du 29 août 2019
Catégorie 0

Sélectionnez les catégories à afficher

Date

Choisir une autre édition

De (trop) nombreuses failles et fuites durant l'été

Les pirates, « bugs » et autres problèmes techniques n'ont pas pris de congés et ont continué de sévir, avec des conséquences plus ou moins importantes. Plutôt que de diluer ces problèmes dans de nombreuses entrées, nous avons décidé de regrouper les principales brèches afin de vous donner un ordre d'idée de ce qui se passe en l'espace de deux mois seulement… et il y a de quoi prendre peur. 

Le plus gros drame de l'été s'est certainement déroulé chez Biostar 2. Des chercheurs ont accédé à une base de données de 23 Go comprenant 27,8 millions d'entrées. Dans le lot, des données de reconnaissance faciale et des empreintes de plus d'un million de personnes. Contrairement à un mot de passe, il n'est pas possible de changer d'empreintes ou de tête…

Tencent a identifiée une faille dans des puces Qualcomm permettant de prendre le contrôle d'un appareil à distance. Elle est affublée du nom QualPwn et concerne une large variété de SoC, allant des Qualcomm 215 aux Snapdragon 855 (la liste est disponible par ici). Le bulletin de sécurité d'Android du mois d'août bouche ces failles… encore faut-il pouvoir en profiter sur son terminal. 

Continuons avec KNOB (Key Negotiation of Bluetooth), une faille dans le protocole du Bluetooth (et pas son implémentation). Les chercheurs ont pu lancer leur attaque sur pas moins de 17 puces Bluetooth différentes. Les fabricants ont été prévenus fin 2018 et des correctifs ont déjà été déployés par les gros fabricants comme Apple, Google, Intel et Microsoft. 

Valve a été le parfait exemple de ce qu'il ne faut pas faire en matière de cybersécurité. Pour résumer grossièrement, le chercheur Vasily Kravets a signalé une faille sur HackerOne, qui n'en était en fait pas une selon Valve. Le chercheur a alors voulu dévoiler les détails, mais un membre de HackerOne lui a interdit de le faire, même si aucun correctif n'était en route, puis il a été banni de la plateforme. Il a ensuite trouvé une seconde faille dont il a publié des détails (pas sur HackerOne évidemment). Valve a ensuite fait machine arrière, reconnu son erreur et enfin déployé des correctifs.

De son côté, l'E3 a laissé filer un fichier contenant des détails personnels de 2 000 journalistes et influenceurs. La banque américaine Capital One n'est pas en reste car elle s'est fait dérober des données personnelles sur 100 millions d'utilisateurs. Toujours du côté des banques, Monzo a laissé accessible pendant six mois des données bancaires de près de 500 000 clients. La routine ou presque...

Twitter aussi s'est emmêlé les pinceaux et a pu transférer des données à des tiers alors que vous n'aviez pas donné votre accord. Epitech aussi a été confrontée à des fuites de données (élèves, enseignants et personnels administratifs) par un compte dénommé Epitek Reveal. Un ancien étudiant de l'école a publié sa vision des faits sur GitHub

Par deux fois, Google a laissé sur le Play Store une application malveillante intégrant un logiciel espion open source baptisé AhMyth. Pour Eset qui a découvert le pot aux roses, c'est un sérieux avertissement à Google qui doit renforcer ses protections.

Facebook n'a pas respecté sa promesse de ne laisser les enfants dialoguer qu'avec des personnes expressément autorisées par les parents dans Messenger Kids. En cause, un vilain défaut de conception : dans une conversation de groupe, n'importe quel utilisateur pouvait inviter des personnes qui avaient été approuvées par ses parents, mais pas par les parents des autres membres du groupe.

C'est presque devenu banal : une plateforme d'échange de cryptomonnaie (Bitpoin) s'est fait dérober 32 millions de dollars dans diverses devises, dont ripple et bitcoin. Dans ProFTPD, une faille permettait à un utilisateur authentifié d'écrire des données dans des répertoires où il n'était pas censé pouvoir le faire. 

Pour terminer, ce genre de mésaventures débouche aussi sur des sanctions. C'est le cas d'Equifax qui a trouvé un accord à 575 millions de dollars avec la FTC pour ses déboires de 2017. La société avait laissé fuiter des données de près de 150 millions d'utilisateurs, dont des permis de conduire et des cartes d'identité.  

Surnommé « Corby », il était un « professeur émérite », selon les propres mots de l'institut de technologie du Massachusetts.

Le MIT rappelle qu'il était connu pour avoir développé le premier système d'exploitation à temps partagé CTSS (Compatible Time-Sharing System) permettant à plusieurs personnes d'utiliser un ordinateur en même temps. 

Ce n'est pas tout : « Outre l'amélioration de l'efficacité en informatique, CTSS a également contribué par inadvertance à établir le concept même de la confidentialité numérique en introduisant l’idée que les utilisateurs créent des comptes individuels avec des mots de passe personnels », ajoute l'institut.

En 1990, il était lauréat du prix Turing, souvent qualifié de Nobel de l'informatique. Il s'est éteint le 12 juillet 2019 à son domicile de Newburyport dans le Massachusetts.

Fernando Corbató, « créateur » du mot de passe, est décédé à 93 ans

Microsoft a annoncé hier que les spécifications de son système de fichier exFAT allaient être ouvertes, en vue de promouvoir son support directement au sein du noyau Linux.

Cette ouverture était attendue de longue date. Actuellement, l’implémentation d’exFAT requiert l’acquisition d’une licence, Microsoft touchant notamment une perception sur les appareils Android. exFAT est en effet très utilisé sur les cartes SD, pour lesquelles il a d’ailleurs été développé.

Au-delà de l’intégration dans le noyau Linux, Microsoft souhaite également que ces spécifications soient ajoutées au fond Open Invention Network. Il collecte pour rappel des brevets pour les mettre à disposition des développeurs open source. 

Ne reste qu'à attendre la publication effective… et la réaction des développeurs du noyau.

