Technoaddict

Une étude de w3techs révèle qu’avec 29,4%, Debian GNU/Linux est la distribution la plus représentée dans le parc de serveurs WEB fonctionnant sous GNU/Linux. En terme de « parts de marché » globales, Debian représente 9,6% du parc mondial des serveurs WEB.
Ce n’est pas la première fois que Debian se retrouve à cette place, mais elle l’avait perdu depuis juin 2010 au profit de CentOS.
L’étude montre également que Debian est la distribution enregistrant le plus fort taux d’adoption, puisque tous les jours 54 du million des sites les plus en vue, passent sous Debian. W3techs nous indique également qu’en terme de représentativité géographique à l’échelle européenne, c’est l’Allemagne qui avec 39,7% est le pays où Debian se rencontre le plus. Suit la Pologne avec 36,1% et la France avec 33.6%. En revanche aux Etats-Unis la part de Debian est epsilon voire moins …
Il est intéressant de noter que sur les serveurs WEB exploitant Debian, c’est Nginx et Lighttpd qui s’offrent la part du lion avec 60% de taux de présence.
EDIT: Comme me l’ont signalé certains, j’ai fait une petite erreur dans la lecture des chiffres. Il fallait donc comprendre que 60% des installations de Nginx et Lighttpd se font sur des serveurs Debian, mais qu’Apache conserve largement son leadership sur l’ensemble du parc Debian.

W3techs conlue en disant que les webmasters qui utilisent GNU/Linux sont assez versatiles et nous donne rendez-vous dans quelques mois pour un nouveau point.

Tags: Debian, Leader, parts de marché, serveurs, web

Oui le titre est volontairement provocateur. Pourquoi déviance ? Ici c’est bien l’acception tare qu’il faut comprendre.
En effet au vu du mépris affiché par les constructeurs envers la plèbe en quête d’un peu de liberté, ou souhaitant sortir quelque peu des sentiers battus, il faut bien se rendre à l’évidence. Le Linuxien ou le libertaire convaincu est bien perçu comme un marginal.
J’entends encore une ex-collègue me rétorquer à ma question : « Suis-je libre de mettre l’OS que je souhaite sur mon poste de travail ? », « ben, pourquoi tu veux mettre quoi d’autre que Windows ? »

Qu’est-ce qui me pousse aujourd’hui à écrire un article ressemblant plus à une diatribe qu’à un simple billet de blog ?
Tout simplement le fait qu’en plus d’être un fervent et ardent défenseur du Logiciel Libre doublé d’un pourfendeur du modèle propriétaire, il se trouve que je suis également un geek invétéré. En ceci il faut comprendre que je me plais à changer régulièrement de laptop de mobile ou autre.
Lorsque je décide de changer de laptop, je fonctionne essentiellement au coup de coeur ce qui veut dire que je prends rarement le soin de regarder la compatibilité de la machine avec Debian. En effet, pourquoi diable ne pourrais-je pas acheter l’ordinateur que je veux et y faire tourner ce que je veux ?

Pourquoi ? Tout simplement parce que les linuxiens, bsdistes et autres comptent pour quantité négligeable aux yeux des constructeurs.
Alors oui, il est aisé de répondre qu’il est normal qu’un constructeur conçoive ses machines pour 95% du marché et pas pour une minorité. Je répondrais simplement qu’il est encore plus aisé de concevoir ses machines selon les standards, et de tenir les sources des pilotes à disposition. Il est proprement insupportable de devoir mener une étude de compatibilité approfondie du matériel afin de savoir ce qui va bien fonctionner, moyennement fonctionner, ou ne pas fonctionner du tout sur l’ordinateur que l’on planifie d’acheter.
Si vous adoptez ma démarche d’achat compulsif, il vous faut une dose de chance colossale pour que votre distribution GNU/Linux préférée fonctionne et encore plus pour qu’elle fonctionne OOB (Out Of the Box ou au sortir de la boîte selon le jargon en vigueur).

