J’ai fait une mise-à-jour importante au matériel du cours de sécurité numérique que j’avais conçu il y a 2 ans pour l’École de sécurité numérique.
J’ai remplacé la section de gestion de mots de passe pour y faire une recommandation unique sur le logiciel KeepassXC, qui est disponible nativement sur GNU/Linux, macOS et Windows. Il est aussi possible de l’intégrer à son navigateur, c’est un gros progrès par rapport au premières version de Keepass!
Si vous utilisez la dernière version de Debian (« Wheezy » ou Debian 7 au moment d’écrire ces lignes), vous avez remarqué que la version de navigateur web proposée n’est pas Firefox, et n’est pas la plus récente. Pourquoi? Comment y rémédier?
Attention: les modifications et manipulations ici proposées pourraient rendre votre système moins stable, par leur écart d’une installation standard de Debian
L’équipe Debian Mozilla maintient une ressource web où vous pouvez vous procurer les dernières versions d’Iceweasel qui arriveront éventuellement dans Debian GNU/Linux.
Habituellement les versions abouties atteignent Debian unstable puis continuent leur diffusion vers stable, tandis que les versions beta sont diffusées dans experimental. La plupart des versions alpha se trouvent dans le dépôt mozilla.debian.net.
Le dépôt mozilla.debian.net propose des paquets signés, il faut donc d’abord ajouter et valider le trousseau de clés numériques correspondant.
# apt-get install pkg-mozilla-archive-keyring# gpg --check-sigs --fingerprint --keyring /etc/apt/trusted.gpg.d/pkg-mozilla-archive-keyring.gpg --keyring /usr/share/keyrings/debian-keyring.gpg pkg-mozilla-maintainers
pub 4096R/06C4AE2A 2010-11-20 [expire : 2019-11-13]
Empreinte de la clef = 85F0 6FBC 75E0 67C3 F305 C3C9 85A3 D265 06C4 AE2A
uid Debian Mozilla team APT archive <pkg-mozilla-maintainers@lists.alioth.debian.org>
sig!3 06C4AE2A 2012-11-14 Debian Mozilla team APT archive <pkg-mozilla-maintainers@lists.alioth.debian.org>mozilla.debian.net à votre configuration:# echo "deb http://mozilla.debian.net/ wheezy-backports iceweasel-release" > /etc/apt/sources.list.d/mozilla-debian.list# apt-get updateRéception de : 3 http://mozilla.debian.net wheezy-backports/iceweasel-release amd64 Packages [19,0 kB]mozilla.debian.net:# apt-get install -t wheezy-backports iceweasel iceweasel-l10n-frDans cet exemple j’ai inclus le paquet correspondant à une version francisée de Debian GNU/Linux. N’oubliez de spécifier aussi les extensions qui vous intéressent! Il est possible de consulter la liste complète des paquets disponibles:
Iceweasel est un fork de Mozilla Firefox avec les objectifs suivants:
Sauf la signature graphique de Firefox, Iceweasel est pratiquement identique en tout point à Mozilla Firefox.
Pourquoi avoir changé le nom de Firefox dans Debian GNU/Linux? Les applications de Mozilla ont été renommées suite à un conflit ayant eu lieu en 2006 entre le projet Debian et la Mozilla Corporation. Plus précisément, il s’agît de la solution trouvée à une incompatibilité entre les principes du logiciel libre selon Debian et la politique d’utilisation de marque de commerce de Mozilla.
D’autres distributions GNU/Linux dérivées de Debian comme Trisquel ont aussi changé le nom de Firefox. Dans le cas de Trisquel, le navigateur web est appelé ABrowser et a aussi été modifié pour ne proposer que des extensions sous licence libre, contrairement au site d’extensions officielles de Mozilla qui propose aussi des extensions propriétaires.
Dans Debian 7 la version d’Iceweasel proposée est la version équivalente à la dernière version de Firefox Extended Support Release (ESR):
Mozilla offre une version à soutien prolongé (Extended Support Release, ESR en anglais) basée sur une version officielle de Firefox pour ordinateurs de bureau pour une utilisation par des organisations comme les écoles, les universités, les entreprises et d’autres qui ont besoin d’un support prolongé pour les déploiements de masse.
Lors de la sortie de Debian 7 cette version était donc Iceweasel 17.0.8 ESR.
Malgré ce numéro de version, Iceweasel inclût les derniers correctifs de sécurité rétroportés. Une version publiée (« release ») doit changer le moins possible ; ainsi les correctifs de sécurité ne seront pas la cause de problèmes annexes.
