Avec un peu de retard, l’édito récapitulant l’activité du blog en juin et les bonnes choses à venir en juillet 2019.

Debian

L’activité de la communauté Debian est riche avec la sortie de la nouvelle version stable “Buster”. J’ai écrit un article qui a bien marché sur sa date de sortie et je viens bien sûr publier rapidement un autre article sur les nouveautés de cette nouvelle version.

Débuter avec Git

Je continue ma série d’articles pour débuter avec Git selon une approche très concrète à base d’exemples.

Le prochain article, 6ème de la série, arrive la semaine prochaine, promis !

La newsletter du Courrier du hacker

Le Courrier du hacker continue sa croissance, aidée par de très gentilles mises en avant de blogueurs de la communauté, comme LinuxTricks, Lordre ou Seboss666. Encore merci à eux !

La prochaine étape est le 100ème numéro que j’attends avec impatience. Ce sera l’occasion de communiquer plus largement sur l’étape cruciale de cette aventure dans le monde des newsletters pour moi.

LinuxJobs.io

J’ai récemment lancé LinuxJobs.io, le pendant américain de LinuxJobs.fr. Il faudra que j’en parle sur ce blog ce mois-ci.

Conclusion

Le mois de juillet est traditionnellement plus calme. Cela devrait me permettre de dégager davantage de temps pour le blog et d’au moins préparer de futurs articles.

Me suivre sur les réseaux sociaux

N’hésitez pas à me suivre directement sur les différents sociaux pour suivre au jour le jour mes différentes projets dans le Logiciel Libre :

• Mastodon : @carlchenet
• Diaspora :  @carlchenet
• Twitter : @carl_chenet

Suivre l’actualité du Logiciel Libre et Open Source francophone

Abonnez-vous au Courrier du hacker, une newsletter hebdomadaire résumant le meilleur de l’actualité francophone du Logiciel Libre et Open Source. Déjà plus de 90 numéros et plus de 2000 abonnés.

E-mail S'abonner

The post Édito de juillet 2019 appeared first on Carl Chenet's Blog.

Original post of Carl Chenet.Votez pour ce billet sur Planet Libre.

Pour la 27ème semaine de l'année 2019, voici 10 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

• Pourquoi les sites pirates sont nécessaires ?
• Google censure les vidéos Youtube exposant des « techniques de hacking »
• Retour d'utilisation de Mongodb et pourquoi nous migrons vers Postgresql
• Le fédiverse, c'est le bordel
• Le générateur de config SSL de Mozilla
• Qwant vu de l'intérieur
• La Quadrature du Net met en garde la CNIL : faites respecter le RGPD, sinon ça sera la justice
• Quel avenir pour PostgreSQL ?
• Pourquoi une attaque relativement simple à mettre en oeuvre fait vaciller la communauté OpenPGP ?
• Bienvenue Mageia 7

Pour ne plus rater aucun article de la communauté francophone, voici :

• Le flux RSS du Journal du hacker
• Le compte Twitter du Journal du hacker
• Le compte Diaspora* du Journal du hacker
• Le compte Mastodon du Journal du hacker

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker :)

Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Je dédicace cet article à Cyrille et Ice. Cyrille qui n’arrête pas d’arrêter de parler du desktop Linux, Ice qui m’a chatouillé suffisamment pour que je cesse de leur laisser tout dire sans les confronter à des arguments contraires et participer à une saine émulation. Des échanges, des arguments, du respect, ce que le blogging devrait être. Personne n’a vraiment raison ou tort, à croiser les points de vue on dessine mieux ce que l’on voit.

Linux, Linux, Linux ou Linux

Je vais débuter en précisant une chose fort importante, je ferai une distinction entre plusieurs sujets dont nous avons la très mauvaise habitude de parler en disant simplement Linux :

• Le noyau Linux : Le kernel
• Les distributions Linux : Debian, Ubuntu, CentOS, Arch, Mageia…
• Le bureau Linux, Linux sur le desktop : Distributions Linux comprenant des environnements de bureau (Gnome, KDE, Xfce, Mate…) et les logiciels

Le noyau Linux a gagné

On disait déjà que le noyau Linux était partout : routeurs, serveurs, systèmes embarqués, smartphones. Il débarque à présent sur Windows (90% du marché desktop), c’est une victoire éclatante, totale. Microsoft intégrant le noyau Linux, témoigne de sa place importante pour ne pas dire indispensable dans l’IT. Sur le cloud de Microsoft Azure, Linux est sur la moitié des machines virtuelles. Sur The Cloud Market on peut se faire une idée de l’utilisation écrasante des distributions Linux pour Amazon EC2. Rappelons également que tous les chromebooks lancés en 2019 seront compatibles avec Linux.

