Première mise en demeure pour l'association LinuxFr

Posté par (page perso) . Modéré par Benoît Sibaud. Licence CC by-sa
262
31
mai
2013
LinuxFr.org

LinuxFr.org est au fil du temps devenu un site web francophone de référence sur le monde du libre et au-delà, qui traite de l'actualité du Logiciel Libre, en mode contributif, géré par une équipe bénévole, par et pour des libristes enthousiastes, et sans pub. Après (bientôt) 15 ans d'existence, LinuxFr.org comporte plus de 86 000 contenus (dépêches, journaux, etc.) et plus de 1,4 million de commentaires.

Le site dispose notamment d'une équipe de modération intervenant a priori (dépêches, sondages) ou a posteriori (journaux, forums, wiki, tags, commentaires). L'équipe suit des règles de modération, que nous ne manquons pas de rappeler régulièrement lorsque des commentaires ou contenus problématiques le nécessitent ou qu'une édition/suppression est faite. En tant que « service de communication au public en ligne édité à titre non professionnel au sens de l'article 6, III, 2° de la loi 2004-575 du 21 juin 2004 » par l'association LinuxFr, comme le stipulent nos mentions légales, le site dispose aussi d'un directeur de publication (en l'occurrence votre serviteur).

Pour la première fois dans l'histoire du site et de l'association, nous avons reçu une mise en demeure d'un cabinet d'avocats agissant pour le compte d'une entreprise s'estimant « discréditée » par un commentaire sur une entrée de forum qu'elle a elle-même créée. Manifestement, ce commentaire n'est pas « manifestement illégal » et l'association LinuxFr ne commentera pas ici son avis sur la nature légale ou non du commentaire : quelle que soit notre opinion sur le sujet, nous avons opté pour la suppression des passages incriminés afin d'éviter d'inutiles frais d'avocat et pertes de temps supplémentaires, sur un sujet annexe à l'activité principale du site.

NdM : nous vous demandons bien évidemment de garder un ton aussi respectueux dans vos commentaires.

Évolutions sur LinuxFr

Posté par (page perso) . Modéré par Bruno Michel.
Tags :
121
27
août
2008
LinuxFr.org
Quelques évolutions sur le site ont récemment été réalisées par NoNo et Oumph, pour fêter les 10 ans du site :
  • Tous les contenus du site (dépêches, journaux, entrées des forums, sondages, propositions d'entretien, entrées du suivi) peuvent être notées.
  • Sur la page de chaque type de contenus, il est possible de les trier par ordre chronologique, par note ou par intérêt (combinaison des deux premiers, voir l'aide).
  • La page d'accueil a été entièrement revue (bandeaux, boîte d'authentification, contenus) et affiche désormais tous les types de contenus, avec toujours les trois tris
  • Ces modifications ont aussi été l'occasion de nettoyer un peu le code et de refactoriser certaines parties.
Comme toujours, si des volontaires veulent filer un coup de main côté technique (templates, JavaScript, HTML, CSS, images, etc.), toutes les bonnes volontés sont les bienvenues. Par ailleurs, la technique ne fait pas tout, c'est le contenu qui fait vivre le site. Pensez donc à contribuer en proposant des dépêches pour diffuser vos informations.

Le nombre d'entrées dans le système de suivi est à 85 ouvertes sur 824 (rappel : vous pouvez noter les tâches pour les rendre plus ou moins prioritaires). Le temps moyen de résolution est de 165 jours. La moitié des entrées fermées ont été traitées en moins de 6 jours.

Mise en demeure, suite et fin

Posté par (page perso) . Modéré par Benoît Sibaud. Licence CC by-sa
94
25
oct.
2013
LinuxFr.org

Le 31 mai dernier, pour la première fois dans l'histoire du site et de l'association LinuxFr, nous avions reçu une mise en demeure d'un cabinet d'avocats agissant pour le compte d'une entreprise s'estimant « discréditée » par un commentaire sur une entrée de forum qu'elle avait elle-même créée.

