Journal MALWARE LINUX

Posté par  .
Étiquettes :
5
10
déc.
2009
On vient de découvrir un malware dans un .deb sur gnome-look

Bien sûr, c'est un incident isolé, mais nos distribs ne sont pas prêtes à lutter contre ce genre d'attaque.

Pour cela, il faudrait:

A) Empêcher l'installation
Mais un script d'installation d'un .deb a tout pouvoir sur le système. Qu'il soit signé ou pas, d'ou qu'il vienne. Il n'existe pas (ou alors, de façon confidentiel) d'anti virus qui empêcherait ce genre d'attaque.

B) Permettre à l'utilisateur de s'apercevoir de l'attaque
Mais les parefeux applicatifs n'existent pas. Ainsi, un accès furtif vers l'extérieur n'est pas détecté.

C) Supprimer le malware
Aujourd'hui, on ressort des lignes de commandes de 20 lignes. Pas très user friendly. De même, il n'existe pas d'anti-malware en standard

Décidément, linux n'est pas prêt pour le desktop de madame Michu.

Que ceux qui ont déjà vérifié un paquet sur gnome-look (considéré à tort comme un site de confiance) me jette la première pierre.

http://linux.slashdot.org/story/09/12/09/2215253/Malware-Fou(...)

  • # Pas un problème

    Posté par  (site web personnel) . Évalué à 9.

    Ce n'est pas un problème, et encore moins un problème des distributions, si un utilisateur installe des trucs hors distribution.

    Si Linux n'est pas prêt pour le bureau de Mme Michu, ce n'est pas pour cette raison. Cette brave dame n'a aucune raison d'aller sur gnome-look et d'y récupérer des paquets. Elle ferait mieux de se contenter de ce que propose sa distribution.

    • [^] # Re: Pas un problème

      Posté par  (site web personnel) . Évalué à 9.

      Elle ferait mieux de se contenter de ce que propose sa distribution.

      Et si le logiciel qu'elle cherche n'est pas dans sa distribution? Si il y est mais que la version a plus d'un an?

      Tu parles de théorie bisounours "la distribution a tous les paquets du monde", Mme Michu elle, elle est dans la pratique : elle cherche un outil, et fait ce qu'il faut pour, quitte à ne pas te plaire (on lui a dit qu'il y avait plein de logiciel sous Linux, et maintenant on veut la limiter aux pauvres dépôts officiels qui ne contiennent qu'une faible partie des logiciels? Elle va vite retourner sous Windows dans ce cas, au moins la on n'essaye pas de la limiter et il y a des outils de protection)

      Sacré bisounours : dit-moi ce dont tu as besoin, je te dirais comment t'en passer... Mmm Michu n'accepte pas cette réponse.

      • [^] # Re: Pas un problème

        Posté par  (site web personnel) . Évalué à 9.

        Non mais on peut pas blâmer les distributions pour les logiciels tiers.

        Si elle veut donner les droits root a un malware, personne ne pourra l'en empêcher parce que la personne qui a accès physique à la machine a accès à tout. Maintenant on peut mettre en place des systèmes qui gueulent à chaque action que l'on fait ou alors faire confiance à l'utilisateur.

        Il ne faut pas blâmer les distributions (et Windows aussi) dans ce cas. On ne pourra jamais rien faire contre ça, croire le contraire c'est utopique.

        "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

        • [^] # Re: Pas un problème

          Posté par  (site web personnel) . Évalué à 5.

          Sauf que madame Michu s'en tamponne le coquillard (avec un petit balais de crins) de donner les droits root à un malware, ce qui lui importe, c'est que les photos de son petit-rejeton bien-aîmé restent dans l'état où elle les a enregistré. Un malware même sans droit root peut foutre le souk comme il veut, et ça madame Michu, elle aime pas, et même si les sauvegardes, "c'est le bien", elle s'en fout !

          On ne peut pas blâmer les distribs pour ça, mais y'a quand même encore pleins de taf avant que les gens soient linux/bsd/whatever compliant.

          • [^] # Re: Pas un problème

            Posté par  . Évalué à 4.

            oui par contre on peut blamer madame Michu quand/si elle fait sa grosse conne et installe n'importe quoi qui vient de n'importe alors qu'on aura pris soin de lui foutre les 3-4 saloperies nécessaires d'Adobe et autres pour lire ses pages web en Flash de merde.

            heureusement notre proverbiale madame Michu en est bien incapable.

          • [^] # Re: Pas un problème

            Posté par  (Mastodon) . Évalué à 3.

            Avec les disques d'aujourd'hui il serait assez simple de rendre une distrib Michu-proof: une espèce de TimeMachine sur une partition isolée, avec des droits différents sur cette partition, qui ferait qu'un script avec les droits de Germaine Michu ne pourrait pas effacer ce qui s'y trouve.

          • [^] # Re: Pas un problème

            Posté par  . Évalué à 3.

            Si j'avais à lui installé son ordinateur à madame Michu, je lui créerais des partitions de tel sorte que les partitions des exécutables soient montés en lecture seule et que les partition où l'on peut écrire sont monté avec l'option « noexec » (et je monterais pas /boot). Personnellement je ne ferais pas de mise à jour pour madame Michu, mais on peut imaginer une mise à jour qui consiste à redémarrer pour tout monter (sauf /home) en lecture/écriture (mais pas de session graphique) on fait la mise à jour automatique, redémarrage tout aussi automatique et hop ! C'est mis à jour.

            Alors oui ça coûte 2 redémarrages mais madame Michu accepte bien les redémarrage. Et oui ça empêche l'installation de paquets par d'autre biais, mais ça c'est pas forcément un mal (et on peut imaginer un logiciel d'« installation » qui enregistre le paquet pour l'installer via le double redémarrage.

            Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

      • [^] # Re: Pas un problème

        Posté par  . Évalué à 10.

        l'hôpital qui se fout de la charité.

        La michu va retourner sous windows parce elle peut attraper un truc pas bo en installant un logiciel qui n'est pas fournis par sa distribution ! ! !

        Sous windows, sa distribution elle lui fournis tellement de logiciel, que sous windows, les sites de la distribution, c'est télécharger.com. et hack.ru alors je ne sais pas comment te le dire mais....

        A force de vouloir défendre, on en arrive à dire des anneries.

        • [^] # Re: Pas un problème

          Posté par  (site web personnel) . Évalué à -7.

          La michu va retourner sous windows parce elle peut attraper un truc pas bo en installant un logiciel qui n'est pas fournis par sa distribution ! ! !

          Parce qu'elle peut installer un logicel connu et être protégé tout en essayant plein de logiciel, faire ce qu'elle aime : que l'ordinateur fasse ce qu'elle demande, pas qu'on l'a limite à "sa distribution" (qui ne contiendra JAMAIS tout ce qu'elle demande, du fait de licences et que le net change tous les jours).

          A force de vouloir défendre, on en arrive à dire des anneries.

          Je t'aide : http://www.avast.com
          C'est gratuit, et ça scanne tous les installeurs, ça protège beaucoup.
          Certes, ce n'est pas intégré à Windows (quoique, maintenant il y a Windows Defender), mais ça a l'intérêt d'exister.

          Quand on ne connait pas une plate-forme, on évite d'en parler : il vaut mieux un Windows avec Avast qu'un Linux sans aucune protection, les malware et compagnie arriveront sous Linux dès que les parts de marché seront intéressantes, avec les mêmes problèmes que Windows (les dépôts ne résolvent pas les problèmes, ou alors il faudrait 100x plus de packageurs qui cherchent tous les petits logiciels à intégrer, qu'ils acceptent les licences non open-sources, plutôt que de proposer qu'une partie de ce qui existe. On en est très loin)

          • [^] # Re: Pas un problème

            Posté par  (site web personnel) . Évalué à 4.

            Il existe même des antivirus commerciaux sur Linux :
            http://www.mcafee.com/us/enterprise/products/system_security(...)

            Sinon il y a clamav (et qui est très bon, un test est passé dans un Linux Mag) :
            http://www.clamav.net/

            Et il existe peut-être d'autres, j'en connais que deux. Mais tous les antivirus du monde ne résoudront pas ce problème. Windows a ce même problème, ce n'est pas ça qui en fait un système d'exploitation mauvais (mais le "administrateur par défaut" a été un gros souci qui est maintenant corrigé).

            "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

            • [^] # Re: Pas un problème

              Posté par  (site web personnel) . Évalué à -1.

              Est-ce que ClamAV a changé depuis la dernière fois que j'en ai entendu parlé? A ma connaissance, il scanne en différé, après que le mal soit fait, donc complètement inutile sur le PC de Mme Michu (le mal sera fait avant que l'anti-virus se bouge les fesses), seulement sur un serveur de mail.

              Je ne connais pas McAfee sous Linux, mais ça a l'air de mieux répondre, en effet : "continuous on-access scanning". Juste que ça a l'air payant, donc pas accessible à tout le monde, alors qu'il y a quelques noms connus sous Windows, gratuits (et qu'on a déjà la licence de Windows par la vente liée, ça ne compte pas le prix de l'OS du coup)

          • [^] # Re: Pas un problème

            Posté par  . Évalué à 3.

            http://www.avast.com/eng/download-avast-for-linux-edition.ht(...)


            ;-)

            • [^] # Re: Pas un problème

              Posté par  (site web personnel) . Évalué à 2.

              J'ai été eu :-D.

              Bon finalement, il y a de quoi sous Linux, je ne connaissais pas (mais... Aucun n'est libre eh eh eh!).
              Ma réaction reste toutefois valable : les linuxiens sont plus prompt à répondre "limite-toi" plutôt qu'à essayer de comprendre pourquoi Mme Michu a essayer de sortir des limites imposées (et inacceptables pour Mme Michu) par la distribution (à voir la note du premier commentaire qui est à fond dans "limite-toi", j'en fais une généralité)

              • [^] # Re: Pas un problème

                Posté par  . Évalué à 9.

                En même temps, tout ce qu'a besoin Mme Michu pour son utilisation "standard" est déjà intégré aux distributions "MMe Michu Compilant". Alors la Mme Michu qui veut télécharger une application tierce pour un besoin spécifique, c'est plus Mme Michu.

                • [^] # Re: Pas un problème

                  Posté par  (site web personnel) . Évalué à 4.

                  Tu as quelle Mme Michu? La mienne, elle adore les fonds d'écran, les petits trucs qui bougent sur l'écran même si ils ne servent à rien, le petit logiciel nécessaire à son activité que les geeks ne connaissent même pas ce que c'est, et j'en passe. Mme Michu est la plus grosse consommatrice de petit logiciel à la con.

                  Mme Michu est au contraire beaucoup plus utilisatrice d'applications tierces que le geek qui lui a ses outils préférés déjà dans la distrib (puisque libres et utilisés par les packageurs geeks).

                  L'arrivée de Mme Michu sous Linux montre au contraire les limites des dépôts : ils ne peuvent fournir des logiciels très peu utilisés et à la licence non libre, chose que Mme Michu utilise, elle.

                  • [^] # Re: Pas un problème

                    Posté par  . Évalué à 4.

                    Mme Michu est au contraire beaucoup plus utilisatrice d'applications tierces que le geek

                    Super. En ce qui me concerne madame Michu (tm) (r) (c) elle fait du web, du mail et de l'office. Mme Michu est au contraire beaucoup moins utilisatrice d'applications tierces que le geek.

                    facile non ?

                  • [^] # Re: Pas un problème

                    Posté par  . Évalué à 6.

