On a coutume de déclarer le système Linux comme très bien sécurisé et il ne fait aucun doute que niveau sécurité les utilisateurs de Linux ont bien moins de problèmes que ceux de Windows, mais pour combien de temps encore ?

Les linuxiens rencontrent moins de mauvaises surprises, certes, mais la situation est loin d'être aussi simple et, avec le temps, du fait de la prépondérance du noyau Linux dans la plupart des smartphones, des systèmes embarqués, et bien d'autres services encore il faut s'attendre à ce que le système Linux soit de plus en plus la cible des pirates. Or comme jusqu'à il y a peu les attaques étaient bien plus rares sur Linux que sur les systèmes Windows, la sécurité parfois, je dis bien parfois, est passée au second plan dans certains contextes et solutions proposées. En disant cela je ne nie tout de même pas le très gros travail fourni par les développeurs, sur le noyau comme sur d'autres produits, pour chasser et corriger sans cesse les failles.

Il y a quelque temps je lisais un article sur un blog déclarant le noyau Linux comme moins fiable que celui de Windows, et cette affirmation se basait sur la liste des vulnérabilités recensées par le CERT-FR en 2015. Je ne vais pas polémiquer sur la méthode, sur le fait qu'il aurait fallu détailler les « multiples vulnérabilités » recensées dans les bulletins, le fait qu'il y a un noyau Linux d'origine et des déclinaisons par distributions, les possibles doublons, ni sur la démarche curieuse de baser sa conclusion uniquement sur des corrections de failles, corrections faites en toute transparence par les mainteneurs des noyaux. Bref, à moins de détailler très précisément le décompte faille par faille et correction par correction aucun chiffre valable ne peut être fait sur ces bases. Je doute d'ailleurs que l'on puisse arriver à une quelconque étude digne de foi à un instant T sauf à comparer des machines faisant tourner chacune un noyau différent sur chaque distribution Linux principale et des Windows toujours en service afin de vérifier toutes les failles connues et bien entendu aussi si possible en trouver des non encore découvertes. Il faudra alors aussi vérifier la sécurité de toutes les applications car un Os ne se compose pas uniquement d'un noyau. Bref, travail immense et surtout sans fin. Et sans intérêt au final, tellement les solutions proposées aussi bien avec Linux que Windows sont nombreuses, différentes, et doivent réponde aussi à des besoins divers et variés.

Personnellement je me bornerai à dire que j'ignore quel système est le plus sûr, je sais seulement que j'obtiendrai de meilleurs résultats avec celui que je connais le mieux, c'est à dire Linux. Et il peut tout à fait en être différemment pour d'autres.

Pour autant cet article de dsfc.net, bien au-delà de la provocation facile a un gros avantage, il attire l'attention du lecteur sur un problème ayant besoin d’être moins négligé par le plus grand nombre et à sortir d'une forme d'insouciance pour certains acteurs du libre, acteurs parfois à la marge des grandes réalisations d'ailleurs, mais pas seulement eux.

Une autre chose sur le noyau Linux. Si l'on veut le sécuriser plus que d'ordinaire il existe des patchs pour répondre à certains cas, des noyaux spécialisés, comme le noyau grsecurity de Yves-Alexis Perez. À noter d'ailleurs qu'un noyau pré compilé est disponible avec Debian Sid et qu'il s'installe avec les outils dédiés et ses dépendances attr gradm2 linux-grsec-base linux-image-4.3.0-1-grsec-amd64 pax-utils paxctl. Mais attention, il ne suffit pas d'installer le noyau, il faudra le configurer. Pour cela voir corsac.net et les forums.grsecurity.net/ ou par exemple le wiki gentoo même si ces dernières pages dans l'ensemble datent un peu.

Alors, peut-on dire que le système Linux est parfaitement sûr ? Bien évidement non, et d'ailleurs qui oserait le prétendre. Comme tout système il a ses failles même si elles sont régulièrement corrigées. Mais on pourrait dire aussi que malgré ses grandes qualités, le système des droits sur les fichiers, la possibilité de les étendre encore plus avec selinux, la séparation entre user et admin, la centralisation des dépôts et bien d'autres éléments encore en matière de sécurité Linux a aussi des faiblesses.

Les faiblesses de Linux en général.

