Le Blog Utux

HTTP 200 GET /

Android et ARM, c'est de la merde

Rédigé par uTux 6 commentaires

Une importante porte dérobée dans 55 modèles de terminaux Android (NextINpact).

Dans le monde fantastique d'Android et ARM il y a des constructeurs qui veulent absolument avoir la main sur le firmware et l'OS en refusant de partager le code source ou simplement en interdisant l'accès root. Donc vous n'avez pas le choix : la sécurité, la solidité et les mises à jour sont soumises à leur bon vouloir. Sauf que le paradoxe c'est qu'ils n'ont pas l'envie ou les compétences pour s'en occuper, et c'est ainsi qu'on se retrouve avec des failles inacceptables telles que ce rootkit visiblement oublié par un sous-traitant qui exécute n'importe quelle commande root sans trop se poser de questions :

Le firmware concocté par la société Ragentek dispose d’un rootkit. Autrement dit, d’un composant se chargeant au démarrage du système, possédant des droits root, pouvant exécuter n’importe quelle action et cherchant à masquer sa présence (il ne répond pas aux commandes classiques, comme PS).

C'est très grave, et ça l'est encore plus quand on sait que ces problèmes sont fréquents et que là encore il faudra attendre une mise à jour fournie par le constructeur. Mais sur les 55 modèles impactés, combien auront droit à un correctif ? Probablement très peu, un classique dans le monde des smartphones. Et Google n'y peut rien car bien qu'il soit le créateur et mainteneur d'Android, il n'est pas possible aujourd'hui de déployer des mises à jour sur l'intégralité des appareils, le matériel étant beaucoup trop différent et non standardisé.

Même sans parler de logiciel libre ou même d'opensource il est urgent que les plateformes ARM se normalisent et implémentent un BIOS ou un UEFI comme sur le x86, ce qui permettrait de se libérer des constructeurs et avoir plus de souplesse sur le système d'exploitation. Il a été démontré de nombreuses fois qu'on ne peut pas leur faire confiance car ils voient leurs produits comme des gadgets électroniques et non comme des ordinateurs pour lesquels la sécurité doit être prise au sérieux.

EDIT : Et hop, encore une faille qui ne sera jamais corrigée !

On ne pirate pas Linux en appuyant sur la touche Entrée

Rédigé par uTux 7 commentaires

Quelques journalistes peu informés ont sauté sur une faille Linux pour tenter de monter un buzz à l'aide d'articles bien putaclicks. En effet il semblerait que le maintient de la touche Entrée au démarrage, sur un système protégé par le chiffrement Luks, permet d'accéder à shell root. Il n'en fallait pas plus pour voir fleurir de nombreux articles :

Mention spéciale pour Tom's Hardware et ses "millions de systèmes Linux" ...

Non, cette faille ne permet pas de contourner le chiffrement

Et heureusement, vous imaginez le malaise si une touche entrée suffit à péter un chiffrement AES ? Cette faille ouvre un shell root, mais les partitions chiffrées restent chiffrées. Donc non, on ne contourne pas le chiffrement.

Elle requiert un accès physique

Et à partir du moment où vous avez l'accès physique à une machine, il existe de nombreux moyens d'ouvrir un shell root. En voici deux exemples :

  • Booter un LiveCD puis faire un chroot sur le disque
  • Extraire le HDD et le brancher dans un autre ordinateur, puis utiliser un chroot

Donc c'est tout sauf une nouveauté, et c'est pour ça qu'on met les serveurs dans des salles sécurisées.

Conclusion

C'est un pétard mouillé qui est plus un bug qu'une véritable faille.

Pense-bête : ubuntu-mate 16.10 + firefox + start page

Rédigé par uTux Aucun commentaire

On ne peut pas changer de page de démarrage sur Firefox depuis Ubuntu-Mate 16.10, c'est con, et il y a un rapport de bug ouvert qui n'a pas l'air d'intéresser grand monde :/

Voici ma solution custom :

$ sudo rm -r /usr/lib/firefox/defaults

C'est un peu sale mais ça ne pète ni Firefox ni votre profil. Mais en cas de mise à jour du paquet ubuntu-mate-default-settings il risque de revenir. Espérons que ce bug sera corrigé en amont.

EDIT : Autre solution, qui a l'air un peu plus propre, source :

$ sudo echo "" > /usr/lib/firefox/ubuntumate.cfg

La vente liée et l'emmerdeur

Rédigé par uTux 6 commentaires

J'ai commencé à rédiger cet article il y a presque un mois, mais par manque de temps et d'inspiration il est resté à l'état de brouillon. Je le publie aujourd'hui car même si l'événement n'est plus d'actualité, les réactions de certaines personnes m'ont vraiment indigné et donné l'envie d'écrire.

