Linuxfr

Syndiquer le contenu
Mis à jour : il y a 55 min 54 sec

Retour d'expérience sur la cartographie collaborative libre avec OSM le 2 octobre 2014 à Digne (04)

il y a 2 heures 23 min

Une rencontre départementale aura lieu dans les Alpes-de-Haute-Provence, sur la thématique « Réseaux sociaux et nouvelles formes d’engagement » jeudi 2 octobre 2014. Celle-ci s'inscrit dans le cadre des États généraux « Donner enfin leur place aux jeunes » organisés par la Région Provence-Alpes-Côte d’Azur. Rendez-vous à partir de 16h30, Salle Perchot, Avenue des Thermes à Digne.

Jean-Christophe Becquet, directeur d’APITUX proposera un retour d'expérience sur la cartographie collaborative libre avec OpenStreetMap dans le cadre de l'initiative « Dessine ta ville » à Digne-les-Bains.

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

Revue de presse de l'April pour la semaine 39 de l'année 2014

lun, 29/09/2014 - 21:31

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

[Slate.fr] Shellshock, la nouvelle faille qui inquiète Internet, est-elle pire qu'Heartbleed? Difficile de le savoir

Par Andréa Fradin, le jeudi 25 septembre 2014. Extrait:

Le bug touche Bash, un programme que vous ne connaissez peut-être pas, mais qui permet à l'utilisateur d'accéder aux fonctions du système d'exploitation.

Lien vers l'article original: http://www.slate.fr/story/92601/bash-nouveau-bug-pire-heartbleed

Et aussi:

Voir aussi

[Next INpact] La ministre de l’Éducation veut que les enfants soient initiés au code

Par Xavier Berne, le mercredi 24 septembre 2014. Extrait:

Promue ministre de l’Éducation nationale suite au dernier remaniement ministériel, Najat Vallaud-Belkacem a assuré la semaine dernière qu’elle maintenait la position de son prédecesseur s’agissant de l’apprentissage de la programmation informatique à l’école. Devant l’Assemblée nationale, la benjamine du gouvernement s’est ainsi montrée déterminée à introduire une initiation obligatoire au code pour les élèves.

Lien vers l'article original: http://www.nextinpact.com/news/90064-la-ministre-l-education-veut-que-enfants-soient-inities-au-code.htm

Et aussi:

[Next INpact] Fleur Pellerin consacre la Hadopi en enterrant son transfert au CSA

Par Marc Rees, le mardi 23 septembre 2014. Extrait:

La fusion des compétences de la Hadopi entre les mains du CSA n’est vraiment plus la priorité du ministère de la Culture. Dans une interview au Monde, publiée cet après-midi, Fleur Pellerin confirme que désormais, la priorité est la lutte contre le streaming et le direct download.

Lien vers l'article original: http://www.nextinpact.com/news/90041-fleur-pellerin-consacre-hadopi-en-enterrant-son-transfert-au-csa.htm

[ZDNet] Pratique: le guide du logiciel libre pour les TPE-PME

Par Fabien Soyez, le lundi 22 septembre 2014. Extrait:

Sortis de leur carcan “geek”, les logiciels libres offrent aux entreprises une alternative aux produits propriétaires, couvrant la plupart de leurs tâches.

Lien vers l'article original: http://www.zdnet.fr/actualites/pratique-le-guide-du-logiciel-libre-pour-les-tpe-pme-39806659.htm

[Framablog] Enercoop: libérer les énergies

Par Pyg, le lundi 22 septembre 2014. Extrait:

Le logiciel libre donne à tous salariés d’Enercoop et aux informaticiens en particulier, les moyens de domestiquer, de comprendre et d’enrichir les systèmes qu’ils utilisent. Le logiciel libre signifie le partage de la connaissance, c’est la base de l’enseignement, du développement d’une culture libre et de l’épanouissement intellectuel de chacun.

Lien vers l'article original: http://www.framablog.org/index.php/post/2014/09/22/Enercoop-liberer-les-energies

[WSJ.com] Hard Times for Software Patents

Par Jacob Gershman, le lundi 22 septembre 2014. Extrait:

(Les cours fédérales ont rejeté plus de brevets logiciels depuis que le jugement de la Cour Suprême de juin) Federal courts have rejected more software patents since a U.S. Supreme Court ruling in June tackled the question of whether—and when—computer programs can qualify for intellectual-property protection.

Lien vers l'article original: http://blogs.wsj.com/law/2014/09/22/hard-times-for-software-patents/

Et aussi:

[France Culture] Nous et nos données

Par la rédaction, le vendredi 19 septembre 2014. Extrait:

Chaque jour, chacun d’entre nous produit de plus en plus de données. Même les plus fervents défenseurs de la déconnexion, ou les réseaux sociaux laissent des traces numériques. A chaque fois que nous nous connectons, utilisons notre abonnement pour un vélo en libre accès, prenons le métro ou le tram, envoyons des mails ou téléchargeons une application, nous laissons des informations sur nous. Elles deviennent un enjeu majeur qui mobilise de plus en plus, sauf peut-être les premiers concernés ! Enquête de Catherine Petillon.

Lien vers l'article original: http://www.franceculture.fr/emission-pixel-nous-et-nos-donnees-2014-09-19

Et aussi:

[Marianne] Traité transatlantique: le gouvernement demande enfin la transparence!

Par Bruno Rieth, le jeudi 18 septembre 2014. Extrait:

Jusqu’à présent, le gouvernement se foutait bien de l’opacité entourant le mandat de négociation des émissaires européens sur le traité transatlantique. Pis, il paraissait l'approuver. Mais Matthias Fekl, le remplaçant du phobique Thomas Thévenoud au secrétariat au Commerce extérieur, vient d’exiger que le secret soit levé. Ni plus ni moins que ce que réclament depuis des mois les opposants au traité…

Lien vers l'article original: http://www.marianne.net/Traite-transatlantique-le-gouvernement-demande-enfin-la-transparence-_a241454.html

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

Cours Linux à Lille tous les mercredis par l'UFJ

lun, 29/09/2014 - 21:29

L'UFJ (association d'éducation populaire) organise comme tous les ans à partir d'octobre des cours d'initiation aux logiciels libres niveau débutant tous les mercredis de 18h à 20h dans ses locaux rue du Mal Assis à Lille.

NdM: « Le pôle éducation populaire permet la formation pour tous et tout au long de la vie dans diverses disciplines. Une seule adhésion en début d’année donne accès à l’ensemble des [50] cours proposés. (…) Inscription tout au long de l'année et possibilité d'assister gratuitement au 1er cours. Tarif adhésion: 120 € / an, 60 € / an (étudiants, demandeurs d'emploi et personnes non imposables) »

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

Red Hat Enterprise Linux 5.11

lun, 29/09/2014 - 17:44

C'est discrètement, en plein milieu de ce mois de septembre, que Red Hat a rendu disponible la version 5.11 de Red Hat Enterprise Linux (RHEL), distribution commerciale destinée aux professionnels et aux entreprises.

Alors bon, sachant que la 7 est toute neuve, pleine de nouveautés, et que la 6 est encore fringante, pourquoi sortir une mise à jour de la vieillissante 5 ? Parce que c'est l'engagement de Red Hat de maintenir sa distribution entreprise pendant 10 ans (13 si vous avez les moyens de payer pour du support étendu).

Comme pour la 5.10, les changements (abordés en seconde partie de dépêche) sont avant tout des corrections et quelques mises à jour de compatibilité matérielles ne demandant pas de développement conséquent.

Numérotage des versions de RHEL 5

Dans son annonce, Red Hat précise qu'il s'agit de la dernière version mineure. Cela ne veut pas dire qu'il n'y aura plus de mises à jour (RHEL 5 a 7 ans, donc il y a encore trois ans de maintenance), mais qu'il n'y aura plus d'incrémentation du numéro de version global. RHEL 5.11 est donc la dernière RHEL 5.

Matériel

L'outil dmidecode est assez pratique pour connaître à bas niveau le type de matériel du système. Il est donc mis à jour pour prendre en compte une plus grande variété de matériels, ainsi que la version 2.8 de SMBIOS.

Si votre machine comporte un contrôleur SAS LSI MegaRAID SAS 9360/9380 12Gb/s, vous êtes enfin sous support ! Le pilote a en effet quitté le statut d'avant-première technologique.

Enfin, le pilote cciss prend maintenant en charge les serveurs HP ProLiant avec les derniers contrôleurs SAS Smart Array.

Réseau

Si vous utilisez le paquet samba3x, attention ! La mise à jour disponible dans RHEL 5.11 provoque un changement dans le format des fichiers de TDB (Trivial Database), qui est incompatible avec les précédentes versions. Pensez donc à faire une copie de ces fichiers si vous voulez pouvoir revenir sur une version précédente.

Virtualisation

L'agent virt-who communique maintenant avec un hôte VMWare ESXi, ce qui permet de donner des informations à Subscription Manager dans le cas d'une machine virtuelle RHEL 5.11.

À noter aussi de nombreuses corrections de sécurité pour Xen : la liste complète des CVE corrigés se trouve dans la note technique.

Gestion des abonnements RHN

Red Hat Support Tool a été amélioré pour afficher des messages d'erreur plus facilement compréhensibles lorsqu'il n'arrive pas à télécharger les symboles de débogage, ce qui arrive par exemple s'il n'y a pas assez d'espace disque disponible.

Subscription Manager a aussi quelques améliorations, comme la génération du fichier redhat.repo tout de suite après l'enregistrement, sans attendre Yum. Autre amélioration notable, un champ "Subscription Type" a été ajouté, afin de connaître le type d'abonnement. Tout cela est accessible en ligne de commande et via l'interface graphique.

Certifications et standards de l'industrie

RHEL 5.11 contient OpenSCAP 1.0.8. Red Hat pousse depuis plusieurs versions de RHEL à l'utilisation du protocole SCAP, utilisé aussi par le NIST pour valider la sécurité des systèmes informatiques.

CentOS

À l'heure où vous lirez ces lignes, CentOS 5.11 sera sans doute déjà disponible, puisque Karanbir Singh (CentOS Project Leader) a annoncé ce 29 septembre son arrivée prochaine :

We are currently seeding CentOS-5.11 for release.
Karanbir Singh (@CentOS)
September 29, 2014

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

Maintenir sa distribution : état des lieux de 0Linux après 4 ans de développement

lun, 29/09/2014 - 16:51

appzer0 a écrit un journal pour évoquer l'état des lieux de la distribution 0Linux après 4 ans de développement :

0Linux est pour rappel une distribution indépendante (basée sur rien d'autre qu'elle-même) sous licence CeCiLL. Créée en 2010, elle s'adresse à un public francophone. Elle et a une vocation généraliste et est proche de Slackware (absence de PAM, pulseaudio ou systemd, scripts d'init à la BSD).

Cela fait maintenant 4 ans que je développe et maintiens 0Linux, une distribution GNU/Linux complète. Un projet à la charge de travail ahurissant que j'ai entrepris seul mais qui m'a ô combien appris sur les plus infimes rouages de ce super OS. Alors, où en est-on, domine-t-on le monde ? A-t-on derrière nous une armée de développeurs qui empaquettent à tout va, un forum qui déborde de discussions passionnés, des blogs de fans qui postent des captures de leur bureau et des e-mails de sponsors qui se bousculent dans notre file d'attente de courriel ? Que nenni.
Suis-je, a contrario, toujours là à coder seul devant mon écran poussiéreux, à maintenir un logiciel dont tout le monde se fout éperdument ? Non plus.

