HTTP Strict Transport Security, ou HSTS, est un brouillon de norme Internet qui propose une méthode pour augmenter la sécurité des sites web en apportant une solution à une faille courante située entre la chaise et le clavier.

Il s'agit pour les sites web sécurisés d'indiquer au navigateur qu'il doit systématiquement forcer l'accès en HTTPS.

Afin de favoriser l'auto-hébergement, je lançai il y quelques mois une initiative de documentation, sous la forme d'un wiki.
Depuis, grâce à d'autres contributeurs, cette initiative s'est enrichie d'autres services. Nous disposons maintenant :

• d'une page d'accueil ;


• d'un wiki ;


• d'un agrégateur de blogs ;


• d'un forum de questions-réponses ;


• d'un salon de discussion (interface web) ;


• d'une liste de diffusion.

Le 30 novembre, le World Wide Fund for Nature a dévoilé un « nouveau » format de fichiers, le WWF, semblable au PDF mais interdisant l'impression. Ce format aurait été développé pour faire cesser l'impression inutile de documents, qui serait la cause d'une importante surexploitation forestière.

Ces caractéristiques correspondent à un verrou numérique DRM et peuvent sembler inquiétantes lorsqu'on se préoccupe du contrôle et de la pérennité des documents. Heureusement, au-delà de l'annonce marketing du WWF, il ne s'agit pas d'un nouveau format, mais seulement d'un cas particulier du format PDF existant, avec l'option d'interdiction d'impression activée. Ce n'est donc ni nouveau, ni incontournable.

NdM : le format PDF dispose d'un système de restrictions permettant d'interdire l'impression en général ou de limiter à une impression basse qualité (parmi d'autres restrictions possibles, comme l'interdiction de copie, de modification, d'addition/suppression d'annotations, etc.). Beaucoup de bruit et de marketing pour pas grand chose d'utile au final, avec cette fausse solution de menotte technique pour raison écologique.

Monkeysphere est un projet permettant d'utiliser la « toile de confiance » OpenPGP pour de nouveaux usages, comme l'identification dans les protocoles SSH et HTTPS.

Sur SSH (avec OpenSSH), Monkeysphere permet d'utiliser des clefs OpenPGP pour identifier aussi bien les clients que les serveurs. On peut ainsi récupérer, valider et tenir à jour :

• Les clefs publiques de serveur (known_hosts) ;
  
• Les autorisations de connexion par clef personnelle.

Par rapport au système natif d'OpenSSH, cela permet de bénéficier des fonctionnalités de mise à jour, d'ajout de nouvelles clefs ou sous-clefs et de révocation du système OpenPGP.

Sur HTTPS avec n'importe quel serveur et avec le navigateur Firefox au moyen d'une extension, Monkeysphere permet d'utiliser OpenPGP comme moyen alternatif d'identification du serveur par son certificat SSL. Cela permet d'introduire un modèle de sécurité qui répond aux inconvénients de la centralisation qu'encourage le modèle SSL, tels que la concentration de pouvoir et les vérifications faibles.

Initié le 16 août 1993 par Ian Murdock, le projet Debian fête aujourd'hui ses 17 ans. C'est l'occasion de remercier les différents développeurs et groupes de développeurs qui ont permis à ce projet de nous fournir un système libre pendant tout ce temps.

Debian — le système d'exploitation universel — est une des plus anciennes distributions GNU/Linux en activité, juste après Slackware. Développée par une communauté organisée en démocratie plutôt que par une entreprise, Debian a pour but principal de fournir un système d'exploitation intégralement libre.

Aujourd'hui, Debian, c'est :

• 873 développeurs Debian (membres du projet Debian) ;
  
• 117 mainteneurs Debian (contributeurs reconnus et enregistrés) ;
  
• Des centaines de contributeurs (contributeurs libres) ;
  
• Plus de 40.000 paquets logiciels ;
  
• 12 architectures matérielles prises en charge ;
  
• Des dizaines de distributions dérivées ;
  
• Des millions d'utilisateurs.

