Android et ARM, c'est de la merde

Rédigé par uTux - - 5 commentaires

Une importante porte dérobée dans 55 modèles de terminaux Android (NextINpact).

Dans le monde fantastique d'Android et ARM il y a des constructeurs qui veulent absolument avoir la main sur le firmware et l'OS en refusant de partager le code source ou simplement en interdisant l'accès root. Donc vous n'avez pas le choix : la sécurité, la solidité et les mises à jour sont soumises à leur bon vouloir. Sauf que le paradoxe c'est qu'ils n'ont pas l'envie ou les compétences pour s'en occuper, et c'est ainsi qu'on se retrouve avec des failles inacceptables telles que ce rootkit visiblement oublié par un sous-traitant qui exécute n'importe quelle commande root sans trop se poser de questions :

Le firmware concocté par la société Ragentek dispose d’un rootkit. Autrement dit, d’un composant se chargeant au démarrage du système, possédant des droits root, pouvant exécuter n’importe quelle action et cherchant à masquer sa présence (il ne répond pas aux commandes classiques, comme PS).

C'est très grave, et ça l'est encore plus quand on sait que ces problèmes sont fréquents et que là encore il faudra attendre une mise à jour fournie par le constructeur. Mais sur les 55 modèles impactés, combien auront droit à un correctif ? Probablement très peu, un classique dans le monde des smartphones. Et Google n'y peut rien car bien qu'il soit le créateur et mainteneur d'Android, il n'est pas possible aujourd'hui de déployer des mises à jour sur l'intégralité des appareils, le matériel étant beaucoup trop différent et non standardisé.

Même sans parler de logiciel libre ou même d'opensource il est urgent que les plateformes ARM se normalisent et implémentent un BIOS ou un UEFI comme sur le x86, ce qui permettrait de se libérer des constructeurs et avoir plus de souplesse sur le système d'exploitation. Il a été démontré de nombreuses fois qu'on ne peut pas leur faire confiance car ils voient leurs produits comme des gadgets électroniques et non comme des ordinateurs pour lesquels la sécurité doit être prise au sérieux.

EDIT : Et hop, encore une faille qui ne sera jamais corrigée !

On ne pirate pas Linux en appuyant sur la touche Entrée

Rédigé par uTux - - 7 commentaires

Quelques journalistes peu informés ont sauté sur une faille Linux pour tenter de monter un buzz à l'aide d'articles bien putaclicks. En effet il semblerait que le maintient de la touche Entrée au démarrage, sur un système protégé par le chiffrement Luks, permet d'accéder à shell root. Il n'en fallait pas plus pour voir fleurir de nombreux articles :

Mention spéciale pour Tom's Hardware et ses "millions de systèmes Linux" ...

Non, cette faille ne permet pas de contourner le chiffrement

Et heureusement, vous imaginez le malaise si une touche entrée suffit à péter un chiffrement AES ? Cette faille ouvre un shell root, mais les partitions chiffrées restent chiffrées. Donc non, on ne contourne pas le chiffrement.

Elle requiert un accès physique

Et à partir du moment où vous avez l'accès physique à une machine, il existe de nombreux moyens d'ouvrir un shell root. En voici deux exemples :

  • Booter un LiveCD puis faire un chroot sur le disque
  • Extraire le HDD et le brancher dans un autre ordinateur, puis utiliser un chroot

Donc c'est tout sauf une nouveauté, et c'est pour ça qu'on met les serveurs dans des salles sécurisées.

Conclusion

C'est un pétard mouillé qui est plus un bug qu'une véritable faille.

Doit-on mettre wikipedia dans les listes d'adblocks ?

Rédigé par uTux - - 9 commentaires

Parce que là, faut pas déconner :

Plus des 3/4 de l'écran occupés par un message publicitaire ! Et l'année prochaine ce sera 100% ? Ou une vidéo avec du son très fort qui se charge en plein écran ?

Je sais que Wikipedia est plus important pour la culture que toutes les maisons de disques réunies (et toc!), certes ils sont gratuits et sans pub, mais c'est très agaçant, il s'agit des pratiques que tout le monde essaie de bannir depuis des années, à savoir bloquer la lecture du visiteur et le harceler pour lui faire cracher ses précieux deniers.

