Le personnel de la Culture, nouvelle victime des relations privilégiées entre Microsoft et l’État français ?

Le site BFM business a eu connaissance d’une lettre interne de Mme la ministre de la Culture et de la Communication, Audrey Azoulay, destinée au personnel de son ministère, signifiant, entre autres, sa volonté d’investir deux millions d’euros « pour améliorer la bureautique et les systèmes d’information relatifs aux ressources humaines pour qu’enfin, tout le monde travaille avec les mêmes logiciels ».

Cette intention est parfaitement légitime et louable : une telle enveloppe, en partie investie dans un projet collaboratif et libre tel que LibreOffice1, quatre ans après la circulaire du Premier ministre Jean-Marc Ayrault sur l’usage des logiciels libres et un mois après la promulgation d’une loi « encourageant » l’usage du logiciel libre, serait une décision raisonnable, avisée et cohérente.

Seulement, selon la source de BFM business, le choix du ministère de la Culture serait de basculer l’ensemble de la bureautique sous Microsoft Office. Cette décision constituerait un revirement de la stratégie bureautique au sein de ce ministère. Décision atterrante, notamment pour la grande majorité d’agents qui utilisent depuis des années une suite bureautique libre. Mais décision qui serait conforme aux relations privilégiées que l’État entretient avec la firme américaine. Ainsi, après la Défense avec l’Open Bar, l’Éducation nationale avec un très discutable partenariat, Microsoft s’offrirait-t-elle la Culture ?

Nous souhaitons donc que Madame la Ministre s’exprime rapidement sur le sujet. Si cette information s’avére exacte, nous sommes curieux de connaître le contenu de l’appel d’offres, toujours pas diffusé au bulletin officiel des annonces des marchés publics ce mardi 8 novembre, ou à défaut le nouveau tour de passe-passe trouvé par Microsoft et l’État pour contourner, encore une fois, le code des marchés publics.

Source april.org

Publié dans Uncategorized | Tagué , , | Laisser un commentaire

Mozilla va bloquer certains sites

Mozilla va bloquer les certificats Diffie-Hellman avec des clés de chiffrement inférieures à 1023 bits.

Mozilla vient d’annoncer que le navigateur Firefox va dorénavant bloquer certains sites web. La cause ? Un certificat de chiffrement qui ne serait pas assez sécurisé. C’est le protocole Diffie-Hellman qui est visé, principalement celui utilisant des clés inférieures à 1023 bits. Des chercheurs avaient déjà démontré des failles dans sa sécurité il y a plus d’un an avec la faille Logjam. Mais certains sites continuent tout de même à l’utiliser, dont 7000 parmi les 140 000 les plus visités d’après ComputerWorld. Ceux-ci seront donc bloqués et Firefox affichera un message d’erreur : « ssl_error_weak_server_ephemeral_dh_key ».

Firefox est le premier actuellement à bloquer ces sites, mais certains concurrents devraient certainement lui emboîter le pas prochainement.

Liens :

L’annonce de Mozilla
L’analyse de ComputerWorld

Source toolinux.com

Publié dans Uncategorized | Tagué , , | Laisser un commentaire

Firefox 49 disponible : Electrolysis s’étend, Hello disparait

image dediée

Mozilla vient de publier la version 49 de Firefox. Elle comprend de nombreux changements et résout de sérieux problèmes, dont une faille critique signalée récemment. Elle supprime en outre Hello et étend Electrolysis, l’architecture multiprocessus de Firefox.

Electrolysis, ou e10s, est la séparation des processus au sein de Firefox. Jusqu’à présent, le navigateur n’en avait qu’un seul, dans lequel transitaient tous les calculs. Avec Electrolysis, tout ce qui touche au rendu des pages web est calculé à part, les éventuels blocages n’affectant alors plus l’interface. À la clé, des gains importants pour la réactivité générale (pas pour le chargement des pages), et une généralisation des processus séparés pour chaque extension. Il n’est par contre pas prévu de créer un processus par onglet, à l’instar de ce que font Chrome et Edge.

Firefox 48 a été la première version à activer Electrolysis chez une partie des utilisateurs. Firefox 49 va un peu loin, en laissant activée la fonctionnalité en présence d’un petit nombre d’extensions dont la compatibilité a été testée. Pour avoir Electrolysis, il fallait en effet qu’aucune extension ne soit présente, ce que Mozilla appelait la « population idéale » pendant la phase de test. Sur le nouvel échantillon, environ une personne sur deux devrait avoir Electrolysis.

