Dans la série d’articles « Trainspotting » du blog Mozilla Hacks (ainsi nommée parce qu’il s’agit de regarder passer le train des nouvelles versions de Firefox), on apprend que Firefox 40 apporte aux développeurs un petit détail bien pratique dans leur vie de tous les jours : Vous avez trouvé ce que vous voulez dans l’inspecteur, mais vous ne savez pas où cela se trouve sur la page ? Vous pouvez maintenant faire défiler la page jusqu’à afficher l’élément correspondant en un clic. Menu contextuel, « Faire défiler la vue jusqu’au nœud ». Nous reproduisons ici l’image animée qui parle mieux qu’un long discours. (notez que c’est plus court en anglais : « Scroll Into View » !)
Bonne nouvelle pour les utilisateurs de Debian (unstable), Kubuntu et Tanglu, Matthias Klumpp vient d’annoncer que la prise en charge d’AppStream était bien avancée et devrait être officiellement annoncée lors de la DebConf15, le rendez-vous annuel des développeurs Debian qui se tient cette année du 15 au 22 août 2015 à Heidelberg, en Allemagne.
Pour rappel, AppStream est la spécification Freedesktop permettant le partage des méta-données des différentes applications entre les distributions (descriptions, adresses des sites officiels, captures d’écran, licences…), qui peuvent être ainsi réutilisées par les différentes logithèques (Logiciels sous GNOME, Muon Discover sous KDE…), tout en évitant la duplication d’efforts.
Matthias a également prévu de donner une conférence le 16 août pour expliquer ce que peut apporter AppStream à Debian (installation d’applications, mise à jour du système, mais également la mise à jour des firmwares UEFI…), tout en décrivant tout ce qui a déjà été accompli pour sa prise en charge.
Le futur de la distribution d’applications sous GNU/Linux devrait également y être abordé. Actuellement empaquetées par les différentes distributions, les applications devraient, à terme, pouvoir être distribuées par les développeurs eux-mêmes en employant le sandboxing (au travers de technologies telles que Limba et Xdg-App) pour qu’elles soient parfaitement isolées du reste du système.
En ce mardi 11 août, les contributeurs du Projet Fedora seront ravis
d'apprendre la disponibilité de l'alpha de la future Fedora 23, en plein Flock
qui se déroule actuellement aux États-Unis.
Malgré les risques concernant son utilisationt, il est important de la
tester. En rapportant les bogues maintenant, la Fedora 23 stable sera plus
stable encore et aura moins de risque de sortir en retard. Les versions en
développements manquent de testeurs et de retours pour mener à bien leurs
buts.
Voici les nouveautés annoncées pour cette version :
Bureautique :
Fedora Spin Cinnamon fait son apparition ;
L'environnement du feu OLPC : Sugar, passe à la version 0.106 ;
La liste des caractères Unicode passe à la version 8.0 ;
IBus migre à la version 1.5.11, ajoutant la gestion de KDE5 et des
environnements à base du fichier .XCompose ;
ibus-libzhuyin est employé par défaut comme méthode de saisie du chinois
traditionnel, employé à Taiwan ;
Administration système :
Fedup a été fusionné dans DNF, le successeur de Yum des Fedora antérieures
à Fedora 22 ;
Ajout d'une interface graphique pour gérer le contrôleur de domaine FreeIPA
à travers Cockpit ;
À partir de la spécification Nulecule, les "rôles de serveurs" peuvent être
déployés comme des applications conteneurisés ;
Les versions de Fedora Atomic ne sont plus basées sur le cycle traditionnel
de Fedora, les versions sont maintenant délivrées toutes les deux semaines au
lieu des 6 mois en moyenne auparavant ;
Création de nouvelles types d'images à base de Docker ;
Sécurité :
Tous les paquets sont compilés avec des options de compilation améliorant
la sécurité de ceux-ci ;
Les algorithme de chiffrement obsolètes RC4 et SSL3 ont été supprimés des
logiciels le proposant ;
Les politiques SELinux ont été remaniées. Enregistrées maintenant dans /var
au lieu de /etc, amélioration des performances et possibilité d'étendre la
politique de la distribution plus facilement ;
Les logiciels supportant des politiques de mots de passe, à savoir
respecter des règles pour avoir un mot de passe valide, ont une politique
commune et peuvent être adaptés en un seul endroit pour tous. Cela concerne les
outils de créations d'utilisateurs de Gnome, Anaconda ou encore l'outil passwd
;
Ajout d'un utilitaire pour mettre à jour les firmwares UEFI ;
Développement :
Python 3 devient la version par défaut du langage, Python 2 reste
disponible pour les applications le nécessitant ;
Perl passe à la 5.22 ;
La bibliothèque Boost sera en 1.59 ;
Quant à Mono ce sera la version 4 ;
Disponibilité de la boîte à outils web pour Python et JavaScript nommé
Frappe ;
Il existe un moyen d’installer automatiquement les mises à jour des logiciels sans nécessiter d’interaction humaine.