Le lendemain, le PDG de la société présentait ses excuses sur le site sous la forme d'une dépêche.

Constatant que « la forme n'y était pas », et estimant que les principes essentiels définis le Règlement Intérieur du Barreau de Paris n'avaient pas été respectés, nous avions alors effectué un signalement au Barreau. Avec le même but pédagogique que précédemment, et de transparence et de suivi de l'histoire vis-à-vis de notre lectorat, nous publions ici notre lettre et la réponse reçue (anonymisées).

NdM : nous vous demandons bien évidemment de garder un ton aussi respectueux dans vos commentaires.

Migration LinuxFr.org terminée

Posté par (page perso) . Modéré par Bruno Michel. Licence CC by-sa
90
13
juil.
2011
LinuxFr.org

La migration du site LinuxFr.org vers le nouveau serveur est terminée (aux mises à jour DNS près). L'ancien serveur trogood (mis en place en 2003, et non zobe mis en place en 2007 comme précédemment annoncé) consommait trop et la fondation Free nous a proposé de le remplacer par un nouveau serveur récent moins énergivore. Le nouveau serveur est en place, reste à le baptiser (après zobe, trogood, prout, blob).

Merci à la Fondation Free pour le nouveau serveur et à son NOC pour sa réactivité. Et merci à Lucas qui a réalisé l'essentiel de la migration.

Pour l'historique des anciens serveurs, voir la présentation RMLL 2008 sur les 10 premières années du site.

Les caractéristiques du nouveau serveur :

(caractéristiques rééditées le 18/07 pour correction)

  • Dell PowerEdge R210 (comme les Dédibox, en version 1)
  • rackable 1U
  • 16 GiB de mémoire vive (DIMM 1333 MHz, 4*4)
  • 2 TiB de disque dur (ext4, RAID, Seagate Constellation ES 2To SATA II 32Mo modèle ST32000644NS)
  • 45 GiB d'espace d'échange
  • Intel Xeon L3426 1,87 GHz (4 cores * 2 via hyperthreading)
  • 2 cartes réseau Broadcom NetXtreme II BCM5716 Gigabit ethernet
  • module d'administration à distance DRAC interne
  • jantes alu et néons bleu

L'ancien serveur avait un hôte sous Debian en 32 bits et des vservers sous Debian aussi (vserver étant peu à peu déprécié). Le nouveau serveur a un hôte sous Ubuntu Server (pour la prise en charge de LXC) en 64 bits et des conteneurs sous Debian.

N.b.: le serveur a changé d'adresse IPv4, donc si vous avez mis l'IP en dur dans un /etc/hosts, vous devriez avoir des problèmes à un moment. Et par ailleurs, l'IPv6 pourrait arriver à terme.

Clé web USB et sécurité

79
31
août
2011
Sécurité

C'est l'histoire d'une personne qui reçoit un gros document papier, contenant une clé USB en forme de clé de porte (voir la photo en seconde partie de la dépêche). On se dit que la clé USB doit contenir la version numérique du document papier, et on branche négligemment l'objet sur son ordinateur.

Une fois branchée sous Windows, la clé ouvre la fenêtre Exécuter avec le raccourci clavier [Touche windows+R], tape une adresse HTTP de site web et confirme la demande. On se retrouve avec un navigateur (disons Internet Explorer par défaut sous Windows) qui ouvre un site distant inconnu. En l'occurrence la clé pointe vers le site du vendeur de ce gadget (l'adresse était en erreur la première fois que je l'ai branchée...), qui lui-même pointe vers le site désiré par l'acheteur de cet objet promotionnel.