Pour illustrer ce triste et horripilant constat, voici le dernier exemple en date. Séduit par l’extrême mobilité qu’offrent les UltraBooks, je me suis fait plaisir en m’offrant un Asus Zenbook UX21E. Je peux vous le dire d’emblée, une erreur monumentale !
En effet après m’être extasié devant le design et le poids plus que contenu de la machine, mon extatique joie s’est transformée en déception puis en colère, lorsque je me suis lancé dans l’installation de Debian dessus.
Première difficulté, le Zenbook vu sa finesse ne comporte pas de port ethernet et Squeeze ne reconnait pas la carte Wifi OOB. Je télécharge donc une image Core et me lance dans l’installation, qui se passe relativement bien.
Asus a eu la bonne idée contrairement à certains constructeurs fruitiers, de livrer sa machine avec les adaptateurs qui vont bien, dont un qui fournit une interface ethernet sur l’USB. Le constructeur Asix fournit même les sources du pilote. Je compile donc le .ko sur une autre machine, le copie sur le Zenbook, et un modprobe plus tard, je suis Online !
J’entreprends alors de passer vers SID afin que tout le matériel soit pleinement reconnu et surtout pour Gnome 3 que j’affectionne tout particulièrement. La migration terminée, le wifi est reconnu et le reste aussi. Du moins en appparence. Car la réalité est toute autre. Petite liste :

• Le Bluetooth ne detecte aucun équipement
• Tout juste 3 heures d’autonomie
• Suspend to RAM ou To Disk ne fonctionne pas et crash la machine
• Surchauffe
• Touchad ne fonctionne qu’en mode souris

Bref la machine est inutilisable. Après avoir parcouru quelques forums je me rends compte que peu importe la distribution utilisée, les utilisateurs rencontraient tous les mêmes problèmes que moi.
Je me suis alors dit que j’allais renvoyer la machine. Puis je me suis ravisé.
La première solution envisagée, fut de remettre Windows et de faire tourner une VM de Debian dedans. J’ai tenu 3 jours.
Je n’avais pas utilisé de Windows depuis au moins 10 ans et tout ce que je peux dire, c’est que c’est toujours la même saloperie (pardonnez la trivialité). Plantages, lourdeur, installation de logiciels tiers insupportable (lourdeur,lenteur,capacité extraordinaire à vous installer des barres d’outils ou autre logiciel invasif du même genre), capacités natives ridicules l’OS ne sait même pas lire de PDF nativement !!! Et pire que tout le nombre de mises à jour par jour, les messages incessants dans la barre des tâches, les bloatwares fournis par les constructeurs. De boîte l’OS pourrait peut être fonctionner mais il n’est pas utilisable au quotidien car il ne dispose d’aucune brique de productivité. Et c’est dès lors que vous souhaitez enrichir votre poste de travail, que les ennuis commencent.
On ose dire que GNU/Linux c’est compliqué. Essayez donc de modifier quelques paramètres systèmes sous Windows et comparez ! Essayer par exemple d’obtenir le plus rapidement possible les mêmes informations qu’un fdisk -l et bon courage.
J’ai donc tenu 3 jours. J’ai ensuite réinstallé Debian en Testing car le contrôleur Wifi est reconnu par l’installeur puis suis repassé en SID. J’ai compilé un noyau 3.2-rc7 en découvrant avec bonheur que l’autonomie passait alors à 5 heures, et que le driver USB Ethernet est présent dans le noyau. Malheureusement, il plante la machine de manière aléatoire. Debian venant de mettre le 3.2-rc7 dans experimental, je l’ai installé, compilé le driver selon les sources du constructeur et fonctionne comme ça au moment où j’écris ces lignes.
Afin de récupérer la fonctionnlité de Suspend to RAM il a fallu insérer un script dans /etc/pm/sleep.d, et un autre dans /etc/pm/power.d/ afin d’appliquer les « tunables » de powertop.
Le Bluetooth n’est quant à lui toujours pas fonctionnel.

Voilà cette expérience m’a donc permis de mettre en valeur plusieurs choses plus ou moins latentes jusqu’ici.
Premièrement Windows est inutilisable et ses utilisateurs ne sont que des otages souffrant du Syndrome de Stockholm.
Deuxièmement, il est urgent de forcer les constructeurs à concevoir des machines selon des standards.
Dernièrement et même si je ne peux l’accepter, n’achetez jamais de Laptops sur un coup de tête, surtout si comme moi vous souffrez des 2 déviances citées en titre …

Tags: asus ux21, constructeurs, foutage de gueule, Linux, windows

Il est de notoriété publique que le protocole DNS est construit sur des bases assez friables offrant ainsi des cibles faciles à de potentiels attaquants. La partie la plus faible est ce qu’OpenDNS nomme  » The Last Mile « , soit la dernière partie de l’acheminement du trafic à savoir de votre fournisseur à votre machine personnelle. Avoir son propre serveur DNS en interne permet éventuellement de renforcer un peu la sécurité en s’affranchissant des serveurs DNS de son fournisseur d’accès.