Microsoft va ouvrir les spécifications d'exFAT en vue de l'intégrer au noyau Linux
Un État allemand et les Pays-Bas bannissent partiellement Office 365

En Allemagne, le débat de savoir si Office 365 est adapté aux usages fédéraux n’est pas neuf. À la lumière du RGPD, il a pris une tournure nouvelle. En juillet, il est encore monté en intensité après la décision, par l’État de Hesse, de bannir Office 365 des écoles publiques.

Pour le commissaire à la protection des données, Michael Ronellenfitsch, les données collectées et envoyées aux serveurs de Microsoft posent un vrai problème. Le RGPD impose qu’un consentement clair soit donné par l’utilisateur, ce qui ne peut se produire dans le cas des élèves.

Ce vieux débat avait poussé Microsoft à installer un centre de données en Allemagne pour y stocker les données émises par ses produits dans le pays. Mais selon la Commission de Hesse, ce centre a été fermé en août 2018. Ce que nie Microsoft, qui affirme que les données sont encore bel et bien stockées en Allemagne.

L’éditeur a rapidement réagi, remerciant l’État de Hesse d’avoir soulevé ces questions et annonçant sa volonté d’y répondre. D’ailleurs, le bannissement d’Office 365 a été mis en suspens, le temps que les négociations avancent.

Après une annonce aussi retentissante, il est peu probable qu’une ristourne suffise. Microsoft devra apporter la preuve que les données sont stockées localement s’il ne veut pas voir certains juteux contrats lui échapper. 

Par ailleurs, la décision du commissaire, même si elle parle surtout des produits Microsoft car très utilisés dans les écoles, concerne également Apple et Google, qui n’ont pas réagi.

En outre, les Pays-Bas ont eux aussi réagi, mais uniquement sur les applications mobiles et en ligne d’Office, les versions « desktop » étant, selon le pays, en accord avec le RGPD. Des discussions sont en cours, mais les applications mobiles et en ligne sont pour l’instant bannies des administrations néerlandaises. 

Le 13 août, Microsoft a annoncé que son Windows Virtual Desktop était presque prêt. Toutes les fonctions sont prêtes et seule manque la date de lancement, qu’on suppose pour cet automne.

WVD est pour rappel une session distante virtualisée dans laquelle l’utilisateur accède à un Windows 7 ou 10, aux applications Office 365 et éventuellement à d’autres produits tiers. 

Pour encourager l’adoption de son service, particulièrement dans les entreprises où Windows 7 revêt encore une grande importance, la version virtualisée du vieux système disposera du pack Extended Security Update et sera donc supportée jusqu’en janvier 2023.

On ne sait rien encore de la tarification envisagée. Selon ZDNet, des représentants de Microsoft ont confirmé que les entreprises intéressées devraient souscrire à Azure puis choisir le type de machine virtuelle voulu. 

Windows Virtual Desktop finalisé, la date de sortie et les tarifs encore inconnus

Le géant du Net propose déjà une extension Password Checkup afin de recevoir une alerte « si vous saisissez un nom d'utilisateur et un mot de passe qui ne sont plus sûrs, car ils ont été associés à une violation des données connue de Google ».

Chrome Canary (version de développement pouvant être installée en parallèle de Chrome) intègre nativement cette fonctionnalité, mais elle n'est pas activée par défaut. Pour cela, il faut saisir l'adresse « chrome://flags » dans la barre des tâches, mettre l'option Password Leak Detection sur Enable et redémarrer le navigateur.

Son arrivée dans Canary ne signifie pas obligatoirement qu'elle sera disponible dans la version finale de Chrome. XDA-Developers ajoute que cette fonctionnalité devrait aussi arriver sur Chrome pour Android. 

Google intègre nativement un vérificateur de mots de passe dans Chrome Canary
Windows 10 : une build 18947 déployée par erreur en juillet et un nouveau menu Démarrer

Fin juillet, Microsoft a commis une bourde : la préversion 18947 a été distribuée par erreur à l’ensemble des testeurs Insider. 

Problème, il s’agissait d’une build interne qui n’aurait même pas dû arriver dans le canal rapide. Or, les canaux lent et Release Preview l’ont également reçue, même si l’éditeur a rapidement corrigé le tir.

La préversion s’est surtout fait remarquer par un menu Démarrer très différent de l’actuel. Les vignettes dynamiques y sont par exemple absentes, les applications revenant à des icônes statiques, disposées en grille.

Elles sont surmontées d’une partie « Suggérées », liées probablement à la fréquence d’utilisation ou l’heure de la journée. Au-dessus, un champ de recherche, faisant doublon avec celui intégré dans la barre des tâches. 

Il s’agit clairement de tests menés en interne, mais qui témoignent de changements à venir dans Windows 10. Puisque la prochaine mise à jour semestrielle sera « mineure » (sans nouvelles fonctions) et diffusée pendant un Patch Tuesday, il se pourrait que le nouveau menu Démarrer débarque dans la future 20H1.

Cette version porte le nom de « Seitseminen », un parc national finlandais. L'équipe explique qu'il s'agit d'une mise à jour majeure, notamment avec du changement pour les applications People, Phone, Messages et Clock.

La sécurité est au cœur des attentions avec la prise en charge du chiffrement, mais aussi de l'identification par empreintes digitales pour les smartphones Sony Xperia XA2. Pour ces derniers, Android App (permettant de profiter des applications Android) est sortie de bêta. Les notes de versions détaillées sont disponibles par ici.

Pour rappel, Sailfish X (la version officielle téléchargeable pour des terminaux tiers) est disponible gratuitement pour les Xperia X, XA2 et Gemini PDA, mais il faut passer à la caisse pour ajouter des fonctionnalités supplémentaires comme le support des applications Android, la saisie de texte prédictive, la prise en charge de Microsoft Exchange, etc. Le tarif est de 49,90 euros pour les Xperia X et XA2, contre 29,90 euros pour le Gemini PDA.

Sailfish OS 3.1 : chiffrement et lecteur d'empreintes, Android App sort de bêta

On savait depuis l’automne 2017 que ce service finirait par disparaitre au profit de Teams, réponse de Microsoft à Slack. On connaît désormais la date pour la version Online : le 31 juillet 2021.

