Dernièrement, Sony BMG a mis en place une protection sur CD d'un nouveau genre, qui na tarda pas à être qualifié de « rootkit »[1] [2] par différent experts en sécurité. Déjà, j'étais pas très content face à cette nouvelle menace, alors qu'une société se permet de cacher des logiciels sur mon ordinateur.
Mais, des vilains piratins ont trouvés comment ce servir de cette protection pour cacher d'autres choses, notamment des programmes pour tricher à World of Warcraft [3][4]. En effet, Blizzard, créateur du jeu, avais récement mis en place un logiciel qui leurs permettait de surveiller l'activité de l'ordinateur du joueur à la recherche de tels programme.
Bref, j'espère que cela fera réflechir Sony BMG et leur faire faire machine arrière, et que mon jeu ne sera pas totalement pourri par les tricheurs, comme ce fût le cas pour Diablo par exemple.
[1] http://www.securityfocus.com/news/11352
[2] http://www.pcinpact.com/actu/news/Sony_les_rootkits_et_la_ge(...)
[3] http://www.securityfocus.com/brief/34
[4] http://www.pcinpact.com/actu/news/Le_rootkit_de_Sony_permet_(...)
Journal Sony, rootkit et WoW
11
nov.
2005
# ...
Posté par M . Évalué à 7.
Par exemple le bon vieux c-dilla installer par l'encyclopedie universalis pour lequel (si je me souviens bien), il etait imposible de le desinstaller.
De meme les nouvelles protections comme starforce sont tres intruisive dans l'OS...
# Le blog de F-Secure
Posté par Black Fox . Évalué à 4.
http://europe.f-secure.com/v-descs/breplibot_b.shtml
http://europe.f-secure.com/v-descs/breplibot_c.shtml
Heureusement il y as des bugs dans ces virus pour l'instant :-)
# et là on dit...
Posté par elloco (site web personnel) . Évalué à 10.
[^] # Re: et là on dit...
Posté par qdm . Évalué à 10.
[^] # Re: et là on dit...
Posté par fork_bomb . Évalué à 3.
Quant au rootkit sony, il ne s'installe qui si l'autorun est activé. Certes il l'est par défaut, mais un administrateur compétent doit normalement le désactiver.
Tu me diras, linux n'a pas d'autorun par défaut, c'est donc mieux pour l'utilisateur dèbutant. Oui, mais le débutant va surement exécuter le programme qui installera le rootkit, à fortiori si c'est écrit sony dessus.
Quant à la sécurité de l'OS, elle n'empèche rien : sony pourrait par exemple LD_PRELOADer une librairie qui gène l'accès au CD, et le débutant ne verrait rien (à part qu'il ne peut pas profiter de son CD).
Selon moi, le vrai problème n'est pas la sécurité de Linux ou de Windows, c'est que une entreprise "respectable" utilise des moyens de pirates pour protéger ses produits contre ses clients.
[^] # Re: et là on dit...
Posté par viking . Évalué à 1.
L'open source ce n'est pas fait que pour les programmeurs.
D'autre part, pour moi, l'intégration à une distribution de type Debian est un grand gage de Sécurité. Alors si Flash et les drivers ATI ne sont pas intégrés à Debian, ce n'est pas que pour une question de licences mais aussi de sécurité.
[^] # Re: et là on dit...
Posté par fork_bomb . Évalué à 4.
[^] # Re: et là on dit...
Posté par viking . Évalué à 3.
Mais les logiciels libres te garantisent une sécurité sur l'introspéction du code source. Ce qui est une garantie supplémentaire - pas absolue certes - sur l'absence de rootkit.
Si tu choisis d'installer un logiciel non-libre en dehors de ta distribution, tu acceptes le fait qu'il peut y avoir des rootkit à l'intérieur.
[^] # Re: et là on dit...
Posté par fork_bomb . Évalué à 2.
Quant à l'introspection du code source, tu n'as aucune garantie que les binaires de debian, par exemple, soient compilés à partir du code disponible, et que aucune fonction malveillante n'est distribué. La seule différence avec le propriétaire est qu'il est bien plus raisonnable, selon moi et pas mal de monde ici, de faire confiance à l'équipe debian qu'à microsoft.
