Le Blog Utux

Une importante porte dérobée dans 55 modèles de terminaux Android (NextINpact).

Dans le monde fantastique d'Android et ARM il y a des constructeurs qui veulent absolument avoir la main sur le firmware et l'OS en refusant de partager le code source ou simplement en interdisant l'accès root. Donc vous n'avez pas le choix : la sécurité, la solidité et les mises à jour sont soumises à leur bon vouloir. Sauf que le paradoxe c'est qu'ils n'ont pas l'envie ou les compétences pour s'en occuper, et c'est ainsi qu'on se retrouve avec des failles inacceptables telles que ce rootkit visiblement oublié par un sous-traitant qui exécute n'importe quelle commande root sans trop se poser de questions :

C'est très grave, et ça l'est encore plus quand on sait que ces problèmes sont fréquents et que là encore il faudra attendre une mise à jour fournie par le constructeur. Mais sur les 55 modèles impactés, combien auront droit à un correctif ? Probablement très peu, un classique dans le monde des smartphones. Et Google n'y peut rien car bien qu'il soit le créateur et mainteneur d'Android, il n'est pas possible aujourd'hui de déployer des mises à jour sur l'intégralité des appareils, le matériel étant beaucoup trop différent et non standardisé.

Même sans parler de logiciel libre ou même d'opensource il est urgent que les plateformes ARM se normalisent et implémentent un BIOS ou un UEFI comme sur le x86, ce qui permettrait de se libérer des constructeurs et avoir plus de souplesse sur le système d'exploitation. Il a été démontré de nombreuses fois qu'on ne peut pas leur faire confiance car ils voient leurs produits comme des gadgets électroniques et non comme des ordinateurs pour lesquels la sécurité doit être prise au sérieux.

EDIT : Et hop, encore une faille qui ne sera jamais corrigée !

J'ai commencé à rédiger cet article il y a presque un mois, mais par manque de temps et d'inspiration il est resté à l'état de brouillon. Je le publie aujourd'hui car même si l'événement n'est plus d'actualité, les réactions de certaines personnes m'ont vraiment indigné et donné l'envie d'écrire.

Vous connaissez l'histoire, en 2008 un utilisateur, Vincent Deroo-Blanquart, achète un ordinateur SONY et porte plainte parce que l'ordinateur est fourni avec Windows et tout un tas de logiciels dont le prix n'est pas clairement indiqué et surtout il n'y a pas de moyen de les refuser sans renoncer à l'achat. Il est finalement débouté et la vente liée que l'on a toujours cru illégale est même déclarée explicitement comme acceptable par la justice européenne : résumé (NextINpact). Ce jugement est potentiellement lourd de conséquences puisqu'il pourrait inciter les constructeurs qui pratiquent aujourd'hui des remboursements du système d'exploitation à cesser cette pratique.

La vente liée est le ciment du monopole de Microsoft, l'écrasement absolu de toute concurrence puisque quoi qu'il arrive chaque ordinateur vendu dans le monde = 1 licence Windows. Et elle n'est pas gratuite, elle représente une partie du prix du PC. C'est un fait dénoncé entre autres par les utilisateurs de Linux depuis des années mais qui touche en réalité bien plus de gens, par exemple ceux qui veulent installer leur propre copie de Windows 7 ou encore les professionnels qui ont des licences en volume et qui se retrouvent à payer en double pour rien lors des achats de matériel.

Cyrille donne un avis tranché et considère le plaignant comme un emmerdeur puisque de toutes manières il existe des ordinateurs sans OS tels que ceux proposés chez LDLC. Si sa démarche était réellement d'emmerder le monde alors je tiens à le féliciter, s'attaquer seul aux poids lourds que sont SONY et Microsoft , faire remonter l'affaire jusqu'à la justice européenne avec ses propres deniers tout ça pour en arriver à une conclusion qui constitue un retour en arrière pour les droits des consommateurs, c'est le troll du siècle. Sauf que la plainte date de 2008, époque à laquelle il était encore plus difficile qu'aujourd'hui de trouver des ordinateurs sans OS, et qu'en plus on a pas forcément envie d'acheter la marque LDLC. Et enfin les vraies questions de la vente liée sont, une fois de plus, évitées.

