Souvent, lorsque l'on effectue un achat informatique (PC du bureau, carte graphique, ordinateur portable...), on a le réflexe de se constituer « une machine de guerre », métaphore qui signifie que l'on a opté pour un matériel très performant. Après tout, si on ne renouvelle pas très souvent son matériel et que l'on souhaite faire tourner des jeux vidéos par nature exigeants en ressources matérielles, il faut voir loin et s'assurer que l'on aura les performances suffisantes pour les jeux et les années à venir.

Si ce raisonnement se vérifie certainement encore aujourd'hui pour les jeux vidéos, toujours plus exigeants pour appâter le chaland immerger le joueur, il est plus difficile à défendre pour la plupart des autres usages, de la consultation de sites Web au montage vidéo en passant par la bureautique. Pour ces usage, il y a longtemps que la performance requise est atteinte (et dépassée), et pour peu que les logiciels soient optimisés il n'y a pas de raison que ça change (même dans le cas d'un montage vidéo HD par exemple).

C'est ainsi qu'il y a moins d'un an ½ j'ai opté pour un processeur seulement dual core avec puce graphique intégrée (un Intel Core i3-3225, soit un processeur de la famille Ivy Bridge incluant un cœur graphique HD Graphics 4000 – un « Gen7 » dans la nomenclature d'Intel – pour environ 140€ à l'époque), très largement suffisant pour les usages cités à l'exclusion sans doute des « gros » jeux vidéos (je ne joue par sur PC mais sur console).

Du coup si le critère pertinent n'est plus la performance, d'autres critères d'importance deviennent plus visibles, telle la possibilité pour le matériel de tourner avec des logiciels libres. Intégralement.

Viser un système d'exploitation libre

Je l'ai déjà écrit dans ces colonnes, le premier réflexe à adopter lors d'un achat matériel et de s'assurer de sa bonne prise en charge native par le noyau Linux. Cela vous évitera bien des tâtonnements lors de l'installation.

Pouvoir faire tourner une distribution GNU/Linux sur son PC sans recours à des pilotes privateurs est non seulement une économie d'emmerdes et un gage de longévité de matériel mais aussi une grande satisfaction intellectuelle : votre système vous appartient, en toute transparence, sans rien vous imposer (les décisions des développeurs sont nécessairement prises dans l’intérêt des utilisateurs puisque ces derniers auraient tôt fait de forker le logiciel pour en purger les anti-fonctionnalités, c-a-d les fonctionnalités qui répondent à d'autres intérêts que ceux des utilisateurs. C'est ainsi qu'avec VLC vous pouvez passer les pubs, avertissements et menaces de vos galettes DVD, ce que votre lecteur de DVD de salon vous empêche de faire alors qu'il en est techniquement parfaitement capable).

Rappelons simplement à ce stade que le noyau Linux contient des blobs, c'est à dire des pilotes privateurs dont seule la redistribution est autorisée. Ceux-ci figurent dans un répertoire séparé des sources afin de bien les identifier. Debian, par défaut, utilise dorénavant une version du noyau nettoyée de toutes ces parties non-libres.

Vous l'avez compris, l'optimum est alors que votre matériel fonctionne nativement avec une version entièrement libre du noyau Linux.

Viser un logiciel d'amorçage libre

Pourtant, rappelons que techniquement le système d'exploitation et son noyau sont lancés après un autre logiciel qui a potentiellement la main sur le système d'exploitation : le BIOS – ou l'UEFI, son successeur désigné par l'industrie.

Traditionnellement les logiciels d'amorçage qui équipent les matériels vendus ne sont pas libres. C'est la raison pour laquelle Richard Stallman, le père des logiciels libres, utilise un vieil ordinateur portable Lemote Yeeloong : celui-ci fonctionne avec un logiciel d'amorçage libre.

Le projet Coreboot a justement l'objectif de produire un logiciel d'amorçage libre mais, ayant des moyens humains et financiers limités, le nombre de matériels pris en charge reste relativement restreint. Il reçoit la collaboration d'AMD, et récemment Google a participé au développement pour en doter ses Chromebooks équipés de processeurs Intel Sandy Bridge et suivants (Ivy Bridge, Haswell).

Techniquement, Coreboot propose une solution séduisante : il réduit le temps de démarrage de la machine au minimum en évitant les vérifications et initialisations qui font doublon avec celles du noyau Linux.

Politiquement, il permet à l'utilisateur de s'assurer qu'il contrôle bien sa machine puisque cette dernière n'exécute que des logiciels libres.

Si ma machine de bureau fonctionne avec un noyau Linux entièrement libre, elle n'est hélas pas prise en charge par Coreboot. En revanche il est possible d'acheter des ordinateurs portables pris en charge par Coreboot.

À noter que, de la même façon qu'avec le noyau Linux, le logiciel Coreboot contient un répertoire avec des blobs, et que l'optimum est de choisir un matériel ne nécessitant pas ces blobs (pas simple).

Ainsi, bien que le département graphique d'Intel soit très orienté open source (Intel développe les pilotes Linux pour ses puces directement en open source en même temps qu'il en publie la documentation technique), ce n'est pas le cas de tous les départements de cette société. De fait, les plateformes Intel Sandy Bridge et Ivy Bridge nécessitent un firmware MEI non libre, que l'on retrouve parmi les blobs de Coreboot, seulement autorisé à le redistribuer tel quel. De ce point de vue il semblerait qu'AMD soit plus ouvert.

