Ma société travaille depuis plusieurs mois sur un projet de WAF, ou pare‐feu applicatif, articulé autour du serveur HTTP et proxy inverse nginx. Après une foule de tests et une épreuve du feu pour le moins tendue, la première version stable de NAXSI, c’est son nom, est disponible au téléchargement en code source et en paquet Debian.

NAXSI est sous licence GPL v2 et s’utilise conjointement avec nginx. Son principal but est de bloquer de manière efficace les attaques classiques de type injection SQL, Cross‐Site Scripting, Cross‐Site Request Forgery, ou encore inclusion de sources tierces locales ou distantes.

Au contraire des WAF déjà connus, NAXSI ne se base pas sur des signatures, mais plutôt sur la détection d’attaques connues en interceptant des caractères et autres chaînes suspectes dans les requêtes HTTP. Tel un système anti‐pourriel, NAXSI affecte un score à la requête et, lorsque ce dernier est trop élevé, le client est redirigé sur une page de type 503.

Malgré ses récents faits d’armes, NAXSI reste un projet jeune, et en tant que tel, nécessite plus de tests. Aussi, n’hésitez pas à lui donner sa chance, vos retours seront grandement appréciés !

Le mercredi 23 novembre 2011, l’April tiendra une « non‐conférence » à l’Olympic Café, à Paris, dans le cadre du séminaire Les résistances du collectif, organisé par l’établissement.

L’Olympic café et le théâtre du Lavoir Moderne Parisien sont des lieux culturels indépendants, ouverts et non élitistes. L’idée de « non‐conférence » portée par l’Olympic Café est justement de mettre en place un événement qui permette à de parfaits novices de découvrir le logiciel libre et de mixer des univers différents.

Voici une petite revue des dernières nouveautés matérielles tournant sous Dalvik/Linux, plus connu sous le nom d’Android. Dans la seconde partie de la dépêche, vous trouverez :

• la Motorola Corvair ;
• le Verzo Kinzo ;
• les Epson Moverio ;
• l’Asus Transformer Prime.

La revue de presse de l’April est régulièrement éditée par les membres de l’association. Elle couvre l’actualité de la presse en ligne, liée au logiciel libre. Il s’agit donc d’une sélection d’articles de presse et non de prises de position de l’association de promotion et de défense du logiciel libre.

Sommaire

• [:: S.I.Lex ::] Numérisation : la grande manœuvre des indisporphelines
• [NouvelObs.com] Adobe renonce à Flash pour les appareils mobiles
• [leSoleil] Une première « communauté logicielle libre » au gouvernement
• [EurActiv] Le cloud computing pourrait réduire les émissions de carbone
• [WEKA] « Au bout de dix ans de pratique du B2i, nous constatons un échec »
• [ZDNet.fr] Brevets Android : Barnes & Noble demande une enquête sur Microsoft

Le groupe d’utilisateurs de logiciels libres de Toulouse, Toulibre, propose aux amateurs de ces logiciels de se retrouver le quatrième ou cinquième mardi ou jeudi de chaque mois, pour échanger autour du logiciel libre, discuter de nos projets respectifs et lancer des initiatives locales autour du Libre. Ce repas est ouvert à tous, amateurs de l’esprit du Libre, débutants ou techniciens chevronnés.

Inscription demandée avant le mercredi soir via l’adresse ci‐dessous.

Voici une entrevue avec les auteurs de FusionInventory, projet libre de gestion du parc informatique. C’est un outil qui permet des inventaires locaux ou distants des ordinateurs, des matériels réseau et des imprimantes. FusionInventory fonctionne très bien avec GLPI… dont l’un des auteurs s’est entretenu également avec LinuxFr.org.

LinuxFr.org : T’es qui toi ?

David Durieux : J’habite à Beaujeu, dans le Rhône. Depuis mon adolescence, je suis un autodidacte passionné d’informatique (matériel, administration de serveurs et réseau, et programmation). Je suis contributeur sur les projets GLPI, FusionInventory et Shinken-Monitoring.