Pour reprendre le journal de 2011 :

Pour info, la liste de diffusion compte 5 membres, il n'y a pas de forum, juste un wiki (5 membres aussi), 0 est dans la liste d'attente de Distrowatch (tout en bas) et le canal IRC dépasse rarement les 5 personnes.

Elle n'a pas attiré les foules ni défrayé la chronique avec des fonctionnalités inédites ; elle a une documentation plutôt maigre et une base d'utilisateurs anecdotique mais elle a néanmoins bien grandi :

  • plus de 1400 paquets ;
  • 4 personnes contribuent régulièrement au projet (en code ou en hébergement/ressources) ;
  • une « infrastructure » qui compile automatiquement les paquets modifiés sur des serveurs dédiés, ce qui a permis de compiler sur 2 architectures depuis une seule arborescence de sources: x86_64 multilib et i686 ;
  • un site dédié ;
  • bien plus de membres et de visiteurs ;
  • un forum ;
  • un gestionnaire de paquets fiable (toujours Spack) et un outil de mise à jour et d'installation, 0g, qui gère maintenant les dépendances ;
  • un bureau KDE ultra-complet ;
  • un catalogue en ligne des paquets (en cours de construction) ;
  • 0Linux vient tout juste d'être intégrée à Distrowatch.

0Linux est aujourd'hui une distribution Linux sans prétention mais assez complète, intégrant pas mal de bureaux et d'environnements graphiques (flux/openbox, Enlightenment, KDE, MATE, Xfce, GNOME est en cours), des serveurs, des jeux, des applications pour le multimédia, etc. et a même ses propres fonds d'écran contribués. Les outils spécifiques à la distribution sont tous en shell, y compris la gestion des paquets et des mises à jour ainsi que l'installateur.

Elle a eu sa période systemd puis est revenue aux scripts à la BSD pour de multiples raisons qui ne sont pas le sujet de ce journal, a eu un outil pour faire du suivi de tâches qui a finalement été supprimé mais qui a tout de même servi.

Après tout ce temps (et cette énergie), je suis plutôt satisfait du résultat : 0Linux est une distribution agréable que j'utilise quotidiennement, y compris pour bosser ou faire tourner des serveurs et elle attire sporadiquement des curieux qui reviennent (parfois) ou qui ne font que passer (souvent). Un hébergeur veut même la proposer dans les systèmes installables sur leurs serveurs dédiés.

Alors, qu'est-ce qui est le plus difficile dans la maintenance d'une distribution ?

Être à jour peut être un vrai calvaire. Outre la difficulté à avoir un canal stable, régulier et léger d'informations sur les sorties (comprendre : pas noyé dans le torrent de messages d'une liste de discussion de développement ou bien sur un site qui ne change pas d'URL tous les mois), certains logiciels peuvent sortir plusieurs versions par semaine (voire par jour !), et de plus en plus cassent allègrement l'API/l'ABI (ou les deux) sans changer de manière adéquate leur numéro de version, quand ils ne réclament pas des bibliothèques sorties il y a 10 minutes pour compiler des logiciels qui n'ont pas bougé (oui GNOME, c'est de toi que je parle).

La visibilité du projet : il faut communiquer souvent, y compris sur les réseaux sociaux qu'on ne porte pas dans son coeur, et prier pour être intégré dans les sites populaires qui ont autorité de facto et qui peuvent vous ignorer pendant des années (là c'est de toi Distrowatch, que je parle).

La sécurité : il faut veiller à ce que ses paquets ne soient pas troués et consulter régulièrement les différentes ressources sur la sécurité.

Bref, tout ça mis bout à bout avec les autres tâches régulières, écrire des recettes, poster des articles, coder pour automatiser au maximum, tester, tester, tester, ça fait un sacré boulot.

Ce que je regrette :

  • la documentation, elle est bien trop maigre mais j'ai si peu de retours que je ne sais même pas si elle est consultée ;
  • la dynamique du projet : je m'attendais, peut-être naïvement, à voir des enthousiastes arriver par wagons et me proposer de contribuer ou bien d'avoir des propositions de fusion avec d'autres projets : niet ! Idem à propos de la constitution d'une communauté autour du projet, ça reste sporadique (mais on gagne en qualité ce qu'on rate en quantité et c'est finalement pas plus mal ainsi). Inutile de vouloir susciter un intérêt significatif du public, ça reste une simple distribution parmi tant d'autres.

Comment je vois le futur : un port ARM me plairait baucoup (j'ai déjà une chaîne de compilation) ainsi qu'un « Live » avec installateur graphique. J'aimerais également avoir une interface web pour administrer les serveurs de construction, consulter les logs, gérer les files d'attente de compilation, etc.

Cette activité m'a appris énormément mais m'a aussi montré les limites du shell et de Bash. Je pense donc me tourner vers Python3 à l'avenir, ce que j'en ai vu jusque là m'a beaucoup plu.

J'oublie certainement beaucoup d'autres aspects, mais c'est la raison pour laquelle ce post n'est qu'un journal (NdM: on a choisi néanmoins d'en faire une dépêche). Je développerai en commentaire ou dans un autre journal ce que j'ai pu avoir oublié.

Quelques liens pour finir :

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

Vivre du logiciel libre - Ludovic Dubost nous parle de sa société : XWiki SAS

lun, 29/09/2014 - 10:49

Le deuxième volet de la série sur l'économie du libre continue. Après l'entretien avec Jérôme Martinez début septembre, je vous propose de découvrir la société XWiki SAS, éditeur de logiciels libres créée il y a maintenant 10 ans par Ludovic Dubost.

XWiki SAS prouve si cela était nécessaire que l'édition de logiciels vraiment libres (sous licence LGPL) est une activité économique viable.

Sommaire Introduction Nom et prénom Ludovic Dubost Société XWiki SAS Activité de l'entreprise Editeur de logiciel collaboratif Open Source Démarrage de l'activité 15/11/2003 — Projet Open Source XWiki 19/07/2004 — XWiki SAS Localisation de la clientèle France, Europe, Monde Nombre de collaborateurs 42 Sites web http://www.xwiki.com, http://www.xwiki.org

Note : si vous êtes intéressé(e)s pour une interview, contactez-moi par courriel - damien point accorsi arobase free point fr.

Je vous laisse découvrir l'entretien et les réponses de Ludovic ; notez que Ludovic sera disponible ce mardi 30 septembre pour répondre aux questions que vous [vous|lui] posez. Alors n'hésitez pas à commenter/questionner !

La génèse du projet, la société

Bonjour Ludovic, pourrais-tu présenter en quelques lignes qui tu es, ce que tu fais et la démarche qui t'a mené à la création de la société XWiki ?

Bonjour Damien, très heureux de répondre à tes questions. Je suis un passionné d'informatique et d'Internet qui a la chance de pouvoir exercer sa passion dans un domaine très porteur. Depuis que j'ai eu accès à un ordinateur et ensuite à Internet en 1990 dans mon école d'ingénieur, j'ai eu envie de créer des choses qui exploitent la formidable puissance de ces technologies. J'ai commencé par un "shareware" (partagiciel) et un site internet de jeu quand j'étais étudiant puis je me suis retrouvé chez Netscape comme consultant en technologies Internet. Après cette expérience plus qu'enrichissante j'ai pu rejoindre un projet de startup de mesure des usages d'Internet "NetValue" qui fut une vraie aventure avec ses bons et mauvais côtés.

C'est chez NetValue que j'ai découvert les Wikis qu'on a mis en place avec succès, alors que chez Netscape nous avions travaillé sur des outils "plus traditionnels" de partage d'information qui n'avaient pas marché. C'est ce qui m'a donné envie de créer XWiki pour apporter aux entreprises une nouvelle approche du partage de l'information et de la connaissance.

Question : En 2004, l’édition de logiciel libre n’était pas le modèle économique le plus courant… Pourquoi avoir choisi ce modèle, et quelles difficultés cela a engendré ? Comment cela a-t-il évolué 10 ans plus tard ?

Initialement mon projet était de proposer des services sur les logiciels libres que j'avais utilisé, mais finalement j'ai vu les limites des outils que j'utilisais et j'ai décidé de faire mon propre logiciel. Ayant tout appris de ces logiciels Open Source, il m'a semblé naturel de le faire aussi en Open Source.

C'est à ce moment là que j'ai réfléchi à l'aspect business de l'Open Source. J'avais suivi en tant qu'utilisateur l'émergence des technologies Open Source Linux, MySQL, Apache, Tomcat et des entreprises comme Red Hat et JBoss. Surtout, quand j'ai quitté la société après cinq ans je me suis demandé ce qu'on ferait différemment technologiquement si on devait refaire le même projet, et là massivement la décision aurait été de construire sur des technologies libres alors qu'avant notre stack était Sun/Oracle. Je me suis dit que si en 5 ans des acteurs de plus de 15 ans ne sont plus les solutions d'avenir, alors il y a d'autres domaines où cela devait être possible, et c'est à mon sens le cas de la couche supérieure des "applications".

Finalement, mon parcours a fait que j'ai été dans des entreprises qui ont subi une très vive concurrence des leaders en place sur leur marché. Chez Netscape la "guerre" avec Microsoft était palpable tous les jours. Chez NetValue nous avions senti la concurrence des sociétés américaines largement mieux financées que nous alors que sur l'aspect technique nous étions tout à fait au niveau (ce que nous avons pu vérifier une fois racheté par le leader). Ceci a renforcé mon avis, qui est que concurrencer les entreprises de la Silicon Valley sur le même champ de bataille qu'eux est quasiment peine perdue. Cela a renforcé ma motivation à faire du libre.

Cependant ce choix initial m'a fait découvrir un monde complètement nouveau que je ne voyais avant qu'en tant qu'utilisateur. Ce que ce serait la vie du côté du "producteur" de logiciel libre tout en devant faire tourner une entreprise est quelque chose que je n'avais pas du tout imaginé tel que c'est réellement. Je pense d'ailleurs que beaucoup d'utilisateurs des logiciels libres ignorent comment les choses fonctionnent effectivement du côté des personnes qui "créent".

En fait pendant la phase de création je pense que faire du logiciel libre est plus "facile" que de faire du logiciel "propriétaire". On peut se faire aider par des contributeurs, les clients payent des améliorations au logiciel, on n'a pas à "donner" le logiciel pour se faire des références puisque celui-ci est déjà disponible gratuitement.

Mais globalement la difficulté est la même, il s'agit d'abord de faire un bon logiciel et de bien comprendre les besoins des utilisateurs et d'y répondre. Ensuite il faut être innovant face à des solutions venues d'entreprises bien plus capitalisées et dont les logiciels ont plus de fonctionnalités. Pour XWiki une chose qui n'a pas été facile à été de faire à la fois de l'Open Source et de l'innovation. Quelque part il est plus facile de "reproduire" un logiciel propriétaire et de le faire en Open Source que d'innover et de proposer en Open Source quelque chose de nouveau.

Aujourd'hui, dix ans plus tard, la situation est différente. On a une base installée et une certaine renommée. Le logiciel s'améliore en permanence (et la concurrence aussi). La difficulté est de pouvoir financer le fait de "donner" un logiciel, et ce qui est difficile est qu'il faut en même temps développer le logiciel lui-même pour avoir une base installée la plus grande possible et en parallèle développer une offre (qui peut prendre plusieurs formes) qui permet de réaliser du revenu, sans d'un côté dénaturer notre aspect "Libre" et sans nous auto-cannibaliser.

