La nouvelle est tombée, elle est notamment reprise en ligne sur lefigaro.fr : Microsoft reconnait que «Internet Explorer a été l’un des vecteurs utilisés par les attaques sophistiquées et ciblées contre Google et d’autres réseaux d’entreprises». L’article est encore plus précis, tenez vous bien, cette faille serait présente dans toutes les versions du navigateur depuis la version 6… je calcule rapidement… 9 ans ! IE6 est sorti en 2001 nous avons donc une faille de sécurité qui existe depuis 9 ans. Triste record.

Faille de sécurité : késako ?

Une faille de sécurité est quelque chose de pernicieux. Il s’agit d’un procédé que peut utiliser une personne malveillante (un pirate, je rappelle qu’un hacker est tout sauf un pirate/une personne malveillante/un acteur illégal, contrairement à ce qui est parfois sous-entendu dans cette appellation) pour, justement, malveiller : bloquer un système informatique, voler des données, etc. Ce procédé est rendu possible car le logiciel a un défaut.

Prenons un exemple simple. A une époque pas si ancienne, il suffisait de se connecter à un site web construit avec Microsoft Internet Information Server (IIS) en ajoutant dans l’adresse plus de 8000 caractères pour le planter et rendre le site web innacessible (je sais il faut être tordu, mais quand il s’agit de nuire faites confiance aux tordus ils sont présents). A cette époque, la faille a été publiée par des gentils hackers pour que Microsoft la corrige (elle a quand même perduré quelques mois…).

Pourquoi c’est la faute de Microsoft et pas celle des méchants pirates ?

Il est mathématiquement impossible de créer un logiciel ouvert sur Internet exempt de failles (de bugs en général, qu’ils soient de sécurité ou non), je renvoie d’ailleurs vers ce sympathique post de l’époque des machines à voter qui traite de ce sujet. On en revient donc à la façon de procéder à posteriori : que faire quand une faille est découverte ?

La méthode Microsoft est simple, elle suit 3 règles fondamentales

1) Si je trouve une faille je ne publie pas son existence ni aucune mise en garde, je la corrigerais quand j’aurais le temps

2) Si on me communique une faille confidentiellement, je prends l’information, surtout on ne remercie pas, et je menace l’informateur de poursuites si il publie la faille. Comme ça j‘ai tout le temps de corriger, parce que là c’est les vacances.

3) Si un internaute publie une faille sur Internet (à force d’attendre qu’elle soit corrigée et voyant que je ne fais rien), je lui lance mes avocats aux trousses afin de lui faire rendre gorge.

Vous l’aurez compris, derrière la faille de sécurité (aucun logiciel n’est parfait on ne peut pas blamer un concepteur pour une faille), il y a surtout la réactivité et la transparence dans la correction de la faille. Et sur ce point, Microsoft est aussi réactif qu’un panda anesthésié et à peine plus transparent qu’un bloc de granit.

Le résultat est là : les failles des logiciels Microsoft sont exploitées, et très largement. Je vous laisse continuer à payer vos achats en ligne ou à faire vos comptes sur le site de votre banque avec Internet Explorer …

Ouverture ?

Les autres navigateurs sont ils plus sécurisés ? ont-ils moins de failles ? ça se discute. Mais partons du postulat que non, la démonstration est ailleurs. Pour qu’une faille soit vite détectée, vite analysée et vite corrigée, il n’y a qu’une solution : avoir à sa disposition des milliers d’experts pour vous rendre ce service.

C’est notamment en cela qu’un logiciel open-source (dont le code source, la suite d’instructions lisibles qui le compose,est accessible et modifiable par tout utilisateur en ayant les capacités) est le seul garant d’une sécurité maximale.

La méthode open-source est la suivante (exemple donné pour un logiciel édité, comme Mozilla Firefox) :

- Une faille est détectée par un utilisateur avancé, elle est alors publiée (personne ne va attaquer son publicateur en justice)

- La faille est corrigée par un ou plusieurs programmeurs (très vite, souvent le jour même)

- L’éditeur produit alors un patch de sécurité que le navigateur télécharge au prochain lancement (sans avoir besoin de faire un windows update qui dure 3 heures, de s’inscrire au programme « je vous jure que j’ai pas piraté Windows je donne mes enfants en gage de bonne foi », ou de rebooter son PC)

Excellant comme souvent dans le numéro de l’étude bidon teintée de mauvaise foi (il en faut pour commander une étude qui dit que vous êtes le meilleur… et la publier), Microsoft a fait produit une étude indiquant que Mozilla Firefox n’était pas plus sécurisé que Microsoft Internet Explorer, utilisant pour cela un test de navigation internet standard et recueillant les alertes du navigateur sur les sites dangereux.

