Après les deux failles mettant en cause l’utilisation d’instructions goto (l’une chez Apple, l’autre chez GNUTLS) et la faille Heartbleed, une vulnérabilité a encore été découverte : Triple Handshake («Triple poignée de main»), aussi appelée 3Shake.

Contrairement aux autres failles, celle-ci ne concerne pas l’implémentation mais le protocole. Cela signifie qu’elle touche potentiellement toutes les implémentations et que la correction définitive de cette faille nécessiterait une modification dans le protocole. En pratique, les corrections ont été effectuées en faisant des vérifications supplémentaires ou en éliminant certains algorithmes de chiffrement.

Logo par @Raed667
Concrètement, cette faille exploite les différents types de poignées de main (handshake, procédure qui permet d’établir les différents paramètres de communication entre deux machines, étape particulièrement importante pour un protocole de sécurité) afin de se faire passer pour une autre machine et d’effectuer une attaque de l’homme du milieu.

La faille est cependant considérée moins grave que Heartbleed, en partie parce qu’elle est compliquée, s’attaque à une configuration assez spécifique et nécessite une position privilégiée entre deux machines.

Dans la dépêche précédente début mars, le poste de travail MLED (Microlinux Enterprise Desktop) était décrit comme « un poste de travail professionnel robuste et complet, basé sur Slackware Linux et l'environnement de bureau Xfce, avec une multitude d'améliorations. Son rôle est de fournir un environnement de production fonctionnel et fiable qui tourne correctement même sur du vieux matériel aux performances modestes. Il est actuellement utilisé dans quelques mairies, médiathèques, écoles et stations radio du sud de la France. »

Le projet MLED se base désormais sur l'environnement de bureau MATE.

Dans la FAQ, à la question « Pourquoi MLED est-il basé sur MATE ? », la réponse suivante est fournie : « MLED était initialement basé sur Xfce, un environnement de bureau léger et robuste. MATE garde ces mêmes caractéristiques tout en offrant davantage de fonctionnalités sous le capot. Le rythme de publication est tout aussi sain et ne succombe pas à la frénésie générale, et les développeurs prennent un soin particulier à éliminer les bugs avant d'introduire de nouvelles fonctionnalités. Avec tout cela, MATE n'est qu'un tout petit peu plus gourmand en ressources. »

Et dans le Changelog il est précisé que « l'environnement de bureau MATE est aussi robuste que Xfce. Le gestionnaire de fichiers Caja offre plus de fonctionnalités que Thunar tout en étant visuellement plus agréable. Les applications clientes de base comme un simple éditeur de texte, un afficheur de documents ou un gestionnaire d'archives sont déjà comprises avec l'environnement de base. La gestion des raccourcis multimédia est parfaite, ainsi que de nombreux petits détails. Avec tout cela, MATE reste léger en consommation de ressources système et fonctionne parfaitement même sur le très vieux matériel. Nous avons testé cela depuis un certain temps, et notre choix est motivé autant par des raisons techniques que pragmatiques. »

On continue sur notre lancée de récompenser ceux qui chaque mois contribuent positivement au site LinuxFr.org (dépêches, commentaires, logo, journaux, patchs, etc.). Vous n'êtes pas sans risquer de gagner un abonnement à GNU/Linux Magazine France ou encore un livre des éditions Eyrolles ou ENI. Voici les gagnants du mois d'avril 2014 :

Abonnement d'un an à Linux Magazine France

• Segfault pour Sortie de Clojure 1.6

Livres des éditions Eyrolles et ENI

• eingousef pour Blender annonce le projet Gooseberry de campagne de dons pour film libre
• etenil pour Petit jeu en HTML5 et découverte de Crafty
• galbolle pour Sortie du Glorious Haskell Compiler 7.8
• Bluebird pour Un projet de VM Python chez Dropbox et état des lieux des autres VM
• ckyl pour OpenJDK 8, JEP 142 & False Sharing
• Thomas DEBESSE pour ReactOS : officialisation et financement

Les livres qu'ils ont sélectionnés sont en seconde partie de la dépêche.

Certains gagnants n'ont pas pu être joints ou n'ont pas répondu. N'oubliez pas de mettre une adresse de courriel valable dans votre compte ou lors de la proposition d'une dépêche. En effet, c'est notre seul moyen de vous contacter, que ce soit pour les lots ou des questions sur votre dépêche lors de sa modération. Tous nos remerciements aux contributeurs du site ainsi qu'à GNU/Linux Magazine France, aux éditions Eyrolles et ENI.