Les entreprises ont donc environ deux ans pour se préparer à la migration, si ce n’est déjà fait. Beaucoup attendent cependant que Teams intègre les fonctions de Skype for Business dédiées à la téléphonie, notamment la centralisation et la gestion des appels. Toutes ne sont pas encore présentes mais l’intégration progresse.

Plusieurs ajouts annoncés récemment dans Teams sont d’ailleurs liés. Par exemple, Dynamic E911 pour les États-Unis, permettant l’utilisation de la position géographique pour router l’appel vers le Public Safety Answering Point (PSAP) le plus adapté. La fonction sera ajoutée vers la fin de l’année.

Microsoft a également annoncé, pour le premier trimestre 2020, l’interopérabilité entre Teams et la version grand public de Skype. Les utilisateurs des deux services pourront communiquer par l’écrit ou la vidéoconférence.

Notez que l’annonce de retraite de Skype for Business ne concerne pour l’instant que le client. La version Server continuera donc de vivre jusqu’à ce que Microsoft en décide autrement.

Skype for Business Online prendra sa retraite en juillet 2021
Airmail passe à l'abonnement sur iOS, colère des utilisateurs

Airmail est l’une des applications « star » de l’App Store sur iOS. Vendue 4,99 euros jusqu'à récemment, ses fonctions nombreuses sont globalement très appréciées des utilisateurs. Le changement de modèle économique a cependant engendré la colère.

L’application elle-même est devenue gratuite. Ses fonctions en sont cependant limitées : on ne peut ni ajouter plusieurs comptes, ni recevoir les notifications push. Pour débloquer ces deux fonctions, il faut désormais souscrire un abonnement, et pas des moindres : 2,99 euros par mois ou 9,99 euros par an. 

Même ceux qui avaient payé Airmail se retrouvent à devoir s’abonner s’ils veulent conserver leurs fonctions. La note globale de l'application sur la boutique s'est effondrée.

Cette version Premium a par ailleurs été la seule à recevoir depuis des nouveautés importantes, comme en témoignent les notes de versions pour juillet et août : thèmes, blocage du pistage, intégration de l’agenda, nouveau design, disposition spécifique pour l’iPad Pro, mode privé, actions récentes, tri des messages ou encore renvoi. 

Dans le même temps, l’éditeur Bloop a lancé Airmail Zero, dédié à Gmail… avec les mêmes limitations et le même abonnement. Intégralement développée en Swift, elle se veut particulièrement véloce, mais ne remporte que peu l’adhésion des utilisateurs. Les critiques sont nombreuses et beaucoup évoquent des bugs pénibles.

Enfin, le client Airmail pour macOS passe de 9,99 à 29,99 euros, sans bénéfice particulier.

Dans l’ensemble, ce changement de modèle économique resserre le public visé sur les « professionnels » ayant des besoins spécifiques dans ce domaine. Cependant, il met également en lumière une lassitude du public face à la multiplication des abonnements au détriment des achats uniques. 

Mozilla avait lancé son navigateur pour les environnements de réalité virtuelle en septembre de l'année dernière. Il était alors disponible pour les plateformes Oculus Go, Viveport et Daydream.

Désormais, le navigateur orienté réalité augmentée est aussi accessible aux possesseurs d'un casque autonome Oculus Quest. L'éditeur en profite pour annoncer la prise en charge de WebXR « dans les mois à venir ».

Firefox Reality est disponible sur le casque de VR Oculus Quest

En l'espace d'une semaine, l'équipe en charge de développer le logiciel libre de modélisation et d’animation 3D a eu droit à deux bonnes nouvelles.

Epic Games injecte 1,2 million de dollars (via un paiement étalé sur trois ans) dans la cadre de son programme MegaGrants. Doté d'une enveloppe de 100 millions de dollars, il vise à soutenir les créateurs/développeurs utilisant son moteur Unreal Engine ou améliorant les capacités des outils open source. 

Une semaine plus tard, Ubisoft rejoignait le Blender Foundation Development Fund en tant que membre Gold (30 000 euros par an). Le studio a mis en ligne une interview de Pierrot Jacquet (responsable des productions chez Ubisoft Animation Studio) pour en expliquer les raisons. 

Enfin, Blender a mis en ligne la version 2.8 de son application durant l'été. Les notes de version se trouvent par ici. Le travail sur la 2.8.1 a déjà commencé et cette mouture devrait arriver en novembre.

Epic Games et Ubisoft investissent dans la Blender Foundation
Première mondiale : 850 000 ordinateurs infectés par le botnet Retadup nettoyés à distance

L'opération a été menée par le Centre de lutte contre la criminalité numérique (C3N) de la Gendarmerie en lien avec le FBI. Le botnet a été créé en 2015 et s'est répandu sur 850 000 ordinateurs dans 160 pays.

Ils étaient donc sous le contrôle d'un groupe de pirates qui s'en sont servi pour « mener des attaques dans des hôpitaux pour voler les données des patients, à faire du randsomware, à bloquer des ordinateurs avec des demandes de rançon et ça servait – au moment où on lui est tombé dessus – à principalement générer de la crypto monnaie », explique à Europe 1 le colonel Jean-Dominique Nollet, commandant du C3N.

En mars 2019, le centre de commande et contrôle du botnet se trouvait en France, chez un hébergeur de la région parisienne. Les gendarmes se sont rendus sur place et ont effectué une copie du serveur pour ensuite le décortiquer dans leurs laboratoires. 

Ils sont ensuite retournés chez l'hébergeur pour remplacer le serveur par une version modifiée par leurs soins pour prendre le contrôle du botnet : « Quand les virus viennent voir la tour de contrôle en disant "est-ce que j’ai un ordre ?", on leur a donné l’ordre de se neutraliser ». Une « première mondiale » selon la gendarmerie.

Enfin, les enquêteurs précisent que la plupart des ordinateurs infectés n'avaient pas d'antivirus à jour. Ils rappellent l'importance de ne pas cliquer sur un lien suspect, de ne pas télécharger des pièces jointes d'expéditeurs inconnus et d'analyser son ordinateur et clés USB avec un antivirus. 

