Une faille de sécurité dans le protocole SSL 3.0 (et inférieur) et TLS 1.0 a été découverte. Ces protocoles garantissent l’accès chiffré aux serveurs Web. Il n’y a donc plus aucun site Web qui est à l’abri d’une attaque « man in the middle ».

Concrètement, l’attaque consiste à injecter du texte connu dans une page Web (via du JavaScript introduit dans une publicité vérolée, par exemple). Après, il suffit d’écouter la conversion (il faut quand même une session de 30 minutes pour l’exploit actuel) pour découvrir la clef AES. L’exploit permet donc de déchiffrer la page, mais aussi les cookies, et donc de s’identifier sur le site visé.

La faille concerne la version 1.0 de TLS et est corrigée dans la version 1.1, sortie en 2006. En outre, OpenSSL propose un contournement depuis 2004 ; il consiste à injecter des données aléatoires dans la transaction. Malheureusement, les navigateurs utilisent principalement NSS plutôt qu’OpenSSL, et même si sur le serveur on peut forcer l’utilisation de TLS 1.1 ou 1.2, très peu de navigateurs Web les supportent, ce qui freine le déploiement sur les serveurs. Actuellement, seuls IE 9 et Opera en sont capables !

Il faut cependant noter que ces failles sont connues depuis longtemps, c’est ce qui avait mené au correctif dans OpenSSL et à la création de TLS 1.1. Mais c’est la première fois qu’une attaque est publiée, validant ces propositions.

Quelques conseils de navigation :

• utiliser l’extension Firefox noscript ;
• actuellement, là où l’attaque pourra faire le plus de dégât, est sur les webmails ou sur les systèmes de paiement tels que Paypal (ben oui, si quelqu’un pirate ma connexion sur LinuxFr.org, ce ne sera pas très grave, car j’utilise différents mots de passe). Privilégiez donc les clients de messagerie électronique comme mutt ou Thunderbird, en désactivant le HTML.

Merci à Altor pour son aide lors de la rédaction de cette dépêche.

PostgreSQL est sorti ce lundi 20 septembre en version 9.0.
Pour mémoire, PostgreSQL est un système de gestion de base de données relationnel-objet qui se veut le plus performant possible tout en respectant les standards SQL au maximum, la licence du code source est de type MIT.
Cette dernière version apporte plus de 200 améliorations (nouvelles fonctions, nouvelles commandes, ajout d'options...) et permet de migrer à partir d'une base 8.3 ou 8.4.

La principale nouveauté est la réplication intégrée par défaut, qui était une demande importante de la part des utilisateurs.
Même si elle est limitée à un seul maître et plusieurs esclaves, ceci devrait réjouir beaucoup d'utilisateurs.
Les autres nouveautés importantes sont détaillées en seconde partie de dépêche.

C'est ce soir, mardi 3 novembre, que sort la 25ème version de Mandriva Linux, la 2010.0. Cette version marque l'abandon de KDE 3, au profit de KDE 4, et de splashy (qui permettait un démarrage graphique), remplacé par Plymouth.

Les principales nouveautés sont le noyau 2.6.31, KDE 4.3, GNOME 2.28 ainsi que l'apparition de Moblin et la prise en charge des pilotes Poulsbo. La liste détaillée des nouveautés se trouve en deuxième partie de dépêche.

NdM: liens neutralisés en raison de la disparition des domaines

• Mandriva (12 clics) http://www2.mandriva.com/fr/
• Notes de Version de Mandriva Linux 2010.0 (16 clics) http://wiki.mandriva.com/fr/2010.0_Notes
• Visite guidée et copies d'écran (6 clics) http://wiki.mandriva.com/en/2010.0_What%27s_New
• Liste de matériel compatible (5 clics) http://hcl.mandriva.com
• Les errata ou points d'attention selon votre configuration (1 clic) http://wiki.mandriva.com/fr/2010.0_Errata

John Cartwright a annoncé la fermeture de la liste de diffusion Full disclosure. Cette liste était destinée à la publication de failles de sécurité et à la discussion sur ce sujet. Dans son message de fermeture, John Cartwright annonce qu'il en a marre des membres de la « communauté » qui demandent la modération d'anciens messages et pense que ça devient de plus en plus difficile de maintenir un forum ouvert dans le climat légal actuel.