                    C'est pas Md Michu le problème, c'est mr cassecouille, qui lui est un geek, mais un geek qui n'y connait rien, si ce n'est que le bidule, là, il est super cool, et qu'il faut juste le télécharger sur Warez_underground_Fuckthepolice.com, voir carrément ajouter le dépôt associé pour que ça s'installe... La suite vous la connaissez tous, on a tous réparé des PC sur lesquels Mr cassecouille avait sévis.

                    • [^] # Re: Pas un problème

                      Posté par  . Évalué à 5.

                      et on le répare une fois, deux fois peut-etre parce qu'on est bien gentil et qu'elle a quand même des gros seins, mais pas trois parce qu'il faut quand même pas déconner.

                  • [^] # Re: Pas un problème

                    Posté par  . Évalué à 1.

                    Ta Mme Michu n'est pas une Mme Michiu alors ....
                    Mme Michu elle n'est pas capable d'installer ce genre de truc elle-même. Elle allume, clique (quand elle y arrive, rappelle-toi la célèbre réplique "Mais tu sais pas cliquer !!!") sur "mails", "internet" pour acces au web, et "MSN" pour faire de la visioconférence. Mme Michu, elle ne sait même pas qu'on peut modifier l'apparence de son environnement.? Si elle le sait, elle ne le fait pas ele-même, elle demande à quelqu'un de le faire ....

                  • [^] # Re: Pas un problème

                    Posté par  . Évalué à 4.

                    Mauvaise Mme Michu/changer Mme Michu

                • [^] # Re: Pas un problème

                  Posté par  . Évalué à 2.

                  Tiens cette histoire de Mme Michu, ça me donne une idée de distrib : Michu Linux :)

              • [^] # Re: Pas un problème

                Posté par  . Évalué à -1.

                hors sujet, mais le premier commentaire, un poil argumenté, sert aussi de dévidoir à votes. Il est en général plussé largement plus que certains en milieu de thread, certainement parce qu'il est le plus lu.

              • [^] # Re: Pas un problème

                Posté par  (site web personnel) . Évalué à 8.

                J'ai été eu :-D.

                C'est ce qui arrive quand on attaque sur un terrain qu'on ne connaît pas.

                Bon finalement, il y a de quoi sous Linux, je ne connaissais pas (mais... Aucun n'est libre eh eh eh!).

                Si clamav.

                Ma réaction reste toutefois valable : les linuxiens sont plus prompt à répondre "limite-toi" plutôt qu'à essayer de comprendre pourquoi Mme Michu a essayer de sortir des limites imposées (et inacceptables pour Mme Michu) par la distribution (à voir la note du premier commentaire qui est à fond dans "limite-toi", j'en fais une généralité)

                Je penses que les réactions que tu vas voir ici sont des réactions de gens qui ont déjà dépanner beaucoup, beaucoup de machines et qui en ont plein l'os des utilisateurs qui vont à la hache sur le système et qui viennent pleurer ensuite.
                Dès que tu rentres dans ce monde, les gens (et ceux peu importe les systèmes) mettent des limitations. Regarde un administrateur Microsoft sur son parc : GPO a plein tube.
                C'est normal, soit tu limites, soit tu dépannes. Tous les systèmes d'exploitation ont une faille commune, l'utilisateur.
                Si l'utilisateur clique oui sur "êtes-vous certain de vouloir installer ce virus qui va détruire ces données", puis débloquer sur "ceci est un message de votre antivirus, voulez-vous bloquer le virus qui va détruire vos données" et finalement entre le mot de passe administrateur, puis l'empreinte digital, puis ... Ben on peut rien faire, hormis dépanner.

                Ensuite dans le monde des "linuxiens" les limites sont très légères parce que c'est justement un monde où on évite les limites. Regarde ce qu'est devenu Windows, un truc où il faut confirmer trente fois que tu veux bien détruire ton système. Dans les distributions actuelles tu confirmes une fois et ton système est détruit, mais faut pas venir pleurer après.

                C'est surtout une question de mettre la barre à la bonne hauteur et surtout de pouvoir régler cette barre. Sur mon ordinateur personnel, je peux le détruire sans avoir rien à dire, il fait.

                "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

          • [^] # Re: Pas un problème

            Posté par  . Évalué à 4.

            Quand on ne connait pas une plate-forme, on évite d'en parler

            le compliment vaut pour toi aussi. Il me semble que tu n'utilises que windows chez toi, d'après ce que tu as pu dire ici.

            ça protège beaucoup.

            pourtant j'ai déjà vu et dépanné beaucoup d'ordinateurs possédant avast, avg ou genre securitoo (fsecure), pourtant vérolés, malgré l'anti virus. Et pourtant je ne connais pas non plus cette plate-forme, mais j'ai pu aider les M. et Mme Michu en question.

            'Malware has been found hidden inside an innocuous 'waterfall' screensaver .deb

            pourtant déjà sous windows les virus se propagent dans les économiseurs d'écran de ce type, aucune imagination ces pirates, à croire que les gens passent plus de temps à regarder leur économiseur d'écran tourner qu'à travailler sur l'ordinateur...

            À quand les .deb qui ne s'installeront que dans un "bac à sable" sécurisé, pour permettre d'installer des conneries de ce genre sans risque de compromettre les données utilisateurs ou le système ?

            Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

          • [^] # Re: Pas un problème

            Posté par  . Évalué à 9.

            ah ah ah lol

            Le truc de l'informatique, c'est qu'on essaye de faire croire à tout le monde que c'est super simple clic clic et que tout le monde peut faire n'importe quoi.

            Ta michu avec son avast, elle peut très bien installer un truc qui n'est pas dans les signatures et le rm -r, il existe aussi sous windows. Je peux demain faire un tout petit .exe qui efface les dossiers des personnes. Il n'y a que lorsqu'il aura suffisamment prospéré qu'il sera reconnu.

            Il y a deux solutions au problème :

            1 - on se barde d'antivirus et autre truc, si c'est tellement simple, pourquoi il y a autant de Zombies windows ?

            2 - installer une distribution et se tenir à cette distribution.

            Tu renverses le problème de la non fourniture par les serveur winwin de logiciels qui peuvent s'installer facilement et qui sont 'plus ou moins' controllés. Les gens doivent installer toutes ces merdes tierces parce que winwin ne leur fournis pas des logiciels sur leur site. Parceque lorsque tu as _acheté_ winwin tu dois aller sur plein de site zarb pour avoir des trucs qui n'existent pas.

            Ensuite sur les problèmes de logiciels, tu prends des grandes distributions, il y a 99,99% de chances que le logiciel qui te permettent de faire ce que tu veux existe _nativement_ dessus. Parce que, encore une fois, tu inverses le problème : parce que les gens ont pris l'habitude sous windows d'aller chercher partout un truc qui marche et qui explose pas la machine, ils devraient avoir le même comportement sous linux. NON, il y a des tonnes de logiciels dispo.

            Tu vois pour faire de la gestion d'image, sous nux, il y a plein de truc cool, de plus simple aux plus complexe, pas besoin d'aller chercher sur truc.machin.org, il suffit de faire apt-get install. Il faut juste savoir qu'il existe (aptitude est vraiment bien pour cela) et ensuite d'aller voir des scrennshots sur leur site pour voir si cela te plait.
            Alors oui probablement ce qu'il manque c'est un logiciel plus user-frindly eye-candy ou on peut voir le soft, un descriptif, des scrennshots etc...

            Ceux qui ne sont pas open-source, et bien qu'ils ne puissent pas les avoir ne me pose aucun soucis. Les parts de marché linux et du libre vont augmenter, et il n'y aura pas autant de problèmes, même sans anti-chose.

            On a trouvé un malware sur un serveur 'libre' pour linux qui ne représente que 1 du marché% ? cela veut dire que si on trouve plus de 100 malwares pour windows sur des serveurs lambda, linux gagne encore ?

            Et non, le fait que avast existe ne résoud pas le problème, il y a des tonnes de machines windows infectés.

            • [^] # Re: Pas un problème

              Posté par  . Évalué à 4.

              Tout a fait d'accord , le seule chose c'est qu'il peut y avoir des besoins non satisfaits , meme par des logiciels dans les déports , par ce qu'il n'existe pas d'équivalent (ou d'équivalent qui tiennent la route ) .

              Ce qu'il faudrait c'est plus de coopération et plus de moyens pour intégrer les logiciels au dépot officiel , les dépots officieux n'étant que des pis-aller .

              Et sur le point de la coopération , peut etre bien que former la madame michu a la méthodologie de coopération aux communauté auxquelles sa distro appartient peut etre bien plus intéressant surtout sur le long terme .

            • [^] # Re: Pas un problème

              Posté par  (site web personnel) . Évalué à 3.

              Alors oui probablement ce qu'il manque c'est un logiciel plus user-frindly eye-candy ou on peut voir le soft, un descriptif, des scrennshots etc..

              Synaptic le fait !
              Tu lis la description du paquet -> descriptif
              Tu cliques sur "Télécharger une capture d'écran" -> on peut voir le soft

              Bon, ok, tous les logiciels n'ont pas une capture d'écran disponible mais bon, y a tellement de paquets dans Debian que ça doit mettre du temps à tout screenshoter

              Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.

              • [^] # Re: Pas un problème

                Posté par  (site web personnel) . Évalué à 1.

                Synaptic le fait !
                Tu lis la description du paquet -> descriptif

                Et c'est traduit dans la langue de l'utilisateur ou c'est dans une langue étrangère?

                • [^] # Re: Pas un problème

                  Posté par  . Évalué à 4.

                  Ça commence à être traduit, mais c'est pas tous les paquets encore.

          • [^] # Re: Pas un problème

            Posté par  . Évalué à 2.

            et choper un virus quand on a un antivirus est bien-sur impossible c'est connu ...
            faut pas sous estimer madame Michu, même en pratiquant l'abstinence sexuelle elle serait capable de choper le sida
            l'antivirus ne fera que limiter la casse, utiliser Windows même avec un antivirus c'est comme se taper une séropo avec une capote trouée

      • [^] # Re: Pas un problème

        Posté par  (site web personnel) . Évalué à 10.

        Et si le logiciel qu'elle cherche n'est pas dans sa distribution? Si il y est mais que la version a plus d'un an?

        T'as déjà vu Madame Michu installer une debian?

        • [^] # Re: Pas un problème

          Posté par  . Évalué à 2.

          Non, mais une Ubuntu oui. Ma mère l'a installé toute seule à partir des CD que je lui ai fournis.

          Bon, elle a plus d'expérience que la moyenne des gens (elle a commencé sous DOS bien que n'étant pas informaticienne, car elle a suivi les formations adéquates), mais elle a découvert toute seule un système qu'elle n'avait jamais vu auparavant et il faut reconnaître que l'installation d'Ubuntu est réellement plus simple que beaucoup d'autres.

          Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

          • [^] # blague

            Posté par  . Évalué à 3.

            Tu n'as pas compris, c'était pour placer sa vanne que debian est tout le temps dépassée.
            Sauf que l'ubuntu-pas-dépassée l'est en fait aussi : prenons par exemple warsow, disponible en version 0.5 [http://www.warsow.net/?page=download], et bien ubuntu ne package que la 0.42 [http://packages.ubuntu.com/lucid/warsow] au risque de l'impossibilité de jouer en ligne (réduisant énormément l'intérêt du paquet) à cause de versions incompatibles (je n'ai pas testé, peut-être que c'est compatible, mais rien n'est moins sûr).

