Le projet GNU publie tous les mois une liste de versions logicielles publiées. Jetons‐y un coup d’œil pour découvrir de nouveaux logiciels inconnus (de moi), des infâmes bogues disparus ou les promesses de solutions à tous nos besoins : soit 33 nouvelles versions annoncées allant de la corrective mineure à la version attendue depuis des années ; et l’on va donc parler de acct, artanis, bc, diffutils, emacs, emms, freedink-data, gcc, global, gnubik, gnupg, gnutls, grub, guile, guile-cv, guile-ncurses, icecat, kawa, less, libcdio-paranoia, libidn2, libmicrohttpd, linux-libre, nano, ocrad, orgadoc et parallel.

Philippe Aigrain était multiple : docteur en informatique, ancien chef du secteur technique du logiciel à la Commission européenne, contributeur dans des revues, auteur de livres, entrepreneur avec Sopinspace dans le développement de logiciels libres et de services basés sur ces derniers ; il a lutté contre les brevets logiciels et contre DADVSI, a été administrateur du Software Freedom Law Center, a cofondé La Quadrature du Net, ainsi que le webmedia Nonfiction et il a présidé la maison d’édition Publie.net. Il a été tout ça et bien plus.

Il était un militant en faveur des communs, défenseur du logiciel libre, luttant contre les abus de la propriété intellectuelle et l’appropriation de l’information par quelques-uns. Les dizaines d’articles étiquetés philippe_aigrain ici sur LinuxFr.org illustrent son implication et son importance dans les communautés et dans les débats sur ces thématiques.

Quelle chance de l’avoir connu, et quelle profonde tristesse suite à cette nouvelle.

(Photo prise lors de la Journée du domaine public 2012 à Paris, par Marie-Lan Nguyen - CC By 2.5)

Nos pensées vont à sa famille et ses proches.

Le Chaos Computer Club (CCC), l’une des organisations de hackers (au sens premier de bidouilleurs curieux) les plus influentes en Europe, viendrait de faire la rétro‐ingénierie d’un cheval de Troie (pour système Windows) utilisé par la police allemande pour « l’interception légale ». À partir d’une copie découverte en utilisation, ils montreraient que ce logiciel espion permet de récupérer des données privées, de surveiller les échanges via diverses applications (Firefox, Skype, MSN Messenger, ICQ et d’autres), de prendre le contrôle de la machine infectée, de se mettre à jour ou d’accroître ses fonctionnalités intrusives.

Le CCC publie une longue analyse détaillée, plus le binaire en question (une « dll » de 360 Kio et un « .sys » de 5 Kio). Ils auraient par ailleurs écrit leur propre interface de contrôle du logiciel espion, montrant les failles des protocoles de communication et de supervision utilisés.

L’antivirus libre ClamAV reconnaît « mfc42ul.dll » comme Trojan.BTroj-1 et « winsys32.sys » comme Trojan.BTroj.

Merci à inico pour son journal sur le sujet qui a conduit à cette dépêche.

Le blogueur, journaliste et auteur de science-fiction canado-britannique Cory Doctorow revient sur le cas du fabricant états-unien de matériel agricole John Deere qui interdit depuis au moins 2015 aux fermiers de réparer leurs propres tracteurs, via la législation sur le copyright (le tracteur est considéré comme un logiciel, loué, avec des parties matérielles, et le DMCA s’appliquerait).

Cette histoire avait été évoquée dans un journal de 2017 sur les « fermiers américains sont obligés de pirater leurs propres tracteurs pour pouvoir les réparer » et dans une dépêche de 2019 sur « L’enjeu de la bataille du Libre : la réappropriation des savoir‐faire », film documentaire qui aborde aussi le sujet.

Widelands est un jeu de stratégie en temps réel (solo ou multijoueur en réseau), fonctionnant sur diverses plates‐formes (dont GNU/Linux, Windows et macOS). Il s’inspirait à l’origine du célèbre jeu Settlers II de Blue Byte Software. Il intègre un moteur permettant de gérer plusieurs tribus et différents systèmes d’économie. Le jeu avait déjà été évoqué sur LinuxFr.org (mais si, rappelez‐vous, c’était il y a seulement quatorze ans). Il est codé en C++ avec la bibliothèque SDL, et est placé sous licence GPL.

La version Build 20-rc1 est parue le 22 avril 2019. La version finale Build 20 devrait paraître sous peu (déjà trois bogues identifiés et corrigés depuis la parution de la rc1). (NdM: Build 20 parue le 2 mai, avec six corrections de bogues). La version Build 19 datait de novembre 2016.

La rc1 vient corriger 404 bogues, corrections et évolutions. Citons la nouvelle tribu des Frisons (Frisians), des casernes pour le recrutement des soldats, une IA réécrite avec un algorithme génétique, ainsi qu’une interface plus riche et pourtant plus pratique.

