Planète Warez

Comme autres logiciels open source sympa, il existe également :

FreeFileSync, un logiciel de sauvegarde pour synchroniser ses fichiers et dossiers : https://freefilesync.org/ SumatraPDF, pour lire des eBooks dans divers formats (PDF, eBook (epub, mobi), comic book (cbz/cbr), DjVu, XPS, CHM, image) : https://www.sumatrapdfreader.org/free-pdf-reader Kiwix, pour avoir accès à Wikipédia, Wiktionnaire ou autres ressources pédagogiques de son choix en mode hors-ligne : https://www.kiwix.org/fr/

Hum, 2028 ? Le web change moins vite maintenant, mais pour se démarquer et se faire adopter, il faudra qu’il ait quelque chose d’exceptionnel et la concurrence n’arrêtera pas de s’améliorer.

@Ashura Bonjour, au Revoir

@Violence a dit dans Création de l’Open Source Security Foundation : ce qu’il faut savoir :

Et pourtant, ils financent et soutiennent beaucoup de projet Open Source.

C’est un peu ce qui me fait peur, mais bon l’argent ne poussant pas dans les fleurs!

Le fait qu’ils nous la mettent un peu fort parfois, leur permet peut être de nous en rendre un peu.

L’un se nourrit de l’autre et inversement, veillez (moi j’ai pas le temps , je suis en cavale à Londres) à ce que l’équilibre soit de bonne facture.

Il est Web3, décentralisé, open-source : Skiff Mail est le service d’e-mail lancé par l’entreprise derrière Skiff Drive et Pages en mai dernier. De nouvelles fonctions viennent d’être ajoutées en ce mois de juillet. Qu’apporte donc cette alternative sécurisée à Gmail et Outlook ? Résumé et présentation.

Lancé mi-mai et déjà intégré à Brave Wallet, le service d’e-mail chiffré décentralisé et Web3 Skiff Mail va beaucoup faire parler de lui. Le développement a pris un rythme impressionnant depuis son lancement. De nouvelles fonctions arrivent (signature, image de profil, planification d’envoi) et la gestion des noms de domaine n’est plus très loin.

C’est quoi Skiff Mail ?

Skiff Mail est un service de courrier électronique sécurité natif en Web3, simplifié. C’est un logiciel libre avec chiffrement de bout-en-bout. L’inscription est gratuite.

Skiff fait partie d’une plateforme de collaboration décentralisée. La société, basée à San Francisco, propose déjà deux produits : Drive et Pages.

Skiff Mail : nouveautés

Après avoir introduit le service de stockage chiffré de fichiers Skiff Drive, dont nous vous parlions dans cet article, l’éditeur a profité des dernières semaines pour peaufiner ses services intégrés avec l’introduction d’une photo de profil.

Pour ce qui est de Skiff Mail, le développement en open source a permis d’ajouter deux fonctions très attendues :
- Création de signature personnelle aux e-mails envoyés ;
- Planification de l’envoi d’un e-mail (“Snooze”).

Deux autres fonctions sont attendues dans les semaines à venir, réclamées par bon nombre d’utilisateurs :

- Gestion des noms de domaine
- Importation des e-mails depuis un compte existant

Sur Discord, Skiff semble annoncer que c’est une question de semaines, d’ici la rentrée de septembre.

Que peut-on faire avec Skiff Mail ?

Skiff Mail permet de gérer ses e-mails et collaborer grâce à une intégration avec Pages, qui est un éditeur de texte simplifié développé par le même éditeur et un espace de travail privé, chiffré lui-même.

Les fonctions :
- Gestion des e-mails
- Recherche rapide et privée
- Synchronisation sur tous vos appareils
- 10 Go de stockage gratuit
- à venir : gestion du nom de domaine

Après avoir ouvert un compte, chaque message de Skiff à Skiff est chiffré de bout en bout, mais la confidentialité s’applique au-delà des messages envoyés vers et depuis Skiff Mail : “Chaque message reçu d’un fournisseur de messagerie externe et tiers est immédiatement chiffré - ce qui garantit que seuls les utilisateurs ont accès aux copies non cryptées de leurs e-mails”.

Combien ça coûte ?

Skiff Mail est gratuit jusqu’à 10 Go de données pour l’e-mail et 1 Go pour Pages.

Vous pouvez créer gratuitement votre adresse e-mail Skiff via ce lien.

Vous pouvez opter pour un plan payant avec 100 Go d’espace pour l’e-mail et 100 Go pour les pages, pour 8$ par mois, soit 7,6€ à l’heure où nous écrivons ces lignes (14 juin 2022). Il existe également des tarifs pour les équipes.

Sur quels appareils peut-on utiliser Skiff Mail ?

Skiff Mail est lancé avec des applications mobiles complètes pour iOS/iPadOS et Android, ainsi qu’une application de bureau macOS. L’application Windows et Linux est prévue ultérieurement.

Il est également possible d’utiliser Skiff Mail depuis n’importe quel navigateur internet, y compris sous Linux et Windows.

Si vous utilisez Brave, le navigateur dispose d’un partenariat avec Skiff. Tous les utilisateurs de Brave Wallet peuvent se connecter de manière transparente à la suite d’applications de Skiff.

Web3 : quelle différence ?

Skiff Pages est un service Web3 natif. Vous pouvez ainsi vous connecter avec Metamask ou stocker vos données sur IPFS.

Skiff Mail est il open source ?

Oui, les développements de Skiff sont open source :

“Skiff Mail est open-source depuis le premier jour, de sorte que nos déclarations de confidentialité et nos protocoles de chiffrement peuvent être vérifiés par n’importe qui.”

Si vous voulez en savoir plus, lisez cet article de blog en anglais sur le développement open source de Skiff Mail.

Le code est accessible sur Github.

Pour vous inscrire gratuitement, rendez-vous sur cette page.

Source : toolinux.com

Dont ils ferment le code

La Software Freedom Conservancy annonce qu’elle arrête de s’appuyer sur GitHub pour l’hébergement de projets open source. Elle exprime ainsi son désaccord avec les porteurs de projets qui utilisent l’open source pour aboutir à des solutions logicielles dont ils ferment le code source. Copilot, l’intelligence artificielle commerciale de GitHub, est au centre de cette décision dont la Software Freedom Conservancy expose les raisons.