Les linuxiens peuvent et devraient se réjouir : Le noyau Linux n’a jamais autant été utilisé, diffusé et proche de l’utilisateur final.

Linux se professionnalise bien plus qu’il ne se démocratise

Le noyau Linux est utilisé de plus en plus par les professionnels et l’industrie, le desktop Linux touche difficilement plus d’utilisateurs.

Le noyau Linux débarquant sur Windows n’intéressera que les professionnels, les geeks, les passionnés. Mme Michu n’installera pas WSL et ne se servira pas du noyau Linux sur son Windows 10, très clairement le travail de Microsoft autour de Linux est à destination des professionnels. Il ne faut pas s’attendre à ce que les parts de marché du bureau Linux augmentent suite à l’arrivée du noyau Linux sur Windows 10.

Pendant ce temps les chiffres (1, 2, rares et discutables pour certains) tablent autour de 3% pour Linux sur le desktop. Je vais être dur parce qu’apparemment une majorité de linuxiens ne veut pas l’accepter : C’est que dalle, on parle de 3% pas de 20%.

Sur ces 5 dernières années :

• La vente liée était une bataille importante, elle a été perdue. Tant que l’utilisateur final achètera un pc avec Windows installé dessus, aucune chance de « percer » pour Linux sur le desktop
• Linux sur le desktop est à 3%, on a pris 1% en 5 ans (en comptant Chrome OS…)
• Windows 10 ne respecte pas votre vie privée, les utilisateurs ont voté, ils l’utilisent quand même et n’ont pas migré massivement vers une distribution Linux
• La migration d’un ancien PC sous Windows vers Windows 10 est proposée gratuitement, excellent coup de Microsoft
• L’UEFI a compliqué l’installation des distribs Linux

La technique et l’humain

Lorsque je vois la question : Linux est-il prêt pour le desktop ? Je pense surtout qu’on parle technique : Est-ce que techniquement Linux est prêt pour le desktop ?

Oui, depuis un moment. D’un point de vue distributions Linux nous avons un choix pléthorique, de grosses écuries (Debian, Ubuntu, CentOS, Arch…). Nous avons aussi pas mal de distribs avec environnements de bureau qui se prêtent à une utilisation professionnelle, un large choix logiciels, des communautés importantes et pérennes, des systèmes largement stables, une excellente sécurité… mais est-ce que Linux est à la hauteur de Windows ?

Il ne suffit pas d’être à la hauteur, il faut être meilleur. On ne change pas pour équivalent mais pour mieux. LibreOffice fait le job mais il restera en-dessous de Microsoft Office pendant encore longtemps.

Il faut comprendre et accepter, les dés sont pipés : 1/ Une majorité de logiciels et d’outils (notamment professionnels) ne fonctionnent que sur Windows 2/ Les formats de fichier propriétaire emprisonnent utilisateurs/entreprises/politiques : Microsoft Office (.docx, .xlsx), Adobe (.psd, .ai) 3/ Les utilisateurs sont formés ou travaillent sur Windows et Microsoft Office, lorsqu’ils achètent un PC perso il est sur Windows 4/ La domination de Windows sur le desktop depuis 20 ans 5/ On reproche aux logiciels libres leur manque de finition sans les soutenir financièrement, il manque des profils pointus comme des graphistes, des traducteurs, des UI/UX designers… on a surtout des devs

C’est déjà une situation très compliquée sur ces points mais pour moi le vrai problème est le coût du changement. Pourquoi un utilisateur lambda passerait à une distrib Linux si il est satisfait de Windows (que son entreprise utilise et paye) ? C’est un effort colossal de formation, compréhension, changement que peu de personnes sont prêtes à faire sans y être obligées (en général professionnellement). On parle énergie, temps et motivation aussi ? La complexité de l’outil informatique est trop importante face à la volonté et capacité des individus.

