Discussions et débats sur l’affichage d’astérisques à la saisie du mot de passe par sudo-rs

Posté par  . Édité par Benoît Sibaud, Julien Jorge, Nils Ratusznik et Ysabeau 🧶. Modéré par Ysabeau 🧶. Licence CC By‑SA.
Étiquettes :
20
9
avr.
2026
Administration système

L’ancien sudo (écrit en C) a été récréé en Rust (sudo-rs), par une autre équipe, pour des raisons de sécurité mémoire notamment. Plusieurs distributions intègrent cette nouvelle implémentation dans leurs paquets et, en particulier, Ubuntu 25.10 l’utilise par défaut.

Pour mémoire (source) : Cette commande permet à un administrateur système d’accorder à certains utilisateurs (ou groupes d’utilisateurs) la possibilité de lancer une commande en tant qu’administrateur, ou en tant qu’autre utilisateur, tout en conservant une trace des commandes saisies et des arguments.

Le récent changement est que, par défaut, la saisie du mot de passe sudo affiche désormais des astérisques via sudo-rs, à l’inverse du comportement antérieur.

Le débat porte principalement sur l’utilisabilité en opposition à la tradition de sécurité Unix de ne rien afficher du tout.

Les arguments du choix portent notamment sur les aspects sécurité, utilisabilité, et tradition. Là où les pro-astérisques estiment la fuite de longueur tolérable, qu’elle confirme l’entrée fonctionnelle, et qu’il s’agit d’une amélioration moderne, les anti-astérisques considèrent que cela expose la longueur aux observateurs, que c’est inutile pour les experts, et que cela casse l’héritage Unix.

Du côté des arguments pour les astérisques, la rétroaction visuelle confirme que les frappes s’enregistrent, ce qui aide les nouveaux utilisateurs ou ceux avec des claviers défaillants et réduit les erreurs de saisie.

Les partisans notent que les risques d’épaulement (voir les caractères réels) sont faibles aujourd’hui avec l’accès distant courant, et que les indices de longueur sont mineurs comparés aux gains d’utilisabilité.

Du côté des arguments contre les astérisques, la conception Unix traditionnelle cache la longueur du mot de passe pour contrer les attaquants observant de loin, préservant une norme de sécurité de 46 ans même si imparfaite.

Les admins vétérans y voient un risque inutile dans les environnements partagés ou physiques, avec des solutions faciles comme pwfeedback pour revenir en arrière.

Vous savez peut-être comment configurer votre choix, notamment en écrivant dans /etc/sudoers soit Defaults pwfeedback (ce qui sera de toutes façons le comportement par défaut avec astérisques), soit Defaults !pwfeedback (avec le point d’exclamation en préfixe).

Si ce paramètre vous rappelle quelque chose, c’est normal. Les plus préoccupés d’entre nous par la sécurité se rappellent de l’incident de sécurité (CVE-2019-18634) lié à ce paramètre il y a quelques années : le paramètre pwfeedback introduit, en version 1.7.1 de sudo, avait hélas introduit un bug qui n’avait été corrigé que bien après.

Un peu de politique FOSS (un tout petit peu hors sujet ;-) )

Je profite de cette dépêche pour faire un appel, car ce débat et l’ancien bug lié à pwfeedback nous rappellent les risques qui pèsent sur les composants FOSS parfois vitaux et répandus comme XZ Utils, qui manquent de main d’œuvre et de moyens.
La récente attaque (CVE-2024-3094) contre OpenSSH en 2024 via sa dépendance logistique à XZ Utils, par un pirate qui avait exploité de l’ingénierie sociale sur Lasse Collin, le mainteneur fatigué et esseulé deXZ Utils, a failli compromettre un grand nombre d’ordinateurs utilisantOpenSSH`.
C’est un tiers, Andres Freund, employé de Microsoft, qui a contré le piratage en détectant puis identifiant l’erreur.

