Christophe a écrit 465 commentaires

Je ne comprends pas vos deux réponses: il faut la clé pour activer la backdoor, pas pour s'en protéger… L'État n'a pas besoin de (et ne doit pas) la partager avec qui que ce soit.

Après, pour les utilisateurs de webmails, ça devient plus compliqué, mais là encore, c'est intégré de nos jours dans la plupart des webmail.

C'est probablement l'un des freins principaux: GMail ne l'intègre pas, et ne le fera sûrement jamais. Et on parle de milliards d'utilisateurs, même si certains ne l'utilisent pas en webmail.

un État qui a tout intérêt à déstabiliser à grande échelle le réseau mondial

Ou plutôt, un État qui a tout intérêt à avoir accès à une backdoor bien placée. Ce qui réduit la liste des États à… tous les États.

Je pense que tout ça va juste obliger les gens à utiliser un gestionnaire de mot de passe comme bitwarden & co, et celui-ci se chargera de synchroniser/sauvegarder ça.

On va donc éviter la réutilisation de mot de passe, ainsi que les mots de passe faibles. Pour le reste, j'imagine que c'est assez équivalent. Peut-être que ça améliore aussi les problèmes liés aux piratages des bases de données de mot de passe ?

Peut-être aussi qu'une vieille Wii non brickée est devenue tellement inutile (grâce à ce même Nintendo) qu'elle est juste mise au rebus ? Par exemple, le disque du jeu est devenu illisible, et impossible de charger une copie de la ROM depuis une clé USB.

Il "suffit" de faire valider le hack. Je doute que la fiabilité du hack soit plus faible que l'utilisation de vieilles disquettes 5"1/4. De toutes façon on est déjà dans une situation de type "hack", avec du matériel qui est probablement en fin de vie depuis des années, et peu claquer ou mal-fonctionner d'un jour à l'autre.

C'est amusant, en regardant la vidéo d'origine de ABC7, on sent que bien peu des intervenants dans la vidéo ont connu cette époque…

• La journaliste parle bien de disquette 5"1/4, mais montre en permanence une disquette 3"1/2
• Un intervenant affirme qu'à son inauguration en 1998, le système était l'état de l'art… On en doute quand même. Les disques durs existaient depuis longtemps, et la disquette 5"1/4 appartenait déjà au passé depuis une décennie.
• Clou du spectacle, lorsqu'une petite fille montre la disquette 3"1/2 de la journaliste à sa maman et lui demande ce que c'est, la maman lui explique "C'est un disque dur (hard disk) !"

Leur système semble donc bien fragile en effet. Pourtant, je serais surpris qu'il ne soit pas possible de brancher un petit disque dur sur le bousin pour quelques centaines de dollars…

Je me demande, en voyant cela, à quel point les envois de données vers les RTB sont réduits (ou non) par l'usage d'un bloqueur de pub style uBlock Origin. Est-ce que ça change sensiblement la donne ? Est-ce que ça arrive trop tard ou passe à côté ?

Pour moi, en tant qu'usager lambda d'internet, c'est un des rares leviers que je vois pour contrer cette effusion de données personnelles…

Pas forcément, il dit qu'il n'a toujours pas reçu l'autorisation. À mon avis le département juridique ne veut pas se mouiller, il n'aura jamais de réponse.

Ça reste du code dupliqué et non trivial (on n'est pas sur 3-4 lignes, là).

Demander de refaire complètement l'architecture de la libsystemd

Euh, on parle de séparer un .so en deux, ou même de juste construire (et rendre dispo) un .a statique intermédiaire. Ça demande de sélectionner quel code va dans la lib de base, c'est tout.

Les dev systemd font des choses bien plus impactantes à chaque version; le dlopen par exemple n'est pas forcément plus simple à faire.

Pour rappel, un commentaire sur GitHub avance une liste des logiciels où cela permettrait de réduire les dépendances. 150 duplications de code, tout va bien…

Une macro dans un .h permettrait aussi de résoudre le problème. Ce n'est pas non plus ce qu'a choisi systemd, qui préfère donner une implémentation de référence dans la doc. Ceci dit c'est peut-être quelque chose à proposer dans une MR.

Le patch est long, car OpenSSH a décidé de faire une option de build

En voyant le patch en question, je trouve cette affirmation assez fausse. Le patch est long, car coder proprement une fonction d'envoi de signal prend plus que "quelques lignes de code".