La liste a été créée le 9 juillet 2002 par Len Rose, et était administrée par John Cartwright. Elle était sponsorisée par Secunia, une boîte de sécurité elle aussi créée en 2002.

Wikipédia cite trois failles 0 day révélées initialement sur cette liste concernant Microsoft Windows Help and Support Center en 2010, Apache HTTP Server en 2011 et la base de données Oracle en 2012. Une petite recherche sur LinuxFr.org en signale aussi une sur FreeBSD en 2009, parmi diverses autres failles évoquées touchant des logiciels libres ou non.

Éternelle question autour du « full disclosure », de la divulgation publique opposée à la sécurité par l'obscurité ? 2002, procès Kitetoa, 2004, procès Guillermito « C'est le procès du full-disclosure », 2004, adoption de la loi sur la confiance dans l'économie numérique en France « Quel avenir pour le full-disclosure en France ? » Etc., etc.

L'environnement de bureau KDE est sorti aujourd'hui en version 4.3, appelée Caizen. Après une version 4.0 et 4.1 pour les développeurs et une version 4.2 largement utilisable, cette nouvelle version 4.3 continue la stabilisation sans changement profond, même si 2 000 nouvelles fonctionnalités ont été ajoutées.

Les principaux changements sont l'arrivée de nouvelles technologies telles que PolicyKit, de nouvelles améliorations de Plasma et bien sûr de nombreuses corrections de bogues (plus de 10 000).

Dans le monde des distributions Linux, Debian est presque la plus âgée encore en activité, de plus elle bénéficie d'une réputation de (trop) grande stabilité. Cela a créé un large éventail de distributions dérivées, citons pour les plus connues : Ubuntu, KNOPPIX, Sidux, Damn Small Linux..., malheureusement, certains se plaignent que les développeurs de ces distributions ne font pas remonter leurs améliorations au projet source, provoquant dans certains cas une certaine antipathie de la part de développeurs Debian à l'égard de certaines de ces distributions.

Cette absence de communication étant, entre autres, due à une certaine difficulté à trouver des informations, cela pouvant donc passer pour une grosse perte de temps, Debian a créé un point de contact dédié à ces distributions dérivées, le Derivatives Front Desk. Concrètement, une équipe de volontaires se chargera d'aiguiller ceux qui voudraient faire profiter de leur travail vers les bonnes personnes ou de leur expliquer la procédure afin que Debian et les autres distributions dérivées puissent profiter ce de travail. Pour faciliter ce travail, une page de wiki a été mise en place, ainsi qu'une mailing-list.

Firefox nous revient en arborant fièrement le numéro 23 et, sans cligner des yeux désormais, exécute un dunk renversant ! Quel champion ! Il peut se permettre de tirer la langue…

KDE Software Compilation 4.6 est sorti aujourd'hui. Rappelons que KDE est un environnement de bureau, c'est-à-dire que le but est d'offrir des logiciels pour gérer un bureau (gestionnaire de fenêtres, barre des tâches...), mais bien plus encore en fournissant des jeux, un navigateur Internet, un lecteur audio…

La grande absente de cette version est la nouvelle version de la suite KDE PIM (Personal Information Manager — gestionnaire d'informations personnelles), intégrant Akonadi, qui a encore une fois été repoussée, comme pour la sortie de version 4.5. Cette décision a été prise suite à des problèmes de migration des courriels depuis l'ancienne version. Comme pour la version précédente, il est prévu que cette version sorte avec la mise à jour de KDE 4.6.1. Espérons que ce soit la bonne cette fois-ci.

L'équipe de traduction en français a bien travaillé puisque plus de 98% des chaînes de caractères sont traduites.

Les nouveautés sont détaillées dans la seconde partie de la dépêche.

NdM : Cette dépêche est le résultat d'une fusion avec la dépêche proposée par gnumdk.