Nuageuse mise à jour des routeurs Cisco et premiers grondements

Posté par (page perso) . Édité par Florent Zara et baud123. Modéré par NeoX. Licence CC by-sa
76
3
juil.
2012
Matériel

Depuis la semaine dernière, les récriminations de possesseurs de routeurs Cisco/Linksys E2700, E3500 et E4500 se multiplient : suite à une mise à jour automatique du micrologiciel, ils se retrouvent privés d'accès à leur équipement, qui demande un compte « Cisco Connect Cloud » (censé offrir un accès distant permanent, de nouvelles applications, etc.).

Tous les utilisateurs qui n'ont pas désactivé l'interrupteur de mise à jour automatique situé sous le routeur seraient concernés. Déconnecter le routeur du réseau permet d'utiliser à nouveau le vieux couple identifiant/mot de passe, mais les fonctionnalités sont alors limitées.

Résumons : sous prétexte de faciliter la vie des utilisateurs néophytes, des mises à jour en douce (non réversibles) sont possibles, et peuvent changer les conditions juridiques d'utilisation (plus de détails dans la suite de la dépêche). Cela ne devrait étonner personne ici parmi un public plutôt sensibilisé à l'informatique déloyale et aux problématiques de l'informatique nébuleuse…

LinuxFr.org fête aujourd'hui ses 14 ans

Posté par (page perso) . Édité par Florent Zara, Nÿco et Christophe Guilloux. Modéré par Christophe Guilloux. Licence CC by-sa
72
28
juin
2012
LinuxFr.org

LinuxFr.org fête aujourd'hui 28 juin ses 14 ans : bon anniversaire LinuxFr.org ! Merci à tous ceux qui ont contribué et contribuent au succès du site : administration système, développement, modération, dons, écriture de contenus, etc. Le meilleur moyen de nous dire merci est de proposer une dépêche ou d'en rédiger collaborativement dans l'espace de rédaction pour faire vivre le site.

Et en 14 ans, ça donne quoi ?

Côté chiffres, le site comporte plus de 83 000 contenus publiés (environ 32 000 journaux, 29 000 entrées de forum, 20 000 dépêches, 260 sondages, 130 pages de wiki), et plus de 1,3 million de commentaires. Pour finir, sachez que 3 419 dépêches couvrant la période de 1999 à 2000 ont été retrouvées et remises en ligne en mai dernier.

On ne présente plus LinuxFr.org… enfin, si…

Après « Dix ans » aux RMLL 2008 Mont-de-Marsan et « Retour d'expérience sécurité sur 11 ans » aux RMLL 2009 Nantes, « LinuxFr.org, un joli site Ruby on Rails » au sein du thème Internet, et « Comment bien utiliser LinuxFr.org ? » aux RMLL 2011 Strasbourg, LinuxFr.org fera une présentation cette année aux RMLL 2012 Genève au sein du thème Communautés, intitulée « LinuxFr.org : contributif, consulté, connecté, … mais aussi consternant, consensuel, conspuant ». Venez nous voir !

Gruik fait sa tête de lard

Posté par (page perso) . Édité par Bruno Michel. Modéré par Nÿco. Licence CC by-sa
Tags :
69
15
mar.
2013
LinuxFr.org

Mardi 12 mars à partir de 23h, nous avons lancé un passage à la version suivante de la distribution GNU/Linux (une Ubuntu pour l'hôte, des Debian pour les invités LXC) du serveur principal de LinuxFr.org, baptisé gruik. Tout s'est bien passé jusqu'au redémarrage.

Loi de Murphy

Après un certain temps, il a bien fallu en déduire que ce n'était pas juste un fsck qui s'éternisait mais bien un souci plus sérieux au démarrage. La console d'administration distante (carte DRAC (*)) ne nous a servi à rien non plus. Pas plus que le redémarrage électrique. Bref pas de ping, pas de réseau, rien, ni de l'extérieur, ni depuis le second serveur. Conclusion : perte des sites web de production et de test, et perte des listes de diffusion et du courriel @linuxfr.org en général.

