Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

• [clubic.com] Quand la géopolitique se mêle de l'open source: Linux se sépare de ses contributeurs russes
• [ZDNET] IBM redouble d'efforts en matière d'IA open source avec de nouveaux modèles Granite 3.0
• [cio-online.com] Supply chain logicielle: explosion des composants open source malveillants en 2024
• [Next] Du code propriétaire dans le projet GNU Boot, les difficultés du libre face au matériel courant
• [Numerama] L'avenir open source de Bitwarden a connu une frayeur
• [ZDNET] Un 'Guide pratique des logiciels libres' pour une logithèque idéale

Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

• [ZDNET] Commun numérique: Panoramax, une base de photos de vues de terrain immersives
• [LeMagIT] Recrudescence d’attaques d’ingénierie sociale contre des projets Open Source
• [ZDNET] Journée du Libre éducatif 2024: 14 projets libres pour la communauté scolaire
• [Silicon] GenAI: face à NVIDIA, Intel se tourne vers l'open source
• [La Voix du Nord] Wimille: inauguration ce samedi d'un atelier numérique citoyen

Cette revue de presse sur Internet fait partie du travail de veille mené par l’April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l’April.

• [Silicon] Cyber Resilience Act: l'open source en ordre de bataille
• [Ars Technica] German state gov. ditching Windows for Linux, 30K workers migrating
• [LeMagIT] La découverte de la porte dérobée XZ révèle une attaque de la chaîne logistique Linux

Andres Freund, un développeur Postgres, s’est rendu compte dans les derniers jours que xz et liblzma ont été corrompus par l’un des mainteneurs du projet. Le problème a été découvert par chance, pour la seule raison que la performance de sshd s’était dégradée sur sa machine.

L’investigation d’Andres Freund a montré que Jia Tan, co-mainteneur de xz depuis environ un an et demi, a poussé plusieurs commits contenant une porte dérobée extrêmement bien cachée au milieu d’un certain nombre de contributions valables depuis environ deux ans et demi, après avoir gagné la confiance du mainteneur historique, Lasse Collin.

Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.

La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.

Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.

Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.

NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.

La PyConFR, l'évènement de la communauté francophone du langage de programmation python, aura lieu du 16 au 19 février 2023 à Bordeaux. L'évènement est gratuit mais l'inscription au préalable est obligatoire.

Le programme vient de paraître, le sommaire des conférences, des ateliers et des sprints vous attend dans la suite de cette dépêche.

Cette revue de presse sur Internet fait partie du travail de veille mené par l'April dans le cadre de son action de défense et de promotion du logiciel libre. Les positions exposées dans les articles sont celles de leurs auteurs et ne rejoignent pas forcément celles de l'April.

• [ICTjournal] Les entreprises gèrent mal les dépendances open source de leurs applications
• [Archimag] Cloud: le gouvernement annonce une enveloppe de 1,8 milliard d'euros
• [Clubic.com] Pourquoi Mastodon demande la publication du code source du réseau social de Trump?

Les Hubs Open Source et Cyber & Security du Pôle Systematic vous invitent à un webinaire sur la sécurité des logiciels Open Source le mardi 11 mai de 14h à 16h30.

Cet événement fait suite à l’enquête organisée fin 2020 sur les pratiques et besoins relatifs à la sécurité des logiciels Open Source, qui avait recueilli plus de 120 réponses (dont de nombreuses parmi les lecteurs de LinuxFr.org)

Après une restitution des résultats de l’enquête, une table ronde permettra de confronter les opinions d’experts -utilisateur, intégrateur, régulateur, offreur- sur les points clés émergeant de l’enquête. Les participants pourront poser à cette occasion toutes leurs questions aux intervenants (La Poste, ANSSI, SafeRiver, LinkbyNet).

Enfin, nous accueillerons David Wheeler de la Fondation Linux pour une keynote en anglais "Securing the Development & Supply Chain of Open Source Software".

Nous avons le plaisir d’offrir à tous les lecteurs LinuxFr.org des invitations pour cet événement en ligne.
Code de gratuité à saisir sur la plateforme d’inscription weezevent : LinuxFr