Et c'est bien la raison pour laquelle le ticket GitHub demande, à l'origine, de découper la bibliothèque "libsystemd" pour fournir des éléments plus unitaires, n'ayant réellement aucune dépendance superflue. Demande qui a été refusée d'un revers de la main, disant en gros "le dlopen résoud le problème, et on n'ira pas plus loin"… Personnellement, ça me semble très léger, et dans le cas de xz je suis persuadé qu'une variante aurait pu quand même s'activer malgré ce dlopen.

Au final, on se retrouve donc avec une belle duplication de code. Je n'ai pas compris ce refus peu (pas ?) argumenté du découpage de libsystemd.

est-il bien nécessaire de relayer les informations concernant les sorties d'OpenOffice

Non.

Ne serait-il pas préférable, en fait, de laisser tout ça tomber dans l'oubli.

Oui.

my 2 cents

Un petit screenshot du résultat serait sympa à avoir dans le README, j'ai un peu la flemme de l'appliquer juste pour voir à quoi ça ressemble…

dès qu'on va vers un constructeurs tierce, ya plus grand monde..

En ce qui concerne webOS-ports, un des problèmes c'est qu'il n'y a pas grand monde quelque soit le constructeur. C'est une équipe réduite, on est loin des dizaines de contributeurs réguliers à postmarketos.

Donc il faut faire des choix: privilégier les noyaux "mainline" par exemple. Et les plateformes les plus ouvertes sont celles où la maintenance et le debug sont les plus simples, tout bêtement.

PostmarketOS a le vent en poupe en ce moment, et tant mieux pour eux. Toutes ces communautés se connaissent, et s'aident les une les autres, ce qui permet d'avancer plus efficacement. D'ailleurs pour les noyaux mainline on va sûrement utiliser certaines de leurs briques, qui semblent intéressantes :)

Le support sera étendu de 5 ans.

Il n'y a pas de veille à faire: LineageOS continue à maintenir les patchs de sécurité pour ma version (18.1). Et les bulletins de sécurité Android, c'est tous les débuts de mois. Donc il suffit de faire un update + build une fois par mois pour être à jour.

Le site de LineageOS explique très bien comment faire ce genre de manipulation. Ça prend un peu de temps quand on ne connaît pas, mais c'est loin d'être inaccessible si on est motivé et attentif.

Quand je dis 20min, c'est 1min pour lancer le script et 19min d'attente de rebuild, c'est tout.

Mais tout cela est impossible à faire si on n'est pas maître sur son propre téléphone. Personnellement j'aimerais pouvoir reverrouiller le bootloader (en cas de vol, comme pour les Pixel), mais bizarrement pour cette fonctionnalité toute bête de sécurité il n'y a plus personne.
L'argument des applis "chiantes", c'est qu'un téléphone rooté est dans un état de sécurité inconnu. Mais les apps malicieuses s'installent via le Google Store, et exploitent les failles humaines (et parfois les CVE non corrigés): rien à voir avec l'aspect rooté ou non.

Je préférerais que mon appli bancaire vérifie la date du dernier patch de sécurité Android, ce serait déjà moins idiot. A la place, je lui fait croire que le téléphone n'est pas rooté et elle est contente: super, on a vachement avancé.

J'ai rooté le mien pour… la sécurité. Ben oui, mon "vieux" téléphone de 2018 n'a plus de mise à jour de sécurité depuis 2021 (cf le cimetière ici ), donc il a bien fallu trouver une solution autre que racheter un téléphone.

Donc voilà, je passe à du LineageOS, certes non officiel, mais au moins avec des mises à jour de sécurité. Et lorsque le mainteneur de la ROM est passé à autre chose, j'ai juste compilé ça chez moi, ça me prend 20min par mois.

Mais les apps bancaires se sentiraient plus en sécurité avec une ROM officielle vieille de 3 ans, manifestement. Allez comprendre.

Bah surtout qu'à la troisième ligne de l'article on a déjà un contournement: Install Magisk and Play Integrity Fix to ensure RCS messaging works on rooted Android phones, despite Google's restrictions

Donc voilà, même astuce que pour faire marcher les apps de banque, l'identité numérique, et les autres adorateurs de la pseudo-sécurité.

Apparemment le code semble être prêt depuis plusieurs mois, est-ce qu'il y a une raison pour ne pas encore l'accepter ? Peut-être des tests à poursuivre ?