De même, vous avez su que Todd, C. Miller, l’unique mainteneur de sudo depuis 30 ans, appelait au secours et aux financements en début d’année 2026. Certes, ce point particulier a peut-être été réglé par la ré-écriture en Rust (sudo-rs) avec l’aide de Miller, mais le sujet est global pour le FOSS.

Mon souhait : donnons plus de notre personne ou de notre poche aux projets et personnes du FOSS.

Les informations que vous n’avez pas demandées (ou Too much information you didn't ask for)

Rust veut dire « rouille » en anglais, mais l’auteur de Rust faisait apparemment référence aux « rouilles » biologiques, qui sont les maladies dues à des champignons, les Pucciniales, qui donnent ainsi un aspect rouillé aux plantes parasitées, comme la rouille grillagée du poirier. Graydon Hoare a choisi ce terme, pour s’inspirer de ces champignons qui sont extrêmement sophistiqués dans leur capacité à survivre, comme on pourrait le vouloir pour nos programmes.

Aller plus loin

  • # La clavier donne déjà une indication

    Posté par  . Évalué à 4 (+3/-1).

    Du côté des arguments contre les astérisques, la conception Unix traditionnelle cache la longueur du mot de passe pour contrer les attaquants observant de loin, préservant une norme de sécurité de 46 ans même si imparfaite

    Ça veut dire quoi observant de loin ? Un espion caché dans le buisson ? Parce que même sans feedback, si t'es pas sourd c'est assez facile d'estimer la taille du mot de passe via le bruit du clavier

    • [^] # Re: La clavier donne déjà une indication

      Posté par  . Évalué à 4 (+4/-0).

      Ah non, j’ajoute toujours des frappes sur backspace lorsque je saisis mon mot de passe car je suis un manchot 😅

      ou si je ne fais pas d’erreur de saisie, c’est parce que je copie-colle depuis un gestionnaire de mots de passe. 😇 Donc une seule frappe (ou clic)

    • [^] # Re: La clavier donne déjà une indication

      Posté par  . Évalué à 1 (+1/-2).

      Ça ressemble quand même vachement à du whataboutisme, ton argument. Parce que si je résume, ça ressemble fort à: "Oui, mais quid du bruit du clavier ?"

      0. Assume good faith 1. Be kind to other people 2. Express yourself 4. Apply rule 0

    • [^] # Re: La clavier donne déjà une indication

      Posté par  (site web personnel) . Évalué à 5 (+3/-0).

      C'est pour ça que je mets toujours du metal à fond quand je suis sur mon ordi

    • [^] # Re: La clavier donne déjà une indication

      Posté par  (site web personnel, Mastodon) . Évalué à 1 (+0/-1).

      Mon clavier ne fait pas de bruit humainement audible.
      Et je rejoins le commentaire qui pointe le whataboutisme : on a déjà un truc pour les entendants, ajoutons un truc pour les voyants ?

      “It is seldom that liberty of any kind is lost all at once.” ― David Hume

      • [^] # Re: La clavier donne déjà une indication

        Posté par  (courriel, site web personnel) . Évalué à 3 (+1/-0).

        C'est pas parce que tu ne l'entends pas que ça n'est pas exploitable. Mais les side-channels acoustiques c'est has-been. On en est aux lasers pour observer les mouvements de l'arrière de l'écran de ton laptop ou de ton ordiphone.

        Cela dit, rien à voir avec sudo etc effectivement.

        pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

        • [^] # Re: La clavier donne déjà une indication

          Posté par  (site web personnel, Mastodon) . Évalué à 2 (+0/-0).

          Je sais bien, et c’est pourquoi je précisais « humainement » ;) En vrai, même dans ce cas, il se peut qu’une ouïe fine perçoive plus que les autres… Et n’oublions pas aussi l’aspect relatif du bruit (par exemple mon TypeMatrix je l’entends chez moi où c’est calme alors que je ne l’entends pas dans l’openspace au boulot où c’est bruyant)

          “It is seldom that liberty of any kind is lost all at once.” ― David Hume

      • [^] # Re: La clavier donne déjà une indication

        Posté par  . Évalué à 3 (+2/-0).

