Une importante faille de sécurité a été mise en évidence ce week-end sur l'ensemble des noyaux Linux 2.6 récents (2.6.17-2.6.24.1). Elle permet à un utilisateur local d'obtenir les priviléges root. Le code d'exploitation est disponible publiquement depuis la fin du week-end.
Une mise à jour rapide du noyau Linux est donc nécessaire.
Le dernier noyau en date (2.6.24.2) règle définitivement le problème. Certaines distributions ont déjà rétropropagé le correctif. Les autres distributions ne devraient pas tarder.
Si vous utilisez un serveur dédié, pensez à regarder les forums de votre hébergeur pour obtenir la marche à suivre pour la mise à jour. Un lien sur le fil de discussion correspondant au sujet chez OVH a été mis en lien ci dessous, avec la marche à suivre pour leurs serveurs dédiés.
Les noyaux durcis (Grsec) sont affectés.

NdM: Merci à inico et à Victor Stinner pour leurs journaux sur le sujet.

Picidae est un projet open source (licence GPL) dédié à la lutte contre la censure de l'Internet.

Le projet est parti du constat que les pages sont censurées suivant plusieurs critères :

• Mots interdits dans le contenu de la page
  
• Mots interdits dans l'URL
  
• Site web entièrement bloqué

Ils en ont donc conclu que la solution résidait dans l'implémentation d'un serveur décentralisé permettant de passer outre ce filtrage. Le serveur Pici agit donc comme un proxy (ce qui permet de se débarrasser des filtrages d'URL). Mais le vrai "plus" de Pici c'est que pour contourner le filtrage sur le contenu des pages, il convertit ces dernières en images : "Si vous vous connectez sur un serveur Pici un formulaire apparaît pour saisir une URL. Le serveur Pici crée ensuite une image de ce site Web et vous la renvoie. Pour qu'il soit possible de naviguer sur le site, le serveur Pici analyse le site web et ajoute des liens en utilisant la fonction "image map" sur l'image pour qu'ils soient visibles, comme sur le site original".
D'autre part, les formulaires simples sont également gérés par une couche supplémentaire. Cela permet d'effectuer les habituelles requêtes de recherche, ce qui n'est pas négligeable car, par exemple en Chine, Google est accessible mais censure les résultats. Enfin, pour que l'URL saisie au départ ne puisse pas être détectée par les programmes de censure, elle est chiffrée en utilisant une petite fonction javascript.
Il est facile de faire le test en allant sur ce lien et en entrant l'URL d'un site. Une fois la page affichée on peut examiner le code html pour constater qu'effectivement tout a été transformé en image et que les liens restent cliquables avec des URL chiffrées.

Picidae est le nom latin du pic-vert : ce nom a été choisi en référence aux premiers trous creusés dans le mur de Berlin par ceux que l'on a appelé "Mauerspechte" (en français, pic-vert du mur).

À l'occasion des élections municipales et cantonales des 9 et 16 mars 2008, l'April relance l'initiative Candidats.fr.

Candidats.fr s'adresse aux citoyens désireux de sensibiliser les candidats aux enjeux du Logiciel Libre et des standards ouverts. Un des objectifs est de leur permettre de prendre des positions publiques claires avant les élections. Un cahier d'information, un Pacte du Logiciel Libre et un outil de campagne en ligne sont mis à la disposition de tous ceux qui souhaitent participer.

Pour mémoire, l'an dernier, à l'occasion des élections nationales, plus de 600 bénévoles ont participé à cette initiative unique au monde. Huit candidats à la présidentielle sur douze ont répondu à un questionnaire détaillé de 38 questions, 520 candidats aux législatives ont signé le pacte du Logiciel Libre. 68 signataires siègent aujourd'hui à l'Assemblée Nationale.

L'April appelle tous les citoyens sensibles aux enjeux du Logiciel Libre et des standards ouverts à se joindre à cette campagne en contactant leurs candidats.

La version 3.0 de l'application SignServer vient d'être annoncée. SignServer est, comme son nom le laisse à penser, un serveur de signature. Il permet dans sa dernière version de signer les PDF et les documents OpenOffice. En complément du serveur de courriel JamesServer, il permet de réaliser des opérations de signatures et de chiffrements au niveau du serveur de mail.

Signserver peut aussi faire office de serveur d'horodatage. La précédente version intègre la signature de passeport de nouvel génération (MRTD) et de signature en XML-Dsig. La prochaine version fournira la signature Xades (Signature XML avancée).

Ce logiciel est réalisé par les suédois de PrimeKey, à l'origine de la PKI OpenSource EJBCA.

