Android et ARM, c'est de la merde

Rédigé par uTux - - 5 commentaires

Une importante porte dérobée dans 55 modèles de terminaux Android (NextINpact).

Dans le monde fantastique d'Android et ARM il y a des constructeurs qui veulent absolument avoir la main sur le firmware et l'OS en refusant de partager le code source ou simplement en interdisant l'accès root. Donc vous n'avez pas le choix : la sécurité, la solidité et les mises à jour sont soumises à leur bon vouloir. Sauf que le paradoxe c'est qu'ils n'ont pas l'envie ou les compétences pour s'en occuper, et c'est ainsi qu'on se retrouve avec des failles inacceptables telles que ce rootkit visiblement oublié par un sous-traitant qui exécute n'importe quelle commande root sans trop se poser de questions :

Le firmware concocté par la société Ragentek dispose d’un rootkit. Autrement dit, d’un composant se chargeant au démarrage du système, possédant des droits root, pouvant exécuter n’importe quelle action et cherchant à masquer sa présence (il ne répond pas aux commandes classiques, comme PS).

C'est très grave, et ça l'est encore plus quand on sait que ces problèmes sont fréquents et que là encore il faudra attendre une mise à jour fournie par le constructeur. Mais sur les 55 modèles impactés, combien auront droit à un correctif ? Probablement très peu, un classique dans le monde des smartphones. Et Google n'y peut rien car bien qu'il soit le créateur et mainteneur d'Android, il n'est pas possible aujourd'hui de déployer des mises à jour sur l'intégralité des appareils, le matériel étant beaucoup trop différent et non standardisé.

Même sans parler de logiciel libre ou même d'opensource il est urgent que les plateformes ARM se normalisent et implémentent un BIOS ou un UEFI comme sur le x86, ce qui permettrait de se libérer des constructeurs et avoir plus de souplesse sur le système d'exploitation. Il a été démontré de nombreuses fois qu'on ne peut pas leur faire confiance car ils voient leurs produits comme des gadgets électroniques et non comme des ordinateurs pour lesquels la sécurité doit être prise au sérieux.

EDIT : Et hop, encore une faille qui ne sera jamais corrigée !

On ne pirate pas Linux en appuyant sur la touche Entrée

Rédigé par uTux - - 7 commentaires

Quelques journalistes peu informés ont sauté sur une faille Linux pour tenter de monter un buzz à l'aide d'articles bien putaclicks. En effet il semblerait que le maintient de la touche Entrée au démarrage, sur un système protégé par le chiffrement Luks, permet d'accéder à shell root. Il n'en fallait pas plus pour voir fleurir de nombreux articles :

Mention spéciale pour Tom's Hardware et ses "millions de systèmes Linux" ...

Non, cette faille ne permet pas de contourner le chiffrement

Et heureusement, vous imaginez le malaise si une touche entrée suffit à péter un chiffrement AES ? Cette faille ouvre un shell root, mais les partitions chiffrées restent chiffrées. Donc non, on ne contourne pas le chiffrement.

Elle requiert un accès physique

Et à partir du moment où vous avez l'accès physique à une machine, il existe de nombreux moyens d'ouvrir un shell root. En voici deux exemples :

  • Booter un LiveCD puis faire un chroot sur le disque
  • Extraire le HDD et le brancher dans un autre ordinateur, puis utiliser un chroot

Donc c'est tout sauf une nouveauté, et c'est pour ça qu'on met les serveurs dans des salles sécurisées.

Conclusion

C'est un pétard mouillé qui est plus un bug qu'une véritable faille.

Linus préfère x86 à ARM, et il a raison

Rédigé par uTux - - 1 commentaire

Linus Torvalds explique pourquoi il préfère l'architecture x86 à l'ARM (Tom's Hardware).

L'environnement ARM est trop fragmenté et pas assez ouvert. Qui n'a jamais essayé de recycler une vieille tablette en lui installant une distribution Linux ? C'est souvent impossible. Les spécificités hardware, les bootloaders, les verrous, les blobs propriétaires font qu'un kernel vanilla ne fonctionne pas et qu'il faut alors prier pour que le constructeur fournisse la documentation/procédure/code source pour espérer faire quelque chose, et bien sûr cela n'arrive jamais. L'idée de pouvoir un jour booter une simple iso de debian est une douce utopie totalement hors de portée.

Tous les produits à base d'ARM sont conçus dans une optique de consommation rapide, du jetable, le but est simplement de briller dans les benchmark pendant 2 mois et permettre l'accès à Google Play pour que l'utilisateur puisse dépenser son argent, le reste est secondaire.

C'est simple, je ne serai jamais devenu un geek si j'avais grandit avec ce genre de produit non bidouillable entre les mains, je n'en aurais pas fait mon métier non plus.

PayPal veut fouiner dans les données client de Seafile

Rédigé par uTux - - 3 commentaires

Seafile est un concurrent à Dropbox, l'entreprise développe un logiciel permettant de synchroniser vos fichiers dans le cloud. Ce qui est bien c'est que la partie serveur et client sont libres, vous pouvez donc les installer chez vous (il existe d'ailleurs une app pour Yunohost).

Mais Seafile propose aussi des services Cloud payants et parmi les moyens de paiement disponibles il y avait Paypal. Mais tout ça c'est fini car dans ce billet Seafile nous livre quelques informations croustillantes :

From Sunday June 19th 2016 we are no longer allowed to accept payments via PayPal. PayPal has demanded that we monitor data traffic as well as all our customers’ files for illegal content. They have also asked us to provide them with detailed statistics about the files types of our customers sync and share on https://app.seafile.de.

Ce qui se traduit par :

Depuis le Dimanche 19 Juin 2016, nous ne sommes plus autorisés à accepter les paiements via PayPal. PayPal a exigé que nous surveillions le traffic ainsi que les fichiers de nos utilisateurs à la recherche de contenu illégal. Ils nous ont aussi demandé de leur fournir des statistiques détaillées à propos des types de fichiers que nos clients synchronisent et partagent sur https://app.seafile.de.

Seafile a refusé en expliquant que ce n'était pas conforme aux lois allemandes et européennes relatives à la protection des données et pas très éthique non plus. Par conséquent PayPal ne veut plus travailler avec eux et leur demande de retirer toute mention de cette marque sur leur site.

Merci Seafile pour votre transparence et votre honnêteté :)

Quant à PayPal, no comment, ce serait tirer sur l'ambulance.

La taxe Canonical sur les VPS ubuntu ?

Rédigé par uTux - - 5 commentaires

Information intéressante :

Canonical demande à OVH une "taxe" de 1 à 2 € / mois pour chaque VPS fonctionnant sous Ubuntu, sous peine de ne plus avoir le droit d'utiliser cette marque. Quand on sait que l'hébergeur propose des VPS à partir de 2,99€ / mois (HT) on se rend compte que ça fait quand même beaucoup.

Attention tout de même l'information est à prendre avec des pincettes car pour le moment nous n'avons que cette déclaration d' OVH, Canonical n'a pas livré sa version des faits. Il y a évidemment des enjeux politiques derrière tout ça. En outre cela pourrait être lié au fait que OVH modifie Ubuntu ce qui ne lui donnerait pas le droit d'utiliser ce nom.

Canonical se fait continuellement basher par la presse et les utilisateurs alors que ses produits sont très utilisés de manière gratuite sur les serveurs avec très peu de contributions - financières ou techniques - en retour, je peux donc comprendre la démarche. Néanmoins je sens venir l'erreur de communication qui risque de mal passer auprès des utilisateurs.

Fil RSS des articles de cette catégorie