L’intégralité de la position de la Software Freedom Conservancy

Ceux qui oublient l’histoire la répètent souvent par inadvertance. Certains d’entre nous se souviennent qu’il y a vingt et un ans, le site d’hébergement de code le plus populaire, un site entièrement libre et ouvert (FOSS) appelé SourceForge, a rendu tout son code propriétaire et ne l’a plus jamais ouvert à la communauté. Les principaux projets libres et open source ont peu à peu quitté SourceForge car il s’agissait désormais d’un système propriétaire, contraire à l’esprit d’ouverture qui caractérise la communauté. Les communautés du Libre ont appris que c’était une erreur de permettre à une société de logiciels propriétaires à but lucratif de devenir le site de développement collaboratif dominant du Libre. SourceForge s’est lentement effondré après le crash de DotCom, et aujourd’hui, SourceForge est plus un appât à liens publicitaires qu’un hébergement de code. Nous avons appris une leçon précieuse qu’il était un peu trop facile d’oublier, surtout lorsque les entreprises manipulent les communautés du Libre à leurs propres fins. Nous devons maintenant réapprendre la leçon de SourceForge avec le GitHub de Microsoft.

Au cours des dix dernières années, GitHub est parvenu à dominer le développement des logiciels libres. Il y est parvenu en créant une interface utilisateur et en ajoutant des fonctions d’interaction sociale à la technologie Git existante. (Pour sa part, Git a été conçu spécifiquement pour que le développement de logiciels soit distribué sans site centralisé). Dans l’ironie centrale, GitHub a réussi là où SourceForge a échoué : ils nous ont convaincus de promouvoir et même d’aider à la création d’un système propriétaire qui exploite les logiciels libres. GitHub profite de ces produits propriétaires (parfois de clients qui l’utilisent pour des activités problématiques). Plus précisément, GitHub profite principalement de ceux qui souhaitent utiliser les outils GitHub pour développer des logiciels propriétaires en interne. Pourtant, GitHub apparaît encore et encore comme un bon acteur - parce qu’ils soulignent leur largesse en fournissant des services à tant d’entreprises du Libre. Mais nous avons appris des nombreuses offres gratuites de la Big Tech : si vous n’êtes pas le client, vous êtes le produit. La méthodologie de développement du Libre est le produit de GitHub, qu’ils ont personnalisé et reconditionné avec notre aide active (bien que souvent involontaire).

Les développeurs de logiciels libres sont depuis trop longtemps la grenouille proverbiale dans l’eau qui bout lentement. Le comportement de GitHub s’est progressivement aggravé, et nous avons excusé, ignoré ou autrement acquiescé à la dissonance cognitive. Nous, à la Software Freedom Conservancy, avons nous-mêmes fait partie du problème ; jusqu’à récemment, même nous étions devenus trop à l’aise, complaisants et complices de GitHub. Abandonner GitHub demandera du travail, des sacrifices et peut prendre beaucoup de temps, même pour nous : à la Software Freedom Conservancy, nous avons historiquement auto-hébergé nos principaux dépôts Git, mais nous avons utilisé GitHub comme miroir. Nous avons exhorté nos projets membres et les membres de la communauté à éviter GitHub (et tous les services et infrastructures de développement de logiciels propriétaires), mais ce n’était pas suffisant. Aujourd’hui, nous adoptons une position plus ferme. Nous mettons fin à nos propres utilisations de GitHub et annonçons un plan à long terme pour aider les projets libres à migrer loin de GitHub. Bien que nous n’obligions pas nos projets membres existants à migrer pour le moment, nous n’accepterons plus de nouveaux projets membres qui n’ont pas de plan à long terme pour migrer hors de GitHub. Nous fournirons des ressources pour soutenir tous les projets membres qui choisissent de migrer, et nous les aiderons de toutes les manières possibles.

Il y a tellement de bonnes raisons d’abandonner GitHub, et nous en énumérons les principales sur notre site Give Up On GitHub. Nous envisagions nous-mêmes cette action depuis un certain temps déjà, mais l’événement de la semaine dernière a montré que cette action était attendue depuis longtemps.

Plus précisément, la Software Freedom Conservancy a communiqué activement avec Microsoft et sa filiale GitHub au sujet de nos préoccupations concernant “Copilot” depuis son lancement il y a presque exactement un an. Notre premier appel vidéo (en juillet 2021) avec les représentants de Microsoft et de GitHub a donné lieu à plusieurs questions auxquelles ils ont déclaré ne pas pouvoir répondre à ce moment-là, mais pour lesquelles ils allaient “bientôt répondre”. Après six mois sans réponse, Bradley a publié son essai, If Software is My Copilot, Who Programmed My Software ? - qui soulève publiquement ces questions. GitHub n’a toujours pas répondu à nos questions. Trois semaines plus tard, nous avons lancé un comité d’experts chargé d’examiner les implications morales des logiciels assistés par l’IA, ainsi qu’un débat public parallèle. Nous avons invité les représentants de Microsoft et de GitHub à la discussion publique, mais ils ont ignoré notre invitation. La semaine dernière, après que nous ayons rappelé à GitHub (a) les questions en suspens auxquelles nous avions attendu une année pour qu’ils répondent et (b) leur refus de se joindre à la discussion publique sur le sujet, ils ont répondu une semaine plus tard, disant qu’ils ne se joindraient à aucune discussion publique ou privée sur ce sujet parce que “une conversation plus large [sur l’éthique des logiciels assistés par l’IA] semblait peu susceptible de modifier votre position [SFC], ce qui est la raison pour laquelle nous [GitHub] n’avons pas répondu à vos questions détaillées [SFC]”. En d’autres termes, la position finale de GitHub sur Copilot est la suivante : si vous n’êtes pas d’accord avec GitHub sur les questions de politique liées à Copilot, vous ne méritez pas de réponse de Microsoft ou de GitHub. Ils ne se donneront la peine de vous répondre que s’ils pensent pouvoir modifier immédiatement votre position politique pour l’aligner sur la leur. Mais Microsoft et GitHub vous laisseront en plan pendant un an avant de vous le dire !

Néanmoins, nous étions auparavant satisfaits de laisser tout cela au bas de la liste des priorités - après tout, pendant sa première année d’existence, Copilot semblait être plus un prototype de recherche qu’un produit. Les choses ont changé la semaine dernière lorsque GitHub a annoncé que Copilot était un produit commercial à but lucratif. Le lancement d’un produit à but lucratif qui manque de respect à la communauté du Libre comme le fait Copilot rend simplement le poids du mauvais comportement de GitHub trop lourd à porter.

