La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

• [Echos judiciaires Girondins] «Les geeks sur La Banquiz»
• [L'OBS] Pendant ce temps, la NSA s’arme en vue des cyberguerres
• [Le Journal de Montréal] Blackberry, Linux et la sécurité
• [Le Courrier picard] BEAUVAIS La capitale du logiciel libre se prépare
• [Next INpact] Charlie Hebdo n° 1178: de l'intérêt du papier face aux éditions numériques
• [Decideo.fr] Les clients d'Oracle se plaignent ouvertement, PostgreSQL en embuscade
• [Numerama] Comment nous pouvons perdre la guerre

Le hackerspace de Limoges, SmartLab aussi appelé DumbLab ouvre officiellement ses portes le vendredi 6 Février 2015 à 19 h 30.

Les principaux domaines qui intéressent le lab sont la sécurité informatique, les télécommunications et plus généralement l'électronique. Nous convions toutes les personnes intéréssées afin qu'elles puissent découvrir les locaux, le matériel ainsi que les projets du lab, poser des questions et pourquoi pas devenir membre :).

À cette occasion un apéro sera organisé dans nos locaux fraîchement rénovés. Rendez-vous donc le Vendredi 6 Février 2015 dans nos locaux situés impasse Daguerre.
N'hésitez pas à en parler autour de vous !

Pour tout renseignement, n'hésitez pas à consulter le site. Contact : smartlab.limoges@gmail.com

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

• [paris-normandie.fr] Une journée pour le web libre
• [infoDSI] Les professionnels de la sécurité informatique font plus confiance à des solutions de collaboration open source qu’à des solutions propriétaires
• [vousnousils] Les serious games à la maternelle: un jeu d’enfant!
• [Numerama] Offre Libre: un label pour les vrais professionnels du logiciel libre
• [NetPublic] Informatique libre et éco-gestes: Guide pratique par l'EPN de Bédoin
• [Le Monde.fr] Le Chaos Communication Congress, place forte de la contre-culture numérique

Cette année l'association GOALL aide à l'organisation des Journées FedeRez à SUPELEC à Metz. FedeRez est une fédération d'associations de réseaux informatiques étudiants. Tous les ans, les étudiants des associations membres se retrouvent pour échanger lors des Journées FedeRez, assister à des conférences et participer à divers ateliers. En plus des nombreux étudiants et jeunes diplômés constituant le public habituel de l'événement, beaucoup de professionnels sont invités.

L'édition 2015 aura pour thème la sécurité des systèmes d'information :

• vendredi 6 mars après-midi : conférences et table ronde
• samedi 7 mars matin : conférences
• samedi 7 mars après-midi : conférences et ateliers
• dimanche matin 8 mars : conférences et Assemblée Générale Ordinaire des associations membres du réseau Federez

De multiples failles de sécurité ont été identifiées et comblées dans ntp (le logiciel de ntp.org, pas le protocole NTP en général) ces derniers jours. Il s'agit de plusieurs failles avec notamment :

• deux dépassements de mémoire tampon qui peuvent permettre un déni de service ou l'exécution de code avec les privilèges du processus ntpd lancé ;
• d'une faiblesse dans la génération des clés, il est donc conseillé de recréer ces dernières après la mise à jour dans certains cas.

Elles ne sont pas forcément exploitables ou d'une grande dangerosité en dehors d'une d'utilisation avancée / serveur ntpd, mais il est préférable d'être prévenu :)

Cette faille a été identifiée et nommée CVE-2014-9295. Elle concerne toutes les versions de ntp jusqu'à la 4.2.7 et la version corrective 4.2.8 est parue le 18 décembre 2014.

NdM : il existe d'autres logiciels libres pouvant servir pour la synchronisation NTP, comme openntpd (non vulnérable) issu d'OpenBSD, Ntimed (client uniquement) sponsorisé par la Linux Foundation, chrony, etc.

Une vulnérabilité (CVE-2014-9390) a été annoncée hier soir concernant le logiciel de gestion de versions le plus en vogue en ce moment, j'ai nommé Git, ainsi que sur Mercurial, autre logiciel de la même catégorie. Elle a déjà été corrigée, je vous invite donc à mettre à jour vos installations.

Github, le service d'hébergement de dépôt Git lui aussi très en vogue, a de son côté annoncé avoir vérifié tous les dépôts présents sur ses serveurs à la recherche d'exploitations de cette vulnérabilité. Mesure de sécurité supplémentaire, il refuse désormais les push exploitant cette faille.

NdM : Merci à RoM1 et Sébastien Douche pour les précisions apportées dans la dépêche. La faille a été trouvée par le créateur de Mercurial, Matt Mackall, et Augie Fackler. La vulnérabilité se décline en trois parties :

• la sensibilité à la casse dans Git, déjà corrigé dans Mercurial en 2008 ;
• l’expansion des noms courts sous Windows (PROGRA~1 → Program Files), déjà corrigé dans Mercurial ;
• la découverte récente de la façon non documentée dont Darwin (Apple) s’amuse avec HFS+ à ignorer certains caractères spéciaux et qui peut créer de nouvelles collisions de nom (cf la correction chez Mercurial, qui a permis la correction côté Git).

Le GULL associatif StarinuX organise l'atelier : « SSH (Secure SHell) et connexions par clés sans mot de passe » le samedi 20 décembre de 9h30 à 17h,
au 48 rue de Colombes 92400 Courbevoie, salle Corail, étage 1A (SNCF : gare de Courbevoie, 7min de St Lazare et 1min de la Défense).

Au programme : venez vérifier vos classiques sur SSH (connexion clients / Serveur) et apprendre à se loguer en sécurité sans mot de passe via clés publique et privée.

Comme à l'accoutumée, une participation annuelle est demandée, de 20€ (10€ demandeurs d'emploi), valable pour plus de 15 ateliers.

Contact : events@starinux.org