Linux France

S'abonner à flux Linux France
Mis à jour : il y a 49 sec

LAN 0AD le 20 février 2015 à Lille

Mardi 17 Février

Ce vendredi on en remet une couche avec 0 AD à Akedo. Nouvelle LAN party sur le jeu 0AD de 19h à 22h sur les PC gamers de la salle comme la dernière fois, 3€ pour 3h de jeu. Pour s'y rendre, c'est au 2 rue Colson, à l'angle avec la rue Nationale à Lille.

Si la nouvelle version n'est pas sortie d'ici là, les récidivistes pourront peaufiner leur stratégie et les nouvelles et nouveaux pourront profiter de la même présentation pour profiter au plus vite du jeu. D'autres pourront aussi élever des moutons.

Si la nouvelle version est sortie, on recommence avec présentation des changements.

Télécharger ce contenu au format Epub

Lire les commentaires

Revue de presse de l'April pour la semaine 7 de l'année 2015

Mardi 17 Février

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

[L'OBS] «Surveiller, tout en se cachant, est la forme la plus haute du pouvoir»

Par Claire Richard, le dimanche 15 février 2015. Extrait :

Frank Pasquale, professeur à l’Université du Maryland, vient de publier «The Black box society». Il décrit comment les algorithmes, protégés par le secret commercial, créent de nouveaux rapports de pouvoir.

Lien vers l'article original : http://rue89.nouvelobs.com/2015/02/15/surveiller-les-autres-tout-cachant-est-forme-plus-haute-pouvoir-257575

Et aussi :

[La Presse] Contrats informatiques du gouvernement: l'ombre du crime organisé plane

Par Patrice Bergeron, le vendredi 13 février 2015. Extrait :

Le crime organisé pourrait très bien être impliqué dans l'attribution des contrats informatiques au gouvernement, soupçonne un collectif de 16 organismes regroupant notamment des syndicats, qui dénonce le gaspillage dans les projets informatiques gérés par l'État.

Lien vers l'article original : http://www.lapresse.ca/actualites/politique/politique-quebecoise/201502/13/01-4843943-contrats-informatiques-du-gouvernement-lombre-du-crime-organise-plane.php

Et aussi :

[usine-digitale.fr] L'open source, un travail d'amélioration continue et communautaire qui séduit les industriels

Par Morgane Remy, le mercredi 11 février 2015. Extrait :

L’open source fait des petits. Né dans le logiciel, avec du code source "ouvert" et accessible à tous si l’auteur n’oppose aucune restriction, le concept "open" touche désormais le hardware. Il permet désormais à des communauté de "makers" de fabriquer des objets dont les conceptions sont ouvertes et de les améliorer. Un bon moyen pour une start-up de se lancer dans un projet, à moindre coût. D'abord réticentes, les grandes entreprises se mettent à leur tour à regarder avec intérêt ces nouvelles pratiques; Y compris dans des secteurs longtemps réticents, comme l’automobile.

Lien vers l'article original : http://www.usine-digitale.fr/editorial/l-open-source-un-travail-d-amelioration-continue-et-communautaire-qui-seduit-les-industriels.N307172

Et aussi :

[Next INpact] De plus en plus d'acteurs en faveur d'une réforme du droit d'auteur

Par Marc Rees, le mercredi 11 février 2015. Extrait :

Le récent projet de rapport de Julia Reda, eurodéputée du Parti Pirate, n’a pas reçu qu’une pluie d’orties des ayants droit et du ministère de la Culture. Il a été aussi très favorablement accueilli par des acteurs d’horizons très divers.

Lien vers l'article original : http://www.nextinpact.com/news/93039-de-plus-en-plus-dacteurs-en-faveur-dune-reforme-droit-dauteur.htm

Et aussi:

[Silicon.fr] Android: Microsoft et Samsung mettent fin à leur dispute

Par David Feugey, le mardi 10 février 2015. Extrait :

Un accord confidentiel a été signé entre Microsoft et Samsung au sujet d’Android. Encore une fois, Microsoft a évité la case justice.

Lien vers l'article original : http://www.silicon.fr/brevets-android-microsoft-samsung-fin-dispute-secret-107970.html

[EducPros] Les fablabs ou la pédagogie de la bidouille

Par Céline Authemayou, le lundi 9 février 2015. Extrait :

Les fablabs – pour "ateliers de fabrication" – se multiplient sur tout le territoire français. L’enseignement supérieur n’échappe pas au phénomène: universités et écoles créent leur propre structure. Plus que de simples ateliers de bidouille réservés aux fous de technologies numériques, ces lieux permettent aux établissements de décloisonner leurs enseignements tout en valorisant l’apprentissage par l’action.

Lien vers l'article original : http://www.letudiant.fr/educpros/enquetes/fablabs-la-pedagogie-de-la-bidouille.html

[ZDNet France] Villes internet et déserts numériques, la fracture s'agrandit-elle?

Par Frédéric Charles, le dimanche 8 février 2015. Extrait :

Les labels 2015 « territoires, villes et villages internet » sont arrivés, les Départements réclament leur label. La folie du label contamine t-elle la république numérique?

Lien vers l'article original : http://www.zdnet.fr/actualites/villes-internet-et-deserts-numeriques-la-fracture-s-agrandit-elle-39814346.htm

Télécharger ce contenu au format Epub

Lire les commentaires

Sortie du noyau Linux 3.19

Lundi 16 Février

La sortie de la version stable 3.19 du noyau Linux a été annoncée le dimanche 8 février 2015 par Linus Torvalds. Le nouveau noyau est, comme d’habitude, téléchargeable sur les serveurs du site kernel.org. Le détail des évolutions, nouveautés et prévisions se trouve dans la seconde partie de la dépêche.

Pour rappel, la page wiki rédiger des dépêches noyau signale quelques possibilités pour aider à la rédaction et s’y impliquer (ce que tout inscrit peut faire, ne serait‐ce que traduire^Wsynthétiser les annonces de RC).

Sommaire En bref
  • Architectures
    • Changement dynamique possible de parties de l'arbre du device tree
    • Gestion de Coresight, le traceur matériels pour processeurs ARM
  • Développeurs
    • Introduction de fonctions 64 bits pour la gestion du temps au delà de 2038
    • Encore un nouvel appel système (!) : execveat()
  • Pilotes graphiques libres
    • DRM : la gestion du mode graphique atomique approche à grands pas
    • AMD/ATI : ajout du pilote AMDKFD pour la gestion de HSA
    • Intel : gestion initiale de la famille Skylake
    • NVIDIA : gestion initiale des nouveaux processeurs graphiques Maxwell
  • Réseau
    • Pilote pour la gestion des communications entre conteneurs
  • Sécurité
    • Intel Memory Protection Extensions (MPX)
    • Correction de l'appel système setgroups()
  • Systèmes de fichiers
    • OverlayFS multi couche
    • Données inline pour CephFS
  • Virtualisation
    • Gestion de Xen sur les systèmes non-cohérents
Annonces des RC par Linus Torvalds RC-1

La version RC1 est sortie le samedi 20 décembre 2014 :

Donc, cela fait deux semaines à un jour près et la phase d’intégration est terminée.

Considérant combien de contributions sont arrivées tardivement, j’estime difficile de me préoccuper de quiconque déciderait de placer la limite plus loin que ceux qui l’ont déjà fait. Cela dit, il n’y a peut‐être aucun vrai retardataire — et à la vue de la taille de la RC1, il ne doit vraiment pas y en avoir beaucoup. Non seulement je pense qu’il y a plus de contributions qu’il n’y en avait dans linux-next : c’est historiquement une des plus grosses RC1 (du moins par les commits). Nous en avons eu de plus grosses (les 3.10 et 3.15 ont été précédées de longues phases d’intégration), mais ce n’était clairement pas une petite phase d’intégration.

En tout cas, nous avons eu des changements de tous les côtés, y compris une nouvelle architecture (Nios II). Mon « journal de fusion résumé » est joint et, comme d’habitude, je veux souligner qu’il attribue les contributions aux personnes me les envoyant, ce qui n’est en général pas du tout la même chose que les gens qui écrivent effectivement le code, même s’il y a évidemment un recoupement.

Dans les grandes lignes, cela ressemble à une sortie plutôt normale. À peu près deux tiers de mises à jour de pilotes, avec à peu près la moitié du reste qui sont des mises à jour d’architectures (et, non, les correctifs du nouveau Nios II ne sont pas du tout prédominantes, c’est à peu près pour moitié de l’ARM, dont la prise en charge du nouveau Nios II représente moins de 10 % des mises à jour d’architecture en nombre de lignes). Le sixième restant est « divers » : réseau, mises à jour des en‐têtes, documentation, systèmes de fichiers, outils et cœur du noyau (à peu près dans cet ordre).

Évidemment, les vacances arrivant, je m’attends à ce que les quelques prochaines semaines soient plutôt calmes, mais nous verrons bien. J’ose espérer que les gens auront le temps de tester cela entre tous leurs laits de poule,

Linus

RC-2

La version RC2 est sortie le dimanche 28 décembre 2014 :

Cette RC est minuscule, pour des raisons évidentes.

Je ne m’attends pas à ce que cela dure, mais nous aurons probablement une autre semaine de calme relatif avant un vrai retour à la normale.

À peu près 80 % de pilotes (le DRM formant la grande majorité), avec quelques petits correctifs concernant ARM64, l’audit et quelques petits mono‐lignes çà et là à d’autres endroits.

Linus

RC-3

La version RC3 est sortie le lundi 5 janvier 2015 :

Elle a été repoussée d’un jour — non pas à cause de problèmes de développement particuliers, mais simplement parce que je carrelais une salle de bain hier. Mais la RC3 est maintenant sortie, et les choses sont demeurées raisonnablement calmes. J’espère vraiment que cela signifie que le 3.19 a l’air bon, mais il est tout aussi probable que les gens récupèrent encore de leur période de vacances.

Un peu plus de trois quarts des changements concernent les pilotes — surtout du réseau, de la gestion de température, la couche de périphériques d’entrée, le son et la gestion de l’alimentation. Le reste est divers — systèmes de fichiers, infrastructure réseau, quelques correctifs d’architectures, etc. Mais l’ensemble est plutôt petit.

Donc, allez‐y, testez,

Linus

RC-4

La version RC4 est sortie le dimanche 11 janvier 2015.

Une autre semaine, une autre RC.

Les choses sont restées raisonnablement calmes, bien que nous ayons aussi eu quelques régressions de dernière minute dans la gestion de la mémoire. Heureusement, la plupart d’entre elles ont été corrigées rapidement, ne laissant qu’un problème avec ARM64 toujours en suspens.

Donc, allez plus loin et testez plus encore. Je serai en déplacement pour les deux prochaines semaines à cause du LCA, mais je devrais avoir Internet, et, si les choses continuent à être raisonnablement calmes, je ne pense pas que mon voyage soit réellement perceptible. Finalement, on est dans les temps, à l’inverse de plusieurs sorties de l’année dernière.

Quoi qu’il en soit, la version courte de mon journal de fusion en annexe donne les détails, mais à part les correctifs du kgdb apparaissant comme une activité inhabituelle sous kernel/debug/, les choses semblent plutôt normales : une majorité de mises à jour de pilotes (pilotes graphiques, pinctrl, HID, réseau), des mises à jour d’architectures (principalement x86 cette fois, quelques trucs mineurs pour ARM[64]) et quelques correctifs sur les outils (principalement perf).

Linus

RC-5

La version RC5 est sortie le dimanche 18 janvier 2015 :

Une autre semaine, une autre RC.

Sortie plutôt normale, même si j’aurais souhaité qu’en RC5 nous nous soyons calmé davantage. Mais, non, avec les quelques inclusions dans l’arborescence des pilotes notamment, elle est en fait plus grosse que ne l’était la RC4.

Cela dit, ce n’est pas comme s’il y avait quoi que ce soit de particulièrement effrayant là‐dedans.

Le bogue mémoire ARM64 que j’ai mentionné comme mis en attente dans les notes de la RC4 a été corrigé un jour après cette précédente RC, et le reste a l’air plutôt standard. Surtout des pilotes (réseau, USB, cible SCSI, couche bloc, contrôleur mémoire, TTY, etc.), mais aussi des mises à jour d’architectures (ARM, X86, S/390 et quelques petites corrections sur PowerPC), quelques mises à jour de systèmes de fichiers (FUSE et NFS), des corrections de traçage et quelques corrections des outils d’analyse de performance.

La version courte de mon journal avec les détails est en annexe.

Allez‐y, testez.

Linus

RC-6

La version RC6 est sortie le dimanche 25 janvier 2015 :

Une autre RC, une autre semaine plus proche de la sortie. Et celle‐ci est légèrement plus petite que ne l’était la RC5, bien que plus petit encore serait toujours mieux.
Mais, comme la RC5, aucun des changements ne semble particulièrement effrayant et plus d’un quart ont été appliqués à la version stable, donc les choses ont l’air d’être sur les bons rails. Je m’attends, pour l’heure, à faire une RC7 la semaine prochaine, avec le 3.19 final dans deux semaines, selon le calendrier habituel.

Les statistiques ont l’air tout à fait normales, avec un correctif comprenant à peu près 70 % de changements pour les pilotes (le retour en arrière d’un pilote pour les ordinateurs portables Dell représente le plus gros des correctifs, mais il y a le réseau, les médias, les pilotes graphiques, les entrée‐sorties GPIO, le son…) et à peu près 14 % de mises à jour d’architectures (x86 et ARM sont les plus grosses, mais il y a d’autres petites mises à jour également) et le reste se répartit un peu partout (mises à jour de documentation, du réseau, mises à jour de systèmes de fichiers — principalement Btrfs, etc.).