L'approche de ce jugement est purement pragmatique : les gens veulent un OS sur leur ordinateur, et même si le prix était clairement indiqué, même si on pouvait refuser, ça n'influencerait pas la décision d'achat, donc il est inutile de détailler le prix des logiciels ou donner la possibilité de refuser. Admettons, mais dans ce cas pourquoi Microsoft ? Pourquoi ne pas permettre à d'autres éditeurs de préinstaller leurs OS ? Même sans évoquer Linux, la question de l'illégitimité du monopole de Microsoft n'est jamais soulevée. Et puis si on va au bout du raisonnement, pourquoi continuer à indiquer les ingrédients et compositions sur les produits que l'on achète au supermarché, puisque ça n'influencerait pas les achats des consommateurs ? Ou dans l'autre sens : s'il n'y a pas d'influence négative sur le marché, pourquoi ne pas afficher les prix ? De plus on ne demande pas le retrait de Windows sur chaque machine, on demande l'affichage du prix réel des logiciels ainsi que la possibilité de les refuser sans devoir renoncer à l'achat.

Morgan Spurlock, protagoniste et réalisateur du film Supersize Me aurait pu être lui aussi être qualifié d'emmerdeur, mais aujourd'hui tout le monde considère qu'il a raison et que derrière l'économie, les emplois et le succès des fastfood, il y a la malbouffe, les maladies, l'endoctrinement des enfants, la désinformation des adultes. De là à transposer cette situation à l'informatique et à dire que dans quelques gouvernements années on réalisera que donner les clés de notre industrie / éducation / défense à Microsoft n'est pas une bonne idée et qu'on indiquera au moins le prix des logiciels sur les ordinateurs en grande surface, il n'y a qu'un pas utopiste que je franchis.

En conclusion, non, notre plaignant, Vincent Deroo-Blanquart n'est pas un emmerdeur, ou alors si mais dans le bon sens, et en tant que geeks nous devrions le remercier d'être allé aussi loin alors que tout le monde se contente de râler ou fermer les yeux, parce qu'au final ce n'est pas le desktop linux qui importe, c'est que le PC reste une plateforme ouverte avec du choix sur laquelle nous pouvons bidouiller.

Depuis la mise à jour anniversary de Windows 10, il est possible d'installer un sous-système ubuntu 14.04 et de lancer bash (et d'autres logiciels), ça ressemble à ça :

Impressionné ? Non ? Moi non plus, on a déjà vu ça avec Cygwin (qui existe depuis 1995 d'après Wikipedia), la différence est que c'est supporté par Microsoft et que l'on a accès aux dépôts de ubuntu. Et comme il s'agit de la 14.04, pas de systemd, dommage cela aurait pu donner lieu de bons à trolls.

Tous ces efforts de Microsoft pour se rapprocher de Linux montrent à quel point ils sont largués. Bien que Windows soit solidement implanté dans le grand public (grâce à la vente liée) et le monde professionnel (A.D, Exchange qui sont plutôt de bons outils) c'est toujours Linux qui est en tête sur les serveurs présents sur internet (web et messagerie pour ne citer que deux domaines). En tant que sysadmin je ne peux pas faire mon métier depuis Windows, cet OS n'est pas conçu pour cela : où sont dig, tcpdump, ssh , grep ? Et pourquoi est-ce que je choisirais IIS qui nécessite d'acheter une licence Windows Server ainsi qu'une machine correctement dimensionnée (gros CPU, 4GB de RAM, 80GB de disque) tout ça pour avoir moins de souplesse et de performances que Debian + Nginx qui tiennent sur 256MB de RAM et 8GB de disque ?

Dans le monde du devops, là encore Microsoft est à la ramasse. Par exemple Ansible et Docker sont des outils libres, gratuits, communautaires, documentés et simples qui ont le vent en poupe et s'appuient sur des composants qui n'existent pas sur Windows : ssh pour le premier, les containers pour le second. Et c'est génial.

En conclusion ce sous-système ubuntu dans Windows ne révolutionne rien mais vient combler un manque de Windows et il en avait grandement besoin. Reste à voir comment il se comporte et s'administre, avec le temps.

