La sortie de la version stable 3.2 du noyau Linux vient d'être annoncée par Linus Torvalds sur la liste de diffusion et sur Google+. Le nouveau noyau est, comme d'habitude, téléchargeable sur les serveurs du site kernel.org.

Le détail des évolutions, nouveautés et prévisions est dans la seconde partie de la dépêche.

P.‐S. : Merci à toutes les personnes qui ont aidé à traduire les courriels de RC quand cette dépêche était dans l'espace de rédaction. Merci également à Laurent Wandrebeck (low) pour sa contribution sur la brève concernant DVFS.

En 2007, le NIST (National Institute of Standards and Technology) a lancé une compétition internationale pour choisir une fonction de hachage de nouvelle génération.

Les attaques sur SHA-1 avaient généré une certaine inquiétude et les experts pensaient que la famille SHA-2 (SHA-256, SHA-384, SHA-512) serait menacée à plus ou moins longue échéance. Cela a donc conduit à l’organisation d’une compétition SHA-3 sur le modèle de celle ayant conduit à la sélection de l’algorithme de chiffrement AES.

Plus de 64 propositions ont été reçues et soumises, au fil des années, aux tentatives de cassages de la communauté cryptographique mondiale. Cette longue compétition vient enfin de s’achever puisque le NIST a désigné Keccak comme l’algorithme gagnant. Ce dernier devient donc officiellement SHA-3.

Plus de détails dans la suite de la dépêche.

Message d'intérêt général : les serveurs de la distribution Linux Mint ont été compromis.

• Des images ISO (images disque utilisées pour l'installation) de Linux Mint Cinammon 17.3 ont été remplacées et contenaient une porte dérobée. À priori cela n'affecte que des images ISO téléchargées les 20 et 21 février 2016. Néanmoins vous êtes invités à la plus grande prudence si vous utilisez Linux Mint et l'avez installée dernièrement.
• Le forum a également été compromis et la base de données copiée par les attaquants, entre autres avec les adresses de courriel, mots de passes hachés et d'autres informations personnelles. Cette base de données aurait fuité depuis au moins le début de l'année 2016.

Il convient d'être très prudent car une ou plusieurs attaques ont donc été jouées sur plusieurs mois, et même si les images ISO vérolées semblent ne l'avoir été que sur deux jours, il est conseillé de :

• désinstaller/réinstaller Linux Mint si vous venez de l'installer ;
• dans tous les cas de changer vos mots de passe, non seulement sur les forums Linux Mint mais aussi sur tout autre service où vous auriez pu utiliser le même mot de passe ;
• Et dans ce genre de situation, il vaut mieux être le plus inclusif possible : si vous avez utilisé d'autres services Mint, il est préférable de considérer vos mots de passe là-bas aussi comme potentiellement compromis.

Vous êtes invité à lire la seconde partie de la dépêche pour des informations plus détaillées.

Le 8 mars 2018, la version 3.0.0 de la bibliothèque OpenPGP.js sortait. Elle implémente le format OpenPGP en JavaScript et est disponible sous licence LGPL 3.0. C’est l’occasion de présenter cette bibliothèque et les nouveautés apportées par cette version. C’est surtout un très bon prétexte pour parler du standard OpenPGP lui‐même, de ses principales implémentations et de ses évolutions futures.

Julian Assange, fondateur et porte‐parole de WikiLeaks, a expliqué lundi 24 octobre que le site avait dû vivre sur ses réserves financières, suite aux blocages financiers illégaux qu’il a subi depuis un an : « [u]ne poignée de banques américaines a réussi à bloquer 95 % des soutiens financiers de WikiLeaks. ». En conséquence, le site suspend les publications de nouveaux documents, pour se concentrer uniquement sur la campagne de dons.

Yochai Benkler enseigne à la Faculté de droit de Harvard. Il a notamment écrit le livre [La Richesse des réseaux] et reçu le prix Pioneer Awards en 2007 (avec Cory Doctorow et Bruce Schneier). Il vient de publier dans la revue Daedalus de l’académie américaine des arts et sciences (et sur son site), un article incisif intitulé Wikileaks et le PROTECT-IP Act : la nouvelle menace public‐privé sur le bien commun Internet (WikiLeaks and the protect-ip Act: A New Public-Private Threat to the Internet Commons).

Y. Benkler décrit une nouvelle méthode hors cadre judiciaire : en contournant les lois, une administration, un gouvernement ou une entreprise peuvent assécher les flux financiers et publicitaires des structures visées et perturber leur présence en ligne (DNS, stockage en ligne, visibilité sur les moteurs de recherche, régie publicitaire et publicités, systèmes de paiement). Le tout permettant via une pression extra‐légale, d’obtenir des effets au‐delà des limites légales…

Un article incisif ? Une traduction de la dernière phrase pour donner le ton : « En mettant de côté les débats pour savoir si ces éléments peuvent être justifiés lorsque les cibles sont des organisations terroristes suspectées, les observer métastaser la partie civile de la vie normale, économique et politique, dans une société démocratique en réseau est extrêmement troublant et doit être combattu politiquement, légalement et techniquement. »

NdA : le PROTECT‐IP Act vient d’être renommé en E‐PARASITE Act (Enforcing and Protecting American Rights Against Sites Intent on Theft and Exploitation Act).

