Une faille de sécurité dans le protocole SSL 3.0 (et inférieur) et TLS 1.0 a été découverte. Ces protocoles garantissent l’accès chiffré aux serveurs Web. Il n’y a donc plus aucun site Web qui est à l’abri d’une attaque « man in the middle ».

Concrètement, l’attaque consiste à injecter du texte connu dans une page Web (via du JavaScript introduit dans une publicité vérolée, par exemple). Après, il suffit d’écouter la conversion (il faut quand même une session de 30 minutes pour l’exploit actuel) pour découvrir la clef AES. L’exploit permet donc de déchiffrer la page, mais aussi les cookies, et donc de s’identifier sur le site visé.

La faille concerne la version 1.0 de TLS et est corrigée dans la version 1.1, sortie en 2006. En outre, OpenSSL propose un contournement depuis 2004 ; il consiste à injecter des données aléatoires dans la transaction. Malheureusement, les navigateurs utilisent principalement NSS plutôt qu’OpenSSL, et même si sur le serveur on peut forcer l’utilisation de TLS 1.1 ou 1.2, très peu de navigateurs Web les supportent, ce qui freine le déploiement sur les serveurs. Actuellement, seuls IE 9 et Opera en sont capables !

Il faut cependant noter que ces failles sont connues depuis longtemps, c’est ce qui avait mené au correctif dans OpenSSL et à la création de TLS 1.1. Mais c’est la première fois qu’une attaque est publiée, validant ces propositions.

Quelques conseils de navigation :

• utiliser l’extension Firefox noscript ;
• actuellement, là où l’attaque pourra faire le plus de dégât, est sur les webmails ou sur les systèmes de paiement tels que Paypal (ben oui, si quelqu’un pirate ma connexion sur LinuxFr.org, ce ne sera pas très grave, car j’utilise différents mots de passe). Privilégiez donc les clients de messagerie électronique comme mutt ou Thunderbird, en désactivant le HTML.

Merci à Altor pour son aide lors de la rédaction de cette dépêche.

La bibliothèque Quvi permet d'analyser le contenu de plus de 40 sites de médias tels que YouTube, Dailymotion, Google Video… Cette bibliothèque fournit aussi un outil en ligne de commande, nommé « quvi » qui permet d'analyser et récupérer les informations de la page depuis un terminal.

Le projet Python-Quvi vise à permettre l'accès à cette API depuis Python.

Le salon de discussion de la communauté Debian francophone sur Jabber vous invite à participer à une journée de chasse aux bogues en ligne à la date notable du 01/10/11.

Cette journée sera principalement axée sur la clarification et la résolution de bugs. Mais elle se veut également l'occasion pour les utilisateurs moins familiers avec la gestion des bugs de pouvoir apporter leur contribution au projet Debian, par exemple en réalisant des traductions de description de paquet ou en étoffant des pages d'aide du wiki.

Utilisateurs désireux d'apporter leur aide au projet Debian pour une heure ou deux, ou développeurs chevronnés, vous êtes les bienvenus sur le salon !

L'adresse du salon est la suivante: xmpp:debian-fr@chat.jabberfr.org
L'heure de rendez-vous pour la présentation de l'organisation de la journée est proposée à 10h30 (heure de Paris), le Samedi 1er Octobre.

Soleil \o/

Dans le sud est, sont nées 3 associations pour rythmer la vie trépidante des geeks et des curieux :

• Nice Data Network (NDN) : un Fournisseur d'Accès à Internet qui a la particularité de fonctionner sur un mode associatif (loi 1901) et dont le but est de permettre à ses adhérents d'accéder à un Internet libre, neutre et non commercial, dans les Alpes-Maritimes. Membre de la Fédération FDN.

• Rivier'hack (association loi 1901) et Nicelab (association de fait) sont des hackerspaces sis sur la Côte d'Azur.

Un hackerspace est un espace communautaire, auto-géré, dans lequel différentes personnes peuvent se rencontrer et travailler sur des projets communs. Rivier'hack est un hackerspace généraliste, promouvant le libre et le partage (de connaissances, techniques, compétences, …).

Les ardeurs, les talents, les constructions matérielles et logicielles seront régulièrement liées aux activités des voisines comme Linux Azur, Pobot, spécialisée en robotique, SophiaTechnoCycle pour le recyclage et de nombreux autres partenaires du Collectif des Associations de Valbonne.

Bienvenue à bord \o/

Comme chaque année, l'Association Lyonnaise pour le Développement de l'Informatique Libre (ALDIL) organise en partenariat avec l'École Supérieure de Chimie Physique Électronique de Lyon les journées du Logiciel Libre.