    • [^] # Re: Pas un problème

      Posté par  . Évalué à 9.

      Et voilà, on évacue le problème. on est les meilleurs, les utilisateurs sont des nazes.

      D'abord, ta chere distribution fournit des logiciels qui récupèrent directement des fonds écrans, écrans de veille... sur gnome-look. Donc bon.

      Ensuite, si j'avais écrit un journal demandant "Comment puis-je avoir un autre écran de veille sympa?" gnome-look aurait été une réponse.

      Donc, ca me parait malhonnête d'évacuer le problème en rejetant la faute sur l'interface chaise clavier,

      • [^] # Re: Pas un problème

        Posté par  . Évalué à -1.

        Sauf que ton kde, te propose de récupérer des plasmoid sur kde-look. Quid de ton contrôle ? Tu doits pouvoir héberger un malware sous ton user, et ce dernier utiliser un port ouvert de ton firewall pour échanger avec l'extérieur non ?

        Certes ce dernier est limité mais quand même.

        Donc non c'est un véritable problème. Il faudrait plus de personnes pour vérifier le contenu "artistique" et faire plus de paquets dans les distributions

      • [^] # Re: Pas un problème

        Posté par  (site web personnel) . Évalué à 1.

        Excusez-moi, je pensais qu'on parlait de Mme Michu, or j'ignorais qu'elle était du genre à vouloir tuner son thème GNOME.

        • [^] # Re: Pas un problème

          Posté par  (site web personnel) . Évalué à 2.

          Parce que sous Windows, elle tune déjà son thème, n'est-ce pas ? Il faut dire que le tuning de thème de Windows, c'est vachement bien fichu et sécurisé…

        • [^] # Re: Pas un problème

          Posté par  . Évalué à 9.

          Tu as vraiment une image erronée de Mdme Michu.

          Si je prends l'exemple de ma maman, elle veut avoir ces petits enfants en fond d'écran. Elle trouve rigolo d'avoir un thème avec des fenêtres rose, et elle choisit son fond d'écran depuis Windows 3.1.

          Et pourtant, elle a du mal avec l'informatique.

          • [^] # Re: Pas un problème

            Posté par  (site web personnel) . Évalué à -1.

            Et elle télécharge ses thèmes pour Windows sous forme d'exécutables sur windows-look, vraiment ?

            • [^] # Re: Pas un problème

              Posté par  (site web personnel) . Évalué à 4.

              Oui!

              Vous vivez ou? Il existe des centaines de sites avec des fonds d'écran qui bougent et tout et tout, le tout dans des .exe.
              C'est très très utilisé par Mme Michu.

              Faut sortir du monde de geek un peu!

              • [^] # Commentaire supprimé

                Posté par  . Évalué à 3.

                Ce commentaire a été supprimé par l’équipe de modération.

                • [^] # Re: Pas un problème

                  Posté par  . Évalué à 2.

                  "Dans la vraie vie, ces madames michus prennent, donc : les taxis non officiels, engagent des plombiers en noirs, ... et puis se plaignent que les taxis c'est de la merde et les plombiers sont des voleurs."

                  .. j'en connais ils en sont pas loin ...

              • [^] # Re: Pas un problème

                Posté par  . Évalué à 4.

                Mais Mme Michu, si elle utilise ce genre de truc, elle ne l'installe jamais : c'est le cousin Robert-qui-s-y-connai qui installe ce genre de truc (au passage avec tous les spywares livrés avec ces cochonneries). Ce Robert-qui-s-y-connait, JE LE DETESTE !!! Il m'a fait passer des soirées horribles (lui et Orange/wanadoo m'ont fait passer de très mauvaises soirées).

          • [^] # Re: Pas un problème

            Posté par  . Évalué à 6.

            Parce qu'il faut installer un .deb pour changer son fond d'écran maintenant ? La photo des petits enfants de ta mère est sur (KDE|gnome)-look ?

            Quand je veux changer de fond d'écran, j'ai une image à téléchargé sur flickr, clique droit sur le bureau et changer de fond d'écran (enfin, maintenant, je fais plus un « cp image .config/wallpaper » et je relance feh).

            • [^] # Re: Pas un problème

              Posté par  . Évalué à 2.

              non en fait c'était pour l'économiseur d'écran.

              Cela dit, c'est vrai que les économiseurs d'écrans installés de base dans certaines distributions avec gnome (vu linux mint par exemple) ne sont pas terribles, entre les 30 trucmachinGL qui nécessitent un support 3D et les 4 qui restent : écran noir, pieds gnome volants (quelle poésie), roschrack psychédélique qui pique les yeux, et défilement du dossier ~/Pictures (dommage, quand on installe un ordinateur pour quelqu'un, ce dossier image est généralement vide...).

              Bref, quelques économiseurs d'écrans simples, sobres ou colorés, mais en 2D ne feraient pas de mal.

              Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: Pas un problème

        Posté par  . Évalué à 6.

        Ensuite, si j'avais écrit un journal demandant "Comment puis-je avoir un autre écran de veille sympa?" gnome-look aurait été une réponse.

        non, "il y a les forums pour cela" aurait été la réponse.

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

    • [^] # Re: Pas un problème

      Posté par  (site web personnel) . Évalué à 3.

      > Elle ferait mieux de se contenter de ce que propose sa distribution.

      Non mais sérieux, tu crois vraiment ce que tu as écris ? ou alors il manque un smiley ...

    • [^] # Re: Pas un problème

      Posté par  . Évalué à -3.

      Je crois que tu peux arrêter l'argumentation du 17eme siècle.

      Mme Michu a le droit d'avoir d'autres logiciels, ou de faire des mises à jour.

      C'est effectivement une contrainte à intégrer.

      Exactement au même titre que la contrainte d'avoir un navigateur ou un pack bureautique dans une distribution "desktop ready".

      Si Linux n'est pas prêt pour le bureau, ca peut etre une cause...parmi d'autres.

      • [^] # Re: Pas un problème

        Posté par  . Évalué à 4.

        A quoi sert un dépôt officiel si ce n'est à pouvoir disposer d'une large logithèque ?

        A quoi sert un dépôt officiel si ce n'est à pouvoir disposer de mises à jour ?

        • [^] # Re: Pas un problème

          Posté par  (site web personnel) . Évalué à 2.

          Le rapport avec la choucroute ? Il me semblait que ça causait d'un .deb sur gnome-look, et non pas d'un paquet officiel d'un dépôt officiel, d'une distribution.

          A moins de restreindre la globalité des applications disponibles dans les dépôts officiels ?? Totalement illusoire et impossible. Il y a aura toujours des sites pour proposé des .bin et des utilisateurs pour les lancer.

          C'est au système de se protéger.
          Et sans vouloir troller je remplacerai bien la phrase
          >nos distribs ne sont pas prêtes à lutter contre ce genre d'attaque.
          par
          >Debian, ubuntu et autres mandrake ne sont pas prêtes pour ce genre d'attaques
          Fedora viens de jeter la première pierre : installation par l'utilisateur de paquets signés. Peut être que la seconde étape sera "installation par l'utilisateur, de paquets 'portenaouake', automatiquement pris en charge par un compte système spécifique, et installés dans un environnement sécurisé -pour le système bien sûr, mais aussi pour les documents utilisateurs, choses bien souvent oubliée par nos linux"
          qui vivra vera.

          • [^] # Re: Pas un problème

            Posté par  (site web personnel) . Évalué à 2.

            C'est vraiment pas un troll, hein, parceque d'une part il s'agit aussi d'un magnifique exemple de ce que peux faire le libre : un "paquet pourri sur gnome-look a été reperé" ... ben moi je dit bravo.
            Et d'autre part parceque l'évolution dites du système d'install de fedora n'est que pure supputations, et nullement quelque chose de réel, même pas une rumeur... juste un truc qui me semble logique (et qui est réalisé a-la-mano pas des joueurs utilisant wine souvent)

          • [^] # Re: Pas un problème

            Posté par  . Évalué à 3.

            Je répondais à la réaction juste au dessus et notamment à la phrase "
            Mme Michu a le droit d'avoir d'autres logiciels, ou de faire des mises à jour." parce que les dépôts officiels sont là pour ajouter des logiciels et faire les mises à jour

            • [^] # Re: Pas un problème

              Posté par  . Évalué à 1.

              Je ne vois pas le rapport, on parle d'un problème sur un dépot officiel (ou du moins de confiance).

              Et on peut considérer qu'on ne trouve pas tout sur les dépots officiels.

    • [^] # Re: Pas un problème

      Posté par  . Évalué à 4.

      Et même si on ne s’appelle pas Mme Michu, on doit se limiter aux paquets de sa distributions???

      Qu’est-ce que ça gueulerait pourtant s’il ne fallait installer sur Windows que les logiciels officiellement empaquetés par M$ sur les serveurs M$.

      Vouloir installer des logiciels en provenance d’ailleurs que les dépôts de sa distribution est, me semble-t-il, un besoin légitime.

      • [^] # Re: Pas un problème

        Posté par  . Évalué à 2.

        bonjour

        C'est déjà le cas, je ne peux installer windows 7 X64 car ma carte scsi adaptec 29160 n'a pas un pilote signé.
        Pour les logiciels (sous windows) Mme Michu utilise souvent que des logiciels pirates ou crackés donc .......et installés par des proches, un minimum de protection est obligatoire.
        Les dépôts sous linux contiennent tellement de logiciels que Mme Michu n'en connait qu'une minorité et il me semble qu'il faut les droits administrateur pour installés certains logiciels.
        Si Mme Michu a fait l'installation elle même c'est Mme Michu geek :)))))

        • [^] # Re: Pas un problème

          Posté par  . Évalué à 0.

          C'est déjà le cas, je ne peux installer windows 7 X64 car ma carte scsi adaptec 29160 n'a pas un pilote signé.

          Si tu peux, tu ajoutes ta signature dans le depot de ton systeme, tu signes le driver avec, et tu installes le driver.

          • [^] # Re: Pas un problème

            Posté par  . Évalué à 4.

            dit comme ça c'est vrai que ça a l'air vachement plus simple que d'ajouter une signature pour un dépôt de paquets...

          • [^] # Re: Pas un problème

            Posté par  . Évalué à 1.

            Bonjour

            Comment faire car je veux faire l'installation directement sur un disque scsi n'ayant pas de disque ide ou sata sur la machine ?
            Adaptec n'a pas encore crée le pilote pour Windows 7 et Microsoft n'a pas mis de "générique" et je le veux pour la version X64 ;)

            Suis-je le seul dans ce cas là ?

  • # Mais oui ...

    Posté par  (site web personnel) . Évalué à 8.

    Bien sûr, c'est un incident isolé, mais nos distribs ne sont pas prêtes à lutter contre ce genre d'attaque.

    Bien entendu, les distributions n'ont pas encore mis un système qui scanne Internet à la recherche de paquets et des les contrôler pour savoir si ceux-ci contiennent des méchants virus.

    Mais un script d'installation d'un .deb a tout pouvoir sur le système. Qu'il soit signé ou pas, d'ou qu'il vienne. Il n'existe pas (ou alors, de façon confidentiel) d'anti virus qui empêcherait ce genre d'attaque.

    Oui bien entendu et un rm est tout aussi puissant que n'importe quel virus (quoique avec les systèmes de fichiers actuels et leur snapshot, je suis plus sûre de rien).

