La rencontre KDE à Randa (en Suisse) permet chaque année aux développeurs (et autres? il me semblait que ça parlait de designers) y participant de passer une semaine complète à travailler sur KDE (et à manger des chocolats aussi).

Concernant la collecte de fonds, 428 personnes ont donné plus de 15 000 € (sur un objectif de 20 000), permettant à plusieurs dizaines de participants de se retrouver, du samedi 9 au vendredi 15 août, pour planifier et travailler sur le futur de KDE.

Voici un récapitulatif non-exhaustif de l’évènement.

Si Wayland est sur la bonne voie pour arriver sur nos ordinateurs, l’équipe s’occupant de X.Org n’a pas chômé pour nous livrer, le 17 juillet dernier, cette version 1.16 qui apporte pas mal de nouveautés intéressantes !

La suite de la dépêche propose une traduction française des notes de version (Glamor, XWayland, systemd, compilation plus propre, appareils non PCI, etc.).

Le service de distribution et de vente de jeux vidéo en ligne sans DRM GOG.com annonce l’ajout de GNU/Linux aux plateformes pris en charge.

Pour rappel, « le service vend des vieux classiques sur PC mis à jour pour tourner sans encombre sous les dernières versions de Windows. » et depuis mars 2012 propose des titres plus récents comme The Witcher 2, Alan Wake, et Assassin's Creed entre autres. Merci Wikipédia francophone et anglophone.

Outre l’ajout d’une nouvelle plateforme prenant en charge GNU/Linux, on apprend que 50 jeux sont déjà disponibles pour GNU/Linux, dont 23 (et un en préparation) pour la première fois disponibles sous GNU/linux.

On vous parle depuis longtemps de systemd. On vous dit que c’est très bien. La plupart des distributions l’ont adopté (Fedora, openSUSE, Mageia, Frugalware, Arch, etc.), vont l’adopter (Debian, Ubuntu) ou vous permettent de l’utiliser de manière optionnelle (Gentoo, etc.). Mais, savez‐vous l’utiliser ?

Voici une série d’articles didactiques pour apprendre à utiliser systemd et vous permettre de mieux l’appréhender et de comprendre les avantages qu’il apporte par rapport aux systèmes précédents.

Les informations ci‐dessous sont tirées, traduites et adaptées du blog de Lennart Poettering et sont accessibles dans la langue de Shakespeare aux adresses ci‐dessous :

Plasma, l’espace de travail (aussi appelé shell) de KDE, est sorti en version 5.0 le 15 juillet 2014.

Breeze, le nouveau thème graphique offre un visuel plus propre et une meilleure lisibilité. Les flux de travail ont été rationalisés, tandis que les motifs d’interaction globaux sont laissés intacts. Plasma 5.0 améliore la prise en charge des écrans à haut DPI, fournit un espace de travail (shell) complet, et s'adapte à différents appareils.

Sous le capot, on notera la migration vers une nouvelle pile graphique totalement accélérée par le matériel, centrée autour d’un graphe de scène OpenGL(ES). Plasma est construit avec Qt5 et KDE Frameworks 5.

Note : cette dépêche est une traduction d’une partie de l’annonce officielle.

KDE Frameworks 5 (KF5) est sorti le 7 juillet 2014 ! Pour rappel, KF5 c’est le résultat de 3 ans d’efforts pour modulariser les KDElibs, les bibliothèques utilisées par la plupart des logiciels KDE. À cette occasion, elles ont été migrées vers Qt5 et améliorées. Une itération majeure donc, mais une évolution et pas une révolution, ce qui facilite la transition.

La modularisation est un objectif de longue date pour rendre les KDElibs utiles aux développeurs Qt. En effet, les bibliothèques KDE sont, au fur et à mesure de leur évolution, devenues un véritable cadriciel (framework) ou, plutôt, un ensemble de bibliothèques interdépendantes ; ce côté monolithique souvent reproché aux KDElibs limitait son utilité en dehors de KDE.

Note: Cette dépêche est essentiellement une traduction des notes de versions et d'un choix de documentations sur les API de KF5 issus du planet KDE, notamment ces trois là.

Si vous souhaitez aider KDE dans son développement, n’oubliez pas de financer le sprint de la rencontre 2014 à Randa (Suisse) qui aura lieu en aout. Attention, la campagne s’arrête le 9 juillet, il ne reste plus beaucoup de temps !

Si le but est atteint, on aura un logiciel de montage vidéo Kdenlive encore plus stable, plus d’applications portées sous KDE Frameworks 5 (avec un premier port du logiciel de gestion de finances personnelles KMyMoney), des améliorations dans le framework multimédia Phonon, un début de travail sur le lecteur audio Amarok 3, des applications KDE pour l’éducation encore meilleures, une bêta du port du logiciel ludique et éducatif GCompris vers Qt, un livre KDE mis à jour, plus de travail sur Gluon, et un nouvel et fantastique SDK KDE!

TrueCrypt est un logiciel de chiffrement de disques, multiplateforme, sous licence non-libre (cf annexe en seconde partie), mais dont le code source est accessible. Ses développeurs sont anonymes.