Goodbye Hello

Outre ce changement important, Firefox 49 se débarrasse de Hello, qui regroupait des outils de communication. Des voix s’étaient élevées pour signaler une dérive dans l’évolution, qui perdait son statut de simple navigateur extensible pour devenir une trousse à outils plus complète. Sans doute une décision prise après un point sur les priorités de développement, les travaux restant nombreux.

Des efforts particuliers ont été faits sur les performances de Firefox sur les systèmes disposant des instructions SSE3 dans le processeur, mais sans pour autant avoir d’accélération matérielle. Un constat vrai uniquement pour les versions Windows et macOS. Pour les vidéos par contre, l’amélioration devrait être ressentie aussi sur Linux. Sur macOS, on notera également une amélioration de la lisibilité des polices.

Le mode Lecture se met à parler

Le mode Lecture s’enrichit de deux nouveautés. Les utilisateurs ont d’abord plus de choix dans son paramétrage, en pouvant par exemple modifier l’espacement des lignes ou leur longueur. D’autre part, un texte peut maintenant être dicté par le moteur de synthèse vocale intégré sur le système correspondant, le lien se faisant via l’API Web Speech. Une petite icône en forme d’onde sonore est disponible à gauche et permet de changer notamment la voix et surtout la vitesse de lecture. Dans notre test, la voix butait cependant sur les apostrophes (sous Windows 10).

firefox 49

Entre autres nouveautés, un changement important est intervenu dans le gestionnaire de mots de passe intégré dans Firefox. Il peut désormais réutiliser ceux stockés via des sessions HTTP dans des sessions HTTPS. Une modification qui devrait être utile, selon Mozilla, pour mieux gérer la vague de sites profitant de Let’s Encrypt.

Trois anciennes versions de macOS ne sont plus prises en charge

Côté support, signalons une évolution importante. La prise en charge des versions 10.6, 10.7 et 10.8 de macOS disparaît, soit Snow Leopard, Lion et Mountain Lion. Sous Windows, le navigateur exige maintenant au moins un processeur possédant les instructions SSE2, arrivées initialement avec les Pentium 4. Enfin, Firefox 49 corrige plusieurs failles de sécurité, dont celle critique que nous avions évoquée hier.

Parallèlement, une nouvelle mouture pour Android a été mise à disposition. Elle reprend une partie des modifications apportées par la version classique et ajoute un bonus : la mise en cache automatique des pages récentes visitées, pour une consultation hors-ligne ultérieure. À la différence de Chrome cependant, on ne peut pas choisir quelles pages on souhaite précisément sauvegarder pour plus tard.

Comme d’habitude, l’arrivée d’une nouvelle version se fera de manière transparente chez ceux qui ont déjà Firefox. Pour une nouvelle installation ou pour simplement avoir l’installeur dans un coin, il suffira de cliquer sur l’un des liens suivants :

Source nextinpact.com

Publié dans Uncategorized | Tagué , , | Laisser un commentaire

Sous Linux, Firefox 49 permettra d’utiliser Netflix sans plugin

icones_02265.png

Si Firefox permet la lecture des flux Netflix sans plugin depuis quelques versions sous Windows et macOS, Linux était jusqu’à présent laissé de côté. Le manque sera comblé avec la prochaine version 49, avec le recours au même DRM Widevine que pour les autres plateformes.

Depuis que Mozilla se sert du DRM de Google pour son navigateur, les utilisateurs sous Windows et macOS peuvent se servir de Netflix sans recourir à l’ancien plugin Silverlight. Bien que cette technologie de Microsoft soit toujours supportée, la volonté de beaucoup est désormais de se débarrasser complètement de tous ces modules binaires sur lesquels les navigateurs n’ont que peu de prise, à moins de les isoler complètement, comme Chrome et Edge le font avec Flash.