    Rien de bien grave en somme, c'est un problème d'utilisateur qui donne les droits à n'importe quoi et n'importe comment (vas-y que je double-clique sur tous les exe que je trouve, que je dpkg tous les .deb que je trouve et que je rpm tous les rpm que je trouve n'est pas un comportement sans risque).

    "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

    • [^] # Re: Mais oui ...

      Posté par  (site web personnel) . Évalué à 2.

      Bien entendu, les distributions n'ont pas encore mis un système qui scanne Internet à la recherche de paquets et des les contrôler pour savoir si ceux-ci contiennent des méchants virus.

      C'est quoi ce délire? les logiciels Windows répondent bien au besoin, tu veux dire que Linux n'en est pas capable?
      Ah oui : on ne demande pas de scanner tout le net, seulement le paquet qui est en cours d'installation. On sait le faire.

      Oui bien entendu et un rm est tout aussi puissant que n'importe quel virus (quoique avec les systèmes de fichiers actuels et leur snapshot, je suis plus sûre de rien).

      d'où l'intérêt d'outils adaptés. Et oui, Linux devient plus grand public, et on se rend compte que maintenant que les défauts de Windows ne venaient pas de Windows, mais de l'interface chaise-clavier...

      • [^] # Re: Mais oui ...

        Posté par  (site web personnel) . Évalué à 9.

        C'est quoi ce délire? les logiciels Windows répondent bien au besoin, tu veux dire que Linux n'en est pas capable?
        Ah oui : on ne demande pas de scanner tout le net, seulement le paquet qui est en cours d'installation. On sait le faire.

        Tous les anti-virus du monde sur Windows et toutes les pop-up d'avertissement n'ont toujours pas résolu le problème et ne le résoudront jamais. Tu sais pourquoi ? Vas derrière un utilisateur qui travail et regarde le cliquer sur "oui" sans lire ce qui est demandé (même si l'antivirus dit "gros virus énorme").

        les défauts de Windows ne venaient pas de Windows

        Je ne crois pas que Windows soit critiqué parce que l'utilisateur installe tout et n'importe quoi. Faut redescendre sur terre et rester un peu critique.

        "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

      • [^] # Commentaire supprimé

        Posté par  . Évalué à 3.

        Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: Mais oui ...

          Posté par  . Évalué à -1.

          Argument spécieux, le problème de l'arrêt. C'est pas parce que prouver la terminaison d'un programme est indécidable qu'on arrive pas à faire des programmes qui terminent, et même à le prouver dans certains cas ...

          C'est pareil ici, c'est pas parce qu'on peut pas prouver qu'un programme n'est pas malicieux qu'il n'y a pas de technique qui marchent dans certains cas.

        • [^] # Re: Mais oui ...

          Posté par  . Évalué à 2.

          Comme se fait-il alors donc qu'un nombre important de personne qui ne sont pas des madames michu aient néanmoins des gros problèmes de sécurité sous Windows (Ce qui est très rare sous une distib linux) ?

          Moi je suis un gars technique, je vais demander un truc simple: quelle est la difference technique entre un Windows et un Linux qui rendrait Windows plus vulnerable ?
          Parce que bon, si c'est la faute de Windows, alors il doit y avoir un truc dans le design qui en est responsable, pure logique.

          Tant que cette question n'a pas de reponse, j'en deduis que Windows n'est pas moins sur.

          • [^] # Re: Mais oui ...

            Posté par  . Évalué à 6.

            1) Que en gros sous windows tu es obligé de trouver plein de .exe sur telecharge.com ou craks.ru alors que sous linux, en général soit tu ne sais pas faire, soit tu utilises les repos de ta distri ?

            2) winwin _essaye_ de faire croire à tout le monde que c'est simple et clic-clic alors que nunux explique que c'est pas si simple et qu'il faut mieux rester avec ce que l'on a, dans sa distrib ?

            En fait le problème majeur de winwin c'est d'occulter que l'informatique c'est complexe, qu'il y a des concepts à comprendre, pour vendre des machines à tout le monde qui en fait n'importe quoi. et lorsque c'est tellement vérolé que ca met 10 minutes à démarrer, revendre une machine et une license winwin. Avec des techies qui viennent nous expliqué ici que techniquement winwin c'est pas forcement moins bien.

            Le problème de winwin c'est bien plus le coté marketing/mafia que le coté technique.

            • [^] # Re: Mais oui ...

              Posté par  . Évalué à -1.

              1) Que en gros sous windows tu es obligé de trouver plein de .exe sur telecharge.com ou craks.ru alors que sous linux, en général soit tu ne sais pas faire, soit tu utilises les repos de ta distri ?

              a) Pas un probleme technique
              b) Il y a plein de sites genre download.com qui verifient ce qui est telecharge dessus
              c) T'as le droit d'utiliser des LL sous Windows tu sais
              d) Tu es en train de nous dire que Linux a un avantage car les gens ne savent pas installer un soft hors-distrib ? Super, la complexite devient un avantage...

              2) winwin _essaye_ de faire croire à tout le monde que c'est simple et clic-clic alors que nunux explique que c'est pas si simple et qu'il faut mieux rester avec ce que l'on a, dans sa distrib ?

              a) Windows indique clairement aux gens quand ils downloadent qqe chose que c'est potentiellement dangereux, donc non

              En fait le problème majeur de winwin c'est d'occulter que l'informatique c'est complexe, qu'il y a des concepts à comprendre, pour vendre des machines à tout le monde qui en fait n'importe quoi

              En bref, tu te plains qu'on rende l'informatique plus abordable ? Moi je vois ca comme une avancee, chacun son truc...

              • [^] # Re: Mais oui ...

                Posté par  . Évalué à 6.

                >En bref, tu te plains qu'on rende l'informatique plus abordable ? Moi je vois ca
                >comme une avancee, chacun son truc...

                Non vous ne rendez pas l'informatique plus abordable, vous faites croire que l'informatique est plus abordable, c'est différent. La preuve, il y a des millions de machines winwin infectées, la preuve que ce n'est pas plus abordable.

                C'est juste plus abordable financièrement parlant, pas techniquement parlant, si cela'était les machines zombies seraient l'exception.

                Faire croire que les gens peuvent installer n'importe comment, même avec un message que personne ne lit, c'est votre business model mafieux avec les 'produits' dérivés (mac afee, anti chose, firewhose, antimalware, photoshop shareware 30 jours, barre ie8 qui te farcie de pub, barre yahoo, barre truc, barre adobe...)

                L'installation à la porté de tous pour mieux pourrir les machines. C'est ça votre business model et les comportements illégaux de préinstallation forcée.

                • [^] # Re: Mais oui ...

                  Posté par  . Évalué à 1.

                  C'est drole.

                  En fait AmigaOS, Windows, Mac OS, ... sont tous des mafieux, seul Linux le chevalier blanc est sans reproche.

                  Et notre message d'avertissement, c'est bien evidemment notre faute si les gens passent outre, faudrait en fait empecher les gens d'installer les softs qu'ils veulent, c'est ca la liberte de l'utilisateur !

                  • [^] # Re: Mais oui ...

                    Posté par  . Évalué à 3.

                    Franchement le message d'avertissement de ne pas exécuter les trucs téléchargés sans être sûr de leur provenance arrive beaucoup trop tard : c'est pas une fois téléchargé qu'on va vérifier, ça devrait être avant. Donc du coup, ce genre de message ne fait qu'agacer l'utilisateur, qui répond "**tain oui, c'est pour ça que je l'ai téléchargé, arrête de me casser les pieds" à la questions 'êtes vous sûr ..."

                    • [^] # Re: Mais oui ...

                      Posté par  . Évalué à 1.

                      C'est un peu dur de le faire sans telecharger, tu as besoin de telecharger la chose pour savoir si c'est un executable, un jpeg, etc... et savoir si l'executable est signe, et si oui par qui

                      • [^] # Re: Mais oui ...

                        Posté par  . Évalué à 3.

                        Je ne dis pas le contraire, seulement je ne m'étonne pas du tout que ce message n'ait aucun effet et soit plutôt mal perçu.

              • [^] # Re: Mais oui ...

                Posté par  . Évalué à 5.

                "a) Windows indique clairement aux gens quand ils downloadent qqe chose que c'est potentiellement dangereux, donc non"
                Le problème, c'est qu'il l'indique pour tout et n'importe quoi, au point que ça devient un réflexe pavlovien chez ses utilisateurs (tous, même les utilisateurs avancés) de cliquer sur "oui je confirme" sans prendre la peine de vérifier.

                • [^] # Re: Mais oui ...

                  Posté par  . Évalué à 2.

                  video, images, texte, html, ... il ne le fait pas.

                  Evidemment pour ce qui est executable c'est un risque, normal de l'afficher a ce moment la.

          • [^] # Re: Mais oui ...

            Posté par  . Évalué à 4.

            Je tente ma chance : le fait que sous Windows, on a été pendant des années en droit d'admin par défaut ? Que c'est encore à moitié le cas avec Vista (je sais pas où ça en est dans Seven) vu qu'il demande pas de mot de passe, juste une confirmation ?

            Je gagne quoi ? Pas une licence Windows, j'espère...

            • [^] # Re: Mais oui ...

              Posté par  . Évalué à 1.

              De nouveau, pas un probleme technique, si tu lis le post d'alenvers, ils parle specifiquement de gens qui ne sont _pas_ Mme Michu, ces gens la, ils savent creer un compte utilisateur et utiliser runas.

              Sinon, en passant, Vista/Win7 ont seulement le 1er compte comme admin(avec confirmation), les autres sont user simple

              • [^] # Re: Mais oui ...

                Posté par  . Évalué à 6.

                Merci pour la précision pour Vista/Seven...
                Par contre, le coup de passer en compte utilisateur et d'utiliser 'runas', j'ai testé plusieurs fois (quand j'étais sous XP) : ça a merdé dans pas mal de cas !
                Des softs (dont des jeux comme "Les Sims") refusaient de s'exécuter de cette façon ! Obligé de passer par le compte admin, du coup...
                Tu me répondras sans doute que MS n'est pas responsable de la façon dont ce jeu (pour rester sur mon exemple) a été développé, et je te rétorquerais alors (oui, j'aime bien rétorquer, pas vous ?) que si MS n'avait pas merdé pendant tout ce temps en laissant les utilisateurs avec un compte admin par défaut, les éditeurs de logiciels n'auraient pas pris de mauvaises habitudes.
                Tiens, je me pose d'ailleurs une question (rhétorique, car je crains que la réponse soit difficile à trouver) : quelle est la proportion de logiciels propriétaires et de logiciels libres incapables de tenir compte des comptes "non-admins" ?
                Je vais m'avancer en misant sur une proportion en faveur des LL (surtout s'il s'agit de LL mutli-plateformes).

                • [^] # Re: Mais oui ...

                  Posté par  . Évalué à 2.

                  Tu me répondras sans doute que MS n'est pas responsable de la façon dont ce jeu (pour rester sur mon exemple) a été développé, et je te rétorquerais alors (oui, j'aime bien rétorquer, pas vous ?) que si MS n'avait pas merdé pendant tout ce temps en laissant les utilisateurs avec un compte admin par défaut, les éditeurs de logiciels n'auraient pas pris de mauvaises habitudes.

                  Ben c'etait un peu le probleme de l'oeuf et la poule (softs Win9x qui ont besoin d'admin), mais la plupart des softs "normaux" (= pas les jeux qui ont tendance a acceder au systeme de maniere esoterique) tournent a travers runas

                  Tiens, je me pose d'ailleurs une question (rhétorique, car je crains que la réponse soit difficile à trouver) : quelle est la proportion de logiciels propriétaires et de logiciels libres incapables de tenir compte des comptes "non-admins" ?
                  Je vais m'avancer en misant sur une proportion en faveur des LL (surtout s'il s'agit de LL mutli-plateformes).