Depuis le 28 mai dernier, le site web officiel TrueCrypt.org redirige vers le sous-domaine de Sourceforge dédié au projet et affiche en rouge un message inquiétant :

ATTENTION : Utiliser TrueCrypt n’est pas sûr car il pourrait contenir des problèmes de sécurité non-corrigés

Cette page explique également aux utilisateurs comment migrer leurs données vers un autre outil de chiffrement… qui n'est autre que BitLocker de Microsoft !

systemd est un gestionnaire du système et de services (aussi appelé « PID 1 », car c’est le premier processus à être lancé) pour Linux, compatible avec SysV et les scripts d’init LSB. systemd a des capacités de parallélisation énergiques. Il utilise les sockets et l’activation par D-Bus pour démarrer les services, permettant le démarrage à la demande des démons. Il surveille et commande les processus avec les groupes de contrôle (cgroups) Linux. Il prend en charge la construction d’instantanés et la restauration de l’état du système. Il maintient les points de montage et d’auto-montage, et implémente une logique de contrôle transactionnelle élaborée fondée sur les dépendances entre services.

systemd ne fait pas partie du projet freedesktop.org, bien qu’hébergé sur le site. Il est codé en langage C et publié sous licence GNU GPL 2.1+. Il a été lancé par Lennart Poettering, auteur de PulseAudio et d'Avahi entre autres, et est maintenant activement développé par plusieurs dizaines de développeurs.

La dernière dépêche concernant systemd a suscité de nombreuses réactions et certaines d'entre elles montraient une méconnaissance de ce logiciel : la dépêche se contentait, pour la majeure partie il est vrai, de traduire les notes de versions.

Je vais donc faire un point sur systemd, histoire d’en finir une bonne fois pour toutes avec les discussions sans fin sur systemd (l’espoir fait vivre).

GnuTLS est une bibliothèque libre qui, au même titre que OpenSSL, permet d’établir une connexion chiffrée sur Internet via le protocole SSL/TLS.

Une faille de sécurité qui permet de faire planter GnuTLS et, dans certaines conditions, lui faire exécuter du code arbitraire a été découverte.

Concrètement, lors d’une poignée de main, l’envoi d’un identifiant de session extrêmement long par le serveur provoque un dépassement de tampon. Pour résumer, on veut enregistrer en mémoire l’identifiant de session qui est plus grand que l’espace prévu à cet effet, l’excédent est écrit à côté et, en particulier, sur le programme en mémoire. En choisissant bien l’identifiant de session, on peut donc altérer le fonctionnement du logiciel en cours d’exécution à son avantage.

CaliOpen est un projet libre (GPLv3) qui a pour but de créer un nouvel outil de communication sécurisé. Il ne cherche pas à créer un clone libre et sécurisé de Gmail mais un outil suffisamment original pour attirer les utilisateurs, et les inciter à mieux protéger leur vie privée.

Le projet en est à ses tout début, il n’y a donc pas encore de démonstration fonctionnelle, mais il y a déjà du code en cours d’écriture.

Wayland et son implémentation de référence Weston sont sortis en version 1.5 le mardi 20 mai 2014. Au programme, pas de révolution, mais beaucoup de bogues corrigés.

Sous GNU/Linux et BSD (entre autres), lorsqu’une application veut afficher quelque chose à l’écran, elle doit utiliser le protocole X11 pour communiquer avec X.Org. Mais X.Org est vieux, pas adapté au matériel moderne et pas sécurisé.

Wayland est le nom du protocole d’affichage local conçu pour remplacer le protocole X11, d’une bibliothèque qui l’implémente (et du projet en général). Une partie du travail qui était fait par X.Org devra désormais être faite par le compositeur, dans la plupart des cas le gestionnaire de fenêtres. Weston est une implémentation de référence d’un compositeur pour démontrer les capacités des protocoles (Wayland, xdg-shell…) et des bibliothèques utilisées (libxkbcommon, libinput…).

Wayland est déjà pris en charge par Qt 5, GTK 3, Clutter, SDL et EFL. KDE et GNOME le prennent en charge partiellement via leurs gestionnaires de fenêtres, respectivement KWin et Mutter. D’autres projets naissent sur Wayland comme Hawai.

Pour l’occasion, la catégorie « X » de LinuxFr.org devient « Serveurs d’affichage » (pour englober X.Org, Wayland, Mir et tout ce qui s’y rapporte) et change de logo !

N.D.L.R. : merci à JPEC pour son journal : Wayland & Weston 1.5.0 sont publiés.

Après les deux failles mettant en cause l’utilisation d’instructions goto (l’une chez Apple, l’autre chez GNUTLS) et la faille Heartbleed, une vulnérabilité a encore été découverte : Triple Handshake («Triple poignée de main»), aussi appelée 3Shake.

Contrairement aux autres failles, celle-ci ne concerne pas l’implémentation mais le protocole. Cela signifie qu’elle touche potentiellement toutes les implémentations et que la correction définitive de cette faille nécessiterait une modification dans le protocole. En pratique, les corrections ont été effectuées en faisant des vérifications supplémentaires ou en éliminant certains algorithmes de chiffrement.

Logo par @Raed667
Concrètement, cette faille exploite les différents types de poignées de main (handshake, procédure qui permet d’établir les différents paramètres de communication entre deux machines, étape particulièrement importante pour un protocole de sécurité) afin de se faire passer pour une autre machine et d’effectuer une attaque de l’homme du milieu.

La faille est cependant considérée moins grave que Heartbleed, en partie parce qu’elle est compliquée, s’attaque à une configuration assez spécifique et nécessite une position privilégiée entre deux machines.