Dans les coulisses, le grand nettoyage et la modernisation se poursuivent et, bien sûr, il y a des gains en stabilité et en performance, et des bogues en moins.

C’est via un tweet de Hervé Schauer, reprenant l’annonce de la famille, que nous avons appris cette triste nouvelle :

« décès de Patrick Sinz le soir du 27 mai 2019 dans un accident de la route. C’était un père, un mari, un frère, un fils, un oncle, et un ami formidable, et il restera à tout jamais dans nos cœurs. »

Paix à son âme…

Le site LinuxFr.org peut être consulté sans compte et sans authentification. Il permet aussi de se créer un compte (voir l’aide Visite (non) authentifiée, ou pourquoi ouvrir un compte ?). Ce compte est associé à des données à caractère personnel techniques nécessaires au service rendu et des données à caractère personnel optionnelles qui sont renseignées ou non par la personne utilisant le compte.

Cette dépêche décrit les données à caractère personnel traitées, qu’elles soient ou non associées à un compte, le cycle de vie de ses données et le changement de politique concernant ce cycle de vie. Par souci de concision, on utilise l’abréviation DCP pour données à caractère personnel.

La principale nouveauté concerne les durées de conservation des DCP. À partir du 28 juin 2023 :

• les comptes inactifs pendant trois ans seront fermés et les données conservées inutiles au service supprimées ;
• les comptes fermés depuis plus d’un an verront les données associées inutiles au service supprimées.

Il y a un an, le 20 février 2011 pour être précis, le site LinuxFr.org a migré vers une toute nouvelle version en Ruby On Rails (pour fuir Templeet). Les statistiques sur les utilisateurs du site nous apprennent qu'il y a environ 45 000 comptes qui ont été créés depuis la mise en place du site, qu'il en reste environ 42 000, dont 180 fermés et 3  900 valides et utilisés au cours des 3 derniers mois.

Les comptes créés avant la migration ont leur mot de passe stocké sous forme hachée DES 13 caractères (pas sous forme lisible, pas en clair pour résumer, mais un peu vieillot et peu sûr comme format). Les comptes créés ou utilisés après la migration ont leur mot de passe stocké sous forme hachée Blowfish 60 caractères (pas en clair et mieux protégé pour résumer).

35 000 comptes n'ont pas migré vers le nouveau format de stockage (et ont donc un mot de passe stocké dans l'ancien format). 600 comptes ont migré mais il existe encore une version de leur mot de passe de l'époque dans l'ancien format. Afin de supprimer de sa base de données les anciennes formes de mots de passe moins sûres, et parce qu'évidemment il ne nous est pas techniquement possible de convertir nous-même votre mot de passe vu que nous ne le connaissons pas, nous allons relancer par courriel tous les comptes ouverts et non utilisés depuis la migration :

• pour les comptes qui n'auront pas été utilisés entre le 20 février 2011 et le 31 mars 2012, nous les fermerons et supprimerons le mot de passe et l'adresse de courriel associée (*). Leurs contenus et commentaires resteront en ligne ;
• pour les autres comptes, l'ancienne forme du mot de passe sera supprimée de la base, tout le monde y gagnera en sécurité et cela simplifiera le schéma de notre base de données et le code de traitement des mots de passe.

La base de données « tz » (tz database) ou zoneinfo, ou encore Olson (du nom de son créateur), contient les informations sur les fuseaux horaires. Elle est utilisée par de nombreux logiciels (dont Java, PostgreSQL, MySQL — d’ailleurs, c’est le cas sur LinuxFr.org, OracleDB, PHP, Perl, Python, etc.) et systèmes d’exploitation (dont GNU/Linux, les BSD, Solaris et Mac OS X — mais pas Windows). Le 6 octobre 2011, David Olson a annoncé sur le groupe de discussion comp.time.tz qu’une plainte — l’impliquant, ainsi qu’un autre gestionnaire de cette base — avait été déposée devant la Cour fédérale de Boston (États‐Unis), et qu’en conséquence, les services FTP et liste de diffusion liés à cette base de données étaient arrêtés.

Il faut savoir que les fuseaux horaires ont varié au cours du temps (S. Colebourne évoque « entre 20 et 100 modifications distinctes sur le globe chaque année »), d’où l’intérêt de disposer d’une collection de toutes ces modifications. La base, gérée comme un projet libre, était mise à jour une quinzaine de fois par an. Elle était précédemment hébergée par les « Instituts nationaux de la santé » (National Institutes of Health, NIH) des États‐Unis (dont l’équivalent français serait l’INSERM).

La plainte vient de l’éditeur Astrolabe (éditeur d’ouvrages astrologiques) qui évoque ses ouvrages AC International Atlas et ACS American Atlas, mentionnés comme sources de la base de données tz, et poursuit donc deux personnes pour contrefaçon.