                  Probablement oui

              • [^] # Re: Mais oui ...

                Posté par  . Évalué à 4.

                Lors de ma dernière installation Linux, on m'a demandé un mot de passe pour le compte administrateur (root), qui est créé par défaut, et aussitot apres, creation complete d'un utilisateur 'de base', et c'est ce dernier qu'il est conseillé d'utiliser, et l'ouverture de session graphique ne présentera que cet utilisateur.

                Tu nous dit que sous Vista/7 seulement le premier compte est admin, donc si je ne crée qu'un seul compte, et la plupart des gens n'ont pas besoin de plus, alors c'est un compte admin...

                Tu vois la différence ? En ne créant que le strict nécessaire (un seul user), sous Win c'est un administrateur, sous Linux non.

                Mais je te l'accorde, ce n'est absolument pas un probleme technique, c'est juste une histoire d'ergonomie, domaine qui n'a jamais été le fort de Windows.

                • [^] # Re: Mais oui ...

                  Posté par  . Évalué à 0.

                  C'est un compte admin oui, mais avec droits reduits la plupart du temps, plutot qu'entrer un mot de passe, faut clicker "Ok" quand un changement doit etre applique au systeme lui meme, partant de la, ca revient un peu au meme. Un soft qui veut faire le con dans les parametres systemes causera des pop-ups constants

                  • [^] # Re: Mais oui ...

                    Posté par  . Évalué à 4.

                    Pour toi, cliquer 'OK' et saisir son mot de passe, c'est du pareil au même ? Je commence certaines choses...
                    Pour moi, et pour pas mal de monde, les pop-up qui apparaissent sans arrêt, ça un effet malsain, car on finit par ne plus les lire. Alors qu'une pop-up qui me demande mon mot de passe, je vais prendre le temps de lire pourquoi elle me le demande !
                    La différence est peut-être trop subtile...

                    • [^] # Re: Mais oui ...

                      Posté par  . Évalué à 2.

                      "Je commence à comprendre certaines choses..."
                      J'en viens à bouffer des mots, désolé.

                    • [^] # Re: Mais oui ...

                      Posté par  . Évalué à 0.

                      Ce pop-up apparait *exactement* dans les memes circonstances que le pop-up du password pour un user standard, c'est en fait exactement le meme pop-up, simplement vu que tu es admin, plutot que te demander ton mot de passe(ca on sait que tu le connais), il te demande d'approuver l'operation, et par defaut il est sur "annuler"

                      • [^] # Re: Mais oui ...

                        Posté par  . Évalué à 2.

                        C'est bien ce que je dis : Windows se contente de te demander de confirmer ceci puis cela puis...
                        Bref, quand t'en as vu plusieurs qui s'enchainent, y a un moment où tu ne fais plus attention et où tu te contentes de cliquer. Puisque c'est la même pop-up, pourquoi ne pas réclamer le mot de passe ? Même si c'est l'admin ? Car après tout, on s'en fout que lui connaisse son mot de passe, ce qu'on veut c'est s'assurer que c'est bien lui, et surtout attirer son attention en réclamant ce qui est le plus important (son mdp).

                        • [^] # Re: Mais oui ...

                          Posté par  . Évalué à -1.

                          Car après tout, on s'en fout que lui connaisse son mot de passe, ce qu'on veut c'est s'assurer que c'est bien lui, et surtout attirer son attention en réclamant ce qui est le plus important (son mdp).

                          Non, l'objectif principal c'est :

                          a) Forcer les softs existants a ne plus avoir besoin d'etre admin
                          b) Detecter toute tentative de modification en douce du systeme

                          Demander le mot de passe a l'admin a chaque fois, niveau qualite d'utilisation c'est vraiment pourri, lui demander son autorisation avec un click, c'est un peu chiant mais c'est certainement bcp plus agreable d'utilisation.
                          Niveau securite ca ne change rien, car ces pop-ups ils ne se produisent pas 40 fois par jour hein, tu utilises Office+Firefox+MPlayer/Media Player+Paint.NET ou Gimp etc... tu ne le verras jamais, c'est uniquement quand tu veux faire un changement au systeme qu'il apparait.

                          • [^] # Re: Mais oui ...

                            Posté par  . Évalué à 1.

                            Raison de plus pour demander le mdp de l'admin ! Comme ça, il tiquera bien plus en voyant que certains de ses softs tentent d'accéder à des privilèges d'admin, et il se posera des questions...
                            Mettre juste une pov' pop-up à-la-con disant "êtes-vous sûr de vouloir faire ça ?", je trouve ça bien moins précis qu'une pop-up disant "pour faire ça, vous devez indiquer votre mot de passe d'administrateur".

                            Mais bon, on va pas tergiverser toute la nuit là-dessus : on sait parfaitement que MS en avait quelque chose à cirer de la sécurité, ils n'auraient pas foutu des comptes admin par défaut, et ils n'auraient pas mis ces pop-up avec juste 2 boutons OK/Annuler. Non, ils auraient pris exemple sur le monde Unix (par ex.) en ayant recours à un compte root bien à part, qui peut même ne pas être loggué graphiquement !
                            (ça dépend de la config)

                            • [^] # Re: Mais oui ...

                              Posté par  . Évalué à -2.

                              Mettre juste une pov' pop-up à-la-con disant "êtes-vous sûr de vouloir faire ça ?", je trouve ça bien moins précis qu'une pop-up disant "pour faire ça, vous devez indiquer votre mot de passe d'administrateur".

                              Euh t'as visiblement jamais vu le pop-up, le pop-up dit tres explicitement que l'application est en train d'essayer d'acceder au systeme.

                              Mais bon, on va pas tergiverser toute la nuit là-dessus : on sait parfaitement que MS en avait quelque chose à cirer de la sécurité, ils n'auraient pas foutu des comptes admin par défaut, et ils n'auraient pas mis ces pop-up avec juste 2 boutons OK/Annuler.

                              Visiblement tu as un mal fou a imaginer qu'un mode autre qu'Unix peut fonctionner. Mais bon, chacun ses preferences.

                              Non, ils auraient pris exemple sur le monde Unix (par ex.) en ayant recours à un compte root bien à part, qui peut même ne pas être loggué graphiquement !

                              logge graphiquement ? gni ?

                              • [^] # Re: Mais oui ...

                                Posté par  . Évalué à 3.

                                "logge graphiquement ? gni ? "
                                C'est à dire que root ne peut pas s'identifier au prompt graphique et ne peut donc pas lancer Gnome/KDE/whatever... Le système le refuse !
                                Ça évite donc de se retrouver avec une session graphique où tout est lancé en root et où la moindre couille peut te foutre tout le système en vrac sans crier gare... En gros, ne pas faire comme fait XP !

                                • [^] # Re: Mais oui ...

                                  Posté par  . Évalué à -1.

                                  Root oui, mais quand tu regardes les utilisateurs standards et tout ce qu'ils peuvent faire avec sudo, ca n'a quasiment aucune difference avec le systeme de Windows, notamment dans le cas ou sudo ne demande meme pas de mot de passe ou d'autorisation.

                                  • [^] # Re: Mais oui ...

                                    Posté par  (site web personnel) . Évalué à 2.

                                    Bon ça c'est un choix de distribution, c'est délicat de se prononcer sur "c'est bien, c'est mal". Par exemple dans l'installation de base, Debian n'installe pas sudo, Ubuntu installe sudo configuré pour fonctionner sans mot de passe.

                                    En même temps, et pour être honnête, je penses que la plus part des utilisateurs veulent pouvoir installé n'importe quoi et amener réparer si c'est cassé. Il faut les fouetter avec un barbelé rouillé, mais je m'emporte, je m'emporte.

                                    C'est comme si un revendeur installait Windows avec l'UAC désactiver par défaut (never notify). Pour certaines personnes je le fais (pas l'UAC, le sudo sans mot de passe) et pour d'autre j'installe openSSH, no-ip ou dyndns et je gère moi. C'est la seule solution.

                                    "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

                                    • [^] # Re: Mais oui ...

                                      Posté par  . Évalué à 3.

                                      sudo configuré pour fonctionner sans mot de passe.

                                      T'es vraiment sur de cela? Il me semble que cela n'est pas le cas. Enfin sur la version que j'ai eu recemment en main c'etait pas(plus?) le cas. Des ubuntuiste pour confirme/infirmer?

          • [^] # Re: Mais oui ...

            Posté par  (site web personnel) . Évalué à 3.

            La logique de séparation des droits qui est récentes dans Windows mais éprouvée dans l'univers Unix.

            Maintenant il est vrai que Windows devient de plus en plus "unix" parce que justement, c'est dur de faire mieux et grand public à la fois. Mais Windows souffre beaucoup de cet absence de séparation des droits et Microsoft doit recourir à la "virtualisation" des applications pour que les applications pré-"Windows avec séparation des droits" puissent continuer à fonctionner normalement (ou alors couper avec ça, mais ça fait beaucoup trop d'applications qui risquent de ne plus fonctionner et Microsoft a déjà assez souffert de la cassure dans le domaine des drivers sur Vista).

            Ensuite durant longtemps Microsoft a refusé de travailler avec les standards et a tenté de réinventer la roue, on se souvient particulièrement du hachage des mots de passe LanMan et NTLM. Maintenant Microsoft est passé à Kerberos et ça va mieux (mais doit toujours supporté ces trucs d'antan).

            La preuve du temps. Maintenant que Microsoft implémente des sécurités comme la séparation des privilèges et tout ça, il faut que ces sécurités soient prouvées sur la durée, donc encore bien 5 ou 10 ans à traîner cette réputation de gruyère ...

            "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

            • [^] # Re: Mais oui ...

              Posté par  . Évalué à 4.

              La logique de séparation des droits qui est récentes dans Windows mais éprouvée dans l'univers Unix

              Ahahahah, heureusement que le ridicule ne tue pas.

              Je peux le faire aussi?

              La gestion des ACL qui est recente dans l'univers Unix mais eprouvee sous Windows.
              L'interface utilisateur graphique qui est recente sous Linux mais eprouvee sous Windows.

              Ah ouais, ca marche, suffit juste de prendre "recent" comme egal a "15 ans ou plus".

              • [^] # Re: Mais oui ...

                Posté par  (site web personnel) . Évalué à 3.

                Les prémices c'étaient NT/2k avec le multi-utilisateur, mais pas de possibilité d'effectuer une opération avec des droits élevés par l'utilisateur, XP c'est devenu fonctionnel mais sans plus, Vista c'est le début d'un truc utilisable mais trop bavard, 7, je sais pas.

                "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

              • [^] # Re: Mais oui ...

                Posté par  (site web personnel, Mastodon) . Évalué à 0.

                L'interface utilisateur graphique qui est recente sous Linux mais eprouvee sous Windows.

                Je peux le faire aussi ?

                ah ah ah ah

                • [^] # Re: Mais oui ...

                  Posté par  (site web personnel) . Évalué à 2.

                  Tu peux.
                  Les principes de X datent de 1984.
                  XFree semble avoir débuté en 1992.

                  Bon, c'était pas la même interface à l'époque que ce qu'on trouvait dans MacOS ou sous les Windows 3.x, mais c'était là.

                  Et perso, quand j'ai démarré sous Linux, il y avait XFree.

