponible sur GitHub.

Contrer les attaques de référentiels de packages

De façon générale, la signature de code logiciel est utilisé pour fournir des garanties sur la provenance du logiciel, en apportant la preuve qu’une portion de code vient bien d’un développeur ou d’une organisation en qui l’utilisateur a confiance. Les solutions de liste blanche d’applications, par exemple, utilisent ces informations pour appliquer les politiques d’utilisation sur les logiciels et leur provenance lorsque l’un d’eux va s’exécuter sur un système particulier. Ces politiques peuvent être étendues de la même façon aux gestionnaires de packages. Tout logiciel moderne est construit à l’aide de composants open source tiers qui constituent souvent la majeure partie de leur base de code. C’est pour cette raison qu’il y a eu des attaques contre des référentiels de packages open source comme npm, PyPi ou Ruby Gems.

L’une des techniques d’attaques récemment révélée est la confusion de dépendance. Elle agit en trompant les gestionnaires de packages par l’installation d’une fausse variante d’un package local particulier. Pour se faire, elle publie un package ayant le même nom mais se présentant comme une version supérieure dans le référentiel public. Les politiques de sécurité construites autour des signatures numériques des logiciels peuvent aider à prévenir de telles attaques. Elles permettent aussi de contrer celles où le serveur de téléchargement ou de mise à jour utilisé par un développeur de logiciels est compromis avec des packages légitimes remplacés par des logiciels malveillants ou des attaques de type « man-in-the-middle » contre les mécanismes de mise à jour du logiciel.

Créer des outils de type HaveIBeenPwned à partir du journal

Il existe d’autres attaques, comme la compromission de l’ordinateur d’un développeur ou de l’infrastructure de construction des logiciels, ou encore l’injection de code malveillant au cours des premières étapes du développement logiciel, comme dans la récente attaque SolarWinds qui a impacté des milliers d’entreprises. La signature de code n’aurait pas nécessairement empêché cette attaque car la signature d’une version logicielle est l’une des dernières étapes avant la distribution et elle aurait été faite après l’injection de code. Cependant, un journal de transparence comme celui qui fait partie de sigstore pourrait fournir des informations précieuses aux enquêteurs sur un incident ou même conduire à la détection précoce d’une compromission.

Selon Luke Hinds, responsable de la sécurité chez Red Hat, le journal peut être utilisé pour bâtir des outils de monitoring similaires dans leur fonctionnement au service de notification de violation de données HaveIBeenPwned.com. Avec ce dernier, un utilisateur peut saisir son adresse e-mail et être averti s’il apparaît dans l’une des violations publiques qui ont été répertoriées. Les développeurs pourraient utiliser un tel outil pour être avertis chaque fois que leur adresse e-mail apparaît dans le journal sigstore. Si un tel événement se produit alors qu’ils savent qu’ils n’ont pas été actifs, c’est immédiatement un signal d’alarme indiquant que leur compte ou système a peut-être été compromis et que quelqu’un signe un logiciel en leur nom. « Le journal de transparence n’a pas la capacité de bloquer les attaques, mais il vous donne sur ces attaques des informations que vous n’avez tout simplement pas actuellement », a déclaré Luke Hinds à CSO. « Il assure la transparence autour de la supply chain logicielle ».

Des chercheurs de l’Université Purdue travaillent sur un prototype d’outil de surveillance qui utilisera le journal. Les responsables de ce projet espèrent qu’au fur et à mesure la communauté open source et les acteurs privés de la sécurité vont construire des outils autour du service sigstore. Par exemple, les entreprises évoluant dans le développement pourraient déployer le système et créer des contrôles de sécurité granulaires. « En soi, ce n’est pas un moteur d’application de politique que nous créons, mais les outils et primitives que vous pouvez utiliser pour bâtir l’un de ces moteurs d’application de politique », explique Dan Lorenc, membre de l’équipe de sécurité open source de Google. « Vous pouvez avoir 12 développeurs et décider que 7 d’entre eux doivent signer un artefact pour que celui-ci soit bon », cite-t-il en exemple. « Vous pouvez imaginer toutes sortes de scénarios comme celui-là. »

Source lemondeinformatique.fr

De nouvelles fonctions professionnelles dans Tutanota

Featured

Posted on by

Le service de courrier électronique crypté open source Tutanota lance de nouvelle fonctions à destination des clients professionnels, dont le répondeur automatique et les invitations de calendrier.

C’est quoi Tutanota ?

Tutanota est un service d’e-mail chiffré, sécurisé et respectueux de la vie privée par conception. Sa conception est open source. Outre le courriel, il gère le calendrier et les contacts, également de manière sécurisée. Le développement de Tutanota est centralisé en Allemagne.

Nouvelles fonctions professionnelles

Les nouvelles fonction Business sont accessibles aux utilisateurs professionnels payants dans ’Settings’ -> ’Subscription’ -> ’Extensions’.

Quoi de neuf ?

Notifications d’indisponibilité (out of office)
Envoi d’invitations d’agenda
Possibilité d’ajouter plusieurs noms de domaine

La prochaine fonction à être mise à disposition sera les ’Templates’ (modèles). Ils permettront d’envoyer des e-mails préparés pour répondre à des demandes standardisées. La disponibilité est une question de semaines.