La version courte du journal des changements propose une sorte de résumé détaillé pour les gens qui veulent avoir une idée de ce qu’il s’est passé. Rien de vraiment particulier ne s’en distingue.

Linus

RC-7

La version RC7 est sortie le dimanche 1er février 2015 :

Tout semble être assez calme et normal, donc ce sera probablement la dernière RC, à moins que quelque chose d’inattendu ne survienne soudainement. Ce qui veut dire que j’aimerais voir plus de gens tester l’utilisation ce bébé [N. D. T. : chiot est le terme employé par Linus], juste pour validation.

Les statistiques de cette TC sont plutôt normales — à peu près 50 % de pilotes, 20 % de mises à jour d’architectures (pour la plupart ARM et ARM64, quelques x86), avec les systèmes de fichiers apparaissant un peu plus que d’habitude (largement dus aux changements dans le système de quotas), le reste étant « divers » — outils de test de performance, quelques changements mineurs dans le noyau et la mémoire virtuelle, etc.

Mais tout cela est assez petit. La version courte du journal des changements est jointe pour les curieux,

Linus

Version finale

La version finale est sortie le 8 février 2015 :

Alors, rien de bien passionnant et bien que que j’ai été tenté plusieurs fois de faire une RC8, il n’y avait vraiment aucune raison à cela.

À titre d’exemple, Sasha Levin a utilisé KASan et a trouvé un bogue intéressant dans les verrous tournants paravirtualisés. Mais, il s’est avéré qu’il était présent depuis toujours, et il n’est même pas évident qu’il puisse vraiment être déclenché dans la pratique. Nous le corrigerons et l’indiquerons dans la version stable, et aussi tentant que cela fût, ça n’était pas une raison valable pour retarder le 3.19.

Et les véritables corrections qui ont été faites (voir la version courte du journal de changements) étaient toutes franchement petites, à l’exception de quelques changements de taille moyenne dans InfiniBand qui étaient tous des suppressions de code qui n’était tout simplement pas prêt.

Donc, il est sorti — venez le récupérer. Et, par conséquent, la fenêtre d’intégration pour le 3.20 est évidemment désormais ouverte aussi.

Linus

Les nouveautés Architecture Allwinner Cartes de développement

Deux nouvelles cartes de développement font leur apparition dans la liste des matériels supportés. La Banana Pi est une carte embarquée peu chère, très flexible et adaptée pour un usage au quotidien ou en tant que carte de développement. Pour un montant assez correct, vous disposerez d’un système monopuce Allwinner A20 (ARM Cortex-A7 double‐cœur, 1 GHz, processeur graphique Mali-400 MP2), de 1 Gio de mémoire vive DDR3, d’un connecteur HDMI et LVDS, de l’USB 2, du SATA, d’un contrôleur Ethernet Gigabit et d’un en‐tête d’extension où vous pourrez brancher plein de choses.

La A20-OLinuXino-Lime2 est une carte de développement en matériel libre produit par OLimex. Elle dispose d’un système monopuce Allwinner A20 (double‐cœur Cortex A7 cadencé à 1 GHz, un processeur Mali-400), 1 Gio de mémoire vive DDR3, un connecteur HDMI Full HD 1080p, un connecteur LCD (4,3″, 7,0″ et 10,1″), de l’USB 2.0, un contrôleur Ethernet Gigabit, un lecteur de carte microSD, un connecteur SATA et permet de pouvoir connecter jusqu’à 160 GPIO. Ces deux cartes sont désormais prises en charge par le noyau Linux mainline.

A80

Le Allwinner A80, développé par la société Allwinner Technology, est le premier système monopuce de la série Allwinner A8X. Il dispose de l’architecture Big.LITTLE d’ARM avec huit cœurs, dont quatre Cortex A7 à basse consommation, et quatre autres cœurs Cortex A15 à haute performance.

La puce intègre un processeur graphique PowerVR G6230 gérant OpenCL 1.1, OpenGL 3.0, OpenGL ES Next 3.0 et 2.0. Par rapport à ses prédécesseurs, il intègre la prise en charge de l’USB 3, le décodage matériel H.265 et la prise en charge de caméras dont la définition peut atteindre 16 mégapixels.

Le Allwinner A80 est désormais pris en charge par le noyau. La carte de développement Optimus A80, sortie au même moment que le système monopuce, est également prise en charge.

Samsung Exynos
  • gestion du nouveau système monopuce Exynos 4415 ;
  • prise en charge de l’unité de gestion d’alimentation (PMU) pour les Exynos 5420 et Exynos 3250 ;
  • gestion de la mise en veille en mémoire (suspend to ram) pour le Exynos 5420.
AMD Seattle

Les processeurs AMD Seattle sont maintenant gérés par Linux. Ce sont les premiers processeurs grand public de la firme AMD à être basés sur l’architecture ARM 64 bits (ARMv8-A Cortex A57) et non pas x86. Ils embarquent notamment un coprocesseur cryptographique.

Device tree overlay — surcouche d’arborescence matérielle

Le Device tree est une structure de données chargée au démarrage du noyau qui décrit la topologie et certaines informations matérielles. Le code du noyau qui gère certains microcontrôleurs ou même certains pilotes viennent ensuite y chercher des informations afin de s’initialiser correctement.
Cela permet d’avoir un code beaucoup plus générique avec moins d’informations codées en dur. Le souci est qu’il a été écrit de façon statique par ses créateurs, par conception et architecture logicielle. C’est extrêmement pratique et puissant pour exprimer plein de contraintes, mais cela reste lourd et complexe à mettre en place sur des cartes dont les possibilités matérielles ou la topologie peuvent rapidement changer, comme c’est le cas sur une BeagleBone ou une Raspberry Pi, par exemple.

Cette version du noyau introduit une nouvelle fonctionnalité : le Device tree Overlay. L’overlay est une fonctionnalité qui permet de venir modifier à chaud une portion de cette arborescence matérielle sur un noyau en train de tourner, ou de venir greffer une portion d’un autre device tree par dessus un autre qui est déjà en cours d’exécution. Cela va permettre de résoudre pas mal de problèmes, comme ceux évoqués plus haut.

Pour de plus amples informations au sujet du Device tree, je vous invite à lire ce paragraphe de notre précédente dépêche et cet article.

ARM Coresight

La technologie ARM Coresight est maintenant prise en charge par le noyau. Coresight est un mécanisme de débogage matériel d’un système monopuce ARM qui inclut une partie JTAG et une partie de traçage et de débogage de matériel et bus matériel assistée, nous nous focaliserons ici sur cette dernière.

Il est aujourd’hui très complexe de porter un nouveau système monopuce au sein du noyau ou d’un système d’exploitation temps réel, et de comprendre précisément et finement ce qu’il se passe à l’intérieur. Il y a, en effet, énormément de contrôleurs et de composants interconnectés : processeur graphique, contrôleur d’accès direct à la mémoire (DMA), processeur de traitement de signal (DSP), AMBA bus, etc. Cela peut rendre la tâche d’un développeur extrêmement ardue, afin de savoir quel signal est levé dans le processeur et à quel moment (IRQ, DMA), ou quel flux de données transite sur un bus. C’est précisément là que Coresight intervient.

Pour plus d’informations, vous pouvez consulter l’article écrit par Linaro sur le sujet.

Développeurs Problème liée à l’année 2038

Le problème lié à l’année 2038 est toujours là. Les fonctions internes do_settimeofday(), timekeeping_inject_sleeptime(), et mktime() ont maintenant des remplaçants sûrs pour le bogue de l’année 2038. Dans chaque cas, la nouvelle version ajoute « 64 » au nom de la fonction, et passe au type time64_t ou timespec64 pour représenter le temps. Maintenant, il est possible de rendre obsolètes les anciennes versions et la conversion du code peut commencer.

Gestion des « interruptions hiérarchiques par domaine »

La prise en charge des interruptions hiérarchiques par domaine a été fusionnée au cœur du gestionnaire d’interruptions. Cette gestion est rendue nécessaire pour une prise en compte correcte du matériel complexe qui a de multiples contrôleurs d’interruptions, liés de différentes manières. Voir le nouvel article ajouté à Documentation/IRQ-domain.txt pour un peu plus d’informations.

ftrace

Les filtres utilisés à l’intérieur du sous‐système ftrace gèrent maintenant l’opérateur logique NON « ! » dans les expressions.

Option SO_INCOMING_CPU pour getsockopt()

Une nouvelle option de getsockopt() apparaît, SO_INCOMING_CPU. Elle retourne au processeur sur lequel un traitement est en cours pour une socket donnée. Lorsqu’elle est utilisée avec du matériel à multiples files d’attente sur les grands systèmes, cette option peut permettre à une application de diviser le travail entre les processeurs, maximisant ainsi le débit.

Appel système execveat()

L’appel système execveat() a été fusionné. Comme pour les autres appels système terminant par at (à), il faut un descripteur de fichier pour le répertoire à utiliser comme point de départ pour trouver le fichier exécutable. Il peut également être utilisé pour exécuter un fichier binaire directement à partir d’un descripteur de fichier ouvert, permettant une meilleure mise en œuvre de l’appel système fexecve() trouvé sur d’autres systèmes de type UNIX.

Binder, le système de communication inter‐processus d’Android quitte la partie instable

Malgré quelques réclamations sur la liste de diffusion, le code du système de communication inter‐processus (IPC) Binder d’Android a été déplacé de staging vers la branche principale du noyau. En fin de compte, c’est une interface de programmation qui a été livrée sur des millions de systèmes et qui doit être gérée d’une manière ou d’une autre.

Pilotes graphique libres

Divulgation complète : Cette partie a été écrite par le contributeur habituel, mais celui‐ci travaille maintenant pour Intel. Son discours peut donc être biaisé. Ce contributeur a cependant affirmé sur son blog qu’il resterait factuel et juste envers tous les pilotes, comme il s’est efforcé de le faire depuis le début de ses contributions. Cette partie reflète uniquement son opinion et pas celle de son employeur.

DRM (Direct Rendering Manager)

Les travaux sur la gestion atomique du mode graphique avancent fortement dans cette nouvelle version. Pour rappel, cette gestion atomique permet à une application telle que le serveur X de changer les paramètres de tous les plans graphiques (exposés par l’interface de programmation universal plane, intégrée dans Linux 3.15) à la fois, ce qui permet par exemple à un compositeur d’utiliser les plans graphiques pour faire le rendu vidéo au lieu d’utiliser les shaders. Ces plans graphiques sont plus efficaces, car ils sont généralement capables d’afficher les vidéos dans leur format natif (YUV) sans avoir à être convertis en RVB. De plus, ils sont généralement capables de redimensionner la taille d’une image de façon matérielle.

Sans la gestion atomique des plans graphiques, il est impossible pour un compositeur de migrer dynamiquement le rendu d’une image d’un plan graphique à un autre ou de faire la composition en utilisant des shaders. Une fois cette gestion stabilisée, il deviendra possible d’économiser de l’énergie grâce à cette technique. Pour l’instant, cette nouvelle interface est masquée par une option noyau. Plus d’informations sont disponibles dans la demande d’intégration 3.19 et sur le blog du mainteneur du pilote i915.

La deuxième principale nouveauté est l’ajout de deux nouvelles propriétés DRM afin de fournir une meilleure gestion des écrans par les processeurs graphiques virtuels [commit]. Ces propriétés en lecture seule sont à destination du serveur X et des environnements de bureau, afin qu’ils puissent positionner les écrans de la même façon que dans la machine hôte. Il faudra donc attendre quelques mois afin que le serveur graphique et les environnements de bureau utilisent ces propriétés. Le pilote de processeur graphique virtuel qxl, utilisé par KVM, a été modifié afin de lire ces propriétés depuis l’hôte avant de modifier les propriétés nouvellement ajoutées.

Comme d’habitude, la gestion de nouveaux panneaux a également été ajoutée, ce qui permet à plus de plates‐formes embarquées de fonctionner avec des pilotes libres. Pour finir, une demande d’intégration de modifications diverses a été faite.

Pour plus d’informations, vous pouvez consulter la demande d’intégration DRM.

AMD/ATI (pilote Radeon)

Pour AMD, la version 3.19 du noyau apporte un changement très important, l’introduction du pilote AMDKFD (AMD Kernel Graphic Driver) qui permet d’exposer une interface bas niveau à destination des applications utilisant le calcul générique sur un processeur graphique (GPGPU). Cette interface permet de tirer parti du modèle de programmation HSA (Heterogeneous System Architecture) qui vise à permettre une collaboration plus rapide entre le processeur graphique et le processeur central. Pour plus d’information sur HSA, vous pouvez consulter la page Wikipédia ou le site d’AMD. Pour plus d’informations concernant le code, vous pouvez consulter les demandes d’intégration.

Une autre nouveauté est l’amélioration de la gestion du ventilateur. Jusqu’à présent, le ventilateur était géré par un circuit intégré externe, configuré par le BIOS. Cependant, de nouveaux processeurs graphiques nécessitent maintenant une gestion du ventilateur par le noyau, comme c’est le cas pour le pilote Nouveau. Ce problème a été découvert et documenté dans un rapport de bogue par un utilisateur Radeon, il y a plus d’un an. Cet utilisateur a commencé par faire de la rétro‐ingénierie du pilote propriétaire grâce à l’outil MMIOTRACE, qui est également utilisé par le projet Nouveau et a trouvé la liste des écritures nécessaires pour pouvoir gérer manuellement la vitesse du ventilateur. Cependant, en novembre, Alex Deucher d’AMD a fourni des correctifs plus complets, afin d’apporter cette gestion manuelle du ventilateur. Ces correctifs ont finalement été intégrés dans Linux 3.19. Il faudra cependant attendre au moins Linux 3.20 avant que cette gestion soit exposée via l’interface de HWMON. Pour plus d’informations, vous pouvez consulter le rapport de bogue qui détaille tout l’historique.