La vérité est ailleurs

1,3 milliards de PC en usage, 3,5 milliards de smartphones en usage. Sur le web 50,7% du trafic mondial provient du mobile, 45,5% du desktop. Le smartphone est le nouveau pc.

Il n’est pas question de dire que le PC va disparaître, certains usages ne peuvent pas être remplacés (utilisation professionnelle, bureautique, graphisme…) mais aujourd’hui l’équipement roi est le smartphone. L’enjeu n’est plus le PC, les ventes stagnent, les usages ont évolué. On se tourne de plus en plus vers le web et le cloud : Bureautique avec Office 365 par exemple, Gmail comme client de messagerie, Google Stadia pour jouer. Le smartphone permet de nouveaux usages : Photos, vidéos, jeux en réalité augmentée, GPS, communication… et on l’a partout avec nous.

L’utilisateur, ses besoins, ses usages

Comme d’habitude on se focalise sur l’outil alors qu’on devrait parler des besoins et usages de l’utilisateur. On continue à parler de Linux sur le desktop alors que le monde à les yeux rivés sur son smartphone. Pour gagner une guerre, il faut au moins être sur le champ de bataille, pas à côté.

Il est naturel lorsqu’on apprécie Linux qu’on souhaite voir progresser son usage dans le cœur des utilisateurs. La distinction doit pourtant être faite entre installer un Linux sur un poste ET avoir un utilisateur satisfait et autonome sur Linux. Le nombre d’utilisateurs m’importe peu, leur satisfaction totalement. Je suis un utilisateur du bureau Linux, je passe plus de 50 heures par semaine dessus à titre personnel et professionnel. Je suis extrêmement satisfait alors même que cette semaine mon système était pété.

Le choix de l’utilisateur doit être éclairé, sa migration désirée et volontaire, il ne doit pas être contraint mais soutenu, pas jugé mais écouté. Le desktop devient un marché de niche où ne resteront bientôt plus que professionnels, passionnés, power-users, créatifs. Les logiciels cédent place au cloud, web, apps. Pour une majorité d’utilisateurs leurs usages se résument à surfer, écouter de la musique, regarder des vidéos, jouer casual. On allume de moins en moins un PC pour ça.

Original post of blog-libre.Votez pour ce billet sur Planet Libre.

J’ai trouvé cet article passionnant, j’adore ces astuces rendant le système inutilisable ha ha. Je débute une liste, j’espère que vous y participerez

Fork bomb

La fork bomb est probablement l’attaque la plus connue :(){:|:&};:, bien expliquée ici. On multiplie les processus jusqu’à saturation du système.

Advanced fork bomb

Sur le même principe mais en masquant la visibilité/compréhension de la fork bomb echo "IrYWdl&r()(Y29j&r{,3Rl7Ig}&r{,T31wo});r26 décrite ici (et là).

rm -rf *

Dans le même article l’auteur propose $(echo cm0gLXJmICoK | base64 -d) qui correspond à un rm -rf * dans le dossier courant.

Zip bomb

J’entends surtout parler de cette technique pour lutter contre les scripts kiddies et les scanners de vulnérabilité attaquant les sites web. Korben et Lord ont expliqué le principe, on zippe un gros fichier dd if=/dev/zero bs=1M count=10240 | gzip -9 > 10G.php, on le met à disposition sur son site, le scanneur tente d’ouvrir la page en décompressant le fichier qui va bouffer énormément de CPU et de RAM. J’en parle à titre informatif, ça sort du cadre de l’article présent.

En revanche les limites de la zip bomb en fournissant un fichier .zip d’une taille raisonnable (en général quelques Mo) qui après décompression des données occupera un espace disque très important ont été repoussées. Cette bombe zblg.zip (que vous pouvez renommer photos.zip par exemple) de 10 Mo initialement occupera une fois dézippée 281 To.

Ma contribution : Changer les droits de .ICEauthority ou .Xauthority

Je propose une approche différente et plus vicieuse selon moi. Sans connaissances avancées de Linux, la victime restera bloquée et ne pourra pas se sortir du piège. Je précise que c’est non destructif, aucun risque de perte de données.