Selon le cycle de vie proposé par Mozilla, les versions dites ESR sont maintenues pour environ un an, et la version 24.0 ESR devrait voir le jour d’ici la fin septembre 2013:
Les versions ESR ont des mises à jour ponctuelles contenant les mises à jour de sécurité qui coïncident avec les versions régulières de Firefox. Les versions ESR auront également deux cycles (12 semaines) de chevauchement entre le moment d’une nouvelle version et la fin de vie de la version précédente pour faciliter les essais et la certification avant le déploiement d’une nouvelle version.
C’est donc par souci de stabilité et de sécurité qu’Iceweasel 17 ESR se retrouve dans Debian 7.
Il y a différentes raisons pour lesquelles on voudrait utiliser une version plus récente de Firefox, incluant toutes les fonctionnalités offertes par celle-ci.
J’en ai relevé quelques unes parmi celles que j’ai remarquées dans les notes de version de Firefox:
Si vous aviez un compte sur UbuntuForums.org, cette annonce vous concerne:
(traduit de Ubuntu Forums is down for maintenance)
Ubuntu Forums est en maintenance
Il y a eu une violation de la sécurité sur les forums Ubuntu. L’équipe de services informatiques de Canonical travaille fort en ce moment pour rétablir un fonctionnement normal. Cette page sera mise à jour régulièrement des rapports d’étape.
Ce que nous savons:
- Malheureusement, les attaquants ont obtenu l’identifiant de chaque utilisateur local, mot de passe et adresse email à partir de la base de données des forums Ubuntu.
- Les mots de passe ne sont pas stockés en texte clair. Toutefois, si vous utilisiez le même mot de passe que sur Ubuntu Forums sur d’autres services (tels que le courriel), vous êtes fortement encouragé à changer le mot de passe sur l’autre service au plus vite.
- Ubuntu One, Launchpad et d’autres services Ubuntu / Canonical ne sont pas affectées.
Rapport d’activité
- 20/07/2013 2011UTC: Rapports de dégradation
- 20/07/2013 2015UTC: Site mis hors-ligne, cette page d’accueil mise en place alors que l’enquête se poursuit.
Quelques pistes pour minimiser les risques à l’avenir:
* Si vous en faites la suggestion à un éditeur de site web, faites-le gentiment 🙂
Don’t miss it! À ne pas manquer!
This year I was able to bring two simultaneaous events together, in different locations.
Cette année j’ai pu programmer 2 événements différents, ça se passe demain, à deux endroits différents :).
Les détails à / All details at: http://wiki.softwarefreedomday.org/2011/Canada/Montreal
See you there! À demain!
Télévision de Radio-Canada is a Canadian French language television network. It is owned by the Canadian Broadcasting Corporation, known in French as Société Radio-Canada, or just « Radio-Canada », for the rest of us. – from Wikipedia
A couple of weeks ago they launched a new web site, tou.tv, making « available » all their TV shows (or most of them)… in Flash 🙁
Never mind it’s 2010 and HTML5, Ogg Theora and in general open standards and formats are the talk of the day on most web development sites… Flash 10 is a bad enough choice as it is, but apparently tou.tv’s team just forgot that Linux existed.
Within hours of the launch Ubuntu Québec team members started complaining on the mailing list and on tou.tv’s Facebook group. We wrote to their admins, provided details, wrote to the ombudsman, got canned replies for all communications. We then put together a Facebook group, and started inviting people to join and we shared our findings (now all on a public wiki). 451 people joined the group which is an amazing number for Quebec province, given the context. I never ever thought I’d use Facebook for open formats and Linux support advocacy in such a way!
Only one programmer from the tou.tv’s team first acknowledged the problem, then asked for testers. That’s it, total silence from the tax-payers-funded TV network and website.
Within hours of the initial launch people on the mailing list had analyzed the streaming protocol, the Javascript code, etc. and ruled out problems there. To our amazement, a single commented line was preventing any shows to be displayed. Someone put together a GreaseMonkey script, someone else tested it… we went online on IRC to coordinate testing + blogging. Bottom line is we came up with a workaround. A week later tou.tv finally applied minimal fixes to unblock the Flash display on Linux systems.
The site is not perfect and now other minor issues subsist, and yes, I wish open formats were an option. For now I just wanted to thank Ubuntu for providing not only an incredible operating system but also an amazing community that made all this possible 🙂 I also wanted to thank the Free Software Foundation as we used several resources from them such as the Defective by Design web site to explain the problems associated to using DRM-like implementations of web TV sites, and the problems of not using open formats, such as Flash.
I also wanted to send a big FAIL to Radio-Canada and tou.tv’s team. To this day they don’t even mention Linux on their FAQ.
You can also find more details about this little victory of ours in my original blog post in French.
Your taxes at work!