Quoi qu’il en soit OpenDNS propose maintenant une solution aux utilisateurs de ses services permettant de chiffrer le trafic DNS entre chez vous et leurs serveurs. Au travers de DNSCrypt, OpenDNS fournit un programme capable de chiffrer les requêtes DNS à la manière de l’HTTPS pour les sites WEB. L’algorithme utilisé est l’ECC (elliptical-curve cryptography ou cryptographie sur courbes elliptiques) et plus précisément le Curve25519 destiné justement à sécuriser les échanges DNS. Le seul défaut du programme, est qu’il n’est pour le moment disponible que pour MAC. Des versions pour Linux devraient bientôt être disponibles.

Utilisé conjointement avec DNSSEC voici une solution permettant de s’affranchir un peu des regards indiscrets et d’éventuelles attaques ( DNS Poisoning …. ). En ces temps de censure et de DPI voilà une initiative plus que bienvenue.

Tags: chiffrement, dns, dnscrypt, dnssec, ecc, opendns

Comme à l’accoutumée, l’actuelle version Oldstable (aka Lenny) arrive en fin de vie. Le projet Debian vient effet de publier une annonce avec 2 mois d’avance, prévenant ainsi les utilisateurs de Lenny de préparer activement leur migration si ils veulent continuer à profiter des mises à jour de sécurité. Pour rappel la durée de vie de la Oldstable est de 1 an après que la nouvelle stable (Squeeze actuellement) a été releasée.
La fin de vie de Lenny est positionnée au 6 février 2012. Les anciennes annonces de sécurité concernant Lenny seront toujours disponibles sur security.debian.org

No tag for this post.

Ce matin dans mes flux RSS, une info m’a fait plaisir. Vyatta vient de lever 12 millions de dollars pour continuer son expansion. Cette nouvelle levée de fonds, porte désormais l’investissement total à 45 millions de dollars.
Pour rappel Vyatta a été créée en 2005 sur le concept de fournir une véritable alternative OpenSource à Cisco et aux solutions réseau propriétaire que l’on trouve en entreprise. Vyatta s’annonce comme pouvant fournir une solution complète de routage et de sécurité capable de gérer des liens DSL jusqu’à 20 Gbps, pour un coût ne représentant qu’une infime partie du coût des solutions propriétaires.
Et le moins que l’on puisse dire c’est que le succès est au rendez-vous ! En 2007 la société était reconnue comme l’une des 100 sociétés les plus prometteuses pour le futur de la gestion des infrastructures réseaux. En 2008 elle remportait l’InfoWorld BOSSIE Award pour le meilleur logiciel OpenSource. Performance qu’elle a réedité en 2008, 2009 et 2010.

En 2009, Vyatta signait un partenariat technologique avec Citrix pour la sécurisation des réseaux dans les environnements virtualisés, et commençait doucement à orienter sa stratégie vers la sécurisation et la connectivité du Cloud.
Ils continuaient également de tailler quelques croupières à Cisco en les remplaçant dans des comptes stratégiques.
En 2010 divers partenariats asseyaient un peu plus sa position de leader des solutions de routage et de sécurité OpenSource ( Sourcefire, HotLava, Riverbed …).
Enfin en 2011 la stratégie de Vyatta est résolument tournée vers le Cloud. Et la plus grande partie de sa campagne de communication est basée dessus. On peut par exemple trouver le Vyatta Network OS sur la plateforme AWS d’Amazon, et des paquets spécifiques pour KVM. Ils remportent une nouvelle fois l’InfoWorld BOSSIE Award en tant que meilleure solution pour Datacenter et Cloud.
Le tout toujours sans recours aucun à quelconque logiciel propriétaire.

Qui a dit qu’on ne pouvait pas faire de business avec l’OpenSource ?