D'ailleurs la FSF vous invite à écrire à Intel pour lui demander de lancer des portables avec un BIOS libre pour commencer.

La FSF précise à ce sujet :

The most uncooperative company is Intel, which has started a sham "open source" BIOS project. The software consists of all the unimportant parts of a BIOS, without the hard parts. It won't run, and doesn't bring us any closer to a BIOS that does run. It is just a distraction. By contrast, AMD has been cooperating by releasing major chunks of their BIOS source code and making their technical experts available.

Ce qui donne en français :

La société la moins coopérative est Intel, qui a commencé un projet bidon de BIOS « open source ». Le logiciel regroupe toutes les parties sans intérêt du BIOS, sans les parties importantes. Il ne fonctionne pas et ne nous aide en rien à obtenir un BIOS fonctionnel. Il s'agit juste d'une distraction. Au contraire, AMD s'est montré coopératif en publiant des gros morceaux du code source de leur BIOS et en permettant à ses experts techniques de nous aider.

En pratique, j'achète quoi ?

Sur libre.thinkpenguin.com par exemple, vous pouvez acheter des portables fonctionnant avec les distributions GNU/Linux. À vérifier cependant si ceux-ci fonctionnent avec un noyau Linux entièrement libre comme c'est le cas de celui des distributions Debian, BLAG Linux and GNU, Dragora, Dynebolic, gNewSense, Musix GNU+Linux, Parabola, Ututo et Trisquel.

Par ailleurs – et surtout – GNU.org tient une liste de sociétés proposant des matériels compatibles. On y trouve notamment un lien vers la boutique gluglug.org qui propose des portables équipées de Coreboot, comme le Gluglug X60 (un Lenovo ThinkPad X60 remis à neuf avec une carte WiFi moderne et une nouvelle batterie de 5200mAh, livré avec ou sans station d'accueil) : il s'agit tout simplement du premier portable certifié par la FSF comme fonctionnant sans aucun blob, donc avec des logiciels libres de A à Z !

Original post of Antistress.Votez pour ce billet sur Planet Libre.

Lolix est LE site francophone d’offres d’emploi tournant autour du Logiciel Libre. Un site incontournable, au style un peu vieillot certes, mais qui a contenté beaucoup de geeks, de nerds, de barbus, reconnaissants de trouver des entreprises où le libre n’est pas qu’un terme marketing.

Tout récemment, le 5 décembre, Lolix est tombé, après 15 ans de bons et loyaux services. Thom a alors averti LinuxFr dans un journal sobrement intitulé « Lolix » et qui, s’il n’a pas suscité de montagnes de commentaires, a toutefois affolé un peu les moules sur leur bouchot.

À la suite de cela, Rodolphe Quiédeville, l’auteur/mainteneur/modérateur de Lolix a reçu de nombreuses de marques de soutien l’encourageant à continuer avec une campagne de financement participatif. Voyons un peu ce qu’il a à nous raconter de cette histoire…

Bonjour Rodolphe, tu peux un peu te présenter à nos lecteurs ? Car si j’ai appris récemment que c’était toi qui était derrière Lolix et que tu t’es un peu dévoilé dans ton article de blog « Lolix de 1998 à 2013 », on ne peut pas dire qu’on te connaît beaucoup.

On peut dire que je ne suis pas un jeune gnou de la dernière portée, je suis admin/sys tendance DevOps comme on dit aujourd’hui. Je travaille dans l’info depuis 97 et j’ai vite migré vers le libre en 1998 en entrant chez Ecila.
Dans mes activités libristes je suis plutôt tendance Gnu et publie mes travaux en GPLv3, aprilien non pas de la première heure mais fidèle tout de même depuis le siècle dernier. Outre Lolix j’ai aussi été à l’origine de Dolibarr, qui est est né sur le backoffice de Lolix, seule solution à l’époque pour émettre des factures et faire un peu de compta de logiciel libre.
Aujourd’hui je suis Freelance et travaille essentiellement sur des prestations de test de charge de sites webs avec Tsung, en parallèle de missions orientées cartographie. Je contribue tant que faire se peut par des patchs aux outils que j’utilise, ma principale contribution en ce moment étant orientée autour d’OpenStreetMap en tant que contributeur données.

Je vais essayer de ne pas te faire répéter le contenu de ton billet — j’encourage nos lecteurs à aller le lire. Lolix, codé en 1998… Les frameworks ne devaient pas être légion à l’époque. Tu as tout fait à la main ? Ça t’a pris combien de temps ?

Je n’ai pas souvenir qu’il en existait un, en fait il en existait quasi autant que de projets. On a bien essayé de me refourguer celui de LinuxFr à l’époque mais j’ai résisté et oui j’ai tout codé seul, aucune idée du temps que cela a pris. J’ai toujours été adepte du release soon, release often, chaque nouvelle fonctionnalité codée était mise aussitôt en ligne, et je n’ai jamais tenu de compte sur mes heures de travail.

En 15 ans, il y a eu combien d’offres d’emploi déposées ? Combien de CV ? Tu aurais un ordre d’idée ?

Là par contre j’ai des stats, dans la base à ce jour on est à 18639 offres et 17488 CV. Avec respectivement 12 millions et 1,5 millions de consultations depuis le début des stats que j’ai commencé à gérer en 2000.

