> Tous les forums > Forum Linux
 Linux Ubuntu 16.04 touché par une sérieuse faille de confidentialité
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Wullfk
  Posté le 27/04/2016 @ 15:27 
Aller en bas de la page 
Astucien

Bonjour,

Selon un expert réputé du logiciel open-source, une fonctionnalité introduite dans la toute dernière version 16.04 d'Ubuntu pourrait constituer une menace grave pour la vie privée des utilisateurs.

Le loup serait-il dans la bergerie ? La dernière version LTS (Long Term Support) d'Ubuntu annoncée fin de semaine dernière utilise un nouveau format appelé « snap » pour installer les paquets du logiciel sur un système Ubuntu. Les « snaps » sont plus faciles à développer, plus simples à déployer, et ils sont compatibles avec le format de paquets .deb existant. Sauf que, d’après Matthew Garrett, un expert qui fait autorité en la matière, les paquets « snaps » installés sur un système Ubuntu, qui utilise, comme la plupart des installations desktop d’Ubuntu, le système de fenêtrage X11, peuvent copier des données privées à peu près où ils veulent sans se faire remarquer. « Cela signifie que les applications tournant dans X peuvent très simplement demander à recevoir les enregistrements de touches effectuées dans d'autres applications », comme l’écrit Matthew Garrett. « Une application qui n'a pas accès à toutes les données privées de l’utilisateur peut attendre la fin d’une session, ouvrir un terminal non confiné puis utiliser l’extension cURL pour envoyer ses données vers un site distant », a-t-il expliqué.

Source : lemondeinformatique.fr

Publicité
Logicien
 Posté le 27/04/2016 à 16:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Merci Wullfk,

« Une application qui n'a pas accès à toutes les données privées de l’utilisateur peut attendre la fin d’une session, ouvrir un terminal non confiné puis utiliser l’extension cURL pour envoyer ses données vers un site distant »

Là, on parle d'un problème de sécurité majeur d'Xorg et non plus seulement des snaps de Ubuntu. Comment faire confiance à un développeur Ubuntu ou Debian sans le connaître? S'il faut lire sa biographie et le code source des paquets dont il est responsable, aussi bien retourner à l'université à plein temps ou s'engager comme enquêteur dans la police.

'Dans un blog où il répond à la question posée, Canonical reconnait que X11 « n’est pas un protocole sécurisé », mais qu’il n’est pas possible de modifier le mode opératoire des « snaps » sans bloquer le système.'

Pas reluisant pour Ubuntu et Xorg.

Je fais remarquer qu'un paquet debian-edu (Skolelinux) a déjà installé un script dans Cron qui a modifié mes règles de pare-feu sans mon consentement sous Debian. J'ai supprimé les paquets debian-edu mais, comme hido me l'a proposé, je devrais faire un rapport de bogue. C'est maintenant fait !

Richard Stallman a déconseillé l'utilisation de Ubuntu pendant son intrication avec Amazon. Toute personne consciente d'elle-même veut choisir à qui elle communique ses informations personnelles.

Les logiciels libres donnent 4 droits fondamentaux et garantissent la vie privée d'un utilisateur en lui permettant d'étudier le code source des logiciels libres afin qu'il puisse en évaluer le niveau de confiance en matière de sécurité, de vie privée et autres. De là, il peut modifier le code source à sa convenance.

C'est bien, mais pour celui qui ne s'y retrouve pas en programmation, il doit utiliser son intuition tout en développant ses aptitudes pour bien accorder sa confiance.



Modifié par Logicien le 27/04/2016 18:12
Wullfk
 Posté le 29/04/2016 à 10:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

Pour ma part malgré cette mauvaise nouvelle sur la version 16.04LTS, je reste tout de même fan d'Ubuntu, et pourtant j'en ai essayé des distributions Linux.

Actuellement et pour encore quelques années je garde ma version 14.04LTS si je dois vraiment changer je passerais à Debian

Mais bon ceci est un choix personnel et propre à chacun

Deep blue
 Posté le 29/04/2016 à 11:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonjour wullf

merci

- en lisant votre article , il semble que il y a un probleme ,que si ont instale un paquet hors du depot de conical ?,

pouvez vous me comfirmer ?

il vont peut etre coriger ce probleme

cordialement

Wullfk
 Posté le 29/04/2016 à 12:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

En règle générale tout paquet installer en dehors des dépôts de Canonical est à considérer à risque, mais ça ce n'est pas nouveau

Je ne peux pas confirmer ce qui est rapporté dans l'article, puisque je suis sur la version Ubunbu 14.04LTS qui utilise l'ancien système pour installer les paquets du logiciel.

Corriger le problème, je ne pense pas puisque je cite : "il n’est pas possible de modifier le mode opératoire des « snaps » sans bloquer le système."

Deep blue
 Posté le 29/04/2016 à 12:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

D accord wullfk

Merci a vous , faut donc attendre des comfirmations je l entend

Cordialement



Modifié par Deep blue le 29/04/2016 12:31
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
39,99 €SSD Crucial BX500 480 Go à 39,99 €
Valable jusqu'au 20 Juin

Amazon propose actuellement le SSD Crucial BX500 480 Go à 39,99 € livré gratuitement alors qu'on le trouve ailleurs à plus de 60 €. Ce SSD offre des débits de 540 Mo/s en lecture et 500 Mo/s en écriture. Le SSD est accompagné du logiciel Acronis true image qui vous permettra de transférer tout le contenu de votre ancien disque dur sur le SSD. Il est garanti 3 ans. 


> Voir l'offre
60,99 €SSD PNY XLR8 CS3030 500 Go (NMVe M.2, 3500 Mo/s) à 60,99 €
Valable jusqu'au 20 Juin

Amazon fait une promotion sur le SSD PNY XLR8 CS3030 500 Go (NMVe M.2) qui passe à 60,99 € alors qu'on le trouve ailleurs à partir de 80 €. Ce SSD utilise une interface M.2 NVMe PCIe Gen3 x 4 pour une connexion simple et des performances exceptionnelles : jusqu’à 3500 Mo/s en lecture séquentielle et jusqu’à 2000 Mo/s en écriture séquentielle.

Le SSD est doté de la technologie 3D TLC NAND haute densité offrant une endurance d’écriture durable et assorti d’une garantie de cinq ans.


> Voir l'offre
99,99 €Disque dur Seagate NAS Iron Wolf 4 To à 99,99 €
Valable jusqu'au 20 Juin

Cdiscount propose le disque dur Seagate IronWolf 4 To à 99,99 €. Ce disque dur 3.5 pouces SATA III est adapté aux NAS et ordinateurs qui fonctionnent 24h/24. On le trouve ailleurs autour de 130 €. 


> Voir l'offre

Sujets relatifs
installer linux ubuntu en duo avec windows 10
Installer Linux ubuntu
comment partitionner un disque dur en 2 parties sous linux ubuntu maya 6
Ubuntu ou Linux Mint?
Logiciels de nettoyage sous linux ubuntu 14.04 ?
jeux sous linux ubuntu
Où trouver un live cd de ubuntu ou linux ?
Wifi Off sous Linux Live USB Creator & Ubuntu 12
Multi affichage Linux ubuntu 12.4 lts
By by Ubuntu , bonjour Linux Mint ...
Plus de sujets relatifs à Linux Ubuntu 16.04 touché par une sérieuse faille de confidentialité
 > Tous les forums > Forum Linux