NdM : et c'est aussi la distribution qui fait tourner le site LinuxFr.org depuis sa création, merci pour ça aussi.

Le 10 juin, un sondage a été lancé auprès des utilisateurs de Debian. Ce sondage portait sur divers sujets comme l'utilisation faite du système, les contributions apportées, les composants non libres et la politique de publication des versions.

Ce sondage correspondait bien au point numéro 4 du Contrat social Debian : les priorités de Debian sont ses utilisateurs et les logiciels libres.

Ce sondage est maintenant clos et dépouillé. Avec 3258 répondants dont moins de 20% de contributeurs directs à Debian, c'est le plus gros sondage d'utilisateurs de Debian réalisé.

Une synthèse des résultats les plus marqués montre que les utilisateurs apprécient largement les caractéristiques qui font la spécificité de Debian :

• Debian est surtout utilisé sur les machines de bureau, puis sur les portables et les serveurs.
  
• Les utilisateurs apprécient les Principes du logiciel libre selon Debian.
  
• Debian ne doit pas retirer sa section non-free.
  
• Les utilisateurs préfèrent que Debian soit « publiée quand elle est prête » plutôt qu'à dates fixes.
  
• Si Debian devait être publiée à date fixe, les utilisateurs préféreraient un intervalle d'un à deux ans entre chaque version.

NdM : Ce sondage n'a pas été réalisé de façon officielle par l'organisation Debian mais par un développeur Debian.

Pour les fêtes de fin d'année, InLibroVeritas publie avec Wikimédia France un calendrier illustré de belles photos tirées de Wikimedia Commons. Outre des photos, il contient également des textes tirés de Wikipédia et d'autres projets Wikimedia.

Cet ouvrage est au format A4 et comprend une double page par semaine, avec à chaque fois une photo légendée et une zone d'emploi du temps de la semaine. La préface a été rédigée par Adrienne Alix, présidente de Wikimédia France.

Ce calendrier, publié sous licence Art Libre, est vendu au profit de Wikimédia France.

Internet a été conçu comme un réseau décentralisé, afin de fournir une grande résistance aux pannes. De nombreux services de l'Internet tirent parti de cette architecture. Ainsi, le courrier électronique, la messagerie instantanée et web n'appartiennent à personne en particulier, ne dépendent de personne en particulier, et chacun peut se monter le sien en le rendant accessible aux autres.

Alors que des prestataires de services déploient des solutions d'hébergement massivement centralisées, on peut décider d'héberger soi-même ses propres services. Pour un particulier ou une association, cela présente de nombreux avantages, comme l'indépendance et le contrôle des données.

Pour aider ceux qui veulent prendre ainsi leur indépendance, j'ai commencé à remplir un wiki. N'hésitez pas à y contribuer, à en parler, etc. Et surtout, libérez-vous !

Quelques heures après la publication de Lenny, la nouvelle version de Debian, la Formation Debian GNU/Linux est déjà à jour ! Pas de miracle cependant, puisque ce travail d'adaptation a été effectué à la faveur de la période de gel de la distribution.

La Formation Debian GNU/Linux est un document destiné à ceux qui souhaitent débuter avec GNU/Linux et apprendre l'utilisation avancée et l'administration de Debian. Nous proposons aux intéressés d'installer Debian pas à pas, en détaillant les notions au fur et à mesure qu'elles interviennent : le logiciel libre, Debian, les périphériques et systèmes de fichiers, l'arborescence, la ligne de commande, le système graphique, les services réseau…

Pour schématiser, le but est de passer en une dizaine d'heures du statut du « power-user Windows » en « debianiste bien parti », capable de bien comprendre son système. Mais cette formation peut aussi être utile à ceux qui connaissent déjà GNU/Linux sous ses aspects graphiques uniquement, ainsi qu'à tous les debianistes qui auraient oublié tel ou tel détail.