Tu dis que tu as lu toutes les offres d’emploi. Toutes ? Vraiment ? Ça te prenait combien de temps par jour ?

Oui ça c’est le principe de base, aucune offre ne passe en ligne sans être modérée, ce n’est pas trés fastidieux, avec le temps on prend vite des réflexes et en lecture diagonale tu vois tout de suite si l’offre est cohérente ou pas. En moyenne je n’y passe pas plus de 15 minutes par jour je pense.

Il n’y avait que toi qui modérait les annonces ? Pourquoi ne pas avoir posté une petite annonce de recrutement sur LinuxFr ou autre ?

Oui, Lolix contrairement à Dolibarr est un projet que j’ai plus incarné, j’aurai pu évidemment laisser la modération ouverte (ce qui va probablement évoluer) mais j’ai toujours eu peur de voir Lolix dévier de sa route. Un temps j’avais lancé également joinux.com pour les offres un peu plus borderline, mais cela n’a pas été convaincant, cela brouillait un peu la lecture.

Est-ce qu’il y avait une communauté autour de Lolix quand même ? Un lieu d’échange comme un forum, ou même juste quelques personnes qui venaient boire une bière et coder un peu ?

Non, par ma faute probablement je n’ai jamais fait d’effort pour créer cela. Il faut dire aussi qu’en 2000 avec Lolix SA j’ai essayé de développer une offre commerciale pour générer un revenu, cela n’a pas incité les contributeurs à rejoindre le projet. Et après la fermeture de l’entreprise j’ai été occupé à d’autres activités.

Je crois parler pour bon nombre d’entre nous qui te devons un emploi ou un stage si je dis que l’annonce de la fermeture de Lolix a été un choc. Pour moi, c’était un site qui traverserait vents et marées la tête haute, sans frémir. Est-ce que tu t’attendais un peu à ce que sa fermeture fasse des vagues ?

Pas à cette hauteur c’est évident, mais je ne suis pas naïf au point de penser que cela aurait pu passer inaperçu.

Parlons un peu des vagues. Ce sont « toutes les marques de soutien » qui t’ont incité à faire une campagne de financement participatif pour te permettre de recoder Lolix (nom de code : Lolyx). Tu t’attendais à ça ? Il y en avait tant que ça ?

Non pas autant c’est évident et surtout pas si vite, si la campagne a réussi aussi vite c’est parce qu’elle a aussi été très bien relayée. Ce qui a été également très plaisant c’est de retrouver des gens que j’avais un peu perdu de vue depuis les années.

La campagne de financement, qui a duré 42 jours a atteint le but de 4 200€ en 24h chrono ! C’est pas aussi geek que 42h (même si on peut écrire 42 avec 24), mais c’est classe ! Comment as-tu réagi en apprenant ça ?

Je sautais partout tout simplement :-)

Soupçonnais-tu une telle communauté invisible^[1] derrière Lolix ?

Non, je savais que Lolix était important pour les gens qui l’utilisent régulièrement mais je ne pensais pas que le site pouvait fédérer autant de gens. J’ai été assez étonné aussi de voir une telle diversité dans les gens qui ont participé à la campagne, on n’est pas encore dans un registre de 7 à 77 ans mais on s’en approche.

Pour le coup, tu pourrais peut-être utiliser cette communauté pour t’aider dans la modération des offres d’emploi, non ? Ou le code ?

Pour le code bien évidemment, le code de Lolix a toujours été libre et publié sur Savannah, seulement avec le temps je n’ai plus mis à jour le repo, et ça c’est mal. Lolyx est dès à présent ouvert en tant que projet public sur Gitlab et tout un chacun est libre d’y contribuer.
Pour la modération des offres c’est à l’étude, j’avoue que l’enthousiasme de la campagne m’a donné cette idée d’ouvrir la modération des offres, formellement je ne sais pas encore comment mais je sais déjà que les gens ayant participé au financement auront un traitement de faveur sur ce point.

Est-ce que tu vas ajouter des trucs différents dans la nouvelle version ? Et pourquoi utiliser Python ? Il y a quand même mieux comme langage. Perl par exemple^[2].

Oui il y aura des nouveautés, je veux cette nouvelle version déjà plus en phase avec ce qui se fait aujourd’hui en terme d‘API, de responsive design, ou d’OpenData, et il y aura surtout tout ce que j’ai pas encore pensé et qui sera apporté par les contributeurs ingénieux. Après pourquoi Python, parce que Django^[3].

Un dernier mot ?

15 ans de nouvelles aventures ça fait frémir un peu, mais 15 ans de nouvelles rencontres ça fait rêver !

À l’heure de la mise au propre de cette interview sur le Framablog, la campagne de financement est terminée et a généré plus de 200% de la somme demandée.Toutes nos félicitations à Rodolphe, à Lolix et à tous ceux qui ont contribué à un tel succès !

Original post of Framablog.Votez pour ce billet sur Planet Libre.

Les atteintes à la vie privée et à la sécurité des données des internautes ont très souvent fait la une de l’actualité (y compris de l’actualité généraliste) en 2013. Les violations étaient dues aussi bien aux gouvernements qu’aux géants industriels du numérique.

Ces sujets sont au cœur des préoccupations de Mozilla aussi bien dans ses actions et prises de positions politiques (que nous verrons en leur temps) que dans la définition et l’implémentation de solutions logicielles pour protéger les internautes.