Gonéri Le Bouder : Je vis en Île‐de‐France, même si je suis très attaché à la Bretagne. J’ai fait mes études à Saint‐Malo, et depuis quelques années maintenant, je suis aussi développeur Debian et un Mongueur Perl.

Fabrice Flore‐Thébault : Je vis à Bruxelles où j’anime les Jeudis du Libre. Je suis un compagnon de route de FusionInventory, GLPI et Rudder, dont les contributions ne sont pas du code.

Walid Nouh : Je vis à Sète, et je travaille avec Gonéri. Je fais surtout des déploiements chez les clients, ainsi que des tests.

Guillaume Rousse : Je suis Parisien. J’ai rejoint le projet récemment, lorsque j’ai commencé à déployer la solution au travail. Au départ, il s’agissait juste de quelques patches pour corriger ou nettoyer un peu le code de l’agent, et comme j’ai vite gonflé Goneri avec mes demandes d’intégration journalières, j’ai rapidement hérité d’un accès en écriture au dépôt Git…

Jean‐Mathieu Doléans a accepté de se prêter au jeu des questions pour LinuxFr.org sur le projet GLPI. GLPI est un outil de gestion de parc informatique et de centre d’assistance. Il a la particularité, entre autres, de très bien fonctionner avec FusionInventory… dont LinuxFr.org s’est aussi entretenu avec ses auteurs.

LinuxFr.org : T’es qui toi ?

T’es dur là, et mon psy ne m’aide pas à répondre à cette question existentielle, malgré ma lourde contribution à son train de vie indécent.

Plus sérieusement, je me nomme Jean‐Mathieu Doléans, et suis le co‐fondateur du projet GLPI et le président de l’association Indepnet qui porte ce projet. J’ai également une passion pour les TIC et les logiciels libres depuis de nombreuses années.
Dans le civil, je suis chargé de mission TIC dans une collectivité territoriale.

LinuxFr.org : C’est quoi GLPI ? Qu’est‐ce que ça fait, et comment ?

GLPI signifie Gestion Libre de Parc Informatique. C’est une solution de gestion de parc informatique et de centre de services. Elle se présente sous la forme d’une application 100 % Web et permet de gérer l’ensemble des problématiques de gestion de parcs informatiques : de la gestion des composantes matérielles ou logicielles d’un parc informatique, à la gestion financière et administrative, en passant par la gestion de l’assistance aux utilisateurs.

Peut‐être avez‐vous déjà participé au projet OpenStreetMap. Ce super projet a pour but de mettre à disposition de tout le monde des cartes libres (reproduction et modification sous CC-by-sa). Beaucoup de projets libres utilisent ces données. Chacun peut apporter sa pierre à l’édifice en faisant des relevés topographiques lors de promenades à pied, en vélo ou en voiture, avec son GPS dont on envoie ensuite les « traces » à OpenStreetMap.

Ce moteur de recherche alternatif (qui a déjà fait l’objet d’une dépêche) prend de l’ampleur. Son créateur, Gabriel Weinberg a décidé récemment d’augmenter le capital de cette startup. Cela se traduit par de nouveaux investisseurs et de l’emploi. Ce changement de cap (auparavant Gabriel travaillait seul et sur ses propres fonds) répond à l’augmentation de popularité de ce moteur de recherche.

Rappelons que DuckDuckGo est un moteur de recherche qui se différencie de ses principaux concurrents par un réel respect de la vie privée et la « Zero-click Info boxes » qui permet l’affichage d’informations sans à avoir à cliquer sur un résultat. De plus, la syntaxe !bang permet une navigation plus rapide.

Si vous cherchez des raisons d’utiliser ce moteur de recherche, le mieux est de visionner ces deux tutoriels : We don’t bubble you et We don’t track you.

