Double information tournant autour de l'authentification forte. Consultez la deuxième partie de la depêche pour en savoir plus.
Tout d'abord, le consortium OATH a publié les spécifications de deux algorithmes permettant de concevoir des tokens matériels :

• Une première spécification publiée courant 2004 concerne les générateurs de mots de passe en mode asynchrone : à chaque appui sur un bouton du token, un nouveau mot de passe est généré ;
• Une deuxième spécification, publiée il y a quelques jours à peine (d'où cette dépêche) traite d'un mode de génération de mots de passe à usage unique dépendant du temps, où chaque mot de passe possède une durée de vie de quelques secondes.

Ces deux documents permettent d'imaginer des tokens matériels d'authentification forte libres. Pas gratuits, ça non, mais ouverts, ce qui serait déjà un grand pas en avant.

Et justement, le projet OpenToken vise à concevoir des tokens ouverts, ainsi que les outils logiciels associés, en se basant sur la dernière spécification OATH afin de garantir un fonctionnement transparent. Pour l'instant le projet est en cours de lancement et les objectifs sont ambitieux, n'hésitez donc pas à vous abonner à la liste de diffusion opentoken-devel pour contribuer.

Si le concept vous intéresse, ces informations sont présentées plus en détails dans la suite de la dépêche...

Cette information, parue au Journal officiel de la République française n°41 du 17 février 2007, est passée presque inaperçue, même pour la plupart des administrations. Elle est pourtant essentielle, Il s'agit du fondement du RGS (Référentiel Général de Sécurité).

Une autorité de certification a pour but de s'assurer de l'identité du correspondant. Il s'agit d'un "tiers de confiance" qui assure à chacun que son correspondant est bien celui qu'il prétend être.

Avec cette autorité racine, l'administration n'a plus besoin de faire appel à des organismes privés tels que Thawte, Certinomis, Baltimore, Certplus, Entrust.net, Verisign, GlobalSign, Certificate Center, Cybertrust... On trouvera dans le lien securite.teamlog cette liste non exhaustive des principaux organismes reconnus nativement par les navigateurs. Il faudra donc que tous les navigateurs reconnaissent maintenant ce nouvel organisme de certification de façon à éviter la mésaventure de l'ASSEDIC.

En plus de la sécurité et de l'indépendance, c'est une économie non négligeable pour l'administration française. Il s'agit d'une démarche cohérente avec le RGI dont nous attendons avec impatience les arrêtés d'applications.

ADULLACT (Association des Développeurs et des Utilisateurs de Logiciels Libres pour les Administrations et les Collectivités Territoriales) vient de franchir un nouveau cap, son logiciel S²LOW vient d'être homologué par la direction générale des collectivités locales (DGCL).

De quoi s'agit-il ?

Lorsqu'une collectivité territoriale doit transmettre des actes à la préfecture pour en faire valider la légalité, il faut sécuriser les protocoles de façon à assurer l'authentification des intervenants et la sécurité des échanges. Ce protocole préconisé par le ministère de l'intérieur se nomme ACTES.
Un autre protocole, nommé HELIOS, sera bientôt utilisé par le ministère des finances. D'autres protocoles adaptés aux métiers (Etat-Civil, Urbanisme, etc.) sont en cours d'élaboration.

S²LOW (Service Sécurisé Libre inter-Opérable pour la Vérification et la Validation) est un tiers de télétransmission multiprotocoles. Associé au parapheur électronique, S²LOW est une pièce majeure de l'architecture que met en place Adullact pour permettre la dématérialisation des actes.

Ces logiciels sont fournis sous licence libre (CeCILL v.2) compatible GPL.

Les résultats d'une enquête sur "Et si le secteur public libérait ses propres logiciels ?" seront présentés lors d'un séminaire en Belgique à Bruxelles le 28 novembre 2006 (de 9:00 à 17:00)

Lieu : Eurovillage (Room London), 80 Boulevard Charlemagne

L'enquête a été financée par par la Direction générale de la Société de l'information et des médias de la Commission Européenne.

L'objectif est de « réunir des acteurs éminents des structures publiques européennes, au niveau local, régional, national et européen, de l'industrie et des PME, des académiques, économistes et des hommes politiques. »

C'est ouvert à tous.

Courant 2007, l'administration centrale française (essentiellement les ministères) va voir 400 000 de ses postes informatiques migrer vers la suite bureautique OpenOffice.org et le format ouvert OpenDocument, ce qui constitue actuellement la plus grosse migration vers OpenOffice.org au monde.