Question: Aujourd’hui, quel est le fil conducteur de XWiki ? Quels sont les sujets qui nécessitent toute la vigilance de l’équipe dirigeante pour pérenniser et développer son activité ?

Ce que j'expliquais précédemment. Continuer à améliorer le logiciel, tout en construisant les offres qui nous permettent de financer le développement de ce logiciel. Ces offres sont d'un côté nos offres de service : développement, formation et surtout le support et ensuite l'offre "cloud" ainsi que les extensions (Applications, Solutions). Nous devons trouver un bon équilibre entre l'investissement sur la technique et sur la partie marketing et la commercialisation. Le logiciel lui-même étant gratuit, nous devons travailler pour bien expliquer la valeur des services et les possibilités qui s'offrent aux clients en faisant appel à XWiki SAS et à ses solutions.

Ceci est aussi lié au fait que ce que propose XWiki reste quelque chose d'innovant et de complexe (ce qui le rend aussi passionnant). Il s'agit d'apporter aux entreprises des outils qui vont les rendre plus efficaces non seulement par l'usage du logiciel mais par le fait que ces entreprises vont changer leurs modes organisationnels et devenir "2.0".

Question : Sur ton profil Linkedin on voit que tu es « business angel » chez Alenty, ce qui m’amène à la question suivante. Aujourd’hui, les startups passent très souvent (systématiquement ?) par des levées de fonds, auprès de business angels, de capital-risqueurs ou d’investisseurs privés, ce qui a pour conséquence, en général, de diluer le capital et de transférer le pouvoir des fondateurs vers les investisseurs. Comment as-tu géré la croissance de XWiki du point de vue financier / perte de contrôle ?

Alors de ce point de vue nous sommes très atypiques. XWiki SAS n'a jamais fait appels à des investisseurs externes. Il y a plusieurs raisons à cela. J'ai d'ailleurs écrit un article sur notre blog sur ce sujet. Pourtant j'ai rencontré des investisseurs potentiels (business angels et VC) et finalement cela ne s'est jamais fait. Une des raisons est que je n'ai jamais été prêt à dire ce que ces investisseurs voulaient entendre i.e. "nous ferons tout ce qu'il faut y compris réduire le libre dans notre offre, pour faire plus d'argent". L'autre aspect est que mon profil "technique" n'a jamais parlé aux investisseurs que nous avons rencontré. Les VC français cherchent des "business men", et je pense que c'est moins le cas en Silicon Valley qui eux cherchent des "visionnaires". AU final ce dont je me suis rendu compte c'est que nous pouvions nous développer sans ces investisseurs, bien évidement plus lentement mais notre modèle Open Source nous a permis de nous développer beaucoup plus progressivement (ce n'est pas le cas je pense du modèle propriétaire qui demande beaucoup plus d'investissement pour amener l'offre à un niveau où les clients sont prêts à payer).

Un autre élément qui me rendait très prudent vis à vis d'investisseurs et qui faisait que je n'étais pas prêt à "brader" le capital de ma société, est que 99% des deals d'investisseurs comme tu le dis bien passent le contrôle de la société des fondateurs vers les investisseurs et finalement presque à la première levée de fonds la société est déjà "à vendre". Personnellement ma passion pour le projet XWiki excluait des deals qui nous mettraient sur un chemin sans retour.

Aujourd'hui nous ne sommes pas contre la notion d'investissements mais nous voulons que ce soient des investissements qui ne remettent pas en cause le contrôle que les employés ont sur la société (XWiki appartient à 100% aux employés et ex-employés, dont 92% à des employés actifs, et 62% contrôlés par moi personnellement). Les employés et actionnaires d'XWiki sont des personnes attachés aux valeurs de l'Open Source. Nous nous intéressons par exemple de près au crowd-funding car nous y voyons un moyen intéressant de nous rapprocher encore de notre communauté.

Question : À propos de la croissance… il me semble que XWiki a deux filiales à l’étranger, en Roumanie et en Algérie. Quelle a été la stratégie de croissance depuis le début, et pourquoi s’être implanté dans ces pays ? Est-ce parce qu’une part importante du chiffre d'affaires est faite dans ces pays ?

En fait ces filiales sont des filiales de production et pas de commercialisation. Je n'aurais pas imaginé quand j'ai crée XWiki d'avoir des employés en Roumanie et en Algérie. Ces filiales sont aussi issues de l'Open Source. Nous nous sommes retrouvé en Roumanie en 2007 après avoir convaincu un étudiant qui avait participé au Google Summer of Code avec XWiki de nous trouver des employés à l'université et de nous ouvrir un bureau. Aujourd'hui nous avons une équipe de 16 personnes la bas, tout aussi passionnée d'Open Source que notre équipe française. L'équipe algérienne, elle, est issue d'une entreprise qui faisait une solution propriétaire basée sur XWiki et qui a fait faillite après 8 ans d'existence. Nous avons embauché leurs meilleurs ingénieurs déjà formés au logiciel XWiki. Ces équipes nous ont permis de nous développer plus vite qu'à Paris et aussi de nous internationaliser. Notre niveau d'anglais est meilleur avec notre équipe roumaine et nous permet de nous adresser aux marchés internationaux.

Du logiciel libre…

Question : Si l’on revient un peu sur le thème du logiciel libre… Là où certains éditeurs font de l’open-core ou du freemium, XWiki a choisi de faire du “vrai” open source en distribuant sa plateforme en LGPL. N’y a-t-il pas des risques à “distribuer gratuitement” sa matière grise sans contrepartie financière, en particulier en phase de démarrage ? A quelles conditions ce modèle “full open source” fonctionne-t-il (ou ne fonctionne-t-il pas) ?

Oui, forcément c'est plus compliqué de tout distribuer en logiciel libre. En même temps il y a un vrai danger avec le modèle Open Core, surtout quand il est combiné avec des investisseurs qui ont le contrôle. Le danger est grand de voir un désengagement progressif du libre pour en final n'investir que dans la partie payante. Pour nous qui sommes indépendants c'est en fait une question d'objectif. Notre objectif, au final, c'est d'abord de faire quelque chose qui compte et ensuite d'en vivre bien. Quand on pose cet objectif on se rend compte de plusieurs choses :

  1. Si notre arrivons à rendre notre logiciel "leader" oui nous aurons des concurrents mais en même temps notre logiciel sera tellement demandé que ceux qui ont le leadership sur le développement du logiciel et aussi le contrôle de sa marque seront très demandés.
  2. Quelque soit ce que nous vendons, nous ne pouvons le vendre qu'à la base d'utilisateurs d'XWiki. Nous avons donc besoin d'un maximum d'utilisateurs et de contributeurs, et pour cela il nous faut distribuer nos logiciels y compris nos extensions le plus largement possible. Si nous fermons une partie des ces extensions, nous réduirons forcément la base installée.
  3. Nous avons la chance d'être dans un métier qui est demandé et où il faut des compétences bien particulières. Ceci fait que malgré le fait d'être en concurrence nous pouvons être concurrentiels d'autant plus que notre équipe dispose des contributeurs qui connaissent le mieux le logiciel.

Un autre point important est que je suis convaincu que l'économie collaborative va prendre une part de plus en plus importante dans notre économie. Même si dans le domaine informatique il est possible de faire des solutions "propriétaires" compétitives, il faut bien se rendre compte qu'il y aura de plus en plus de solutions Open Source de qualité et ce pour une raison assez simple. Chaque ligne de code libre s'ajoute aux lignes de code libre codés précédemment et la limite de ce qu'est capable de faire le libre ne cesse d'aller plus loin. Et ceci ne s'applique pas qu'au code. Pour mieux comprendre le phénomène je conseille à tes lecteurs le livre de Jeremy Rifkin Zéro marginal cost society. Ainsi être 100% open source c'est se positionner dans l'économie de demain et non celle d'hier.

Au final, nous donnons la priorité à la diffusion du logiciel, et nous sommes convaincus que notre position de contributeur principal à XWiki fera le reste, ainsi que l'accès à la marque. D'ailleurs sur ce sujet il est important de noter que la marque est sous mon contrôle personnel et j'autorise son usage double pour la communauté et pour la société.

Question : Comment les clients se positionnent par rapport à cet aspect “tout gratuit” ? N’achètent-ils que des prestations autour de la plateforme XWiki ?

Cela dépend des clients. Il arrive bien sûr que certains aient l'impression que tout doit être gratuit y compris les services. J'ai l'exemple d'un utilisateur qui voulait un single sign-on qui existait déjà mais qui demandait d'être configuré. Comme ce n'était pas assez bien documenté il n'arrivait pas à le faire lui-même, il nous a appelé et nous avons eu l'impression qu'il se sentait "volé" de devoir acheter une journée de service pour qu'on lui fasse l'installation. Ce qui est dommage finalement dans cette vision de l'Open Source tout gratuit est de ne pas se rendre compte que chaque service vendu nous permet de contribuer plus de code libre.

Cependant heureusement nous avons suffisamment de clients qui sont conscients de cela et depuis 10 ans que XWiki existe beaucoup de code, de documentation ont pu être réalisés grâce aux prestations vendues aux client, y compris des développements qui sont mis en Open Source avec l'accord du client, contribuant ainsi à l'enrichissement de la plateforme. Et au fur et à mesure, en particulier avec les contrats de support technique, nous finançons une équipe permanente qui améliore le logiciel et ce qu'il y a autour (documentation, extensions, etc..) suivant une feuille de route publique. Ceci contribue à un produit de plus en plus riche et toujours gratuit.

Ce n'est pas très compliqué à comprendre d'ailleurs, XWiki SAS re-dépense tout son revenu pour se développer et lorsqu'on compare l'investissement R&D de notre société en % du revenu celui-ci est supérieur à celui des sociétés de logiciels propriétaires qui dépensent beaucoup en vente et marketing. Un euro dépensé chez XWiki finira en bien plus grande proportion dans le logiciel qu'un euro chez Microsoft.

Oui bien sûr nous serons heureux en tant qu'investisseurs ou employés de pouvoir générer un dividende ou d'augmenter les salaires, mais nos objectifs sont clairs, il s'agit d'abord de faire la plus belle offre possible, la plus utilisée possible. C'est ce pour quoi nous nous levons le matin.

Question : Qui dit logiciel libre, dit communauté. Peux-tu nous en dire un peu plus sur la communauté XWiki et son mode de gouvernance ? Le projet libre et la société sont-ils distincts ? Qui sont les principaux contributeurs ?

Bien que le nom soit le même, en terme d'organisation la communauté et l'entreprise sont distinctes. La communauté est géré de façon indépendante. Les employés d'XWiki sont de simples participants. Dans tout ce qui est produit sur la communauté le nom "XWiki SAS" n'apparaît que comme contributeur, comme "sponsor" (car nous hébergeons), et sur la page des sociétés qui fournissent du support, où d'autres sociétés apparaissent aussi, en fonction de leur nombre de "committeurs". Le mode de gouvernance de la communauté fonctionne sur le modèle d'Apache avec des votes +1/0/-1 permettant à un unique committeur d'opposer son veto à une décision. Bien entendu XWiki SAS est le contributeur principal, ce qui est renforcé par le fait qu'il nous arrive de recruter des contributeurs, ce qui a été le cas plus d'une fois. Une autre chose qui rend les contributions difficiles est le rythme de développement des employés de XWiki SAS.