(*) DRAC pas cher (intégré à la carte-mère), qui ne marche que quand le serveur va bien. Si le réseau tombe ou que GRUB boude, plus rien. En plus, sa redirection BIOS est mauvaise au possible…

Un problème n'arrivant jamais seul, la neige en Île de France a perturbé une intervention au datacenter hébergeant gruik.

« Protéger, Alerter, Secourir » : diffuser l'info donc

Nous avons utilisé les réseaux sociaux pour diffuser l'info sur G+, Twitter ou le salon xmpp ; malheureusement pas sur identi.ca qui a demandé une validation de l'adresse @linuxfr.org utilisée au moment où le serveur n'était pas disponible.

Obsolescence du matériel et taux de panne

67
30
avr.
2011
Matériel

Le documentaire « Prêt à jeter » a été diffusé sur la chaîne de télévision franco-allemande Arte, le 15 février dernier. Réalisé en 2010 par Cosima Dannoritzer, il évoque en 75 min l’obsolescence programmée des produits (dont le matériel informatique et télécom), entraînant tout à la fois une économie du remplacement permanent et une production continue de déchets.

Dans les années 1920 est né le concept d’obsolescence programmée : « un produit qui ne s’use pas est une tragédie pour les affaires ». Selon Wikipédia, le concept « regroupe l’ensemble des techniques visant à réduire la durée de vie ou d’utilisation d’un produit afin d’en augmenter le taux de remplacement. »

Un cheval de Troie gouvernemental analysé par le CCC

Posté par (page perso) . Modéré par Bruno Michel. Licence CC by-sa
64
9
oct.
2011
Sécurité

Le Chaos Computer Club (CCC), l’une des organisations de hackers (au sens premier de bidouilleurs curieux) les plus influentes en Europe, viendrait de faire la rétro‐ingénierie d’un cheval de Troie (pour système Windows) utilisé par la police allemande pour « l’interception légale ». À partir d’une copie découverte en utilisation, ils montreraient que ce logiciel espion permet de récupérer des données privées, de surveiller les échanges via diverses applications (Firefox, Skype, MSN Messenger, ICQ et d’autres), de prendre le contrôle de la machine infectée, de se mettre à jour ou d’accroître ses fonctionnalités intrusives.

Le CCC publie une longue analyse détaillée, plus le binaire en question (une « dll » de 360 Kio et un « .sys » de 5 Kio). Ils auraient par ailleurs écrit leur propre interface de contrôle du logiciel espion, montrant les failles des protocoles de communication et de supervision utilisés.

L’antivirus libre ClamAV reconnaît « mfc42ul.dll » comme Trojan.BTroj-1 et « winsys32.sys » comme Trojan.BTroj.

Merci à inico pour son journal sur le sujet qui a conduit à cette dépêche.

Une plainte d’un éditeur autour de l’astrologie menace la base de données tz / zoneinfo

Posté par (page perso) . Modéré par Xavier Teyssier. Licence CC by-sa
59
11
oct.
2011
Justice

La base de données « tz » (tz database) ou zoneinfo, ou encore Olson (du nom de son créateur), contient les informations sur les fuseaux horaires. Elle est utilisée par de nombreux logiciels (dont Java, PostgreSQL, MySQL — d’ailleurs, c’est le cas sur LinuxFr.org, OracleDB, PHP, Perl, Python, etc.) et systèmes d’exploitation (dont GNU/Linux, les BSD, Solaris et Mac OS X — mais pas Windows). Le 6 octobre 2011, David Olson a annoncé sur le groupe de discussion comp.time.tz qu’une plainte — l’impliquant, ainsi qu’un autre gestionnaire de cette base — avait été déposée devant la Cour fédérale de Boston (États‐Unis), et qu’en conséquence, les services FTP et liste de diffusion liés à cette base de données étaient arrêtés.

Il faut savoir que les fuseaux horaires ont varié au cours du temps (S. Colebourne évoque « entre 20 et 100 modifications distinctes sur le globe chaque année »), d’où l’intérêt de disposer d’une collection de toutes ces modifications. La base, gérée comme un projet libre, était mise à jour une quinzaine de fois par an. Elle était précédemment hébergée par les « Instituts nationaux de la santé » (National Institutes of Health, NIH) des États‐Unis (dont l’équivalent français serait l’INSERM).

