Le système d'exploitation OpenBSD réputé pour sa robustesse (seulement deux vulnérabilités à distance dans l'installation par défaut, depuis très longtemps) aurait contenu des portes dérobées déposées volontairement par le FBI. Ces backdoors (portes dérobées) auraient été introduites dans le système d'exploitation il y a une dizaine d'années.
Rappelons qu'à l'époque ce système d'exploitation était celui des 13 serveurs DNS racine. En raison de l'expiration du délai de la clause de confidentialité signée avec le FBI, c'est Gregory Perry, un ancien contributeur du projet de cryptographie d'OpenBSD qui nous révèle ça.
Le but était de surveiller la circulation de données chiffrées, en insérant du code malicieux dans la pile réseau IPSEC d'OpenBSD. Theo de Raadt, le fondateur du projet OpenBSD, incite les utilisateurs de ce système à faire un audit du code concerné.
NdM : À ce jour, il est de rigueur d'être prudent : sur la liste de diffusion OpenBSD, Jason L. Wright explique que c'est un problème qui n'est plus d'actualité et relève de la légende urbaine. L'audit de code lancé par les développeurs a permis de trouver au moins deux bugs mais il serait hasardeux de les relier aux allégations de Gregory Perry. Pour plus de détails voir le nouveau mail de Theo de Raadt.
NdM 2 : A la suite des précisions apportées dans les commentaires de cette dépêche il s'avère que Gregory Perry n'a jamais été un contributeur du projet OpenBSD et que cet OS n'était pas installé sur les serveurs DNS racine.
L'envolée de Thunderbird dans l'administration française
Thunderbird 3 : une partie du code développée par la gendarmerie
Thunderbird 3, la toute dernière version du client de messagerie de Mozilla doit une partie de son code à la gendarmerie nationale. Cette dernière a pu ainsi développer des extensions spécifiques de sécurité pour ses besoins et créer une adaptation nommée Milimail (NdR : le projet s'appelle maintenant TrustedBird cf. 2ème partie de la dépêche). Parmi les changements on notera une manière astucieuse de garantir que le message a été lu par le destinataire, ce qui peut être vital pour un ordre militaire grâce à un avis remis par le serveur de messagerie car tout autre forme d'accusé de réception par des clients de messagerie nécessitait, à un moment ou à un autre, le clic du destinataire à un endroit. En outre, il n'est prévu aucune forme d'accusé par le protocole de messagerie électronique normalement.
France : le fisc migre sa messagerie sous Thunderbird
La DGFiP (direction générale des finances publiques) va déployer pas moins de 130.000 postes sous Thunderbird. Ce sont des raisons de coûts et d'harmonisation qui ont conduit la DGFiP, résultante de la fusion de la DGI (direction générale des impôts) et de la DGCP (direction générale de la comptabilité publique), à choisir la solution standard libre. Auparavant, les deux directions utilisaient Microsoft Outlook et IBM Lotus Notes. Côté serveur, c'est OBM qui a été retenu.
Le ministère de la Défense recommande Thunderbird et Postfix à ses fonctionnaires
En sein du ministère de la défense, dans ce cadre de sécurité exigeant, c'est logiquement le libre qui s'impose avec Thunderbird et Postfix, en remplacement de Outlook et Exchange. Cela impactera 200.000 postes. Ceci est le résultat d'une préconisation, la « directive définissant les règles de la messagerie électronique » de la DGA (délégation générale pour l'armement).
Thunderbird 3, la toute dernière version du client de messagerie de Mozilla doit une partie de son code à la gendarmerie nationale. Cette dernière a pu ainsi développer des extensions spécifiques de sécurité pour ses besoins et créer une adaptation nommée Milimail (NdR : le projet s'appelle maintenant TrustedBird cf. 2ème partie de la dépêche). Parmi les changements on notera une manière astucieuse de garantir que le message a été lu par le destinataire, ce qui peut être vital pour un ordre militaire grâce à un avis remis par le serveur de messagerie car tout autre forme d'accusé de réception par des clients de messagerie nécessitait, à un moment ou à un autre, le clic du destinataire à un endroit. En outre, il n'est prévu aucune forme d'accusé par le protocole de messagerie électronique normalement.
France : le fisc migre sa messagerie sous Thunderbird
La DGFiP (direction générale des finances publiques) va déployer pas moins de 130.000 postes sous Thunderbird. Ce sont des raisons de coûts et d'harmonisation qui ont conduit la DGFiP, résultante de la fusion de la DGI (direction générale des impôts) et de la DGCP (direction générale de la comptabilité publique), à choisir la solution standard libre. Auparavant, les deux directions utilisaient Microsoft Outlook et IBM Lotus Notes. Côté serveur, c'est OBM qui a été retenu.
Le ministère de la Défense recommande Thunderbird et Postfix à ses fonctionnaires
En sein du ministère de la défense, dans ce cadre de sécurité exigeant, c'est logiquement le libre qui s'impose avec Thunderbird et Postfix, en remplacement de Outlook et Exchange. Cela impactera 200.000 postes. Ceci est le résultat d'une préconisation, la « directive définissant les règles de la messagerie électronique » de la DGA (délégation générale pour l'armement).