Le droit évoqué est le copyright (et non le droit sui generis des bases de données existant en Europe). On notera qu’il s’agit de données historiques factuelles, et que la jurisprudence américaine aurait plutôt tendance à exclure un copyright dessus (et donc à les placer dans le domaine public).

Le 10 octobre, une nouvelle version de la base de données a été publiée par d’autres personnes que celles visées par la plainte.

NdM : une première version de cette dépêche a été publiée le 10 octobre. Comme signalé dans les commentaires, il s’est avéré qu’il s’agissait d’une copie d’un article paru sur developpez.com, le 7 octobre. La dépêche a été entièrement réécrite et celle‐ci est publiée sous licence libre. Avec nos excuses pour ce souci dans la modération des contenus soumis par nos lecteurs.

En février 2018, j’avais fait un petit point sur une tâche régulière, répétitive et rébarbative liée à LinuxFr.org, qui n’est probablement pas significativement perçue par la plupart des lecteurs (tant mieux) : la gestion du spam, des pénibles publicitaires sans scrupules, de la plaie des SEO, des escroqueries et autres arnaques type scam ou loterie, etc. Bref, des pénibles du quotidien qui ne sont pas des vrais visiteurs du site, mais qui veulent juste fourguer leur camelote par n’importe quel moyen. Il s’agit d’évoquer les différentes formes que cela prend, les méthodes mises en place pour réduire ou bloquer la nuisance et d’illustrer le propos par divers exemples.

Contexte

Je me balade sur le site, je vois un commentaire vantant un comparatif de VPN, je me dis que c’est louche (pour plein de raisons, la huitième va vous étonner, mais principalement par expérience, voir plus loin la discussion sur PreSpam), c’est un nouveau compte. OK, il s’agit donc d’un spam de type SEO sournois. Pris d’une frénésie vindicative contre le spam, je lance une recherche en base de données sur ce domaine en particulier. Une seule occurrence. Petite déception, j’étais persuadé d’en voir plus régulièrement des vendeurs de spams, euh, de VPN.

Là, paf, mauvais réflexe, je me dis qu’il suffirait de lister tous les domaines présents dans les commentaires supprimés sur les trois dernières années, de nettoyer un peu tout ça, et de relancer une recherche pour détecter du spam résiduel. Après tout, y en a juste pour cinq minutes.

Faisons un petit point sur une tâche régulière, répétitive et rébarbative liée à LinuxFr.org, qui n’est probablement pas significativement perçue par la plupart des lecteurs (tant mieux) : la gestion du spam, des pénibles publicitaires sans scrupule, de la plaie des SEO, des escroqueries et autres arnaques type scam ou loterie, etc. Bref, des pénibles du quotidien qui ne sont pas des vrais visiteurs du site^*, mais qui veulent juste fourguer leur camelote par n’importe quel moyen. Il s’agit d’évoquer les différentes formes que cela prend, les méthodes mises en place pour réduire ou bloquer la nuisance et d’illustrer le propos par divers exemples.

(*) : Je distingue volontairement certains visiteurs du site qui auraient aussi des comportements problématiques, mais différemment (manifestement illégal, discriminatoire, insulte, harcèlement, abus, etc.). Ça pourrait faire un autre bon sujet de dépêche, mais ce n’est pas le sujet de celle‐ci.

La législation française évolue plus ou moins fréquemment autour du numérique et d’Internet. Parmi les derniers changements (effectifs, proposés ou en discussion) :

• la probable extension de la redevance copie privée au secteur du reconditionné (voir par exemple le dernier article NextInpact et les précédents), donc un surcoût à prévoir pour les mobiles et tablettes d’occasion par exemple ;
• les accords autour de l’article 15 de la directive européenne droit d’auteur (dépêche LinuxFr.org), instaurant un droit à rémunération des éditeurs et agences pour l’usage fait de leur titre par les réseaux sociaux ou encore les moteurs de recherche (voir par exemple l’Alliance de la Presse d’Information Générale et Facebook chez NextInpact, ou précédemment Droits voisins : Les éditeurs de presse et Google trouvent un accord chez ZDNet) ;
• toujours autour de la directive européenne droit d’auteur, l’arrêté) concernant l’article 17 sur les seuils de filtrage (voir aussi l’article NextINpact) : les plateformes concernées sont celles ayant une finalité commerciale, plus de 400 000 visiteurs uniques par mois et un nombre d’œuvres mises à disposition supérieur aux seuils de l’arrêté (d’après ces informations, je dirais que seul le premier critère exclut clairement LinuxFr.org des concernés) ;
• des propositions de députés/sénateurs pour un droit opposable à un Internet fixe de qualité, pour moderniser la lutte contre la contrefaçon de marque notamment en ligne ou pour une obligation de vérification d’identité à l’entrée des plateformes (merci NextINpact 1, 2 et 3) ;
• les procédures en cours pour faire bloquer les principaux sites pornographiques au niveau des principaux fournisseurs d’accès à Internet ;
• un peu de jurisprudence sur la contrefaçon de logiciels (sur la même thématique voir aussi CUJE : un contrat de licence utilisateur final ne peut interdire la décompilation d’une application  ;
• l’adoption de la fusion Hadopi-CSA avec ajout de nouveaux outils contre le piratage, avec la naissance de l’Arcom, avec le projet de loi « relatif à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique » (dossier Assemblée nationale, décision du Conseil Constitutionnel, loi publiée au Journal officiel, merci à @rabenou pour les deux derniers liens) ;
• le décret n° 2021-1362 du 20 octobre 2021 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, pris en application du II de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique qui sera discuté en seconde partie de dépêche.

