virus-zone

Ça y est, un autre virus sous Mac OS-X

Le problème est toujours le même : un faux logiciel demande à être installé et c'est le drame… Le dernier cas de virus pour Linux que j'ai en tête était pareil : un thème de gnome-look avec un virus dedans.

Ces logiciels sont des fichiers qu'on installe en double cliquant dessus. Sur GNU/Linux et Mac-OS-X, il faut donner le mot de passe administrateur (root/sudo), sans quoi le virus ne peut pas toucher au système. Mais une fois qu'on donne son mot de passe, c'est fini : le virus peut faire ce qu'il veut.

Le problème avec « sudo » c'est qu'on ne mesure pas ses conséquences. C'est devenu trop routinier de donner son mot de passe à n'importe quel logiciel : que ce soit pour installer un logiciel, modifier des paramètres, installer des mises à jours : toujours GNU/Linux nous demande notre mot de passe… Du coup, on ne fait même plus attention.

Pourquoi je parle des mises à jours dans mon titre ?
Tout simplement parce que sous GNU/Linux (et Mac ?), c'est l'une des procédures qui demande le mot de passe à l'utilisateur. Avec des mises à jours forcés (en tache de fond - comme sous Chrome OS), c'est le système qui se charge d'installer MAJ, sans demander le mot de passe. Et vu que (en ce qui me concerne) l'installation des mises à jours est un des moments où je donne mon mot de passe, ça contribue à cette banalisation de donner son mot de passe.

Je trouve qu'il ne faudrait réserver le compte Root/Admin qu'aux procédures vitales du système, et ne jamais l'utiliser autrement.
De plus, installer des logiciels à partir de .run ou .deb trouvés sur le web, c'est revenir au système d'infection par défaut de Windows. Les dépôts sont là pour installer les logiciels, utilisons-les. Je pense que les dépôts officiels sont sans risques : ce qui s'y trouve est signé et vérifié (pas le cas des dépôts tiers…).

Bah, je finis là dessus (source :
Linux on its own might be secure but users are idiots.

(Linux tout seul peut éventuellement être sécurisé, mais les utilisateurs sont des idiots.)

image de Nils Geylen

12 commentaires

gravatar
Zaraskana a dit :

Assez d'accord dans l'ensemble pour que les mises à jour se fassent automatiquement ne serait-ce que pour combler des failles importantes que l'utilisateur ne connait pas, mais aux onditions que ce soit nous qui ayons configurez le systeme ainsi. Parfois on pourrais avoir besoin que le systeme ne ralentisse pas la bande passante a télécharger 300Mo de MAJ ou autre (pour mon cas aussi parce que j'avais une connexion limité a 8Go/mois par exemple).

Pour les .deb et autres, pour ne se fier qu'aux systèmes des dépôts, encore faudrait il que ceux ci soit à jour correctement ou alors que chaque logiciel puissent avoir son système de dépôt géré par les développeurs a même de fournir les dernières versions avc une gestion des clés des serveurs pour éviter les emmerdes?

gravatar
Le Hollandais Volant a dit :

ou alors que chaque logiciel puissent avoir son système de dépôt géré par les développeurs

C'est le cas Ubuntu avec les dépôts tiers justement : tout est centralisé au même endroit (les serveurs Launchpad) mais chaque développeur dispose d'un compte et lui seul peut uploader une nouvelle version de son soft.

Lors d'une mise à jour coté internaute, le système interroge chaque dépôt auquel l'utilisateur s'est "abonné" et c'est tout.
En général chaque dépôt dispose déjà d'une clé GPG.

Pour ce qui est des dépôts officiels : Ubuntu se refuse de changer les versions des logiciels au cours de la vie d'une version d'Ubuntu. C'est idiot aussi, et ça pousse les utilisateurs à installer les dépôts non-officiels aussi…

gravatar
Yoha a dit :

On pourrait aussi éviter la demande de mot de passe avec juste une fenêtre de confirmation. La mise à jour pourrait même être lancée par l'utilisateur avec le bit suid.

gravatar
Le Hollandais Volant a dit :

Oui, mais dans ce cas, un virus tournant avec les droits de l'utilisateur pourrait également lancer le processus de mise à jours, voire d'autres choses non ?

gravatar
Zaraskana a dit :

C'est le cas Ubuntu avec les dépôts tiers justement : tout est centralisé au même endroit (les serveurs Launchpad) mais chaque développeur dispose d'un compte et lui seul peut uploader une nouvelle version de son soft.