Nos trois principales questions à Microsoft/GitHub (c’est-à-dire les questions auxquelles ils nous promettaient des réponses depuis un an, et auxquelles ils refusent maintenant formellement de répondre) concernant Copilot étaient les suivantes :

Quelle jurisprudence, s’il y en a une, avez-vous invoquée dans l’affirmation publique de Microsoft & GitHub, déclarée par le PDG (de l’époque) de GitHub, selon laquelle : “(1) l’entraînement de systèmes d’apprentissage machine sur des données publiques est un usage loyal, (2) la sortie appartient à l’opérateur, tout comme avec un compilateur” ? Dans l’intérêt de la transparence et du respect de la communauté FOSS, veuillez également fournir à la communauté votre analyse juridique complète sur les raisons pour lesquelles vous pensez que ces déclarations sont vraies.

Nous pensons que nous pouvons maintenant considérer le refus de Microsoft et de GitHub de répondre comme une réponse en soi : ils s’en tiennent manifestement à la déclaration de leur ancien PDG (la seule qu’ils aient faite sur le sujet), et refusent tout simplement de justifier leur théorie juridique non étayée auprès de la communauté par une analyse juridique réelle.

Si, comme vous le prétendez, il est permis d’entraîner le modèle (et de permettre aux utilisateurs de générer du code basé sur ce modèle) sur n’importe quel code sans être lié par des conditions de licence, pourquoi avez-vous choisi d’entraîner le modèle de Copilot uniquement sur des logiciels libres ? Par exemple, pourquoi vos bases de code Microsoft Windows et Office ne figurent-elles pas dans votre ensemble d’entraînement ?

Le refus de répondre de Microsoft et de GitHub laisse également entrevoir la véritable réponse à cette question : Alors que GitHub exploite volontiers les logiciels libres de manière inappropriée, ils accordent beaucoup plus de valeur à leur propre “propriété intellectuelle” qu’aux logiciels libres, et se contentent d’ignorer et d’éroder les droits des utilisateurs de logiciels libres mais pas les leurs.

Pouvez-vous fournir une liste des licences, y compris les noms des détenteurs de droits d’auteur et/ou les noms des dépôts Git, qui étaient dans l’ensemble de formation utilisé pour Copilot ? Si non, pourquoi cachez-vous cette information à la communauté ?

Nous ne pouvons que spéculer sur les raisons pour lesquelles ils refusent de répondre à cette question. Cependant, de bonnes pratiques scientifiques signifieraient qu’ils pourraient répondre à cette question de toute façon. (Les bons scientifiques prennent des notes minutieuses sur les entrées exactes de leurs expériences). Puisque GitHub refuse de répondre, notre meilleure supposition est qu’ils n’ont pas la capacité de reproduire soigneusement leur modèle résultant, donc ils ne savent pas réellement la réponse à la question de savoir quels droits d’auteur ils ont violé et quand et comment.

En raison des mauvaises actions de GitHub, nous appelons aujourd’hui tous les développeurs de logiciels libres à quitter GitHub. Nous reconnaissons que répondre à cet appel exige des sacrifices et de grands désagréments, et prendra beaucoup de temps à accomplir. Pourtant, refuser les services de GitHub est le principal moyen dont disposent les développeurs pour envoyer un message fort à GitHub et à Microsoft concernant leur mauvais comportement. Le modèle économique de GitHub a toujours été le “verrouillage des fournisseurs propriétaires”. C’est le comportement même que le logiciel libre a été fondé pour réduire, et c’est pourquoi il est souvent difficile d’abandonner un logiciel propriétaire en faveur d’une solution libre. Mais n’oubliez pas : GitHub a besoin que les projets FOSS utilisent leur infrastructure propriétaire plus que nous n’avons besoin de leur infrastructure propriétaire. Des alternatives existent, bien qu’avec des interfaces moins familières et sur des sites moins populaires - mais nous pouvons aussi aider à améliorer ces alternatives. Et, si vous nous rejoignez, vous ne serez pas seuls. Nous avons lancé un site Web, GiveUpGitHub.org, où nous fournirons des conseils, des idées, des méthodes, des outils et un soutien à ceux qui souhaitent quitter GitHub avec nous. Surveillez ce site et notre blog tout au long de l’année 2022 (et au-delà !) pour en savoir plus.

Plus important encore, nous nous engageons à offrir des alternatives aux projets qui n’ont pas encore d’autre endroit où aller. Nous annoncerons d’autres options d’instance d’hébergement et un guide pour le remplacement des services GitHub dans les semaines à venir. Si vous êtes prêt à relever le défi et à abandonner GitHub dès aujourd’hui, nous notons que CodeBerg, qui est basé sur Gitea, met en œuvre de nombreuses fonctionnalités de GitHub (mais pas toutes). Ainsi, nous allons également travailler sur encore plus de solutions, continuer à examiner d’autres options FOSS, et publier et/ou conserver des guides sur (par exemple) la façon de déployer une instance auto-hébergée de GitLab Community Edition.

Pendant ce temps, le travail de notre comité continue d’étudier attentivement la question générale des outils de développement logiciel assistés par l’intelligence artificielle. Une conclusion préliminaire récente est que les outils de développement de logiciels assistés par l’IA peuvent être construits d’une manière qui respecte par défaut les licences libres et open source. Nous continuerons à soutenir le comité dans son exploration de cette idée et, avec son aide, nous surveillons activement ce nouveau domaine de recherche. Alors que GitHub de Microsoft a été le premier à agir dans ce domaine, à titre de comparaison, les premiers rapports suggèrent que le nouveau système CodeWhisperer d’Amazon (également lancé la semaine dernière) cherche à fournir une attribution appropriée et des informations sur les licences pour les suggestions de code.

Cela rappelle des problèmes de longue date avec GitHub, et la raison principale pour laquelle nous devons ensemble abandonner GitHub. Nous avons vu avec Copilot, avec le service d’hébergement de base de GitHub, et dans presque tous les domaines d’activité, le comportement de GitHub est sensiblement pire que celui de ses pairs. Nous ne pensons pas qu’Amazon, Atlassian, GitLab ou tout autre hébergeur à but lucratif soient des acteurs parfaits. Cependant, une comparaison relative du comportement de GitHub à celui de ses pairs montre que le comportement de GitHub est bien pire. GitHub a également la réputation d’ignorer, de rejeter ou de déprécier les plaintes de la communauté sur un si grand nombre de sujets que nous devons exhorter tous les développeurs de logiciels libres à quitter GitHub dès qu’ils le peuvent. S’il vous plaît, rejoignez-nous dans nos efforts pour revenir à un monde où les logiciels libres sont développés en utilisant des logiciels libres.