En matière de sécurité toutes les distributions ne sont pas égales. Bien entendu les distributions principales comme Debian ou Redhat, voir aussi Archlinux, Gentoo, Fedora, Ubuntu, Mageia, Suses, vont suivre et appliquer très rapidement les correctifs de sécurité sur leurs produits, il n'en sera pas de même pour toutes les distributions ou plus exactement pour tous les forks qui, faute de moyens, voire parfois par négligence ou même par incompétence, ne feront pas le travail nécessaire dans les mêmes conditions.

À titre d'exemple je prendrai la Mint, et plus exactement sa version LMDE 2 Betsy. Là, c'est flagrant, ses utilisateurs courent des risques, et plus particulièrement s'ils font les mises à jour avec l'utilitaire dédié, mintupdate. Ce dernier va récupérer la liste des paquets à mettre à jour, liste bien différente de ce qui se passe si on utilise apt ou aptitude pour maintenir sa distribution à jour. Par exemple à l'heure ou j'écris ce billet, sur une LMDE 2 amd64 (mais c'est la même choses avec une i386) le dernier noyau disponible est le noyau Debian 3.16.0-4 version 3.16.7-ckt7-1 du 01 mars 2015 alors que la Debian Stable propose le 3.16.7-ckt20-1+deb8u4 du 29 février 2016 incorporant jusqu'au CVE-2016-2550.

Si vous voulez connaître les correctifs appliqués entre le 1 mars 2015 et aujourd'hui si vous utilisez une Debian vous pouvez passer la commande :
:~$ aptitude changelog linux-image-3.16.0-4-amd64
et vous verrez qu'ils sont très très nombreux. À noter que sur une Debian Stable on peut aussi disposer du noyau des backpots, à savoir à ce jour le 4.3.5-1~bpo8+1 (2016-02-23).

Si on utilise aptitude ou apt pour les mises à jour, ou activer les niveaux 4 et 5 de mintupdate désactivés par défaut, on pourra installer le dernier noyau ainsi que de nombreux autres paquets non pris en charge par leur programme mintupdate. Mais alors quid de la gestion de toutes les dépendances ? S'ils ne les incorporent pas c'est qu'ils ont des raisons. Et puis cela n'est pas conseillé à des débutants, cœur des utilisateurs de Mint paraît-il.

La situation de la Mint 17 Qiana basée sur Ubuntu n'est guère meilleure au niveau du noyau puisque en standard est utilisé le 3.16.0-29 du 16 décembre 2014 et là, même si vous activez les 5 niveaux de préférence de mintupdate, il ne vous en sera pas proposé d'autre, sauf à passer par la ligne de commande où vous aurez le 4.2.0-30 disponible à l'installation

Je vous parle de Mint, je suis sévère dans les lignes qui précèdent pourtant cette distribution a de grandes qualités et le travail accompli est très intéressant, ce qui me fait regretter d'autant tous ces défauts, ces faiblesses qui, au final pourraient être facilement corrigées à condition de revoir le tempo, les procédures de mises à jour. Et d'ailleurs on pourrait attribuer ces mêmes faiblesses à bien d'autres forks maintenus par de petites équipes car elles ne sont pas l'apanage de Mint. À vérifier.

Là ou les problèmes se compliquent et les faiblesses se multiplient, indépendamment des noyaux, c'est lorsqu'on installe sur sa distribution, et c'est valable pour toutes, des programmes sensibles, par exemple Owncloud. Je cite Owncloud mais je pourrais en prendre bien d'autres. Il faut alors faire très attention aux correctifs apportés par les développeurs à la source et la rapidité avec laquelle ces mêmes correctifs ont été incorporés par les mainteneurs de ces paquets dans les distributions. Ils ne sont pas forcément coupables de laisser-aller ou de négligences car cela demande un travail considérable d'adaptation et parfois aussi la communication n'est pas parfaite au niveau des développeurs à la source. Et pourtant il peut dans certains cas y avoir des failles béantes non corrigées pendant un certain temps. Pour Owncloud il peut être utile dans certains cas d'installer le programme empaqueté par les développeurs Owncloud directement, quite parfois à se passer d'une meilleure intégration avec le système.

D'autres failles encore peuvent exister dans des programmes non incorporés dans les distributions, comme des systèmes de wiki, des galeries photos, des partages de données, développés par des passionnés très compétents et dévoués dans leurs branches, par exemple le php, mais moins au fait des problèmes de sécurités.