Il y a beaucoup de nouveautés et d’améliorations depuis la dernière dépêche. Pour n’en citer que quelques‐unes, notons que DuckDuckGo possède maintenant des serveurs à Singapour et bientôt en Europe, ce qui devrait augmenter sa rapidité pour ces zones géographiques. De plus, DuckDuckGo ne se contente plus de récupérer les résultats d’autres moteurs de recherche, mais possède maintenant son propre robot d’indexation. Il est également depuis peu le moteur de recherche par défaut sur Opera.

Enfin, ce moteur de recherche essaie de s’ouvrir et de permettre facilement aux développeurs ou utilisateurs confirmés de participer au développement.

Oracle ayant racheté Sun, c’est désormais de Oracle Solaris dont il faut parler. Et, justement, Oracle Solaris 11 est sorti, avec tout plein de logiciels libres dedans.

Un peu de recul. Oracle Solaris 11 Express, la « pré‐version », était déjà sortie l’an dernier, annonçant donc une version finale proche. Sun Solaris 10 était sortie en 2005.

Malgré l’abandon d’OpenSolaris, la version libre de Solaris initiée par Sun, mais tuée par Oracle après le rachat de ce dernier, cette nouvelle version est truffée de logiciels libres comme GNOME, Compiz, X.Org, Firefox, Thunderbird, CUPS… Pour ceux qui désirent une version libre de Solaris, il faut donc se tourner vers les forks d’OpenSolaris comme Illumos ou OpenIndiana.

Bien sûr, après s’être présenté comme les rois du « grid » avec son SGBDR, quand ce concept était à la mode, Oracle présente désormais « son » Solaris 11 comme le roi du « cloud » (« First Cloud OS » et « First fully virtualized operating system »). Les fonctionnalités « chaudes » sont les Solaris Zones, le système de fichiers ZFS et d’autres fonctions liées à la sécurité. Disponible pour x86 et SPARC, Solaris 11 n’est pas disponible pour Itanium.

XPilot remis au goût du jour avec plein d’effets graphiques et néons, ça vous dit ? Alors, essayez M.A.R.S. ! M.A.R.S. (« A Ridiculous Shooter ») est un jeu de tir en 2D très coloré, où l’on dirige un vaisseau spatial et l’on affronte d’autres joueurs.

Coup de théâtre ! Après avoir galéré des mois/années sur Android, et avoir publiquement combattu contre Apple pour l’intégration sur iOS, Adobe jette l’éponge du greffon Flash Player pour navigateurs sur mobile et télévision. Il y aura tout de même une maintenance, pour les bogues réguliers, mais surtout pour les soucis de sécurité.

Extrait :

« Nos travaux à venir sur Flash pour appareils mobiles seront concentrés sur les développeurs pour les livraisons d’applications natives Adobe AIR dans les principaux magasins d’applications. Nous n’adapterons plus Flash Player pour appareils mobiles aux nouveaux navigateurs, nouvelles versions de système d’exploitation ou types d’appareils. Certains de nos titulaires de licence pour notre code source pourront choisir de continuer de travailler et de livrer leur propre implémentation. Nous allons continuer à prendre en charge les actuelles configurations Android et PlayBook avec des corrections de bogues critiques et mises à jour de sécurité. »

Version originale :

« Our future work with Flash on mobile devices will be focused on enabling Flash developers to package native apps with Adobe AIR for all the major app stores. We will no longer adapt Flash Player for mobile devices to new browser, OS version or device configurations. Some of our source code licensees may opt to continue working on and releasing their own implementations. We will continue to support the current Android and PlayBook configurations with critical bug fixes and security updates. »

Sur Slashdot, on peut lire :

« I felt a great disturbance in the Force, as if 750 voices screamed out in terror and were laid off. But that noise was overshadowed by everybody else celebrating. »_

Et là : Mention générique sur Steve Jobs. Pour générer des commentaires.