Mais malgré cela XWiki SAS n'est pas le seul contributeur et nous sommes heureux de voir beaucoup de pull requests, des traductions, des remontées de bugs et aussi des extensions publiées par des contributeurs. Il nous arrive de contribuer à une extension développée par un contributeur comme l'extension Mocca-Calendar, développée par des Allemands sur laquelle nous investissons du temps de nos équipes.

Notre objectif dans le futur est de toujours rendre plus facile la réalisation et la publication d'extension sur l'extension repository d'XWiki qui permet d'installer des extension en un clic.

Question : En tant qu’éditeur de logiciel libre, vous êtes probablement également utilisateur de logiciels libres. Il y en a-t-il sur lesquels vous contribuez activement ?

Nous l'encourageons en tout cas en interne. Nous faisons des remontées de bugs et des patches sur les bibliothèques java que nous utilisons, par exemple jodconverter, jdeb, kibana et aussi sur maven (notre directeur technique Vincent Massol est un ancien contributeur Maven), mais globalement pour notre usage les bibliothèques qu’on utilise fonctionnent plutôt bien.

Par ailleurs nous essayons aussi de contribuer des modules de façon indépendante à XWiki. Par exemple nous avons publié notre moteur de rendering de page Wiki de façon indépendante d'XWiki (XWiki rendering) et celui-ci est utilisé en dehors d'XWiki (par eXo Platform par exemple). Nous travaillons sur un éditeur Real Time qui peut être utilisé de façon indépendante à XWiki et aussi les WebViewers pour lesquels nous avons fait un module Wordpress.

Nous avons aussi une application "XWiki Glimpse" qui s'intègre avec Nagios et Cacti. Nous avons un module qui intègre Piwik avec XWiki. De manière générale nous essayons de favoriser l'intégration d’autres logiciels libres avec XWiki.

Nos employés sont aussi pour certains des contributeurs ou des créateurs de logiciel libre. Par exemple, Caleb James De Lisle est le créateur de cjdns (un réseau P2P encrypté), un projet qui connaît déjà un certain succès.

Question : Une dernière question : quel conseil donnerais-tu à quelqu’un qui veut se lancer dans l’édition de logiciel libre ? N’est-ce pas une aventure risquée ?

Tout dépend l'objectif qu'on se fixe. Si l'objectif est de faire la super startup qui va gagner beaucoup d'argent, alors le logiciel libre n'est pas la meilleure solution (même s'il y a quelques succès comme JBoss, Spring, etc..). Par contre s'il s'agit de faire une entreprise qui se développe correctement alors non ce n'est pas si risqué que cela. Un avantage du logiciel libre est de permettre de se développer progressivement, avec peu de financement initial.

Cependant il n'est pas facile de créer une entreprise et ce quelque soit le choix, libre ou non. L'entreprenariat est une aventure difficile mais c'est une aventure exaltante. On se retrouve régulièrement face à des difficultés, mais chaque année on peut mesurer le chemin parcouru et se rendre compte qu'on a pu contribuer un peu plus à la communauté du logiciel libre et que l'on peut faire de plus en plus de choses avec ce que nous avons produit.

Conclusion

Question : Le mot de la fin… Une nouveauté XWiki future ou présente à dévoiler ? Un projet de R&D particulièrement vivant à promouvoir ? Un évènement à annoncer ?

XWiki a passé les 10 ans d'existence cet été, et cette dixième année a été le temps d'un renouvellement technologique. Dans la version 6.2 de XWiki Enterprise qui est sorti il y a 10 jours, nous avons mis en place un nouvel habillage HTML5/Responsive basé sur Bootstrap et LESS. Par ailleurs nous avons fait notre première extension développée avec AngularJS et le résultat est assez bluffant (en 2 mois nous avons livré un gestionnaire web de fichiers complet).

Côté R&D, nous développons une technologie d'édition Realtime, qui s'applique non seulement au markup wiki mais surtout au texte riche. Ce que nous avons développé est plus complet et plus avancé qu'Etherpad. L'intérêt est que cette technologie peut être utilisée pour d'autres usages temps réel comme le dessin collaboratif en temps réel. Nous allons continuer dans cette direction et nous avons l'ambition d'aller plus loin dans les usages collaboratifs afin de permettre au logiciel libre de concurrencer les plateformes comme Google Apps et Office 365. Mais ça c'est pour un autre projet dont je ne peux pas encore parler.

Merci beaucoup, Ludovic, pour le temps que tu as pris pour répondre à cette interview. Bonne continuation à XWiki, et pour les lecteurs qui cherchent un job dans le domaine… http://www.xwiki.com/lang/fr/Company/Jobs

Merci à toi. Et même si vous ne voyez pas d'offre qui vous corresponde. Si vous êtes un fan d'Open Source et que vous pensez que XWiki SAS peut être un bon endroit pour vous n'hésitez pas à nous contacter. Même si nous n'avons pas de jobs tout de suite, cela peut changer dans le futur.

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

Le logiciel libre dans l'éducation, regard depuis un lycée français

lun, 29/09/2014 - 08:05

Je travaille dans un lycée français depuis quelques années maintenant. Étant libriste, j'ai accueilli la circulaire 5608 à bras ouverts. Je vous propose de voir son application dans mon académie, et cela notamment au travers d'un projet de déploiement de tablette tactiles.

Tout d'abord, comment s'organise le bousin informatique d'un lycée ? Et bien, l'académie, l'échelon local du ministère de l'éducation, gère les enseignants, leur formation et l'infrastructure informatique pour la partie administrative. Depuis la réforme du financement des lycées, il y a quelques années, c'est la région qui finance l'équipement en postes et en infrastructure pour les lycéens. Chacune de ces administrations possède ses propres escadres de techniciens mobiles. À noter au passage que la région n'est pas soumise à cette fameuse directive car elle ne dépend pas du ministère de l'Éducation.

L'application côté académie avance timidement : certains documents internes sont en odt, il y a quelques offres de formation interne pour LibreOffice (mais tout de même moins que pour MS Office), j'ai même vu certaines personnes utiliser LibreOffice ; il y a aussi le passage récent au groupware SOGo.
Côté région, les équipes se focalisent pour le moment sur la mise à jour de l'infrastructure, le nettoyage des écuries d'Augias. Mais pas de questionnement sur le libre.

Pour les serveurs, sans surprise c'est principalement du Linux, comme par exemple la distribution spécialisée Kwartz qui a l'avantage de pouvoir être opérée par un non-technicien.
Côté desktop, pas de projet à l'académie, ni à la région. S'il y a bien quelques lycées qui l'ont mis en place, c'est à l'entière charge du responsable informatique local.
Chez les enseignants, certains sont très bien sensibilisés aux tenants et aboutissants du libre, tandis que pour d'autres ce sont seulement « des produits inférieurs car ils sont gratuits… »

Voilà pour le tableau.

Et puis on tombe sur cette vidéo, postée sur le portail de l'environnement numérique de travail (portail mis en place pour tout le monde dans les lycées : élèves, parents d'élèves, enseignants, personnel administratif…), concernant le déploiement des tablettes numériques dans les lycées.
Bon, le projet en lui-même mériterait tout un article, mais dans sa forme, cette vidéo n'est ni plus ni moins qu'une publicité pour HP/Microsoft. Ce qui me fait tiquer c'est que les acteurs sont des responsables de l'éducation et que c'est publié sur un site pédagogique (humm, publicité gratuite). Mais ce n'est pas la première fois que l'on voit ce genre de chose. On notera au passage la sentence que « 99.5% des ordinateurs sont sous Windows dans la région » dans la bouche de la personne qui aurait pu faire en sorte que cela soit autrement.

On retrouve d'ailleurs l'argument l'amalgame classique entre compatibilité et interopérabilité : « comme tout le parc est sous Windows, on va utiliser un autre système de Microsoft », alors que des systèmes hétérogènes peuvent cohabiter s'ils reposent sur une même norme, comme avec les navigateurs web (il me semble que le même argument était déjà présent dans les documents d'Halloween il y a plus de 15 ans).

Un pas en avant, un pas en arrière ? En tout cas, Microsoft a peut-être trouvé là un moyen de rester encore un peu dans le monde de l'éducation. Après le ministère, reste maintenant à sensibiliser les structures régionales.

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

Pantheon, Cinnamon, MATE, Budgie, Endless Mobile, Tizen Shell...: un bureau pour les gouverner tous!

lun, 29/09/2014 - 05:57

david.g a publié un journal sur divers bureaux tirés de GNOME :

Connaissez-vous le point commun entre Pantheon Desktop, Cinnamon, MATE, Budgie Desktop, Tizen Shell et Endless Mobile ?

La réponse: « ils sont tous issus des technologies du bureau GNOME. »

Pour certains, nés de la discorde provoquée par l'arrivée de GNOME 3, il y a maintenant 3 ans et demi, le changement de paradigme et les manques (supposés?) de cette nouvelle version ont enflammés les débats. Sont alors apparus une petite flopée de nouveaux projets.

Depuis GNOME 3 et GNOME Shell ont bien évolué, il existe même une déclinaison « Classic » du Shell et des dizaines d'extensions pour le modeler à souhait. Mais les dérivés sont toujours là. Il était donc temps d'en faire une rapide cartographie.

Pantheon Desktop

Pantheon est le bureau de la distribution elementary OS, il inclut sa propre suite d'applications (gestionnaire de fichiers, émulateur de terminal, calculatrice, …).

L'objectif de Pantheon est d'être simple et beau, tout un programme!

Cinnamon

Cinnamon est le bureau de Linux Mint, lui aussi inclut sa suite d'applications, comme par exemple Nemo son gestionnaire de fichiers et ses propres outils de configuration.

L'objectif de Cinnamon est de proposer une expérience utilisateur dite "classique" en utilisant les nouvelles technologies introduites par GNOME 3.

MATE

L'autre bureau conçu pour Linux Mint. MATE démarre là où GNOME 2 s'est arrêté.

Son objectif est donc de fournir une expérience utilisateur similaire à celle de GNOME 2 tout en modernisant les bibliothèques logiciels utilisées. Le projet maintient aussi bon nombre d'applications issues de son aîné (gestionnaire de fichiers, émulateur de terminal, visualiseur d'images, …).

Budgie Desktop

Autre distribution, autre bureau : Budgie est le bureau de la distribution Evolve OS avec comme originalité de proposer à l'utilisateur le choix entre deux paradigmes.

C'est encore assez expérimental, mais on peut donc avoir deux expériences utilisateur différentes. Une première qui n'est pas sans rappeler l'expérience utilisateur de Chrome/Chromium OS.

La seconde, plus classique, proche de Cinnamon.

Hormis son lecteur multimédia personnel (Budgie Media Player) il repose sur les applications GNOME 3 et sur les applications Chrome.

Tizen Shell

Présenté par Intel il y a plus d'un an, Tizen Shell devrait proposer une version étendue de GNOME Shell avec des extensions spécifiques. Il y a pour le moment très peu d'infos sur le sujet. Est-il encore développé ? Sortira-t-il avec Tizen OS 3.0 ? Nous verrons.

Endless Mobile

Autre projet lui aussi un peu secret et encore en gestation, il s'agit d'un futur système d'exploitation créé par Endless Mobile.

Un système d'exploitation orienté mobilité et systèmes à faible coût. Il sera basé sur Debian et embarquera une version modifié du bureau GNOME.

Endless semble se donner les moyens de ses ambitions, en ayant, par exemple recruté parmi les meilleurs contributeurs au projet GNOME (Emmanuele Bassi, Cosimo Cecchi, Jasper St. Pierre).