        L'espionnage de l'utilisation des matériels remonte à loin et est riche, notamment pour le clavier-écran.

        TL;DR : On a pu espionner notamment l'usage du clavier par de nombreuses techniques, notamment électromagnétiques, optiques, sonores, mécaniques. Et tenter de s'en prémunir.

        Les anciens se rappellent de TEMPEST Telecommunications Electronics Materials Protected from Emanating Spurious Transmissions dont les origines sont la 2GM sur des fuites observées sur un système de chiffrement Bell 131-B2.

        Bien sûr, cela a évolué :
        - en 1985 Wim van Eck, démontre l'espionnage électromagnétiques d'un écran, et ainsi de voir ce qu'il affiche, par la suite appelé « rayonnement de Van Eck » (Van Eck phreaking).
        - En 2008, des étudiants suisses de l'EPFL espionnaient un clavier à 20 mètres de distance.

        Ce ne sont que quelques un parmi des exemples publics.

        Par la suite, c'est devenu un domaine complet en sécurité informatique : les SCA - attaques par canal auxiliaire ou par canal latéral (en anglais : Side-Channel Attack). Cela ne cherche pas à casser directement un système de sécurité informatique, mais va rechercher et exploiter des failles dans son implémentation (logicielle ou matérielle).

        On peut estimer qu'un particulier chez lui fait face à peu de risques, ou qu'il fait face à d'autres risques bien supérieurs. En revanche, quand on est à l'extérieur/à l'étranger, les risque d'espionnages sont plus élevés dans tous les domaines.

        Pour s'en prémunir, les professionnels, militaires et États ont accès à des matériels certifiés protégés au niveau "Tempest", justement nommé, comme ces divers "matériels durcis" contre les éléments et les espionnages. Voir les classifications NATO (OTAN) SDIP-27

    • [^] # Re: La clavier donne déjà une indication

      Posté par  (site web personnel) . Évalué à 2 (+0/-0).

      Perso j'ai un équipement « de sécurité » aux touches molles et parfaitement inaudibles. Par contre lorsqu'on tape le PIN le caractère frappé est dévoilé avant d'être masqué.

      Adhérer à l'April, ça vous tente ?

  • # sxlock a une option sympa

    Posté par  . Évalué à 6 (+4/-0).

    sxlock, un outil de verrouillage d'écran, a deux options rigolotes :

    -l: derange the password length indicator
    -p passchars: characters used to obfuscate the password

    La première affiche un nombre aléatoire d'étoiles chaque fois qu'on tape une touche.
    La seconde remplace les étoiles par d'autres caractères.

    Utilisée comme ceci :

    sxlock -l -p "m'enfin"

    si on a pour mot de passe plop, on verra sur l'écran s'afficher m'enfin, possiblement répété grâce à l'option -l qui va ajouter de la longueur dans l'affichage.

    • [^] # Re: sxlock a une option sympa

      Posté par  (courriel, site web personnel) . Évalué à 3 (+1/-0). Dernière modification le 10 avril 2026 à 10:25.

      Je pense qu'ajouter deux nouvelles options pour contrôler le mode d'affichage correspondrait très bien à la philosophie de développement de sudo.

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

    • [^] # Re: sxlock a une option sympa

      Posté par  (site web personnel) . Évalué à 1 (+0/-0).

      sxlock

      Pas dans les paquets Debian :-(

      La première affiche un nombre aléatoire d'étoiles chaque fois qu'on tape une touche.

      C'était la proposition que j'allais faire pour mettre tout le monde d'accord (inspiré pour le coup, par NT, qui ne le fait pas en direct mais sur les contrôleurs de domaine par exemple, les points affichés à la place des mots de passe, de toute façon chiffrés, sont en quantité fantaisiste) !

      si on a pour mot de passe plop, on verra sur l'écran s'afficher m'enfin

      "m'en" du coup, non ?

      Ce qui pourrait être sympa, ce serait un compteur, notamment quand on tape un MDP la première fois : "plop" afficherait "1234", "m'enfin" "123456", etc.