Je vous renvoie vers les liens .ICEauthority et .Xauthority pour connaître le rôle de chaque fichier. Ils sont utilisés par le serveur X, .Xauthority est généré par le programme xauth notamment. Pour les lister, je fais ls -l .{ICE*,X*}. Ces fichiers appartiennent à l’utilisateur courant avec des droits 600.

ls -l .{ICE*,X*}
-rw------- 1 cascador cascador 918 Jul  6 06:08 .ICEauthority
-rw------- 1 cascador cascador  48 Jul  6 06:08 .Xauthority

Lors de l’ouverture d’une session graphique des informations sont écrites dans ces fichiers, si ce n’est pas possible… la session graphique se referme immédiatement. Concrètement vous êtes sur l’écran d’accueil, vous tapez votre mot de passe, la session s’ouvre apparemment 1-2 secondes sur un écran noir puis vous retombez sur l’écran d’accueil. Bonne chance !

Il faut que vous ayez un accès au pc de la future victime, se placer à la racine du home de l’utilisateur (ce qui est le cas par défaut lorsqu’on ouvre un terminal) puis au choix chmod 400 .ICEauthority ou chmod 400 .Xauthority. Perso je fais chmod 400 .ICE* que je précède d’un espace car lorsqu’une commande est précédée d’un espace, bash (configuration par défaut) ne logue pas la commande dans le .bash_history donc aucune trace du crime hé hé.

La beauté de la chose également est que tout continue à fonctionner parfaitement à l’instant t, c’est seulement à la prochaine ouverture de la session graphique (probablement au prochain démarrage du pc) que la victime se retrouvera totalement démunie.

Pour corriger cette petite blague :

• Sur l’écran d’accueil, Ctrl+Alt+F1 afin d’accéder à la console tty1
• Tapez les identifiants (ou demander à la victime de taper ses identifiants plutôt), ça ouvrira la session en mode terminal
• chmod 600 .ICEauthority ou chmod 600 .Xauthority suivant quel fichier vous avez modifié
• On retourne à la session graphique avec Ctrl+Alt+F7 puis vous vous loguez normalement

Pour participer

Afin de rester dans le cadre de l’article, votre proposition doit respecter les règles suivantes :

• Aucun droit superutilisateur ne doit être requis sinon il n’y a aucun intérêt, en étant root ou avec sudo il y a 1000 façons de flinguer le système
• La commande ou le concept doit rester simple/accessible à comprendre ou à mettre en œuvre, les exemples cités ci-dessus utilisent en général une seule ligne de commandes. Si vous proposez un script ça sort du cadre
• L’attaque doit être basée sur la ligne de commandes, c’est le thème principal
• L’attaque doit rendre le système inutilisable/instable

Merci d’avance à ceux qui partageront leurs propositions !

Original post of blog-libre.Votez pour ce billet sur Planet Libre.

Bonjour, Les trois membres de l'équipe sont heureux de vous présenter le numéro de mai (le numéro 145) en français. Comme d'habitude, vous pouvez le lire ou le visionner sur notre page NUMÉROS ou le récupérer directement en cliquant sur la photo de la couverture ci-dessous. Ce mois-ci, vous y trouverez, notamment :

• Une courte présentation d'un logiciel généalogique qui s'appelle Gramps ;
• D'autres tutoriels, comme Python, netcat et Inkscape;
• La critique du livre Learning Perl 6 par un auteur mystérieux. Il paraît que le contenu du livre est excellent, mais son prix fera hésiter plus d'un : presque 55 $ !
• Et beaucoup de d'autres choses dont une présentation de l'OTA-9 pour Ubuntu Touch phones, l'opinion d'Erik sur l'utilisation efficace de LibreOffice Draw (Dessin), Ubuntu au quotidien, et un entretien avec le jeune (16 ans) responsable de GhostBSD...

Nous vous en souhaitons bonne lecture.

Bab, scribeur et relecteur et d52fr et moi, AuntieE, traducteurs et relecteurs.

Original post of Full Circle Magazine FR.Votez pour ce billet sur Planet Libre.