Des années après la version 3.0.7, le gestionnaire de téléchargements avancé revient enfin. Il permet notamment de télécharger tous les liens et images contenus dans une page Web.

Cette mouture est largement en retard puisque l'équipe pensait la publier en même temps que Firefox Quantum en… 2017. Il avait alors largement critiqué le choix de Mozilla d'imposer les WebExtensions. 

Quoi qu'il en soit, la première bêta de DownThemAll! est arrivée le 21 août, suivie d'une seconde le lendemain et d'une troisième le 27 août : « La version finale arrivera sous peu. Probablement dans une semaine, en fonction des retours et des bugs que vous signalez ».

L'équipe reconnaît qu'il « manque beaucoup de fonctionnalités du DownThemAll! original [...] car le système WebExtensions imposé au monde par Mozilla ne permet pas beaucoup de choses avancées ».

DownThemAll! revient en version 4 (bêta), comme une WebExtensions Firefox

Le CCC (qui n'a rien à voir avec le Comité Contre les Chats des Nuls ou le Chaos Computer Club) regroupe déjà de nombreux acteurs : Alibaba, Arm, Baidu, Google Cloud, IBM, Intel, Microsoft, Red Hat, Swisscom et Tencent. Amazon (Web Services) brille par son absence.

Ensemble, ils « collaboreront sur des technologies et des normes open source pour accélérer l’adoption de l’informatique confidentielle ». Microsoft rappelle que « l’informatique confidentielle ajoute de nouvelles fonctionnalités de sécurité des données à l’aide d’environnements d’exécution approuvés (TEE) ou de mécanismes de chiffrement pour protéger vos données en cours d’utilisation ».

Les participants envisagent d'apporter des contributions open source au CCC, notamment un kit de développement pour le Software Guard Extensions (SGX) d'Intel, un SDK Microsoft Open Enclave et Red Hat Enarx. Le but étant de mettre en place des infrastructures et des applications TEE (Trusted Execution Environment).

Un site officiel avec une foire aux questions est disponible par ici.

Sécurisation des données : la Linux Foundation annonce le Confidential Computing Consortium
Firefox 70 épinglera les sites n'utilisant pas HTTPS

Attendue pour le 23 octobre, cette version fera du HTTPS la valeur par défaut pour les sites visités. Traduction : l'accès sécurisé deviendra le standard, seuls les sites n'en profitant pas étant alors labellisés comme tels. 

Jusqu'à présent, ce signalement n'était présent que sur les pages embarquant un formulaire de connexion, afin d'avertir l'internaute que ses identifiants étaient transmis sans chiffrement.

Chrome a adopté ce comportement global dans sa version stable depuis l’année dernière. Dans Firefox, il faut pour l'instant changer un réglage dans le « about:config » pour l'obtenir :

  • security.insecure_connection_icon.enabled : dans toutes les sessions de navigation
  • security.insecure_connection_icon.pbmode.enabled : uniquement en navigation privée

Les utilisateurs des versions Nightly peuvent cependant voir ce nouveau comportement par défaut. Firefox 69 devant sortir dans quelques jours, la version 70 entrera dans la foulée dans le canal bêta et sera dès lors disponible chez un plus grand nombre d’utilisateurs.

Selon les dernières statistiques fournies par Let’s Encrypt, 79,3 % des pages chargées par Firefox sont actuellement en HTTPS (la télémétrie provient de Mozilla). 

La majeure partie du chemin a donc déjà été parcourue, mais les derniers 20 % seront les plus difficiles à résorber, l’immense majorité des principaux sites ayant déjà transité vers le HTTPS. Le changement introduit dans Firefox 70 ne peut donc qu’encourager les retardataires. 

Le 19 octobre prochain, Google entérinera deux nouvelles règles pour les concepteurs d’extensions pour Chrome.

D’une part, elles auront l’obligation de ne réclamer que la plus petite quantité de données possible. La demande n’était jusqu’à présent qu’un simple « encouragement ».

D’autre part, toutes celles gérant des données fournies par l’utilisateur et des communications personnelles devront fournir une politique de vie privée facilement accessible. Seules les extensions gérant des données personnelles et sensibles devaient s’en acquitter jusqu’ici.

Google recommande aux développeurs de vérifier leurs extensions maintenant, car les contrôles qui commenceront le 19 octobre aboutiront à des suppressions ou des rejets du Web Store si les règles ne sont pas respectées.

L’annonce a été faite le 23 juillet et a provoqué une réaction de Mozilla, qui a récemment communiqué également auprès des développeurs. Le père de Firefox rappelle son programme Recommended Extensions (vérifiées et davantage visibles dans le catalogue) et invite à relire sa liste des bonnes pratiques

Project Strobe : Google durcit le ton autour de la vie privée dans les extensions Chrome

Il y a environ un mois, à travers une nouvelle préversion sur la console, Microsoft a à la fois révisé – une fois de plus – l’écran d’accueil et supprimé Cortana.

Les changements restent dans l’optique de simplifier l’interface, afin que les joueurs puissent accéder le plus rapidement possible aux jeux. 

Le retrait de Cortana était prévu, puisque l’assistant vocal personnel se réoriente progressivement vers le monde de l’entreprise et la productivité. 

Notez que l’on parle des capacités inhérentes au système de la console. Les commandes vocales resteront disponibles depuis un smartphone, si les applications Cortana ou Alexa sont installées (avec la skill Xbox pour la seconde).

La nouvelle version majeure du système pour la console sera distribuée cet automne, potentiellement le mois prochain.

La Xbox One n'aura plus Cortana dès cet automne
LibreOffice 6.3 permet de censurer les documents

Pas de vacances pour les développeurs de la suite bureautique, dont la version 6.3.0 « fresh » est sortie il y a environ deux semaines. Pour rappel, la branche fresh signale des versions ne bénéficiant pas du support longue durée.