Je n’étais pas au courant, je me coucherais moins bête ce soir.
Pour ce qui est des dépôts officiels : Ubuntu se refuse de changer les versions des logiciels au cours de la vie d'une version d'Ubuntu. C'est idiot aussi, et ça pousse les utilisateurs à installer les dépôts non-officiels aussi…
Ce ne serait pas aussi pour forcer a passer a la nouvelle version d'ubuntu tout les 6 mois?

gravatar
Yoha a dit :

Justement, le bit suid est réservé à des programmes dont le fonctionnement ne risque pas de donner des droits supplémentaires à l'utilisateur. Si le système de mise à jour fait en sorte de ne pas laisser l'utilisateur intervenir autrement que pour le lancer, ce peut être adapté.

gravatar
alain ternaute a dit :

Je rejoins un peu votre avis (Zaraskana et Le Hollandais Volant) : MAJ automatique sans mdp. Ok, mais je mettrais ces conditions :

Avec la possibilité à l'utilisateur de reporter celle-ci de 24h durant lesquelles il peut la lancer quand il veut. Passé ce délai, le téléchargement et l'install se dérouleront.

Et ensuite pourquoi pas laisser l'utilisateur choisir l'ancien système avec mdp, comme le suggère Zaraskana...

gravatar
Le Hollandais Volant a dit :

@Zaraskana : officiellement, c'est pour conserver une homogénéité tout au long des 6 mois ><. Après, c'est un truc bidon, car c'est à mes yeux assez débile.

Forcer l'installation de le nouvelle version, c'est une possibilité, mais je vois pas en quoi c'est bénéfique pour Canonical : Ubuntu est gratuit, donc c'est pas une marche forcée comme pour IE9 non compatible avec XP/Vista…

Et de toute façon, Firefox 4 tournera surement dans une Ubuntu datant de y'a 3 ans, suffit d'ajouter le dépôt PPA Mozilla-team.
Idem pour tous les logiciels : VirtualBox, Opera, LibreOffice… Tous ont leurs dépôt pour avoir la toute dernière version.

Mention spéciale pour Chromium, qui a à ma connaissance un dépôt "stable", un autre "dev", un autre "beta", un autre "daily", etc…

Donc y'a toujours moyen d'installer n'importe quelle version d'un soft sur n'importe quelle version d'Ubuntu (exemple avec Firefox : 3.5, 3.6, 4.0).


@Yoha : en effet.
Je ne sais pas comment fonctionne exactement le système dans Chrome OS, mais je pense qu'on pourrait prendre quelques idée là dessus.

En aparté, il me semble que Canonical bossait sur un système graphique (équivalent à X.org) mais ne tournant pas en Root…

gravatar
Yoha a dit :

C'est le problème quand c'est à une autorité centrale de décider… Même les dépôts Synaptic n'empêchent pas de faire des mises à jour via des tiers.

gravatar
Cellix a dit :

[QUOTE]Linux on its own might be secure but users are idiots.[/QUOTE]

Amha, c'est là que réside le danger. Plutôt que les màj automatiques, l'idéal serait d'éduquer les utilisateurs.

gravatar
Le Hollandais Volant a dit :

@Cellix : +1

Mais c'est beaucoup plus dur…
Suffit de voir comment le message de "linux par les geek, pour les geek" est aujourd'hui encore bien ancré…

Les linuxiens sont (pour l'instant) encore très largement des geek, qui savent ce qu'est sudo et tout le reste.
Les M. Mme Michu ne savent pas, et de toute façon n'utilisent pas GNU/Linux.

Les commentaires sont fermés pour cet article