Alors, à ces faiblesses peut-on apporter des solutions ? Dans certains cas il appartient aux développeurs de ne pas négliger la sécurité, d'avoir ce problème toujours à l'esprit, d'anticiper.

Mais parfois il en va de la responsabilité de l'utilisateur. Ne pas installer n'importe quel programme sans être certain du sérieux du développeur doit faire partie de ses préoccupations. On trouve à sa disposition, en général en dehors des circuits et miroirs des grands distributions des programmes mal fichus, qui par exemple ne respectent pas la bonne gestion des droits des fichiers alors que ceci fait partie intégrante du premier rempart sécuritaire. Il y a aussi des forks réalisés à la va vite ou parfois avec des dépôts non suffisamment sécurisés comme on l'a vu dernièrement avec Mint dont un serveur a été compromis et une ( une ? ) iso contenait une porte dérobée. À l'utilisateur donc de savoir faire le tri et éviter de choisir des forks dont la plus grosse qualité reste en fin de compte la qualité du papier peint, ou sont basés sur des solutions prétendument miracles pour se démarquer de la concurrence.

Alors au final que conclure ? Oui Linux a de grandes qualités de sécurité et son développement en toute transparence est un gage de sérieux sur ce plan mais pour autant il ne faut pas se voiler la face, il y a des failles et des faiblesses, parfois dues aux développeurs, et parfois aussi à la négligence de ses utilisateurs qui, en fin de compte, en la matière ne diffèrent guère de certains utilisateurs de Windows et que l'on remarquait d'avantage car il était le système le plus utilisé. Le choix des sources de logiciels, la multiplication des ppa n'est pas innocent en matière de stabilité mais aussi de sécurité.

Windows a fait des progrès certains en matière de sécurité ces dernières années et il appartient à Linux de ne pas s'endormir sur ses lauriers. On pourrait aussi dire que certains forks peu scrupuleux ou du moins attentifs en matière de sécurité peuvent nuire sérieusement à la réputation de Linux. Et cela est d'autant plus grave si ces forks se trouvent en tête de gondole de sites comme Distrowatch. Il appartient aussi aux utilisateurs avancés de vérifier le sérieux des forks avant de les conseiller au grand public, ceci pourrait éviter aux débutants de se fourvoyer et d'en pâtir un jour.

Mais, bien plus que sur Linux, c'est sur Android que l'on risque de voir très bientôt les attaques se multiplier à l'infini.

Original post of Cyrille BORNE.Votez pour ce billet sur Planet Libre.

Le temps passe vite, et cela fait déjà presque un an que Neil McGovern a été élu Debian Project Leader (DPL). Chaque développeur Debian pouvait donc se porter candidat entre le 6 et le 12 mars à la suite du traditionnel appel à candidatures.

Dès le 7 mars, Neil exprimait le souhait de ne pas se représenter :

Just for avoidance of doubt, I do /not/ intend on re-standing for my post. I would encourage any candidates to put themselves forward.

Malheureusement, peu de développeurs semblent motivés par la charge de DPL comme l’exprimait Lars Wirzenius :

After some serious thinking, I’ve decided not to nominate myself in the Debian project leader elections for 2016. […] Why not run? I don’t think I want to deal with the stress. I already have more than enough stress in my life, from work.

et il n’y aura donc finalement qu’un candidat cette année :

• Mehdi Dogguy

La question de la légitimité d’un scrutin avec un seul candidat a été posée par Paul Wise, mettant en avant le fait qu’il ne s’agissait pas cette fois de renouveler sa confiance à un DPL déjà en poste comme c’était le cas de Zack en 2011.

Cependant, il est important de préciser que Mehdi avait fait un très bon résultat l’année dernière en finissant deuxième pour sa première tentative, et qu’il se positionnait ainsi comme un candidat très sérieux pour cette année.

Les presque mille développeurs Debian seront libres de voter du 3 au 16 avril lors d’un vote utilisant la méthode Condorcet.

Vous pouvez retrouver tous les débats de la campagne sur la mailing list debian-vote.

Original post of fgallaire.Votez pour ce billet sur Planet Libre.