Outre ces changements, la gestion d’énergie pour la famille Canary Island s’améliore, ainsi que la gestion des espaces d’adressage par contexte graphique. Pour plus d’information, vous pouvez consulter les demandes d’intégration.

Intel (pilote i915)

Dans cette nouvelle version, le pilote i915 apporte une gestion basique des processeurs graphiques Intel Skylake qui succèdent à la famille Broadwell et qui devraient être disponibles à la vente en septembre 2015.

Malheureusement, contrairement à ce qui a été annoncé dans la dépêche précédente, la gestion du PPGTT (Per‐Process Graphics Translation Table) n’a pas pu être activée pour les processeurs Haswell à cause d’un bogue avec la gestion des contextes. Le PPGTT devrait cependant être activé dans Linux 3.20 pour les processeurs Broadwell.

La gestion atomique du mode graphique continue d’avancer, même si rien n’est encore utilisable. Dans cette nouvelle version, plusieurs portions du code ont été découpées en une partie de validation et une partie pour appliquer les changements. Ceci permet au pilote de prévenir si une combinaison n’est pas possible avant de commencer à appliquer les changements. Une version préliminaire devrait être disponible dans Linux 3.20, si l’on en croit les dires du mainteneur i915.

La gestion des modes d’affichage en espace utilisateur — le User-based ModeSetting (UMS) —, ancêtre de l’actuelle gestion en espace noyau — Kernel-based ModeSetting (KMS) — qui fut introduite en 2009, commence à être supprimée du noyau. Il aura donc fallu 5 ans entre la suppression de la gestion du mode d’affichage en espace utilisateur dans le pilote X.Org xf86-video-intel et la suppression du code correspondant dans le noyau.

Étonnamment, cette nouvelle version apporte des correctifs pour des familles plutôt anciennes. Ainsi, les générations 3 et 4 ont reçu une meilleure prise en charge de la remise à zéro de l’état après un blocage du processeur graphique. De même, les processeurs graphiques i830M devraient avoir une gestion fonctionnelle de l’affichage.

Lors de la demande d’intégration, Linus a fait remarquer qu’un message d’avertissement était généré dans le journal noyau lors du démarrage. Après investigation, Linus « pas content » Torvalds a rappelé pourquoi il est inacceptable qu’une telle modification se soit retrouvée sur son ordinateur et a fait valoir son opinion en disant qu’il y avait un manque flagrant de tests.

Bien d’autres modifications importantes sont présentes dans cette nouvelle version. Si vous voulez en savoir plus, vous pouvez consulter l’habituel compte‐rendu détaillé des modifications de Daniel Vetter (mainteneur i915). Vous pouvez aussi consulter la demande d’intégration i915.

NVIDIA (pilote Nouveau)

Le changement principal pour Nouveau dans cette version est la gestion très préliminaire des nouveaux processeurs graphiques de la famille Maxwell. Il est maintenant possible d’avoir un affichage fonctionnel, mais sans aucune accélération. Cette accélération n’est en effet pas facile à fournir, car il est impossible d’envoyer le microcode de changement de contexte sans passer par le processeur de gestion d’énergie. Comme ce microcode doit nécessairement être signé par NVIDIA, Nouveau utilise celui inclus avec le VBIOS. Il reste donc à écrire ce microcode de changement de contexte.

NVIDIA a proposé de fournir son microcode avec les droits de redistribution, afin qu’il soit possible pour l’équipe de Nouveau de fournir une accélération graphique sur les générations futures. Malheureusement, il n’y a eu encore aucune concrétisation ; par conséquent, l’équipe ne sait pas quand l’accélération sera disponible.

NVIDIA poursuit son effort en ajoutant la gestion de la tension d’alimentation pour le GK20A présent dans le Tegra K1. Ce travail est indispensable pour la gestion du changement de fréquence, qui devrait arriver dans la prochaine version du noyau.

NVIDIA a également répondu à une question de Pierre Moreau (un troisième développeur Nouveau français actif !) concernant le rôle d’un registre qui, s’il est mal configuré, empêche Nouveau de fonctionner sur son MacBook Pro. Pierre a ainsi pu écrire un correctif qui a été accepté dans Linux 3.19.

GPU des systèmes monopuces

Le pilote Tegra pour les systèmes monopuces de NVIDIA a reçu la gestion des plans graphiques universels [commit]. Le pilote peut également utiliser l’IOMMU du système, lorsque celle‐ci est disponible. Cela permet, par exemple, de ne plus avoir à allouer une grosse portion contiguë de mémoire, l’IOMMU se chargeant de mettre les pages dans le bon ordre dans l’espace d’adressage [commit]. Pour finir, plusieurs améliorations liées à l’affichage ont été faites pour les liens DSI. Pour plus d’informations, vous pouvez consulter la demande d’intégration.

Le pilote MSM, à destination des processeurs graphiques Adreno de Qualcomm, reçoit dans cette version la gestion de la famille a4xx. Pour profiter de la 3D, il sera cependant nécessaire d’utiliser Mesa 10.5, qui devrait sortir dans les prochaines semaines. Une autre amélioration majeure est la conversion du code d’affichage, afin d’utiliser la nouvelle interface de gestion atomique d’un mode graphique introduite dans cette version. Pour plus d’informations, vous pouvez consulter les différentes demandes d’intégration.

Le pilote Exynos, pour les processeurs graphiques Samsung, a reçu la gestion du système monopuce Exynos 4415, ainsi qu’un gros effort de nettoyage et débogage du code. Pour plus d’informations, vous pouvez consulter la demande d’intégration.

Réseau

La couche réseau a un nouveau sous‐système pour recourir au matériel approprié pour les fonctions de commutation et routage.

eBPF et socket réseau

Pour Linux 3.18, Alexei Starovoitov avait activement travaillé à introduire un nouvel appel système bpf(). Celui-ci permet la gestion de programmes BPF étendu. Ce système se veut générique et indépendant de la partie réseau. Ce sera un moyen d’envoyer depuis l’espace utilisateur des filtres compilés dynamiquement par LLVM à divers sous-systèmes (réseau, sécurité). Cependant dans la pratique on ne pouvait pas encore utiliser la structure créée.

Une première implémentation pour les sockets réseau est maintenant disponible. Malgré le nom de Berkeley Packet Filter, cette implémentation ne permet pas encore la création de filtres. Pour l’instant, la structure n’a accès en entrée qu’au paquet réseau et non à toutes les métadonnées présentes dans la structure du noyau (skb). En sortie, elle n’a accès qu’à une table de hachage partagée avec l’espace utilisateur.

Cela en limite l’usage à la collecte de statistiques (des exemples sont disponibles), mais d’autres applications devraient être possibles dans les prochains cycles de développement.

Nouveau pilote pour gérer les connexions réseau entre conteneurs

Le nouveau pilote ipvlan permet la création de réseaux virtuels pour l’interconnexion de conteneurs. Il est conçu pour fonctionner avec les espaces de noms en réseau. Ipvlan est un peu comme le pilote macvlan existant, mais il fait son multiplexage à un niveau plus haut dans la pile.

Lors de la création de plusieurs espaces de nom, conteneur ou invité (sous-hôte) sur un hôte, plusieurs modes de connexion au réseau sont généralement disponibles (hôte seulement, NAT, pont réseau).

Dans le cas d'un pont réseau (l'équivalent d'un switch), l'hôte possède une interface physique (généralement appelée maître), éventuellement une interface représentant le pont, et une interface reliée (esclave) pour chaque sous-hôte.

Le plus généralement, on utilise le pilote bridge (man brctl). Il est cependant utile de limiter les interactions de chaque sous-hôte. Là où macvlan répartit les paquets en fonction de l'adresse mac (Niveau 2), ipvlan peut le faire en fonction de l'adresse IP (Niveau 3)

Pagination à la demande pour InfiniBand

La couche InfiniBand prend maintenant en charge la pagination à la demande. Cette fonction permet le paramétrage d’un emplacement RDMA et est remplie par des défauts de page lorsque la mémoire est effectivement utilisée, évitant ainsi le blocage d’une zone mémoire quand ça ne serait pas nécessaire.

Sécurité Intel Memory Protection Extensions (MPX)

La prise en charge, pour les programmes en espace utilisateur, de la technologie MPX spécifique aux processeurs Intel a été ajoutée. Les processeurs disposant de cette extension matérielle (architecture Skylake, qui n’est pas encore disponible) pourront contrôler les accès à la mémoire en vérifiant notamment qu’ils sont effectués dans une région valide. Cette protection peut empêcher l’exploitation de vulnérabilités de type dépassement de mémoire tampon.

Pour que cette fonctionnalité soit efficace, il faut donner au processeur beaucoup d’informations sur les différentes zones mémoires dont l’accès est valide. Il est donc probable que l’adoption de cette technologie se fasse progressivement. La prise en charge dans la suite de compilateurs GCC ainsi que dans la bibliothèque glibc est en cours d’intégration. Plus de détails dans l’article sur LWN.net, dans une précédente dépêche du noyau 3.14 et dans la documentation du noyau [correctifs].

seccomp et ARM64

L'architecture ARM64 peut maintenant faire usage du sous-système « seccomp ».

Correction de l'appel système setgroups()

Le comportement de l’appel système setgroups() a été modifié pour corriger une éventuelle faille de sécurité. Ce problème a été expliqué dans un article d’LWN.net, lorsqu’un développeur a essayé d’introduire dans Linux un moyen de réduire les privilèges d’une application. En effet, enlever un utilisateur d’un groupe peut parfois augmenter les privilèges et quelques administrateurs utilisent les droits UNIX de cette façon.

Le problème est que Linux propose déjà à un utilisateur de diminuer ses privilèges lorsque celui-ci s’exécute dans un espace de nom utilisateur. Cela a été corrigé dans cette nouvelle version, mais ce changement peut casser certaines applications.

Chargement non voulu de modules noyaux

Dans certains cas, il était possible de charger des modules noyau non nécessaires sans avoir besoin d’être « root ». Plus de détails sont disponibles dans cet article de Mathias Krause.

LSM IMA & EVM

Un crochet a été ajouté pour charger un certificat X.509 directement dans le trousseau de clé IMA chargé de la vérification d’intégrité [correctifs : 1, 2, 3, 4, 5].

SMACK

Pour qu’un processus puisse poser un verrou sur un fichier sur lequel il n’a que le droit d’accès en lecture, il doit disposer du mode d’accès SMACK « lock » (cf. dépêche noyau 3.13). Le label _ étant utilisé comme label pour le système de base, un processus quelconque ne peut verrouiller en lecture l’un de ces fichiers que si une règle est définie.

Comme c’est une opération très courante, le label _ a été modifié pour se comporter légèrement différemment, en autorisant le verrouillage en lecture pour tous les processus. Cela implique que les processus avec le label ^, qui peuvent lire tous les fichiers d’un système, peuvent désormais aussi les verrouiller en lecture. Ce changement a été effectué pour simplifier les politiques SMACK [correctif].

Liste non exhaustive des vulnérabilités corrigées

Pour plus de détails sur la vulnérabilité CVE-2015-0239 qui impacte KVM : [oss-security] KVM SYSENTER emulation vulnerability - CVE-2015-0239.

Systèmes de fichiers OverlayFS multi couche

OverlayFS gère maintenant plusieurs couches. Il est utilisé pour les liveCD car il permet de rendre une couche en lecture seule écrivable, en y ajoutant une zone en lecture/écriture.

CephFS avec des données inlines

CephFS gère les données inline pour augmenter les performances, principalement pour les petits fichiers, comme le font déjà ext4 et Btrfs. Il gère maintenant également le chiffrement des messages entre les clients et les serveurs.

Pour rappel, CephFS est un système de fichiers réparti sans point individuel de défaillance (SPOF), avec une bonne gestion du passage à l’échelle.

SquashFS avec LZ4

SquashFS gère la compression LZ4 qui est une compression peu gourmande en CPU. SquashFS est un système de fichiers compressé en lecture seule, utilisé pour les liveCD par exemple.

Btrfs

Le RAID 5 et le RAID 6, pris en charge nativement par le Btrfs, sont améliorés. Le changement à chaud des disques est aussi mieux pris en charge. Il y a énormément de corrections de bogues, y compris une corruption après un crash ou dans une condition d’erreur.

F2FS

Une nouvelle option de montage nommée « fastboot » réduit un certain nombre de vérifications effectuées lors du montage du système de fichiers et accélère donc potentiellement le démarrage d’un système.

NFS

Le client et le serveur NFS, prennent maintenant en charge les options NFS 4.2 ALLOCATE et DEALLOCATE. La première peut être utilisée pour demander la préallocation du stockage d’un fichier, tandis que la seconde est utile pour libérer un emplacement.

Divers
  • La multi file de block est améliorée et est prise en charge dans le pilote NVMe.
  • Optimisation de la couche DM responsable de la cryptographie et/ou de la couche raid par bloc.
Virtualisation KVM

La prise en charge de la virtualisation KVM pour l’architecture Itanium (IA64) a été supprimée. Elle n’était pas maintenue et, apparemment, n’était pas utilisée non plus.

Xen

Cette nouvelle version du noyau apporte une gestion complète des processeurs n’ayant pas de cohérence pour leurs caches, comme c’est le cas dans les processeurs ARM. L’hyperviseur a donc reçu un mécanisme permettant d’effectuer les opérations de maintenance de cache nécessaire sur ces processeurs.