N'oubliez pas de contribuer, LinuxFr.org vit pour vous et par vous !

En 2005, le Parlement européen refusait la brevetabilité du logiciel. Il y a deux ans, les eurodéputés rejetaient ACTA. Début avril ils ont voté un règlement qui inclut des garde-fous pour assurer la neutralité du net.

Ces votes soulignent l'importance d'avoir un Parlement européen qui s'engage pour la protection des libertés à l'ère du numérique et notamment le logiciel libre. Et, comme vous le savez, le Parlement européen va être renouvelé fin mai (le 25 mai en France). Il est fondamental de sensibiliser rapidement et aussi largement que possible les futurs députés européens qui auront à traiter des dossiers importants.

L'April vous invite à ainsi participer à la campagne du Pacte du Logiciel Libre (Free Software Pact) que nous avons lancée avec le soutien de nombreuses organisations européennes. Il y a différentes manières de contribuer, notamment en signant la déclaration d'utilisation de logiciels libres et en contactant des candidats.

L'association ARSENIC PACA (Association Régionale de Soutien aux Espaces Numériques de l’Information et de la Communication, Provence-Alpes-Côte d'Azur) vous invite pour une conférence intitulée « Logiciel libre : militantisme ou choix de raison » animée par Jean-Christophe Becquet, vice-président de l'April, mercredi 14 mai 2014 à 14h à l'IUT d'Aix-en-Provence.

Le 14 mars dernier sortait la version 1.4 du logiciel de gestion de la relation client CremeCRM ; cette dépêche accompagne en fait la sortie de la 1.4.1 (sortie le 6 mai 2014).

Cette version vient avec son lot de nouvelles fonctionnalités, mais aussi un effort particulier à l'amélioration de l'interface utilisateur, même si ce n'est qu'un début et que cet effort sera prolongé avec les versions suivantes.

Les principales améliorations sont détaillées dans la suite de la dépêche.

Makefly se veut être une alternative rapide et légère au moteur de blog statique Nanoblogger, sachant que ce dernier a été abandonné l'année dernière.

Ce fut donc l'occasion pour certains de passer à autre chose, pour d'autres de revoir la manière dont fonctionnait leur blog et de comment l'améliorer. C'est ainsi que Makefly vit le jour, utilisant Markdown comme format de billet.

L'outil en est à sa version 0.3 et continue sa petite vie (il aura 2 ans en juin). Il propose une modeste documentation et une possibilité de migrer ses billets depuis Nanoblogger.

Il utilise Lua et les BSD Makefile, et est fourni sous licence AGPL.

Inverse annonce la sortie de la version 4.2 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. Procurant une grande liste de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaires et sans fil, le support pour le 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

La version 4.2 de PacketFence apporte de nombreuses améliorations comme l'isolation de type hotspot, un nouveau portail captif s'adaptant plus facilement à des scénarios personnalisés complexes, plusieurs fonctionnalités pour les opérateurs cellulaires (WRIX, inline layer 3, page de statut pour prolonger l'accès réseau, etc.), un nouvel agent pour la configuration des appareils Android, la prise en charge de nouveaux équipements d'Enterasys, Huawei et Juniper Networks, une meilleure intégration Eduroam et plusieurs améliorations au niveau de la performance.

Warsow est un jeu de tir en vue subjective (FPS) multijoueurs dans la veine d'un Quake 3 ou d'un Unreal Tournament. En proposant des graphismes cartoon et un style de jeu misant tout sur la vitesse et le déplacement, Warsow s'oppose aux ténors actuels s'inspirant des guerres modernes avec des styles de jeu réalistes et plutôt posés.

Licence

Warsow bien que multi-OS et gratuit divisera encore le libriste en proposant un jeu sous double licence.

• GPL pour le code source. Le moteur jeu OpenGL de Warsow est basé sur QFusion lui même étant une version améliorée du moteur Quake II engine.
• Warsow Content Licence, une licence propriétaire pour tout ce qui touche aux côtés artistiques : modèles, musiques, graphismes… ainsi qu'au contenu du site en lui même.

La première édition de Distro Recipes a eu lieu l'an dernier et a rassemblé une soixantaine de personnes. Vous pouvez consulter les supports à disposition en ligne.

La seconde édition aura lieu les 11 et 12 juin 2014, au Carrefour Numérique de La Villette à Paris. Pour cette nouvelle édition, une dizaine de conférences et des lightning talks (conférences éclair). Cette année encore seront représentées OpenSUSE, Fedora, Debian, Mageia, Arch Linux. Deux jours d'interventions sur des sujets variés :

• infrastructure de build ;
• tests automatisés et QA ;
• nouvelles des distributions ;
• retours d'expérience.