Adobe se concentre donc désormais logiquement sur HTML 5 (et sur le « digital media » et le « digital marketing »… On laissera le lecteur s’informer sur ces produits propriétaires). La stratégie du « Flash partout » est donc définitivement morte avec l’incapacité d’Adobe de livrer un lecteur Flash convenable sur mobile. Ajoutons à cela la multiplication des plates‐formes mobiles et le contrôle total de leurs propriétaires. Peut‐on ajouter que le HTML 5 y a également contribué ?

Dans un autre registre, mais pas tout à fait (celui des greffons propriétaires de trucs animés ou « rich media ») : Microsoft, à l’aube de livrer Silverlight 5 aux fabricants, ne confirme, ni n’infirme, la rumeur selon laquelle il n’y aurait tout simplement jamais de Silverlight 6. Signe des temps ?

Flash sur mobile est donc mort. En revanche, le flash sur les radars mobiles est toujours vivant.

L’équipe de développement de l’IDS/IPS Suricata a publié le 10 novembre 2011 la version 1.1 de son moteur de détection/prévention d’intrusions. Il s’agit de la première version de la nouvelle branche stable 1.1. Elle prend la suite de la branche 1.0 sortie en août 2010, et apporte des gains conséquents en termes de performance, stabilité et précision.

Suricata est un système de détection/prévention d’intrusion réseau basé sur des signatures (à l’image de Snort avec qui il partage le langage de signatures). Il est disponible sous licence GPL v2 et a été développé depuis zéro par une fondation à but non lucratif, l’Open Information Security Foundation (OISF). Suricata fonctionne sur les systèmes d’exploitations GNU/Linux, BSD et Windows.

Avec l’arrivée de Firefox 8.0, c’est tout l’ensemble des logiciels reliés à la Fondation Mozilla qui suit le mouvement, avec un numéro de version généralement harmonisé.

Au passage, Firefox fête ses 7 ans.

Thunderbird 8.0

Thunderbird 8.0 utilise lui aussi le moteur de rendu Gecko 8 et profite donc de ses améliorations et corrections de bogues. Parmi les autres points notables, la gestion des extensions (add‐ons) se rapproche de celle de Firefox (vérification de compatibilité au démarrage, mise à jour, désactivation par défaut de ceux configurés par des tiers, etc.). Ensuite, il y a les raccourcis de recherche, une amélioration de l’accessibilité de la liste des pièces jointes, et les usuelles corrections de bogues.

Lightning 1.0

Lightning, ajoutant des fonctions d’agenda à Thunderbird, passe enfin en version 1.0. Il intègre la gestion d’informations personnelles, de plusieurs agendas, de tâches, etc..

Dans les changements de cette version, on trouve (traduction libre) :

• la gestion complète du mode déconnecté pour un agenda quand l’option « Cache » est activée ;
• l’amélioration des diagnostics des sources [iCalendar] ;
• la correction d’un plantage au démarrage. N’hésitez pas à essayer à nouveau si vous aviez ce problème ;
• des corrections diverses pour le système de notification, notamment reliées aux événements récurrents ;
• la possibilité de l’affichage d’événements déjà acceptés via une invitation ;
• un nouveau style graphique pour la vue agenda.

Firefox Mobile 8.0

L’offre Firefox Mobile se présente en réalité sous la forme de deux produits bien distincts :

• Firefox for Android 8.0, disponible sur l’Android Market, qui, outre le fait qu’il améliore encore un peu plus ses performances (ce qui n’est pas un mal, en attendant l’abandon prévu de XUL au profit de technos natives), se voit ajouter les marque‐pages en écran d’accueil et un mot de passe principal  pour chiffrer les mots de passe enregistrés ;
• Firefox Home for iOS 1.1.1, qui déjà présent sur l’AppStore, et qui, rappelons‐le, n’est pas un navigateur et ne suit donc pas le cycle de développement des autres produits.