Sources : SFC, open-source.developpez.com

zebulon zebulon … Polux a écrit ce que je pense …

c’est grave doc ???

L’application photo de KDE intègre désormais le support des formats JPEG-XL et AVIF/AVOM. La version 7.7 de DigiKam est sortie ce 26 juin. Voici toutes les nouveautés apportées.

C’est quoi DigiKam ?

DigiKam est une application de gestion d’images open source intégrée à KDE lancée en 2002 et distribué sous licence GNU GPL.

Elle importe et organise les photos par dossiers (albums), mais permet aussi d’apporter des retouches grâce à des greffons (plugins).

DigiKam 7.7 : quoi de neuf ?

La nouvelle version de DigiKam apporte les changements et nouveautés suivants :
- Ajout du support (lecture/écriture) JpegXL et AVIF/AOM (Linux, macOS, Windows)
- Suppression de libheif and libde265 au profit des bibliothèques du système
- Amélioration du support Olympus OM-1
- Mise à jour de KF5 en version 5.95
- La version macOS passe au framework Qt 5.15.3.

On compte également 80 corrections de bugs. La liste complète des changements se trouve sur cette page.

text alternatif
text alternatif

Télécharger DigiKam

Vous pouvez télécharger gratuitement DigiKam via cette page pour les systèmes d’exploitation suivants :
- Linux (des paquets sont proposés pour la plupart des grandes distributions)
- Windows
- macOS
- FreeBSD

Source : https://www.toolinux.com

A l’aune du Covid-19 et de la guerre en Ukraine, le logiciel libre apparaît plus que jamais comme un outil de souveraineté numérique. Son adoption par l’administration ne se fait pourtant pas sans heurts.

4d0e613b-1936-4389-9eeb-c4726555f0df-image.png
Le libre n’est plus vu comme une excentricité mais comme un atout, parfois plus économique que les solutions propriétaires, pour retrouver une indépendance numérique. LE MONDE

Des taureaux, des ferias et des logiciels libres… Sur les ordinateurs de la municipalité d’Arles (Bouches-du-Rhône), nulle trace de Microsoft Word, Acrobat Reader ou Google Chrome. Ici tout est estampillé « open », ouvert, en un mot, libre, pour des logiciels au code source accessible publiquement, continuellement mis à jour par des communautés de développeurs, souvent bénévoles.

OpenCourrier, openRecensement, openCadastre… Gestion d’e-mails, éditeurs de texte, agenda partagé, gestion des cimetières : depuis le vote d’une délibération de 2005 appelant à « acquérir de l’indépendance vis-à-vis du secteur marchand des logiciels », plus de trente logiciels (tous recensés sur openMairie) ont été créés en interne par les développeurs du service informatique de la ville d’Arles. Certains, comme openElec – utilisé pour la gestion des listes électorales --, ont été adoptés par des milliers de communes et traduits en anglais et en espagnol. Un vrai succès dans le petit monde « libriste ».

Reste qu’en terre camarguaise, cette tradition est sur le point de prendre fin. En juin 2020, une nouvelle majorité, emmenée par Patrick de Carolis, maire de la commune (DVD), est élue. Début 2022, dans un contexte de réorganisation des services, la directrice générale des services annonce sa décision de refaire passer l’ensemble du parc informatif sur la suite de logiciels Office de Microsoft dès le 2^e ^semestre 2022, comme le relate le magazine L’Arlésienne. Interrogée sur les motivations derrière ce revirement, la municipalité d’Arles n’était pas revenue vers *Le Monde *au moment de la publication.

« Le libre a gagné »

L’annonce de la décision arlésienne a refroidi les partisans les plus ardents du logiciel libre dans les administrations. « Ce n’est qu’un fâcheux contretemps, un caprice qui leur passera. Vous savez, la courbe du progrès n’est jamais linéaire », sourit pourtant, philosophe, François Raynaud, ex-responsable du service informatique de la ville d’Arles, sur le point de partir à la retraite. Et d’ajouter, un brin triomphant : « Le libre a gagné : la quasi-totalité des serveurs du monde entier tournent sur Linux [un système d’exploitation « libre », alternatif à Windows], et la majorité des smartphones sur Android, un système d’exploitation basé sur du Linux. »

A bas bruit, plusieurs collectivités ont accompagné ce mouvement en faveur du logiciel libre. Dès 2001, la Ville de Paris a ouvert la voie avec Lutèce, un outil de portail Web java développé par la direction des systèmes et technologies de l’information, adopté un peu partout depuis, notamment par les équipes techniques des villes de Lyon et de Marseille ou encore par celles de Météo-France. A différentes échelles, des villes comme Arles donc, mais aussi Angoulême, Montreuil-sous-Bois, Grenoble ou encore Montpellier ont peu à peu entamé une transition de leur parc informatique vers des solutions libres.

« Les élus pensent qu’on est obligé de faire appel à des marchés publics, alors qu’on a des compétences en interne qui permettent de développer des outils efficaces et moins chers », détaille Jean-Luc Zimmermann, qui a travaillé au développement d’OpenStreetMap – un outil de cartographie libre – pour la ville d’Orange ou le département du Vaucluse. Dans un contexte de baisse des dotations de l’Etat aux communes, l’argument économique séduit les collectivités.

« Plutôt que d’acheter des licences à des grands groupes à des prix délirants, on peut développer des outils gratuits, ou très peu chers, en interne », explique Pascal Kuczynski, délégué général de l’Association des développeurs et utilisateurs de logiciels libres pour les administrations et les collectivités territoriales (Adullact) qui fête ses vingt ans cette année. « Passer au libre, c’est d’abord un moyen de faire économiser des deniers publics », ajoute-t-il*.*

Les gendarmes, libristes convaincus

La plus belle preuve de la démocratisation du logiciel libre est à chercher du côté de la gendarmerie nationale. Les gendarmes possèdent le parc informatique sous Linux le plus important de France : 95 % des ordinateurs de la maison tournent désormais sur le système d’exploitation Ubuntu, une variante relativement grand public de Linux. « Quatre-vingt-cinq mille machines en tout », vante Vincent Béréziat, sous-directeur des applications de commandement au sein de la gendarmerie nationale et un des artisans historiques de la transition vers le libre. Un cas unique en Europe à cette échelle.

Un changement de pratique initié après le « bug de l’an 2000 ». « On a eu énormément de difficultés à faire évoluer notre système informatique à ce moment-là. On a alors réalisé notre dépendance à une seule solution propriétaire », retrace Vincent Béréziat.