On retrouve comme d’habitude des améliorations générales de performances et sur l’import/export des documents Office (Microsoft). Plusieurs ajouts importants sont présents, notamment FOURRIER() dans Calc pour les fonctions du même nom.

L’un des ajouts majeurs est clairement l’outil de censure, disponible depuis tous les éléments de la suite bureautique. Accessible depuis le menu Outils, il permet la sélection de texte pour y faire apparaître les fameuses barres noires.

Après quoi l’utilisateur exportera le document en PDF, qui pourra alors être distribué ou imprimé sans possibilité de lire le texte ainsi marqué. 

Mais attention, car l’outil propose deux manières d’exporter. Un bouton tout à droite de la nouvelle fenêtre permet de générer directement le fichier, mais avec un bémol : il reprend le degré de transparence choisi par l’utilisateur. Il est réglé par défaut à 50 % pour permettre la sélection du texte tout en continuant à voir sur quoi on travaille. Distribué ou imprimé ainsi, le texte restera donc lisible.

Le bouton à gauche déroule un menu faisant apparaitre deux options : export noir et export blanc. Cette fois, plus de transparence, les deux couleurs étant pleines. Un choix ergonomique étrange, et on peut supposer que l’on pourra à l’avenir changer le comportement par défaut du bouton d’export direct.

Notez également que plusieurs barres d’outils en préparation sont enfin prêtes et disponibles presque partout. C’est le cas des onglets compacts de la NotebookBar, accessible maintenant depuis Writer, Calc, Impress et Draw. Contextual Single UI est disponible quant à elle depuis Writer et Draw.

À compter de la version 19.10, attendue pour octobre, Ubuntu intégrera une série d’améliorations sur le support du système de fichiers ZFS. Canonical envisage à plus long terme de les porter vers Ubuntu Server, la version Desktop servant en quelque sorte d'entrainement.

L’éditeur intégrera ZFS On Linux (ZOL) 0.8.1 dans sa distribution, ouvrant la voie à des fonctionnalités comme le chiffrement natif, le support des instructions TRIM, les points de contrôle, les transmissions brutes chiffrées ou encore les quotas, en plus d’améliorations significatives de performances.

En outre, l’éditeur a porté des correctifs parus après cette version 0.8.1 mais non encore intégrés dans une mouture. Ce travail de surveillance continuera après l’arrivée d’Ubuntu 19.10 et sera assuré par les développeurs de la distribution. Enfin, le menu GRUB prendra en compte les partitions ZFS.

À terme, Canonical souhaite que ZFS puisse être utilisé comme n’importe quel autre système de fichier, avec une configuration par défaut prenant en charge les instantanés automatiques, le retour simplifié vers un état antérieur, les mises à jour hors ligne, les sauvegardes, etc.

Les usages autour de ZFS variant fortement, un nouveau service fait son apparition : zsys. Il fera le lien avec GRUB et ZFS on Linux pour fournir des fonctionnalités qui seront décrites plus tard. Quand le travail sera jugé suffisamment solide, les modifications seront fournies aux mainteneurs de GRUB et ZOL.

L’éditeur semble donc particulièrement sérieux sur le support de ZFS. Le projet inspire d’ailleurs, puisque le développeur Marcin Skadetailrbek compte porter zsys vers Fedora. 

Ubuntu renforcera son support de ZFS à partir de la version 19.10

On ne s’en étonnera pas, tant IBM – qui a racheté Red Hat – est proche des architectures RISC de longue date.

RISC-V est une architecture libre de jeu d’instructions, 64 bits et développée initialement par l’université de Berkeley. L’adressage de la mémoire peut se faire jusqu’en 128 bits, le nombre de cœurs peut être potentiellement très élevé et chaque acteur intéressé est libre d’ajouter des instructions supplémentaires.

En dépit de la présentation de plusieurs prototypes avec les années, aucun processeur n’a encore été mis sur le marché. Plusieurs sont cependant en préparation et Red Hat compte se tenir prêt. L’éditeur rejoint ainsi plusieurs grands noms comme Google, Qualcomm, Western Digital et Samsung.

Red Hat rejoint la fondation RISC-V
Edge (Chromium) passe en bêta, la lecture à haute voix s'améliore grâce aux réseaux de neurones

Disponible depuis le mois d'avril dans les canaux Canary (mise à jour quotidienne) et Dev (hebdomadaire), le navigateur de Microsoft basé sur Chromium débarque en version bêta, avec une mise à jour toutes les six semaines environ.

Elle est donc plus stable pour ceux qui voudraient tenter l'expérience, en attendant la mouture finale.  Plusieurs nouveautés sont de la partie, dont Microsoft Search intégré dans Bing et le mode Internet Explorer. 

Joe Belfiore en profite pour annoncer que Edge Chromium a été téléchargé plus d'un million de fois avec 140 000 retours individuels. C'est également l'occasion de lancer un Bug Bounty, avec jusqu'à 30 000 dollars de récompense.

Une semaine auparavant, Microsoft améliorait le module de lecture à haute voix d'Edge Chromium avec pas moins de 24 synthèses vocales disponibles, dont certaines alimentées par  des réseaux neutres profonds.

Il suffit de cliquer sur le menu « … » (en haut à droite), puis sur Lecture à haute voix et de cliquer sur Option de voix dans la barre se trouvant juste sous celle des favoris. Les voix entraînées par un réseau neuronal sont identifiées par un (Neural).

La première « version à point » de Debian 10 est maintenant proche. Le système étant sorti le 6 juillet, c'est un peu plus long que d’habitude, mais l’équipe en a donné les raisons. C’est une simple question de calendrier : les vacances des uns et des autres, ainsi que la conférence DebConf fin juillet.

Elle précise également que la période de la première version à point est souvent très chargée. Une manière d’indiquer aux mainteneurs des paquets que les patchs envoyés ne seront sans doute pas pris en compte avant la publication de Debian 10.1.

Rappelons que ces versions sont des collections de toutes les mises à jour sorties jusqu’ici, avec quelques modifications supplémentaires. Les utilisateurs mettant régulièrement à jour leur système n’auront donc que très peu à télécharger.