Je suis tombé sur ça :

D'une part je suis curieux de savoir d'où ils tiennent cette information, est-ce qu'ils ont fait un sondage ?
D'autre part, si je raisonne en bon spectateur lobotomisé par BFMTV, voici ce que je suis censé comprendre :

1. Telegram n'est pas surveillé
2. Les terroristes utilisent Telegram
3. Donc il faut surveiller Telegram pour arrêter le terrorisme

Et, par extension :

1. Les gens qui ont des choses à se reprocher ne veulent pas être surveillés
2. Les gens qui n'ont rien à se reprocher acceptent d'être surveillés
3. Donc, si je refuse la surveillance, c'est que j'ai des choses à me reprocher

Ce raisonnement s'appelle un syllogisme et ce n'est pas de la logique, c'est un paralogisme. Et ça mène à des choses absurdes, comme le dit Wikipédia :

Tous les humains sont mortels. (A ⇒ B)
Un âne est mortel. (C ⇒ B)
Donc un âne est un humain. (C ⇒ A)

Et voilà commenter démonter un faux raisonnement avec un peu d'intelligence.

Il se trouve que l'article a le bon goût de nous rappeler que Telegram a été créé par deux russes qui ne voulaient pas être surveillés par leur gouvernement et que leur logiciel est utilisé par des dissidents sous dictature mais aussi par des hommes politiques qui ont besoin de confidentialité, ou simplement par les journalistes qui veulent garantir l'anonymat de leurs sources, donc au final le chiffrement ne profite pas qu'aux criminels.

Faut-il donc y voir le travail d'un journaliste qui a essayé de faire correctement son boulot mais qui a du se résoudre à présenter un titre putaclick pour rester dans la ligne éditoriale du journal ? S'agit-il d'un exemple de manipulation de l'information ? Le prochain responsable de tous les maux de la planète sera-t-il... le chiffrement lui-même ?

Je regrette qu'en 2016 les principaux OS ne proposent pas de solution simple de chiffrement pour les clés et disques durs USB, des périphériques qui sont amenés à voyager régulièrement en dehors de la maison/bureau. Il est très facile voire courant de les perdre et celui qui va les trouver pourra récupérer vos documents. Vous me direz qu'il est rare de stocker les codes de la bombe atomique sur une clé USB ou même son code de carte bleue, en revanche il est courant d'y trouver des documents scannés (relevés d'impôts, de salaires, papiers d’identité....) ou même simplement du porno des photos de vacances.

Windows

Windows propose d'activer le chiffrement d'un volume en un simple clic droit, autant sur le C: que sur les périphériques USB, ce qui est louable. Malheureusement cette solution basée sur Bitlocker a trois gros défauts :

• Elle n'existe que sur Windows, aucun portage Linux ou OS X.
• Elle se limite aux éditions Pro ou supérieures pour Windows, ce qui exclue les versions Home que la majorité du grand public utilise.
• Quelle confiance peut-on placer dans une solution propriétaire de chiffrement surtout quand on sait que Windows 10 se lie de plus en plus au cloud. De là à affirmer que Microsoft peut casser le chiffrement des ordinateurs de ses clients, il n'y a qu'un pas, que je ne franchis pas pour le moment, mais je préfère rester méfiant.

Linux

Du côté de Linux on a luks, ecrypfs ou encfs mais à ma connaissance il n'est pas possible de les activer avec un simple clic droit dans l'explorateur de fichiers, il faut passer par la ligne de commandes (et refaire toutes les partitions dans le cas de luks) ce qui freine fortement leur utilisation. De plus les périphériques ne seront pas déchiffrables sur Windows.

TrueCrypt / VeraCrypt ?

Une solution multi-plateforme et relativement simple à mettre en place est Truecrypt. Même si le projet a connu une fin tragique et ne doit plus être considéré comme sûr selon ses auteurs, il existe des forks tels que Veracrypt qui ont pris le relais.

Il est apparemment possible d'utiliser VeraCrypt sous forme portable, donc sans nécessiter d'installation sur l'ordinateur, ce qui est plutôt intéressant car on peut imaginer utiliser sa clé USB sur plusieurs ordinateurs sans devoir y installer de logiciel. Cette solution est également disponible sur Linux.

Question ouverte

Comment chiffrer une clé ou un disque dur USB tout en étant sûr de pouvoir l'ouvrir simplement sur Linux et sur Windows ?