Ridiculisé depuis des années (des siècles en informatique) sur le terrain de la sécurité, Microsoft omet de porter dans l’étude le plus important, la durée moyenne de correction d’une faille de sécurité. Ce billet de Tristan Nitot explique bien cette importance, il y rapporte notamment que «Sur l’année 2006, Internet Explorer était vulnérable pendant 284 jours sur 365. (…) Firefox aussi a eu des failles en 2006. Mais les utilisateurs n’ont été exposés que 9 jours.»

Que ne faire tonton Triton ?

Suivons vite les conseils des organismes nationaux de sécurité informatique français et allemand : utilisons un navigateur alternatif, et de préférence un navigateur open-source !

Ce blog n’est pas un blog politique, vous ne m’entendrez donc pas dire du mal d’Eric Besson, ni du nauséabond (lisez les contributions) et opportuniste (lisez les sondages nationaux) débat sur l’identité nationale.

Par contre, il me semble normal de rendre à César ce qui revient à César. Autant le site du débat sur l’identité nationale cite sans complexe l’entreprise qui a construit le site (et sans raisons : la réglementation n’impose absolument pas de citer le créateur du site), autant l’utilisation du logiciel libre (et gratuit) SPIP est faite sans que même la pratique de bon gré consistant à mentionner en bas de la page d’accueil « site réalisé à SPIP » et un lien vers le site communautaire SPIP ne soit respectée.

Ca ne coute rien (non plus), et ça permet de faire connaitre et reconnaitre les dizaines de développeurs et d’utilisateurs qui contribuent à faire du logiciel SPIP le puissant logiciel de publication de site web qu’il est aujourd’hui.

Notez que c’est une pratique courante du gouvernement et des partis politiques de tous bords :

• site de l’UMP (réalisé avec EZPublish)
• site du Nouveau Centre (réalisé avec Drupal),
• site du Modem (réalisé avec openCMS),
• site de François Bayrou (réalisé avec openCMS),
• site de Valérie Pécresse pour les régionales 2010 (réalisé avec Drupal),
• site de Désirs d’Avenir (réalisé avec Drupal),
• site du Parti Socialiste (réalisé avec Wordpress),
• Site de Marine Le Pen (réalisé avec Wordpress)

Cas particulier du site de l’UMP (cf le commentaire #1 et sa réponse #2) : la mention d’EZPublish y est faite, mais dans un endroit incongru et sous une forme inutile (non lisible par les moteurs de recherche et non cliquable…).

Il y a heureusement des bons élèves (peu, en fait), qui mentionnent le logiciel libre qui fait fonctionner leur site, notamment :

• Site web d’Europe Ecologie (bas de page : réalisé avec Drupal)
• Site du Parti Communiste (bas de page, lien vers logiciels et contenu libres : réalisé avec SPIP)

En réalité la pratique douteuse va encore plus loin : le concepteur du site (sans doute sur ordre, il n’a aucun intérêt à le faire lui même ça prend du temps et le temps c’est de l’argent pour un prestataire de service) élimine méticuleusement toute référence aux logiciel utilisé dans les pages du site…

En résumé : on crée des lois (Hadopi) et permet la vente liée (un PC avec Windows, entre autres) qui ont pour effet d’anéantir les efforts des logiciels libres pour trouver leurs utilisateurs, mais en même temps on utilise (sans le dire) ces mêmes logiciels libres (sans doute parce qu’ils sont peu onéreux, et avouons-le souvent bien meilleurs que les logiciels commerciaux ayant la même fonction).

C’est mal. De gauche ou de droite, c’est mal. En plus tout le monde va croire que je suis un chevelu soixante-huitard qui vire communiste tendance verdâtre alors que 1) je suis pas un chevelu et 2) j’ai une opinion très tranchée sur les groupes de personnes qui essaient de diriger le monde, de gauche comme de droite, rouges, verts, bleus ou multicolores.

[note: j'ai dit que les concepteurs masquaient le logiciel, j'ai donc du rivaliser d'astuce et de filouterie pour détecter le logiciel qui a servi à créer le site et qui le publie, je peux me tromper dans certains cas, mais ce serait étonnant, ma mère vous dira que dans la famille on ne se trompe jamais]

Loin de moi l’idée de faire le procès en technologies de notre chère (TRES chère) et sympathique (TRES sympathique) et loquace (TRES loquace) Ministre de la culture, nul n’est censé être omniscient, et il est vrai que ces technologies sont assez absconses.