Tags: cloud, levée de fonds, OpenSource, succès, vyatta

Firefox/Iceweasel, propose dans les dernières versions, une fonction permettant de synchroniser les données de son navigateur local sur d’autres machines ( smartphone y compris ). Pour bénéficier de cette fonctionnalité, vous avez 2 options. La première est de se reposer sur les serveurs de Mozilla. La deuxième, qui nous intéresse aujourd’hui, est d’héberger son propre serveur, ceci pour répondre à différentes problématiques ( vie privée, sécurité …. ).
Voici donc comment faire :
Je précise qu’il faut python2.6 installé et que l’on trouve dans Squeeze
En premier lieu, on va installer ce dont on a besoin: (pour le backend j’utiliserai Mysql. Mais sachez que d’autres backends sont supportés, tels que postgre ou sqlite3. Vous pouvez également, si vous le souhaitez, utiliser LDAP).

 aptitude install python-dev mercurial mysql-server python-virtualenv make 

Une fois tout installé on va télécharger le serveur depuis le dépôt de Mozilla, et le compiler :

 hg clone https://hg.mozilla.org/services/server-full
cd server-full
make build

Cette étape est plus ou moins longue en fonction de la machine et de la connexion. Si tout se passe bien, les dernières lignes de l’étape de compilation doivent être celles-ci :

Building the app
  Checking the environ   [ok]
  Updating the repo   [ok]
  Building Services dependencies
    Getting server-core     [ok]
    Getting server-reg     [ok]
    Getting server-storage     [ok]  [ok]
  Building External dependencies   [ok]
  Now building the app itself   [ok]
[done]

On va ensuite créer une base de données qui contiendra les utilisateurs :

 create database syncserver;
grant all on syncserver.* to 'mon_user'@'localhost' identified by 'mon_password';

On installe le module python qui va bien :

chemin/server-full/bin/easy_install Mysql-Python

Puis on édite le fichier de conf du serveur ( les directives à modifier sont spécifiées par <== ) :

 vi chemin/server-full/etc/sync.conf :
[global]
clean_shutdown = false

[captcha]
use = true <== le passer à true (false d'origine)
public_key = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
private_key = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
use_ssl = false

[storage]
backend = syncstorage.storage.sql.SQLStorage
sqluri = sqlite:////tmp/test.db
standard_collections = false
use_quota = true
quota_size = 5120
pool_size = 100
pool_recycle = 3600
reset_on_return = true
display_config = true
create_tables = true

[auth]
backend = services.auth.sql.SQLAuth
sqluri = mysql://mon_user:mon_password@localhost:3306/ma_database <== on spécifie\
le driver sql ici
pool_size = 100
pool_recycle = 3600
create_tables = true
fallback_node = http://localhost:5000/

[smtp]
host = localhost
port = 25
sender = weave@mozilla.com

[cef]
use = true
file = syslog
vendor = mozilla
version = 0
device_version = 1.3
product = weave

Insérez la ligne suivante dans votre script iptables, pour ouvrir le port 5000 :

#Sync Mozilla
iptables -t filter -A INPUT -p tcp --dport 5000 -j ACCEPT

Démarrez le serveur en le mettant en arrière plan :

cd chemin/server-full
bin/paster serve development.ini &
Starting server in PID 4400.
serving on 0.0.0.0:5000 view at http://127.0.0.1:5000

Voilà tout est prêt ! Vous n’avez plus qu’à lancer l’assistant d’Iceweasel et à indiquer votre serveur.

Tags: firefox, heberger, iceweasel, perso, serveur, sync

Récemment ces 3 acteurs majeurs du monde du Logiciel Libre et de l’OpenSource, ont communiqué sur l’éventuelle mise en place d’une procédure de boot sécurisée par les constructeurs. Ceci afin d’être compatible avec les prérequis de Microsoft pour la commercialisation de son futur Windows 8.
Si vous avez lu les 2 précédents billets sur le sujet vous êtes désormais familier avec ce qui nous attend.

Red Hat et Canonical ont écrit un livre blanc commun sur le sujet. Ce livre peut se résumer à un ensemble de recommandations que les 2 sociétés adressent aux constructeurs. Dans le même temps la Linux Foundation a édité le même genre de document avec le même but.