La sécurité en 2013

Frameworks de sécurité

En janvier, un article de Developpez.com basé sur un billet d’Yvan Boily, organisateur de la communauté sécurité, rapportait que Mozilla développait un framework gratuit de tests de sécurité pour le Web appelé Minion. Fin juillet, Yvan Boily sur le blog sécurité de Mozilla présentait Minion (en version 0.3), plateforme d’automatisation sécuritaire open source, et ses objectifs.

Le même jour, Michael Coates, directeur de l’assurance sécurité, sur le blog de Mozilla, en même temps qu’il présentait Minion, nous apprenait comment ils avaient collaboré avec Blackberry pour améliorer le framework de fuzzing Peach dans un billet intitulé Mozilla continue à construire le Web comme une plateforme pour la sécurité.

Fonctionnalités de sécurité dans Firefox

En août, Firefox 23 voyait l’arrivée du blocage du contenu mixte pour protéger des attaques de l’homme du milieu (man-in-the-middle) et des tentatives d’écoute. Fin septembre, Firefox 25 pour Android voyait lui aussi l’activation du blocage de contenu mixte. Concrètement, voir l’article de SUMO.

Toujours dans Firefox 23, les politiques CSP utilisant la syntaxe et la sémantique standard seront désormais forcées. Le standard CSP 1.0 permet aux développeurs Web d’avoir un plus grand contrôle sur leur contenu en les aidant à atténuer plusieurs risques de sécurité. En décembre, dans Firefox 26, l’implémentation de la politique de sécurité des contenus (CSP) supporte désormais plusieurs politiques, dont le cas d’à la fois une politique forcée et une politique uniquement d’envoi de rapports, conformément à la spécification.

En décembre, Firefox 26 comprenait la prise en charge de l’OCSP stapling, un mécanisme par lequel un site peut transmettre des informations de révocation de certificats aux visiteurs d’une manière qui préserve la vie privée et évolutive.

Firefox pour Android, depuis Firefox 18 sorti en janvier, dispose de la navigation sécurisée (protection contre le phishing et les malwares).

Primes pour les bogues

Le programme de prime pour les bogues de sécurité est toujours bien vivant et a aidé à résoudre une vulnérabilité de sécurité dans Persona, le mécanisme d’identification sécurisé pour le Web mis au point par Mozilla.

Tor Browser

Cet été, en août, la sécurité de Firefox a semblé être remise en cause dans les articles de presse qui ont rapporté que le FBI avait cassé l’anonymat du réseau TOR en s’appuyant sur une vulnérabilité de sécurité dans la version ESR de Firefox utilisée dans le Bundle Tor. Firefox 17 ESR avait pourtant été patché depuis juin 2013 par Mozilla. Même en ayant mis à jour le Tor Browser, le projet TOR conseillait, après bien sûr d’avoir mis à jour son navigateur, d’abandonner Windows et de désactiver le JavaScript.

Plugins

Les plugins sont un problème majeur de sécurité et de stabilité pour Firefox. Ces logiciels tiers permettent d’afficher des formats de contenu particuliers au sein des pages Web. Souvent relier à un logiciel extérieur (presque toujours propriétaire) installé sur le système de l’utilisateur, ces plugins affichent des jeux, des animations et des vidéos comme le très populaire Flash Player d’Adobe ou des applications complexes comme le très problématique Java d’Oracle. Voyez cette étude de Christian Sonne de fin mars : Plugins : utilisation, distribution et avenir dans Firefox.

Ces plugins (à ne pas confondre avec les extensions) sont grandement hors du contrôle du navigateur et de Mozilla. Mozilla maintient un service Web vérifiant si les plugins installés sont à jour, mais il n’est pas intégré au navigateur et est incapable de vérifier l’état de nombreux plugins. Mozilla doit s’en remettre aux systèmes de mise à jour des logiciels contrôlant ces plugins et à la bonne volonté de leur éditeur.

En avril, Vladan Djeric confirmait que les plugins étaient la cause numéro un des blocages de Firefox. Mozilla avait déjà pris des mesures importantes comme l’isolement des plugins dans des processus séparés depuis Firefox 3.6.4 ou la fonction Cliquer pour activer (click-to-play) avec liste de blocage des plugins (dans Firefox 17 fin 2012) qui combine contrôle par l’utilisateur et intervention à distance de Mozilla.

Au fil de l’année, Mozilla a navigué entre préservation du confort d’utilisation de Firefox et préservation de la sécurité de l’utilisateur. Fin janvier, ce sont les versions du plugin Adobe Flash obsolètes qui sont indiquées comme dangereuses par le Cliquer pour activer aux utilisateurs qui peuvent ensuite les réactiver explicitement. Le même jour, Michael Coates, directeur de l’assurance sécurité chez Mozilla, nous en disait plus sur les plans de Mozilla concernant la désactivation des plugins.