Pour plus d'informations, vous pouvez consulter les demandes d'intégration Xen.

Virtio

Virtio, le cadriciel d’abstraction des IO à destination des hyperviseurs, passe en version 1.0.

Le pilote SCSI spécifique pour les machines virtuelles (virtio_scsi) peut faire usage de la gestion des files matérielles multiples (blk-mq : présentation sur blk-mq) qui est implémentée dans le noyau depuis la version 3.13 [correctif].

Pour plus d’informations, vous pouvez consulter la demande d’intégration Virtio.

Hyper-V

Prise en charge de l’enlèvement à chaud des interfaces réseau virtuelles (vNIC) [correctif].

Le bilan en chiffres

En ce qui concerne les statistiques du cycle de développement du noyau 3.18, le site LWN.net a publié son traditionnel article récapitulatif.

En nombre de modifications, on se situe à 12 461, soit environ 1 300 modifications de plus que la version précédente du noyau. Le nombre de contributeurs est, quant à lui, de 1 422. Ce nombre est resté relativement constant sur la dernière année.

Le développeur ayant écrit le plus de modifications est H. Hartley Sweeten (463) pour son travail de nettoyage des pilotes Comedi. Du côté des développeurs ayant le plus modifié de lignes, Malcolm Priestley remporte la palme grâce à son travail d’amélioration sur le pilote vt6655.

Environ 200 entreprises ont participé à l’élaboration de ce noyau. En tête, on retrouve Intel, qui a effectué 12 % des changements que l’on peut trouver dans cette nouvelle version. En deuxième place, Red Hat a contribué pour 8,3 % des changements. Il est cependant important de noter que les développeurs sans affiliation ont effectué 10,9 % des modifications, soit juste un peu moins qu’Intel, alors que les personnes non identifiées ont écrit 7,5 % des modifications. On peut donc dire, bien que le noyau soit majoritairement écrit par des employés d’entreprises, que les contributeurs indépendants sont toujours les bienvenus et sont même une majorité !

Appel à volontaires

Cette dépêche est rédigée par plusieurs contributeurs dont voici la répartition :

Mainteneur Contributeur(s) La phase de test Aucun Pierre Mazière, Davy Defaud Arch Romain Perier Développeurs Aucun Pilotes graphiques libres Martin Peres Réseau Aucun alpha_one_x86 Systèmes de fichiers Aucun alpha_one_x86 Sécurité Timothée Ravier Virtualisation Xavier Claude Timothée Ravier, Martin Peres Édition générale Aucun Martin Peres, Timothée Ravier, eggman, BAud

Un peu de vocabulaire :

  • le mainteneur d’une section de la dépêche est responsable de l’organisation et du contenu de sa partie, il s’engage également à l’être dans le temps jusqu’à ce qu’il accepte de se faire remplacer ;
  • un contributeur est une personne qui a participé à la rédaction d’une partie d’une section de la dépêche, sans aucune forme d’engagement pour le futur.

Malgré cette équipe importante, beaucoup de modifications n’ont pas pu être expliquées par manque de temps et de volontaires.

Nous sommes particulièrement à la recherche de mainteneurs pour les sections Systèmes de fichiers et Réseau, les précédents n’ayant pas donné de signes de vie pendant la rédaction des dernières dépêches.

Si vous aimez ces dépêches et suivez tout ou partie de l’évolution technique du noyau, veuillez contribuer dans votre domaine d’expertise. C’est un travail important et très gratifiant qui permet aussi de s’améliorer. Il n’est pas nécessaire d’écrire du texte pour aider, simplement lister les commits intéressants dans une section aide déjà les rédacteurs à ne pas passer à côté des nouveautés. Essayons d’augmenter la couverture sur les modifications du noyau !

Télécharger ce contenu au format Epub

Lire les commentaires

Mini Debian Conference 2015 à Lyon

Lundi 16 Février

L'association Debian France a le plaisir de vous annoncer la prochaine Mini-Debconf !

Cette année, l'évènement aura lieu le samedi 11 et le dimanche 12 avril, à Lyon, et sera hébergé par la Maison Pour Tous-Salle des Rancy.

Si vous souhaitez faire une présentation, organiser un BoF [EN], un atelier, etc., merci d'envoyer un courriel à minidebconf@france.debian.net.

Si vous souhaitez y assister, merci de vous ajouter dans le wiki du projet Debian.

Les développeurs, les contributeurs occasionnels ou, plus généralement, les utilisateurs provenant de toutes parts se retrouveront, afin d'échanger sur les derniers changements survenus dans Debian, de la communauté en soi ou pour rencontrer des anciens ou nouveaux amis.

Cette mini-debconf sera également le parfait moment pour célébrer la sortie de Jessie ;)

Télécharger ce contenu au format Epub

Lire les commentaires

Open Food Facts dépasse les 30 000 produits

Lundi 16 Février

Open Food Facts est un projet collaboratif en ligne dont le but est de constituer une base de données libre et ouverte sur les produits alimentaires du monde entier. Le 22 janvier 2015, le projet annonçait avoir dépassé le chiffre symbolique de 30 000 produits recensés.

Chaque produit est recensé par son code barre, et les informations relatives à ce produit sont renseignées par les contributeurs à partir des informations présentes sur l'emballage. On trouve par exemple les apports nutritionnels, les ingrédients, le lieu d'emballage et bien d'autres encore.

Les données sont disponibles sous licence ODbL 1.0 (comme pour OpenStreetMap). Cela permet donc de réutiliser les données le plus largement possible. Une douzaine de projets réutilisent pour le moment ces données : on trouve ainsi des applications indiquant la présence d'huile de palme dans un produit ou bien sa contenance en sel ou un sucre, la présence de produits allergènes, etc.

Démarré en mai 2012, le projet vient donc de franchir la barre des 30 000 articles décortiqués dans le monde entier, dont plus de 20 000 pour la France. Pour cela, 1300 contributeurs ont participé depuis le début. Contribuer ne demande aucune connaissance particulière ; il suffit d'ouvrir son frigo ou ses placards et d'ajouter les produits que vous y trouvez sur le site. À noter qu'il existe également une application pour ordiphone (Android, iPhone et Windows Phone) permettant de scanner les produits directement dans le magasin !

À noter que l'équipe d'Open Food Facts prépare un projet équivalent qui s'intéressera au recensement des informations des produits cosmétiques.

Télécharger ce contenu au format Epub

Lire les commentaires

RMLL 2015 - Appel à proposition

Lundi 16 Février

Les Rencontres Mondiales du Logiciel Libre (RMLL) sont un cycle de conférences, d’ateliers et de tables rondes autour du Libre et de ses usages, dans une ambiance conviviale et non commerciale. Les prochaines auront lieu à Beauvais du 4 au 10 juillet 2015.

L'appel à propositions pour cette édition est ouvert jusqu'au 31 mars 2015. Les thèmes principaux sont :

  • société ;
  • entreprises et administrations ;
  • sécurité ;
  • développement logiciel et systèmes d’information ;
  • infrastructure ;
  • art, culture, media ;
  • santé ;
  • sciences et formation ;
  • matériel libre, hacking, making.

Vous pouvez propager cette information auprès de vos contacts en utilisant le matériel graphique (bannières, logos) dédié à l'évènement.

Télécharger ce contenu au format Epub

Lire les commentaires

Devuan un fork de Debian qui va (peut-être) chambouler notre petit monde

Vendredi 13 Février

Fin 2014 voit le jour le projet d'un fork de Debian : Devuan. La raison est la décision d’intégrer systemd par défaut dans Debian Jessie, ce qui ne fait pas l'unanimité dans la communauté.

L'objectif visé n'est pas uniquement de voir un Debian débarrassé de systemd, mais aussi de repartir sur des bases neuves pour la ou les plateformes de développement.

Le but

À la base de ce projet de fork se trouve un collectif identifié sous l'acronyme VUA, pour « Veteran Unix Admins ». Ce collectif est composé de 932 membres, dont une cinquantaine a pris part à sa création.

Les objectifs de Devuan sont de permettre à ses utilisateurs de pouvoir choisir leur démon d'initialisation (daemon init) préféré (y compris systemd). De même, cette nouvelle distribution vise diversité, interopérabilité et rétrocompatibilité. Ce système d'exploitation respectera le principe KISS afin de permettre à Devuan GNU/Linux de conserver son statut d’« Unix-like ».

Une base sans systemd ?

Le but principal est de rester ancré sur le principe KISS pour la version officielle de la distribution et donc avoir un système par défaut sans systemd. Le programme qui va occuper cette fonction n'a pas encore été choisi clairement. On peut toutefois imaginer que sysVinit est bien placé pour être conservé au sein du fork de la distribution.

Mais le but n'est pas non plus de se couper définitivement de systemd : il restera disponible dans les dépôts.

Une nouvelle plateforme de développement

Pour le début du projet, le code de Debian a été forké sur GitHub, mais un BTS va être mis en place, ce qui permettra d'utiliser plusieurs outils de développement Debian. Un dépôt Git a été mis en place.

La suite… quelles seront les conséquences ?

Deux possibilités sont à envisager : ça prend ou ça ne prend pas.

Si les contributeurs et les distributions filles sont parties prenantes de ce fork, cela pourrait amener une dynamique qui permettrait de voir les deux distributions prendre chacune leur voie avec leur philosophie et leur public.

Mais cela pourrait tout aussi bien n’être qu’un pétard mouillé si personne n’y voit d'intérêt.

Télécharger ce contenu au format Epub

Lire les commentaires

Outscale et Openska lancent leur programme de formation Devops

Vendredi 13 Février

Les nouveaux outils liés à la virtualisation et au Cloud engendrent des évolutions dans la gestion des projets numériques. Parmi eux, l’interconnexion toujours plus importante entre des métiers qui ne parlent pas toujours la même langue. Il est essentiel de former ses collaborateurs à ces nouveaux enjeux pour profiter des avantages de la révolution numérique.

Pour accompagner ces changements la société Openska (membre de l'AFUL et de l'APRIL), spécialisée dans la transmission du savoir dans l'Open Source, associe son expertise à Outscale, opérateur français de Cloud IaaS et lance un programme de formation devops dès Mars 2015.

NdM : Cyril Pierre de Geyer est le PDG d’Openska.

Fruit des 15 ans d’expérience des équipes d’Openska dans l’enseignement des nouvelles technologies et de l’expertise d’Outscale dans le cloud, la Formation Devops pour administrateur système, reprend le modèle Devops et s’adresse à ce public ayant une première expérience de virtualisation pour leur permettre de parler la langue des développeurs. Une formation dédiée à ces derniers viendra en complément au cours du deuxième trimestre.

Répartie sur 3 jours, la formation Devops pour administrateur système permet à ce type de profil de maîtriser les enjeux du monde Devops. Elle s’articule autour de plusieurs objectifs :

  1. comprendre les enjeux du métier de Devops ;
  2. maîtriser les bases d’un langage (Python/Ruby) ;
  3. connaître les outils d’automatisation ;
  4. concevoir une application qui pourra être déployée vers les principaux opérateurs de cloud (Outscale, Amazon, Azure, etc.) ;
  5. connaître et comprendre les mécanismes cloud pour construire une infrastructure.

Nous sommes à une phase critique pour les administrateurs système, leur métier change et il est primordial qu’ils évoluent avec leurs technologies pour ne pas se retrouver dépassé. Pour proposer des formations adaptées aux besoins de l’entreprise nous sommes en contact permanent avec les communautés techniques de professionnels. Dans le cadre d’une formation Devops liée au cloud nous avons particulièrement apprécié l’approche et l’expertise d’Outscale qui en France s’est révélé être le partenaire idéal.

Télécharger ce contenu au format Epub

Lire les commentaires

Meilleures contributions LinuxFr.org : les primées de décembre 2014

Vendredi 13 Février

On continue sur notre lancée de récompenser ceux qui chaque mois contribuent au site LinuxFr.org (dépêches, commentaires, logo, journaux, patchs, etc.). Vous n'êtes pas sans risquer de gagner un abonnement à GNU/Linux Magazine France ou encore un livre des éditions Eyrolles ou ENI. Voici les gagnants du mois de décembre 2014 (Il n'y en a pas eu en janvier pour des raisons techniques) :

Abonnement d'un an à Linux Magazine France

Livres des éditions Eyrolles et ENI

Les livres qu'ils ont sélectionnés sont en seconde partie de la dépêche. N'oubliez pas de contribuer, LinuxFr.org vit pour vous et par vous !

Certains gagnants n'ont pas pu être joints ou n'ont pas répondu. Les lots ont été ré-attribués automatiquement. N'oubliez pas de mettre une adresse de courriel valable dans votre compte ou lors de la proposition d'une dépêche. En effet, c'est notre seul moyen de vous contacter, que ce soit pour les lots ou des questions sur votre dépêche lors de sa modération. Tous nos remerciements aux contributeurs du site ainsi qu'à GNU/Linux Magazine France, aux éditions Eyrolles et ENI.

Les livres sélectionnés par les gagnants :

                        Télécharger ce contenu au format Epub

Lire les commentaires

Meetup Licences Libres et embarqué à Aix en Provence le 16 mars 2015

Vendredi 13 Février

Le logiciel libre est largement utilisé dans l'embarqué, mais la prise en compte et le respect des licences demeure largement perfectible.

C'est pourquoi le groupe Aix Marseille Embedded Linux Meetup a décidé de consacrer sa seconde soirée de rencontre le 16 Mars à cette thématique.

Vous utilisez ou pensez utiliser bientôt des logiciels libres dans des applications ou des devices embarqués et vous vous interrogez sur les conséquences de ces choix ?

Venez faire le point et échanger avec nous sur le sujet.