                  Python 3 - Apprendre à programmer dans l'écosystème Python → https://www.dunod.com/EAN/9782100809141

            • [^] # Re: Mais oui ...

              Posté par  . Évalué à -1.

              La logique de séparation des droits qui est récentes dans Windows mais éprouvée dans l'univers Unix.

              Recente ? Marrant, elle est la depuis la naissance de Windows.
              Qu'on se comprenne hein, Win9x et NT, c'est pas les memes OS au cas ou tu n'aurais pas remarque.

              Maintenant il est vrai que Windows devient de plus en plus "unix" parce que justement, c'est dur de faire mieux et grand public à la fois.

              Pas de bol, NT est inspire de VMS, dont il partage le meme auteur, pas d'Unix.

              La preuve du temps. Maintenant que Microsoft implémente des sécurités comme la séparation des privilèges et tout ça, il faut que ces sécurités soient prouvées sur la durée, donc encore bien 5 ou 10 ans à traîner cette réputation de gruyère ...

              Je me demandes comment tu oses dire que tu sais administrer un systeme Windows quand tu sors des phrases de ce genre, sachant que NT a une separation de privileges bien plus fine qu'Unix depuis 1992

              • [^] # Re: Mais oui ...

                Posté par  (site web personnel) . Évalué à 3.

                On parlait de Mme Michu là. Mme Michu c'est Win 3.1, Win95, Win98, Win Me et Win XP ... Pour le reste on en discutera lors d'un débat sur les serveurs.

                "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

                • [^] # Re: Mais oui ...

                  Posté par  . Évalué à -1.

                  Win 3.1, Win95, Win98, WinME ce n'est pas le meme OS que XP/Vista , ce sont deux lignees d'OS fondamentalement differents.

                  • [^] # Re: Mais oui ...

                    Posté par  (site web personnel) . Évalué à 2.

                    Oui mais le sujet était le système de Mme Michu, donc dans ce cas là c'est la liste que j'ai donnée. Donc Mme Michu a la séparation des privilèges depuis XP ... C'est tout nouveau pour elle. Le grand publique découvre avec XP la séparation des privilèges, il faut attendre 5 à 10 ans qu'il s'habitue ...
                    Le problème des logiciels malveillants sont rares sur les ordinateurs des professionnels de l'informatique (enfin je supposes que ceux qui bossent là-dedans font attention).

                    "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

                    • [^] # Re: Mais oui ...

                      Posté par  . Évalué à 1.

                      J'ai peut être tort, mais il me semble que la séparation des droits n'est pas si fine que ça dans Xp édition familiale.

                  • [^] # Re: Mais oui ...

                    Posté par  . Évalué à 2.

                    C'est quoi qui fait que ce sont des nouveaux OS ? Changement de noyau ?

                    Si c'est le cas ne compare ces OS propriétaires qu'avec des distribution d'après 2003 date de sortie de linux 2.6.

                    Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                    • [^] # Re: Mais oui ...

                      Posté par  . Évalué à 0.

                      Il y a peu pres tout qui est different, le noyau, l'architecture generale, etc... Ca serait plus court de demander ce qui est commun. C'est un peu comme si je te disais que Linux et MS-DOS sont communs car en ligne de commande ils se ressemblent visuellement.

                      Sinon, XP c'est 2001, annee ou le kernel 2.4 est sorti

      • [^] # Re: Mais oui ...

        Posté par  . Évalué à 4.

        Arrête un peu de faire ta chochotte.
        Ce n'est pas les malware sous windows qui sont critiqués (installer un programme qui lance une commande qui fait chier, ça reste compliqué à détecter)
        Ce sont les virus qui sont critiqués : les saletés qui arrivent chez toi sans intervention de ta part, qui s'installe et ont tous les droits, qui se répliquent et se propagent à volonté. Alors peut être que Linux en aura un jour son lot mais pour l'instant ça reste très limité.
        Il faudrait comparer ce qui est comparable.

        Et tu te plains plus haut de l'attitude fermée des linuxiens. Là encore arrête de faire ta mijoré. Si tu n'adoptais cette attitude permanente et pénible du jusquauboutisme (et donc obtu) dans la défense de Windows, tu obtiendrais peut être des réponses différentes ...

    • [^] # Re: Mais oui ...

      Posté par  . Évalué à 1.

      idem https://linuxfr.org/comments/1089415.html#1089415

      Personnellement, je suis contre les scripts dans paquets. C'est une hérésie qu'on puisse écrire un rm / -rf dans un .deb

      Ou alors, il faudrait en truc en LUA/JVM, contrôler par la distrib qui autoriserait l'accès à tel ou tel ressource suivant la confiance accordé au paquet.

      • [^] # Re: Mais oui ...

        Posté par  . Évalué à 4.

        S'il n'y a pas de rm / -rf, il suffit d'un paquet qui contient que des fichiers vide et qui remplace la plupart des fichiers connus par un fichier vide (dont le /home).

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Mais oui ...

          Posté par  . Évalué à 2.

          non, un paquet ne remplace pas un fichier qui n'est pas à lui.

          il y a divert pour contourner cette situation, sinon en bourrinant il y a --force-overwrite mais là... c'est un peu du masochime quand même

          • [^] # Re: Mais oui ...

            Posté par  . Évalué à 2.

            Exact. En tout cas, sous Debian dont c'est le sujet du journal, on a droit à une erreur de conflit de paquets.

            Sur RPM, c'est autre chose me semble-t-il : un paquet RPM peut remplacer un fichier qui n'est pas à lui, mais à condition d'utiliser l'option « -U » (pour update, ce qui justifie le remplacement) plutôt que « -i » (installation).
            Mais j'avoue ne plus en être sûr, il faudrait que je teste en détail.

            Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

            • [^] # Re: Mais oui ...

              Posté par  . Évalué à 3.

              Même pas, un -U te permet d'upgrader un paquet mais pas qu'un paquet marche sur les pieds d'un autre

              Si tu veux vraiment jouer à ça, et c'est bien entendu vivement déconseillé, c'est le flag --force qui le permet

        • [^] # Re: Mais oui ...

          Posté par  . Évalué à 1.

          Mais à ce moment là, il y aura un conflit avec les paquets déjà installés contenant ces fichiers...
          Et le paquet malware ne pourra pas être installé par Mme Michu.

          • [^] # Re: Mais oui ...

            Posté par  (site web personnel) . Évalué à 1.

            Oui mais le /home est pas installé par des paquets...

            Est-ce que dpkg refuse aussi d'écraser un fichier (sans force-overwrite) si il existe sur le filesystem mais non référencé dans un paquet ou il fait juste ça pour les fichiers qu'il connait dans sa base ?

            Dans le cas 1, ce qui est décrit est possible sans warning, dans le cas 2 effectivement on est "protégé" de ça.. mais pas des scripts de postinstall.

      • [^] # Re: Mais oui ...

        Posté par  (site web personnel) . Évalué à 7.

        Tu entends quoi par être contre les scripts dans les paquets ?

        Non parce que même si tu vires les scripts de configuration (nécessaires pour plein de trucs, mais bon...) il reste de possibilité de déposer un fichier dans /etc/cron.d/ ou autre part.

      • [^] # Re: Mais oui ...

        Posté par  (site web personnel) . Évalué à 1.

        Le paquet est installé avec des droits root donc il peut faire ce qu'il veut car il peut placer les fichiers qu'il veut où il veut.
        Donc /etc/profile.d/, /etc/cron.hourly/, /etc/event.d/, /etc/xinetd.d/, /etc/bash_completion.d/ et j'en passe.

        • [^] # Re: Mais oui ...

          Posté par  . Évalué à 2.

          justement, mon brouillon d'idée est qu'un paquet devrait demandé (et donc être autorisé) à installer des fichiers dans /etc/profile/ ... ou encore installé un prog setuid.

          Parce qu'à part des programmes bien spécifiques, la majorité des programmes (surtout utilisateur) ont juste besoin d'installer des fichiers dans /usr/lib et /usr/bin.

          • [^] # Re: Mais oui ...

            Posté par  (site web personnel) . Évalué à 2.

            Parce qu'à part des programmes bien spécifiques, la majorité des programmes (surtout utilisateur) ont juste besoin d'installer des fichiers dans /usr/lib et /usr/bin.

            Ce qui est déjà très dangereux. Un paquet tout bête peut voir besoin d'installer un binaire dans /usr/bin : si tu mets un avertissement pour ça, tu vas pourrir tout le monde à chaque paquet. Donc, concevons un paquet qui met un /usr/bin/ls qui lance ls, puis, silencieusement, envoie ton profil Firefox par courrier électronique à quelqu'un d'autre. Gênant, non ?

            Des cas comme ça, on peut en trouver plein de différents, et il est très difficile, et peut-être même impossible, de les identifier tous. Le vrai problème, c'est qu'installer un logiciel, c'est dangereux, point. Si le logiciel en question ne provient pas d'une source vérifiée, en qui on a confiance, il ne faut pas l'installer.

            • [^] # Re: Mais oui ...

              Posté par  (site web personnel) . Évalué à 2.

              Ah, excusez-moi, mon exemple est plus compliqué que nécessaire. Pour prouver que le risque réside dans le simple fait d'installer un logiciel : pour installer un logiciel malicieux sur un système, il suffit de proposer un paquet contenant un binaire – normal – qui fait des saloperies en plus de son comportement normal.

              Bref, pas besoin de remplacer quoi que ce soit, quand on installe un paquet, l'étape dangereuse, ce n'est pas en particulier les scripts du paquet, ni les remplacements qu'il peut faire, non, c'est l'installation tout court !

    • [^] # Re: Mais oui ...

      Posté par  . Évalué à 5.

      que je dpkg tous les .deb que je trouve

      Ouais, ça je connais. Mon gamin a un peu abusé du --force --vazy --adonf sur sa Bubuntu, et ça a donné ça : http://foo.buvette.org/vrac/errordeb.html qui montre bien l'étendue des massacres possibles. Et si ça se trouve, dans les .deb qu'il a installé à la rache, il y avait un vilain truc.

      Bubuntu, à force de vouloir rendre Linux abordable par madame Michu (et sa nièce, que je salue au passage) a réussi à en faire un vrai clône du modêle original. Difficile de dire si c'est un progrès ou non, mais les conséquences de ce genre vont être de plus en plus courantes, hélas.

      • [^] # Re: Mais oui ...

        Posté par  (site web personnel) . Évalué à 7.

        Tu sais mes apprentis on réussi à rendre inutilisable une Debian stable, alors rien ne m'étonne. Par contre le fait de leur avoir fait recopier la moitié des fichiers dans /etc à la main semble les avoir calmé.

        "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

        • [^] # Re: Mais oui ...

          Posté par  . Évalué à 10.

          « Tu me copieras 100 fois le fichier /etc/X11/xorg.conf et avec les commentaires dans une autre couleur ! Et tu as de la chance que ça ne soit pas du XML ! »

          Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

          • [^] # Re: Mais oui ...

            Posté par  (site web personnel) . Évalué à 5.

            Non j'ai juste dit qu'il fallait une copie des fichiers de configuration avant de réinstaller ... Un des deux a pris une clé USB et a copié dessus, l'autre à pris du papier et commencé à copier les fichiers à la main ... Quand j'ai vu ça j'ai agrandi aussi sec la liste des fichiers nécessaires (comme je regrette de ne pas avoir mis /etc/services et /etc/mime.types).

            "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

          • [^] # Re: Mais oui ...

            Posté par  . Évalué à 1.