Depuis début avril et Firefox 20, quand un plugin se bloque pendant plus de 11 secondes, Firefox avertit l’utilisateur afin qu’il puisse redémarrer le plugin plutôt que de redémarrer le navigateur en entier. Firefox 23 a connu une simplification de l’interface de notification de l’installation des plugins. Résultat des expérimentations et des tests, Firefox 26 sorti en fin d’année suit plusieurs scénarios :

• Flash, le plugin ultra majoritaire, à jour sera activé par défaut (avec une icône des plugins dans la barre d’adresse permettant d’afficher l’interface du cliquer pour activer ce plugin avec un lien en savoir plus).
• Durant le développement de Firefox 26, Mozilla est revenu sur la décision de mettre par défaut tous les plugins, sauf la dernière version de Flash, en cliquer pour activer :
  

  Pour Firefox 26 et probablement 27, nous avons décidé de repousser le placement de tous les plugins sous ​​cliquer pour activer. Cela donnera à Tchad Weiner (NDT : directeur du marketing produit) une chance de définir une stratégie de liste blanche pour les éditeurs de plugins qui font une transition vers les technologies HTML5 mais ont besoin de temps supplémentaire pour achever cette transition. Donc pour l’instant, nous allons retourner l’état des plugins par défaut à activé et explicitement passer Java en cliquer pour activer. (Benjamin Smedberg)

• Java est en cliquer pour activer par défaut.
• Les versions obsolètes de Flash et des versions des plugins connues comme vulnérables sont en liste de blocage des plugins (voir plus haut) qui propose alors de les mettre à jour. L’utilisateur peut alors les activer par site en cliquant dans le panonceau appelable depuis la barre d’adresse.
• Les utilisateurs ayant installé l’extension idoine pourront les activer finement par élément.
• Les plugins sont blocables ou mettables en cliquer pour activer dans le gestionnaire de modules complémentaires (volet Plugins). L’état est mémorisé dans about:config sous des préférences en « plugin.state » pour empêcher la réactivation automatique du plugin.
• Dans le volet « Permissions » des « Informations sur la page » appelables depuis le menu contextuel, il est possible de changer les permissions par défaut, telles qu’elles sont dans le gestionnaire de module complémentaires, pour Toujours demander, Autoriser ou Bloquer chaque plugin.

Java tient une place particulière. Il est tellement utilisé pour infecter de nombreux utilisateurs que certains appellent à la fin de sa prise en charge dans Firefox (et ça devrait durer en 2014). Fin octobre, Mozilla a connu ce que Mike Kaply, spécialiste de la personnalisation de Firefox, a appelé la débâcle Java. Le 18, toutes les versions de Java ont été bloquées comme vulnérable par défaut dans Firefox via une mise à jour de la liste de blocage. Devant la protestation des utilisateurs de Java, le 23, le blocage comme vulnérable de la version à jour de Java a été annulé.

Enfin, comme le dit Benjamin Smedberg :

Les plugins étaient un important outil pour le prototypage et l’implémentation de nouvelles fonctionnalités telles que la vidéo et l’animation. Comme les navigateurs se sont perfectionnés, ce genre de fonctionnalités de développement peut exister directement dans le navigateur grâce à des technologies telles que WebGL, WebSockets, WebRTC et asm.js. Les projets de Mozilla tels que pdf.js et Shumway démontrent que les plugins peuvent être implémentés au sein de la plateforme Web.

En plus d’intégrer des fonctionnalités et standards de pointe qui peuvent être utilisées pour remplacer les fonctions dévolues auparavant aux plugins, Mozilla s’est engagé dans l’implémentation, en utilisant les technologies existantes comme HTML5 et JavaScript, de lecteurs intégrés des formats populaires restitués jusqu’alors par un plugin. Ainsi, Firefox 19 a inclus un lecteur de fichiers PDF intégré. Début octobre, le lecteur HTML5 de Flash, Shumway, a embarqué dans le codebase de Firefox : Shumway est mené par la communauté et soutenu par Mozilla. Notre objectif est de créer une plateforme Web polyvalente et basée sur les standards pour analyser et restituer les SWF. L’intégration à Firefox est une possibilité si l’expérience s’avère un succès.

Exposition

Réduction de l’empreinte

L’exposition des plugins installés sur le poste de l’utilisateur participe à son identification par le repérage et le pistage de ce que l’on appelle son empreinte. Fin novembre, dans Firefox 28 Nightly, désormais dans le canal Aurora, un patch a été incorporé pour dissimuler les plugins afin de limiter l’empreinte du navigateur. Ce problème de l’identification de l’utilisateur par son empreinte numérique est bien plus large que le repérage et le camouflage de ses plugins.

La navigation privée

La navigation privée est au nombre des fonctionnalités de sécurité et de préservation de la vie privée de Firefox. Début avril, Firefox 20 est sorti avec la navigation privée par fenêtre pour la version pour ordinateur et la navigation privée par onglet pour la version pour Android. Cette fonction ne vous rend pas anonyme sur Internet mais vous permet de ne pas laisser de trace de votre activité dans votre navigateur.

La vie privée en 2013

La vie privée en ligne a été centrale en 2013, faisant la une de la presse (même la presse généraliste). Les révélations « Snowden » ont touché les gouvernements – et en premier lieu celui du pays où sont installées MoFo, MoCo et la majorité des activités de Mozilla – et l’ensemble de ses principaux concurrents sur le marché des navigateurs et des systèmes d’exploitations mobiles. Mozilla a lutté au niveau politique (comme nous l’aborderons dans une prochaine partie de cette rétrospective) et dans son domaine du logiciel pour le respect de la vie privée des internautes – et pas uniquement de ses utilisateurs.

Reconnaissances

Fin janvier, Mozilla a été reconnue comme société Internet la plus digne de confiance pour la protection des renseignements personnels pour 2012 par l’institut Ponemon. En septembre, Forbes reconnaissait Mozilla comme une des entreprises qui respectent le mieux la vie privée.