Curl est un outil en ligne de commande destiné à récupérer le contenu d’une ressource accessible par un réseau informatique et gérant de nombreux protocoles.

Curl est un outil essentiel pour de nombreux usages, pris en charge par une gamme très large de systèmes d’exploitation, d’architectures matérielles, de l’objet connecté à l’embarqué spatial en passant par l’informatique classique ou les consoles de jeux. Il évolue rapidement et fréquemment, voir par exemple l’arrivée prochaine de HTTP3 pour curl dans Debian unstable (avec le backend gnutls). Son domaine d’utilisation pourrait encore s’étendre avec l’apparition de wcurl dans Debian et bientôt dans le monde entier ?

Il y a 24 ans, une division du code entre une interface ligne de commande et une bibliothèque a été faite.

Le site LinuxFr.org offre habituellement à ceux qui le font vivre la satisfaction d'avoir des contributeurs pour produire et mettre en ligne des contenus (dépêches, journaux, etc.) et des visiteurs pour les lire et en débattre. Ce début d'année vient de surcroit de nous apporter deux occasions de réjouissances supplémentaires : d'une part un don de matériel et d'hébergement, et d'autre part une nouvelle utilisation des fonctionnalités mises en place :

• suite à la dépêche précédente concernant le souci sur notre serveur baptisé zobe, l'entreprise Smile a contacté l'association LinuxFr pour nous donner trois serveurs Dell PowerEdge R410.

Merci à Smile pour le don des trois serveurs, et merci à ses trois employés qui ont géré ce don.

• plonk : Dell PowerEdge R410, Xeon 5650, 12 CPU, 16 GiB RAM, stockage 1,6 To utiles (RAID5, 4 disques), carte DRAC
• vlan : Dell PowerEdge R410, Xeon E5620, 4 CPU, 16 GiB RAM, stockage 276 Go utiles (RAID1, 2 disques), carte DRAC
• blectre : à peu près identique à vlan, débranché pour l'instant le temps qu'on décide quoi en faire et de remplacer une batterie de contrôleur RAID

L'entreprise Bearstech nous les héberge gracieusement ; elle les a installés dans le datacenter Iliad DC2 (tandis que les deux précédents zobe et gruik sont hébergés par la Fondation Free, merci à eux).

Merci à Bearstech pour l'hébergement, et merci à ses deux employés qui ont géré la récupération.

• le site Musical Artifacts est un site sans pub aidant à la diffusion de morceaux musicaux sous CC By Sa 4.0. lfzawacki a signalé dans une entrée de forum que Musical Artifacts utilise désormais l'API OAuth2 de LinuxFr.org (parmi d'autres) pour son authentification. (Une autre utilisation connue concerne la tribune).

À l’occasion d’un passage au datacenter pour récupérer les disques de l’ancien serveur qui part au recyclage, et pour finir une migration système (avancée de deux versions de Debian dans la foulée), j’ai eu l’occasion de prendre des photos des serveurs LinuxFr.org restants, pour compléter la galerie photos.

D’abord un petit résumé de l’historique et, dans la seconde partie de la dépêche, les photos et caractéristiques détaillées :

• 1998 : un boîtier tour avec un 486 DX4 100 MHz, baptisé blob ;
• 2000 : arrivée de deux VA Linux bi‐P3 500 MHz, baptisés zobe et prout ;
• 2003 : arrivée d’un HP Netserver LT 6000 hexa‐Xeon 700 MHz, baptisé trogood. Merci à HP. Mythique panne en octobre 2007, avec horloge bouclant toutes les 5 secondes ;
• 2007 : arrivée d’un Dell PowerEdge 2950 (2U), baptisé zobe en hommage et par flemme, merci à Fotovista ;
• 2011 : arrivée d’un Dell PowerEdge R210, pas encore baptisé, merci à la fondation Free.