            Tu me copieras 100 fois le fichier /etc/X11/xorg.conf et avec les commentaires dans une autre couleur

            Bah, le petit drôle va torcher ça en 20 minutes avec un peu de Python qui fabrique du Xml/Css...

            Je préfère qu'il apprenne à installer une Slackware et un OpenBSD, ce qui sera bien plus instructif. Une fois passé le rite initiatique du disklabel, il deviendra plus prudent dans ses expériences nainformatiques :)

  • # SeLinux

    Posté par  . Évalué à 6.

    SeLinux configuér correctement n'est-il pas sensé lutter contre ça?

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Au contraire

    Posté par  (site web personnel, Mastodon) . Évalué à 10.

    Il ne faut pas, contrairement à ce que l'on croit, renforcer la sécurité ou mieux éduquer les utilisateurs.

    Le problème est tout autre : il faut diminuer les faux positifs !


    Exemple : apt prévient déjà lorsqu'un paquet ou un dépôt n'est pas signé. Problème : il est très difficile d'ajouter une clé pour un dépôt donné.

    Personnellement, j'utilise 4 dépôts hors-distrib (PPA) et j'ai donc, à chaque fois, des erreurs me disant que ces paquets ne sont pas signés que les dépôts sont inconnus. La procédure pour ajouter ces dépôts à mes "clés de confiance" est tellement complexe que je ne sais jamais comment faire (et en plus, ça ne marche pas derrière un proxy). Du coup, je m'habitue aux messages d'erreurs et ne ferais pas attention si une 5ème erreur de signature se glisse dans le tas.


    On observe le même phénomène avec cet imbécile de firefox et de site non-signé. Un certificat self-signé ou expiré est tellement fréquent et tellement difficile à outrepasser que l'on s'habitue et l'on ne s'étonnerait pas de le voir sur le site de sa banque. Alors que si rajouter une autorité de signature était facile, on en utiliserait des libres beaucoup plus facilement, que si les erreurs de certificat n'étaient importantes que lorsqu'on poste des informations (pas en lecture seule donc) et avec différents degrés (un certificat expiré depuis hier est moins grave qu'un certificat non-signé).


    Paradoxalement, Il faut donc permettre à l'utilisateur d'outrepasser facilement la sécurité afin de la renforcer.

    Si apt, au lieu de me sortir une erreur cryptique GPG, me disait : "Ce dépôt/paquet n'est pas reconnu. Voulez-vous désormais lui faire confiance? Attention, ce-faisant, faites entièrement confiance à l'éditeur XXX de ne mettre à votre disposition que des logiciels sécurisés et non-infectés".

    Si ce message n'apparaissait que rarement, avec l'ajout d'un nouveau dépôt, l'utilisateur s'inquiéterait peutêtre et se poserait la question. Et si malgré tout l'utilisateur se fait piraté, il ne peut pas s'en prendre à la distribution : il était prévenu et, le message étant rare, il n'a pas du cliquer "par réflexe".

    Mes livres CC By-SA : https://ploum.net/livres.html

    • [^] # Re: Au contraire

      Posté par  (site web personnel) . Évalué à 5.

      Carrément d'accord.
      Mais personnellement je mettrai une limite, limite qui n'est pas seulement 'philosophique' mais aussi 'pragmatique' : je ne vois pas pourquoi je devrais permettre une confiance absolue à l'éditeur XXX, alors que le système permet de construire une confiance intermédiaire.
      L'éditeur XXX, cad hors dépôts officiels, pourrait être interdit de remplacer n'importe quelle brique du système, et être interdit de déposer dans le système lui même, tout simplement. Sans pour autant interdire à l'utilisateur, effectivement, de choisir de faire confiance à cet éditeur.
      Un méchanisme -présenté grossièrement ici- tel que :
      >"tiens c'est un paquet non officiel... Voulez-vous désormais lui faire confiance? Attention, ce-faisant, faites entièrement confiance à l'éditeur XXX de ne mettre à votre disposition que des logiciels sécurisés et non-infectés"
      L'utilisateur clique "ok"
      Et le système s'occupe de chrooter tout cela dans /opt... Rien, et aucun scripts %pre ou autre, venant de ces paquets ne devraient pouvoir toucher au système lui même : automatiquement redirigé vers un 'container', avec -et depuis- un compte d'installation, pour ces paquets externes, spécifique.

      Actuellement on est resté sur un mode très binaire, qui montre ses limites : t'es root, ou pas. Alors qu'il me semble que de nombreuses distributions, dans leurs versions serveurs, configurent le nécessaire, un compte intermédiaire. Dans le même esprit, mais pas dans le même objectif. Gnu/Linux est un système fantastiquement maléable, mais peu en profite vraiment.

      On pourrait peaufiner cela en appliquant des acl par défaut sur les ~ afin que tout /opt ne puisse avoir accès à ~. Mais là cela pourrait restreindre l'usage de certains logiciels... donc peut être pas par défaut.

      en tout cas, j'avoue que le mélange des genres dans le gestionnaire de paquets me fait un peu peur... Permettre à n'importe quel "partenaire" d'installer ses applications depuis le gestionnaire de paquets, pour des logiciels pas libres... je reste dubitatif, et pas seulement philosophiquement. Je préfèrerai un système libre, et avec éventuellement des applications pas libres mais "statiquées, bordélisées et containérisées", dans un /opt. Ou chaque brique du système est prévue pour cette gestion. Au final, l'utilisateur clique sur "ouaih ze veux installer ce super prog de la mort qui tue", le système lui permet, OK, mais le système se protège.

      mes 2 cents

    • [^] # Re: Au contraire

      Posté par  (site web personnel) . Évalué à 1.

      J'ai pas la syntaxe exacte, et ce n'est pas un truc qu'on fait tous les jours, donc désolé : man ou google apt-key -> y a juste une commande à taper avec la bonne syntaxe pour accepter une nouvelle clé gpg.

      Alors oui, ça serait peut-être plus simple si apt posait directement la question, mais combien répondrait Y sans réfléchir vraiment à la confiance à accorder à la provenance du .deb ? (Problème d'éducation de l'utilisateur évoqué plus haut).

      Enfin j'ai lu qu'en diagonale le journal, ça changerait rien au problème, car le paquet malicieux était peut-être tout de même bien signé.

      Je partage l'avis de se limiter aux paquets fournis par sa distribution, aussi frustrant que cela puisse être.

    • [^] # Commentaire supprimé

      Posté par  . Évalué à 2.

      Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Commentaire supprimé

        Posté par  . Évalué à 2.

        Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: Au contraire

        Posté par  (site web personnel, Mastodon) . Évalué à 5.

        1) c'est ultra barbare comme commande, reconnaissez-le

        2) ça ne marche pas derrière un proxy car la majorité des serveurs de clé utilisent un autre port que 80. C'est bête hein.


        Cette réponse fait partie des solutions de type "attend, je te balance 15 commandes, y'a plus de problèmes". Cela n'apporte rien rien rien !

        Soit l'utilisateur ne sait pas taper la commande et il s'habitue aux erreurs : mauvais
        Soit l'utilisateur sait taper la commande et dans ce cas, il aimerait avoir un boutton pour ne pas avoir à s'en rappeler.

        Mes livres CC By-SA : https://ploum.net/livres.html

        • [^] # Commentaire supprimé

          Posté par  . Évalué à 2.

          Ce commentaire a été supprimé par l’équipe de modération.

        • [^] # Re: Au contraire

          Posté par  . Évalué à 3.

          Cela dit tout bon dépôt devrait fournir à ses utilisateurs la commande magique à taper pour intégrer la clef. C'est d'ailleurs ce qu'ils font en général. Ouvrir une console, taper une commande par copier coller, ce n'est pas la mort non plus ! (qui n'a jamais fait démarrer/exécuter sous windows ?)

          • [^] # Re: Au contraire

            Posté par  . Évalué à 2.

            Ouais, et on voit ce que ça donne: un beau malware dans un dépôt qui propose d'ajouter sa clef, ce que tout le monde s'empresse de faire. Ça marche nickel. Un dépot signé avec GPG, et hop! sans taper de passphrase (le truc chiant pour indiquer que toi, humain, tu signes la clef GPG d'un autre humain), tu demandes à ton système de lui faire confiance.

            "Vois-tu, ho système, dès que je suis root, je te dirai de faire confiance à ce dépôt, et d'exécuter en tant que root les scripts qu'il contient."

            Faudrait redescendre sur terre, et oui ça concerne aussi madame Michu: ajouter la clef d'un dépôt, c'est comme confier les droits roots à celui ou ceux qui gèrent le dépôt. Puisqu'il peut nous proposer des scripts qu'on téléchargera et exécutera en tant que root en toute confiance.

            On ne peut pas auditer soi-même tout le code qu'on utilise, mais entre faire confiance aux gens de Debian, et faire confiance aux gens de Debian + à ceux de 36 000 dépots tiers montés il y a 2 ans par d'illustres inconnus, il y a une marge, non?

            THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

  • # La faute à qui?

    Posté par  . Évalué à 3.

    Si vérification il doit y avoir, elle est auprès du site qui met à disposition les paquets en premier lieu.

    Ensuite, madame Michu, avant de passer à Linux, il faudrait qu'elle ai un minimum de connaissance en informatique, genre les truc à ne pas faire. C'est d'ailleurs quelque chose que Md Michu devrait avoir même si elle reste sous Windaube : Il ne faut pas écouter les vendeurs qui garantissent une sécurité absolu, parce que c'est un mensonge. C'est, à mon sens, un autre objectif du libre : que les gents prennent un minimum conscience de leur outils.

    Dans tout les cas, je ne vois pas vraiment comment faire autrement que créer des anti-spyware et d'installer un anti-virus (ça existe déjà sous Linux il me semble). Libre à toi de développer ces outils si ils te semblent nécessaires, je suis sur que tu trouvera preneur.

  • # Enfin !!!

    Posté par  . Évalué à 10.

    Enfin, Linux a des virus ! Enfin Linux n'est plus épargné ! Enfin, Linux est prêt pour le desktop !
    \o/
    À nous les Norton Antivirus qui vous bouffent tout le proco (sans doute pour ne pas laisser de ressources aux virus), à nous les alertes et pop-up à tire-larigot pour nous demander si on est vraiment sûr de vouloir déclencher l'airbag faire ce qu'on vient 3 fois de confirmer, à nous les coups de fil à pas d'heure de madame Michu, mamie Huguette, tatie Jeannine et cousin Kevin nous demandant de venir de toute urgence pour nettoyer son ordi que "non, je sais pas comment ce fichier pr0n.jpg.bin est arrivé là..."

    • [^] # Re: Enfin !!!

      Posté par  . Évalué à 1.

      N'empêche que c'est pas faux : si Norton et compagnie se mette à sponsoriser l'installation de Linux sur les machines neuves comme il le fait sous Windows en espérant obtenir de nouveaux abonnements, il est possible que bien plus de constructeurs se mettraient à considérer Linux !

  • # Conseil...

    Posté par  . Évalué à 10.

    Suite à cette détection de malware, les sites de sécurité conseillent de ne plus utiliser et de désinstaller GNOME et d'utiliser un autre gestionnaire de bureau!!

    Bien entendu ->[]

    • [^] # Re: Conseil...

      Posté par  . Évalué à 4.

      Trop gros, passera pas: il y a longtemps que plus personne n'utilise Gnome. Cette alerte ne concerne que des gens ayant installé Linux il y a une dizaine d'année, et n'ayant pas upgradé depuis, les sites de sécurité ne s'embêtent pas avec eux.

