C'est l'histoire d'une personne qui reçoit un gros document papier, contenant une clé USB en forme de clé de porte (voir la photo en seconde partie de la dépêche). On se dit que la clé USB doit contenir la version numérique du document papier, et on branche négligemment l'objet sur son ordinateur.

Une fois branchée sous Windows, la clé ouvre la fenêtre Exécuter avec le raccourci clavier [Touche windows+R], tape une adresse HTTP de site web et confirme la demande. On se retrouve avec un navigateur (disons Internet Explorer par défaut sous Windows) qui ouvre un site distant inconnu. En l'occurrence la clé pointe vers le site du vendeur de ce gadget (l'adresse était en erreur la première fois que je l'ai branchée…), qui lui-même pointe vers le site désiré par l'acheteur de cet objet promotionnel.

Dan Kaminsky était un chercheur en sécurité informatique, qui a travaillé pour Avaya, Cisco et IOActive (sa biographie sur son blog). Il est décédé le 23 avril 2021.

Wikipédia rappelle ses travaux comme le snooping du cache DNS, qui lui a permis de démontrer que le Sony Rootkit avait infecté au moins 568 200 ordinateurs (…) Il a participé à l’élaboration du standard du W3C, Do Not Track. Des contenus précédents sur LinuxFr.org évoquent ses travaux sur la corruption/pollution de cache DNS. Et pour celles et ceux qui auraient oublié / découvriraient le Sony BMG Rootkit voir 1, 2, 3, 4 ou 5.

(source par Dave Bullock & Emdee, CC By 2.0)

Ses travaux sur les DNS ont permis d’améliorer les logiciels libres gérant le DNS (à noter que le sujet de l’empoisonnement DNS est revenu en novembre 2020 sur la table). Il a aussi permis d’ajouter une détection du ver Conficker dans le logiciel Nmap. Il a présenté le logiciel libre n00ter (voir son article de blog de 2011 pour la présentation du logiciel, ou la vidéo de sa présentation à BruCon2011) pour détecter des atteintes à la neutralité du net.

Depuis la semaine dernière, les récriminations de possesseurs de routeurs Cisco/Linksys E2700, E3500 et E4500 se multiplient : suite à une mise à jour automatique du micrologiciel, ils se retrouvent privés d'accès à leur équipement, qui demande un compte « Cisco Connect Cloud » (censé offrir un accès distant permanent, de nouvelles applications, etc.).

Tous les utilisateurs qui n'ont pas désactivé l'interrupteur de mise à jour automatique situé sous le routeur seraient concernés. Déconnecter le routeur du réseau permet d'utiliser à nouveau le vieux couple identifiant/mot de passe, mais les fonctionnalités sont alors limitées.

Résumons : sous prétexte de faciliter la vie des utilisateurs néophytes, des mises à jour en douce (non réversibles) sont possibles, et peuvent changer les conditions juridiques d'utilisation (plus de détails dans la suite de la dépêche). Cela ne devrait étonner personne ici parmi un public plutôt sensibilisé à l'informatique déloyale et aux problématiques de l'informatique nébuleuse…

La distribution Debian (ou Debian GNU/Linux) est un système d’exploitation libre complet. Il est développé par une organisation communautaire fondée par Ian Murdock le 16 août 1993. Le projet fête donc ses 30 ans.

La première version stable est parue le 17 juin 1996, tandis que la dernière version stable, Debian 12 Bookworm est sortie le 10 juin 2023. Et Debian GNU/Hurd 2023 le 12 juin 2023.

L’approche communautaire est basée sur une philosophie : « une association d’individus qui ont pour cause commune la création d’un système d’exploitation libre, librement disponible pour tous. Dans ce qui suit, quand nous utilisons le mot « libre », nous ne parlons pas d’argent, nous nous référons plutôt à la liberté du logiciel. ». « Le projet Debian compte plus d’un millier de développeurs et de contributeurs répartis dans le monde entier. »

Des raisons d’utiliser Debian ? (selon le projet) :

• pour les utilisateurs : Debian est un logiciel libre, un système d’exploitation stable et sûr, avec une vaste prise en charge matérielle, un installateur souple, des mises à niveau en douceur et est la base de nombreuses autres distributions. Et bien sûr le projet Debian est une communauté.
• pour les développeurs : de multiples architectures matérielles, la prise en charge de l’Internet des objets et périphériques embarqués, un nombre immense des paquets logiciels disponibles, un choix de différentes versions, un système de suivi des bogues accessible au public, des outils de développement et la charte Debian
• dans un environnement d’entreprise : fiable, compte de nombreux experts, sûre, prise en charge à long terme, des images « cloud »
• (selon LinuxFr.org) : ça fait 25 ans que Debian nous porte (et ça en fait des changements de versions et de matériel), une mise en demeure sur fond de Debian Project Leader, l’étiquette la plus utilisée du site

Laurent Seguin est décédé à l’age de 44 ans. Il était vice‐président de l’Association Francophone des Utilisateurs de Logiciels Libres (AFUL) ; il en a été administrateur depuis 2007, puis président de 2011 à 2018, après Thierry Stoehr et avant feu Patrick Sinz à qui Véronique Fritière a succédé.