Mais si Widevine permettait effectivement l’abandon de Silverlight, les utilisateurs de Firefox sous Linux ne bénéficiaient pas du même traitement. Un problème loin de concerner uniquement le service de SVOD, comme nous avions pu le voir dans le cas de Molotov. La situation va évoluer avec Firefox 49, qui intègrera le même DRM. Mozilla n’a guère le choix : l’arrêt complet des plugins utilisant le très vieux protocole NPAPI ne peut pas laisser des utilisateurs sur le carreau.

La situation sera exactement la même que pour les deux autres systèmes. Widevine ne se chargera que si un contenu spécifique est détecté, la question de son exécution étant la première fois posée à l’utilisateur. Les éventuels soucis seront eux aussi les mêmes : il n’est pas dit que Netflix et Amazon Video (lui aussi lisible grâce à Widevine) soient utilisables immédiatement à la sortie de Firefox 49. Il faudra peut-être attendre que les deux services autorisent « manuellement » cette version précise du navigateur.

Reste évidemment la question éthique de ce changement, que les utilisateurs devront résoudre par eux-mêmes si elle leur importe. Certains verront d’un très mauvais œil l’inclusion dans le code d’un projet open source une partie binaire dédiée à la gestion de verrous numériques.

Source nextinpact.com

Publié dans Uncategorized | Tagué , , , | Laisser un commentaire

Sécurité : Rust s’invite dans le multimédia de Firefox 48

Rust, le langage de programmation de nouvelle génération de Mozilla, arrive dans Firefox. À la clé, une meilleure sécurité.

Firefox 48 proposera le premier composant écrit avec le langage de programmation Rust. Il se chargera de gérer les documents multimédias affichés par la version desktop du navigateur web.

Rappelons que Rust se veut une alternative au classique C++, capable de faciliter la mise en place de code exploitant tous les cœurs d’un processeur, et en mesure d’améliorer la sécurité des applications, via des techniques empêchant les dépassements de tampon et autres erreurs liées à la gestion de la mémoire vive.

1,1 milliard de vidéos déjà lues avec succès

« Chaque fois qu’un navigateur web joue une vidéo apparemment inoffensive, il lit des données livrées dans un format complexe et créé par quelqu’un que vous ne connaissez pas. Et il se trouve que ces formats de médias sont connus pour avoir été utilisés pour tromper les décodeurs en exposant des failles de sécurité qui exploitent les bugs de gestion de la mémoire présents dans les navigateurs web », explique Dave Herman, chercheur principal et directeur de la stratégie au sein de Mozilla Research.

Avec Rust, ces problèmes potentiels s’envolent, sans qu’il soit nécessaire d’utiliser des techniques comme l’ajout d’un bac à sable à l’application. Dave Herman note que le code Rust propose des résultats identiques à ceux obtenus en C++. Les données de télémétrie de la version de test de Firefox 48 montrent que sur plus d’un milliard de lectures de vidéos en MP4, toutes ont été décodées avec succès par ce nouveau composant.

Il est donc déclaré bon pour le service et sera présent dans la mouture définitive de Firefox 48, dont la sortie est programmée pour le 2 août 2016.

Rust 1.10 livré aux développeurs

Sur le front du langage de programmation Rust, une nouvelle version vient d’être présentée, la 1.10. Avec 1276 correctifs intégrés, pour plus de stabilité et de performances.

Quelques nouveautés sont également de la partie. Une option permet de stopper l’application lorsqu’un évènement panic! est rencontré. « Rappelez-vous que panic! est réservé aux problèmes inattendus, rappellent les développeurs. Pour de nombreuses applications, avorter est alors un choix raisonnable. Avec un abandon, moins de code est généré, ce qui signifie que le binaire est plus petit et le temps de compilation plus court. » Le poids du code généré et le temps de compilation sont tous deux réduits d’environ 10 % grâce à cette option.

Autre avancée, le type cdylib, un format de librairie qui permettra de faciliter la création de code Rust destiné à être utilisé par un autre langage de programmation. Un élément qui favorisera la réécriture de pans de code C++ en Rust et qui devrait donc rendre de grands services aux développeurs de Firefox.

Rappelons que Rust 1.0 avait été présenté mi-mai 2015. Voir à ce propos notre précédent article « Rust 1.0 : le langage de programmation des projets critiques ».

Source silicon.fr

Publié dans Uncategorized | Tagué , , | Laisser un commentaire

Tor, visé par des relais-espions ?

