L'accord commercial anti-contrefaçon, plus connu sous le nom d'ACTA, a été rejeté à une très large majorité : 478 voix contre 39 favorables (et 165 abstentions) par les eurodéputés réunis en séance plénière le 4 juillet 2012.

Cet accord négocié en secret pour contourner la voie parlementaire avait pour objectif de contourner le système judiciaire. Soutenu par de puissants lobbys, ACTA aurait été une menace majeure pour la liberté.

La mobilisation citoyenne contra ACTA, a permis de sensibiliser les élus européens au sujet des libertés numériques et des dangers du concept de « propriété intellectuelle ». Cela a conduit notamment le PPE (parti populaire européen, principal groupe des élus de droite au parlement) à ne pas donner de consigne de vote, alors qu'au début du projet celui-ci militait pour l'adoption rapide d'ACTA : lors du vote solennel, de nombreux élus ont choisi de s'abstenir.

Selon La Quadrature du Net c'est une victoire totale pour les citoyens et la démocratie. Jérémie Zimmerman, son porte parole conclut : « La victoire contre ACTA doit marquer le début d'une nouvelle ère dans laquelle les décideurs publics font passer les libertés et l'Internet libre - notre bien commun - avant les intérêts privés »

Isabelle Attard, députée écologiste du Calvados, a demandé sous forme de questions écrites à différents ministères de communiquer leur usage des logiciels libres et notamment leurs dépenses liées aux logiciels libres et propriétaires depuis 2008. Deux d'entre eux ont répondu dans le journal officiel daté du 2 juillet 2013.

Le ministère de l'agriculture indique dans sa réponse utiliser la suite OpenOffice et le format OpenDocument depuis 2008, tout en reconnaissant avoir dépensé plus de 1,3 millions d'euros en logiciels bureautique propriétaires… parmi les logiciels libres utilisés par le ministère, on notera la solution de gestion électronique de document Nuxeo EP, le gestionnaire de flux Bonita, le système d'exploitation Red Hat et les logiciels de supervision Nagios/Centreon.

Le ministère de la francophonie indique quant à lui ne pas être capable de chiffrer la part de libre et de propriétaire dans ses dépenses informatiques, tout en insistant sur son implication dans l'usage du libre : distribution de ses développements sous licence CECILL, utilisation de SPIP pour ses sites web, commande de support pour les distributions Debian et Ubuntu.

Attendons maintenant la réponse des autres ministères interrogés par la députée, mais ces premières réponses même si elles sont loin d'être totalement satisfaisantes laissent entrevoir enfin une réelle compréhension de ce qu'est un logiciel libre de la part des DSI des ministères, ce qui est un premier pas pour une généralisation de ceux-ci.

Tout système d'exploitation de type Unix a besoin d'une bibliothèque logicielle C : cette bibliothèque implémente les appels système (c'est-à-dire l'accès aux éléments gérés par le système d'exploitation) et offre d'autres fonctionnalités de base comme l'ouverture de fichiers (open), l'impression à l'écran (printf), l'allocation de mémoire (malloc), la sortie propre d'un programme (exit). Il existe de multiples bibliothèques C, certaines implémentant un minimum de fonctions afin d'avoir une empreinte mémoire minimale (par exemple Bionic ou uClibC utilisées sur les téléphones mobiles), d'autres cherchent à être les plus complètes possibles comme la bibliothèque C de GNU, aussi appelée glibc voire simplement libc par les connaisseurs.

La glibc a pour but d'être portable sur l'ensemble des systèmes Unix, y compris BSD, mais est surtout utilisée par le système GNU et par tous les systèmes dits GNU/Linux, ce qui regroupe l'essentiel des distributions Linux pour le grand public et les entreprises pour PC. Ce lundi 12 août est sortie la version 2.18 de la glibc, apportant un nombre important de correction de bugs et de failles de sécurité (CVE-2013-2207, CVE-2013-0242, CVE-2013-1914) et quelques améliorations détaillées dans le second lien.

GNU Gzip est une suite d'utilitaires de (dé)compression de fichiers utilisés par toutes les distributions GNU/Linux et dans divers environnements UNIX. Ce lundi 10 juin est sortie une nouvelle version de Gzip, dénommée gzip-1.6. Cette version apporte les nouvelles fonctionnalités et corrections de bogues suivantes :

• gzip accepte maintenant l'option --keep (-k), par souci de cohérence avec les outils comme xz, lzip et bzip2. Avec cette option, gzip ne supprime plus le fichier source lors d'une compression ou d'une décompression ;
• gzip -d ne dysfonctionne plus avec certaines données invalides au format « pack » (problème introduit dans gzip-0.8]) ;
• lors d'un écrasement, et avec certaines plateformes où il est compilé de façon optimisée, gzip n'agit plus comme si vous aviez tapé « y » lorsque vous tapez « n ». (bogue présent depuis gzip-1.3.6) ;
• zgrep ne dysfonctionne plus avec des options multi-chiffres comme -15 (équivalente à -C15). Maintenant il passe cette option à grep comme il le fait pour les options à un chiffre (problème vu depuis gzip-1.3.12) ;
• dorénavant, zmore se comporte plus comme more et est plus portable pour les hôtes POSIX.