Il était le représentant de l’AFUL au sein de l’ADULLACT (Association des Développeurs et Utilisateurs de Logiciels Libres pour les Administrations et les Collectivités Territoriales).

Il travaillait chez Entr’ouvert, une SCOP et une entreprise en logiciel libre égalitaire. Il était aussi responsable du groupe thématique logiciel libre (devenu Hub Open Source) du pôle de compétitivité Systematic.

Il était aussi un ancien de la marine nationale française. Et compositeur électro de talent (licence libre Creative Commons By) signale A. Kauffmann.

Condoléances à sa famille et ses proches.

Réactions : 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, etc.

Extraits des réactions : « Il aura beaucoup fait pour le libre francophone », « grand contributeur au logiciel libre en France, personnalité réfléchie et généreuse restée fidèle à ses valeurs », « libriste et très impliqué au niveau des entreprises », « homme engagé #LogicielLibre, savait exposer ses idées, agissait avec efficacité et l’impertinence qu’il fallait », « homme attachant, curieux et penseur subtil », « entrepreneur et promoteur infatigable du logiciel libre », « figure incontournable du Libre, personne aux multiples talents », « figure énergique du logiciel libre en France », etc.

Curl est l’exemple du logiciel utilisé partout, tellement omniprésent que l’on oublie d’en parler. Aucune dépêche ou journal LinuxFr.org dédié à ce logiciel, alors même qu’un de ses homonymes le langage Curl a eu le droit d’être mentionné en 2001. Tandis que le vénérable curl fête ses vingt ans, il est temps de réparer cet honteux oubli.

Curl (curl ou plutôt cURL pour « client URL request library ») se rapporte en fait à la bibliothèque libcurl et à l’outil en ligne de commande curl, permettant de faire des requêtes sur un réseau (pléthore de protocoles sont pris en charge). Écrits en C, ils existent sur une multitude de systèmes différents et la bibliothèque est utilisable depuis de nombreux (plus de 40) langages (C++, Java, .NET, Perl, PHP, Ruby, etc.).

LinuxFr.org fête aujourd'hui 28 juin ses 14 ans : bon anniversaire LinuxFr.org ! Merci à tous ceux qui ont contribué et contribuent au succès du site : administration système, développement, modération, dons, écriture de contenus, etc. Le meilleur moyen de nous dire merci est de proposer une dépêche ou d'en rédiger collaborativement dans l'espace de rédaction pour faire vivre le site.

Et en 14 ans, ça donne quoi ?

Côté chiffres, le site comporte plus de 83 000 contenus publiés (environ 32 000 journaux, 29 000 entrées de forum, 20 000 dépêches, 260 sondages, 130 pages de wiki), et plus de 1,3 million de commentaires. Pour finir, sachez que 3 419 dépêches couvrant la période de 1999 à 2000 ont été retrouvées et remises en ligne en mai dernier.

On ne présente plus LinuxFr.org… enfin, si…

Après « Dix ans » aux RMLL 2008 Mont-de-Marsan et « Retour d'expérience sécurité sur 11 ans » aux RMLL 2009 Nantes, « LinuxFr.org, un joli site Ruby on Rails » au sein du thème Internet, et « Comment bien utiliser LinuxFr.org ? » aux RMLL 2011 Strasbourg, LinuxFr.org fera une présentation cette année aux RMLL 2012 Genève au sein du thème Communautés, intitulée « LinuxFr.org : contributif, consulté, connecté, … mais aussi consternant, consensuel, conspuant ». Venez nous voir !

Mardi 12 mars à partir de 23h, nous avons lancé un passage à la version suivante de la distribution GNU/Linux (une Ubuntu pour l'hôte, des Debian pour les invités LXC) du serveur principal de LinuxFr.org, baptisé gruik. Tout s'est bien passé jusqu'au redémarrage.

Loi de Murphy

Après un certain temps, il a bien fallu en déduire que ce n'était pas juste un fsck qui s'éternisait mais bien un souci plus sérieux au démarrage. La console d'administration distante (carte DRAC (*)) ne nous a servi à rien non plus. Pas plus que le redémarrage électrique. Bref pas de ping, pas de réseau, rien, ni de l'extérieur, ni depuis le second serveur. Conclusion : perte des sites web de production et de test, et perte des listes de diffusion et du courriel @linuxfr.org en général.

(*) DRAC pas cher (intégré à la carte-mère), qui ne marche que quand le serveur va bien. Si le réseau tombe ou que GRUB boude, plus rien. En plus, sa redirection BIOS est mauvaise au possible…

Un problème n'arrivant jamais seul, la neige en Île de France a perturbé une intervention au datacenter hébergeant gruik.

« Protéger, Alerter, Secourir » : diffuser l'info donc

Nous avons utilisé les réseaux sociaux pour diffuser l'info sur G+, Twitter ou le salon xmpp ; malheureusement pas sur identi.ca qui a demandé une validation de l'adresse @linuxfr.org utilisée au moment où le serveur n'était pas disponible.