Canonical, c'est comme Microsoft, mais en lowcost

Rédigé par uTux - - 17 commentaires

Voilà un slogan qui va bien à Canonical et qui décrit les problèmes de qualité sur Ubuntu desktop.

Ils ont en particulier des soucis avec nm-applet, vous savez le petit applet réseau dans le systray. Outre le fait qu'il plantait quasiment tous les jours les premiers mois après la sortie de la 16.04LTS (il a bien fallu 4 mois pour que ce soit corrigé), suite à une mise à jour ce dernier m'affiche aujourd'hui n'importe quoi.

Les réseaux WiFi ont disparu... et pourtant je suis connecté quand même :

Plus aucun réseau WiFi listé, et pourtant je suis bien connecté.

Ce n'est pas la première fois que je tombe sur ce genre de coquille, c'est systématique, et c'est toujours chez Ubuntu. J'ai en parallèle une debian testing depuis 2 ans et je n'ai jamais rien vu de tel.

Ubuntu 16.04 est une LTS, vous pouvez me rétorquer que ça veut pas dire que c'est stable mais qu'il y a du support plus longtemps, mais si, désolé, ça devrait être stable. LTS c'est ce que Canonical recommande aux entreprises et aux utilisateurs exigeants. Il ne devrait pas y avoir ce genre de bug. Imaginez un peu si Microsoft pétait le réseau dans Windows 10 suite à une mise à jour, le tollé que ce la provoquerait.

D'après les chiffres Steam (que je trouve un peu plus représentatifs que distrowatch) ubuntu est la distribution la plus utilisée avec 30% des utilisateurs. Cela veut dire qu'on véhicule une image d'un Linux pas stable, avec des défauts de contrôle qualité, et une précipitation ridicule pour sortir dans les temps à tout prix.

N'installez pas Ubuntu à votre entourage, installez Debian, la seule, l'unique distribution qui devrait avoir le droit de représenter Linux et son écosystème. Les versions un peu datées des logiciels ne sont souvent pas un problème et peuvent au pire se contourner avec les backports. Tant que Canonical ne changera pas de politique concernant le rythme de sortie des version de Ubuntu, il restera beaucoup trop de bugs inacceptables pour les utilisateurs auxquels cette distribution s'adresse.

Taxe de m****

Rédigé par uTux - - 10 commentaires

« Taxe » sur les moteurs de recherche d’images : ça se précise (NextINpact).

Et voilà, génial, une taxe sur les moteurs de recherche d'image, et généraliste en plus. Peu importe qu'il s'agisse d'images sous licence libre ou pas, l'argent ira dans les poches des "sociétés de gestion collective", c'est à dire les rentiers qui vivent du travail des autres depuis plus de 50 ans et ont persuadé tout le monde qu'ils étaient les responsables/sauveurs de la culture.

C'est révoltant, il n'y a pas d'autres mots. Les gens qui créent les contenus et qui sont contents de les voir indexés dans les moteurs de recherche ne verront pas la couleur de cet argent. Moi même qui ait créé des choses sur ce blog, je verrai mon travail utilisé pour justifier une taxe allant dans les poches de gens que je ne connais pas et qui ne me représentent pas.

La France est championne de ce genre de conneries, j'ai l'impression que ça n'arrive que chez nous. C'est peut-être ça le rayonnement culturel français aujourd'hui : de la corruption, du pognon, du lobbying, du réactionnaire. Tous les pays du monde (ou presque) foutent la paix aux gens sur internet, il n'y a qu'ici qu'on cherche à contrôler et à taxer à tout va. Cela me rappelle beaucoup un épisode des Simpson dans lequel un film hollywoodien est en tournage à Springfield mais fini par faire faillite car la mairie décrète des taxes à gogo pour faire raquer les producteurs.

J'espère que les moteurs de recherche ne se plieront pas à cette taxe débile et injuste et fermeront leur service d'indexation d'images en France. Autre possibilité : un système de tag dans les fichiers images indiquant leur licence, afin de n'indexer que les contenus de type CC-by.

Les rentiers ont les testicules d'une poignée de députés et d'hommes politiques dans leurs mains, il leur suffit de les presser un peu pour obtenir ce qu'ils veulent. Le moteur de recherche Google a + de 90% de parts de marché en France, voilà donc une bonne force de frappe pour répliquer.

Fil RSS des articles de cette catégorie