Les 2 documents ont une approche beaucoup plus constructive que ce que l’on pourrait penser de prime abord. Plutôt que de stigmatiser l’UEFI et son mode de boot sécurisé, les 3 entreprises prennent en quelque sorte le parti de Microsoft dans sa quête de plus de sécurité sur le poste de l’utilisateur.
Il est juste de reconnaître de bonnes intentions à Microsoft, dans leur volonté de renforcer la sécurité du processus de lancement des systèmes d’exploitation. En revanche et je cite Canonical et Red Hat :

« Les spécifications de l’UEFI pour un boot sécurisé ne définit pas qui contrôle les restrictions lors du boot sur les plateformes UEFI, laissant la décision au constructeur de la plateforme, du schéma de sécurité à utiliser.Malheureusement,les recommandations d’implémentation de Microsoft en matière de boot sécurisé ôtent du propriétaire du matériel ( NDLR : nous en l’occurrence ) tout contrôle sur le système, et pourraient empêcher les systèmes d’exploitation open source de fonctionner. Les prérequis de Windows 8 pour le boot sécurisé vont forcer les OEMs à implémenter le boot sécurisé de cette manière. »

En résumé ils déplorent le fait que le choix ne sera pas laissé à l’utilisateur final d’activer ou non cette fonctionnalité. C’est pour cela que plutôt que de dénoncer le système dans son intégralité, la Linux Foundation et Red Hat/Canonical, proposent aux constructeurs de donner la possibilité à l’utilisateur final, d’établir lui même sur son propre système, une liste des systèmes d’exploitation qui seront autorisés à démarrer sur sa machine. Ils demandent également que l’activation du boot sécurisé soit laissé à l’appréciation de l’utilisateur.
Pour cela ils s’appuient sur le fait que les spécifications de l’UEFI ne déterminent pas qui doit être en charge de l’implémentation des clés ( OEMs, utilisateurs finaux …. ). Seul Microsoft décide derechef que cette tâche doit incomber exclusivement aux constructeurs.

Je vous propose donc de lire les documents de la Linux Foundation et de Red Hat/Canonical qui vous donneront de manière exhaustive tous les détails sur l’implémentation du boot sécurisé et comment les utilisateurs de GNU/Linux ou autre ( BSD … ) peuvent en tirer avantage. Ceci bien entendu partir du moment où leurs recommandations sont prises en compte …

Je profite également de ce billet pour vous annoncer la naissance d’un mouvement destiné à lutter contre ce nouvel abus de position dominante de Microsoft : Libraboot.
Nous sommes en pleine constitution d’une association afin de faire valoir nos droits. Un forum existe également ainsi qu’un channel irc : #libraboot sur Freenode. Nous vous attendons nombreux.

Tags: boot, boot sécurisé, microsoft, sécurité, uefi

Je vous livre ici la traduction que je viens de terminer, d’un article paru sur le blog de Matthew Garrett développeur chez Red Hat, et qui nous livre quelques explications sur le futur mode de boot des PCs dits « Windows8 Certified ». Cet article est la 2e partie d’un dossier qu’il a rédigé sur l’UEFI et dont vous trouverez la première partie ici.

Microsoft a répondu aux interrogations qui suggèrent que Windows 8 rendra difficile le boot de systèmes d'exploitation alternatifs. Ce qui est intéressant, c'est qu'à aucun moment ils ne contredisent quoi que ce soit que j'ai dit. Telles que sont les choses, les systèmes certifiés Windows 8 rendront difficiles voire impossibles l'installation de systèmes d'exploitation alternatifs. Mais regardons cela de plus près.

Nous avons pris conscience de ce problème au début Août, chez Red Hat, nous avons mené des discussions avec d'autres fournisseurs de Linux, de matériel, et de BIOS. Nous voulions être sûrs que nous comprenions bien les tenants et les aboutissants de cette politique, dans le but d'éviter de déclarer des choses qui ne seraient pas appuyées par des faits. Voici ces faits :

• La certification Windows 8 nécessite que le matériel soit livré avec le mode de boot sécurisé de l'UEFI activé.
• La certification Windows 8 ne nécessite pas que l'utilisateur ait pas la possibilité de désactiver cette option de l'UEFI, et nous avons déjà été informés par les fournisseurs de matériel, que certains systèmes n'auront pas cette possibilité.
• La certification Windows 8 ne nécessite pas que le système embarque d'autres clés que celles de Microsoft.
• Un système qui serait livré avec le mode de boot sécurisé de l'UEFI activé, et qui n'embarquerait que les clés de signature de Microsoft ne pourra charger de manière sécurisée que les systèmes de Microsoft.