La première partie sera organisée autour d'une présentation par un expert de CIO Systèmes Embarqués des licences GPL/LGPL et de leur règles d'application, en focalisant sur le monde de l'embarqué.

La situation des développements userland et des développements kernel sera abordée. Cette présentation servira d'introduction au partage d'expériences ou aux questions des participants.

La manifestation est entièrement gratuite mais nécessite une inscription préalable, sur la page du groupe.

Elle se déroulera dans les locaux de la société Coppernic qui nous fait le plaisir de nous accueillir au 185 Avenue Archimède à Aix en Provence.

Télécharger ce contenu au format Epub

Lire les commentaires

Réunion mensuelle Chtinux (Lille) - 24 février 2015

Jeudi 12 Février

Bonjour à toutes et tous!

L'association Chtinux propose sa réunion mensuelle autour du logiciel Libre (évidemment), le mardi 24 février 2015 à partir de 20H, au café citoyen (Lille - voir le lien OpenStreetMap).

Ce sera l'occasion de discuter, de venir rencontrer les membres de l'association, en discuter et/ou adhérer à celle-ci, autour d'une consommation 100% bio!

Bous discuterons aussi de l'assemblée générale et de ce qui a été dit, celle-ci s'étant tenue plus tôt dans le mois.

N'hésitez pas à faire passer le mot, et venez nombreux!

Télécharger ce contenu au format Epub

Lire les commentaires

Install Party GNU/Linux le 28 Février 2015 à Marseille

Jeudi 12 Février

L'association CercLL (CercLL d'Entraide et Réseau Coopératif autour des Logiciels Libres) vous invite à une install Party GNU/Linux le samedi 28 février 2015 de 14h30 à 19h30 dans la salle de la Fabulerie au 4 rue de la bibliothèque, 13001 Marseille.

Vous avez envie de découvrir un système d'exploitation libre, simple d'utilisation, stable, rapide, sécurisé. Une nouvelle façon d'utiliser votre ordinateur. Vous vous sentez une affection naissante pour le Gnou et le Manchot, les mascottes GNU/Linux.

Programme en deuxième partie de dépêche.

Au programme :

  • découverte de l'univers des logiciels libres ;
  • installation d'un environnement GNU/Linux, ainsi que les meilleurs des logiciels libres.

Venez avec votre ordinateur : il vous sera proposé d'installer une distribution GNU/Linux avec un ensemble de logiciels libres et gratuit pour une utilisation quotidienne.

L'entrée est libre, et une participation de 2 euros est demandée. De plus, l'évènement est accessible aux débutantes et débutants. Vous pourrez aussi adhérer à l'association durant un an, pour un montant de 20 euros.

Plan d'accès : http://www.openstreetmap.org/node/2118530202#map=19/43.29531/5.38390

Télécharger ce contenu au format Epub

Lire les commentaires

LibreOffice 4.4 : sous le capot

Mercredi 11 Février

LibreOffice 4.4 a été publié le 29 janvier 2015. Cette nouvelle version est destinée aux utilisateurs expérimentés — les autres, comme les entreprises et les administrations, sont invités à rester sous LibreOffice 4.3.5.

Michael Meeks est un développeur qui travaille sur la suite bureautique LibreOffice pour l’éditeur Collabora.

Il vient de publier sur son blog une longue description du travail qui a eu lieu sous le capot lors de ce cycle de développement menant à la version 4.4 de LibreOffice. Cette dépêche est une traduction de son article, initialement publié dans le domaine public ou licence CC0.

Sommaire

Aujourd’hui, nous publions LibreOffice 4.4.0, avec plein de nouvelles fonctionnalités pour tous les goûts. Lisez et admirez les nouveautés apportées aux utilisateurs. Tout cela est réalisé par beaucoup de programmeurs talentueux. Mais, il y a, comme toujours, nombre de contributeurs dont le travail réside dans les coulisses sur bien des points qui ne sont guère connus. Ce travail est, bien sûr, primordial pour la santé du projet. Il peut être difficile de savoir ce qui ce passe sur plus de 11000 commits faits depuis LibreOffice 4.3. Alors, en voici le détail.

Refonte complète de l’interface utilisateur

La migration des boîtes de dialogue VCL vers Glade est désormais pratiquement terminée (après avoir pensé que nous avions fini, Caolan découvrit beaucoup de fenêtres qui nécessitent la poursuite du travail, mais toutes ont été migrées, à part deux). Il y eut également beaucoup de travail pour les nettoyer et les peaufiner. Un grand merci à Caolán McNamara (Red Hat) pour son incroyable travail et son leadership et à Adolfo Jayme Barrientos, Palenik Mihály (GSoC 2014), Olivier Hallot (EDX), Szymon Kłos (GSoc 2014), Rachit Gupta (GSoC 2014), Tor Lillqvist (Collabora), Jan Holesovsky (Collabora), Maxim Monastirsky, Efe Gürkan YALAMAN, Yousuf Philips et beaucoup d'autres. Merci aussi à nos traducteurs qui devraient désormais moins souffrir des modifications intempestives des chaînes de caractères.
Je rajoute que resource-compiler a subi un beau régime.

Backend initial de rendu OpenGL

Le passage à OpenGL dans VCL pour le rendu est une de ces choses qui devraient, idéalement, se dérouler de manière invisible, mais qui, au final, a un impact important sur le rendu visuel. Tout le travail a été réalisé ici par des ingénieurs Collabora, avec un gros ré-usinage et la gestion initiale de OpenGLContext par Markus Mohrhard, une grande partie de l'implémentation du rendu avec anti-crénelage par Louis-Francis Ratté-Boulianne et le travail de redimensionnement d'image par Lubos Lunak, divers correctifs liés aux fenêtres et du travail de portage de Jan Holesovsky et un peu de Chris Sherlock. Pendant ce temps, nous avons aussi implémenté une application VCL, une démonstration à peu près décente et de plus en plus complète pour s’exercer à faire du rendu. Des explications de ce travail avec des images : https://people.gnome.org/~michael/blog/2014-11-10-opengl.html

En passant à un modèle de rendu en pur OpenGL, nous pouvons accélérer les opérations qui ont grandement besoin de tirer parti de la puissance et du parallélisme de tous les transistors consacrés à l'APU sur les GPU modernes. Être capable d'interagir beaucoup plus directement avec le matériel graphique sous-jacent nous aide à la fois à rendre nos aperçus d'image en haute qualité et de ne pas sacrifier les performances de défilement et de zoom : on a, à la fois, le beurre et l'argent du beurre. Nous avons également utilisé une partie de cette puissance pour accélérer non seulement notre rendu d'image considérablement, mais aussi pour améliorer sa qualité par rapport à avant…

… et maintenant (si votre navigateur redimensionne les images, ça perd tout son sens : remettez le zoom à 1:1 et regardez le haut de la rosace, et d'autres parties en hautes fréquences) :

Il y a encore du travail pour que OpenGL soit dans un état acceptable, notamment à cause de quelques bugs bizarres du cycle de vie des fenêtres ; il faut paramétrer une variable d'environnement via un export SAL_FORCEGL=1 pour passer outre la liste noire, mais nous espérons résoudre ceci pendant le cycle de la 4.4.x. Certaines fonctionnalités sont encore en attente et devraient arriver pour la version 4.5. Par exemple un véritable gestionnaire de boucle d'attente par Jennifer Liebel et Tobias Madl ainsi qu'un travail en cours sur le canvas OpenGL (Michael Jaumann) et sur les transitions OpenGL (Stefan Weiberg). Ces travaux sont encadrés par Thorsten Behrens (SUSE).

Visualisateur Mobile / LibreOfficeKit

Le récemment annoncé Android Viewer (Beta) inclut un certain nombre d'éléments invisibles, en particulier l'amélioration de LibreOfficeKit : une façon simple de réutiliser les bienfaits du rendu et du format de fichier de LibreOffice, conçus par Andrzej Hunt et Kohei Yoshida (Collabora) pour créer le rendu par tuiles pour Impress et Calc au moins en version bêta (NdT: le rendu par tuiles consiste à segmenter l’affichage plutôt que de tout faire d’un coup). Vous pouvez en lire plus à propos du travail débuté sur le mode édition pour TDF. LibreOfficeKit est également devenu plus puissant dans l'extraction des méta-données des documents de la base, toujours plus vaste, de formats de fichier que LibreOffice gère, ce qui est important pour l’indexation des données non structurées.

Améliorations du build / de la plateforme Compilations sous Windows 30% plus rapides

Avec le nouveau système de compilation terminé, nous avons examiné son principal problème : le temps de compilation plutôt élevé sous Windows. Un examen et quelques benchmarks ont révélé que l'usage de Cygwin était la cause principale de lenteur et Michael Stahl (Red Hat) a fait en sorte de pouvoir construire LibO 4.4 avec une version native Win32 de GNU make, réduisant le temps total de compilation de près d'un tiers par rapport à un Cygwin de base et accélérant encore plus les re-compilations incrémentales.

Port vers Win64

Une autre amélioration majeure vient de David Ostrovsky (CIB), qui a réalisé un travail important pour terminer le portage Win64. Nous espérons une disponibilité pour la version 4.5 et cela devrait aider significativement, notamment, les utilisateurs Java et ceux ayant de très grosses feuilles de calcul. Jetez un œil à la page wiki Windows 64 bits pour plus de détails. Merci également à Mark Williams pour les travaux délicats de correction sur UNO et à Tor Lillqvist (Collabora) qui a posé les fondations de ce travail.

Travail autour de la qualité du code

Il y a eu beaucoup de travail sur la qualité, l'amélioration de la maintenabilité et la propreté du code. Merci aux quelques 59 commits de corrections d'erreurs cppcheck de Thomas Arnhold, Julien Nabet et Simon Dannner, parmi les commits quotidiens pour compiler sans aucun avertissement -Werror -Wall -Wextra sur beaucoup de plateformes avec des remerciements à Tor Lillqvist (Collabora), Caolán McNamara (Red Hat) et Thomas Arnhold.

Impressionnant Coverity

Nous avons parcouru l’énorme quantité de données analysée avec le "Coverity Scan". En particulier, Caolán McNamara (Red Hat) a réalisé un superbe boulot. Son blog à ce sujet est, comme à l’accoutumée, modeste.

Nous avons désormais une densité de défauts qui approche 0, bien que Coverity introduise de nouvelles vérifications et que le nouveau code commité fasse varier ce chiffre. Nous sommes actuellement à 0.02 c'est à dire, 2 avertissements de vérification statique pour 100 000 lignes. C'est extrêmement bien comparé à la moyenne des projets open source qui se situe à environ 65.

Les commits mentionnant Coverity sont au nombre de 1530 depuis LibreOffice 4.3 avec dans le top 3 des contributeurs après Caolán (1378 commits) : Norbert Thiebaud, David Tardon (Red Hat), Miklos Vajna (Collabora).

Augmentation de l'utilisation d'« asserts »

Dans la version 3.5, nous sommes passés d'un système maison de macros à des appels normaux d'« assert » pour assainir les vérifications d'invariants. Leur nombre augmente au fur et à mesure :

Tests de l'import et maintenant de l'export

Les tests de crash d'importation / exportation de Markus Mohrhard (Collabora) ont été élargis pour couvrir plus de 76 000 documents problématiques contre 55 000 à la dernière version, avec désormais une sélection d'images irrégulières (?) aussi incluse. Une autre grande victoire était la mise à disposition par TDF (merci à nos donateurs) d'une nouvelle machine 64 cœurs pour exécuter le chargement/l'enregistrement/la validation des tests ci-dessus. Ceci, combiné avec quelques retouches et un meilleur parallélisme des scripts Python qui dirige cela, a accéléré l’exécution de tests, réduisant le temps de cinq jours à moins de un, permettant une détection rapide de nouvelles régressions de façon beaucoup plus précise. Nous avons également été en mesure de lancer AddressSanitizer sur une série de documents, ce qui a conduit à plusieurs corrections, merci à Caolán McNamara (Red Hat) pour l'excellent travail effectué.

Greffons / outils d'analyse pour Clang

Nous avons continué à compléter notre collection de greffons Clang : un rapide "git grep" sur Registration dans le dossier "compilerplugins" montre que nous sommes passés de 27 à 38 greffons dans les six derniers mois. Ceux-ci vérifient de tout un tas de façons pleins de trucs piégeux dans notre code dans lesquels les gens peuvent tomber. Certains de ces greffons sont utilisés manuellement, mais beaucoup sont lancés automatiquement sur le Tinderbox et par certains utilisateurs pour trouver les erreurs rapidement. Merci à : Stephan Bergmann (Red Hat) et Noel Grandin (Peralex) pour le dur travail fourni sur ces outils d'analyse.

Les greffons font plein de choses, par exemple, Bjoern Michaelsen (Canonical) en a écrit un qui détecte les imbrications profondes de clauses conditionnelles comme ces monstres. Ils sont difficiles à lire et une plaie à débugguer. Certains des pires cas dans sw/ (NdT: Writer) ont été réécrits et le greffon peut facilement être utilisé ailleurs dans les sources.

Tests unitaires

Nous construisons et exécutons aussi plus de tests unitaires pour éviter les régressions lorsque nous changeons le code. Une recherche grep sur les macros TEST et ASSERT montre que le nombre de tests continue d'augmenter.