Alors, oui, il n'est pas bien difficile d'exécuter une appli desktop sur ces OS. Mais pour l'utilisabilité, c'est tout autre chose, car un doigt fera toujours la même taille:

• il faut un clavier virtuel, qui prend 1/4 de l'écran environ
• les boutons doivent être plus gros pour être utilisables; de manière générale, tout ce qui implique un clic précis devient quasi inutilisable
• le point précédent implique une quantité réduite de widgets à l'écran: fini les grandes barres d'outils ou les fenêtres "dockées" dans la fenêtre principale
• les menus textuels deviennent aussi une horreur à utiliser
• etc

En gros, les exemples d'applis desktop qui restent utilisables sur un écran de smartphone sont rares, très rares. Mais ce n'est pas une fatalité: les apps GNOME qui étaient peu utilisables en 2020, semblent être bien plus flexibles aujourd'hui.
Simplement ça demande pas mal de boulot de design en amont, et la plupart des apps desktop ne visent pas une telle flexibilité.

Le problème ce n'est pas l'intégrité du projet, mais l'intégration à l'OS. Aucun de ces projets n'utilise que Qt.

• UT utilise une surcouche de QML pour quasiment tous les widgets, permettant une intégration avec certains de leurs concepts: couche réseau, "Lens", comptes en ligne, thèmes…
• Plasma mobile: pareil (Kirigami)
• SailfishOS: pareil (Silica)
• LuneOS: la surcouche est beaucoup plus light (principalement le thème), mais le gros de la communication avec les services systèmes se fait via des appels maison de type DBus, pas avec Qt…

Pour exécuter une app UT (par exemple) sur LuneOS, il faudrait ramener tout la pile logicielle sur laquelle leur code QML s'appuie. Et globalement, ça veut dire ramener toutes les spécificités de l'autre OS sur LuneOS.

Certains ont essayé de faire des ponts mais ont rapidement abandonné devant l'effort à fournir. De plus il faudrait que les apps soient écrites avec un tel SDK, pas directement avec celui de l'OS…

Personnellement j'ai fait quelques essais pour réimplémenter l'API QML de UbuntuTouch sur LuneOS, afin d'importer directement des apps UT. Mais cela marche mal voire pas du tout: la plupart des apps sont en fait des exécutables qui embarquent le QML, et qui sont souvent liées à des libs que LuneOS n'a pas…

Bref, à suivre, car la situation actuelle ressemble effectivement à un gros gâchis de ressources.

Il y a des applis, mais c'est encore un gros point noir. La majorité de la communauté historique de webOS est maintenant passée à autre chose au fil des années, ce qui est très compréhensible.
On a quelques apps venant de webOS-OSE, mais elles sont prévues pour un format TV et donc pas toujours adaptées à un format plus petit.

Pour l'instant, la grosse majorité des applis peuvent être récupérées via l'«App Museum», qu'on peut parcourir en ligne: https://appcatalog.webosarchive.org/showMuseum.php . Mais ce sont quasiment toutes des apps datant de l'époque de webOS.

Ceci dit ce problème n'est pas spécifique à LuneOS: les apps pour smartphone GNU/Linux sont rares, et à part Ubuntu Touch et SailfishOS les autres ont le même souci (Plasma Mobile, Phosh, PostmarketOS…). Pour certaines on peut lancer des applis desktop, mais ça reste peu pratique.

Waydroid, qu'on tente de proposer sur LuneOS, pourrait contourner le problème en permettant de lancer des apps Android. Mais reste un «hack», et on continue de réfléchir à la question pour proposer mieux.

Le projet n'est pas abandonné, mais il avance à un rythme assez lent. L'équipe est très réduite, et on fait juste ça pour le plaisir dans notre temps libre. Personnellement ça me permet de jouer avec beaucoup de technos (systemd, qt, lxc, wayland, et j'en passe…) assez variée, sur un projet plutôt sympa.

Le fait de s'appuyer sur des projets existants (webOS-OSE, Yocto…) nous permet maintenant de rester à jour plus facilement, mais ne nous a pas laissé de temps pour les nouveautés visibles, comme le côté applicatif. Ce dernier reste un gros point noir à résoudre.

Et… comment sait-on si on a été victime ?

En partant de la doc, on tombe sur leur repo git:

https://forge.bluemind.net/stash/repos?visibility=public

Edit: malgré tout, il semble y avoir des soucis technique pour accéder concrètement au code