Ces versions servent surtout à ceux qui auraient besoin de faire une installation neuve de Debian, via des images ISO refaites pour l’occasion.

Debian 10.1 disponible le 7 septembre
Ubuntu 18.04.3 introduit le noyau 5.0, avec un meilleur support de Livepatch

Les utilisateurs d’Ubuntu 18.04 – dernière version LTS en date – ont reçu il y a deux semaines un lot de correctifs correspondant à la version 18.04.3 du système.

Habituellement, ces versions « à point » remplissent le même objectif que celles de Debian par exemple : réunir au sein d’un même lot l’ensemble des correctifs sortis depuis la version précédente. Elles permettent la création de nouvelles images ISO, pour des installations neuves à jour ou presque.

Les ISO de la 18.04.3 contiennent cependant des éléments qui n’ont pas été distribués automatiquement aux utilisateurs, notamment un noyau Linux 5.0. Ce dernier comportait pour rappel de très nombreuses améliorations, dont un support étendu du matériel.

Pour ceux ayant déjà Ubuntu 18.04 depuis un moment, deux cas de figure. Si vous avez installé le système depuis une image 18.04.2, les mises à jour automatiques ont fait tout le travail. Si votre installation est antérieure, même en ayant fait depuis toutes les mises à jour, vous n’avez pas la 18.04.3.

Comme pointé par OMGUbuntu, il est nécessaire pour y passer d’installer un composant nommé HWE (pour « hardware enablement ») via la commande : 

sudo apt-get install --install-recommends linux-generic-hwe-18.04 xserver-xorg-hwe-18.04

Après un redémarrage, les mises à jour « manquantes » seront téléchargées et installées. Notez que la manipulation n’est utile que si l’on a un intérêt particulier à passer sur un noyau 5.0. L’un d’eux est la meilleure prise en charge de Livepatch, pour peu qu’il soit utilisé.

Ubuntu 18.04 est une version LTS, probablement installé sur des machines qui n’ont que peu d’intérêt à changer, par des utilisateurs privilégiant avant tout la stabilité. Si tout fonctionne bien, il n’est peut-être pas nécessaire de tenter le diable.

Les évolutions majeures de Paint.net sont rares. Pour preuve, la 4.0 est sortie en 2014 et la 4.1 seulement l’année dernière. Aussi, l’arrivée d’une 4.2 est significative, d’autant que l’outil gratuit est apprécié des utilisateurs.

Ce logiciel de dessin et retouche pour Windows abandonne ainsi la GDI+ pour se baser sur Windows Image Component. Le changement apporte le support des BMP 32 bits avec canal alpha ou encore le support de plus gros fichiers JPG, TIFF et PNG (avec des améliorations notables de performances).

Paint.net 4.2 supporte également l’édition des fichiers HEIC. Le format est celui utilisé pour rappel par défaut dans iOS depuis deux ans. 

Il est cependant nécessaire que le pack HEVC Video Extensions soit installé, ce qui est le cas si vous avez un ordinateur Windows 10 ayant au moins la mise à jour 1809 depuis un moment. Pour les machines récentes, il est nécessaire de le récupérer depuis le Windows Store.

En plus d’optimisations de performances et de bugs corrigés, Paint.net 4.2 introduit de nouveaux raccourcis clavier pour naviguer dans les calques, peut sauvegarder en PNG entrelacé, charge les fichiers TGA quatre fois plus rapidement et utilise moins de CPU pour la mise à jour des miniatures.

Entre temps, une version 4.2.1 a apporté une nouvelle salve de correctifs. 

Paint.net 4.2 accélère et prend en charge le HEIC

La nouvelle version du langage de programmation a été lancée au début de l'année, avec de nombreuses nouveautés à la clé.

Sur Raspberry Pi, il était déjà possible de profiter de la version en ligne, mais pas de télécharger Scratch 3 pour l'installer. C'est désormais le cas, à condition d'avoir la dernière version de Raspbian Buster installée. 

Scratch 3 nécessite au minimum 1 Go de mémoire pour fonctionner, avec 2 Go recommandés. Les Raspberry Pi 2, 3, 3B+ et 4 sont ainsi compatibles, mais l'équipe prévient que des plantages peuvent survenir si plusieurs applications sont lancées en même temps.

Un guide complet d'installation et d'utilisation est disponible par ici.

Scratch 3 enfin disponible sur les Raspberry Pi
Slack : nouveau client plus rapide et renforcement de la sécurité

La période estivale a été riche en annonces importantes chez Slack, à commencer par un client desktop nettement plus efficace.

Il lui était souvent reproché sa consommation de ressources, le client pouvant dévorer plusieurs Go de mémoire vive dès lors que l’on participait à plusieurs groupes. Un féroce appétit cadrant mal avec ses fonctions de messagerie, aussi complète soit-elle.

Les chiffres fournis par l’éditeur sont éloquents : une consommation de RAM réduite jusqu’à 50 %, un lancement 33 % plus rapide et une participation aux appels prenant jusqu’à dix fois moins de temps.

Cette nouvelle version, dont la distribution a commencé fin juillet, embarquait également deux autres améliorations notables. Certaines actions, comme le changement de statut et les réactions aux messages, peuvent se faire en ligne. De même, l’utilisateur pourra consulter l’historique des canaux déjà ouverts si la connexion vient à être coupée.

Deux semaines plus tard, l’entreprise annonçait plusieurs nouveautés liées à la sécurité, notamment pour les administrateurs. Ils peuvent dorénavant ajouter une couche supplémentaire de protection, comme la reconnaissance digitale, faciale ou des phrases de passe. En cas d’appareil perdu, la session Slack peut être effacée à distance. 

Les applications mobiles sont particulièrement visées, puisqu’un administrateur pourra y interdire le téléchargement des fichiers échangés. Il pourra même bloquer la copie des messages. Un peu plus tard cette année, il sera possible de définir le nombre d’appareils sur lesquels un employé peut être connecté simultanément.

Un nouvel outil permet en outre de créer une liste blanche de domaines pour s’assurer que personne n’accède à des espaces de travail sensibles.