Vous connaissez l'histoire, en 2008 un utilisateur, Vincent Deroo-Blanquart, achète un ordinateur SONY et porte plainte parce que l'ordinateur est fourni avec Windows et tout un tas de logiciels dont le prix n'est pas clairement indiqué et surtout il n'y a pas de moyen de les refuser sans renoncer à l'achat. Il est finalement débouté et la vente liée que l'on a toujours cru illégale est même déclarée explicitement comme acceptable par la justice européenne : résumé (NextINpact). Ce jugement est potentiellement lourd de conséquences puisqu'il pourrait inciter les constructeurs qui pratiquent aujourd'hui des remboursements du système d'exploitation à cesser cette pratique.

La vente liée est le ciment du monopole de Microsoft, l'écrasement absolu de toute concurrence puisque quoi qu'il arrive chaque ordinateur vendu dans le monde = 1 licence Windows. Et elle n'est pas gratuite, elle représente une partie du prix du PC. C'est un fait dénoncé entre autres par les utilisateurs de Linux depuis des années mais qui touche en réalité bien plus de gens, par exemple ceux qui veulent installer leur propre copie de Windows 7 ou encore les professionnels qui ont des licences en volume et qui se retrouvent à payer en double pour rien lors des achats de matériel.

Cyrille donne un avis tranché et considère le plaignant comme un emmerdeur puisque de toutes manières il existe des ordinateurs sans OS tels que ceux proposés chez LDLC. Si sa démarche était réellement d'emmerder le monde alors je tiens à le féliciter, s'attaquer seul aux poids lourds que sont SONY et Microsoft , faire remonter l'affaire jusqu'à la justice européenne avec ses propres deniers tout ça pour en arriver à une conclusion qui constitue un retour en arrière pour les droits des consommateurs, c'est le troll du siècle. Sauf que la plainte date de 2008, époque à laquelle il était encore plus difficile qu'aujourd'hui de trouver des ordinateurs sans OS, et qu'en plus on a pas forcément envie d'acheter la marque LDLC. Et enfin les vraies questions de la vente liée sont, une fois de plus, évitées.

L'approche de ce jugement est purement pragmatique : les gens veulent un OS sur leur ordinateur, et même si le prix était clairement indiqué, même si on pouvait refuser, ça n'influencerait pas la décision d'achat, donc il est inutile de détailler le prix des logiciels ou donner la possibilité de refuser. Admettons, mais dans ce cas pourquoi Microsoft ? Pourquoi ne pas permettre à d'autres éditeurs de préinstaller leurs OS ? Même sans évoquer Linux, la question de l'illégitimité du monopole de Microsoft n'est jamais soulevée. Et puis si on va au bout du raisonnement, pourquoi continuer à indiquer les ingrédients et compositions sur les produits que l'on achète au supermarché, puisque ça n'influencerait pas les achats des consommateurs ? Ou dans l'autre sens : s'il n'y a pas d'influence négative sur le marché, pourquoi ne pas afficher les prix ? De plus on ne demande pas le retrait de Windows sur chaque machine, on demande l'affichage du prix réel des logiciels ainsi que la possibilité de les refuser sans devoir renoncer à l'achat.

Morgan Spurlock, protagoniste et réalisateur du film Supersize Me aurait pu être lui aussi être qualifié d'emmerdeur, mais aujourd'hui tout le monde considère qu'il a raison et que derrière l'économie, les emplois et le succès des fastfood, il y a la malbouffe, les maladies, l'endoctrinement des enfants, la désinformation des adultes. De là à transposer cette situation à l'informatique et à dire que dans quelques gouvernements années on réalisera que donner les clés de notre industrie / éducation / défense à Microsoft n'est pas une bonne idée et qu'on indiquera au moins le prix des logiciels sur les ordinateurs en grande surface, il n'y a qu'un pas utopiste que je franchis.

En conclusion, non, notre plaignant, Vincent Deroo-Blanquart n'est pas un emmerdeur, ou alors si mais dans le bon sens, et en tant que geeks nous devrions le remercier d'être allé aussi loin alors que tout le monde se contente de râler ou fermer les yeux, parce qu'au final ce n'est pas le desktop linux qui importe, c'est que le PC reste une plateforme ouverte avec du choix sur laquelle nous pouvons bidouiller.

Doit-on mettre wikipedia dans les listes d'adblocks ?

Rédigé par uTux 9 commentaires

Parce que là, faut pas déconner :

Plus des 3/4 de l'écran occupés par un message publicitaire ! Et l'année prochaine ce sera 100% ? Ou une vidéo avec du son très fort qui se charge en plein écran ?

Je sais que Wikipedia est plus important pour la culture que toutes les maisons de disques réunies (et toc!), certes ils sont gratuits et sans pub, mais c'est très agaçant, il s'agit des pratiques que tout le monde essaie de bannir depuis des années, à savoir bloquer la lecture du visiteur et le harceler pour lui faire cracher ses précieux deniers.

Fil RSS des articles