Elles se dérouleront les jeudi 17 novembre de 14 à 18h et les vendredi 18 et samedi 19 novembre de 9h à 18h à CPE Lyon, (campus de la Doua). Le thème de cette 13 éme édition sera au centre des préoccupations actuelles : « Données personnelles, vie privée et informatique dématérialisée ». Sujet polémique quant aux finalités de nos données brassées quotidiennement sur la toile.

Le groupe d’utilisateurs de logiciels libres de Toulouse — Toulibre — propose aux amateurs de ces logiciels de se retrouver le quatrième ou cinquième mardi ou jeudi de chaque mois pour échanger autour du logiciel libre, discuter de nos projets respectifs et lancer des initiatives locales autour du Libre. Ce repas est ouvert à tous, amateurs de l’esprit du Libre, débutants ou techniciens chevronnés.

Cloonix est un logiciel qui permet la gestion d’un réseau virtuel de machines (virtuelles aussi bien sûr).

À la différence de nombreuses solutions qui tendent à descendre dans le noyau dès que le réseau doit être modifié, Cloonix tente de remonter le réseau dans le monde utilisateur, les liens entre machines étant des [[sockets]].
Cette méthode est à la fois plus souple et plus sécurisée, car il n’est pas obligatoire d’être super‐utilisateur (root) pour créer son réseau virtuel.
Au centre de Cloonix, un processus a pour rôle le clonage de machines et l’émulation du réseau physique reliant les machines virtuelles. Ce processus brasse les paquets en accord avec la topologie choisie par l’utilisateur, cette topologie peut évoluer dynamiquement.
Cloonix combine les avantages des commandes script (toute commande peut être intégrée à un script) aux avantages du « clicodrome », grâce à son interface graphique conviviale basée sur une bibliothèque vectorielle.

Venez découvrir Linux et les logiciels libres, assister à des conférences, participer à des démonstrations, et pourquoi pas, vous aussi les adopter. Que ce soit pour écouter Benjamin Bayart dans une conférence sur la neutralité du Net ou observer les imprimantes 3D, il y a sûrement, pour vous, une bonne raison de venir.
Alors, rejoignez‐nous le vendredi 7 octobre de 14 h à 21 h à l’HEPIA, à Genève, pour Fêter Linux.
Grand public, entrée libre, plus d’infos sur http://www.fetons-linux.ch.

L’émission de radio québécoise La voix du libre, consacrée aux logiciels libres et au Web en général, revient pour sa troisième saison. La nouvelle formule a été annoncée lors du lancement qui s’est effectué mercredi soir en public et dans une ambiance conviviale. Au programme de cette nouvelle saison : plus d’émissions avec des enregistrements en public, une plus grande diversité avec des sujets consacrés notamment au Web (standards, accessibilité, ergonomie…), des émissions à Montréal, ainsi que des interventions directement dans des entreprises locales.

Oscopy est une sorte d’oscilloscope propulsé par IPython. En tant que contribution à la simplification du flot de simulation électronique, il permet de visionner des données et de les post‐traiter (arithmétique, trigonométrique, FFT…). La particularité d’Oscopy est d’assurer automatiquement certaines tâches fastidieuses lors du rechargement des données d’origine (par exemple, après une nouvelle simulation) :

• la mise à jour des signaux post‐traités en tenant compte des dépendances ;
• la mise à jour des figures et graphiques.

Oscopy gère la communication avec d’autres programmes, tels que gschem de la suite gEDA, qui peuvent déclencher la relecture des fichiers à distance (D-Bus, etc.). Oscopy est conçu pour être facilement extensible, peu d’effort est nécessaire pour gérer de nouveaux formats de fichiers ou types de graphiques.

La version 0.70 aussi appelée 20110921 se focalise sur la stabilisation et l’amélioration de l’API, ainsi que la documentation.
Oscopy est maintenant propulsé par IPython et présente des améliorations pour le post-traitement et les recalculs automatiques lors de la mise à jour des données.

Le journal des modifications est détaillé dans la seconde partie de la dépêche.

Depuis maintenant 2 ans, Sequanux organise des ateliers de promotions des logiciels libres.
À destination de tous les publics, ces ateliers vous aident à prendre en main GNU/Linux sur des thèmes divers, tels que : la ligne de commande, la programmation Python, la réalisation de sites Web, la prise en main de GIMP, Libre Office, Scribus…

Ce vendredi à 19 h, les ateliers reprennent à L’Usine à Belfort, l’espace de « [[coworking]] » de Belfort, similaire à La Cantine à Paris et Rennes, ou à La Bo[a]te à Marseille.

Venez nombreux nous y rencontrer.

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 3.0 de PacketFence.