Quelques petites actualités concernant l'association LinuxFr : cette dépêche contiendra des problèmes logiciels, du suspens, un bilan financier, des soucis matériels, pas de neige, un rapport moral, mais aussi une visite au datacenter et une élection du bureau. Et tout cela le même jour, le 9 décembre 2015.

Le documentaire « Prêt à jeter » a été diffusé sur la chaîne de télévision franco-allemande Arte, le 15 février dernier. Réalisé en 2010 par Cosima Dannoritzer, il évoque en 75 min l’obsolescence programmée des produits (dont le matériel informatique et télécom), entraînant tout à la fois une économie du remplacement permanent et une production continue de déchets.

Dans les années 1920 est né le concept d’obsolescence programmée : « un produit qui ne s’use pas est une tragédie pour les affaires ». Selon Wikipédia, le concept « regroupe l’ensemble des techniques visant à réduire la durée de vie ou d’utilisation d’un produit afin d’en augmenter le taux de remplacement. »

Bassel Khartabil Safadi était un informaticien libriste, emprisonné depuis 2012 par la sécurité syrienne en répression de ses activités en ligne. Une dépêche précédente avait fait état de son arrestation, sa torture, sa condamnation secrète à mort, son transfert vers un lieu inconnu et les craintes pour sa vie. Sa femme a annoncé son décès le 1^er août 2017 (elle était sans nouvelles depuis deux ans, il a été exécuté en novembre 2015 et le gouvernement syrien vient juste d’indiquer son décès).

Le projet GNU publie tous les mois une liste de versions logicielles publiées. Jetons‐y un coup d’œil pour découvrir de nouveaux logiciels inconnus (de moi), des infâmes bogues disparus ou les promesses de solutions à tous nos besoins : soit 33 nouvelles versions annoncées allant de la corrective mineure à la version attendue depuis des années ; et l’on va donc parler de acct, artanis, bc, diffutils, emacs, emms, freedink-data, gcc, global, gnubik, gnupg, gnutls, grub, guile, guile-cv, guile-ncurses, icecat, kawa, less, libcdio-paranoia, libidn2, libmicrohttpd, linux-libre, nano, ocrad, orgadoc et parallel.

Philippe Aigrain était multiple : docteur en informatique, ancien chef du secteur technique du logiciel à la Commission européenne, contributeur dans des revues, auteur de livres, entrepreneur avec Sopinspace dans le développement de logiciels libres et de services basés sur ces derniers ; il a lutté contre les brevets logiciels et contre DADVSI, a été administrateur du Software Freedom Law Center, a cofondé La Quadrature du Net, ainsi que le webmedia Nonfiction et il a présidé la maison d’édition Publie.net. Il a été tout ça et bien plus.

Il était un militant en faveur des communs, défenseur du logiciel libre, luttant contre les abus de la propriété intellectuelle et l’appropriation de l’information par quelques-uns. Les dizaines d’articles étiquetés philippe_aigrain ici sur LinuxFr.org illustrent son implication et son importance dans les communautés et dans les débats sur ces thématiques.

Quelle chance de l’avoir connu, et quelle profonde tristesse suite à cette nouvelle.

(Photo prise lors de la Journée du domaine public 2012 à Paris, par Marie-Lan Nguyen - CC By 2.5)

Nos pensées vont à sa famille et ses proches.

Le Chaos Computer Club (CCC), l’une des organisations de hackers (au sens premier de bidouilleurs curieux) les plus influentes en Europe, viendrait de faire la rétro‐ingénierie d’un cheval de Troie (pour système Windows) utilisé par la police allemande pour « l’interception légale ». À partir d’une copie découverte en utilisation, ils montreraient que ce logiciel espion permet de récupérer des données privées, de surveiller les échanges via diverses applications (Firefox, Skype, MSN Messenger, ICQ et d’autres), de prendre le contrôle de la machine infectée, de se mettre à jour ou d’accroître ses fonctionnalités intrusives.

Le CCC publie une longue analyse détaillée, plus le binaire en question (une « dll » de 360 Kio et un « .sys » de 5 Kio). Ils auraient par ailleurs écrit leur propre interface de contrôle du logiciel espion, montrant les failles des protocoles de communication et de supervision utilisés.

L’antivirus libre ClamAV reconnaît « mfc42ul.dll » comme Trojan.BTroj-1 et « winsys32.sys » comme Trojan.BTroj.

Merci à inico pour son journal sur le sujet qui a conduit à cette dépêche.

Le blogueur, journaliste et auteur de science-fiction canado-britannique Cory Doctorow revient sur le cas du fabricant états-unien de matériel agricole John Deere qui interdit depuis au moins 2015 aux fermiers de réparer leurs propres tracteurs, via la législation sur le copyright (le tracteur est considéré comme un logiciel, loué, avec des parties matérielles, et le DMCA s’appliquerait).

Cette histoire avait été évoquée dans un journal de 2017 sur les « fermiers américains sont obligés de pirater leurs propres tracteurs pour pouvoir les réparer » et dans une dépêche de 2019 sur « L’enjeu de la bataille du Libre : la réappropriation des savoir‐faire », film documentaire qui aborde aussi le sujet.