Une étude publiée par deux chercheurs vient remettre en cause l’anonymat conféré par le réseau Tor. Selon l’analyse menée par les auteurs du document, plus d’une centaine de relais-espions chercheraient à activement cartographier les « services cachés » présents sur le réseau.

La DefCon approche et avec elle, les chercheurs en cybersécurité commencent à présenter leurs résultats de recherches avec un peu d’avance. L’un des sujets fréquemment traités à l’occasion de cette conférence sur la cybersécurité est celui de la sécurité du réseau Tor, ce protocole web ayant recours à des outils de chiffrement et d’anonymisation des utilisateurs. Celui-ci a connu plusieurs attaques d’ampleur contre ses systèmes d’anonymisation, mais deux chercheurs américains soupçonnent une nouvelle attaque exploitant des relais-espions.

Guevara Noubir et Amirali Sanatinia présenteront les résultats détaillés de leurs analyses lors de leur conférence prévue à l’occasion de la DefCon, mais ont déjà expliqué une partie de leurs conclusions au site américain MotherBoard. Ces deux chercheurs ont déployé des services cachés sur Tor sous la forme de honeypot afin de détecter d’éventuelles tentatives de percer à jour ces services.

Ce réseau leur a permis de détecter l’existence d’une centaine de relais Tor jugés malicieux : ceux-ci ne se contentent pas en effet de rediriger simplement le trafic, mais sont configurés pour analyser en profondeur les services cachés qu’ils détectent sur le réseau. Ces relais disposent du flag HSdir, qui est utilisé par plus de 3000 relais Tor pour indiquer qu’ils possèdent des informations sur les services cachés et sont en mesure de rediriger les utilisateurs vers ceux-ci. Correctement configurés, ces relais ne sont pas censés collecter de données, mais certains d’entre eux ne jouent pas le jeu.

Relais peu fair play

Dans l’exemple pris par les chercheurs, l’adresse exacte de leurs services cachés restait entièrement confidentielle. En théorie, ces services n’auraient donc pas dû recevoir de visites, mais les chercheurs ont détecté plusieurs tentatives de connexions et estiment qu’environ 110 relais Tor ont été configurés afin de détecter et cartographier les services cachés de ce type.

Ces relais malicieux ne se contentent pas de répertorier les services qu’ils découvrent, mais certains en profitent pour scanner les services afin de découvrir d’éventuelles vulnérabilités dans les sites. Les chercheurs expliquent également que la majorité de ces relais-espions semblent être situés aux États Unis, en Allemagne et en France ainsi que dans d’autres pays européens.

La question des relais-espions n’est pas nouvelle pour Tor : ce type d’attaque est connue depuis 2014 et avait déjà fait l’objet de plusieurs présentations détaillant la façon dont ces machines pouvaient être utilisées pour briser l’anonymat offert par le réseau en oignon. L’étude menée par les chercheurs de l’université Northeastern de Boston vient donc montrer que cette technique est activement utilisée par certains acteurs connectés au réseau.

Les développeurs de Tor expliquent de leur côté connaître ce problème et travaillent activement à développer une nouvelle architecture pour le réseau en oignon afin de couper court à ce type d’attaques.

Source zdnet.fr

Publié dans Uncategorized | Tagué , | Laisser un commentaire

Servo de Mozilla arrive en test

Mozilla en parlait depuis plusieurs mois. Son navigateur de « nouvelle génération » arrive enfin, pour l’instant en version de test.

Le nouveau Firefox se dévoile petit à petit avec cette version démo qui allie le moteur de rendu Servo à l’interface Browser.html.

On ne compte plus les améliorations au rendez-vous. Cette nouvelle mouture de Firefox tire mieux profit des systèmes multi-cœurs, ce qui améliore grandement ses performances et l’utilisation du langage Rust permet d’améliorer sa sécurité.

Même si tout n’est pas encore opérationnel, l’équipe de Firefox a souhaité publier rapidement afin d’en faire profiter le public. Toujours en test donc, cette version est disponible pour Linux et Mac OS X, pas encore pour Windows ni Android.

Pour la version Android, il reste quelques bugs important encore, alors que pour Windows, la version devrait être disponible assez rapidement.

Liens :

L’annonce
Téléchargement
La page de Servo

Source toolinux.com

Publié dans Uncategorized | Tagué , | Laisser un commentaire