[^] # Re: et là on dit...
Posté par Wawet76 (site web personnel) . Évalué à 2.
Heu... Les paquets Debian tu peux les recomplier. Il n'y a pas énormement de monde qui le fait, mais si les binaires ne correspondaient pas au code source disponible on en entendrait parler très rapidement à mon avis !
(et pour les fans de l'histoire du compilateur qui inclue des modifications, il y a moyen de commencer par compiler le GCC qui va servir à tout recompiler avec un compilateur maison ;) )
[^] # Re: et là on dit...
Posté par Éric (site web personnel) . Évalué à 3.
Tu peux. Le fais tu ? Non parce que "pouvoir" ne te protège en rien. C'est le faire qui peut éventuellement te protéger. Le fait est que tu ne le fais probablement pas, la plupart des gens non plus.
Et même en recompilant :
Avec quel compilateur ? qui te dit que les sources du compilateurs sont honnêtes et ne rajoutent pas la backdoor ?
Ok, tu peux vérifier les sources du compilateur et le recompiler, mais comme pour le recompiler tu auras toujours besoin d'un compilateur binaire tu l'as dans le ***
(et pour l'anecdote le coup du compilateur qui met une backdoor dans certains softs et qui rajoute le code malveillant quand il voit qu'il se recompile lui-même, c'est quelque chose qui a effectivement existé donc ce n'est pas totalement fictif).
Tu n'as que deux portes de sorties :
- décompiler pour voir que ça ressemble à ce que tu as comme source
- démarer d'un petit compilateur que tu as fait toi même en assembleur et qui te permet de compiler un compilateur plus gros, et ainsi de suite (en auditant les codes sources à chaque fois).
> Il n'y a pas énormement de monde qui le fait, mais si les binaires ne
> correspondaient pas au code source disponible on en entendrait
> parler très rapidement à mon avis !
Le fait est qu'on en entend parler de temps en temps de problèmes dans les sources, mais pas toujours si rapidement que ça. L'idée des millions de développeurs qui vérifient les sources c'est attirant mais largement illusoire.
En pratique si tu compromet sourceforge ou un dépot, que tu changes le source pendant quelques jours avant de remettre le bon, il y a peu de chances que ça se voit. Je ne parle même pas des malins qui mettent les bidouilles dans des fichiers "annexes" que peu de gens vérifient, comme les fichiers makefile et associés (cas de Xchat à mon souvenir).
Bref, avoir les sources ça aide, mais ce n'est pas la protection ultime que beaucoup pensent. Et globalement ça ne fonctionne de toutes façons que si on s'en sert.
[^] # Re: et là on dit...
Posté par elloco (site web personnel) . Évalué à 4.
[^] # Re: et là on dit...
Posté par Wawet76 (site web personnel) . Évalué à 2.
Le fait que les sources puissent être compromises est en effet beaucoup plus génant.
[^] # Re: et là on dit...
Posté par LeMagicien Garcimore . Évalué à 1.
Gni ? L'introspection c'est la capacité d'un logiciel à obtenir des informations sur sa propre structure et pourquoi pas à la modifier (au runtime). Le logiciel libre n'a rien a voir la dedans...
# Ça m'amuserait...
Posté par Guillaume Knispel . Évalué à 5.
Me rappel plus des peines maxi mais elles sont assez lourdes :p
[^] # Re: Ça m'amuserait...
Posté par SubBass . Évalué à 3.
[^] # Re: Ça m'amuserait...
Posté par Charles-Victor DUCOLLET . Évalué à 1.
[^] # Re: Ça m'amuserait...
Posté par gc (site web personnel) . Évalué à 0.
Si linuxfr c'est pour « francophone » et non « français », alors les règles de « défrancocentrage » de wikipédia pourraient ici aussi être utiles.
http://fr.wikipedia.org/wiki/Wikip%C3%A9dia:Guide_de_d%C3%A9(...)