La Fondation Mozilla a discrètement lancé le projet Common Voice, qui a pour objectif de fournir une base de données de voix à destination des développeurs de logiciels de reconnaissance vocale. D’ici la fin de l’année, la base de données sera mise à disposition de la communauté sous licence CC-0, et pourra être utilisée par les développeurs pour entraîner leurs logiciels de reconnaissance vocale.

Il est actuellement possible de participer depuis le Web, en lisant des phrases en anglais et en indiquant son accent, son âge et son genre pour enrichir la base de données. Des applications sont déjà en cours de développement pour les appareils mobiles et devraient être disponibles prochainement. Pour ceux qui ne parlent pas anglais, il est aussi possible de contribuer au projet en produisant des phrases pertinentes ainsi que du code dans GitHub.

GNU Virtual Private Ethernet (gvpe) est un logiciel permettant de créer un réseau privé virtuel (VPN). Contrairement aux logiciels de VPN classiques, celui-ci ne se base pas sur un unique tunnel protégé par un système de confiance, mais offre un réseau avec de multiples points d'entrée où chaque nœud n'a pas besoin de faire confiance à l'ensemble du réseau. La version 2.25 de ce logiciel est sortie le 18 juillet, apportant notamment les évolutions suivantes :

• deux évolutions incompatibles avec les anciennes versions de gvpe :
  • le protocole udp n'est plus activé si aucun autre protocole n'est disponible ;
  • le protocole dns transport passe en version 2 ;
• le protocole interne passe en version 0.1, en garantissant une compatibilité ascendante ;
• RSA_generate_key étant devenu obsolète, passage à la fonction RSA_generate_key_ex, plus complexe ;
• ajout du support des hashs HMAC suivants : sha256 et sha512 ;
• ajout de nouvelles otions de configuration globales : chroot, chuser, chuid et chgid ;

Le 10 janvier a été publiée la huitième mise à jour de Debian 7 (nommée "wheezy"). En plus des traditionnelles mises à jour de sécurité, on notera la montée de version de certains logiciels (PHP 5, Icedove, ClamAV, tzdata, wireless-regdb, MySQL 5.5 et pilotes Nvidia) et la correction de certains bugs pouvant s'avérer bloquants pour certains utilisateurs.

À noter que cette mise à jour intègre déjà deux régressions connues pour le noyau Linux :

• la mise en veille ne fonctionne plus pour certains ordinateurs portables : ce problème pour lequel vous trouverez plus de détail dans ce message du forum Linux.Debian/Ubuntu a déjà été résolu par un développeur Debian et le correctif est déjà téléchargeable
• la migration d'une machine virtuelle active d'un hôte fonctionnant avec une version plus ancienne du noyau vers un hôte fonctionnant avec la version du noyau distribuée avec Debian 7.8 échouera si la machine virtuelle a été créée avec un périphérique réseau VirtIO ; la solution est de migrer une telle machine virtuelle à froid (en l'arrêtant avant de la déplacer).

La liste exhaustive des changements et des failles corrigées est en seconde partie de la dépêche.

GnuPG (aussi connu sous le nom de GPG, pour GNU Privacy Guard) est un outil permettant notamment de transmettre des messages signés et/ou chiffrés. La libgcrypt est une bibliothèque cryptographique dérivée de GPG, utilisée notamment par les versions 2.0 et supérieures de GPG (dont la 2.0.20 est disponible depuis le 10 mai dernier). Le 25 juillet dernier sont sorties des mises à jour de ces deux logiciels.

Cette mise à jour apporte un correctif de sécurité suite à la publication par Yuval Yarom et Katrina Falkner d'une méthode pour extraire les clés privées à l'aide d'un logiciel espion exploitant la Mémoire_cache de troisième niveau. La particularité de cette attaque est qu'elle est possible depuis n'importe quel programme exécuté sur la même machine physique, ce qui signifie dans un environnement mutualisé que celle-ci est possible depuis une machine virtuelle autre que celle exécutant GnuPG.