Pour la 10ème semaine de 2016, voici 5 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

• Booster son association grâce aux outils numériques
• Linux Mint a été compromise
• La Raspberry Pi 3 chauffe et atteint presque les 100°C !
• Snowden : les demandes du FBI, c'est du « bullshit »
• La société GETTY IMAGE met Framasoft en demeure de supprimer un article

Pour ne plus rater aucun article de la communauté francophone, voici :

• Le flux RSS du Journal du hacker
• Le compte Twitter du Journal du hacker
• Le compte Diaspora* du Journal du hacker

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker ou bien dans les commentaires de ce billet :)

Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Où en est la version GNU/Linux de Firefox côté performances ? - Journal sur LinuxFR.org

Firefox Linux

antistress : Vous l'avez peut-être remarqué, différentes fonctionnalités sont dans les tuyaux tandis que certaines sont déjà activées – mais à un rythme différent selon les systèmes d'exploitation. D'où l'idée de faire le point sur ce qui est déjà implémenté et activé, déjà implémenté mais pas activé, ou pas encore implémenté… En bonus, un comparatif des performances du mode multi-processus selon les OS et selon les navigateurs.

---

Google applique le droit à l'oubli à toutes les recherches faites en Europe - Numerama

CNIL Google anonyme oubli recherche pistage

antistress : "Les nouvelles règles de Google en matière de droit à l'oubli entrent en vigueur cette semaine. Désormais, les résultats n'apparaîtront plus que si l'on effectue ses recherches en dehors de l'Union européenne. Suffisant pour satisfaire la CNIL ?"

---

Original post of Planet Libre.Votez pour ce billet sur Planet Libre.

Vendre du MyPads ?

Allons droit au but, si je me lance dans cette installation c’est dans l’idée d’évaluer la faisabilité de proposer un service payant basé sur ce logiciel. Pour l’instant, j’en suis aux premières expérimentations. De nombreuses questions sont encore en suspens tant sur le plan technique que commercial.

Comment facturer ce service ? Une facturation au compte utilisateur impliquerait d’interdire les pads publics, sinon comment comptabiliser les utilisateurs ?

Le nombre de pads créés pourrait être un autre critère, mais là aussi ce n’est pas évident si l’on permet des pads publics. Il me semble que c’est plus le nombre d’utilisateurs qui génère la charge machine  que le nombre de pads créé. Un pad public utilisé par 200 personnes ce ne doit pas être rien en terme de charge.

Reste la solution, et c’est peut-être la plus simple, de mettre à disposition des instances dédiées avec des ressources allouées. Ce sont elles qui limiteront de fait les capacités d’usage de MyPads. L’avantage est de ne pas avoir à se soucier du nombre d’utilisateurs. En effet, il peut y avoir des utilisateurs ponctuels, réguliers, etc. De plus l’ouverture de pads publics redevient envisageable.

J’ouvrirais probablement une bêta avec des comptes ou instances gratuites pour voir un peu le comportement en charge de l’engin. En attendant, je vais déjà l’utiliser dans le cadre de mes prestations ou de projets en lien avec la formation.

Reste à savoir s’il y a un marché pour ce type d’offre… Face aux Google Apps ou à Office 365 dont les fonctionnalités sont bien plus avancées, j’ai quelques doutes… Mais il y a peut-être une micro-niche dans le domaine de l’éducation ou de la formation.

Mais commençons par le début : la mise en place. Je procède à un installation dans un serveur virtuel sous Proxmox 3 et une machine virtuelle OpenVZ équipé d’une Debian 8.

Installer Etherpad

C’est la première étape, MyPads a été développé comme un module complémentaire du logiciel libre Etherpad. Framasoft a déjà pensé à nous et met à disposition un tutoriel pour l’installation d’Etherpad. Si je prends, je donne, allez voir sur la page mécènes, vous y trouverez ma société . Je suggère fortement à toutes les entreprises qui utilisent Mypads sur leurs serveurs d’en faire autant.

Etherpad est basé sur NodeJS. Ce dernier est disponible dans les dépôts de Debian 8 ce qui n’est pas le cas pour la version 7. Il vous faudra procéder comme expliqué sur le tutoriel de Framasoft dans ce dernier cas. Donc pour NodeJS :

apt-get install nodejs

et pour Node Package Manager :

apt-get install npm

Toujours rien de bien difficile. Continuons de suivre le tutoriel en créant un utilisateur dédié à Etherpad et en installant git et tout ce qu’il faut pour compiler.