Ces 2 jours mettront l'accent sur les échanges entre les intervenants et les participants, qu'ils soient utilisateurs, contributeurs ou développeurs. La convivialité qui fut de mise lors de la première édition restera une priorité lors de ces 2 jours. Les discussions se prolongeront lors du déjeuner et du dîner organisé le 11 juin au soir.

Vous pouvez également participer à cet événement et proposer un lightning talk. Parlez-nous d'un projet qui vous tient à coeur, une expérience en lien avec les distributions Linux.

Les inscriptions sont ouvertes, pensez-y, le nombre de places est limité.

Petite revue de presse non exhaustive de cette journée internationale contre les DRM :

• DefectiveByDesign : International Day Against DRM is Tuesday, May 6th ;
• April : Journée internationale contre les DRM - édition 2014 ;
• EFF : How DRM Harms Our Computer Security et International Day Against DRM: It's Time to Fix U.S. Copyright Law ;
• FSFE : Open Letter to European Commission: Stop DRM in HTML5 ;
• FACIL : Non au menottage numérique, oui à la légalisation du partage ;
• opensource.com : Mark the Day Against DRM with discounts on books and videos; join the EFF live video panel ;
• BoingBoing : Celebrate the Day Against DRM with 50% of O'Reilly ebooks and videos ;
• MetroNews : supprimez la protection DRM de votre musique ;
• Makezine : Let Your E Go Free: Day Against DRM ;
• Digital-e-reader : Amazon Started the Day Against DRM Festivities a Week Early by Intentionally Breaking My Kindle eBooks ;
• Numerama : La journée contre les DRM aura lieu le 6 mai ;
• ActuaLitté : une dizaine d'articles (voir seconde partie) laissant la parole à différents acteurs du livre numérique.

(source)

Thelia 2 est un logiciel libre (LGPL) de vente en ligne ou e-commerce. Moins connu que Magento ou Prestashop, il a le bon goût d'avoir beaucoup de modules libres et faciles à ré-adapter.

Depuis la sortie de Thelia 1 en 2005, les techniques de programmation ont évolué et les concepteurs ont préféré recréer Thelia 2 à partir d'une feuille blanche mais en mettant à profit leurs 8 ans d'expérience.

C'est ainsi que Thelia 2 a été développé autour de standards que les développeurs apprécieront. Citons en particulier Symfony et les normes PSR. Le souci de faire un logiciel très propre dans le meilleur esprit du logiciel libre est évident. Les sources et la documentation technique sont en anglais de façon à avoir un développement international ouvert. Les demandes d'améliorations et les bugs sont gérés sur github.

Le projet Pharo est fier d’annoncer la sortie de Pharo 3.0 — un langage dynamique et son environnement de développement immersif. Pharo est un projet libre distribué sous licence MIT.

Pharo consiste en un langage objet inspiré de Smalltalk extrêmement bien conçu et un environnement de développement intégré innovant. L'environnement de développement permet, entre autres, l'implémentation du programme, ainsi que l'inspection et la modification des objets durant l'exécution.

Cette dépêche parle de la JEP 180 d'OpenJDK 8 qui propose une solution intéressante aux problèmes d'attaques sur la complexité que rencontrent les tables de hachage.

On a déjà parlé de ce sujet ici même à plusieurs reprises. Je vais cependant rapidement représenter le problème et l'évolution des discussions. Le lecteur averti sur le sujet ira directement au dernier paragraphe pour voir la proposition de la JEP 180.

NdM : merci à ckyl pour son journal.

Ce jeudi 15 mai 2014 à 19h se déroulera la 29ème séance montoise des Jeudis du Libre de Belgique :

• le sujet de cette séance : echo "Java" | sed 's/Jav/Scal/' ;
• thématique : programmation ;
• public : développeurs, étudiants et académiques ;
• l’animateur conférencier : Andy Petrella (WAJUG, NextLab).

Dans cet exposé, nous allons rapidement et concrètement couvrir certaines particularités du langage de programmation Scala. Malgré la richesse qu’offre ce langage, nous verrons que l’on peut s’en tenir à ses fonctionnalités basiques tout en profitant de ses avantages sur le langage Java.

N.B. : Scala est un langage compilé en Bytecode pour la JVM et donc un concurrent direct de Java sur son propre terrain… Scala est fortement typé, orienté objet et fonctionnel. Vous allez voir du code, un peu de slides, mais surtout du code !