Sans parler du défunt Consort Desktop, mort avec la distribution SolusOS ou d'Unity qui est en passe de s'affranchir des dernières briques qui le reliait à GNOME.

Mais au final, maudite fragmentation ? ou choix bénéfique pour l'utilisateur ?

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

Une faille nommée « shellshock »

dim, 28/09/2014 - 22:22

« ShellShock », une faille dans l'usage du shell Bash, est sous les projecteurs depuis quelques jours. Le terme est un jeu de mot entre la stupeur propre à l'obusite des combattants de la première guerre mondiale et l'interface système shell. Nous vous proposons des explications sur cet évènement particulier, son périmètre, les conditions de son exploitation, les surfaces d'attaques, et les solutions proposées, déjà mises en œuvre ou à venir. Enfin, une revue de presse sera dressée, cette faille s'étant transformée en évènement.

Sommaire Contexte et histoire

Bash est l'interpréteur par défaut du projet GNU, c'est une amélioration du Shell Bourne, reprenant des idées du Korn Shell (ksh). Il est développé depuis 1988 et n'a cessé de s'améliorer.

Bash est le shell par défaut d'un grand nombre de distributions GNU/Linux, mais pas toutes. Par exemple Ubuntu ne lance pas Bash avec son /bin/sh, mais dash, Bash n'étant disponible que pour l'utilisateur en session interactive. Bash se retrouve également dans Apple Mac OS X et dans Microsoft Windows via Cygwin (SFU, Services for Unix, utilise csh ou ksh).

Quelques explications

Il s'agit d'exploiter un bash-isme, une spécificité du shell Bash, permettant d'exporter une fonction et non seulement une variable. Les autres shells (ksh, zsh, dash, …) ne sont pas concernés par cette faille. Par ailleurs, Bash ne permet pas cet export de fonctions s'il est utilisé avec l'option -p ).

Il est tout à fait normal de vouloir passer des variables d'environnement à un processus enfant.

Mais Bash permet en outre de passer des fonctions vers le processus enfant. Aucun autre shell ne permet cela. Dans ce cadre relativement strict, la sécurité ne pose pas de problème : les droits et contextes d'exécution sont identiques et l'utilisateur, système ou non, est le même. Ceci est documenté, il s'agit de l'option -f de la commande export dans le shell Bash. « It is not a bug, it is a feature », le vieil adage prend ici tout son sens. Nous laissons le lecteur seul juge du bien-fondé de ce bashisme.

Alors s'il n'y a pas de problème, où est le problème ? Le problème se situe dans l'usage de Bash par les autres programmes. Bash est devenu le shell par défaut de certaines distributions, et de nombreux programmes utilisent le shell par défaut pour passer des variables d'environnement entre leurs processus. Le contexte change donc : ce n'est plus un utilisateur local et de confiance qui utilise cela, mais une multitude de programmes, parfois distants.

Ces programmes ne valident pas eux mêmes les données qu'ils donnent à Bash, et ne font souvent que passe-plat. Dans ce contexte, ce qui était auparavant une fonctionnalité se transforme alors en faille. Ceci explique l'ancienneté du problème.

Explications techniques

Une fonction dans le shell bash

#!/bin/bash # déclaration de la fonction d'affichage du message "bonjour vous", nommée mafonction : mafonction() { echo "bonjour vous"; } # exécution de la fonction : mafonction

La même chose, pour passer la fonction à un sous-shell

env mafonction='() { echo "bonjour vous"; }' bash -c 'mafonction;'

On prefixe avec la commande env pour faire tourner un programme dans un environnement modifié. Et à la fin on fait exécuter la fonction par un autre bash. OK ?

La même chose, en détournant l'usage

env mafonction='() { echo "bonjour vous"; }; echo "voici shellshock"' bash -c "mafonction;"

Ici, l'exécution de la fonction mafonction ne se limite pas à un écho "bonjour vous", mais exécute aussi le code echo "voici shellshock" On notera la place du délimiteur '
OK ?

Et en fait il n'est même pas nécessaire d'exécuter la fonction définie :

env mafonction='() { echo "bonjour vous"; }; echo "voici shellshock"' bash -c "true" voici shellshock

Donc, le simple () { :;} suffit à résumer la situation.
OK !

Surfaces d'attaques et exploitabilité

Les conditions de l'exploitation à distance de la faille sont relativement simples :

  • /bin/sh pointe sur /bin/bash ;
  • avoir SELinux désactivé ou non configuré ;
  • avoir un service qui écoute le réseau et qui va exécuter bash.

L'exploitation de cette faille est très simple, et de nombreux preuves de concepts et exploits circulent actuellement sur Internet. Voici une liste non-exhaustive des logiciels qui peuvent être utilisés en passe-plat :

  • dhclient ;
  • apache, via mod_cgi (et sans mod_security correctement configuré) ;
  • exim ; postfix ; qmail ; procmail ;
  • OpenVPN ;
  • stunnel ;
  • probablement de très nombreux logiciels privateurs …
  • SIP, FTP, probablement d'autres …

Preuves de Concept
Un projet hébergé sur github rassemble une série de POC à cette adresse

À noter que SELinux ne va pas bloquer un usage de « shellshock », il va cependant en réduire fortement les possibilités d'exploitation. Par exemple le contexte httpd_sys_script_t est attribué à tout CGI, contexte qui ne permet l'écriture que dans … /tmp! Le lecteur trouvera des explications complètes sur le blog de Dan Walsh à ce sujet.

Ne sont donc pas concernées : toutes les distributions ayant un autre shell que Bash. Toutes les distributions ayant SELinux activé bénéficient d'une protection contre des exploitations de ce type. Mais également : tous les matériels embarqués et objets connectés, contrairement à ce que des articles de presse affirment, car ces matériels utilisent la plupart du temps busybox et son implémentation inline de Bash n'est pas vulnérable. Ne sont pas concernés non plus les téléphones portables (pas plus les Android que les iPhones). Les "box" internet ne le sont pas davantage, ni les télévisions, ni les lecteurs de salon, les autoradios, ni les avions, drones, missiles, sous-marins… Bref, nous avons eu le plaisir de lire un peu n'importe quoi sur le sujet et la revue de presse contient quelques jolies perles.

NdM : le fabriquant de NAS QNAP vient d'alerter ses utilisateurs (cf article Next INpact)

Chronologie des évènements
  • Stéphane Chazelas rapporte le problème à Redhat (bug déclaré le 14 septembre) ;
  • Le CVE-2014-6271 lui est attribué ;
  • Le 24 septembre, ce CVE est rendu public et un premier correctif est mis à disposition ;
  • Le jour même la communauté pointe l'insuffisance de ce correctif ;
  • Le CVE-2014-7169 est alors ouvert et attribué à Tavis Ormandy ;
  • Le 27 septembre le second correctif est publié
Solutions mises en œuvre Correctifs disponibles et annonces des distributions La faille, CVE-2014-6271
  • Le test :
    env 'x=() { :;}; echo vulnerable' 'BASH_FUNC_x()=() { :;}; echo vulnerable' bash -c "echo test" Ne doit pas retourner le terme "vulnérable", quelque soit le formattage retour.

  • Les annonces :

Le second problème, CVE-2014-7169
  • Le test :
    cd /tmp; rm -f echo; env 'x=() { (a)=>\' bash -c "echo date"; cat echo doit retourner que le fichier "/tmp/echo" n'existe pas.

  • Les annonces :

Les CVE-2014-6277, CVE-2014-7186 et CVE-2014-7187 ne sont pas publics à ce jour (infos chez Redhat 0, 1 et 2).
  • D'autres correctifs sont à venir.
mod_security, le filtrage

Mod_security est un pare-feu applicatif pour le serveur Apache. Il peut être configuré pour filtrer certains caractères et expressions régulières. C'est donc un moyen efficace pour se prémunir contre le principal vecteur d'attaque : les scripts CGI. Si vous utilisez Redhat, vous pouvez l'installer ou le mettre à jour : il contient les règles tout prêtes pour filtrer « shellshock ». Ces règles sont de types : SecRule REQUEST_HEADERS "^\(\) {" & request_line.

Le cas FreeBSD

Le projet FreeBSD a décidé de désactiver la possibilité d'importation de fonction de Bash. Le système FreeBSD n'utilise pas Bash comme shell par défaut, mais tcsh, Bash n'étant même pas inclus dans une installation de base. Mais pour prémunir de tout problème lié à un changement de shell par défaut, le projet a décidé de supprimer la fonctionnalité incriminée, avec ce message laconique : « cela retire le risque de nouveaux problèmes conduisant à l’exécution de code, et le risque pour les scripts suid, aussi pour les applications mal écrites qui ne nettoient pas leurs environnements » Radical.

Revue de presse

Après les annonces sécurité et la réaction des projets (Bash, FSF - traduite en français par l'April), la presse spécialisée puis la presse généraliste ont multiplié les articles : pire que la faille Heartbleed ? (Slate.fr, LMI, Silicon.fr, L'Express, 20minutes, HuffingtonPost, New Zealand Herald), « panique » (Courrier International), « mégafaille » (01Net), « horrible » (ZdNet), « premières attaques » (01net), « plus grande menace de l'histoire du web » (ParisMatch, si si), « 500 millions de serveurs web vulnérables » (La Tribune, Washington Post), « Google et Amazon ont patchés » - super on est sauvés alors - (WallStreetJournal), d'autres failles Bash à prévoir (ArsTechnica), « ver fou ShellShock » (Wired ou le blog de R. Graham), « internet bâti sur de la glace fine » (Financial Times), etc.

Conclusion

D'une rencontre entre une fonctionnalité et des usages nait une faille qui fait grand bruit. Bruit généré par l'importance du problème, certes, mais également par le manque de discernement et le FUD autour. Ce qui met en valeur la place qu'ont pris les Logiciels Libres dans nos vies quotidiennes, sans que cela se voie. Il aura fallu moins de 4 jours entre la publication du problème (à ne pas confondre avec le signalement initial aux équipes sécurité) et sa résolution. Peu d'éditeurs peuvent se targuer d'être aussi rapides sur la résolution d'un problème de ce type et sur la transparence pour l'accès à l'information.

Dans le même temps, l'inquiétude de savoir que cette possibilité existe depuis de nombreuses années est légitime. Et elle renforce la nécessité de participation. Combien d'éditeurs de solutions s'appuient sur des briques libres sans jamais rien verser aux projets ?

Mettez et maintenez vos systèmes à jour! Et ne pensez pas qu'un programme qui n'a pas connu beaucoup de failles est forcément très sûr, peut-être que personne ne l'avait vraiment regardé jusque là.

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

Atelier « Découverte des Logiciels Libres : Scribus » le 11 octobre 2014 à Marseille

dim, 28/09/2014 - 13:18

L'association CercLL en collaboration avec Yves Specht vous invite à l' Atelier du Samedi Libre qui se déroule le samedi 11 octobre 2014 de 14h30 à 17h30, à la Fabulerie 4 rue de la Bibliothèque 13001 Marseille.

Atelier « Découverte des Logiciels Libres : Scribus » Deuxième séance

Scribus est un logiciel libre de Publication Assistée par Ordinateur, distribué sous licence GNU GPL. Il convient pour la réalisation de plaquettes, de livres et de magazines. Scribus est multiplate-formes.

Nos ateliers se déroulent, en général, sur une séquence hebdomadaire, de 2 à 3 séances de travail et sur un thème déterminé. Comme le mot atelier le laisse présumer, dans ce cadre, nous proposons une approche pratique des outils libres.
Nous avons décidé de nous adresser à un public débutant qui cherche à mieux connaître son ordinateur et les applications les plus courantes que tout un chacun utilise.