Il nous manque aussi l’intervention qui a précédé celle de madame Albanel. N’empêche, sa réponse est affligeante au delà du raisonnable.

Apprécions à sa juste valeur ce modèle d’occupation du paysage sonore démocratique en toute inutilité (sauf à admettre que se rendre ridicule et ridiculiser par la même une loi inique est utile à la société, ça va loin…).

[pour ceux qui n'ont pas lu mon billet sur "pour arrêter l'ordinateur cliquer sur démarrer", un pare-feu est un boitier ou un logiciel qui protège votre ordinateur des personnes sur internet qui voudraient s'y connecter et en abuser. Microsoft Office, gentiment rebaptisé par Mme Albanel "le pack microsotte",  et OpenOffice sont des suites bureautiques, avec traitement de texte et tableur par exemple. L'un et l'autre n'ont RIEN à voir, mais alors du tout]

Voilà un piètre exemple. C’est cette même Madame Albanel qui prétend que le téléchargement sur internet lèse les artistes (soupir) et que l’industrie de la musique et du cinéma (les majors) vont mal (ce qui ne les empêche pas de payer Leonardo DiCaprio 45 millions de dollars par film, quand on va mal c’est connu on jette l’argent par les fenêtres) et que l’offre légale de distribution de musique en ligne est pléthorique, bon marché et simple d’accès (re-soupir).

On avait du mal à la croire avant, mais après une telle sortie ça va être encore plus dur.

The Shops de nouveau sur scène, forcément c’est un événement, en particulier quand on connait le jeu très… euh… particulier de leur batteur (donc de moi). Avec des nouveaux morceaux qui déménagent (Lenny Kravitz, Metallica, U2, Axel Bauer, etc.), ça va faire du bruit !

En bonus un petit extrait du dernier concert devant un parterre de jolies représentantes en pâmoison (on a du appeler le SMUR à 3 reprises), cliquez sur le bouton play:

Au fait, les outils utilisés pour les médias de ce billet sont :

- The Gimp pour l’affiche et ses déclinaisons

- Audacity pour la création du MP3 à partir de l’enregistrement via le Zoom H2

Windows serait-il le seul système vraiment simple à utiliser et accessible sur tout PC ? hélas pour l’instant oui. Je détaillerais cette assertion dans un autre billet.

Vous voila donc prisonnier de Windows, parce qu’il est installé sur votre pc, parce que vous aimez jouer, parce que vous le connaissez assez pour bidouiller un peu, etc etc etc, les raisons ne manquent pas.

Est-ce que pour autant vous êtes prisonnier et contraint de payer à nouveau pour chaque logiciel que vous voulez utiliser ? et attendre des lustres que les éditeurs ajoutent de nouvelles fonctionnalités (que vous allez payer) ou corrigent les erreurs ? et ne jamais obtenir de réponses quand vous aurez des difficultés, sauf à payer (encore) un support technique forcément mauvais parce que vous ne représentez rien pour l’éditeur ? estimez vous heureux si il anime un forum moribond…

Je noircis (à peine) le tableau pour mettre en évidence une autre alternative : les logiciels libres. Pour savoir ce qu’est un logiciel libre, reportez vous à la lecture de ce billet.
La question à laquelle nous allons répondre est : puis-je profiter de la formidable multitude de logiciels libres tout en conservant Windows ?

La réponse est oui à 99%. Pour étayer cette affirmation, voici une configuration PC pléthorique (la mienne) avec pour seuls éléments payants le PC lui même et Windows. Tous les autres logiciels sont libres, ont fait leurs preuves et surtout sont extrêmement efficaces, tant dans leurs fonctionnalités que dans le dynamisme de leurs utilisateurs : garantie de ne jamais être en panne grâce aux forums, aux contributions et à l’entraide !

Bien que la majorité des logiciels libres est écrite pour les systèmes libres (Linux, Freebsd, etc.), vous en trouverez très souvent une version Windows très soutenue par sa communauté.