L'idéal est d'ajouter un test unitaire à chaque bug corrigé pour l'empêcher de revenir à jamais. Avec environ 1000 commits pour plus de 70 auteurs sur les tests unitaires dans la 4.4, il est difficile de lister toutes les personnes impliquées dans ce travail, mes excuses pour cela. Voici une liste triée des auteurs de plus de dix commits dans les répertoires qa/ : Miklos Vajna (Collabora), Caolán McNamara (Red Hat), Kohei Yoshida (Collabora), Michael Stahl (Red Hat), Stephan Bergmann (Red Hat), Zolnai Tamás (Collabora), David Tardon (Red Hat), Noel Grandin (Peralex), Matúš Kukan (Collabora), Luboš Luňák (Collabora), Markus Mohrhard (Collabora), Tor Lillqvist (Collabora), Thomas Arnhold, Andrzej Hunt (Collabora), Eike Rathke (Red Hat), Jan Holesovsky (Collabora).

Assurance Qualité / Bugzilla

Sur les six derniers mois, l'équipe QA [NDR : pour "quality assurance", assurance qualité] a grandi en taille et en efficacité. Réalisant un travail fantastique pour réduire le nombre de bugs non triés de mille (ce que nous pensions déjà bien) vers à peine plus de trois cents. Le tri de certains de ces bugs étant particulièrement difficiles car assez techniques ou très difficiles à reproduire, c'est un excellent travail. C'est assez difficile d'extraire la liste de ceux qui confirment les bogues, mais la liste des héros se chevauche avec la liste non-développeurs/top clôtureurs donnée ci-dessous.

L'une des métriques que nous regardons dans l'appel ESC est l'appartenance au top dix dans la liste récapitulative hebdomadaire freedesktop. Voici une liste des personnes qui sont apparues plus de cinq fois dans cette liste de ceux qui ont clôturé le plus de bogues (dans l'ordre de fréquence de d'apparence) : Caolán McNamara (Red Hat), Adolfo Jayme, tommy27, Julien Nabet, Jean-Baptiste Faure, Jay Philips, Urmas, Maxim Monastirsky, Beluga, raal, Michael Stahl (Red Hat), Joel Madero, ign_christian, Cor Nouws, V Stuart Foote, Eike Rathke (Red Hat), Robinson Tryon (TDF), Miklos Vajna (Collabora), Matthew Francis, foss, Sophie (TDF), Samuel Mehrbrodt, Markus Mohrhard (Collabora). Et merci à tous les autres d'avoir aidé à fermer autant de bogues pour cette version.

Bjoern Michaelsen (Canonical) a également écrit une « Assurance Qualité du nouvel an » qui vaut le coup d’être lue.

Un autre succès qui devrait nous aider à rendre notre bugzilla plus convivial et mieux structuré est la migration de l'infrastructure FreeDesktop vers TDF, en remerciant FreeDesktop pour avoir pris en charge notre gros bugzilla pendant toutes ces années. Le travail a été récemment terminé, donc désormais les bugs sont à déposer à http://bugs.documentfoundation.org/. Merci à Robinson 'colonelqubit' Tryon (TDF), Tollef Fog Heen et notre équipe d'administrateurs système pour ce travail. Même si cela est peut-être évident, Robinson travaille pour TDF (financé par nos généreux donateurs) à mi-temps pour aider à améliorer la situation côté QA.

Nettoyage de code

Le code sale doit être nettoyé - donc nous avons beaucoup nettoyé.

Nettoyage des commentaires en allemand

Nous avons continué a progresser, mais malheureusement peu, dans la traduction des commentaires allemands persistant dans le code en bon anglais technique précis. C'est un bon moyen de s'investir dans le développement de LibreOffice. Mille mercis à : Philipp Weissenbacher, Christian M. Heller, Jennifer Liebel (Munich), Chris Sherlock (Collabora), Michael Jaumann (Munich), Luc Castermans, Jeroen Nijhof, Florian Reisinger et de nombreux autres avec un seul changement à leur actif. De plus, la diminution des faux positifs signalés par bin/find-german-comments suggère qu'il ne reste que dix modules de premier niveau contenant de l'allemand, parmi eux, neuf méritant des efforts de traduction : i18npool, include, reportdesign, sc, scaddins, sfx2, stoc, svx, sw.

Une des contributions particulièrement encourageante à notre effort de traduction des commentaires allemand a été celle de Lennart Poettering qui semble avoir quelque chose de drôle en préparation.

Mise à jour vers (un peu de) sous-ensemble de C++11

Avec le temps, C++ s'améliore, et avec la mise à jour de Visual Studio, nous avons pu passer à un sous ensemble de C++11 (celui offert par VS2012) en tant que base. Nous avons aussi retiré plusieurs contournements (empêchant des optimisations) de bug présents sur des vieilles versions de GCC (qui de toute façon ne prennent pas en charge C++11), et donc GCC et MSVC peuvent tout les deux désormais compiler l'ensemble de LO avec toutes les optimisations. Merci à Stephan Bergmann (Red Hat) pour la recherche et la gestion de ce travail.

Nettoyage du tokenizer OOXML

Ce nettoyage s'appuie sur le travail de Miklos Vajna (Collabora) dans la dernière version. Un gros morceau de notre tokenizer OOXML était du code généré, ce qui est raisonnable, mais il a été généré en utilisant XSLT (qui a tendance à être en-dessous de cobol). Les 4200 lignes de XLST ont été réécrites en 1300 lignes de Python - pour produire le même résultat avec une forte augmentation de la hackabilité. Puis certaines optimisations ont été réalisées par Jan Holesovsky (Collabora pour CloudOn), pour réduire des parties inefficaces de la sortie générée par writerfilter DSO, faisant ainsi 2.2Mo d'économie sur 8Mo (dépouillé). C'est génial de voir ce genre de nettoyage de code, la taille du code et du binaire se réduisant en même temps. Vous pouvez en lire plus à ce sujet sur le blog de Miklos.

std:: containers

Un ensemble systématique d'améliorations à notre utilisation des conteneurs std:: est en cours dans le code. Des choses comme éviter l'héritage de std::vector, changer std::deque en std::vector et commencer à utiliser les nouvelles constructions C++ pour l'itération comme for (auto& it : aTheContainer) { ... }. Il y a beaucoup de gens à féliciter ici, merci à Stephan Bergmann (Red Hat), Takeshi Abe, Tor Lillqvist (Collabora), Caolan McNamara (Red Hat), Michaël Lefèvre, et bien d'autres.

Amélioration des performances

Les performances font partie de ces éléments assez difficiles à voir, néanmoins on les ressent viscéralement de cette manière : « pourquoi est-ce que je dois encore attendre ? ». Il y a un nombre encourageant d’améliorations de performances faites par différentes personnes dans LibreOffice 4.4 qui valent la peine d'être notées.

Performance de l'auto-correction

Pour des raisons qui me dépassent, certaines personnes aiment avoir d'énormes listes d'auto-correction. Elles sont stockées au format XML zippé. Daniel Sikeler (Munich) a amélioré de façon sympathique le chargement de celles-ci. Il a découvert en particulier que nous réanalysions notre BlockList.xml un grand nombre de fois, et résoudre ce bug a fait une grosse différence. Si on combine cela avec le passage à FastParser qui a été threadé et amélioré, on gagne encore plus. La liste d'auto-correction est chargée après la première touche appuyée, donc descendre de 4,3 secondes à 1,5 secondes (pour des listes énormes de correction) est une belle victoire.

Gestion des images

Tout en profilant la sauvegarde de différents types de fichiers, il a été découvert que nous échangeons fréquemment (i.e. rechargeons et re-décompressons) les images. Cela prend bien évidemment beaucoup de temps CPU, en particulier puisqu'ensuite on continue tout de suite à préserver les données (originales) dans le fichier. Dans certains cas cela prenait une grosse portion du temps de sauvegarde pour des présentations ayant beaucoup d'images. Merci à Tamaz Zolnai (Collabora) pour le nettoyage et la résolution de ce problème, et ainsi que la chasse à ces soucis récurrents de perte d'image.

Fast Serializer

En règle générale, toute classe nommée « Fast » dans le code hérité d'OpenOffice est atrocement mal nommée. Un grand merci à Matus Kukan (Collabora) pour avoir résolu cela. Nous avons découvert que 25% du temps d'enregistrement d'un fichier XLSX composé de grandes feuilles était consommé dans le « FastSerializer », qui, à notre grande stupeur, lance 9.900.000 appels-système, chacun écrivant à chaque fois de minuscules fragments d'un attribut XML. Il sépare par exemple les écritures pour les ouvertures des balises, les noms d'éléments, les noms d'attributs, les espaces de noms, etc. Matus a réduit cela à 76.000 appels pour produire le même résultat, soit une baisse de 99%. Abstraction faite de la surcharge d'appels systèmes, nous avons réduit le nombre de cycles CPU cachegrind pour « SaveXML » de plus de douze milliards à moins de trois milliards pour un cas simple.

Empaquetage de libjpeg-turbo

On sait depuis plusieurs années que JPEG-turbo fournit des performances de décompression supérieures - « In the most general terms, libjpeg-turbo is 2.1 - 5.3x as fast as libjpeg v6b and 2.0 - 5.8x as fast as libjpeg v8d ». Naturellement les éditeurs Linux utilisent la ligpjpeg packagée dans leur système, mais quand on distribue pour Windows… Nous fournissons maintenant une accélération x2 sous la forme de libjpeg-turbo. Merci à Matúš Kukan (Collabora) avec quelques nettoyages de Stephan Bergmann (Red Hat). Des volontaires pour intégrer proprement jpeg-turbo sur Mac seraient fortement appréciés.

Performance du publipostage

Le publipostage fonctionne en construisant un énorme document contenant le résultat de tous les courriers à imprimer / fusionner vers un ficher unique. La pertinence est très discutable, mais merci cependant à Lubos Lunak & Miklos Vajna (tous deux Collabora pour Munich) qui ont fait un effort significatif pour accélérer substantiellement les fusions de gros documents, selon les cas de plusieurs ordres de grandeur. Malheureusement OpenOffice.org avait subit une grosse régression à ce propos dans la version 3.3, et ceci est globalement corrigé. On passe de plusieurs heures à quelques minutes pour 2000 enregistrements.

Performance de Calc

Il y a eu un certain nombre de gains de performance sympathiques dans cette version de LibreOffice, qui, une fois cumulés ont un effet assez bénéfique.

Améliorations des dépendances de plages (Range dependency re-work)

Pour les précédentes versions de LibreOffice Kohei Yoshida (Collabora) a passé beaucoup de temps à unifier l'exécution de formules similaires dans FormulaGroups - qui s'étendent tout le long d'une colonne - puisque c'est un cas courant des grands ensembles de données. Cela a permis une réduction importante de l'utilisation mémoire et beaucoup de partage de données. Cependant, la gestion de dépendance était découplée de cette opération et était encore effectuée cellule par cellule.
C'est particulièrement coûteux si vous envisagez une référence de plage qui est commune à tout le groupe de formules : cela aboutit à beaucoup de travail pour pas grand chose, essentiellement pour notifier tout le groupe de formules. Calc 4.4 ajoute un type de Listener qui est adapté pour ces groupes de formules - pouvant potentiellement transformer des dizaines de milliers d'entrées de structure de données complexes en une seule entrée. Cela permet d'économiser des gros bouts de mémoire et beaucoup de temps CPU sur les parcours des listes, il permet aussi d'économiser énormément de temps lors de la diffusion des changements. Il y a encore beaucoup de travail à réaliser pour développer toutes les possibilités de ce changement et, idéalement à l'avenir, nous devrions utiliser la même approche pour les références de cellule. Merci aussi à Eike Rathke (Red Hat) et Markus Mohrhard (Collabora) pour certains correctifs associés.

Détection du type d'écriture d'une cellule

Pour plusieurs raisons, la détection du type d'écriture d'une cellule est une opération coûteuse; est-ce un texte asiatique, un texte simple ou complexe (qui a un effet sur la police, sa taille et différentes métriques). Kohei Yoshida (Collabora) a trouvé que lors de différentes opérations courantes (ex: copier/coller de gros blocs de données) cette détection était répétée inutilement. De même, pour des types de donnée simple avec formatage standard (ex: de grands blocs de nombres à virgules), il était possible de simplifier significativement la détection du type d'écriture.

Différer la régénération des diagrammes

Un autre domaine qui cause (encore) quelques douleurs est qu'à chaque fois qu'une plage de données dont dépend un diagramme change, le diagramme entier est généré à nouveau. Cela implique de détruire de nombreuses formes graphiques et de les recréer, ce qui dans le cas d'un texte coûte particulièrement cher. Kohei Yoshida (Collabora) a implémenté une belle optimisation pour différer ce travail jusqu'à ce que le diagramme soit visible. Cela devrait avoir un effet agréable sur le temps d'édition d'un grand ensemble de données converti en diagrammes dans beaucoup d'autres feuilles comme sur l'exploitation de macros dans beaucoup de diagrammes.

S’impliquer

J’espère que vous comprendrez que de plus en plus de développeurs arrivent et se sentent comme chez eux parmi nous. Nous travaillons ensemble pour réaliser des travaux importants à la fois sous le capot et sur la carrosserie. Si vous voulez vous impliquer, il y a plein de gens compétents à rencontrer et avec qui œuvrer. Comme vous pouvez le constater, les indépendants ont un impact significatif sur la diversité de LibreOffice (la légende de couleurs se lit de gauche à droite, de haut en bas, ce qui représente les couleurs de haut en bas dans le graphique. [NdT: les indépendants, c’est le gros morceau orange au milieu.])

Et en ce qui concerne la diversité des correctifs, nous adorons voir le volume des contributions apportées par les indépendants, même si clairement ce volume et les équilibres changent selon les saisons, les cycles de publication, le temps libre / de travail des volontaires.