[^] # Re: Ça m'amuserait...
Posté par Piksou . Évalué à 7.
<title>Da Linux French Page</title>
[^] # Re: Ça m'amuserait...
Posté par Sylvain Sauvage . Évalué à 3.
Les traductions possibles sont : « la page Linux française » ou « la page Linux en français ». Et même dans le premier cas (la page française), l'adjectif peut aussi bien signifier « de France » que « du français ».
[^] # Re: Ça m'amuserait...
Posté par Gniarf . Évalué à 1.
pleurnicher parce que le mot "transalpin" pourrait être source de confusion pour d'éventuels francophones en Italie, merci bien...
[^] # Re: Ça m'amuserait...
Posté par kursus_hc . Évalué à 0.
[^] # Re: Ça m'amuserait...
Posté par Anonyme . Évalué à 0.
En l'occurence, fr.wikipedia.org devrait être la page française.
Et pour les francophones, chacun la sienne :
be.wikipedia.org, qc.wikipedia.org, etc.
Bien entendu, pour ne pas perdre le bénéfice de la francophonie, il faudrait que par exemple, si un article n'existe pas dans fr.wikipedia.org mais existe dans be.wikipedia.org, il soit alors utilisé par défaut, et idem pour l'inverse.
Par contre, imaginons qu'un article fr.wikipedia.org, qui était jusqu'à présent utilisé par défaut dans les autres sous-parties franchophones, soit modifié par exemple sur be.wikipedia.org ou qc.wikipedia.org, alors il y aurait plusieurs versions de l'article en circulation, chacune afférente à sa sous-partie correspondante.
Pour moi, le « fr » dans le nom de domaine, c'est la France, et pas la francophonie, et c'est dommage d'être obligé de pondre des articles à rallonge ou dénués de sens à cause de ces règles « francophones ».
[^] # Re: Ça m'amuserait...
Posté par Thomas Douillard . Évalué à 3.
En tout cas ça n'a rien de néfaste pour une encyclopédie.
[^] # Re: Ça m'amuserait...
Posté par Nicolas Schoonbroodt . Évalué à 5.
Donnons be.wikipedia.org aux Belges... Mais lesquels (si j'ose dire comme cela, vu qu'au final, on est tous belges, et plus ou moins égaux) ?
Les neerlandophones ? Les francophones ? Les germanophones ?
Ce serait totalement abbérant que les belges francophones écrivent leur wikipedia, les québequois la leur, les français une autre, les suisses francophones encore une autre, ...
[^] # Re: Ça m'amuserait...
Posté par Thomas Douillard . Évalué à 4.
[^] # Re: Ça m'amuserait...
Posté par 태 (site web personnel) . Évalué à 3.
Fondamentalement, la plupart des Suisses francophones sont de l'autre côté des Alpes pour nous autres lyonnais, alors que pour les Lorrains, ils seraient plutôt de l'autre côté du Jura ou des Vosges.
[^] # Re: Ça m'amuserait...
Posté par Sylvain Sauvage . Évalué à 1.
[^] # Re: Ça m'amuserait...
Posté par Guillaume Ceccarelli . Évalué à 4.
1) avoir des preuves bétons
2) avoir des reins solides pour pouvoir payer le procès
3) Ne pas être pressé pour que la procédure soit terminée et que réparation soit faite
Toujours volontaire? ;-)
[^] # Re: Ça m'amuserait...
Posté par Guillaume Ceccarelli . Évalué à 5.
# Une fois de plus...
Posté par patapon . Évalué à 5.
Par contre, pour celui qui a téléchargé les pistes mp3 on ne sait où, il n'y a rien à craindre.
Je n'apprécie vraiment pas les majors, et cette affaire me désole une fois de plus (payer pour des trous de sécurité, merci M. Sony)
# Selon la BBC Microsoft considère ce "Logiciel" comme un spyware
Posté par blobmaster . Évalué à 3.
Dans les liens du journal de Gart Algar, ils disaient que les éditeurs d'anti-virus ne le considéraient pas tous ainsi...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.