Les cookies en 2013

Les crispations des publicitaires aux annonces de Mozilla sur le blocage des cookies tiers qui leur permettent de traquer l’activité des internautes à leur insu montrent la dépendance des publicitaires en ligne à ces pratiques.

Fin février, Mozilla a annoncé qu’il adopterait la politique pour les cookies de Safari pour Firefox 22 fin juin. Les réactions des publicitaires en ligne contre le blocage des cookies tiers par défaut dans Firefox ont été violentes. L’IAB Europe a critiqué la décision de Mozilla au nom de l’ouverture d’Internet. L’association de publicitaires IAB France accusait Mozilla de mettre en danger l’industrie de la publicité sur Internet et le droit au choix de l’internaute. Son président, Jérôme de Labriffe, estimait alors : Un acteur peut aussi prendre une décision unilatérale et prendre les internautes en otage. Si un acteur se le permet, il brise la neutralité du Net. L’Association des services internet communautaires (ASIC) qui regroupe des éditeurs de sites et des acteurs de la publicité s’est à son tour alarmée et a vu dans la décision de Mozilla une possible atteinte à la neutralité du Net, un risque financier pour les sites, voire à terme une remise en cause de la gratuité de certains services. Le vice-président de l’IAB, Mike Zaneis, a été jusqu’à évoquer une frappe nucléaire contre l’industrie de la publicité. En coulisses, certains ont vu aussi dans l’initiative de Mozilla la mainmise de Google, plus grande régie publicitaire du Web, dont dépend financièrement Mozilla.

Fort de soutiens comme celui de l’ISOC France qui voit dans la décision de Mozilla une mesure en faveur de l’internaute, Mozilla a réaffirmé ne pas chercher à tuer la publicité sur Internet et ne pas être des extrémistes anti-pub et a clarifié sa position sur ce sujet toujours en cours d’évaluation.

Ainsi, le 16 mai, Mozilla a retardé le blocage des cookies tiers par défaut dans Firefox. Dans Firefox 22 bêta, l’acceptation par défaut des seuls cookies tiers des sites déjà visités, était présente mais désactivée par défaut. Le 19 juin, Brendan Eich, CTO de Mozilla, a indiqué que le blocage des cookies traqueurs se ferait sur la
base de listes fournies par une branche de l’université de droit de Stanford en Californie en collaboration avec Opera, ce qui retardait de plusieurs mois l’implémentation d’une fonctionnalité dans ce domaine.

Les réactions enflammées des publicitaires ont alors redoublées au cours de l’été. En juillet, Randall Rothenberg, président de l’IAB, dans une longue tribune se demandait si Mozilla avait perdu ses valeurs. Au bord du délire, il accuse les « extrémistes » de Mozilla , en plus de vouloir créer des « oligopoles », de menacer l’écosystème d’Internet tout entier. Il dénonce encore la position autiste et la décision aveugle de Mozilla :

Peut-être pire encore est l’aveuglement de l’organisation en ce qui concerne son propre potentiel, puisque évoluant dans un cocon de techno-libertariens et d’élites universitaires qui croient en la liberté pour tous, tant qu’ils décident de la définition de cette liberté.

En août, la DAA s’est payée une pleine page dans Ad Age intitulée : empêcher Mozilla de détourner l’internet (voir aussi : Saviez vous que Mozilla est en train de détourner l’Internet ? par Glyn Moody).

En novembre, dans The Technology Chronicles, blog du SFGate, un représentant de l’Electronic Frontier Fondation accusait Mozilla d’avoir cédé à la pression de l’industrie publicitaire après un nouveau retard du blocage des cookies tiers par défaut dans Firefox. Mais il semble que Mozilla veuille adopter une approche plus globale du phénomène.

Lightbeam

Pourtant, fin octobre, Mozilla a relancé son extension montrant graphiquement aux utilisateurs de Firefox qui les traque sur le Web. L’outil de Mozilla appelé désormais « Lightbeam » leur révélera qui regarde par-dessus leur épaule sur le Web : Mozilla souhaite que les utilisateurs qui installent l’extension externalisent de façon ouverte leurs données afin de créer la première vue d’ensemble du pistage sur le Web, révélant les tiers les plus actifs. Voyez aussi la présentation d’Alex Fowler de Lightbeam pour Firefox : formation à la vie privée pour les utilisateurs et Open Data pour les éditeurs.

En 2013, depuis le lancement de Lightbeam pour Firefox, l’extension a été téléchargée presque un million de fois avec près de 500 000 utilisateurs quotidiens moyens.

Droit des marques contre l’espionnage

La gestion des cookies n’est pas la seule arme de Mozilla pour faire respecter la vie privée des internautes. En avril, Mozilla a envoyé une lettre de cease and desist à une société commerciale britannique qui vend des logiciels d’espionnage des citoyens à des États autoritaires en les faisant passer pour Firefox. Comme dans ce cas d’usage abusif de sa marque, Mozilla a déjà lutté contre les entreprises qui utilisent [ses] marques déposées pour amener les utilisateurs à télécharger des logiciels malveillants (malwares) livrant des informations personnelles ou faisant payer pour Firefox, parfois de façon très organisée et criminelle.

Do Not Track

L’échec des discussions sur la standardisation au W3C du Do Not Track, souvent mélangé dans la presse avec le blocage des cookies tiers, a sûrement déterminé Mozilla dans ses autres actions pour préserver la vie privée des internautes et, en particulier, des utilisateurs de Firefox et Firefox OS.