En 2006, Microsoft décide de rehausser les tarifs du contrat qui le lie à la gendarmerie, ce qui convainc les plus réfractaires de passer au logiciel libre

Entre 2004 et 2006, la gendarmerie décide donc de faire un diagnostic complet de son système informatique*. « On avait des outils efficaces développés en interne un peu partout par des agents bidouilleurs, mais sans aucune harmonisation : ce qu’on appelle de l’informatique grise, ou shadow IT en anglais »*, précise Stéphane Dumont, chef du bureau du contrôle opérationnel des fichiers qui a opéré la transition vers le libre à partir de 2009.

En 2006, Microsoft décide de rehausser les tarifs du contrat qui le lie à la gendarmerie nationale. Cet événement convainc une fois pour toutes les plus réfractaires de passer au logiciel libre.En 2008, la gendarmerie nationale annonce son objectif de migrer 60 % de son parc informatique vers Linux dans les deux ans. « On a été optimistes, on l’a fait en trois », sourit le gradé*. *Et de préciser : « La transition s’est faite par étapes : d’abord, on a équipé tous nos postes de travail avec des logiciels indépendants de la solution propriétaire. »

Au revoir Microsoft Office, Windows Media Player, Internet Explorer et Outlook, bonjour à leurs équivalents « libres », OpenOffice, VLC Media Player, Mozilla Firefox et Thunderbird. Ce qui n’empêche pas les gendarmes, dans un premier temps, de continuer à utiliser Windows. « Une fois que tout ça était acquis, on a réalisé que la bascule vers Linux pouvait se faire sans trop de difficultés. Même fond d’écran, mêmes icônes, mêmes logiciels : à part l’explorateur de fichiers, rien ne changeait pour les utilisateurs », s’enthousiasme Vincent Béréziat.

Outil de souveraineté numérique

« Le passage à Linux représente un peu la transition ultime et surtout pas la première étape », précise Nicolas Vivant, responsable du développement informatique et numérique à la ville d’Echirolles (Isère) où il a supervisé la transition vers des solutions libres. Le risque ? Braquer les agents face à un changement d’habitudes trop brutal. « Convaincre une collectivité de passer à des outils open-source par idéologie est voué à l’échec. Personne ne choisit Microsoft par idéologie. C’est l’usage qui importe. Il faut d’abord que ces logiciels soient efficaces, qu’ils améliorent les services utilisés par les agents »,précise-t-il.

Ces dernières années, un autre argument de poids est venu peser dans la balance : l’indépendance numérique. La pandémie liée au Covid-19, puis la guerre en Ukraine, ont rappelé aux entreprises et aux administrations la nécessité de se doter d’outils dont elles maîtrisent les mécanismes, basés sur du code transparent et accessible.

Dans une mission d’information parlementaire intitulée « Bâtir et promouvoir une souveraineté numérique nationale et européenne », publiée entre deux confinements en juillet 2020, le co-auteur du rapport Philippe Latombe rappelait* « la nécessité pour les administrations de veiller à préserver la maîtrise, la pérennité et l’indépendance de leurs systèmes d’information et à encourager l’utilisation des logiciels libres »*. Le libre n’est plus vu comme une excentricité mais comme le meilleur atout pour retrouver une indépendance numérique. *« Il y a vingt ans, on était pris pour des zozos, des universitaires un peu alternatifs. Aujourd’hui, le gouvernement, les chefs d’entreprise nous prennent au sérieux », *se satisfait Pascal Kuczynski.

Comment expliquer dans ces conditions que les collectivités ne soient pas encore toutes passées au libre ? « Il faut y aller par étapes. On a mis dix ans pour y parvenir. La chance qu’on a eue, c’est qu’on partait de zéro, le Web n’était pas ce qu’il est aujourd’hui. Les gens avaient moins d’habitudes d’utilisation. On n’a pas remplacé de services : on leur en a apporté de nouveaux », confie Stéphane Dumont, de la gendarmerie nationale.

Pour réussir une transition vers le libre, tout le monde doit être convaincu de ses apports. « S’il n’y a pas d’enthousiasme du côté des décideurs politiques, il n’y a pas d’avenir possible pour le libre », affirme Jean-Luc Zimmermann. Au risque de connaître un retour en arrière similaire à la situation arlésienne.

Source : lemonde.fr

Perso, c’est Protonmail ou rien. J’ai déjà essayé d’autres solutions qui ont fermé avec mes mails dessus… donc je paye l’écosystème Protomail qui par ailleurs est performant 😉

Très bonne suite bureautique OnlyOffice, y compris pour le travail collaboratif. Pour mes postes utilisateurs qui ont de petits besoins bureautique je l’installe à la place de LibreOffice qui souffre toujours autant de manque de compatibilité avec les formats propriétaires de M$. Les puristes reprocheront à OnlyOffice d’utiliser par défauts ces formats non libres, mais je pense que c’est un sacrifice à faire pour grappiller des parts de marché à l’ogre M$ Office qui coute un rein alors que 90% de ses utilisateurs n’utilisent que 5% de ses fonctionnalités.

L’association Anticor a annoncé avoir saisi le parquet national financier sur des soupçons de favoritisme concernant le contrat passé entre Microsoft et l’Education nationale. La suite d’un feuilleton ancien.

1c6add89-37da-440d-9612-b532ba3a846b-image.png
Le contrat entre Microsoft et le ministère de l’Education nationale continue à faire des vagues avec la procédure lancée par Anticor auprès du PNF. (Crédit Photo: Gouvernement.fr)

Rebondissement dans l’affaire du contrat passé entre Microsoft et l’Education nationale. L’association Anticor a annoncé le dépôt d’une plainte auprès du parquet national financier pour soupçons de favoritisme dans l’attribution de ce marché public. Pour comprendre cette action, il faut revenir en 2020 et la publication d’un article du Canard Enchaîné concernant ce contrat.

Concrètement, un appel d’offres a été conclu d’un montant de 8,3 millions d’euros entre Microsoft et le ministère de l’Education nationale. Ce dernier porte sur la « concession de droits d’usage à titre non exclusif, en mode perpétuel ou en mode locatif, de solutions Microsoft et services associés couvrant les usages des agents des services centraux et déconcentrés des ministères chargés de l’éducation nationale, de la jeunesse, de l’enseignement supérieur, des sports, de la recherche et de l’innovation ainsi que des établissements de formation, d’enseignement et de recherche. » Selon cet accord, une centaine de logiciels Microsoft couvrant aussi bien les postes de travail, serveurs, bureautique, collaboratif, ERP, CRM, gestion de contenu, systèmes d’exploitation, etc. devraient être ainsi achetés par le ministère. Dans sa plainte, Anticor parle de l’équipement de 800 000 postes avec des licences Microsoft.