Outre les adaptations nécessaires pour tenir compte des évolutions de l'installateur et des logiciels, cette mise à jour a également été l'occasion d'améliorer la qualité générale de la formation (avant, après).

Pour les fêtes de fin d'année, de nombreuses personnes ont sans doute reçu un iPod en cadeau. Avec ce produit, Apple est devenu en quelques années l'un des meilleurs geôliers numériques, et on ne peut qu'être interpellé par son insolent succès. J'ai pu essayer plusieurs génération de leurs baladeurs numériques iPod, et j'en profite donc pour publier cette rétrospective.

Les baladeurs numériques existent depuis dix ans. Il y a sept ans, Apple a sorti le premier iPod, un baladeur numérique presque comme les autres. Il se distinguait uniquement par son organisation propriétaire des fichiers et sa roue de défilement tactile, sa forme et son aspect étant alors très semblables à ceux des baladeurs de Creative.

Depuis, Apple a sorti plusieurs nouveaux modèles (on parle de générations) d'iPod, en apportant à chaque fois quelques modifications. Chose étonnante, il ne s'agit jamais d'ajouts de fonctionnalités, mais plutôt d'ajouts de défauts volontaires, qui limitent sa libre utilisation :

1. signature des fichiers pour interdire leur ajout avec un logiciel tiers ;


2. signature du micro-logiciel pour interdire son remplacement par un alternatif ;


3. invalidation des fichiers en cas d'utilisation avec un second ordinateur ;


4. tout dernièrement, suppression de la table de partition, interdisant ainsi le simple accès aux fichiers depuis un logiciel tiers.

Mise à Jour : Les 4 points ci-dessus sont déclinés en "générations" ci-dessous (du point de vue de l'utilisateur final standard et non de générations d'un point du vue marketing, les "générations" se référant à d'autres notions, tels que des changements de forme). Quelques corrections sur cet article ont été apportées en commentaire par Christophe Fergeau qui travaille sur le support ipod sous Linux.

On s'inquiète depuis quelques semaines des travers du fichier français de renseignements policiers EDVIGE, destiné à contenir des renseignements (trop) sensibles sur de (trop) nombreuses catégories de personnes.

Face à ces réactions, le premier ministre M. Fillon vient de demander à la ministre de l'intérieur Mme Alliot-Marie de revoir sa copie. Il est prévu d'effectuer les changements suivants dans la définition de ce fichier (qui devenu trop célèbre pourrait changer de nom) :

• sa portée serait restreinte aux personnes « susceptibles de troubler l'ordre public » et à leurs relations proches ;
  
• les personnalités politiques, syndicales, associatives, ou du monde économique seraient finalement dans « un répertoire administratif » tenu en préfecture ;
  
• il ne devrait pas contenir de données concernant la santé, l'orientation sexuelle et les « origines raciales »  ;
  
• les données concernant les mineurs devraient être effacées (à la majorité ? après 3 ans ?).
  

Ceci intervient après de nombreuses concertations de la ministre avec des représentants de diverses organisations (syndicales, homosexuelles, religieuses…), plusieurs avis négatifs de la CNIL et près de 200 000 signatures de la pétition pour l'abandon de ce fichier.

NdM : les modifications proposées laissent supposer que le riche tissu associatif français autour du logiciel libre serait répertorié en préfecture, à l'exception des actions susceptibles de troubler l'ordre public qui resteraient dans feu-Edvige (reste à savoir si cela comprend la lutte contre les brevets logiciels, les DRM, la vente liée, etc.).

C'est passé presque inaperçu. Le 27 juin, un décret du premier ministre a donné naissance au fichier EDVIGE, destiné à contenir plein de renseignements utiles sur plusieurs catégories de personnes :

• les responsables politiques, économiques, syndicaux et religieux ;
  
• les personnes susceptibles de troubler l'ordre public.
  