Pour commencer il vous faut les logiciels de base du PC

• un navigateur : Mozilla Firefox 3, sans égal sur le marché, la démonstration qu’un logiciel libre peut dépasser très largement tous ses concurrents commerciaux.
• une suite bureautique : OpenOffice.org 3. très largement à la hauteur d’Office sur un poste de travail familial, et en plus il lit tous les formats Office (même les très controversés xlsx/docx) et produit des PDF.
• Pour lire les PDF : Sumatra PDF, bien plus rapide et moins gourmand que le reader d’Acrobat.
• Pour créer des PDF : PDFCreator, imprimante virtuelle qui fera des pdf avec tous vos fichiers.
• Pour lire ses mails : Mozilla Thunderbird 2, avec son extension Calendrier, son antispam intégré puissant et sa gestion des comptes multiples.
• un player multimédia pour regarder DVD, films : Media player Classic. Pas un type de fichier ou de codage ne lui résiste, notamment dans version Satsuki Decoder Pack.
• Pour papoter : Pidgin, client de chat pour tous les serveurs (Msn, google, yahoo, aol, sametime, icq, groupwise,irc, etc.)
• Pour visualiser, manipuler et classer vos photos : GQView, comme Picasa ou ACDSee, mais libre (on est sur qu’il n’envoie pas d’infos à Google, lui ^^)

Pour les utilisateurs avancés qui utilisent les graphismes

• Un éditeur graphique : Gimp 2, véritable perle libre, c’est le modeste concurrent de Photoshop, moins puissant cependant mais tout à fait adapté au véritable travail graphique (claques, filtres, modes de couleur, outils puissants, lecture de tous les formats de fichier)
• Pour la mise en page : Scribus, concurrent d’InDesign, ou pour les anciens d’outils de PAO (Publication assistée par ordinateur) comme le vénérable PageMaker d’Aldus. Les affiches, les invitations, les plaquettes, les cartes de visite jusqu’aux livrets et aux livres rien ne vous résistera.

Pour les musiciens, compositeurs ou mélomanes

• L’édition sonore : Audacity, capture et lit en multipiste, lit et produit tous les formats, on lui reproche juste de ne pas être Asio.
• La création de partitions : Lilypond, assez ardu à l’usage (mais ma fille de 10 ans l’utilise pour écrire ses compos de piano) mais au résultat professionnel. Plus simple mais moins puissant : MuseScore, éditeur graphique à suivre !

Pour les adeptes de base de données

• Mysql, et sa suite d’outils MySQLWorkbench Community Edition. Le top des bases de données (Google utilise MySQL pour son service de moteur de recherche)

Pour l’édition vidéo

• Extraire un DVD sur votre PC: FlaskMPEG, pratique et efficace
• Bricoler les vidéos : VirtualDub, un peu fruste mais permet a peu près tout ce qui est utile (découpage, transofrmation, modification de pistes)
• [Edit 24/03/2009 - Merci Flynn] Pour la création de DVD vidéo : DVDStyler

Pour organiser ses idées et gérer ses projets

• Freemind, le petit concurrent de MindManager (dont il lit les fichiers) est tout simplement génial.
• Gestion de projets : Openworkbench, on se surprend à gérer les travaux de la maison avec tellement il est pratique.

Echanger des fichiers et télécharger rapidement (des contenus légaux !)

• Le protocole bittorrent reste le must en matière de peer to peer : Vuze (anciennement Azureus) est son client !
• Se connecter aux serveurs FTP pour gérer son site web ou son blog : FileZilla FTP Client, rapide, multi-protocoles et très actif.

Pour gérer son système, ses disques, ses fichiers

• Gérer ses fichiers compressés : 7zip lit tous les formats, rapidement et librement.
• Protéger son système contre les spywares : Spybot S&D.
• Piloter son PC à distance, avec VNC dont la plus puissante déclinaison est UtraVNC.
• Editeur de texte avancé, à coloration syntaxique et avec 1000 fonctions pratiques : Notepad++
• [Edit 24/03/2009 - Merci Flynn] Graver CD et DVD avec CDBurnerXP, pas libre ni opensource mais presque (sa licence est spécifique)

Ce que les logiciels libres ne font pas encore, mais certains freeware les remplacent

• L’extraction de pistes audio de vos Cd, avec titrage automatique : FreeRip est un must

Ce qui reste encore le pré carré de logiciels propriétaires sous Windows

Ces logiciels sont souvent fournis en version allégée avec vos périphériques (carte audio, caméscope, graveur dvd, etc.). Il existe en général des outils sous Linux mais ils ne sont pas portés sous Windows.

• L’édition vidéo vraiment puissante et conviviale (Adobe Première, par exemple)
• L’édition musicale (Cubase notamment)
• La gravure de CD/DVD et l’authoring (Nero Suite)

Cette longue énumération de logiciels libres n’est pas exhaustive, ce ne sont que les logiciels libres que j’utilise et en cherchant un peu vous en trouverez des centaines d’autres parfois très aboutis. Le site Framasoft répertorie et détaille la grande majorité des logiciels libres en précisant ceux qui tournent sous Windows, belle initiative !