Disponible depuis une semaine, la nouvelle version du navigateur s’en prend une nouvelle fois aux sites bruyants, ou plutôt « potentiellement bruyants ». Une option permet désormais, via un clic droit sur l’onglet, de rendre le site silencieux, même s’il n’a encore joué aucun son.

Cette fonction rejoint les options déjà disponibles dans les réglages de Vivaldi. Par défaut, tous les sons sont joués, mais on pourra par exemple ne laisser actif le son que dans l’onglet en cours d’utilisation.

Parmi les autres nouveautés, on note :

  • La possibilité sous Windows d’ajouter sur le bureau des raccourcis vers des profils spécifiques
  • La possibilité d’activer le plugin Flash au besoin
  • La barre d’état reflète l’opération en cours sur la page, comme « Traitement de la requête » ou « En attente »
  • Un ancien bug récalcitrant provoquant des plantages de la version macOS a enfin été corrigé

Comme d’habitude, le navigateur s’est probablement mis à jour automatiquement depuis la disponibilité de la nouvelle version. Ceux qui préfèrent en récupérer l’installeur pourront le faire depuis le site officiel.

Vivaldi 2.7 fait taire les onglets avant qu'ils chantent

Signe des temps, le Bloc-notes de Windows est maintenant disponible sur le Store. Un changement quelconque à prévoir ? Oui, mais pas pour l’instant.

Pour pouvoir l’installer depuis la boutique, il faut impérativement être dans le canal rapide du programme Insider. Microsoft va y tester les mises à jour de l’application, qui n’aura donc plus besoin des nouvelles versions de Windows pour évoluer.

Canal rapide oblige, le changement ne sera en fait disponible pour le grand public qu’au premier semestre 2020. On peut imaginer d’ici là que d’autres applications rejoindront ainsi le Store, autorisant des mises à jour indépendantes du système.

Bloc-notes de Windows migre à son tour vers le Store
DirectX 12 sur Windows 7 : le guide de développement disponible

En mars dernier, Microsoft annonçait que DirectX 12 serait disponible pour Windows 7. Il y a quelques jours, l’éditeur a publié son guide de développement.

On peut y apprendre notamment que les modifications à apporter sont peu nombreuses, que la parité fonctionnelle est en majorité respectée et qu’il faudra compter avec une courte liste de limitations. Par exemple, pas question de DirectML (machine learning local) sur l’ancien système. Seule la version 64 bits SP1 est supportée et les systèmes de type SLI ne sont pas pris en charge.

Selon Microsoft, et d’après les retours collectés par des développeurs, il faut entre quelques jours et deux semaines pour adapter un jeu, bien que cette durée puisse varier avec la taille du projet.

Il est cependant curieux que Microsoft ait attendu la dernière année de support de Windows 7 pour lui ouvrir les portes de DirectX 12, à moins que la firme n’ait déjà en réserve une carte « Repousser la date ».

ExtremeTech spécule sur la Chine, où Blizzard possède une très importante base d’abonnés à Word of Warcraft. Or, avec sa dernière extension (Battle for Azeroth), le moteur du jeu est passé à DirectX 12 (le 11 reste disponible pour les machines plus anciennes). 

Windows 7 étant encore très présent en Chine, Microsoft aurait décidé de répondre à une demande plus ou moins formulée. Ce qui expliquerait pourquoi le jeu prenait déjà en charge DirectX 12 pour Windows 7 dès sa version 8.1.5.

Le lecteur multimédia planche depuis plusieurs mois sur ce changement important (et attendu). Avant son lancement dans le grand bain, des testeurs sont demandés sur iOS… « si vous n'avez pas peur des bugs ».

Un programme de test existe aussi sur Android pour rappel.

VLC cherche des testeurs pour sa nouvelle interface sur iOS

Nouvelle version majeure pour l'environnement de développement. La 3.5 apporte des améliorations significatives, dont la finalisation du projet Marble.

Pour rappel, il s’agissait d’une « prise de conscience » de Google au sujet de son environnement de développement, considéré comme trop lourd et gourmand par les développeurs. Les huit derniers mois ont donc été consacrés à des corrections et optimisations. 

Android Studio 3.5 est la première mouture à en profiter, même si les améliorations continueront désormais sur les suivantes. En conséquence de quoi, les performances ont été améliorées à peu près partout, de la rédaction du code à la compilation.

En contrepartie, les nouvelles fonctions sont peu nombreuses. L’un des apports les plus visibles est sans conteste la prise en charge de Chrome OS, sur lequel Android Studio peut donc maintenant être installé. 

Un support autorisé par les améliorations de Marble. Mais les Chromebook, souvent peu puissants, seront probablement plus souvent utilisés pour continuer à développer en déplacement, laisser la compilation à des machines plus performantes. 

Android Studio 3.5 profite des optimisations du projet Marble
VMworld 2019 : VMware à fond sur Kubernetes

Lundi, lors de la conférence VMworld, VMware a présenté un nouveau produit destiné à gérer, au sein d’une vue unique, les machines virtuelles et conteneurs.

Nommé Tanzu, il doit répondre à une problématique grandissante dans les entreprises, souvent partagées entre les machines virtuelles classiques et l’approche plus moderne des conteneurs, où Kubernetes règne largement.

Craig McLuckie et Joe Beda faisaient justement partie de l’équipe originelle de développement de Kubernetes, avant que le second ne cofonde la société Heptio, rachetée depuis par VMware. McLuckie avait entretemps rejoint Heptio.

Objectif global, se servir du « substrat Kubernetes » pour considérer l’ensemble d’une architecture d’un œil unique. Une vue d’ensemble qui permettrait de mettre en évidence les technologies nécessaires pour migrer les anciennes applications, en développer de nouvelles ou encore pour supporter les produits tiers.

À terme, Tanzu ambitionne de gérer le spectre complet des applications en entreprise, en répondant à toutes les situations, quel que soit le type de cloud. Le produit n’est cependant pas terminé. Plusieurs composants sont disponibles en préversions, dont Mission Control, pour la gestion des clusters Kubernetes, et Project Pacific, qui permet à vSphere d’embarquer nativement Kubernetes.