Le CNLL était déjà monté au créneau en 2020 et 2016

A l’époque, le CNLL (Conseil National du Logiciel Libre) avait dénoncé ce contrat. « En privilégiant (au mépris des règles les plus élémentaires des marchés publics) un acteur non-européen, multirécidiviste condamné pour abus de position dominante et pratiques anticoncurrentielles, le CNLL constate une fois de plus l’écart entre les discours actuels sur la souveraineté numérique et la réalité des marchés publics dans le domaine du numérique. » Pour mémoire, un contrat similaire  passé en 2016 avait fait l’objet d’un contentieux, mais le CNLL avait été débouté.

Dans son argumentaire Anticor estime que la procédure d’appel d’offres «  semble avoir été construite aux bénéfices exclusifs de la société américaine, alors même que des entreprises françaises de logiciels libres proposent des solutions aux fonctionnalités et performances équivalentes ». Interrogé sur cette action, Microsoft n’a pas répondu à notre demande de commentaires au moment de la publication de l’article.

Source : lemondeinformatique.fr

à l’intention des législateurs de l’Union européenne

Le régulateur de l’Union européenne accuse Apple de restreindre l’accès de ses rivaux à la technologie de paiement sans contact NFC sur les terminaux iPhone. Le géant technologique s’illustre ainsi une fois de plus par un enfermement propriétaire en limitant l’accès des utilisateurs de ses smartphones à une technologie standard permettant d’effectuer des paiements sans contact en magasin au moyen d’appareils mobiles. Apple est parmi les exemples type d’entreprises qui réveillent chez les utilisateurs le sentiment que les appareils en leur possession ne sont pas leur propriété. La Free Software Foundation Europe se positionne donc en militant pour le droit universel d’installer n’importe quel logiciel sur n’importe quel appareil dans une lettre ouverte à l’intention des législateurs de l’Union européenne.

L’intégralité de la lettre

La conception des logiciels est cruciale pour l’éco-conception et la durabilité des produits et des matériels. Les systèmes d’exploitation et services Libres permettent la réutilisation, le remaniement et l’interopérabilité des appareils. Le droit universel de choisir librement ses systèmes d’exploitation, ses logiciels et ses services est crucial pour une société numérique plus durable.

À : Législateurs de l’Union européenne

En copie : Citoyens de l’Union européenne

La numérisation en cours des infrastructures et des services se présente avec un nombre continuellement croissant d’appareils électroniques qui sont connectés à Internet — que ce soit en environnement privé, public ou d’affaires. Un grand nombre de ces appareils ont besoin que plus d’énergie et de ressources naturelles soient produites que l’énergie qu’ils consomment pendant leur durée de vie complète. Et un trop grand nombre de ces appareils sont gaspillés et non réparables simplement parce que les logiciels cessent de fonctionner ou ne sont plus mis à jour.

Une fois que les logiciels préinstallés conduisent les utilisateurs à cesser d’utiliser leur matériel, des modèles de propriété contraignants empêchent les utilisateurs de se permettre d’apprécier une utilisation plus longue de leurs appareils. Les restrictions vont du blocage physique du matériel, à l’obscurité technique par l’utilisation de logiciels propriétaires, et aux restrictions légales via des licences de logiciels et des contrats de licence avec l’utilisateur final. Ceci étant, les fabricants interdisent souvent la réparation, l’accès et la réutilisation de leurs appareils. Même après l’achat, les clients ne sont souvent pas réellement propriétaires de leurs appareils. Ils ne sont pas capables de faire ce qu’ils veulent avec leurs propres appareils.Si vous ne pouvez pas installer les logiciels que vous voulez sur votre propre appareil, vous n’êtes pas réellement son propriétaire.

Nous, signataires de cette lettre ouverte :

reconnaissons que l’accès libre aux matériels et aux logiciels détermine pendant combien de temps ou à quelle fréquence un appareil peut être utilisé ou réutilisé ; déclarons qu’une longévité et une réusabilité augmentées de nos appareils sont nécessaires pour une société numérique plus durable.
C’est pourquoi nous demandons aux législateurs d’Europe de saisir l’opportunité historique en offrant une utilisation plus durable des produits et appareils électroniques avec un droit d’installer et d’exécuter tout logiciel sur tout appareil. À cette fin, nous demandons :

Nos tablettes, téléphones et autres appareils connectés sont des ordinateurs à objectifs généraux. Remplacer les logiciels et les systèmes d’exploitation sur ces appareils nous permet d’étendre la durée de vie initiale d’un appareil et de profiter pleinement de nos matériels. Pour avoir la possibilité de réutiliser et remanier nos ressources de façon créative te durable, nous avons besoin*du droit universel d’installer et développer tout système d’exploitation et logiciel que nous voulons sur n’importe lequel de nos appareils. Tout obstacle juridique, technique ou autre à la réutilisation de ces appareils pour tout objectif doit être interdit.

Les utilisateurs doivent avoir le libre choix des fournisseurs offrant des services relatifs aux logiciels, ce qui signifie pouvoir utiliser l’appareil d’un fabricant avec les services d’un autre. Aujourd’hui, de nombreux appareils clients connectés sont jetés simplement parce que leurs services en ligne sont arrêtés. Le choix libre des services permet à ces appareils clients d’être réutilisés en se connectant à un autre service.

Les systèmes d’exploitation et les logiciels embarqués déterminent les interactions possibles entre capteurs, modules et systèmes génériques avec leurs services en ligne connectés. Pour que les utilisateurs exercent le choix libre des services, ils doivent pouvoir utiliser l’appareil d’un fabricant avec tout service en ligne, qui peut être fourni par tout autre tiers ou par eux-mêmes. Les services connectés ainsi que les logiciels sur les appareils connectés et les applications doivent offrir l’interopérabilité et les pleines fonctionnalités de l’objectif initial de chaque appareil avec l’utilisation de Standards Ouverts.

Les conceptions et les architectures des logiciels déterminent l’accessibilité et la compatibilité des matériels via des standards, des pilotes, des outils et des interfaces. Les logiciels et protocoles propriétaires entravent la concurrence entre les fabricants, minent la réparabilité des appareils et créent une incompatibilité artificielle des différents appareils dans la même infrastructure. L’interopérabilité des appareils individuels cependant est cruciale pour la création d’infrastructures informatiques suffisantes, durables et à longue durée de vie. Pour permettre l’interopérabilité, les fabricants doivent assurer que toute donnée nécessaire pour exécuter la première fonction d’un appareil est compatible avec et puisse être importée/exportée dans des standards ouverts.