La plainte vient de l’éditeur Astrolabe (éditeur d’ouvrages astrologiques) qui évoque ses ouvrages AC International Atlas et ACS American Atlas, mentionnés comme sources de la base de données tz, et poursuit donc deux personnes pour contrefaçon.

Le droit évoqué est le copyright (et non le droit sui generis des bases de données existant en Europe). On notera qu’il s’agit de données historiques factuelles, et que la jurisprudence américaine aurait plutôt tendance à exclure un copyright dessus (et donc à les placer dans le domaine public).

Le 10 octobre, une nouvelle version de la base de données a été publiée par d’autres personnes que celles visées par la plainte.

NdM : une première version de cette dépêche a été publiée le 10 octobre. Comme signalé dans les commentaires, il s’est avéré qu’il s’agissait d’une copie d’un article paru sur developpez.com, le 7 octobre. La dépêche a été entièrement réécrite et celle‐ci est publiée sous licence libre. Avec nos excuses pour ce souci dans la modération des contenus soumis par nos lecteurs.

Un an après la mise à jour majeure du site, grand nettoyage dans les comptes utilisateur

Posté par (page perso) . Édité par Florent Zara, baud123, Malicia, Bruno Michel, patrick_g et Nÿco. Modéré par Malicia. Licence CC by-sa
Tags :
59
16
fév.
2012
LinuxFr.org

Il y a un an, le 20 février 2011 pour être précis, le site LinuxFr.org a migré vers une toute nouvelle version en Ruby On Rails (pour fuir Templeet). Les statistiques sur les utilisateurs du site nous apprennent qu'il y a environ 45 000 comptes qui ont été créés depuis la mise en place du site, qu'il en reste environ 42 000, dont 180 fermés et 3  900 valides et utilisés au cours des 3 derniers mois.

Les comptes créés avant la migration ont leur mot de passe stocké sous forme hachée DES 13 caractères (pas sous forme lisible, pas en clair pour résumer, mais un peu vieillot et peu sûr comme format). Les comptes créés ou utilisés après la migration ont leur mot de passe stocké sous forme hachée Blowfish 60 caractères (pas en clair et mieux protégé pour résumer).

35 000 comptes n'ont pas migré vers le nouveau format de stockage (et ont donc un mot de passe stocké dans l'ancien format). 600 comptes ont migré mais il existe encore une version de leur mot de passe de l'époque dans l'ancien format. Afin de supprimer de sa base de données les anciennes formes de mots de passe moins sûres, et parce qu'évidemment il ne nous est pas techniquement possible de convertir nous-même votre mot de passe vu que nous ne le connaissons pas, nous allons relancer par courriel tous les comptes ouverts et non utilisés depuis la migration :

  • pour les comptes qui n'auront pas été utilisés entre le 20 février 2011 et le 31 mars 2012, nous les fermerons et supprimerons le mot de passe et l'adresse de courriel associée (*). Leurs contenus et commentaires resteront en ligne ;
  • pour les autres comptes, l'ancienne forme du mot de passe sera supprimée de la base, tout le monde y gagnera en sécurité et cela simplifiera le schéma de notre base de données et le code de traitement des mots de passe.

Historique des serveurs LinuxFr.org

Posté par (page perso) . Modéré par patrick_g. Licence CC by-sa
55
14
sept.
2011
LinuxFr.org

À l’occasion d’un passage au datacenter pour récupérer les disques de l’ancien serveur qui part au recyclage, et pour finir une migration système (avancée de deux versions de Debian dans la foulée), j’ai eu l’occasion de prendre des photos des serveurs LinuxFr.org restants, pour compléter la galerie photos.