Naturellement, nous maintenons une liste de petites ou minuscules tâches sur notre page Easy Hacks dont vous pouvez vous emparer pour vous impliquer dans ce projet, avec des instructions simples d’installation ou de compilation. Il est extrêmement facile de compiler LibreOffice. Chaque « Easy Hack » indique où aller dans le code et représente une tâche simple à résoudre dans un cadre bien restreint. De plus, certaines de ces tâches sont des fonctionnalités vraiment utiles ou des améliorations de performance. S’il vous plaît, envisagez de vous impliquer sur quelque chose.

Autre chose qui aide vraiment : lancer les préversions et rapporter les bogues. Il suffit de télécharger et d’en installer une et vous êtes prêt pour contribuer avec l’équipe de développement.

Conclusion

LibreOffice 4.4 est la prochaine d’une série de versions qui vont améliorer progressivement non seulement les fonctionnalités, mais aussi les fondations de la suite bureautique libre. Ce n’est bien sûr pas encore parfait, c’est juste la première d'une longue série de versions 4.4.x mensuelles, qui apporteront chacune leur lot de correctifs et d’améliorations qualitatives dans les mois à venir, tandis que nous commençons à travailler sur LibreOffice 4.5.

J’espère que LibreOffice 4.4.0 vous plaira. Merci de m’avoir lu, et merci de soutenir LibreOffice. N’oubliez pas de consulter la page des nouveautés visibles.

Les données brutes de la plupart des graphiques ci‐dessus sont disponibles.

Télécharger ce contenu au format Epub

Lire les commentaires

Le projet Libre OS USB a besoin de vous

Mardi 10 Février

Objectif : offrir un véritable bureau portatif.

L'idée est simple, proposer une clef USB bootable Linux francisée avec persistance des données qui pourra démarrer sur toute machine 64bits, y compris les dernières générations ayant l'UEFI et le Secure Boot.

Sur la clef se trouveront les logiciels les plus courant pour l'utilisation d'Internet, la bureautique, et des jeux classiques.

Le projet est soutenu par la jeune société Libre Expert (SS2L Clermontoise) et peut être encouragé via son espace sur la plateforme Ulule.

Le projet est déjà en version Bêta. Le système sera basé sur Xubuntu avec l'avantage d'être léger, complet et rapide pour être passe-partout.

Sont présents sur la clef entre autres ces logiciels :

  • navigateurs Google Chrome et Firefox préinstallés ;
  • nombreux outils Internet (Skype, Filezilla, Bittorent, Teamviewer…) ;
  • nombreux jeux classiques ;
  • suite bureautique LibreOffice ;
  • lecteur vidéo et musique VLC ;
  • graphisme avec The Gimp et Inkscape ;
  • gravure et extraction de DVD et CD-Audio ;
  • outil de partitionnement avec GParted.
Télécharger ce contenu au format Epub

Lire les commentaires

Backup Checker 1.0, le vérificateur automatisé de sauvegarde

Mardi 10 Février

Backup Checker est le nouveau nom du projet Brebis, déjà présenté sur LinuxFR.

Pour rappel, Backup Checker est un vérificateur automatisé de sauvegarde. Le but de cet outil est de détecter les corruptions, pertes, modifications accidentelles ou intentionnelles des données des archives que nous utilisons habituellement pour nos sauvegardes. Cette vérification s'assure que les archives conservées seront exploitables le jour où vous en aurez besoin. Backup Checker ne créé donc pas d'archive, il les vérifie.

Pour accompagner le développement de ce projet, plusieurs changements importants viennent d'être effectués à l'occasion de cette version, qui sont détaillés dans la suite de cette dépêche.

La liste des changements en question :

  • Brebis se renomme Backup Checker afin de porter un nom plus explicite ;
  • le gestionnaire de versions passe de Mercurial à Git, plus couramment utilisé ;
  • la forge logicielle quitte un Redmine auto-hébergé vieillissant et arrive sur GitHub, plus populaire.

Au niveau de l'application elle-même dans cette version 1.0, il est désormais possible d'effectuer le contrôle du nom du propriétaire et du nom du groupe propriétaire d'un fichier dans une archive ou une arborescence de fichiers.

Ces fonctionnalités s'ajoutent aux changements apportés pour la récente dernière version 0.10 de Brebis publiée il y a 9 jours, à savoir :

  • par défaut la somme de hachage de chaque fichier de l'archive n'est plus évaluée, car ce comportement était très pénalisant sur les grosses archives ;
  • le comportement d'origine est toujours possible via la nouvelle option --hashes ;
  • il est désormais possible de calculer la somme de hachage de seulement certains fichiers d'une archive via l'option --exceptions-file qui prend en entrée une liste des fichiers à évaluer dans ladite archive, permettant ainsi de bien meilleures performances dans le traitement des archives de taille importante ;
  • la documentation du projet est désormais disponible sur Readthedocs.

Comme d'habitude, les membres du projet sont friands de retour de nos utilisateurs. N'hésitez pas à vous manifester dans les commentaires de cette dépêche, via les rapports de bugs de GitHub ou en contactant directement l'auteur.

Télécharger ce contenu au format Epub

Lire les commentaires

Revue de presse de l'April pour la semaine 6 de l'année 2015

Lundi 9 Février

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

[L'OBS] La censure d'internet en France commence aujourd'hui

Par Boris Manenti, le vendredi 6 février 2015. Extrait:

Le gouvernement a adopté un décret prévoyant de bloquer les sites djihadistes et pédopornographiques, sans passer par la case justice.

Lien vers l'article original: http://tempsreel.nouvelobs.com/attentats-charlie-hebdo-et-maintenant/20150206.OBS1866/la-censure-d-internet-en-france-commence-aujourd-hui.html

Et aussi:

[01net.] Le chiffrement open source GnuPG, sauvé in extremis par les dons des internautes

Par Gilbert Kallenborn, le vendredi 6 février 2015. Extrait:

Tenue à bout de bras par un seul développeur, cette technologie essentielle pour la protection des communications sur Internet risquait de tomber aux oubliettes.

Lien vers l'article original: http://www.01net.com/editorial/644468/le-chiffrement-open-source-gnupg-sauve-in-extremis-par-les-dons-des-internautes

Et aussi:

[GinjFo] Windows 10 gratuit, Linux en danger?

Par Jérôme Gianoli, le mercredi 4 février 2015. Extrait:

L’annonce de Microsoft d’offrir Windows 10 peut-elle mettre en danger les distributions Linux pour PC?

Lien vers l'article original: http://www.ginjfo.com/actualites/logiciels/windows-10-gratuit-linux-en-danger-20150203

[La Tribune] L’Agence du numérique, mini budget, ambition extra large

Par Delphine Cuny, le mercredi 4 février 2015. Extrait:

Cette nouvelle agence, dont le décret de création vient d'être publié, regroupera la mission Très haut débit, la délégation aux usages de l’Internet et la mission French Tech de soutien aux startups. Un assemblage disparate et un budget réduit au service d’une vision inclusive et très large du «numérique pour tous.»

Lien vers l'article original: http://www.latribune.fr/technos-medias/20150204triba4f3e7151/l-agence-du-numerique-mini-budget-ambition-extra-large.html

Et aussi:

[Le Point] Tristan Nitot: "Si on renonce à nos libertés, les terroristes ont gagné"

Par la rédaction, le mardi 3 février 2015. Extrait:

Le patron de Mozilla en Europe va quitter son poste à la mi-février. Tristan Nitot, qui avait fondé la branche européenne de l'éditeur du navigateur libre Firefox avant d'en devenir un cadre mondial, souhaite se consacrer à l'écriture d'un livre sur la surveillance de masse dont sont victimes les citoyens, notamment en France. "Aujourd'hui, il y a une certaine résignation de la part des citoyens, qui pensent qu'ils ne peuvent rien faire, mais c'est faux, on peut commencer à faire quelque chose", nous a-t-il confié mardi matin par téléphone.

Lien vers l'article original: http://www.lepoint.fr/chroniqueurs-du-point/guerric-poncet/tristan-nitot-quitte-mozilla-et-denonce-le-flicage-des-citoyens-03-02-2015-1901955_506.php

Et aussi:

[Numerama] Droits d'auteur sur un logiciel: l'entreprise n'est jamais l'auteur

Par Guillaume Champeau, le mardi 3 février 2015. Extrait:

Dans un arrêt du 15 janvier 2015, la Cour de cassation a marqué le principe selon lequel un auteur d'un logiciel ne peut pas être une personne morale, mais nécessairement une ou plusieurs personnes physiques. L'entreprise n'est que propriétaire du logiciel et investie des droits.

Lien vers l'article original: http://www.numerama.com/magazine/32102-droits-d-auteur-sur-un-logiciel-l-entreprise-n-est-jamais-l-auteur.html

[ZDNet France] Dataporn, Snowden et autres autocollants: un projet d'"album Panini" pour libristes

Par Thierry Noisette, le samedi 31 janvier 2015. Extrait:

Les geeks libristes sont nombreux à décorer leurs ordis et leur environnement de stickers militants ou clin d'oeil. L'association Lorraine Data Network (LDN) lance un projet d'album pour les collectionner.

Lien vers l'article original: http://www.zdnet.fr/actualites/dataporn-snowden-et-autres-autocollants-un-projet-d-album-panini-pour-libristes-39813952.htm

[l'Humanité.fr] Logiciel libre et ESS, une économie à l’intention de tous

Par Pierric Marissal, le mardi 3 février 2015. Extrait:

Le logiciel libre propose des outils de travail en adéquation avec les valeurs et convictions de l’économie sociale et solidaire.
Mais les deux mouvements ont encore beaucoup à s’apporter et à apprendre l’un de l’autre.

Lien vers l'article original: http://www.humanite.fr/logiciel-libre-et-ess-une-economie-lintention-de-tous-564379

Et aussi:

Télécharger ce contenu au format Epub

Lire les commentaires

Soirée Linux-Alpes le 19 février 2015 à Digne-les-Bains - dessin sur ordinateur

Lundi 9 Février

Comme à son habitude, Linux-Alpes organise chez Xsalto à Digne-les-Bains une soirée consacrée à Linux et aux logiciels libres. La prochaine aura le 19 janvier 2015 et débutera à 20h.

Ce mois-ci, le graphisme et le dessin seront à l'honneur. Tablettes graphiques sous Linux, logiciels libres Mypaint, Krita et Gimp pour dessiner en toute liberté.

Comme toujours, cette soirée sera l'occasion pour tous de poser vos questions, et d'échanger autour du logiciel libre et de Linux.

Télécharger ce contenu au format Epub

Lire les commentaires

Nos oignons fournit 500 Mbits/s en plus pour le réseau Tor

Dimanche 8 Février

Un an après les premiers nœuds ouverts par Nos oignons, nous avons lancé un nouveau nœud, hébergé chez l'association toulousaine Tetaneutral.

Ce nouveau relai, opérationnel depuis le samedi 15 novembre 2014, va progressivement monter en charge jusqu'à atteindre sa capacité théorique de 500 Mbits/s.

Nous l'avons nommé Marylou en référence au personnage du roman l'oiseau d'Amérique de Walter Tevis. Marylou rejoint donc les trois autres nœuds mis en place par Nos oignons.

Pour limiter l'encombrement et la consommation électrique, nous avons mis en œuvre Marylou sur un boîtier Intel NUC I5-4520, 8 Go de RAM DDR3 so-dimm, et un SSD Crucial M500 de 120 Go.

Merci à toutes celles et tous ceux qui ont permis de rendre possible sa mise en œuvre.

Grâce aux cotisations des membres et aux nombreux dons reçus, l'association a maintenant assez de trésorerie pour assurer ses services pendant six mois.

Nous voulons déployer des nœuds de sortie supplémentaires et chaque nouveau don compte. Participez pour aider au développement de Tor en France et défendre les libertés des communications électroniques !

Télécharger ce contenu au format Epub

Lire les commentaires

GnuPG utilisé, GnuPG oublié, mais GnuPG financé

Samedi 7 Février

Il s'est passé quelque chose d'assez extraordinaire ces derniers jours pour GnuPG, alors j'aimerais en parler pour que tout le monde soit au courant.

Sommaire Historique L'origine

C'est en 1991 que Philip Zimmerman (rien à voir avec notre Jérémie national) écrit PGP, un logiciel permettant de chiffrer et déchiffrer les conversations entre personnes. À ma connaissance (et Wikipedia ne m'aide pas là-dessus) il n'existait pas de logiciel disponible au grand public permettant de le faire; il s'agissait donc d'une petite révolution, d'autant plus que le logiciel était gratuit, donc utilisable par tout le monde sans restriction.

L'enquete

Cela lui a d'ailleurs valu une enquête en 1993 par le gouvernement américain, parce que la "force" du chiffrement (128 bits minimum) était supérieure à la "force" maximale autorisée (40 bits à l'époque), enquête qui s'achève en 1996 sans suite (lire l'anecdote croustillante sur la technique utilisée par Philip pour contourner cette loi…)

Les évolutions jusqu'à la gloire

Après l'enquête, Philip a monté une boîte pour continuer le développement de PGP. Problème, certains algorithmes (RSA, par exemple) étaient couverts par des brevets, il y avait donc un risque de se faire attaquer en utilisant le logiciel… Philip a donc, avec sa boîte, proposé une spécification ouverte du fonctionnement de PGP sans aucun algorithme couvert par ces brevets, aboutissant à OpenPGP (je link volontairement la dernière version, pas la version originale), une RFC tout ce qu'il y a de plus standard pour rester dans la transparence. Quelque temps après Stallman a fait une conférence en Allemagne, dans laquelle il a appelé tout le monde à créer une implémentation libre de ce protocole… ce qu'a fait un certain Werner Koch, présent dans l'assistance ce jour-là. C'est ainsi que GnuPG est né.