Les plus petits composants des appareils requièrent souvent des pilotes, des outils et des interfaces spécifiques pour fonctionner. Les utilisateurs ont besoin de l’accès complet et de la réutilisation libre du code source de ces appareils, ces outils et ces interfaces pour analyser et intégrer un appareil dans un ensemble d’appareils interconnectés de différents fabricants. La réutilisabilité du code source est également la clé pour exercer le droit complet de réparer pour toute tierce partie dans les boutiques professionnelles de réparation ainsi que dans les ateliers de réparation pour les utilisateurs finaux.

Une licence libre est toute licence qui donne à tout le monde les quatre libertés d’utiliser, étudier, partager et améliorer les logiciels, ce qui inclut les licences de Logiciels Libres et les licences de Logiciels à Source Ouverte (Open Source). L’obligation de publier les pilotes, les outils et les interfaces sous une telle licence libre après l’entrée sur le marché sont la clé pour le plein accès à nos appareils et l’exercice du droit universel de réparer.

Source : lettre, open-source.developpez.com

Les mises à jour de Plasma Mobile pour les mois de mars à avril 2022 sont publiées, dans le sillon de KDE Gear 22.04. Voici les principales nouveautés annoncées.

C’est quoi Plasma Mobile ?

Plasma Mobile est une plate-forme libre pour les appareils mobiles. Elle est fournie pour différentes distributions (postmarketOS, Manjaro, openSUSE) et peut fonctionner sur les appareils pris en charge par la distribution.

Il tourne par exemple sur le PinePhone, avec le système Manjaro.

Nouveautés de Plasma Mobile Gear 22.04

Vous pouvez désormais changer d’écran d’accueil. L’objectif final est de permettre à des écrans d’accueil tiers d’être distribués sur la boutique KDE.

Kalendar, dont nous vous parlions en février, fait maintenant partie du calendrier des versions de KDE Gear et se fonde aussi dans l’environnement mobile.

Une nouvelle fonctionnalité permet de réorganiser les paramètres rapides dans le tiroir d’action dans le module de paramètres “Shell”. Des animations plus réactives de pression sur les paramètres rapides ont été ajoutées pour fournir plus de contraste que le simple changement de couleur.

La double animation qui se produit lors de l’activation et de la réduction des applications a été corrigée. Le bogue qui empêchait parfois le panneau des tâches d’occuper toute la largeur de l’écran en raison de changements d’échelle a été corrigé.

Le tiroir d’action peut désormais être ouvert à partir de l’écran de verrouillage avec des autorisations restreintes. Il se ferme désormais lorsque vous appuyez sur un espace vide qui ne fait pas partie du tiroir.

Le lecteur multimédia prend désormais en charge les flux simultanés, de sorte que la lecture simultanée de plusieurs applications peut être contrôlée en même temps.

Petite nouveauté : Tokodon est un client pour Mastodon, la plateforme de micro-blogging open source et décentralisée. Les développeurs ont travaillé notamment sur le visualisateur de profil d’utilisateur, qui affiche désormais toutes les informations disponibles dans l’API de Mastodon.

Vous trouverez l’ensemble des nouveautés sur cette page.

Télécharger Plasma Mobile Gear

Plasma Mobile Gear est proposé en combinaison avec certaines distributions GNU/Linux, dont la liste se trouve sur cette page :
- Manjaro ARM
- postmarketOS, dont nous vous parlions dans notre édition du 22 janvier 2022
- openSUSE

Source : toolinux.com

Je pense perso qu’il a raison sur toute la ligne, il a simplement oublier le fonctionnement du monde dans lequel il évolue.
Les critiques qu’il formule pourraient s’appliquer à plein d’autres domaines mais on vit dans un monde ou même la santé doit être rentable.
C’est un utopiste comme je les aiment et comme j’en souhaiterais davantage.

@Raccoon.
Je connais des gens qui ont mis des années avant d’être capable de créer un dossier ou de faire un copier/coller et tu pourra leur mettre n’importe quel OS entre les mains ce sera toujours pareil.
La contrainte ne vient pas de l’outil mais du fait qu’on ait plus d’autre choix que d’en passer par lui.

Pour les bricoleurs avertis il y a aussi ceci :

Sinon pour ceux qui ne veulent pas finir comme ca :
wall-e-obese-humans-cropped.jpg

il y a ce model :
ed5b0399-1247-4815-8df7-dd5ed97d3a6c.jpg

Ou “faut pas faire chier gérard Lambert quand y répare sa mobylette”
A la niche!

Ce gestionnaire de mots de passe a l’air vraiment bien.

Je vais sans doute me laisser tenter.

Merci pour cette trouvaille, @Indigostar 😉

oulala on va priver de logiciels libres les méchants russes parce qu’ils sont méchants d’etre méchant

Pour protester contre l’invasion de l’Ukraine par la Russie

Le développeur à l’origine du populaire paquet npm “node-ipc” a expédié ce mois-ci une nouvelle version pour protester contre l’invasion de l’Ukraine par la Russie. Mais les changements ont introduit un comportement indésirable qui cible les utilisateurs avec des adresses IP situées en Russie ou en Biélorussie et efface tous leurs fichiers lors de l’installation pour les remplacer par un émoji de cœur. Cet acte de sabotage suscite de nouvelles inquiétudes quant à la sécurité de la chaîne d’approvisionnement des logiciels et des logiciels libres.

“node-ipc” est un module Node.js pour “la communication interprocessus locale et distante” avec un support complet pour Linux, Mac et Windows. Il supporte également toutes les formes de communication par socket, des sockets bas niveau d’Unix et de Windows aux sockets UDP et sécurisés TLS et TCP. Avec plus de 1,1 million de téléchargements hebdomadaires, node-ipc est un paquet important utilisé par des bibliothèques majeures comme Vue.js CLI. Cependant, le développe de node-ipc, Brandon Nozaki Miller, a saboté le paquet pour nuire aux utilisateurs se trouvant en Russie ou en Biélorussie, en vue de militer contre l’invasion russe en Ukraine.