En parallèle des négociations au W3C, Mozilla a continué les développements autour du DNT. Début mai, Mozilla annonçait la mise à disposition du public d’un tableau de bord montrant le niveau d’adoption du DNT par les utilisateurs de Firefox. Après des tests tout le début de l’année, le 14 mai, dans Firefox 21 « Ne pas me pister » connaissait désormais trois états. La préférence réglée par défaut dans Firefox est désormais « Ne rien indiquer aux sites concernant mes préférences de pistage », tandis que l’utilisateur peut choisir explicitement d’indiquer aux sites Web qu’il ne souhaite pas être traqué ou qu’il choisisse de faire connaître à tous les sites Web qu’il souhaite être pisté pour, par exemple, bénéficier de publicités plus pertinentes.

En mai, Jonathan Mayer, rédacteur de la politique sur les cookies de Mozilla, éreinte les annonceurs et dit qu’ils refusent de négocier. Mi-juillet, Apple et Mozilla étaient très critiques contre les publicitaires dans le combat pour le « Do Not Track ». Au sein du groupe de standardisation du DNT au sein du W3C, une proposition dilatoire et floue des publicitaires était alors rejetée. Fin juillet, Jonathan Mayer démissionnait du groupe de travail Do Not Track du W3C à cause de l’enlisement irrémédiable des discussions qui n’en valaient pas la peine.

Fin octobre, The Register expliquait que le complot pour tuer le Do Not Track au W3C avait échoué d’une poignée de voix, que les publicitaires voulaient créer leur propre DNT et que les militants pour la vie privée avaient voté avec eux pour saborder le groupe de travail. Le même journal racontait début novembre comment le W3C avait rencontré son Waterloo à l’occasion de l’épreuve de force lors du vote sur le Do Not Track. Comment en était-on arrivé là ? C’est simple : l’argent. Et le mobile. À noter qu’Alex Fowler de Mozilla cité dans l’article s’était abstenu comme la majorité des membres du groupe de travail.

Personnalisation pour l’utilisateur

Voici peut-être la problématique qui pourrait répondre au contrôle par l’utilisateur pour ses données tout en bénéficiant d’une expérience utilisateur personnalisée. C’est ce que Tristan Nitot évoquait en juillet au moment du lancement d’une expérience de personnalisation pour l’utilisateur qui permet à ce dernier de communiquer ses sujets d’intérêts sur une base volontariste aux sites Web qu’il choisit.

En mai, Jay Sullivan, COO de Mozilla, écrivait sur le blog officiel de Mozilla un billet sur la personnalisation dans le respect. Il y donnait quelques exemples du travail que Mozilla fait pour explorer la personnalisation dans le respect : Persona (système d’identité pour le Web), Do Not Track (voir ci-dessus) et l’évaluation des politiques des cookies tiers – pour un meilleur équilibre entre publicités personnalisées et pistage des utilisateurs à travers le Web sans leur consentement.

Ce travail mené depuis plusieurs années devrait s’amplifier en 2014. En effet, fin novembre, Mozilla embauchait une vedette de la publicité numérique Darren Herman pour diriger une nouvelle unité des services de contenu (il rendra compte à Harvey Anderson, directeur des affaires juridiques ou à son successeur). Ces activités devraient développer les revenus de Mozilla dans les contenus et les services, rendant Mozilla moins dépendant de son partenaire mais néanmoins concurrent Google. Le nouveau positionnement de Mozilla qui place l’« intelligence » dans le navigateur, sous le contrôle de l’utilisateur, plutôt qu’en ligne, pourrait d’ailleurs l’opposer à ce géant protéiforme de la publicité en ligne.

D’aucuns appellent Mozilla à faire de Firefox LE navigateur centré sur la préservation de la vie privée de l’utilisateur. Firefox, le seul « grand » navigateur entièrement open source et dont vous pouvez tester l’intégrité, est régulièrement cité pour lutter au quotidien contre la surveillance publique et privée. Ce n’est pas par hasard si les navigateurs Tor Browser Bundle, basé sur une version modifiée de Firefox ESR, qui utilise le réseau ouvert TOR « en oignons », visant à protéger votre vie privée, vous défendre contre la surveillance des réseaux et l’analyse de trafic et le navigateur « anti-censure » de The Pirate Bay, lancé en août (basé sur Firefox 23 couplé à un client TOR, Vidalia) et dont il aura suffi de trois jours pour être téléchargé plus de 100 000 fois, qui permet à ses utilisateurs de passer outre les filtrages mis en place par leurs fournisseurs d’accès à internet et ainsi d’accéder aux sites bloqués, sont tous deux basés sur Firefox.

Et ce n’est pas fini…

Original post of mozillaZine-fr.Votez pour ce billet sur Planet Libre.

I-Nex est pour ceux qui ne le connaissent pas encore, un outil assez semblable à CPU-Z, qui permet d’obtenir une foule d’informations sur notre système et notre matériel. L’interface de l’application est divisée en catégories spécifiques, grâce auxquelles nous pouvons tout savoir (ou presque) sur nos CPU/GPU, les pilotes son, les disques dur, le système d’exploitation, l’état de la mémoire, du Swap, du réseau, sur le nombre de paquets installés, le noyau utilisé et j’en passe… I-Nex permet également de surveiller certains aspects de notre système en temps réel et de générer des rapports pouvant être exportés ensuite sur des services tels que Pastebin. Une nouvelle version d’I-Nex a été publiée récemment, embarquant son lot d’améliorations et pas mal de changements au niveau de l’interface utilisateur.