C’est pratique si l’utilisateur ne peut pas faire les mises à jour (manque de compétences, pas de de droits administrateurs, oubli) ou pour un serveur (si vous en avez bcp à gérer ou pendant vos vacances).
Ca s’appelle unattended-upgrades
# apt-get install unattended-upgrades
Pour activer les mises à jour automatiques, il faut ensuite lancer cette commande, et choisir « Yes » :
# dpkg-reconfigure unattended-upgrades
Par défaut, seules les mises à jour de sécurité seront appliquées quotidiennement.
Vous pouvez changer ce comportement pour appliquer d’autres types de mise à jour en éditant le fichier /etc/apt/apt.conf.d/50unattended-upgrades
Les logs des mises à jour automatiques se trouvent dans le dossier /var/log/unattended-upgrades/
Depuis 2 semaines Android est sur le devant de la scène, pour des questions de sécurité.
Elles s'appellent Stagefright et Certifi-gate. Que cachent ces jolis noms ? On fait le point sur les vulnérabilités qui touchent Android en ce moment. Avec 1,283 milliard de périphériques vendus en 2014 sur le globe, il s'agit du système d'exploitation numéro 1 et à ce titre de nombreux pirates s'y intéressent.
Un MMS, et ça repart
Fin juillet 2015 c'est la faille Stagefright qui était dévoilée. Découverte par deux ingénieurs en sécurité de l'entreprise Zimperium dans le code source d'Android Open Source Project (AOSP). Cette faille tire son nom de la biliothèque multimédia Stagefright utilisée pour la lecture de fichiers multimédias. Cette portion de code source n'est pas en Java mais en C++, voilà qui inquiète quand on connaît les possibilités de corruption de la mémoire avec ce langage.
95% des terminaux dans le monde seraient vulnérables, à partir d'Android 2.2 jusqu'à Lollipop 5.x. Pour exploiter cette vulnérabilité un MMS contenant du code malicieux suffit, avant même que l'utilisateur ne voit ce MMS, en effet Android récupère les MMS dès qu'ils arrivent. Mais il serait toutefois impossible de bypasser les notifications. L'attaquant peut ensuite à distance récupérer vos informations, écouter le microphone, télécharger vos fichiers.
Google a modifié le code source d'AOSP en moins de 48 heures avec un correctif mis à disposition. Quelques constructeurs ont diffusé cette mise à jour, d'autres le feront courant Août. En attendant il est déconseillé d'utiliser Hangout pour vos SMS/MMS, vous pouvez désactiver le téléchargement automatique des MMS dans la plupart des applications natives à votre téléphone. Certaines applications se sont mises à jour en désactivant le téléchargement automatique de MMS vidéos, c'est le cas de Textra. Sauf que la tentation sera forte chez les utilisateurs non avertis d'appuyer pour voir le MMS, même celui d'un inconnu...