    • [^] # Re: sxlock a une option sympa

      Posté par  (site web personnel) . Évalué à 4 (+1/-0).

      Du coup on peut satisfaire tout le monde en ne satisfaisant personne ?

      sxlock -l -p " "

  • # sudo is deprecated

    Posté par  (courriel, site web personnel) . Évalué à 6 (+4/-0). Dernière modification le 10 avril 2026 à 09:47.

    doas me semble une alternative plus viable concernant la sécurité et la maintenabilité.

    $ for d in OpenDoas/ sudo/ sudo-rs/ ; do find $d -type f | egrep '\.(c|h|rs)$' | xargs wc -l ; done | grep total
    3420 total
  178385 total
   43186 total

    2% de la taille de sudo, 8% de la taille de sudo-rs. Faut vraiment avoir des besoins très spécifiques pour vouloir continuer à s'accrocher à sudo(-rs). En plus ça permettrait à ce pauvre Todd C. Miller de faire des trucs plus intéressants.

    D'ailleurs, les distributions GNU/Linux qui se soucient plus de la sécurité que de suivre la mode ou maintenir la plus grande compatibilité historique possible ont fait leur choix.

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # erreur de lien

    Posté par  (site web personnel, Mastodon) . Évalué à 3 (+1/-0).

    Le lien SUDO faille pwfeedback n'est pas bon, puisqu'il renvoit vers la faille de xz.

  • # Problme de claver

    Posté par  . Évalué à 3 (+1/-0).

    C’est bien utile dans un cas : quand on a un clavier qui commence à déconner, avec certaines touches qui ne fonctionnent pas à tous les coups. Si c’est sur un fixe, on change le clavier facilement ; si c’est sur un portable, c’est moins immédiat. Et puis si le portable est globalement en fin de vie et que ça ne se produit pas trop souvent, on peut être tenté de le prolonger comme ça plutôt que de le changer… à condition de réussir à se connecter dessus.

    Ça n’interdit pas, comme suggéré plus haut, d’afficher un nombre aléatoire de caractères pour une frappe. Ce qui serait bien, ce serait un fichier de configuration commun pour ça (affichage ou pas, nombre de caractères aléatoire ou pas…).

    « Le fascisme c’est la gangrène, à Washington comme en Russie. » — adapté de Renaud, Hexagone

    • [^] # Re: Problme de claver

      Posté par  (site web personnel, Mastodon) . Évalué à 2 (+0/-0).

      Tu veux pas plutôt dire une configuration perso ?
      Et sinon, pour ton titre, le clavier s’est trompé ; je pense que c’est « problm d clavir »

      “It is seldom that liberty of any kind is lost all at once.” ― David Hume

      • [^] # Re: Problme de claver

        Posté par  . Évalué à 2 (+0/-0).

        Tu veux pas plutôt dire une configuration perso ?

        « Commun » dans le sens commun à tout ce qui demande un mot de passe : le gestionnaire de connexion graphique, le prompt login du mode texte, su, sudo…

        « Le fascisme c’est la gangrène, à Washington comme en Russie. » — adapté de Renaud, Hexagone

        • [^] # Re: Problme de claver

          Posté par  (site web personnel, Mastodon) . Évalué à 2 (+0/-0).

          Ah, un/une programme/brique commun/commune …avec une configuration perso alors ? Parce que, sur une même machine, Pierrette peut vouloir que rien ne s’affiche dans sa session tandis que Paulette peut vouloir autant d’astérisques que de caractères et Jacqueline trois astérisques par caractère etc.

          “It is seldom that liberty of any kind is lost all at once.” ― David Hume

      • [^] # Re: Problme de claver

        Posté par  . Évalué à 3 (+1/-0). Dernière modification le 17 avril 2026 à 15:02.

        je pense que c’est « problm d clavir »

        Chez lui ce sont le "i" et le "è" qui ont disparu, le "e" fonctionne bien, du coup il ne peut pas écrire "La disparition", mais il peut écrire "La perte" par exemple.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.