Prérequis

Les personnes qui veulent participer à nos ateliers devront s’inscrire à la Fabulerie 4 rue de la Bibliothèque 13001 Marseille Fabulerie ou sur notre site CercLL au http://cercll.wordpress.com/contact/ L'atelier n'aura lieu que si 4 personnes au moins sont inscrites. L’inscription équivaut à un engagement moral de participation. Une participation de 2 euros est demandée. L'adhésion à l'association est de 20 euros annuelle

Entrée Libre. Tout Public. Plan d'accès

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

Réunion mensuelle Chtinux le 30 septembre 2014 à Lille

sam, 27/09/2014 - 23:00

L'association Chtinux propose sa réunion mensuelle autour du logiciel Libre (évidemment), le mardi 30 Septembre à partir de 20H au Café Citoyen de Lille.

Aussi, ce sera l'occasion de discuter de venir rencontrer les membres de l'association, en discuter et/ou adhérer à celle-ci en cette rentrée 2014, autour d'une consommation 100% bio!

N'hésitez pas à faire passer le mot, et venez nombreux!

NdM : on imagine que les discussions porteront aussi sur les gaufres et Cafougnette et sur le débriefing de la braderie de Lille.

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

Hackathon Nao à la Cité des sciences de Paris - 24 au 26 octobre 2014

sam, 27/09/2014 - 22:40

vincent14 a écrit un journal sur le Hackathon Nao à venir à la Cité des Sciences de Paris - 24 au 26 octobre 2014 :

Il s'appelle Nao, ce petit robot humanoïde mesure une cinquantaine de centimètres, il tourne sous Linux et se programme en C++, Python, Java, MATLAB, Urbi, C, .Net ou avec des boites d'actions dans un logiciel de programmation graphique.

Il sera à la Cité des sciences et de l'industrie de Paris les 24, 25 et 26 octobre 2014 pour vous ! Un concours de création d'application s'y tiendra pendant trois jours, pour vous donner l'occasion de l'utiliser en équipes de 5 et de créer une première application.

Les inscriptions vont jusqu'au 1er octobre, soit mercredi prochain.

Je n'ai vu aucune limite d'âge, l'idée étant de rassembler le plus de corps de métiers différents autour d'une première approche de la robotique grand public.

Point de vue licence, le robot n'est pas Open Hardware mais son OS et son framework sont Libres. Certains outils de dev sont proprio (par exemple le logiciel de dev graphique). Je suppose que la Cité des Sciences publiera tout le contenu produit au cours des 36h sous licence Creative Commons (NdM: By Sa 3.0 pour le projet de vincent14), comme l'an dernier, car ce sont eux qui organisent le hackathon.

Ayant déjà participé à la première édition, je vous propose de lire mon billet de feedback, j'en étais très content.

L'esprit est de rendre accessibles des machines à 12k€ l'unité, chose que tout étudiant est loin de pouvoir imaginer chez lui avant un certain temps. Les alternatives Open Hardware ne sont d'ailleurs pas beaucoup moins chères, car la motorisation se compose de puissants servo-moteurs de précision très coûteux (200€ pièce pour un Darwin-OP de mémoire, et il en a un paquet).

Je vous invite à venir partager vos idées, apprendre des autres et donner de votre personne pour faire émerger des trucs sympa :)

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

Software Freedom day à Abidjan le 27 septembre 2014

ven, 26/09/2014 - 19:26

L'Association Ivoirienne pour Linux et les logiciels Libres organise ce samedi 27 Septembre la journée mondiale du logiciel libre à Abidjan (Côte d'Ivoire).

À l'occasion de cette journée, vous aurez droit à :

  • une discussion dont le thème est : "pourquoi une faible pénétration des Logiciels libres en C.I, quelles solutions ?"
  • un atelier sur l'intérêt d'un Big Data local ;
  • un atelier sur le développement mobile.

L'évènement aura lieu à l'ESATIC à partir de 9h00 !

Programme
  • 09H00 : Accueil des invités ;
  • 09H30 : Allocutions / Ouverture de la manifestation, présentation du concept de la SFD ;
  • 10H – 12H : Table Ronde – Débat « Pourquoi les écoles, les entreprises, et gouvernants sont réticent à la question du logiciel libre, quelles solutions pour la Côte d’ivoire ? »
  • 13H00 – 13h30 : Présentation du livre « 54 Raisons que l’Afrique choisisse le Logiciel libre »
  • 13H30 – 14H30 : Présentation et installation d’un système d’exploitation Gnu/Linux libre pour tous et accessible à tous ( Ubuntu ou Handy-Linux) ;
  • 14H30 – 16H : Atelier sur l’intérêt d’un Big Data Local ;
  • 14H30 -16H : Atelier sur le développement mobile ;
  • 16H – 16H30 : Jeu Concours « Génies en Herbe » inter Clubs Linux et LL (C3L) ;
  • 16H30 -17H00 : Cérémonie de clôture avec remise des lots pour les gagnants du jeu concours.
Sponsors

Merci à Orange CI, à la SNDI SMILE CI

Intervenants
  • N'goran Comoé Séraphin, DGA SNDI
  • Patrick KOUASSI, DG Smile CI
  • Didier KLA, Directeur Etude et Développement Orange CI
  • Tiémoman KONE, Directeur de l'Information Scientifique et Technologique au Ministère de l'enseignement Supérieur et de la Recherche Scientifique
  • Ibrahim LOKPO, Directeur Général de la Réforme Administrative et de l’informatisation au Ministère de la fonction publique
Lieu

Esatic: https://www.openstreetmap.org/node/3090542074#map=17/5.29195/-3.99893.

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

Cinquième rendez-vous Python nantais mardi 30 septembre 2014

ven, 26/09/2014 - 06:40

Nous pouvons maintenant le dire, nous sommes rentrés dans un cycle régulier d'événements Python sur Nantes.

Le prochain, cinquième du genre se déroulera le 30 septembre, à partir de 19h à la Cantine du numérique de Nantes.

Une fois sur deux, nous proposons des conférences, comme en août en alternance avec un format BarCamp. L'étincelle qui jaillit de votre iris me laisse penser que votre perspicacité a mis à jour le programme de ce prochain rendez-vous : BarCamp !

Oui d'accord mais ça veut dire quoi ? Ça veut dire que chacun peut venir avec un sujet dont il aimerait discuter, ayant, ou non, préparé le terrain. On présente les sujets puis on décide ensuite de rejoindre un petit groupe qui traitera un sujet. Finalement on se raconte ce qu'on a fait.

Pour mieux comprendre consultez le compte-rendu du dernier format BarCamp sur le blog.

Voilà donc on vous attends !

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

LFS en version 7.6

ven, 26/09/2014 - 06:37

L'équipe française de traduction de LFS est heureuse de vous annoncer la sortie de LFS en version 7.6.

LFS c'est quoi ?

LFS est l'abréviation de Linux From Scratch, c'est une distribution un peu particulière, puisqu'elle est sous forme d'un livre. Ce livre contient l'ensemble des instructions pour compiler de A à Z (enfin de binutils jusqu'au noyau).

Mais pourquoi ?

Le but premier de cette distribution est l'apprentissage. Comprendre les éléments nécessaires et les mécanismes à mettre en oeuvre afin de construire un système bootable. Le but second est de construire un système répondant aux règles de l'utilisateur. La devise de LFS est "Votre système, vos règles".

C'est compliqué ?

Il faut admettre qu'il faut avoir des prérequis et des connaissances de base. Savoir utiliser la ligne de commande pour réaliser des opérations basiques est un minimum. Cependant avec du temps, de la patience, il est possible en suivant le livre étape par étape de réaliser la construction. Et pouvoir faire un "WHAOUUUUU !!!" lors du premier boot réussi.

Et si j'y arrive pas ?

Pour les questions, les remarques, les problèmes…. il est possible de nous contacter en français :

Il est également possible d'obtenir de l'aide directement en anglais.

Et BLFS c'est quoi ?

Comme je le disais, LFS permet de faire un système de base, mais pas vraiment fonctionnel (sauf pour les commandes basiques en ligne de commande).
BLFS est la suite… le livre permet d'installer beaucoup de choses variées. On peut ainsi installer un gestionnaire de bureau (KDE, XFCE, LXDE), on peut installer les paquets nécessaires pour avoir un serveur fonctionnel… etc. Au total, plus de 650 paquets sont présentés dans leur dernière version.

Mais BLFS c'est pas en français ?

Le livre BLFS 7.6 a été publié en même temps par l'équipe des auteurs. Il nous faut un peu plus de temps pour finaliser la traduction française (BLFS c'est plus de 1500 pages). Je reviendrai vous annoncer la sortie de BLFS 7.6 en français dans les jours à venir.

Et systemd ???

Oui systemd est à la mode… on en parle partout…(euh les trolls, dehors !!!!) Donc LFS est également déclinée avec systemd. Le livre en version 7.6 cependant n'est pas traduit (si un volontaire veut bien le faire… il est le bienvenu). BLFS se décline également en version systemd pour la première fois, mais comme LFS , le livre n'est pas traduit en français. BLFS-sytemd reprend les paquets de BLFS en ajoutant pour chacun les possibilitées offertes (s'il y en a) par systemd. On trouve également dans ce livre, la construction de GNOME.

Si l'aventure vous tente, il ne faut pas hésiter. Vous allez forcément apprendre et comprendre ce qui se cache derrière vos distributions favorites quand vous installez un paquet depuis un dépôt…

Vous pouvez lire le livre en ligne ou le télécharger au format PDF ou HTML.

A bientôt !!

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

Repas du Libre à Toulouse le 30 septembre 2014

jeu, 25/09/2014 - 08:43

Le groupe d'utilisateurs et utilisatrices de Logiciels Libres de Toulouse Toulibre en collaboration avec Tetaneutral.net fournisseur d'accès internet et hébergeur libre proposent aux sympathisants et sympathisantes de se retrouver l'un des mardis ou jeudis de chaque mois pour échanger autour des logiciels Libres, des réseaux libres, discuter de nos projets respectifs et lancer des initiatives locales autour du Libre. Ce repas est ouvert à toutes et à tous, amatrices et amateurs de l'esprit du Libre, débutantes et débutants ou technicien(ne)s chevronné(e)s.

Ce Qjelt aura lieu le mardi 30 septembre 2014 à 20 heures, au restaurant Bois et Charbon situé au 64 rue de la Colombette à Toulouse. C'est à proximité de la place Saint Aubin accessible par le métro à la station Jean Jaurès (ligne A et B). Entrée/plat/dessert + 1/4 de vin à 18€. Pour des raisons de logistique, une inscription préalable avant la veille au soir est demandée.

L'inscription se fait à l'adresse suivante : http://www.toulibre.org/qjelt.

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

Nouvelle distribution Linutop OS 14.04 pour PC

mer, 24/09/2014 - 23:02

Une nouvelle version de Linutop Operating System 14.04 est disponible pour tous les mini PC et NUC (Intel):

  • Linutop OS pour PC s’appuie sur la version 14.04 LTS d’Ubuntu avec l’environnement graphique ‘XFCE’ plus classique et surtout plus petit (< 1GB). Il est fourni avec les principaux logiciels Linux : Firefox 32, Libre Office 4, et VLC 2 Media player ainsi que tous les pilotes Linux à jour.
  • Linutop Security Lock: le système peut être verrouillé en lecture seule, afin d’éviter l’altération par virus ou mauvaise manipulation. La possibilité de revenir à la configuration d’origine diminue les coûts de maintenance.
  • Internet Kiosk: permet de configurer en quelques clics : avec ou sans barre de navigation, mode plein écran, verrouillage des sites interdits ou autorisés à la navigation.
  • Display Kiosk: permet de configurer simplement une « playlist » pour un affichage en plein écran (image, lien URL, page web, vidéo HD, musique), il est compatible avec le système de diffusion Linutop.tv et possède une télécommande.