La feuille de route de Tutanota précise que les prochaines évolutions seront le fin du stade bêta pour les clients de bureau (Linux, macOS et Windows), l’identification biométrique dans les applications mobiles et un mode hors-ligne. L’importation des e-mails depuis un autre compte n’est toujours pas possible. C’est l’une des demandes les plus formulées, pourtant.

Lisez également

Pourquoi l’open source continue d’inspirer (et de s’imposer à) Tutanota
Tutanota, service d’e-mail crypté le plus sûr au monde ?

Source toolinux.com

VLC a 20 ans : ce qu’il faut savoir sur VideoLAN

Featured

Posted on by

Saluons cette semaine un anniversaire important : tout comme Wikipedia, VideoLAN fête cette année ses 20 ans. VLC reste l’un des principaux lecteurs multimédia open source dans le monde. Un projet démarré dans un contexte académique, en France, en 2001.

C’est quoi VLC ?

VLC est un lecteur multimédia gratuit et libre, issu du projet VideoLAN. Le logiciel est fait partie de la liste de logiciels libres préconisés par l’État français.

D’où vient VLC media Player ?

VLC (VideoLAN Client) était un projet étudiant de création d’un logiciel permettant la diffusion de vidéos via un réseau informatique. Le projet a été lancé à l’École centrale Paris.

Qui a créé VLC ?

L’auteur principal du projet est Jean-Baptiste Kempf. un informaticien français qui a reçu la médaille de l’ordre national du Mérite pour 12 ans de services dans le monde associatif et le développement informatique. En septembre 2020, il a été nommé directeur de la technologie chez Blade.

Quand a été publiée la première version de VLC ?

VLC a été publié pour la première fois le 1er février 2001 sous licence GNU GPL.

L’association a publié la lettre officielle qui autorisait la publication du projet sous licence libre.

Qu’est devenu VLC ?

20 ans après sa naissance, VLC media player (VLC) est un devenu un lecteur multimédia utilisé par 400 millions de personnes dans le monde. Il est multiplateforme et disponible sous Linux, BSD, macOS, tvOS, iOS, Android TV, Windows et Android. 20 plateformes sont représentées au total. Le logiciel est toujours distribué sous licence GNU GPL.

Ça ressemble à quoi VLC ?

Voici une capture d’écran de VLC sous Linux dans l’environnement GNOME :

Peut-on personnaliser VLC ?

Oui, il existe toute une série de « skins » (apparences) pour personnaliser VLC.

Quelle est la dernière version de VLC ?

À l’heure où nous écrivons, la dernière version officielle stable est VLC 3.0.12 « Vetinari ». Publiée en janvier 2021, elle apporte le support natif des nouvelles puces Apple Silicon.

Source toolinux.com

Brave adopte l’IPFS : en route pour un web décentralisé

Featured

Posted on by

Le navigateur open source Brave s’offre une longueur d’avance avec l’intégration sur ordinateur de l’InterPlanetary File System.

C’est quoi IPFS ?

L’InterPlanetary File System (IPFS) est, selon Framalibre, un protocole p2p qui se rêve en successeur du World Wide Web et du HTTP. Son but : « lutter contre la centralisation du web, la censure, et le manque de résilience des infrastructures du web ».

L’IPFS est avant tout une technologie permettant aux créateurs de distribuer du contenu sans coûts élevés de bande passante grâce à la déduplication et à la réplication des données.

La commande à utiliser est la suivante : ipfs ://

Protocol Labs et Brave lancent l’IPFS

Brave est le premier navigateur web à adopter IPFS (ou InterPlanetary File System). L’annonce a été officialisée le 19 janvier 2021 par Brian Bondy, CTO et cofondateur du navigateur basé sur Chromium (édition open source de Chrome).

Pour y arriver, une collaboration a été mise en place avec l’inventeur de l’IPFS, Protocol Labs, un laboratoire de recherche et de développement à l’origine d’autres projets comme Filecoin et libp2p.

IPFS dans Brave : comment ça marche ?

Le support IPFS annoncé cette semaine permet aux utilisateurs de Brave sur ordinateur de télécharger du contenu en utilisant un « hachage de contenu », connu sous le nom de Content identifier (CID). Il faut utiliser la version 1.19 du navigateur web pour en profiter pour Linux, Windows et macOS.

Source toolinux.com

Passer de Whatsapp à Signal ou Telegram sous Linux

Featured

Posted on by

Whatsapp ne s’attendait probablement pas à une telle fronde, après l’annonce de la modification de ses conditions d’utilisation. Une migration en masse vers deux applications, Signal et Telegram, est en marche. Comment en profiter sous Linux ?

Modification des conditions générales de WhatsApp

La politique de confidentialité de WhatsApp a changé ce 4 janvier. En l’acceptant, l’utilisateur va autoriser le partage des données avec sa maison-mère, Facebook. En Europe, toutefois, l’application ne pourra partager des données avec Facebook que dans le cadre de conversations avec des entreprises.