A noter que le logiciel est publié sous deux versions de la LGPL : la LGPL v2.1 et LGPL V3. La version LGPL V3 contient des composants supplémentaires eux même sous LGPL V3, composants retirés de la version LGPL V2.1

Prenez un célèbre producteur et scénariste dans le vent comme J.J. Abrams (connu pour les séries TV à succès Lost, Alias), ressortez un concept très peu utilisé dans le cinéma dit du "Faisons des économies sur le matériel et filmons à l'épaule avec un caméscope", créez un buzz sur votre film en ne dévoilant rien mis à part 3 minutes de film, et faites mijoter. Vous obtenez le film Projet Blair Witch Cloverfield. Car c'est bien à un projet blair witch-like auquel on assiste, mais avec bien moins de réussite.

Cloverfield c'est donc ça : l'histoire d'une attaque de New York par un monstre géant venu d'on ne sait où, vu par une bande de jeunes (enfin l'équipe de joyeux lurons se fait décimer le long du film) qui filment cet évènement avec le caméscope de tonton Henri. Et c'est la cassette de ce caméscope qui nous est diffusée. Je rassure les lecteurs : c'est semble-t-il un caméscope d'une autre génération que les HI-8, l'image étant plutôt jolie quand même.

La bande de jeunes tente donc tantôt de s'enfuir, tantôt d'aller secourir la petite amie d'un des protagonistes, tout en croisant des soldats américains en déroute, des monstres aux mâchoires fatales et en laissant à chaque étape un de leur amis joncher le trottoir. On peut ainsi admirer leur déambulation dans les rues New York, le métro et des immeubles en ruines.

Seulement, il y a un hic. Une forte impression de coquille vide est ressentie lorsqu'on assiste avec stupéfaction à l'arrivée du générique de fin. A se demander même si finalement le très maigre contenu diffusé pour entretenir le buzz sur internet n'a pas été plus conséquent faute de mieux. Car c'est ce qui manque au film : du contenu, et du fond (spoiler ci-dessous).

Les 9èmes Rencontres Mondiales du Logiciel Libre se dérouleront du 1er au 5 juillet 2008 à Mont de Marsan.

Depuis 2007, le thème Système regroupe l’ensemble des aspects « système » des Logiciels Libres. L’accent sera mis sur certains de ces aspects. Les problématiques de réseau, sécurité, de supervision et de continuité de service seront présentés. Les systèmes embarqués et leurs applications toujours plus nombreuses dans notre vie quotidienne seront également largement abordés. Le thème Système regroupe donc cette année les sous-thèmes suivants : embarqué, réseau, sécurité, système.

Les systèmes embarqués sont de plus en plus présents dans notre société. Les concepteurs de systèmes embarqués utilisaient des solutions logicielles propriétaires payantes soumises à royalties. Depuis quelques années, un revirement de tendance est apparu avec l’usage de Logiciels Libres pour l’embarqué. Cela est rendu possible par l’adaptation du noyau Linux aux contraintes de l’embarqué (pas de MMU, faible empreinte mémoire, systèmes de fichiers en mémoire Flash...) et son portage sur différents types de processeurs.

Le sous-thème Système/Embarqué a pour but de faire le point sur l’état de l’art du Logiciel Libre pour l’embarqué.

Si vous souhaitez proposer une conférence sur l'un des sujets de Système/Embarqué, envoyez un courriel à kadionik_AT_enseirb.fr ou à pierre.ficheux_AT_openwide.fr décrivant en quelques lignes votre proposition.

William Gibson, l'écrivain de Science Fiction, inventeur du Cyberpunk, sera en séance de signature, le 14 mars de 17h à 20h, à la Librairie Scylla, 8 rue Riesener, 75012 Paris, pour la sortie de son dernier ouvrage, Code Source chez Le Diable Vauvert !

La version 4.2 de TWiki est parue fin janvier. TWiki est un moteur de Wiki flexible et robuste principalement orienté vers le travail collaboratif, le suivi de projets et la gestion de connaissances. Il est de plus en plus utilisé en entreprise comme une alternative aux habituels outils de groupware voire aux échanges de courriers électroniques et de pièces jointes pour le travail de groupe.

Créé il y a près de dix ans par Peter Thoeny, TWiki est distribué sous licence GPL. Techniquement, il est écrit en Perl et ne requière pas de base de données, les pages et les documents attachés étant versionnés à l'aide de RCS ; certains sites l'utilisant comptent plusieurs dizaines de milliers de pages.

Perline et Thierry Noisette, déjà connus pour avoir publié « La bataille du logiciel libre » viennent de publier un ouvrage consacré au vote électronique.

Ce livre d'une centaine de pages retrace l'histoire du vote et montre comment ce qui est présenté comme un progrès peut être en réalité une complication inutile qui échappe à tout contrôle. Les votes par ordinateur sont entachés de risques : pannes, bugs, piratages, fraudes indétectables.
Les auteurs citent de nombreux exemples de dérapages tant à l'étranger qu'en France.

Il faudra surtout retenir la richesse documentaire de ce livre. On y trouve aussi bien les arguments des promoteurs des machines à voter que de nombreuses références au site Ordinateurs-de-Vote.org. Il serait de bon ton que chacun de nous puisse en offrir un exemplaire à nos élus.

