Le loup serait-il dans la bergerie ? La dernière version LTS (Long Term Support) d'Ubuntu annoncée fin de semaine dernière utilise un nouveau format appelé « snap » pour installer les paquets du logiciel sur un système Ubuntu. Les « snaps » sont plus faciles à développer, plus simples à déployer, et ils sont compatibles avec le format de paquets .deb existant. Sauf que, d’après Matthew Garrett, un expert qui fait autorité en la matière, les paquets « snaps » installés sur un système Ubuntu, qui utilise, comme la plupart des installations desktop d’Ubuntu, le système de fenêtrage X11, peuvent copier des données privées à peu près où ils veulent sans se faire remarquer. « Cela signifie que les applications tournant dans X peuvent très simplement demander à recevoir les enregistrements de touches effectuées dans d'autres applications », comme l’écrit Matthew Garrett. « Une application qui n'a pas accès à toutes les données privées de l’utilisateur peut attendre la fin d’une session, ouvrir un terminal non confiné puis utiliser l’extension cURL pour envoyer ses données vers un site distant », a-t-il expliqué.
D’après l’expert, les « snaps » ne présentent pas de risques de sécurité quand ils tournent dans le système de fenêtrage Mir de Canonical, ajoutant que l'approche a effectivement de nombreux avantages en terme de sécurité sur le long terme. Cependant, actuellement, elle expose sérieusement les utilisateurs de la version desktop d’Ubuntu. Dans un blog où il répond à la question posée, Canonical reconnait que X11 « n’est pas un protocole sécurisé », mais qu’il n’est pas possible de modifier le mode opératoire des « snaps » sans bloquer le système.
Attention au détournement d'autorisation à des fins malveillantes
Gustavo Niemayer a déclaré au nom de Canonical que les utilisateurs devaient faire attention aux paquets qu’ils installaient, indépendamment du fait qu'ils sont ou non au format snap. « L’utilisateur doit installer un logiciel à partir de l'archive Ubuntu uniquement s’il a confiance dans le développeur Ubuntu et dans le développeur Debian », a-t-il rappelé. « Le format snap n’exonère pas l’utilisateur de cette précaution, car une fois qu’il permet à un bout de logiciel d’accéder à ses fichiers personnels, à la caméra web, au microphone, etc., il a besoin d’être sûr que cette autorisation ne sera pas détournée à des fins malveillantes ».
Ces dernières années, Ubuntu ne s’est pas toujours distingué en terme de sécurité et de protection de la vie privée, notamment depuis que, en 2014, le système a livré à Amazon des données utilisateurs pour afficher des publicités personnalisées dans le volet de recherche de l'environnement desktop de Unity. Les utilisateurs n’avaient pas du tout apprécié cette disposition prise sans leur consentement et Ubuntu avait finalement supprimé la fonction de la nouvelle version d’Unity.
reponse a 8636 en effet j'ai trouvé un logiciel dans les software que j'ai installé et ça marche (GNOMEPlayer) avec mes excuses bonne soirée.
Signaler un abusLa solution pour ne plus être embêté est d'utiliser une distribution Tails Linux sur clé USB bootable et c'est terminé ! Plus de souci ! Evidemment vous voulez pouvoir tout contrôler, tout installer et tout faire en étant totalement protégé et sécurisé de tout ? Vous rêvez !! :)
Signaler un abusCet article n'est pas sérieux.
Signaler un abusVisiteur8632 : Primo, on ne poste JAMAIS de questions dans un forum, en particulier quand la question n'a rien à voir avec l'article ici visé. Secundo, si vous aviez un peu cherché sur le net, vous sauriez que les codecs ne sont jamais livrés par défaut dans les distributions GNU/Linux pour des histoire de droits internationaux. Tertio, il suffit d'installer le paquet ubuntu-restricted-extra pour les rajouter au système de base. Conclusion : avant de raconter n'importe quoi et n'importe où, il serait bon de faire quelques recherches avec son moteur favori ! Bonne journée à vous !