Suite à cette annonce, l’application Signal a rapidement profité d’un transfert massif d’utilisateurs, mais elle n’est pas la seule. Telegram a également connu une forte attraction. Bonne nouvelle pour les utilisateurs d’un système libre : il est possible d’utiliser Signal et Telegram sous Linux.

Signal sous Linux : comment ça marche ?

Signal est une alternative à WhatsApp qui a reçu une note de 5/5 en matière de sécurité par la Fondation Mozilla en 2020.

C’est quoi, Signal ?

SIgnal est un logiciel libre de communication cryptée et sécurisée disponible sur iOS, Android, Windows, Linux et macOS. L’application est née à partir du projet Open Whisper Systems lancé en 2013, sur base de TextSecure et Redphone. Moxie Marlinspike et Brian Acton, qui n’est autre que le co-fondateur de WhatsApp, ont ensuite fondé en 2018 la Signal Foundation, pour accélérer le développement du projet, une alternative sécurisée à WhatsApp.

Depuis février 2020, la Commission européenne recommande également son utilisation pour les communications avec des personnes extérieures.

Télécharger Signal pour Linux

Pour utiliser Signal sous Linux, il suffit d’installer l’application. Les instructions sont données pour les systèmes basés sur Debian (Mint, Ubuntu) :

# 1. Installer la clé de signature

wget -O- https://updates.signal.org/desktop/apt/keys.asc |\
sudo apt-key add –

# 2. Ajouter le dépôt

echo « deb [arch=amd64] https://updates.signal.org/desktop/apt xenial main » |\
sudo tee -a /etc/apt/sources.list.d/signal-xenial.list

# 3. Mettre à jour les paquetages et installer Signal Desktop

sudo apt update && sudo apt install signal-desktop

Le code-source de Signal se trouve sur Github.

Telgram sous Linux : comment ça marche ?

Telegram est une alternative à WhatsApp, dont le développement est basé à Dubaï.

C’est quoi, Telegram ?

Telegram est un logiciel de messagerie instantanée sécurisé. Il est gratuit, libre et open source, placé sous licence GPLv3. Comme on peut le lire dans l’encyclopédie libre, la partie cliente est libre tandis que la partie serveur reste propriétaire.

Disponible sous Android et iOS, l’application Telegram peut également être utilisée avec Windows, macOS et Linux ou via un navigateur web. L’application a été créée en 2013 par deux frères, Nikolaï et Pavel Dourov, fondateurs de VKontakte. Tous deux opposants au régime de Vladimir Poutine, ils entendaient développer un moyen de communiquer pouvant échapper aux services secrets russes.

Télécharger Telegram pour Linux

Pour utiliser Telegram sous Linux, il suffit de se rendre sur la page de téléchargement pour rapatrier la version 32 bits ou l’édition 64 bits de Telegram Desktop.

Le code-source de Telegram se trouve sur Github.

Cet article pourrait également vous intéresser : « Alternative à Whatsapp : des applications sécurisées (dont 4 open source) » : Telegram, Signal, Wire et Threema.

Source toolinux.com

David Recordon : un homme de l’Open Source à la Maison Blanche

Featured

Posted on by

Il n’a pas 35 ans et sera le prochain responsable des technologies de la Maison Blanche. David Recordon est un « pur produit » de la mouvance des logiciels libres. Retour sur son impressionnant parcours.

Alors que son mandat débutera le 20 janvier prochain, le futur président Joe Biden a choisi son directeur de la technologie. David Recordon quittera bientôt San Francisco pour rejoindre Washington DC.

Né en septembre 1986 à Portland (Oregon), il est un fervent défenseur de l’open source et des standards ouverts. Il fut d’ailleurs le plus jeune lauréat du prix Google-O’Reilly Open Source en 2007.

La communauté des logiciels libres le connait bien, puisqu’il a fortement influencé le développement d’OAuth et OpenID.

Un parcours impressionnant dans le domaine de l’open source

Ingénieur et développeur, il a été l’architecte de l’IT et de la sécurité au sein de la Fondation de Chan Zuckerberg. Il a également contribué à la mise en place des plates-formes ouvertes de Six Apart (Movable Type et TypePad) avant de devenir directeur de l’ingénierie de Facebook (Phabricator).

Recordon a également dirigé un autre projet open source, Cassandra. Ce système de gestion de base de données de type NoSQL est conçu pour gérer des quantités massives de données sur un grand nombre de serveurs.

Après Obama, au service de Biden

Cette semaine David Recordon a été nommé directeur de la technologie au de l’administration de Joe Biden et du vice-Kamala Harris, mais il n’est pas un inconnu à bord, puisqu’il a dirigé ces dernières semaines les opérations technologies de l’équipe de transition.

De plus, avant de rejoindre la Fondation de la pédiatre et philanthrope épouse de Mark Zuckerberg, il a occupé un poste de directeur IT au sein de l’administration Obama.

Sa réputation ne semble pas avoir été entachée par son passage chez Facebook, tant sa contribution aux logiciels libres et aux standards semble faire l’unanimité auprès de ses pairs, comme auprès des dirigeants américains.

Source toolinux.com