Il faut noter que ce livre sous licence Creative Commons by-nc-sa est également téléchargeable gratuitement et cela, dès sa parution.

NdM : petit point sur l'actualité récente autour du vote électronique en France avec la circulaire de l'Intérieur du 1er février, l'absence de vote électronique à Saint Malo cette année, pareil pour Mulhouse, le fait qu'aucune nouvelle commune ne pourra utiliser de machines à voter aux municipales, Reims qui renonce au vote électronique, l'April qui publie sa position sur le vote électronique et se retire du groupe de travail vote électronique du Forum des droits sur Internet.

Pour la prochaine rentrée en septembre 2008, le lycée Dominique Villars à Gap (05) dans les Hautes-Alpes propose la préparation en deux ans d'un Brevet de technicien supérieur Informatique de Gestion à partir uniquement de logiciels libres.

Cela fait maintenant 8 ans qu'une fois tous les deux ans une équipe pédagogique fait ce pari.
Et désormais elle le fait savoir.

Si vous êtes jeune, amateur du libre et souhaitez devenir informaticien, inscrivez-vous c'est maintenant.

Les produits Mozilla sont tous équipés d’un correcteur orthographique par défaut, qui est actuellement MySpell. Toutefois, pour bénéficier de la correction orthographique, il fallait jusqu'à présent installer soi-même le dictionnaire français.

Cette manipulation n’est désormais plus nécessaire, le dictionnaire étant dorénavant inclus par défaut, à partir des versions 2.0.0.12 de Firefox et Thunderbird, et peut-être 1.1.X de Seamonkey (si ce n'est pas possible, ce sera pour sa version 2.0).

Après plusieurs mois de travail, la première version stable du LiveCD NuFW.Live est disponible. Basé sur une knoppix, ce LiveCD permet à ses utilisateurs de tester facilement et rapidement les fonctionnalités du pare-feu NuFW, et les outils d'administration qui permettent de le gérer : Nulog2, Nuface2 en RC4, pyctd le "tueur de connexion Netfilter" ...

Le LiveCD contient également NuApplet2, un client NuFW pour Linux, ce qui permet de réaliser des tests sans rien installer, en utilisant le LiveCD sur deux machines.

NuFW.Live [version 1.0.1] est téléchargeable en HTTP et en Bittorent. Les volontaires pour fournir un miroir de téléchargement seront les bienvenus.

Le 4 février 2008, le groupe de développement PostgreSQL (PostgreSQL Global Development Group) a publié la tant attendue version 8.3 de la base de données libre la plus avancée au monde.

Concernant les performances, cette nouvelle version perpétue la montée en puissance de la branche 8 avec un lot de nouvelles fonctionnalités très intéressantes :

• La technologie HOT (Heap Only Tuples) ;
  
• L'auto-optimisation du processus d'écriture en tâche de fond ;
  
• La validation asynchrone ;
  
• L'étalement des points de vérification ;
  
• Les parcours synchronisés ;
  
• La réduction des en-têtes varlena ;
  
• La protection du parcours du cache L2 ;
  
• L'assignation paresseuse des XID.
  

Mais les administrateurs et développeurs ne seront pas non plus en reste avec notamment les nouvelles fonctionnalités suivantes :

• La journalisation applicative au format CSV ;
  
• SQL/XML ;
  
• Le support de MS Visual C++ ;
  
• La gestion des ENUM ;
  
• La recherche textuelle intégrée ;
  
• SSPI & GSSAPI ;
  
• Les tableaux de types composés ;
  
• pg_standby.
  

Bien entendu, les fonctionnalités citées ne sont en aucun cas exhaustives. Je vous invite donc à consulter la liste complète des nouvelles fonctionnalités ainsi que la matrice des fonctionnalités et les notes de versions pour avoir une idées des 300 modifications qui ont eu lieu dans cette version.

Dans le cadre de ses conférences mensuelles, la Guilde propose une introduction à la cryptographie par Xavier Belanger. La présentation se fera sur les principes de cryptographie (chiffrement à clé secrète et à clé publique) et leur application à l'aide de GPG et de ses différentes interfaces.

La conférence se tiendra dans les locaux de l'ENSIMAG, sur le campus de Saint Martin d'Hères / Grenoble, le mercredi 13 Février 2008 à partir de 19 h 30. Pour les personnes ne pouvant y assister, le diaporama sera mis à disposition sur le site de la Guilde à la suite de la conférence.

NdM : adresse de l'ENSIMAG récupérée sur leur site : 681, rue de la passerelle - Domaine universitaire - 38402 Saint Martin d'Hères

Voici quelques nouvelles neuves de la semaine tournant autour de Linux évidemment, notamment la future Fedora et la toute nouvelle Yellow Dog, la virtualisation de Parallels et Canonical, mais aussi Microsoft et ses brevets vus par Linus Torvalds.