Ce document est obligatoire depuis l'application du règlement européen sur la protection des données, pour « tous les organismes qui traitent des données personnelles de façon régulière dans le cadre de leurs activités » rappelle la CNIL.

Une règle qui s'applique également aux « sous-traitants qui gèrent des données personnelles pour le compte d’un autre organisme, [il] doit comprendre notamment la liste des activités réalisées pour le compte de leurs clients ».

Pour faciliter la vie des entreprises, la Commission avait mis en place un modèle de registre simplifié, revu au début de l'été et disponible dans un format ouvert. Il est accompagné d'un petit guide pratique.

Mise en conformité RGPD : la CNIL publie un nouveau modèle de registre simplifié

Cette nouvelle version de l'OS permettant de préserver sa vie privée et son anonymat en ligne est attendue pour le 22 octobre. Elle commence sa phase de tests publics.

Parmi les nouveautés évoquées on note le support de Thunderbolt, le remplacement de KeePassX par KeePassXC, le déplacement d'autres applications dans la liste des logiciels complémentaires (Scribus, LibreOffice Math, etc.). 

Les notes de versions complètes sont par ici, précisant que le plus gros changement est le passage à Debian 10 Buster. On remarque également que les guides d'installation font désormais référence à une version maison de (Balena) Etcher, sans doute pour éviter les éléments publicitaires intégrés.

Les testeurs sont appelés à faire leurs commentaires, l'équipe cherchant notamment à analyser la compatibilité avec les machines Apple ou celles équipées d'une carte graphique AMD/NVIDIA récente.

Tails 4.0 arrive, une première beta disponible
La « Protection Avancée » de Google disponible dans Chrome, si vous êtes connecté

Il y a deux ans, la société a commencé à proposer ce service. Il permettait alors à des utilisateurs d'activer un niveau d'exigences supplémentaire pour la sécurité de leur compte Google.

Désormais, c'est étendu à Chrome. La société ne détaille pas les mesures mises en place, mais promet une protection renforcée contre les téléchargements malveillants. Des alertes et blocages supplémentaires seront ainsi mis en place.

Pour en profiter, il faudra par contre être connecté dans le navigateur via son compte Google, une exigence qui rappelle le problème principal de ce programme qui dit s'adresser aux activistes, journalistes, patrons et autres personnalités publiques.

Car la protection avancée devrait être le niveau par défaut de sécurité, ne serait-ce que pour éviter d'être un moyen de désigner les comptes à risque, manipulant des données sensibles. Ceux qui le souhaitent pourraient alors demander un niveau de sécurité plus laxiste.

L'autre souci est la dépendance que cette façon de faire implique entre la connexion aux services de Google et le niveau de sécurité proposé. Comme si les utilisateurs ne pouvaient être protégés par leur navigateur... que s'ils sont clairement identifiés et suivis.

Le langage de Microsoft, libre et open source, est pour rappel un surensemble de JavaScript adapté aux gros projets. Google l’a choisi comme « voie royale » pour son Angular.

La version 3.6, sortie il y a une semaine, a apporté quelques améliorations significatives. Le langage est ainsi plus strict avec les fonctions de génération et d’itération. Il était par exemple impossible jusqu’ici de savoir quand une valeur était yielded ou provenant d’un générateur. 

Améliorations également pour les Promises, largement utilisées dans les interactions avec les données asynchrones. Les erreurs étant courantes, des messages spécifiques demanderont à l’utilisateur s’il souhaite placer par exemple le mot-clé await, souvent oublié.

Le reste des nouveautés est disponible dans le billet de blog.

 

 TypeScript 3.6 disponible, plus strict avec les générateurs et itérateurs

Edward Snowden publiera ses mémoires le mois prochain, dans une vingtaine de pays, dont la France. Le titre original « Permanent record » devient dans l’Hexagone « Mémoire Vives ».

On le trouve en précommande depuis plusieurs semaines, le plus souvent à 19 euros, comme chez Amazon ou la FNAC.

Le lanceur d’alerte y racontera sa version des faits, pour la première fois de manière complète. Une lecture probablement intéressante, en gardant à l’esprit que son héritage, même aujourd’hui, reste contesté.

Les mémoires d'Edward Snowden en précommande, arrivée en septembre
Facebook Hermes, le moteur JavaScript qui veut accélérer React Native

Mi-juillet, Facebook a publié en open source Hermes, son nouveau moteur JavaScript destiné à améliorer les performances du JavaScript, avec en ligne de mire les applications React Native sur Android. En tout cas dans un premier temps.

L’éditeur dit avoir constaté avec le temps divers problèmes de performances qui n’étaient plus seulement liés aux méthodes utilisées par les développeurs d’applications. Pour Facebook, c’est bien le moteur JavaScript lui-même qui finissait par devenir un goulet d’étranglement.

Hermes se concentre sur trois indicateurs : le temps avant la première interaction (TTI), la taille de téléchargement et l’utilisation de la mémoire. Pour les améliorer, Hermes précompile le code JavaScript (bytecode), se débarrasse de la compilation JIT (Just In Time) et adapte son ramasse-miettes aux environnements mobiles.

Côté utilisateur, les phases de parsing et de compilation n’existent plus : il passe directement du téléchargement à l’exécution, le reste étant effectué par le serveur.

L’application de messagerie Mattermost a ainsi vu passer son TTI de 4,30 à 2,29 s, son poids de téléchargement de 42 à 19 Mo et son utilisation mémoire de 185 à 136 Mo.

Les gains sont évidents, mais Facebook prévient que Hermes n’est pas pour toutes les applications et ne se veut en aucun cas un remplacement de la machine virtuelle V8 sur Android. Les développeurs choisiront le moteur correspondant à leurs besoins, par exemple quand la compilation JIT est souhaitée.

On espère en outre que ce nouveau moteur sera disponible sur d’autres plateformes. Hermes peut pour l’instant être utilisé sur Android et iOS (via JSI).

Aucune entrée pour les catégories selectionnées.