Signaler un abusLes ingénieurs de linux ont empeché 16.04 unity de lire les dvd du commerce et aucune installation ne m'a permis de résoudre le problème .aider moi par un mail si possible amitiés a tous
Signaler un abusPassez sous MLED de Nicolas Kovacs. Hyper stable et même Madame Michu peut s'en servir.
Signaler un abusC'est pathétique des articles d'aussi mauvaise qualité...
Signaler un abusJe viens d'installer 16.04 ubuntu hier cette version est plus plaisante avec de aménagements possibles.je suis sur linux depuis la 10.04 ubuntu mate ou unity (2 p c ) mais je ne connais pas les virus ni je n'"ai qu'un seul problème en 6 ans .Espérons que ça dure car étant très faible en informatique pas facile de se dépanner amitiés
Signaler un abusC’est un gros problème bien connu de X11, qui touche TOUTES les distributions, pas uniquement Ubuntu 16.04.
Signaler un abusAucun scoop, donc.
Snap ou pas snap, ce problème existe aussi sur les autres distributions Linux mais aussi sur OSX et Windows. Ce n'est pas un problème de "confidentialité" mais de "confiance".
Signaler un abusQu'est-ce qui vous garantit qu'un keylogger n'est pas caché dans le logiciel que vous venez d'installer? rien. Vous prenez le risque parce-que vous avez confiance en l'éditeur. Parfois, même l'OS est corrompu. Combien de softs sont sortis avec des trous activables à la demande?
Et si un admin sys est suffisamment cramé pour installer X11 sur ses serveurs, tant pis pour lui.
Et dans le cas des snaps, on assiste effectivement à une bataille Snap/Ubuntu contre Docker/CoreOS.
Donc on s'en fout.
Prenez du bon temps, profitez du printemps, regardez les fleurs pousser. Winter is coming.
Signaler un abusil y a aussi une faute dans le titre de l'email de la mailing list qui titre:
"10 briques Openstack à connaître, Faille dans Linux Ubuntu 13.04, Dépenses de sécurité IoT 2016-2020"
troll récurent?
J'ai un autre souci avec X11 et VirtualBox. Quand je démarre une application utilisant OpenGL (Blender par exemple) dans un Windows 7 virtuel, VirtualBox plante et X11 aussi, seules les touches magiques me permettent de redémarrer l'ordinateur.
Signaler un abusL' "expert" travaille surtout pour une distribution concurrente CoreOS, et utilise sa notoriété pour propager du FUD, puisqu'il fait mine de s'étonner que l'isolation noyau ne protège pas des failles connues dans la pile graphique.
Signaler un abusPar contre, pourquoi ne dit-il pas que l'installation traditionnelle de paquet pose aussi un gros problème de sécurité puisque l'on permet au créateur du paquet de modifier totalement notre système (l'installation se faisant en Super Utilisateur), problème que se propose de résoudre snap. Le problème de la pile grapĥique sera résolu par Mir. A deux problèmes différents, deux solutions apportées par Canonical et la Communauté Ubuntu.
Le travail journalistique doit être d'investiguer au lieu de publier au plus vite. Et la supercherie de Garrett aurait été découverte.
Pour les paquets snaps, ça vient de sortir, c'est pas encore répandu - donc pas de quoi fouetter un chat... Quand aux recherches amazon, ce n'était pas une question de sécurité mais bien de confidentialité - et la leçon a apparemment été comprise par Canonical ! Les libristes ne sont pas près à accepter n'importe quoi, contrairement aux non libristes qui nourrissent chaque jour les GAFAM en données fraîches sur un plateau !
Signaler un abusParler de confidentialité avec OS privateur de liberté revient à se coucher sur une autoroute.
Conclusion il ne faut pas installer n'importe quoi.
Signaler un abusQuel scoop !