On notera pour commencer la prise en charge de nouveaux périphériques (processeurs, cartes réseau, cartes graphiques etc,) et de gros changements dans la section réseau, dont l’onglet a gagné pas mal de nouvelles entrées (vitesse de téléchargement, IP, MTU etc,). On notera également une meilleur reconnaissance de la distribution utilisée (avec un nouveau logo en prime), diverses optimisations situées sous le capot et pas mal de corrections de bugs rendant l’application globalement plus stable et plus performante.

Cette nouvelle version d’I-Nex a également bénéficié d’une attention tout particulière au niveau de l’interface utilisateur, qui affiche un look plus lissé gagnant ainsi en lisibilité et en couleurs. On notera l’apparition de nouvelles icônes pour les zones de fonctions, des blocs de texte plus propres et plus visibles, des onglets remaniés, des sections réorganisées (CPU, réseau, mémoire) et sans doute pas mal de choses que je n’ai pas encore remarqué (il est tard à l’heure où j’écris ces lignes :)).

Si vous utilisez la fonction Check pour connaître le nombre de paquets installés sur votre machine, vous aurez aussi une petite surprise.

Comme l’affichage du résultat peut prendre un certain temps, une partie de Pacman vous sera proposée histoire de vous occuper en attendant. Totalement inutile, mais tellement cool :)_-

Bref, cette nouvelle version d’I-Nex est plutôt réussie et si vous êtes un habitué de cette application les changements intervenus dans l’interface ne vous laisseront sans doute pas de marbre. C’est bien plus chaleureux qu’avant. Si vous voulez en savoir un peu plus ou tout simplement l’essayer, vous pouvez faire un tour sur la page Launchpad du projet, où vous trouverez les sources et les binaires (deb).

Si vous tournez sur Debian, Ubuntu et dérivés, vous pouvez également passer par le PPA suivant, à l’aide de ces quelques lignes de commande :

Installer I-Nex sur Debian, Ubuntu et dérivés :

sudo add-apt-repository ppa:nemh/gambas3
sudo add-apt-repository ppa:i-nex-development-team/stable
sudo apt-get update
sudo apt-get install i-nex

Amusez-vous bien.

source

Original post of La vache libre.Votez pour ce billet sur Planet Libre.

Je vous ai déjà parlé de pas mal de gestionnaires de fichiers dans l’étable dont certains, à l’image de Double Commander par exemple, étaient un brin exotiques. MadCommander est un autre de ces gestionnaires de fichiers, qui a l’avantage d’être multiplateformes et surtout, portable. Cela signifie qu’il n’a pas besoin d’être installé pour être utilisé et que vous serez en mesure de le lancer depuis n’importe quel support (une clé USB, un disque externe, un lecteur flash etc,). Si le fait qu’il soit en écrit Java ne vous rebute pas trop, nous allons voir tout de suite à quoi il ressemble.

La première chose que vous avez dû remarquer sur l’image d’illustration, c’est que MadCommander propose une vue à doubles panneaux. Ce mode de vue est très pratique pour travailler sur plusieurs fichiers en même temps, ou pour déplacer/copier rapidement des dossiers dans vos différents répertoires. La vue peut au choix être scindée horizontalement ou verticalement, comme le montre la capture ci-dessous.

Pour le reste et contrairement à d’autres softs du même style, les options de MadCommander restent assez limitées. On notera toutefois que vous serez en mesure de gérer des archives compressées et que vous pourrez ouvrir divers types de fichiers ou de contenus, directement depuis le navigateur. Ceux-ci seront automatiquement pris en charge par leur applications respectives après leur lancement.

Vous disposerez aussi d’un petit outil de recherche assez efficace et plus globalement, vous serez en mesure d’effectuer la plupart des opérations courantes que vous êtes en droit d’attendre d’un gestionnaire de fichiers.

Alors comme d’habitude, je vais être honnête… Si vous avez besoin d’un soft qui casse la baraque au niveau des options, MadCommander n’est certainement pas fait pour vous et je pense qu’il n’a d’ailleurs pas été conçu en ce sens. Si vous désirez en revanche disposer d’un soft léger et ultra polyvalent il peut faire l’affaire et sans doute s’avérer très utile. Il propose une solution facile à utiliser sur tous les OS et si nous ajoutons à cela l’aspect portable et le fait qu’il fasse très bien son travail, je dirais presque que c’est le top en la matière. J’ai bien aimé et je pense qu’il va atterrir illico presto sur mes clés USB.

Alors si ça vous tente et que vous avez envie de voir ce que ça donne à l’usage, il ne vous faut que 2 choses.

1. Avoir Java installé sur votre machine (voir ICI pour GNU/Linux).
2. Vous procurer l’archive de MadCommander sur la page Sourceforge du projet.

Une fois ces deux conditions remplies, il suffit de lancer le programme en cliquant simplement sur l’archive, ou à l’aide de la commande décrite ci-dessous pour les accrocs du terminal :

java -jar MadCommander-1.4.4-jar-with-dependencies.jar

Bon test et amusez-vous bien.

source

Original post of La vache libre.Votez pour ce billet sur Planet Libre.