      • [^] # Re: Conseil...

        Posté par  . Évalué à 1.

        Je sais maintenant d'où vient la rumeur comme quoi GNOME ne possède aucune fonctionnalité.

        J'ai utilisé GNOME pour la première fois avec GNOME 1.2 (sortie en 2000, soit il y a 9 ans) et il était pas des masses avancé alors un GNOME d'une dizaine d'années (soit avant la version 1), je veux même pas savoir....

  • # Re:

    Posté par  . Évalué à 2.

    Que ceux qui ont déjà vérifié un paquet sur gnome-look (considéré à tort comme un site de confiance) me jette la première pierre.
    Généralement je ne télécharge rien de dangereux sur les *-look, des pack d'icônes (sans installeur), des wallpapers... Si je veut un truc genre gtk-engine je préfère passer soit par ma distrib, soit par le site officiel du projet (plus à jour) si pas de paquet pour ma distrib.

    • [^] # Re: Re:

      Posté par  (site web personnel, Mastodon) . Évalué à 5.

      Même chose pour moi, je ne prends que des données sur les *-look. Je m'amuse pas à installer le moteur Aurora en utilisant un paquet sur *-look mais en utilisant mon gestionnaire de paquets. Par contre, aucun souci à utiliser un style Aurora (pour continuer dans cet exemple) dispo sur un site *-look. Ce n'est que des données, sans package et qui "s'installe" (extraction + copie) pour l'utilisateur en cours, pas pour le système.

      Et puis bon, le titre du journal est un peu faux. Que je sache les distro Linux n'utilisent pas toutes des ".deb". C'est quoi cette généralisation à la con ?

      • [^] # Re: Re:

        Posté par  . Évalué à 10.

        Les auteurs de virus vont pas être contents, s'ils doivent générer un .deb pour telle distro en version X, X-1 et X-2, un .rpm pour telle autre, un source.tar.gz, etc. Ils vont recevoir des mails d'utilisateurs qui se plaignent (hein Zenitram ;) ).

  • # Mauvais Titre !

    Posté par  . Évalué à 5.

    C'est n'est pas un malware linux. Pour être plus précis, c'est un malware Debian. Voir même un malware Gnome !

    • [^] # Re: Mauvais Titre !

      Posté par  . Évalué à 2.

      Correction : Ce n'est pas un malware DEBIAN, mais un malware DEBIAN-LIKE (UBUNTU, KNOPPIX, Damn Small Linux, Linux MINT....)
      Sur ce, je ne suis pas sur qu'il soit impossible de transformer le paquet deb en rpm...

    • [^] # Re: Mauvais Titre !

      Posté par  . Évalué à 9.

      Ça serait gentil de ne pas oublier qu'il n'aurait jamais pu être réalisé sans des outils existants depuis longtemps avant Debian, Gnome et Linux. Et ces appellations ne mettent pas assez l'accent sur cet héritage, ni sur les principes à l'origine du logiciel libre. C'est un GNU/malware.

      • [^] # Oulah!

        Posté par  . Évalué à 7.

        Toi tu vas t'faire malware!

        (pardon)

  • # Heureusement que c'est pas comme sous windows

    Posté par  . Évalué à 3.

    A voir le troll au dessus, je me dit qu'heureusement que les utilisateurs de windows ne se lance pas dans un énooooorme troll a chaque fois qu'un malware est découvert.

    Est-ce car les utilisateurs de windows trollent moins ou est ce qu'ils ont l'habitude des malware ?

    • [^] # Re: Heureusement que c'est pas comme sous windows

      Posté par  . Évalué à 1.

      [méchant gratuit]
      Ha ben tu sait, les troll sous windows sont un peut limités : vu le niveau intellectuel du ouindosien moyen...
      [/méchant gratuit]

      Plus sérieusement, vu la palette d'outils/applications/composant supporté, t'as pas beaucoup de chois, alors a part troller sur bloquenote Vs Wordpad... je te laisse imaginer comme c'est intéressant comme troll...

  • # Réchauffé

    Posté par  (site web personnel) . Évalué à 3.

    >Bien sûr, c'est un incident isolé

    Pas vraiment, ça a juste pris du temps. Ça fait tout de même 3 ans qu'on nous a fait remarquer qu'ajouter des dépôts sans se poser la moindre question c'était mal : http://www.flickr.com/photos/trevi55/296804891/
    Il va sans dire que télécharger des paquets depuis n'importe où n'est pas mieux.

    > Il faudrait empêcher l'installation.

    C'est le cas, seul le super-utilisateur a le droit d'installer des paquets. Or le super-utilisateur connaît les risques (puisque sudo les énumère).

    > Il faudrait supprimer le malware
    > on ressort des lignes de commandes de 20 lignes.
    Les lignes de 20 lignes, c'est bizarre, mais bon, si vous voulez, je fais un .deb qui ajoute un bouton sur le bureau qui exécute le script...

    > Que ceux qui ont déjà vérifié un paquet sur gnome-look (considéré à tort comme un site de confiance) me jette la première pierre.

    Qui le considère comme un site de confiance ? Je pense qu'aucun utilisateur n'a jamais vérifié des paquets de gnome-look parce que ceux qui sont suspicieux n'auraient pas l'idée de télécharger des paquets là.

    > Il n'existe pas d'anti malware en standard.

    Il en existe pourtant. rkhunter, chkrootkit, il y a même des antivirus.

    > Décidément, linux n'est pas prêt pour le desktop de madame Michu.

    Décidément, on prend madame Michu pour une conne.

  • # Parefeu applicatif

    Posté par  . Évalué à 1.

    En fait ça exister avant dans iptables :
    http://www.debian-administration.org/articles/120

    mais il semblerai que la solution soit nufw (serveur + client) sur la machine
    http://www.nufw.org/

  • # Mouai

    Posté par  . Évalué à 7.

    À la vue de tout les commentaires condescendants sur mme Michu et sur l'idiotie crasse dont il faut faire preuve pour utiliser des dépôts non officiels je me demande combien de nos amis linuxfriens tellement supérieurs n'ont jamais téléchargé de paquet non packagés par la distrib, de logiciel non packagés (les sources en tgz ça compte aussi), appliqué des patchs sans les relire, utilisé des applications utilisées par 3 pelés dans le monde développé par je ne sais qui, ajouté des dépôts qui ont le logiciel qu'on veut, utilisé un plugin trouvé à l'arrache sur internet etc. J'ai un peu l'impression que c'est l'hôpital qui se fou de la charité.

    Le seul modèle de défense est la confiance et miser sur le fait que si y'a un truc vilain la masse des utilisateurs finira par le voir. Quand on y réfléchi, la chaine de confiance n'est pas bien solide....

    J'anticipe deux réponses: gagner le root sur une station de travail n'est pas ce qui embête l'utilisateur ça permet juste de faire plus de choses à l'attaquant; et gagner le compte utilisateur sur une station de travail, c'est gagner le root d'ici 5 minutes à 1 semaines.

    • [^] # Re: Mouai

      Posté par  . Évalué à 4.

      À la vue de tout les commentaires condescendants sur mme Michu et sur l'idiotie crasse dont il faut faire preuve pour utiliser des dépôts non officiels je me demande combien de nos amis linuxfriens tellement supérieurs n'ont jamais téléchargé de paquet non packagés par la distrib, de logiciel non packagés (les sources en tgz ça compte aussi), appliqué des patchs sans les relire, utilisé des applications utilisées par 3 pelés dans le monde développé par je ne sais qui, ajouté des dépôts qui ont le logiciel qu'on veut, utilisé un plugin trouvé à l'arrache sur internet etc. J'ai un peu l'impression que c'est l'hôpital qui se fou de la charité.

      ... Jamais sur une machine qui me sert, mais parfois sur des machines de test. Et je sais à quoi m'attendre.

    • [^] # Re: Mouai

      Posté par  . Évalué à 2.

      Ce n'est pas une question de root.

      si tu n'es pas sur ta machine, tu fais très attention et tu n'installes pas à tort et à travers. Sur la tienne, tu sais ce que tu fais en compilant du code sans le relire en provenant d'un endroit que tu ne connais pas.

      ok, le serveur tartempion que tu connais peut très bien être compromis mais effectivement la chaîne de confiance c'est que plein de gens reluque le code.

      C'est déjà bien plus rassurant que la chaîne de confiance d'un winwin ou c'est juste "ça peut pas péter ,c'est sur clubic."
      Que même si ça fait pété la tienne de machine, on va t'expliquer que c'est parce que tu es une brélouze, que l'autre qui si connaît ca marche bien chez lui et tu ne pourras pas vérifier car tu n'a pas le code.
      Peut être que l'autre qui si connaît, sa machine a pété aussi et il s'en aperçoit pas, ou il dit rien juste pour te traiter de brélouze, va savoir. Rien ne dit que ce que dit pbpg soit vrai, qu'il ne réinstalle pas régulièrement, chez lui ou sa soeur/mère/tante/42. Moi je ne connais personne autour de moi sous windows ou il n'y a jamais de problème. C'est que je dois être une brélouze. Même l'expert forestier avec qui je bosse lorsqu'on en parle me dit que dans ses relations, il n'y a pas une semaine ou quelqu'un n'est pas en rade avec son ordinateur. Un de mes clients web a perdu cette semaine une bonne partie de ses fichiers suite à ??? un truc qui a planté et un point de restauration qui s'est mal fait. Mais je dois être une brélouze de connaître que ces brélouzes.

      Depuis quelques temps je n'exécute plus un seul script tiers sans l'avoir lu. même de hp, les flashtruc, installation de driver etc....

    • [^] # Re: Mouai

      Posté par  (site web personnel, Mastodon) . Évalué à 4.

      J'étais comme ça au début mais je t'avoue avoir beaucoup changé :

      - Je n'utilise plus que les paquets Ubuntu ainsi que quelques PPA. Lorsque j'ajoute un PPA, je regarde qui en est l'auteur et je cherche si il a un certains passé libriste et j'estime si je peux lui faire confiance.

      - Si le paquet est fourni directement sans dépôt, je ne le prends que sur le site officiel du logiciel et cela a du m'arriver 2 fois à tout casser. (genre pour VirtualBox)

      - Je relis tous les scripts.

      - Tout ce qui n'est pas paquet deb, je le lance d'abord dans le compte d'un utilisateur de test et jamais jamais en root.


      Mais force est de constaté que, depuis presque 2 ans, les logiciels qui ne sont pas dans les dépôts de ma distrib se raréfie à l'extrême. Et quand ce n'est pas le cas, je poste une demande de packaging pour debian, une fois sur deux, j'ai le paquet (6 mois plus tard mais quand même, c'est pas mal non?).

      Ouais, on devient parano, mais j'ai déjà vu des sales blaques genre "fais un rm -rf / pour voir" cachés dans des scripts obfusqués, juste pour se moquer des débutants.

      Mes livres CC By-SA : https://ploum.net/livres.html

  • # Le grand troll des "virus sous linux"

    Posté par  . Évalué à 0.

    Ce n'est gênant que sur des gestionnaires de paquets avec script de post-install comme apt*, remarque.
    Un « vrai » paquet c'est une archive qui va mettre des fichiers inertes (et le gestionnaire de paquets s'assure qu'il n'en remplace pas) dans une partition...

    Question de gestion, encore une fois.
    Il n'est pas arrivé celui qui fera exécuter du code avec des privilèges non nuls sur mon pc !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.