D’abord un petit résumé de l’historique et, dans la seconde partie de la dépêche, les photos et caractéristiques détaillées :

  • 1998 : un boîtier tour avec un 486 DX4 100 MHz, baptisé blob ;
  • 2000 : arrivée de deux VA Linux bi‐P3 500 MHz, baptisés zobe et prout ;
  • 2003 : arrivée d’un HP Netserver LT 6000 hexa‐Xeon 700 MHz, baptisé trogood. Merci à HP. Mythique panne en octobre 2007, avec horloge bouclant toutes les 5 secondes ;
  • 2007 : arrivée d’un Dell PowerEdge 2950 (2U), baptisé zobe en hommage et par flemme, merci à Fotovista ;
  • 2011 : arrivée d’un Dell PowerEdge R210, pas encore baptisé, merci à la fondation Free.

L'EFF poursuit l'éditeur menaçant la base de données tz/zoneinfo

Posté par (page perso) . Édité par Xavier Claude. Modéré par Nÿco. Licence CC by-sa
Tags :
55
16
jan.
2012
Justice

Rappels de la dépêche précédente : la base de données « tz » (tz database) ou zoneinfo, ou encore Olson (du nom de son créateur), contient les informations sur les fuseaux horaires. Elle est très largement utilisée. Le 6 octobre 2011, David Olson a annoncé qu’une plainte avait été déposée, et qu’en conséquence, il arrêtait la diffusion de cette base de données. La plainte pour contrefaçon vient de l’éditeur Astrolabe (éditeur d’ouvrages astrologiques). Il s’agit pourtant de données historiques factuelles, et la jurisprudence américaine aurait plutôt tendance à exclure un copyright dessus (et donc à les placer dans le domaine public).

L'Electronic Frontier Foundation, célèbre structure qui défend la liberté d'expression sur Internet, a porté plainte pour procédure abusive et frivole, car l'éditeur aurait poursuivi pour utilisation de faits, en toute connaissance de cause. Cory Doctorow qui relaie l'info sur son blog BoingBoing parle d'ailleurs de « copyright trolls » (comme on parle de « patent trolls »), de l'intimidation juridique.

L'EFF assure par ailleurs la défense d'Olson et Eggert ; elle entend démontrer « l'absurdité de la position juridique » d'Astrolabe et l'« absence de fondement suivant la loi sur le copyright ou toute autre législation ». La plainte de l'EFF évoque la règle 11 de la procédure civile fédérale américaine qui prévoit que le déposant doit conduire une investigation préalable raisonnable avant d'établir une plainte. Astrolabe dispose de 21 jours pour se rétracter (la plainte EFF semble datée du 11 janvier et leur communiqué du 12, ce qui nous mènerait aux premiers jours de février).

Le voyant de dysfonctionnement n'éclaire en rien

Posté par (page perso) . Édité par neil, Lebas Sébastien et patrick_g. Modéré par Florent Zara. Licence CC by-sa
Tags : aucun
54
11
fév.
2012
Do It Yourself

Jason « Jalopnik » Torchinsky a lancé une pétition demandant aux constructeurs automobiles (du marché américain) de remplacer les voyants simples check engine par un afficheur indiquant quel est réellement le problème.

Pour lui, ce voyant basique ne fait que rendre les consommateurs ignorants du fonctionnement de leur véhicule et dépendants de constructeurs et de garagistes. Pour lui, les véhicules disposent d'un outil avancé de diagnostic, mais le réservent à des spécialistes. Alors même que les véhicules ont des afficheurs alphanumériques, ils continuent d'avoir un simple voyant, plus que d'afficher le code d'erreur et une explication.

« L'information c'est le pouvoir, et en vous refusant cette information, les constructeurs automobiles vous refusent ce pouvoir. » Sans parler des mécaniciens malhonnêtes qui peuvent vous raconter n'importe quoi (plus de détails dans la seconde partie de la dépêche).

Engine check light par Wikiuser100000 sous CC By-Sa 3.0