Enfin, voici le moment venu de cloner le dépôt d’Etherpad sur la machine. A ce stade, il vous faudra également ajouter la commande curl

apt-get install curl

et créer le lien symbolique node pointant vers nodejs

ln -s /usr/bin/nodejs /usr/bin/node

Vous pourrez alors lancer le script d’installation. Effectuez la configuration comme indiqué sur le tutoriel et installer Mongodb. A noter qu’il n’est plus utile d’indiquer « sessionKey » dans le fichier json. La valeur est désormais générée automatiquement.

apt-get install mongod

Appliquez les modifications de configuration du tutoriel. Si vous n’avez pas fait d’erreur, la console va vous afficher :

Ensure that all dependencies are up to date...  If this is the first time you have run Etherpad please be patient.
npm WARN package.json async-stacktrace@0.0.2 No repository field.
npm WARN package.json channels@0.0.4 No repository field.
npm WARN package.json tinycon@0.0.1 No repository field.
Ensure jQuery is downloaded and up to date...
Clearing minified cache...
Ensure custom css/js files are created...
Started Etherpad...
[2016-02-27 20:59:07.483] [INFO] console - Installed plugins: 
[2016-02-27 20:59:07.496] [INFO] console - Report bugs at https://github.com/ether/etherpad-lite/issues
[2016-02-27 20:59:07.497] [INFO] console - Your Etherpad version is 1.5.7 (d880527)
[2016-02-27 20:59:07.578] [INFO] console - You can access your Etherpad instance at http://0.0.0.0:9001/
[2016-02-27 20:59:07.578] [INFO] console - The plugin admin page is at http://0.0.0.0:9001/admin/plugins

Well done

Il vous faudra encore installer un proxy web pour rediriger selon vos besoins un nom de domaine sur votre installation. Dans mon cas ce dernier existe déjà, il m’a suffi de déclarer mon nouveau sous-domaine et le faire pointer vers la bonne machine virtuelle.

Dans les éléments de configuration d’Etherpad, j’ai changé la langue par défaut positionné à « en-gb » par ‘fr » dans le fichier /home/etherpad/etherpad-lite/settings.json aux environs de la ligne 73.

Autres détails, j’utilise pour l’instant l’utilitaire screen pour lancer Etherpad et bénéficier d’une vue sur la console. Ce n’est probablement pas la solution finale que j’adopterais, mais pour l’instant elle me permet de voir ce qui se passe côté serveur simplement.

Ajoutons MyPads

Là, cela devient enfantin, puisqu’il suffit de se rendre sur la page d’administration sous l’url http://example.com/admin/plugins et de faire une recherche sur Mypads. Cliquez ensuite sur « Install ». Vous n’avez plus qu’à vous rendre sur votre url http://example.com/mypads.

Pour accéder à la page d’administration de MyPads, il vous faut utiliser l’utilisateur que vous avez configuré dans le fichier /home/etherpad/etherpad-lite/settings.json.

Dans zone de recherche saisissez mypads et cliquez sur Install. A ce stade, j’ai également ajouté les plug-ins suivants :

• adminpads : pour gérer tous les pads qui ont été créés sur l’instance et faire le ménage facilement ;
• sync_status: pour voir un petit message et se rassurer sur la bonne sauvegarde de ses modifications ;

Quand je compare mes pads à ceux du Framapad, je me dis qu’il doit me manquer encore quelques plug-ins. Si un admin de Framasoft passe par là et peut laisser la liste des plug-ins en commentaires, cela serait sympa

Il me faut personnaliser la page d’accueil et limiter ou au moins contrôler les possibilités de création de comptes. Je n’ai pas retrouvé l’information sur qui avait développé au final MyPads. Là encore, laissez l’information en commentaire, j’aimerais bien le contacter pour chiffrer les évolutions qui me sont nécessaires pour pouvoir proposer une offre de services pour MyPads.

---

Réagir à cet article

Article original écrit par Philippe Scoffoni le 12/03/2016. | Lien direct vers cet article

Cette création est mise à disposition sous un contrat Creative Commons BY à l'exception des images qui l'illustrent (celles-ci demeurent placées sous leur mention légale d'origine).

.

Original post of Philippe Scoffoni.Votez pour ce billet sur Planet Libre.