Free assigné pour violation de la GPL
On savait depuis longtemps que le code source de la Freebox est un dérivé du noyau Linux, à la limite de la violation de la GPL. Le fournisseur d'accès Internet Free s'en défendait en rappelant que la Freebox reste la propriété de Free en restant sur son réseau. Mais c'était sans compter sur le soutien de trois développeurs Harald Welte (Iptables), Rob Landley et Erik Andersen (BusyBox) qui estiment que leurs droits d'auteurs ont été usurpés.
Cette affaire a fait pas mal de bruit et a fait couler beaucoup d'encre depuis le 14 novembre 2007, date de la première lettre de mise en demeure faite à Free. Ce n'est que très récemment, le 24 novembre 2008, qu'une assignation est envoyée à Free (voir le document PDF dans les liens ci-dessous).
NdM : un journal a été publié à ce sujet.
Cette affaire a fait pas mal de bruit et a fait couler beaucoup d'encre depuis le 14 novembre 2007, date de la première lettre de mise en demeure faite à Free. Ce n'est que très récemment, le 24 novembre 2008, qu'une assignation est envoyée à Free (voir le document PDF dans les liens ci-dessous).
NdM : un journal a été publié à ce sujet.
L'ICANN libère les extensions de domaines
Il sera bientôt possible d'acheter des noms du domaines avec l'extension de son choix. Jusqu'à présent, pour acheter (plus exactement louer pour une certaine durée) un nom de domaine, on n'avait guère de choix. Il fallait se contenter d'un .com, d'un .net ou d'un .org, voir dans certains cas d'un .fr, libérés depuis peu.
Mais il était impossible d'obtenir un extension particulière. Par exemple, il était impossible d'obtenir un .linux. L'an prochain, soit en 2009, il sera possible d'acheter une extension racine. En effet, l'ICANN prévoit d'autoriser l'achat de n'importe quelle extension. On imagine assez facilement les grandes entreprises utiliser leur propre extension pour peu qu'elles soient assez connues, par exemple .redhat ou .suse pour les deux entreprises.
On imagine tous les problèmes de cyber-squatting que cela risque de générer. Déjà qu'actuellement avec les .com et .net cela arrive de temps en temps. Beaucoup de grandes sociétés vont devoir acheter rapidement beaucoup de ces nouvelles extensions, pour éviter tout problème de cyber-squatting. Sans parler de toutes les entreprises qui voudront acquérir les .achat, .vente, .bay, etc.
NdM : une entreprise (libre ou proprio, ou encore ambivalente) cyber-squattée peut toujours négocier, racheter ou attaquer un cyber-squatteur, les projets libres plus difficilement...
Mais il était impossible d'obtenir un extension particulière. Par exemple, il était impossible d'obtenir un .linux. L'an prochain, soit en 2009, il sera possible d'acheter une extension racine. En effet, l'ICANN prévoit d'autoriser l'achat de n'importe quelle extension. On imagine assez facilement les grandes entreprises utiliser leur propre extension pour peu qu'elles soient assez connues, par exemple .redhat ou .suse pour les deux entreprises.
On imagine tous les problèmes de cyber-squatting que cela risque de générer. Déjà qu'actuellement avec les .com et .net cela arrive de temps en temps. Beaucoup de grandes sociétés vont devoir acheter rapidement beaucoup de ces nouvelles extensions, pour éviter tout problème de cyber-squatting. Sans parler de toutes les entreprises qui voudront acquérir les .achat, .vente, .bay, etc.
NdM : une entreprise (libre ou proprio, ou encore ambivalente) cyber-squattée peut toujours négocier, racheter ou attaquer un cyber-squatteur, les projets libres plus difficilement...
Le W3C met en route le premier brouillon de HTML 5
Le W3C annonce la prochaine norme du web : le HTML 5. Il s'agit d'une première ébauche publique, sorte de version bêta, à laquelle tout le monde est invité à contribuer et commenter. Cette norme sera axée sur les contenus (audio et vidéo) et les applications web pour les utilisateurs. À l'origine initiative d'Apple, Mozilla et Opera, le travail sur HTML 5 a reçu les contributions de centaines de participants dont ACCESS, AOL, Google, IBM, Microsoft et Nokia, entre autre.
Les nouvelles fonctionnalités les plus intéressantes : API pour dessiner des graphiques en deux dimensions, embarquement et contrôle des contenus audio et vidéo, maintient de stockage de données côté client pour permettre aux utilisateurs d'éditer des documents ou des parties de document de manière interactive.
Rappelons que le HTML 4 a fêté ses 10 ans en décembre 2007, une éternité en informatique, particulièrement le domaine du web. Quant au XHTML 2.0, il est jugé trop compliqué et trop peu accessible pour la plupart des personnes amenées à publier sur le Web. Le XHTML 2.0 semble donc être abandonné.
Les nouvelles fonctionnalités les plus intéressantes : API pour dessiner des graphiques en deux dimensions, embarquement et contrôle des contenus audio et vidéo, maintient de stockage de données côté client pour permettre aux utilisateurs d'éditer des documents ou des parties de document de manière interactive.
Rappelons que le HTML 4 a fêté ses 10 ans en décembre 2007, une éternité en informatique, particulièrement le domaine du web. Quant au XHTML 2.0, il est jugé trop compliqué et trop peu accessible pour la plupart des personnes amenées à publier sur le Web. Le XHTML 2.0 semble donc être abandonné.