Des tas de gens et d’organisations ont été secoués par les révélations du héros Edward Snowden concernant l’ampleur de l’espionnage réalisé par la NSA (et, certainement, par bien d’autres organisations). Bien sûr, les experts en sécurité savaient depuis longtemps, mais ils avaient le plus grand mal à se faire entendre ; les dirigeants et les utilisateurs préféraient se moquer de ces experts, en les qualifiant de paranoïaques. Les révélations de Snowden ont montré que les paranoïaques ne l’étaient en fait pas assez, et que l’ampleur de l’espionnage dépassait les pires prévisions.

Cela a nécessité des changements de direction à pas mal d’endroits. Par exemple, l’IETF, l’organisation qui établit les normes techniques de l’Internet. Traditionnellement, elle se préoccupait peu de vie privée, parfois considérée comme « un problème politique, ce n’est pas pour nous ». Cela a changé dans les dernières années mais les révélations Snowden ont mené à une brusque accélération. À la réunion de l’IETF à Vancouver, du 3 au 8 novembre, on a donc beaucoup parlé de vie privée. Tous les groupes de travail avaient consacré du temps à un examen de leurs protocoles, sous l’angle de la protection de la vie privée. Et la plénière technique du 6 novembre, avec Bruce Schneier en invité vedette, avait été entièrement consacrée à cette question. La décision la plus spectaculaire a été l’accord très large de l’IETF (par le biais du fameux « hum », l’IETF n’ayant pas de procédures de vote) pour se lancer à fond dans cette voie.

NdM : merci à Stéphane Bortzmeyer pour son journal.

La distribution Tails (The Amnesic Incognito Live System) est un live-CD/live-USB visant à protéger votre anonymat et votre vie privée quand vous vous connectez à Internet.
La sortie de la version 1.1 a été annoncée le 22 juillet dernier par l'équipe de développement.

Cinq ans après avoir tenté de préserver la vie privée et secrète du geek en milieu urbain, oubliant cartes de fidélité, de métro, de supermarché, caméras de vidéosurveillance, puces RFID, biométrie, téléphonie mobile, carte bleue et autres traceurs de la vie quotidienne, j'ai opté pour le refuge idéal, eldorado de l'anonymat comme chacun sait : Internet et le numérique.

Ne trouvant aucune base de données des différents programmes provenant des fuites de Snowden, nous avons travaillé à la création d'une base de données concernant la NSA et le GCHQ. L'article qui suit est une synthèse d'une partie de nos travaux.

NdM : cet article poursuit la série commencée par NSA-observer — quels sont les programmes de la NSA ?, NSA - temps de faire le (premier) point et Que peut faire le service d'élite JTRIG du GCHQ ?.

Nous (nsa-observer) allons aborder aujourd'hui le "catalogue" du groupe d'élite de la NSA nommé TAO (pour Tailored Access Operations). La mission de ce groupe est, depuis sa création en 1997, d'identifier, de monitorer et de trouver un chemin vers des réseaux ou des systèmes pour collecter des informations. Ce département a gagné la réputation de collecter certains des meilleurs renseignements parmi les services de renseignements US, que ce soit sur la Chine, sur des groupes terroristes, ou sur les activités politiques, militaires et économiques d'un pays.

Bien entendu ce n'est pas de Sébastien Chabal dont il est question ici mais bien de la fonction de hachage SHABAL qui participe à la compétition SHA-3.

Les 14 algorithmes sélectionnés pour participer au second tour de la compétition ont été annoncés avant-hier 24 juillet par le NIST.

Little Brother, de Cory Doctorow, est maintenant disponible en version française. Little Brother est un livre pour jeunes adultes qui traite des libertés civiles à l'ère du numérique, et de diverses techniques de sécurité informatique.

L'intrigue se situe dans un avenir proche, à San Francisco. Marcus Yallow, un hacker de 17 ans, se retrouve précipité dans des aventures qui lui font visiter, et expliquer de façon très didactique, des outils de sécurité divers : Tor, la théorie de l'information, la cryptographie à clef publique, etc.

À la façon dont Le Monde de Sophie introduit sans douleur les concepts les plus importants de la Philosophie, ou dont Le Théorème du Perroquet traitait des mathématiques, Little Brother offre une introduction agréable à des concepts informatiques variés, dont certains, pas évidents à priori pour des débutants, sont rendus avec une didactique brillante (on retiendra en particulier une épique réunion d'échange de clefs cryptographiques).

Il introduit aussi de nombreux éléments de culture, comme les jeux de rôle Grandeur Nature ou l'atmosphère des Hackerspaces, et rend des hommages à Kerouac, Orwell et Bruce Schneier.

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

• [La Semaine] Une imprimante 3D pliable unique au monde A Folschviller, les pionniers d'un monde libre
• [Numerama] OpenKnit: une imprimante de vêtements open-source
• [GreenIT.fr] Sobriété fonctionnelle: la clé de l’écoconception des logiciels?
• [JDN] Emploi: la demande pour les compétences Linux encore en hausse
• [Revenu Agricole] Ekylibre: logiciel libre de gestion agricole
• [Largeur.com] «Les capacités de la NSA sont incroyables»
• [PC INpact] Les échanges non marchands et la mort des DRM expurgés du rapport Castex