Avantages
  • Poids : Moins de 850 Mb
  • Installation simple et rapide : Moins de 3 minutes
  • Sécurisé, simple d'utilisation, faible coût de maintenance
  • Installation en un clique d'un serveur LAMP
  • Nécessite peu de ressources processeur PIII 800MHz, 512Mo de RAM pour une installation sur PC standard afin de « recycler » un vieux PC, depuis un petit Asus tel que Eee PC 4G jusqu'au dernier Intel NUC Bay trail (DE3815TYKHE internal Flash) .
Principaux usages:
  • Kiosque Internet : Salle d'attente, hotel, bureau, hôpital, école, librairie, borne d'accès internet publique…
  • Affichage dynamique : Point de vente, restaurant, musée, transports en commun, conférence, exposition…
  • Système pour usage multiple : Bibiliothèque, école, bureau partagé, usine…
Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

Concours de programmation CodinGame le 27 septembre 2014

mer, 24/09/2014 - 20:05

Le prochain challenge de code en ligne proposé par CodinGame sur sa nouvelle plate-forme aura lieu le samedi 27 septembre 2014 à 18h (heure de Paris).

L'événement accueillera des développeurs du monde entier pour leur permettre de passer un bon moment, défier leurs pairs, gagner des prix ou entrer en contact avec des sociétés qui leur plaisent et qui recrutent.

Parmi les nouveautés sur le site : un IDE remanié avec un nouveau visualiseur, des boutons pour lancer les jeux de test séparément ou simultanément, un tutoriel de prise en main, un mode solo et multijoueur.

Le thème de cette édition est « Vox Codei » : Le Code est plus qu'un symbole, c'est une Voix. Le peuple de ceux qui codent parle la même langue. Une ligne de code isolée est dénuée de sens, mais quand elle rejoint les milliers de lignes d'une foule, elle peut changer le monde.

L'objectif du challenge : résoudre deux problèmes de programmation dans le langage de son choix parmi les 20 proposés (C/C++, C#, Java, Javascript, PHP, Python, Python 3, Perl, Go, Dart, Scala, Haskell, Objective-C, Pascal, Ruby, Bash, Groovy, Clojure, VB.NET). La durée moyenne estimée de l'épreuve est de 2h30.

Modalités de participation : c'est en ligne, c'est gratuit, et c'est anonyme pour ceux qui ne souhaitent pas communiquer leurs coordonnées. L’environnement de développement proposé donne accès à un éditeur de code et un shell Bash, pour lancer son programme depuis le navigateur.

En rejoignant le concours, les participants acceptent que leur code soit publié sous licence libre GPL v3.

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

Ryzom : naissance du projet libre Ryzom Forge

mer, 24/09/2014 - 20:01

Ryzom est un jeu de rôle en ligne massivement multijoueurs au destin unique : créé sous licence propriétaire par Nevrax en 2004, il a été en grande partie libéré en 2009 par son nouveau propriétaire, Winch Gate Property, du point de vue du moteur comme des données graphiques. De cette libération est né Ryzom Core, qui a entre autres permis d'ouvrir le jeu aux utilisateurs de Linux et de Mac, rendant ainsi Ryzom jouable sous les trois plateformes Windows, GNU/Linux et Mac.

Ryzom a ensuite continué son chemin vers le Libre en libérant l'intégralité de ses Artworks.

Aujourd'hui, ce jeu à l'univers riche et unique, dans lequel les personnages évoluent sur une planète végétale vivante, continue sur sa lancée en s'ouvrant en grande partie à sa communauté, via la création de Ryzom Forge.

Création du projet Ryzom Forge en juillet 2014

"La richesse de Ryzom, c'est ce que les joueurs et ceux qui l'aiment peuvent lui apporter. Pour cela, il faut leur en donner les moyens et l'occasion" – un Joueur de Ryzom.

Cette phrase résume à elle seule l'essence du projet : élargir le Power to Players au-delà du seul Roleplay et donner réellement à la communauté de Ryzom les moyens d'agir sur le jeu lui-même.

Qu'est-ce que Ryzom Forge ?

Ryzom Forge est un projet collaboratif ambitieux, ouvert à la communauté du jeu et la communauté libre, en partenariat avec Winch Gate et avec des bénévoles de l'Équipe Ryzom. Le partenariat mis en place dès la conception du projet Ryzom Forge avec Khaganat, projet de jeu basé sur le code source de RyzomCore, nous prouve la pertinence de l'ambition d'ouverture à la communauté libre.

Se voulant multilingue afin d'être ouvert au plus grand nombre, Ryzom Forge s'appuie sur les compétences de chacun en s'organisant autour de différents pôles de travail : dev / intégration, infographie, level design, tutoriels, support technique, traduction, communication / coordination, administration / assistance wiki, idées, tests. L'ensemble des participants peut librement aider dans un ou différents pôles, au sein desquels chacun peut travailler sur le grand projet commun expliqué ci-dessous, mais aussi sur d'autres qui lui tiennent à cœur.

Quels sont les objectifs de Ryzom Forge ?

Devenu la plaque tournante de Ryzom, liant tous les autres projets, outils et personnes, Ryzom Forge affiche clairement son ambition : maîtriser progressivement les processus nécessaires afin de créer une nouvelle zone de jeu.
Pour cela, le projet est construit en plusieurs étapes progressives, chacune se basant sur un ajout propre :

  • La première étape (en cours), la plus simple, consiste à enrichir les appartements de nouveaux objets.
  • La seconde étape (également en cours) consiste à profiter de la maitrise sur l'ajout d'objets pour proposer des objets popables et équipables inédits.
  • La troisième étape, plus élaborée, et qui demandera aussi un travail du côté "level design", sera de proposer des plans d'armes via de nouveaux rites de tribus.
  • La dernière étape, nommée projet New Zone, consistera en la création d'une nouvelle zone de jeu.
Quelle licence pour les créations de Ryzom Forge ?

Toutes les créations de Ryzom Forge sont sous licence Cc-by-SA.

Première release note de Ryzom Forge : une réussite prometteuse

Après seulement deux mois d'existence, Ryzom Forge publie sa première release note :

Juillet 2014

Août 2014

Bien que Ryzom Forge soit encore très jeune, il est déjà visible que son partenariat avec Winch Gate et Ryzom Core s'avère prometteur, avec des retombées positives pour tous.

Pour en savoir plus sur Ryzom Forge

Wiki : http://forge.ryzom.com
Chat : http://webchat.freenode.net/?channels=ryzomforge

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre

NSA / TAO : le chemin vers vos serveurs

mer, 24/09/2014 - 15:06

Ne trouvant aucune base de données des différents programmes provenant des fuites de Snowden, nous avons travaillé à la création d'une base de données concernant la NSA et le GCHQ. L'article qui suit est une synthèse d'une partie de nos travaux.

NdM : cet article poursuit la série commencée par NSA-observer — quels sont les programmes de la NSA ?, NSA - temps de faire le (premier) point et Que peut faire le service d'élite JTRIG du GCHQ ?.

Nous (nsa-observer) allons aborder aujourd'hui le "catalogue" du groupe d'élite de la NSA nommé TAO (pour Tailored Access Operations). La mission de ce groupe est, depuis sa création en 1997, d'identifier, de monitorer et de trouver un chemin vers des réseaux ou des systèmes pour collecter des informations. Ce département a gagné la réputation de collecter certains des meilleurs renseignements parmi les services de renseignements US, que ce soit sur la Chine, sur des groupes terroristes, ou sur les activités politiques, militaires et économiques d'un pays.

Sommaire

Foreignpolicy.com indique que plus de 1000 personnes, civiles et militaires, y travailleraient à partir de 5 bases : ROC (pour Remote Operations Center), basé à Fort Meade (Maryland) qui est entre autres le quartier général de la NSA, Hawaii (Wahiawa, Oahu), Fort Gordon (Georgie), au Texas Cryptologic Center et à la base de l'US Air Force BKF (Denver).

TAO est divisé en quatre départements, chacun spécialisé dans un domaine précis, l'ensemble des équipes travaillant par roulement 24/7 :

  • Data Network Technologies (DNT) qui s'occupe de la conception de malwares,
  • Telecommunications Network Technologies (TNT) cible spécifiquement les méthodes de pénétrations dans les réseaux et les ordinateurs (bien entendu sans se faire détecter),
  • Mission Infrastructure Technologies (MIT) développe et construit les outils de monitoring hardware ainsi que les infrastructures qui permettent de tout supporter.
  • Access Technologies Operations (ATO) travaille avec la CIA et le FBI. Ces deux derniers mettant en place des modules de surveillance permettant aux opérateurs de TAO de les utiliser à distance.
TAO sort de l'ombre

Même si les premières informations publiques datent de l'été 2013, cette branche de la NSA est réellement sortie de l'ombre en décembre 2013 avec la conférence "To protect and infect, part 2: The militarization of the Internet" de Jacob Appelbaum au 30c3 où il présente les différents programmes d'attaque et de collecte, en coopération avec le Spiegel (Inside TAO: Documents Reveal Top NSA Hacking Unit).

Vidéo 30C3 : mp4 - webm

En plein milieu des "révélations Snowden", c'est un coup de tonnerre.

Les programmes peuvent se classer en différentes catégories : les implants matériels et les implants logiciels, dans lesquels on peut en mettre d'autres, comme ceux qui visent les téléphones (aussi bien GSM, smartphone que satellite), les malwares, et les programmes "RF" (pour radio-fréquences). Comme vous allez le voir, TAO fait plutôt de l'ultra-ciblé que de l'écoute de masse (au contraire du GCHQ). Ce qui concorde parfaitement avec leur mission : réussir à avoir les infos là où elles sont difficiles d'accès.

Les programmes

Présenter un tel catalogue implique de sélectionner certains de ses éléments sans s'étendre sur son intégralité. Quasiment tous les programmes sont intéressants de par leur méthodes opérationnelles, cependant, dans la mesure du possible, nous parlerons seulement des programmes qui sortent de l'ordinaire. On ne parlera par exemple pas trop des variantes d'IMSI catcher que l'on peut trouver partout.

Implants logiciels

IRATEMONK permet de modifier les microcodes des disques durs de différentes marques (Western Digital, Seagate, Maxtor et Samsung) pour exécuter du code lors du démarrage.

Téléphones
  • DROPOUTJEEP - implant pour Iphone, la NSA indique dans le catalogue que DROPOUTJEEP avait 100% de chances de succès.
  • MONKEYCALENDAR - implant ciblant les cartes SIM (Subscriber Identify Module) et envoi par SMS, à un numéro défini, les appels et la géolocalisation de l'utilisateur.
  • TOTEGHOSTLY - malware ciblant les téléphones Windows (mais quelle version ?), utilisant le framework CHIMNEYPOOL et contrôlé par STRAITBIZARRE. Il est utilisé pour mettre en place ou exfiltrer des fichiers, des sms, la liste des contacts ou encore trouver la géolocalisation via sms ou connection GPRS. L'attaquant a aussi le contrôle de la caméra et du micro.
  • TOTECHASER - malware ciblant le téléphone satellite/GSM Thuraya 2520 basé sur Windows CE. Il est utilisé pour exfiltrer les données de géolocalisation ainsi que les logs des appels et la liste de contacts via des sms cachés. Les sms servent aussi à l'attaquant à contrôler le téléphone. Selon les documents, l'implémentation de ce malware nécessite de modifier le téléphone lui même.