Certifi-gate
Dévoilée la semaine dernière cette faille porte le doux nom de Certifi-gate, un jeu de mot entre Certificate et Gate qui signifie la porte (ouverte) du certificat ou encore l'affaire du certificat. Cette vulnérabilité se base sur les services d'assistance à distance implantés par certains constructeurs et opérateurs. On appelle ces outils les "mobile Remote Support Tool" ou mRST. Le code source AOSP n'est pas concerné, les gammes Nexus ne sont par exemple pas touchées.
C'est l'entreprise CheckPoint, spécialisée dans le domaine de la sécurité, qui a mis au jour celle-ci. En précisant qu'avec vulnérabilité il était possible de prendre le contrôle total d'un terminal pour récolter des données personnelles ou vous espionner. Il "suffit" de se faire passer pour l'opérateur ou le constructeur pour obtenir tous les accès sur le périphérique.
Selon CheckPoint cette faille toucherait certaines applications du Play Store comme le plugin Team Viewer ou Communi-Take.
Là encore c'est potentiellement des centaines de millions de périphériques concernés. Toutes les version d'Android sont concernées, y compris Android 5.1.1.
CheckPoint a créé l'application Certifi-gate Scanner permettant de savoir si votre périphérique est concerné par la faille.
Certains smartphones ne seront jamais corrigés
Malgré la menace qui court sur les utilisateurs, tous les modèles de smartphone ne bénéficieront pas d'une mise à jour. Chez Samsung seuls les Galaxy S3, S4, S5, S6, S6 Edge, Note 4 et Note4 Edge sont concernés par la mise à jour, chez HTC ce serait les M7, M8 et M9 d'après NXI.
Attention toutefois car si vous avez "rooté" votre smartphone vous ne bénéficiez plus des mises à jour constructeur chez Samsung, en tout cas pas en OTA. C'était le cas avec mon S3 et j'ai profité d'une mise à jour en attente (via Kies) qui a malheureusement planté dès le début. J'ai du faire un emergency recovery, je pensais alors que j'allais repartir à zéro mais finalement je n'ai rien perdu (ouf!). Avant de vous lancer dans une manipulation périlleuse pensez à sauvegarder le contenu votre téléphone : sms/mms, APK + données d'application, photos, vidéos et répertoire s'il n'est pas synchronisé. Si vous avez une carte externe ça vous fera ça de moins à copier.
Dans le cas où vous avez installé une ROM custom, vous devrez également installer une version plus récente dès que son auteur aura corrigé les différentes failles, je parle ici surtout de Stagefright.
Une fois de plus je ne peux donc que vous conseiller d'éviter d'acheter un smartphone chez un opérateur, vous n'aurez pas un tas d'applications non désinstallables et de potentiels exploits qui ne seront jamais corrigés (ou dévoilés). Je déplore aussi les surcouches qui sont pointées du doigt, je n'ai pourtant rien contre elles mais c'est à cause d'elles que nous ne pouvons pas utiliser les correctifs de Google.
L'idéal serait probablement d'avoir deux circuits de mise à jour. L'un indépendant du fabriquant, à l'instar de Windows et de son Windows Update, et le second proposé par le fabricant ou opérateur. Mais il est clair que de tels changements en profondeur ne sont pas pour demain. Quand on voit qu'un constructeur comme Samsung ne va proposer de patch que sur une quantité très réduite, c'est tout à fait ridicule. Il est temps de passer sous une ROM alternative si vous êtes dans ce cas.
Enfin, évitez d'installer des APK sans passer par le Play Store car potentiellement vous savez que ça peut faire des chocapics. Et bon courage si vous proposez le BYOD dans votre société !
ps : vous pouvez indiquer le modèle de votre smartphone en commentaire en disant si vous êtes touchés ou non par la faille Certifi-gate