Microsoft bénéficie d'une position dominante sur le marché des systèmes d'exploitation dits de « bureau ». Malgré l'énorme retour d'Apple au cours de la dernière décennie, leurs parts de marché ne dépasse pas les 5 %. Linux est bien en dessous de ça. Microsoft détient facilement plus de 90 % du marché. La concurrence dans ce secteur est rude, et les fournisseurs saisiront la moindre opportunité. Cela inclut le logo du programme Windows, programme au travers duquel Microsoft distribue des « récompenses » aux constructeurs qui vendent du matériel répondant aux critères de leur certification. Les constructeurs qui choisissent de ne pas suivre ces prérequis de certification, seront désavantagés sur le marché. Donc c'est bien aux constructeurs de choisir de suivre ou non les critères de certification, mais la position dominante de Microsoft signifierait une baisse des ventes en disant non.

Pourquoi est-ce un problème ? Parce qu'il n'existe pas d'autorité centrale de certification pour les clés UEFI. Microsoft peut exiger que les constructeurs de matériel incluent leurs clés. Leurs concurrents eux ne peuvent pas. Un système livré avec les clés de signature de Microsoft et aucune autre sera incapable de mener à bien un boot sécurisé d'autres systèmes d'exploitation que ceux de Microsoft. Aucun autre fournisseur a le même pouvoir sur les constructeurs de matériel. Red Hat est incapable de s'assurer que chaque vendeur OEM n'inclut leur propre clé. Ni Canonical. Ni Nvidia, ou AMD ou n'importe quel autre fabricant de composants pour PC. L'influence de Microsoft dans ce secteur est même supérieure à celle d'Intel.

Qu'est-ce que ça signifie pour l'utilisateur final ? Microsoft proclame que que le client a les pleins pouvoirs sur son PC. Cela est vrai, si par « client » ils veulent parler des « constructeurs de matériel ». L'utilisateur final n'a pas l'assurance de disposer de la possibilité d'installer de nouvelles clés de signature dans le but de lancer, de manière sécurisée, le système d'exploitation de son choix. L'utilisateur final n'a pas l'assurance de désactiver cette fonctionnalité. L'utilisateur final n'a pas l'assurance que son système embarquera les clés qui seront nécessaires pour changer sa carte graphique en passant d'un constructeur à un autre, ou remplacer sa carte réseau en ayant toujours la possibilité de booter depuis le réseau, ou installer un nouveau contrôleur SATA qui reconnaitra son disque dur dans le firmware. L'utilisateur final n'a plus le contrôle total de son PC.

Si Microsoft voulait sérieusement donner l'entier contrôle à l'utilisateur final, ils feraient en sorte que les systèmes soient livrés sans clés installées. L'utilisateur aurait alors la possibilité de prendre sciemment la décision de limiter la flexibilité de son système et d'installer les clés. L'utilisateur serait alors informé de ce qu'il gagne et de ce qu'il abandonne.

L'ironie finale ? Si l'utilisateur n'a pas de contrôle sur les clés installées, l'utilisateur n'a aucun moyen d'indiquer qu'ils ne font pas confiance aux produits Microsoft. Ils peuvent faire en sorte d'empêcher leur système de lancer des logiciels malveillants. Ils peuvent faire en sorte d'empêcher leur système de lancer Red Hat, Ubuntu, FreeBSD, OS X ou n'importe quel autre système d'exploitation. Mais ils ne peuvent pas faire en sorte d'empêcher leur système de faire tourner Windows 8.

Les réfutations de Microsoft s'appuient entièrement sur des faits. Mais elles sont également trompeuses. La vérité est que les agissements de Microsoft enlève le contrôle de l'utilisateur final pour le placer dans les mains de Microsoft et des constructeurs de matériel. La vérité est que cela rend bien plus difficile la possibilité de faire tourner quoi que ce soit d'autre que Windows.
la vérité est que le boot sécurisé de l'UEFI est une fonctionnalité précieuse et plus qu'intéressante dont Microsoft détourne l'usage pour asseoir un peu plus son emprise sur le marché. Et la vérité est que Microsoft n'a même pas tenté d'apporter des contre-arguments.

