Commençons par un peu de technique. Log4j est une bibliothèque logicielle libre sous la houlette de la fondation Apache, utilisée dans nombreuses applications web en langage Java pour loguer et enregistrer des données de l’application. Log4Shell (CVE-2021-44228), est une vulnérabilité de Log4j , qui permet à des attaquants d’exécuter du code Java sur un serveur utilisant cette bibliothèque. Log4j étant massivement utilisé dans des projets de toutes tailles (les médias ont cité AWS, Steam, Minecraft, iCloud entre autres) et présent sur une bonne part des services web en Java, la faille a des conséquences importantes.
Heureusement comme souvent dans le logiciel libre, le code ouvert et l’esprit collaboratif a permis d’avoir rapidement une correction et l’absence de licence chère et contraignante permet à tout le monde d’appliquer le correctif. En revanche, se pose le problème du financement de l’écosystème du logiciel. Il est regrettable qu’un projet important et utilisé par la plupart des grandes entreprises ne soit pas davantage supporté par les grands acteurs économiques. Log4j est maintenu par seulement quatre développeurs. Leur compétence n’est pas à remettre en question (personne n’avait détecté la faille et ils ont travaillé d’arrache-pied pour la corriger), toutefois pour un projet utilisé à ce niveau on aurait aimé que les entreprises utilisatrices financent davantage le projet.
Se pose aussi le problème d’embarquer dans ses logiciels plein de bibliothèques sans jamais vraiment de se préoccuper de leur maintenance ou de leur sécurité. Embarquer du code tiers, c’est un peu comme employer un prestataire, cela ne devrait pas exonérer sa propre responsabilité.
La plupart des grandes entreprises et des administrations ont réagi suite à ses failles, mais où sont-ils tous quand il s’agit d’assurer la pérennité du logiciel libre?
L’année 2021 fut compliquée à cause de la COVID, comme l’année précédente, malgré le début des campagnes de vaccination. Le virus a bousculé la vie de beaucoup de personnes. Au niveau informatique, le COVID a aussi contribué à une adoption plus massive de nouvelles technologies : télé-travail, services de cloud, commerce en ligne, vidéo à la demande pour le meilleur et pour le pire. Bref, c’est le moment de tourner la page et d’aller de l’avant! 2022 arrive avec ses défis, ses peines et ses joies. Léa sera à vos côtés! Toute l’équipe de Léa-Linux vous souhaite; amicalement et linuxement, une excellente nouvelle année pour vous et vos proches!
Dix-huit ans! Samedi 25 septembre, une fête en ligne est organisée pour les 18 ans des Linux-Meetups au Québec. Ce sera de 11:30 à 18:00 EST (Québec) ou de 17:30 à 00:00 CEST (Europe). Une chasse aux trésors informatique est prévue avec des prix à gagner. Tout cela dans une très bonne ambiance.
Pour s’inscrire, suivez ce lien!
Les Linux-Meetups au Québec existent depuis 2003 et Léa-Linux s’en souvient bien. Nous y avions participé dès 2003, comme l’atteste cette photo prise à une rencontre à Montréal:
Être rémunéré en faisant du logiciel libre, c’est possible… mais c’est compliqué. Un étude de Tidelift citée par ZDNet nous apprend que près de la moitié des responsables de projets de logiciel libre sont bénévoles. Parmi les 54% qui sont payés pour cela, seuls 26 % gagnent plus de 1 000 dollars (850 euros) par an pour leur travail. C’est peu, sachant qu’aujourd’hui certains logiciels libres sont utilisés par des millions d’utilisateurs ou d’entreprises.
On peut néanmoins nuancer ces chiffres. D’une part parce que l’étude ne parle que des contributeurs principaux (« mainteners ») de logiciel . Or, si le contributeur principal est bénévole et peu rémunéré, parfois pour préserver son indépendance, d’autres contributeurs peuvent être remunérés pour travailler sur le projet. En outre, beaucoup d’informaticiens contribuent un peu au logiciel libre dans le cadre de leur travail, sans que leur travail soit focalisé uniquement sur les logiciels libres. Par exemple, en proposant des corrections ou des améliorations.