PacketFence est une solution de conformité réseau (NAC) entièrement libre, supportée et reconnue. Procurant de nombreuses fonctionnalités, telles un portail captif pour l’enregistrement ou la re‐médiation, une gestion centralisée des réseaux filaires et sans fils, le support pour le 802.1X, l’isolation niveau 2 des composantes problématiques, l’intégration au détecteur d’intrusions Snort et au détecteur de vulnérabilités Nessus.
Elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Linux Azur, GULL implanté entre deux oliviers sur la Côte d’Azur, spécialisé en entraide de proximité, est heureux de vous faire part qu’il rempile cette année sur Grasse, continue sur Antibes, Cannes, Saint‐Raphaël et sur Nice à une nouvelle adresse ; et ce, tous les mois, comme indiqué sur son agenda.

Si vous souhaitez retrouver ses membres pour installer, réparer, discuter, suivre un atelier ou devenir intervenant, vous avez l’embarras du choix des lieux et dates.

Le prochain rendez‐vous informel aura lieu sous forme de Alt' Tab à Sophia Antipolis vendredi 30 septembre, déjeuner au cours duquel fuseront, comme d’habitude, les blagues de Geeks (c’est trolldi !), les échanges au sujet de l’emploi, du beau temps, des pious‐pious et de l’avancée de la Kaella et du Libre. :-)

Comme les années précédentes, Linux Azur vous recevra à Sophia Antipolis pour les Journées Méditerranéennes du Logiciel Libre — JM2L — à la fin du mois de novembre. \o/

@ bientôt !

L’Alchimie, le salon de l’informatique alternative, la robotique et la création numérique, se tiendra à l’Espace Rochegude à Tain‐l’Hermitage (26600), du 11 au 13 novembre.

Outre une demo party et des animations, des stands de fabricants et d’associations seront présents, dont le GULL G3L de Drôme‐Ardèche. En outre, des conférences sont organisées, entre autre autour du Libre, ou encore à propos de l’écologie et l’informatique.

L’Alchimie, c’est une ambiance très conviviale, de nombreuses activités numériques, autour de l’informatique alternative, dont le logiciel libre :

• une demo party (concours de création numérique) multi‐machines : Amiga, Atari, PC, old school (ORIC, C64…), calculatrices Ti…
• des stands avec un fabricant de matériel européen montrant, par exemple, la carte PowerPC embarquée SAM460ex tournant avec AmigaOS ;
• des associations de préservation du patrimoine informatique (Silicium, RGC), ainsi que le GULL de Drôme‐Ardèche G3L ;
• des produits du terroir  :-P ;
• des animations (robots, ballon sonde atmosphérique…)  ;
• des conférences :
  • AmigaOS ou MorphOS (sur lesquels on a des logiciels libres comme Gnash, OWB [Webkit], Apache, PHP, MySQL etc.),
  • les FPGA, les robots et l’intelligence artificielle,
  • mais également et bien sûr, du Libre : Ubuntu, Haiku…
  • un ERP basé sur MUIBase, logiciel multi‐plate‐forme sous GPL (AmigaOS, MorphOS, GNU/Linux, Windows et Mac).

Et ce qui ne gâche rien, de bons repas compris dans la participation !

Une ouverture au public le samedi 12 permettra à tous de découvrir les alternatives possibles à Windows, ou encore de profiter des bornes d’arcade en libre service.

Grâce au succès croissant des deux premières éditions :-), la conférence fOSSa joue désormais un rôle prédominant et anticipateur, au point de devenir le bon endroit pour découvrir les nouvelles directions qui se profilent dans l’arène de l’open source.

Année après année, le fOSSa est l’occasion de recueillir à travers des échanges libres et ouverts avec les grands acteurs de l’open source, des réponses aux questions suivantes :

• où se dirige le domaine de l’« openness » ?
• qu’est‐ce que les « tech people » sont en train de nous préparer ?
• quelles questions et quels challenges s’annoncent dans le développement de logiciel libre, de la collaboration, du partage et de la production de la connaissance, et ce dans les domaines académique, éducatif et industriel ?

Pour cette nouvelle édition, la conférence fOSSa bénéficiera de la présence de Simon Phipps (ForgeRock, OSI board), Francois Elie (président de l’Adullact), Adrian Bowyer (RepRap OSS 3D printers), Roberto Di Cosmo (IRILL), François Bancilhon (Open Data initiative), Alexis Moussine‐Pouchkine (Oracle: angel or deamon?), Nicolas De Loof (CloudBees), Philippe Scoffoni (consultant) et Milo Casagrande (Ubuntu).

Les journées fOSSa sont ouvertes à tous, mais la plupart des présentations se dérouleront en anglais. Ces trois jours de conférences auront lieu à Villeurbanne, près de Lyon, du 26 au 28 octobre.

L’enregistrement gratuit s’effectue sur le site : http://fossa.inria.fr/.
Attention, les places sont limitées !

Cordialement,

The fOSSa steering committee