Le supercalculateur Sequoia (prévu pour être le plus puissant supercalculateur lors de sa sortie) ne fera pas que battre des records de FLOPS, il utilisera aussi des processeurs BlueGene/Q d’IBM, les premiers processeurs commerciaux à utiliser une mémoire transactionnelle matérielle. Le processeur développé par Sun et annulé avec le rachat par Oracle, aurait également dû le prendre en charge.

C’est l’occasion d’expliquer ce qu’est la mémoire transactionnelle : une technique peu connue car elle pose des problèmes de performance lorsque plusieurs processus ou fils d’exécution (threads) doivent accéder à une valeur partagée.

N. D. A. : Merci à Nÿco, NeoX et Michel Barret pour leur aide lors de la rédaction de cette dépêche.

Mozilla continue son cycle de sortie rapide et a publié la version 6 ce 16 août. Les nouveautés se font toujours dans la continuité :

• le démarrage est plus rapide lors de l'utilisation de Panaroma ;
• un menu Web developpers a été créé et les outils relatifs y ont été migrés ;
• la gestion du dernier brouillon de la norme Websocket a été intégré (les fonctions de l'API en JavaScript sont pour l'instant préfixées pour marquer l'état de brouillon) ;
• le site identity block, c'est-à-dire le bloc qui indique l'identité d'un site en HTTPS a vu son look modifié ;
• l'utilisation de la console Web a été facilitée ;
• Scratchpad, un outil qui permet de taper son code JavaScript et de l'exécuter directement sur la page courante, a été ajouté.

On peut aussi noter que l'accélération via la carte graphique qui n'était possible qu'avec les pilotes propriétaires nVidia est désormais disponible pour les pilotes classic de Mesa et les pilotes propriétaires d'AMD.

N. D. M. : Thunderbird 6 est également disponible.

Voici une présentation d’outils (clients et serveurs) pour héberger soi‐même ses données et services sur Android. La présentation inclut les logiciels pour le desktop, puisque la plupart des utilisateurs désirent synchroniser les trois (serveur, smartphone, desktop).

NdA : Merci à rahan, baud123, olivier esver et Benoît pour leur aide lors de la rédaction de cette dépêche

Samba, le logiciel client/serveur pour communiquer avec le monde qui fait peur (Windows pour les intimes), arrive en version 4.1. Pour rappel, depuis la version 4, il est possible d'en faire un contrôleur de domaine Active Directory.

Le détail des nouveautés dans la seconde partie de la dépêche.

HTTPS Everywhere est une extension Firefox éditée par l'Electronic Frontier Foundation qui permet de remplacer automatiquement l'URL d'un site web par son équivalent HTTPS. Ce n'est pas forcément simple parce que pour beaucoup de sites, il ne suffit pas d'ajouter un s à http. Par exemple, jusqu'à récemment, la version HTTPS de Google n'était accessible que sur https://encrypted.google.com.

L'extension maintient donc une base de données pour effectuer les correspondances. Cette version 2.0.1 apporte une base plus grande (404 nouvelles règles depuis la version 1.2.2) mais aussi un Decentralized SSL Observatory (observatoire SSL décentralisé) qui permet d'envoyer de manière anonyme les certificats à une base de données de l'EFF pour qu'ils soient étudiés par cette dernière afin de détecter les éventuelles failles. L'observatoire permet aussi de signaler les éventuels problèmes en temps réel. Pour l'instant seuls les certificats qui ont été générés à partir d'une clef privée faible — à cause d'une machine ayant un générateur de nombre aléatoire buggé — sont signalés. Enfin, cette version 2 fonctionne désormais aussi sur le navigateur de Google : Chrome.

NdA : Merci à detail_pratique pour son aide lors de la rédaction de cette dépêche.

Le changement de cycle annoncé avec la sortie de Firefox 4 a bien été respecté, puisque trois mois à peine après la sortie de ce dernier, voici une nouvelle version du navigateur Web. La liste des nouveautés, détaillées en seconde partie, est donc, bien sûr, beaucoup plus réduite.

KDE 4.7 est sorti ce 27 juillet. Il n'y a pas de changement important mais des améliorations dans la continuité des précédentes versions.

La liste des nouveautés est disponible dans la deuxième partie de la dépêche.