Enfin, le logiciel libre peut faire des gens. Beaucoup d’administrateurs systèmes par exemple ne produisent pas de code, mais ils installent et maintiennent des logiciels libres au quotidien. Ils vivent donc grâce au logiciel libre, même s’ils ne le produisent pas. C’est le cas aussi des services sur le logiciel libre. Est-ce du parasitisme? En général, non, car ces utilisateurs professionnels finissent souvent par contribuer modestement, d’autre part, ils permettent aux logiciels libres d’être testés en production et donc d’être plus fiables.
Par ordre préfectoral, le site Léa-linux sera fermé administrativement pendant les trois prochaines semaines. Cet ordre ne nous a pas été motivé et le président étant en garde à vue prolongée, nous n’avons pas pu obtenir plus de renseignements.
(Edit 2 avril: c’était un poisson évidemment!)
2020 aura été une année difficile pour certains d’entre nous. C’est maintenant du passé.
Toute l’équipe de Léa-Linux vous souhaite simplement et sincèrement une bonne année 2021. Nous vous souhaitons la santé, évidemment, et de pouvoir avancer sur tout ce qui vous tient à cœur.
À bientôt sur Léa-Linux!
CentOS, c’est fini. Du moins, tel qu’on le connait maintenant. C’est le chef technique de Red Hat qui l’a annoncé il y a deux semaines.
Créée en 2004, CentOS est une distribution qui se voulait totalement compatible avec Red Hat Enterprise Linux (RHEL). Ses paquets étaient compilés à partir des sources de la distribution RHEL, seuls le logo, la marque et le support commercial de Red Hat n’étant pas inclus. Grosso modo, une version gratuite de RHEL. À ce titre, elle est massivement utilisée par les petites et moyennes entreprises, dans le cloud et sur les serveurs webs. Le projet CentOS a été absorbé par Red Hat en 2014, Red Hat étant lui-même acheté par IBM en 2018.
Red Hat a annoncé que CentOS serait remplacé par CentOS Stream, qui n’est pas un équivalent : c’est une distribution constamment en évolution (rolling release) qui servira de pont entre le développement de Fedora, la distribution « laboratoire » intégrant les nouveautés, et RHEL, la distribution professionnelle supportée dix ans. Rien à voir, donc, avec la stabilité de CentOS : un coup dur pour ses nombreux utilisateurs. Toutefois, ce n’est pas complétement surprenant : CentOS n’avait sans doute pas beaucoup d’intérêt économique pour Red Hat, sans compter que certains concurrents s’en servaient de base pour vendre leur propre distribution, comme Oracle Linux.
Un des co-fondateurs de Centos a décidé de créer une nouvelle distribution basée sur RHEL et similaire à CentOS, mais cela est encore au stade de projet : Rocky Linux.
En 2005, le Parlement européen a rejeté le brevet logiciel. Malheureusement, chassés par la grande porte, les multinationales ont eu l’idée de revenir par la fenêtre : elles veulent une cour centrale des brevets en Europe, Unified Patent Court (UPC), qui jugera des brevets en dehors de la Cour européenne de justice (CJEU) et des lois européennes. Cette accord est presque en place, seule l’Allemagne doit le ratifier, ce qu’elle fera probablement avant la fin de l’année.
Les logiciels existent aux États-Unis d’Amérique et au Japon, mais pas en Union Européenne. Certaines entreprises américaines, dont on taiera le nom, ont ainsi breveté la navigation au clavier sur Internet ou le double-clic. Déjà en 2003, Léa-Linux avait fait campagne contre les brevets, notamment en écrivant aux députés européens.