Ce genre d'attaque est la spécialité de l'entreprise FinFisher (Gamma International) qui est spécialisée dans les malwares "légaux" (lire "pour les forces de l'ordre, que vous soyez une dictature ou non"). Pour plus de détails sur les capacités de leurs malwares, lire "Gamma FinFisher hacked: 40 GB of internal documents and source code of government malware published" (netzpolitik.org) ainsi que "SpyFiles 4" (wikileaks.org) concernant les malwares eux-mêmes.

Il n'y a normalement aucun lien entre la NSA et FinFisher, mais les URLs vous permettront de mieux appréhender ce que l'on peut faire avec des malwares sur des téléphones.

Serveurs et firewalls
  • SWAP exploite le bios de la carte-mère et le Host Protected Area des disques durs pour obtenir des fenêtres d'exécution avant que le système ne charge. Cette technique fonctionne sur des systèmes Windows, Linux, FreeBSD, et Solaris,
  • JETPLOW est un implant persistant (sous la forme d'un firmware) ciblant la série des Cisco PIX et des pare-feux ASA (Adaptive Security Appliance) et permettant la mise en place d'une porte dérobée. À noter que BANANAGLEE fonctionne aussi sur ce type de matériel (et pas seulement sur du Juniper),
  • DEITYBOUNCE - implant logiciel exploitant le bios de la carte mère des serveurs Dell PowerEdge,
  • Les programmes se finissant par "MONTANA" (SCHOOLMONTANA / SIERRAMONTANA / STUCCOMONTANA) visent les serveurs Juniper alors que les programmes finissant par TROUGH (GOURMETTROUGH / SOUFFLETROUGH / FEEDTHROUGH) visent spécifiquement les firewalls du même constructeur,
  • IRONCHEF fournit un accès persistant sur les serveurs HP Proliant 380DL G5 en exploitant le BIOS de la carte-mère et le System Management Mode (SMM) via un implant matériel qui permet une communication via des ondes radio,
  • Les programmes se finissant par "WATER" (HALLUXWATER / HEADWATER) visent les pare-feux Eudemon du constructeur Huawei en installant une porte dérobée persistante via une "mise à jour" de la ROM du boot.
Implants matériels

ANGRYNEIGHBOR regroupe différents programmes d'écoutes fonctionnant à distance avec des ondes, que ce soit radar ou radio. Ils fonctionnent le plus souvent avec une balise et fonctionnent même si l'ordinateur n'est pas branché à un réseau. Un générateur d'ondes (CW) illumine (comprendre "envoie des ondes vers") la balise, qui utilise alors ces ondes pour renvoyer ses informations. On parle alors d'ondes RF pour les fréquences radios et d'ondes radars pour le reste.

  • COTTONMOUTH est un implant USB (matériel) avec un lien RF qui permet l'infiltration ou l'exfiltration de données. Compatible avec GENIE,
  • BULLDOZER et GINSU sont des malwares visant le bus PCI, installé via INTERDICTION, ils peuvent être connectés sur une carte WIFI ou sur un routeur pour collecter des métadonnées et du contenu,
  • FIREWALK est un implant pour l'Ethernet (rj45/USB ?) permettant un pont RF
  • LOUDAUTO est un rétro-réflecteur utilisant les ondes radar et du post-traitement basique pour récupérer l'audio d'une pièce.
  • SURLYSPAWN permet de collecter les frappes au clavier sans devoir avoir un logiciel installé sur le système cible, il faut qu'il soit seulement touché une fois.
  • PHOTOANGLO (comme le CTX4000), est un générateur d'ondes en continu (CW),
  • RAGEMASTER fournit la "balise" qui sera illuminée par un générateur d'ondes. Il est installé dans un câble VGA standard et permet la récupération du signal vidéo. La description du catalogue rapporte que RAGEMASTER ne prend en compte que la "sortie" rouge du VGA car c'est celui qui fournit le meilleur retour vidéo.
  • TAWDRYYARD sert de balise permettant de géolocaliser et d'identifier un périphérique implémentant RAGEMASTER.

En lisant le catalogue, on peut parfois voir qu'un programme est fait de composants "COTS" ("Commercial Off-The-Shelf), ce qui signifie que l'on peut le trouver librement sur le marché et donc que l'on ne peut pas remonter à la NSA si quelqu'un le trouve. Si vous souhaitez plus de détails, vous pouvez voir les liens suivants : les 48 pages du catalogues, "Inside TAO: Documents Reveal Top NSA Hacking Unit", "N.S.A. Devises Radio Pathway Into Computers" ou encore "Jacob Appelbaum: Futuristic-Sounding "Radar Wave Devices".

Et les drones ?

NIGHTSTAND, permet d'injecter des exploits sur une ou plusieurs cibles via un réseau WIFI. Il est typiquement utilisé lorsque la cible n'est pas accessible via un réseau câblé, et l'attaque est indétectable par l'utilisateur. Les documents indiquent que dans un environnement idéal, il est possible d'attaquer un réseau WIFI à une distance de ~12 kilomètres. NIGHTSTAND est aussi utilisable à partir d'un drone.

Sur le même thème, vous pouvez aussi regarder les programmes suivants : SPARROW-II (ordinateur embarqué sur du Linux, permet d'exploiter un réseau WIFI à distance), SHENANIGANS (permet la captation massive de données, provenant aussi bien de routeurs WIFI que de smartphones), GILGAMESH (localisation d'une carte SIM à partir d'un drone) et VICTORYDANCE (coopération NSA/CIA : empreinte des réseaux WIFI de quasiment toutes les grandes villes yéménites).

Mais comment font-ils ?

Comment font-ils pour accéder physiquement au serveur s'ils doivent mettre en place des implants matériels ? Ou pour casser de la crypto ? Où encore pour accéder aux différentes réseaux ?

Il existe un programme, appelé INTERDICTION qui consiste à intercepter un colis pendant son transfert pour y installer ce que vous voulez, le tout est renvoyé rapidement et discrètement (et avec le bon emballage bien entendu) à la cible. Le simple fait de commander du matériel en ligne est donc potentiellement un danger. La parade est plutôt simple, il suffit d'aller en magasin. Et comme conclut à juste titre the register, il n'y a apparemment aucun "programme" qui possède une période de validité (à par SEASONEDMOTH). Ce qui veut dire une chose : méfiez-vous de à qui vous achetez votre matériel d'occasion :]

Pour le chiffrement, c'est BULLRUN qui rentre en jeu : il vise à supprimer le chiffrement dans un environnement donné : CNE (Computer Network Exploitation), INTERDICTION (et donc pose d'implants), collecte de données (comme les rapports d'erreurs de Windows) relation avec les entreprises : au hasard RSA ou encore Microsoft (cf. PRISM) ,

ou avec d'autres services (par exemple le FBI pour Microsoft)

À ce sujet, je m'interroge sur Google et les Google cars scannant les réseaux WiFi en 2010. L'information importante n'était pas que Google capte des données sur des réseaux ouverts, mais qu'il a "mappé" TOUS les SSID des réseaux wifi ainsi que leurs localisations : exactement la même chose que ce que la NSA a fait au Yémen avec VICTORY DANCE. Le fait de savoir où se trouve un réseau wifi permet de géolocaliser une cible en ayant accès à son téléphone ou à son ordinateur sans même qu'il ne soit connecté à un réseau, son wifi doit juste être allumé. S'il est connecté, il devient alors possible de faire un lien entre une adresse IP et un SSID.

Continuons avec BULLRUN : il ne faut pas oublier que la NSA a certains des meilleurs mathématicien-ne-s au monde qui travaillent sur de la cryptographie pour améliorer ou au contraire affaiblir des protocoles (comme IPsec par exemple), mais aussi pour trouver des failles à exploiter avant les autres. Ainsi, en novembre 2013, Jacob Appelbaum (qui a eu accès à des documents classifiés d'une autre source que Snowden) disait que "RC4 is broken in real time by the NSA - stop using it." (RC4 est cassé en temps réel par la NSA, arrêtez de l'utiliser).

Il peut aussi y avoir des attaques plus simples , par exemple sur l'utilisation de STARTTLS au lieu de SSL/TLS ; son utilisation permet dans certains cas de forcer une connexion en clair au lieu d'avoir un chiffrement quelconque (d'où l'intérêt de mettre ssl = required et non ssl = yes).

Oui et alors ?

La NSA peut alors utiliser des outils comme XKEYSCORE (dont j'avais parlé dans le premier article) qui permet de rechercher en quasi temps réel dans les différentes bases de données de la NSA et d'autres services : ça peut aller de la nationalité, au sexe, la géolocalisation, l'IP, aux résultats de DISCOROUTE (écoute passive et planétaire du protocole Telnet), en passant par les personnes qui téléchargent le logiciel Tor jusqu'aux sessions VPN, etc….

Une fois une cible définie (comme un administrateur système et/ou réseau, cf. I Hunt sysadmin), la NSA peut alors rediriger une cible vers un serveur FOXACID (pour injecter du code dans son navigateur en utilisant des 0-day), la NSA réalise un Man-in-the-Middle via des fausses pages web (Linkedin, slashdot, …) lors de la redirection en utilisant ses serveurs QUANTUM et du Deep Packet Inspection (TURBINE /TURMOIL).

Pour plus de détails sur cette méthode, vous pouvez lire les articles suivants :

Pour la petite histoire, la société française VUPEN a vendu des 0-day à la NSA, et aussi à FinFisher.

Certains documents rapportent 231 opérations en 2011, dont les 3/4 étaient en priorité contre l'Iran, la Russie, la Chine, la Corée du nord et la prolifération nucléaire. Voici quelques autres cibles :

Pour finir, un document indique que TAO est en train de travailler (en 2011) sur des implants pouvant identifier des "conversations intéressantes" dans un réseau ciblé et d'exfiltrer des morceaux.

Sources TAO - catalogue ANT Tag ANT (NSA) sur nsa-observer.net

BULLDOZER - CANDYGRAM - COTTONMOUTH-I - COTTONMOUTH-II - COTTONMOUTH-III - CROSSBEAM - CTX4000 - CYCLONE - DEITYBOUNCE - DROPOUTJEEP - ENTOURAGE - FEEDTROUGH - FIREWALK - GENESIS - GOPHERSET - GOURMETTROUGH - HALLUXWATER - HEADWATER - HOWLERMONKEY - IRONCHEF - JETPLOW - JUNIORMINT - LOUDAUTO - MAESTRO-II - MONKEYCALENDAR - NEBULA - NIGHTSTAND - NIGHTWATCH - PHOTOANGLO - PICASSO - RAGEMASTER - SCHOOLMONTANA - SIERRAMONTANA - SOMBERKNAVE - SOUFFLETROUGH - SPARROW-II - STUCCOMONTANA - SURLYSPAWN - SWAP - TAWDRYYARD - TOTECHASER - TOTEGHOSTLY - TRINITY - WATERWITCH - WISTFULTOLL

Télécharger ce contenu au format Epub

Lire les commentaires

Catégories: Nouvelles du Libre