Voila en lisant ce texte vous comprendrez bien le degré d’urgence à intervenir. Je ne saurais trop vous enjoindre à vous inscrire sur la liste de Philippe Scoffoni afin que nous puissions discuter tous ensemble des actions à mener pour contrer cette absurdité.

Tags: actions, matthew garrett, traductions, uefi

Pour ceux qui ne le sauraient pas encore, Microsoft se lance actuellement dans une nouvelle tentative visant à asseoir un peu plus son insupportable monopole sur l’Informatique Grand Public.
Sous couvert de renforcement de la sécurité, la firme de Redmond a évoqué lors de plusieurs présentations ( notamment celle qui a eu lieu lors de la conférence BUILD ) comment ils allaient sécuriser le processus de Boot de leur OS. S’appuyant sur l’UEFI ( remplaçant du vénérable et très vieillissant BIOS ) Microsoft demande aux constructeurs, de faire en sorte d’implémenter dans l’UEFI un mécanisme d’authentification de l’OS qui tente de booter la machine à base de clés privées clés publiques.
En clair tous les programmes nécessaires au boot d’un ordinateur devront être signés par une autorité de certification. La partie publique de la clé devra être contenue dans la base de données de l’UEFI. Cela concerne par exemple les chargeurs de boot, les drivers ….

L’argument de base de Microsoft est de dire que de nos jours la plupart des rootkits et autre joyeusetés du genre utilisent le processus de boot pour se lancer et qu’une fois lancés la seule véritable option est de réinstaller l’OS.
Si dans l’intention on peut se dire pourquoi pas, il faut savoir qu’un tel système peut aussi servir à empêcher les utilisateurs finaux de supprimer le système d’origine pour le remplacer par GNU/Linux par exemple !
Il suffit pout celà de ne pas permettre à l’utilisateur de modifier une option, ce qui à la base est prévu. Il ne faut pas compter non plus sur les constructeurs pour qu’ils mettent à disposition leur clé permettant de signer du code.

Microsoft abuse donc encore une fois de sa position en privant l’utilisateur final du contrôle simple et entier du matériel dont il a fait l’acquisition. Vous pouvez être sur qu’ils en abuseront également en obligeant les constructeurs à désactiver l’option de vérification de signatures. Bien sur une des réponses de Microsoft est de dire que les constructeurs auront le choix de le faire ou non. Mais imaginez-vous Dell ou HP se priver des parts de marché créées artificiellement la vente liée ?

A ce sujet Eric Besson vient d’annoncer que l’Open Source (je préférerais les termes Logiciels Libres mais bon …) tiendra une place plus que privilégiée dans le plan France Numérique 2020 et qu’il entend prendre des mesures concernant la vente liée. Quand on voit le boulot qu’il reste visiblement à accomplir, la communauté du Libre dont je me permets de porter modestement la voix appelle de ses voeux une remise en cause profonde de ce système qui je le rappelle est interdit par la loi …

Tags: abus, microsoft, position dominante, uefi, vente-liée

Après quelques années de développement et de tests acharnés, voilà enfin la version finale 2.0 disponible en stable. Rappelons que la beta était elle sortie en décembre 2009 ! et la RC1 en mars 2011. Je vous renvoie à ces précédents articles pour la liste des fonctionnalités et une description de Pfsense. Si la mise à jour vers cette nouvelle version est en théorie possible depuis n’importe quelle ancienne version, les développeurs nous renvoient tout de même vers un guide de mise à jour à lire avant toute manipulation. Ce guide vous indique comment procéder, mais également recense un certain nombre de bonnes pratiques à respecter lorsque l’on souhaite mettre son système à jour. Ces bonnes pratiques s’appliquent évidemment à tout système en phase de mise à jour.
Utilisant actuellement la version 2.0 RC1 en production, je vais désormais m’empresser de migrer vers cette version finale. Je vous encourage d’ailleurs vivement à faire de même, ou si vous ne connaissez pas le produit à le tester.

Si vous souhaitez utiliser Pfsense en entreprise, sachez qu’il est possible de souscrire à un contrat de support donnant entre autre accès aux mises à jour et à une hotline ainsi qu’à un portail dédié.

Tags: finale, pfsense 2.0, sortie officielle, version