3c32a836-e60e-4890-a38e-7f462dc61c23-image.png

Tout a commencé le 8 mars lorsque Miller, plus connu sous le pseudonyme RIAEvangelist, a publié deux paquets open source appelés “peacenotwar” et “oneday-test” sur npm et GitHub. Les paquets semblent avoir été créés à l’origine par Miller comme un moyen de protestation pacifique, car ils ajoutent principalement un “message de paix” sur le bureau de tout utilisateur qui installe les paquets. « Ce code sert d’exemple non destructeur de la raison pour laquelle le contrôle de vos modules de nœuds est important. Il sert également de protestation non violente contre l’agression de la Russie qui menace le monde en ce moment », explique RIAEvangelist.

Mais le chaos s’est installé lorsque certaines versions npm de node-ipc ont été vues lançant une charge utile destructrice vers toutes les données et écrasant tous les fichiers des utilisateurs installant le paquet. Fait intéressant, le code malveillant lisait l’adresse IP externe du système et ne supprimait que les fichiers des utilisateurs basés en Russie et en Biélorussie. Le code malveillant présent dans node-ipc, en particulier dans le fichier “ssl-geospec.js”, contient des chaînes codées en base64 et des techniques d’obscurcissement pour masquer son véritable objectif. Snyk, une startup spécialisée en cybersécurité, a suivi et documenté les faits.

Une copie simplifiée du code fournie par les chercheurs de Snyk montre que pour les utilisateurs basés en Russie ou en Biélorussie, le code réécrit le contenu de tous les fichiers présents sur un système avec un émoji de cœur, ce qui a pour effet de supprimer toutes les données sur un système. Mais ce n’est pas tout. Les chercheurs ont rapporté que comme les versions 9.2.2, 11.0.0 et les versions supérieures à 11.0.0 de node-ipc intègrent le module “peacenotwar”, les utilisateurs concernés ont vu des fichiers ‘WITH-LOVE-FROM-AMERICA.txt’ apparaître sur leur bureau avec des messages de ‘paix’ (comme le montre l’image ci-dessous).

Selon les chercheurs, cet acte représente un réel danger pour les utilisateurs de node-ipc basés dans ces régions. « À ce stade, un abus très clair et un incident critique de sécurité de la chaîne d’approvisionnement se produiront pour tout système sur lequel ce paquet npm sera appelé, s’il correspond à une géolocalisation de la Russie ou de la Biélorussie », écrit Liran Tal, directeur de la défense des développeurs chez Snyk dans un billet de blogue. En outre, cet acte de sabotage a déclenché une panique générale dans la communauté du framework JavaScript de développement front-end Vue.js, qui utilise également node-ipc comme dépendance.

aedfeda3-ff68-47b8-9505-92d22fb9635a-image.png

Avant cet incident, Vue.js n’épinglait pas les versions de la dépendance node-ipc à une version sûre et était configuré pour récupérer les dernières versions mineures et correctives. En tant que tels, les utilisateurs de Vue.js CLI ont lancé un appel urgent aux mainteneurs du projet afin qu’ils épinglent la dépendance node-ipc à une version sûre, après que certains aient été surpris. Et, comme l’ont observé les chercheurs, Vue.js n’est pas le seul projet open source à être touché par ce sabotage. Ainsi, ils avertissent les développeurs et les autres responsables de projets de s’assurer qu’ils ne sont pas sur une version malveillante de node-ipc.

Les chercheurs de Snyk estiment que les versions 10.1.1 et 10.1.2 de node-ipc qui causent des dommages flagrants au système ont été retirées par npm dans les 24 heures suivant leur publication. Cependant, les versions 11.0.0 et supérieures de node-ipc restent disponibles sur npm et ils contiennent toujours le module “peacenotwar” qui crée les fichiers ‘WITH-LOVE-FROM-AMERICA.txt’ mentionnés ci-dessus sur le bureau. En tant que tel, si votre application est construite en utilisant la bibliothèque node-ipc, assurez-vous de définir la dépendance sur une version sûre telle que 9.2.1 (il s’avère que 9.2.2 n’est pas innocent non plus).

Il s’agit du deuxième incident majeur de protestation d’un développeur open source cette année, après le sabotage des paquets “colors” et “fakers” en janvier par leur développeur. Dans le cas de “colors”, son développeur Marak Squires a suscité des réactions mitigées de la part de la communauté open source parce que sa manière de protester impliquait de casser des milliers d’applications en y introduisant des boucles infinies. Cependant, l’action de RIAEvangelist, qui maintient plus de 40 paquets sur npm, a suscité de vives critiques pour avoir dépassé la simple “protestation pacifique”.

Il a déployé activement des charges utiles destructrices dans une bibliothèque populaire sans aucun avertissement aux utilisateurs honnêtes. Un utilisateur de GitHub a qualifié ce comportement d’“énorme dommage” pour la crédibilité de l’ensemble de la communauté open source. « Ce comportement est au-delà du f**** up. Bien sûr, la guerre est mauvaise, mais cela ne justifie pas ce comportement (par exemple, supprimer tous les fichiers pour les utilisateurs de Russie/Biélorussie et créer un fichier étrange dans le dossier du bureau). F*** you, allez en enfer. Vous venez de ruiner avec succès la communauté open source », a déclaré un autre.

37a487a9-021a-4156-938c-70a1aabd77e9-image.png

« Tu es content maintenant @RIAEvangelist ? », a-t-il demandé. Pour d’autres, les développeurs devraient trouver d’autres terrains de protestation et arrêter de nuire à la réputation de l’open source. « Même si l’acte délibéré et dangereux du mainteneur RIAEvangelist sera perçu par certains comme un acte légitime de protestation. Comment cela se répercute-t-il sur la réputation future du mainteneur et sur sa place dans la communauté des développeurs ? », demande Tal de Snyk.

D’après Tal, cet incident de sécurité implique des actes destructeurs de corruption de fichiers sur le disque par un mainteneur et ses tentatives de cacher et de reformuler ce sabotage délibéré sous différentes formes. Bien qu’il s’agisse d’une attaque aux motivations contestataires, elle met en lumière un problème plus large auquel est confrontée la chaîne d’approvisionnement des logiciels : les dépendances transitives de votre code peuvent avoir un impact énorme sur votre sécurité.

Les chercheurs de Snyk avertissent que les développeurs doivent faire preuve de prudence avant d’utiliser node-ipc dans leurs applications, car il n’y a aucune garantie que les futures versions de cette bibliothèque ou de toute autre bibliothèque publiée par RIAEvangelist seront sûres. L’épinglage de vos dépendances à une version de confiance est l’un des moyens de protéger vos applications contre de telles attaques de la chaîne d’approvisionnement.

Sources : Snyk, discussions sur node-ipc (1, 2), les paquets npm maintenus par RIAEvangelist, le code malveillant, javascript.developpez.com