Les événements récents

GnuPG aura donc 18 ans cette année, et il aura vécu une vie assez tourmentée. Werner a lutté, plus ou moins seul, année après année pour maintenir un logiciel (qui est devenu un ensemble de logiciel) fonctionnel, gratuit, libre, le tout en vivant de dons et de contrats temporaires. Pas la joie. Il s'est même un jour posé la question d'arrêter, puis Snowden est arrivé avec ses révélations lui donnant le courage de continuer, et même de lancer une campagne de financement… qui lui rapportera au final même pas de quoi continuer pendant une année (~18 000 euros).

Son histoire et ses déboires sont racontés dans un article de propublica au titre quelque peu provocateur mais efficace: on y apprend que Werner a porté ce projet à bout de bras depuis le début et que le manque d'argent n'avait pas réussi à ébranler sa motivation, jusqu'à récemment.

Article publié le 5 Février avec la discussion Hacker News associée dans la même journée. À ce moment là le compteur de dons de GnuPG en est à même pas 40 000 euros, alors que la page explique qu'il faut au moins 120 000 euros pour payer les deux développeurs à temps plein nécessaire pour le bon fonctionnement de GnuPG. Mais grâce au passage sur HN, on assiste à quelque chose qui fait chaud au coeur:

  • la barre se remplit en même pas une journée.
  • la Core Infrastructure Initiative décide de donner 60 000 dollars à GnuPG (note: le contrat était signé avant l'article, mais divulgué seulement après)
  • Facebook et Stripe décident chacun de verser 50 000 dollars chaque année à GnuPG
La Core Infrastructure Initiative

Petit aparté: cette Initiative a été montée suite à Heartbleed par quelques grandes boîtes qui ont voulu payer pour assurer la survie de protocoles ultra-importants pour la sécurité: NTP, OpenSSH et OpenSSL. Il semble qu'ils ne considèrent pas GnuPG comme une brique importante de sécurité (privacy, peut-être, mais pas sécurité) ce qui l'empêche d'être inclus dans les bénéficiaires, mais heureusement pour tout le monde ils ont fait une exception temporaire ici.

La suite

Tout va bien dans le meilleur des mondes, donc: GnuPG est financé pour plus d'une année ! Mais est-ce que tout va vraiment bien ? Il aura fallu un nombre d'années de galère et un article évoquant presque la fin de GnuPG pour que les gens se bougent et donnent suffisamment (il y avait quand même eu une campagne de dons juste avant!). On se rappellera :

Tout s'est bien fini à chaque fois, mais est-ce qu'il y a vraiment besoin de pousser une gueulante, au point de menacer de fermer si les gens ne paient pas ? N'y a-t-il pas un moyen suffisamment simple pour connecter ceux qui demandent et ceux qui sont prêts à donner ne serait-ce que 10 euros par an ? J'ai pas eu l'occasion de bien tester Flattr, mais ça m'a l'air d'être une bonne chose pour les gens qui ont la flemme de sortir leur CB pour donner une petite somme, ou pour les créateurs qui ne veulent pas passer la moitié du peu de temps qu'ils ont dans de l'administration de comptes et de paiements. Je sais pas s'il y a des alternatives (notamment je sais que les associations préfèrent des abonnements réguliers aux dons ponctuels, parce que ça leur permet de prévoir et de planifier), mais on dirait que c'est quelque chose qui manque.

En bref, encore un projet sauvé par la générosité des internautes, mais combien de temps ce système pourra-t-il tenir ?

Note: Ce contenu est placé sous licence CC0

Télécharger ce contenu au format Epub

Lire les commentaires

NSA - À propos de BULLRUN

Jeudi 5 Février

Voici la suite des « études » des leaks (fuites) de Snowden menées pour NSA-Observer. Dans cet article, nous allons revenir sur les révélations du Spiegel datant de fin décembre lors du 31c3 (Chaos Computer Congress) et du 17 janvier 2015 portant sur les moyens offensifs de la NSA ainsi que d'autres agences concernant la cryptographie.

La conférence « Reconstructing narratives » de Laura Poitras et Jacob Appelbaum présentant ces documents est visible ci-dessous (mais aussi sur le site du CCC) :

BULLRUN, qu'est ce que c'est ?

BULLRUN est un « programme » de la NSA exploitant différents moyens pour accéder à du contenu chiffré. Le New York Times avait abordé le sujet fin 2013 dans son article « Secret Documents Reveal N.S.A. Campaign Against Encryption » mais sans aucun détail (comme The Guardian ou encore propublica).

Sommaire Historique

On savait, à l'époque, que l'on pouvait distinguer en simplifiant trois méthodes utilisées par la NSA utilise pour pouvoir accéder à du contenu chiffré. La première méthode utilise les mathématiques, c'est-à-dire trouver de nouvelles méthodes pour réussir à casser un algorithme (par exemple pour « casser » RC4).

La deuxième méthode permet « simplement » d'accéder aux clés privées de la cible (pouvant être aussi bien une personne qu'une multinationale) ou aux informations demandées. On arrive là dans un ensemble d'autres programmes, un des plus secrets de la NSA (classification est « CORE SECRETS »). On trouve dans les documents, que les agents peuvent être sous couverture dans une entreprise (qu'elle soit américaine ou étrangère), ou encore que le programme TAREX (pour TARget EXploitation) conduit des opérations clandestines aussi bien SIGINT (renseignement d'origine électromagnétique) qu'HUMINT (renseignement humain) partout dans le monde pour exploiter des systèmes via différents moyens : « off net-enabling » (activité clandestine ou sous couverture sur le terrain), « supply chain-enabling » (modifier des équipements directement dans la chaîne logistique ou via le détournement de livraisons) et « hardware implant-enabling » qui semble regrouper un peu des deux précédents.

Les États-unis ne sont évidemment pas obligés de passer par ce genre d'opérations pour obtenir ce qu'ils veulent de leurs entreprises, il existe le « Foreign Intelligence Surveillance Act »(FISA) et les « lettres de sécurité nationale » qui sont des requêtes contraignantes et qui peuvent obliger une entreprise à permettre un accès à quelque chose en ayant l'obligation de ne pas en parler.

Ainsi, en 2013, l'entreprise Lavabit décida de fermer plutôt que de donner sa clé privée SSL/TLS au FBI, le tribunal la menaçait d'une amende de 5000 € par jour de retard. Lavabit hébergeait les mails d'Edward Snowden parmi ses 400 000 utilisateurs.

En 2008, Yahoo a été menacé d'une amende de 250 000 $ par jour de retard s'il ne donnait pas des données d'utilisateurs à la NSA.

La troisième méthode consiste à mettre en place ou profiter d'une mauvaise implémentation, comme le générateur de nombre aléatoire Dual_EC_DRBG, qui pourrait permettre, par exemple, de lire des flux SSL/TLS. Une méthode complémentaire consiste à payer une entreprise pour qu'elle utilise quelque chose en particulier, la NSA a payé 10 millions de dollars à l'entreprise RSA, pour utiliser Dual_EC_DRBG dans certains de ses produits (comme BSAFE).

Ainsi, la NSA (et sans doute les autres agences) a activement travaillé à insérer des vulnérabilitées dans des produits commerciaux, des réseaux (par exemple en se connectant à un routeur pour diminuer la crypto d'un VPN), des protocoles (vous pouvez lire les spéculations de John Gilmore sur la NSA et IPsec) ou directement sur des périphériques de cibles.

Le New York Times rapporte qu'en 2006, la NSA avait réussi à pénétrer les communications de trois compagnies aériennes, un système de réservation de voyages, un programme nucléaire d'un gouvernement étranger en craquant les VPNs les protégeant, et en 2010, EDGEHILL (l'équivalent Britannique de BULLRUN) avait réussi à "déchiffrer" le traffic de 30 cibles.

À propos de configurations

Pour ce que l'on en sait, il suffit d'une bonne configuration pour résoudre la majorité des problèmes (à noter tout de même : les documents datent de 2012, et énormement de choses ont pu changer depuis (Heartbleed, Poodle, nouvelles failles, etc).

SSL/TLS

Le cryptographe Matthew Green a fait un article sur les différents moyens, que la NSA a, pour "casser" SSL/TLS. Selon lui, la NSA peut utiliser plusieurs méthodes :

Bonnes pratiques :
  • dans la mesure du possible, centraliser la configuration SSL/TLS pour un logiciel sur le serveur : pour Apache 2, par exemple, vous pouvez mettre votre configuration (SSLCipherSuite…) dans /etc/apache2/mods-available/ssl.conf (pour Debian et ses dérivées), cette conf sera alors active pour l'ensemble de vos vhosts, et il faudra donc la changer uniquement en cas de besoin (et non vhost par vhost, au risque d'en oublier) ;
  • disposer d'une clé RSA égale ou supérieure à 2048 bits ;
  • utiliser des courbes elliptiques ;
  • activer Forward Secrecy ;
  • utiliser SSLHonorCipherOrder on ;
  • enlever les algorithmes de chiffrement faibles, obsolètes, voire dangereux (par exemple DES et RC4) ;
  • ne plus utiliser SSLv3, et s'assurer par la même occasion que SSLv2 est bien mort et enterré (SSLProtocol all -SSLv2 -SSLv3 pour Apache2 par exemple), TLSv1 est aujourd'hui le minimum acceptable ;
  • désactiver la compression, pour éviter l'attaque CRIME.

Pour vous aider dans la configuration de votre serveur web, vous pouvez utiliser le site JeVeuxHTTPS, et bien entendu le désormais célèbre SSL Labs qui permet de tester sa configuration.

Des outils comme sslscan, xmpp.net (XMPP/Jabber), StartTLS.info (mails) peuvent aussi être utiles.

SSH

La seule trace du terme backdoor dans les documents à propos d'openSSH est en fait un rootkit, ce qui signifie qu'il FAUT avoir réussi à rentrer dans le serveur et à être root pour pouvoir modifier le binaire et permettre l'accès à une clé ou à un mot de passe. À noter que cette modification empêche de voir les connexions « pirates » de ces comptes dans les logs.

Un problème concernant SSH pourrait être l'utilisation d'algorithmes de chiffrement obsolètes. Vous pouvez vérifier ceux proposés par votre serveur avec la commande ssh -vvv pour vous connecter. Une connexion sur un serveur donne quelque chose ressemblant à ceci comme résultat :

ssh -vvv skhaen@exemple.com [...] kex_parse_kexinit: ssh-rsa,ssh-dss kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se kex_parse_kexinit: hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-256-96,hmac-sha2-512,hmac-sha2-512-96,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96 [...]

Arcfour est en fait un autre nom de RC4, qui pour le coup est cassé depuis un moment. La version 6.7 d'OpenSSH le supprime, et Microsoft recommande de le désactiver depuis 2013.

Pour améliorer la configuration de votre serveur SSH (il n'y a pas que le choix des algorithmes de chiffrement), vous pouvez vous référer aux trois articles ci-dessous. Faites très attention avant toutes modifications, elles peuvent vous empêcher de vous (re)connecter à votre serveur !

IPSec

Concernant IPSec et comment mieux le configurer, vous pouvez vous référer à l'article de Paul Wouters « Don’t stop using IPsec just yet » (en espérant que le problème se trouve bien là).

On peut résumer cet article en deux principales recommandations :

  • utiliser Perfect Forward Secrecy : pfs=yes ;
  • éviter les PreSharedKeys : authby=secret.
Je peux utiliser quoi alors ?

Il ne faut surtout pas tomber dans le piège « on est tous foutus, rien ne marche, on ne peut rien faire » : ce n'est absolument pas le cas. Dans les bonnes nouvelles, nous avons aussi la preuve que Tor, OTR, GPG, TAILS et Redphone sont sûr (du moins en 2012 ;-)).

  • Trivial : suivre le parcours d'un document sur Internet ;
  • mineur : enregistrer un chat privé sur Facebook ;
  • modéré : décrypter un email envoyé via le service de messagerie russe mail.ru ;
  • majeur : utiliser des services comme Zoho (?), Tor, TrueCrypt ou OTR ;
  • catastrophique : utiliser plusieurs protocoles en même temps, par exemple faire passer de la VoIP utilisant ZRTP par le réseau TOR, le tout à partir d'un ordinateur sous Linux.

On notera avec beaucoup d'intérêts qu'il n'y a aucune trace de logiciels commerciaux (bitlocker…) dans les documents.

  • Tor est un logiciel libre qui, grâce à une technique de routage en oignon, permet d’anonymiser les connexions sur Internet ;
  • OTR permet de chiffrer des communications, en particulier sur XMPP/Jabber, ne pas hésiter à l'utiliser avec du SSL/TLS par dessus.

  • GPG permet de chiffrer un mail, un fichier ou un dossier entier ; il permet aussi de signer un fichier (ou un mail) pour s'assurer de son authenticité.

  • TAILS est un système d'exploitation live, que vous pouvez démarrer, sur quasiment n'importe quel ordinateur, depuis un DVD, une clé USB, ou une carte SD. Son but est de préserver votre vie privée et votre anonymat, et de vous aider à utiliser Internet de manière anonyme et contourner la censure (toutes les connexions sortantes vers Internet sont obligées de passer par le réseau Tor).
  • Redphone est une application pour Android qui permet d'avoir des conversations chiffrées (on peut aussi s'intéresser à Textsecure, application Android de la même entreprise pour chiffrer les SMS).

Dans un autre document, le logiciel Truecrypt est aussi considéré comme « solide », il ne reste plus qu'à attendre que son fork soit prêt pour enfin pouvoir le réutiliser.

Le point commun de tous ces logiciels ? Ce sont des logiciels libres.

Les documents sont disponibles sur le site du Spiegel :

Télécharger ce contenu au format Epub

Lire les commentaires

Pages