Un brevet coûte cher à obtenir et nécessite d’avoir une armée de conseillers juridiques pour le défendre. Cela favorise les multinationales au détriment des autres. Un logiciel n’étant pas un objet mais du code, des algorithmes, le breveter signifie breveter une idée, breveter les mathématiques. Dans certains cas, ce ne sera même pas l’inventeur qui va breveter, mais une tierce entité qui est au courant de la découverte et qui a plus de ressources. Le logiciel libre, qui se base sur le libre partage de la connaissance et qui est construit par des entreprises mais aussi des développeurs indépendants et par des bénévoles, est menacé directement par les brevets logiciels.
La FFII (Foundation for a Free Information Infrastructure), association européenne connue pour sa lutte contre les brevets logiciels, lance un appel aux dons pour financer un dépôt de plainte constitutionnelle contre ce nouveau projet de brevet. Aidez-les financièrement, ou sinon au moins relayez le message.
Puisque les fêtes approchent, on rappelle que de nombreuses associations et projets du logiciel libre acceptent les dons, c’est par exemple le cas de GNOME, KDE, Mageia, Debian, OpenBSD, Nos Oignons, LinuxFR, la FSF, l’AFUL, l’APRIL, La Quadrature du Net et bien sûr Léa-Linux.
Dans un communiqué annoncé ce matin, le Comité de gouvernance pour l’ingénierie de Fedora a annoncé qu’à partir de la version 33, le système de paquets logiciel RPM serait abandonné pour les paquets .deb. Cela fait partie d’une stratégie globale visant à avoir plus d’intéropérabilité avec les autres systèmes GNU/Linux présents sur le marché des serveurs et du bureau, en particulier Ubuntu et Debian. L’idée est de permettre aux clients de gérer plus facilement un parc informatique avec des distributions différentes, mais aussi de mutualiser avec la communauté Debian la création des paquets et la maintenance de l’outil d’installation APT. Il n’est pas précisé si dans un premier temps, à la fois deb et RPM seront proposés le temps d’une phase transition, comme cela est le cas pour X.org et Wayland.
Il serait donc possible à terme d’installer des paquets Debian sous Fedora, ou l’inverse. openSUSE, en revanche, devrait continuer (pour l’instant du moins) à utiliser RPM. En attendant, vous pouvez tester Fedora 32, dont la bêta vient d’être mise à disposition.
Mise à jour du 2 avril 2020 : évidemment, c’était un poisson d’avril.
Pour lutter contre la propagation du coronavirus 2019 (COVID-19), protéger les personnes les plus faibles et éviter d’engorger les hôpitaux, la plupart des pays du monde mettent en place des mesures de confinement, dont l’efficacité à été prouvée en Chine, à Singapour ou en Corée du Sud.
Qui dit confinement, dit travail à la maison. Voici donc quelques conseils utiles. Tout d’abord, il est conseillé de se lever toujours à la même heure. Ensuite, respectez des horaires de travail normaux, par exemple, 9h – 17h. On est toujours tenté d’en faire plus à la maison, sachez vous arrêter. Faites des pauses régulièrement. Installez votre clavier et votre écran à bonne hauteur et prenez un bon siège. Dans la journée, faites du sport. Quand on reste à la maison et que l’on ne sort plus, ce n’est pas bon pour le corps qui a un besoin d’exercice modéré. Si vous avez des enfants qui compliquent votre télétravail, parlez en avec eux… mais aussi à votre entreprise. Ne vous affolez pas si vos enfants, votre chien ou votre colocataire s’invitent lors d’une vidéo-conférence, à la maison, cela peut arriver.
Et pour l’aspect technique? Beaucoup d’entreprise vous proposeront d’utiliser Zoom, Skype ou Slack, qui sont des logiciels privateurs mais fonctionnels sous GNU/Linux. Il existe aussi des alternatives libres, telles que vous trouverez dans la Logithèque. Ainsi, pour la voix sur IP, vous avez Mumble, Twinkle ou LinPhone. Si vous voulez aussi la vidéo, Jitsi, Signal. Pour le chat, vous avez les traditionnels clients Jabber ou IRC tels que Pidgin, Kopete, Xchat, irssi, ou, plus à la mode, Matrix.org ou Mattermost. Bon confinement!