Le groupe de travail interministériel responsable de ce déploiement met à disposition des administrations de nombreux outils : cédérom interministériel d’installation d’OpenOffice.org, mallette pédagogique, formation en ligne, pack de communication, outils d’accompagnement, mémentos, guide, etc.

Cette migration fait suite à celle très médiatisée de la Gendarmerie Nationale.

Comme il a déjà été dit, les 9 et 10 décembre sont les jours détaxe 2005. Le communiqué de presse, ainsi que la liste des organisations co-signataires (AFUl, APRIL, FSF France, Mandriva, ADULLACT, CETRIL, SCIDERALLE) sont en ligne.
Ce week-end il va s'agir de faire le plus de bruit possible. On en appelle à toutes les personnes qui connaissent des journalistes (TV, radio, presse écrite) à relayer le communiqué. Tout le monde peut distribuer des tracts pour informer la plus grande majorité sur l'illégalité de la situation.

Pour rappel, la DGCCRF (Direction Générale de la Consommation, de la Concurrence et de la Répression des Fraudes) reconnaît maintenant par écrit que matériel et logiciel sont des produits distincts, et doivent donc faire l'objet, entre autres, d'un affichage séparé. C'est déjà une victoire mais ça ne suffit pas !

Enfin, ceux qui sont occupés ce week-end peuvent toujours aller regarder du coté des Actions Automne 2005 pour les démarches en cours.

On espère un maximum de retentissement ce week-end !

L’annonce a été faite lors du groupe de travail « poste de travail libre » de l’agence pour le développement de l’administration électronique. Déjà annoncé lors de Solutions Linux 2005, une des motivations de l’utilisation du logiciel libre par la gendarmerie est la maîtrise de son système d’information. Dans ce cadre, il est aisé de comprendre qu’inventorier son parc de machines et de logiciels est une nécessité.

OCS Inventory était une des solutions libres existantes. La communauté était peu active, qu’à cela ne tienne les développeurs s’approprient le code et « fork » : bienvenue à OCS Inventory New Generation ! Trois mois après, le code est aujourd’hui à la disposition de tous sur SourceForge (en version bêta).

La télédéclaration de revenus est apparemment un succès cette année, dépassant les prévisions de dimensionnement des serveurs et causant un embouteillage de contribuables. Des efforts ont été fait pour permettre une télédéclaration via un système libre GNU/Linux. On se rappelle d'ailleurs que le ministère français des finances a annoncé en 2004 sa migration partielle vers le logiciel libre (GNU/Linux, Samba, Bugzilla, etc.) dans le cadre des programmes Copernic et ADELE.

Au final, on relèvera trois contraintes gênantes pour des utilisateurs de logiciels libres :
- l'applet et sa bibliothèque de chiffrement propriétaire ;
- la nécessité d'accepter une licence avec la société américaine Sun pour déclarer ses revenus en France (« Si vous disposez de Windows ou Linux avec un des navigateurs suivants Netscape 6 ou 7, Mozilla, Opera (version sans JVM) ou Galeon : cliquez ici » qui envoie sur java.sun.com) ;
- la nécessité d'accepter de faire confiance à une autre société américaine (trop célèbre :() Verisign qui fournit le certificat pour la télédéclaration.

L'association Hispalinux a pour mission de promouvoir les logiciels libres en Espagne.

Cette dernière a décidé d'intenter une action en justice contre la sécurité sociale, plus exactement contre le "Sistema Red", qui nécessite obligatoirement Microsoft Windows pour la connexion et l'envoi des données.

C'est un peu comme si le ministère des Finances offrait une réduction d'impôts en cas de télédéclaration par Internet mais que le logiciel ne tournait que sous Windows (sauf que ce système s'adresse aux entreprises et commerçants).

L'association Capital Games vient de recevoir de la région Île de France une subvention d'un montant de 640 000 ¤ pour financer la R&D en jeux vidéo disponibles sous LGPL.
Comment utiliser au mieux l'argent public pour le financement de la R&D en informatique ? En effet, est-il légitime de financer une boîte, pour innovante qu'elle soit, alors qu'elle seule profitera des retours sur investissement...

La région Île de France semble avoir en tout cas compris qu'il vaut mieux financer des projets en logiciels libres, pour maximiser l'utilité des subventions à la R&D.