Quant aux renseignements pouvant être ainsi collectés, il s'agit entre autres de :

• l'état civil, la profession, les coordonnées, des caractéristiques physiques, des photos ;
  
• les immatriculations des véhicules ;
  
• les informations fiscales et patrimoniales ;
  
• les déplacements et antécédents judiciaires ;
  
• des informations sur les proches.
  

Au retour des vacances, plusieurs organisations s'opposent à ce décret, notamment des associations de défense des droits de l'homme, des syndicats, des mouvements politiques de gauche et des associations homosexuelles, mais également des organisations sportives, artistiques, écologiques…

Le décret du 27 juin autorise le ministère de l'intérieur à créer le fichier EDVIGE, donc le nom signifie « exploitation documentaire et valorisation de l'information générale », c'est-à-dire rien du tout.

Notons que la CNIL, consultée le 16 juin, a émis sur ce décret un avis assez négatif, demandant à ce que certains termes mal définis soient précisés, et critiquant la possibilité d'y être fiché à partir de l'âge de 13 ans seulement.

Bien que certaines recommandations de la commission aient été suivies, celle-ci a maintenu certaines réserves au sujet de la version finale du texte de ce décret.

Enfin, vu les avis de la CNIL et la répartition des organisations opposées à ce décret, il semble que des données concernant les origines, la santé et l'orientation sexuelle puissent être collectées pour figurer dans ce fichier. Or, cette possibilité n'est pas mentionnée explicitement dans le texte du décret.

NdM : le sujet n'est pas directement lié au logiciel libre ; cependant le tissu associatif français autour du logiciel libre est particulièrement développé, et certaines de ces associations ont clairement une action politique (au sens vie de la cité) ou des actions susceptibles de troubler l'ordre public (lutte contre les brevets logiciels, les DRM, la vente liée, etc.), de manière régulière ou non.

Ce 26 juillet, Debian publiait la quatrième version de la distribution stable actuelle : Debian GNU/Linux 4.0r4 « Etch ».

Comme d'habitude, cette nouvelle publication regroupe un certain nombre de mises à jour de sécurité et de corrections de bogues, qui avaient déjà été rendues disponibles sous forme de paquets sur les dépôts officiels pour les installations existantes.

En revanche alors que les mises à jour de la version stable de Debian se contentent habituellement de corriger des bogues, pour la première fois, cette publication comporte des ajouts de fonctionnalités. D'un genre particulier, toutefois : il s'agit de nouveaux pilotes matériels, afin de permettre d'installer Debian sur du matériel récent.

Notons par ailleurs que depuis quelques mois, les pages de recherche de paquets Debian prennent en compte le projet des rétroportages, qui permettait déjà aux utilisateurs le souhaitant d'installer des logiciels récents issus des branches de développement de Debian.

NdM : Des nouvelles images ISO estampillées Debian GNU/Linux 4.0r4 seront également prochainement disponibles. En outre, la prochaine version de Debian, surnommée Lenny et actuellement en cours de développement, est désormais gelée – ce qui signifie que les développeurs vont maintenant essentiellement s’atteler à la correction de dysfonctionnements dans l’optique de sa stabilisation prévue pour septembre prochain.

Après l'acceptation du format MS-OOXML (Microsoft Office OpenXML) par l'ISO, deux formats bureautique ouverts et normalisés s'opposaient.

Cette situation inquiétante s'est dénouée en quelques mois :

1. Dénonçant des irrégularités dans la procédure de décision, quatre pays ont fait appel de la décision de l'ISO : le Venezuela, l'Afrique du Sud, le Brésil et l'Inde ;
   
2. Microsoft a annoncé que la prochaine mise à jour de sa suite bureautique Microsoft Office utiliserait nativement le seul format vraiment ISO OpenDocument (ODF) et ne prendrait plus en charge MS-OOXML ;
   
3. Suite aux appels des quatre pays sus-mentionnés, l'ISO a alors suspendu la publication de la norme MS-OOXML.