Discussion :

[unknow0]

Et puis pour un utilisateur lambda les dépôts, voire plutôt le dépôt renseigné par défaut est largement suffisant pour utiliser tous les logiciels de la vie de tous les jours.

Nan l'utilisateur il veut mettre les super smiley qu'il a vu sur le site et donc il va suivre la procédure qui lui comment tout casser ...

Enfin il y a un système de vérification des dépôts fait par la distribution, je sais pas trop comment ça fonctionne mais quelques recherches te permettront de voire qu'on peut aussi sécuriser les adresses des dépôts, un genre de système de certificats je crois.

ça ne sert que pour empêcher le vol d'adresse si le pirate crée un dépôt il fournit son certificat, ça ne protège en rien.
Enfin ça empêche juste que le pirate se fasse passer pour un dépôt officiel.

[dams78]

Nan l'utilisateur il veut mettre les super smiley qu'il a vu sur le site et donc il va suivre la procédure qui lui comment tout casser ...

Donc on empêche l'utilisateur d'ajouter un dépôt, donc on se retrouve avec un système à la Apple Store qui au final rencontre un franc succès. Donc c'est peut- être ça que recherche l'utilisateur?

Ça ne sert que pour empêcher le vol d'adresse si le pirate crée un dépôt il fournit son certificat, ça ne protège en rien.
Enfin ça empêche juste que le pirate se fasse passer pour un dépôt officiel.

Il faudrait que je regarde comment ça fonctionne actuellement. Mais rien n'empêche de faire évoluer ce système pour réellement contrôler les dépôts.

[unknow0]

Donc on empêche l'utilisateur d'ajouter un dépôt, donc on se retrouve avec un système à la Apple Store qui au final rencontre un franc succès. Donc c'est peut être ça que recherche l'utilisateur?

C'était juste un cas d'usage ^^
Je ne suis pas pour un système a l'appstore qui bloque tout :s
Mais il faudrait bien faire comprendre aux utilisateurs que "s'ils installent un truc venant d'on ne sait où ils vont tout casser!" (ou tout du moins il y a des fortes chances)

Il faudrait que je regarde comment ça fonctionne actuellement. Mais rien n'empêche de faire évoluer ce système pour réellement contrôler les dépôts.

genre une liste des dépôts testée et approuvée (mais qui va la maintenir?) et à chaque fois qu'on ajoute un dépôt n'étant pas dans la list un gros warning "Dépôt non fiable, accepter risque de tout casser"

[Louis Griffont]

Bien sûr que non, prenons l'existant (qu'on peut amélioré ou prendre différemment comme l'a fait Apple avec l'AppleStore...). Sous Debian / Ubuntu sois tu passes par un dépôt existant, donc effectivement gérer par un tier (Debian ou autre) soit tu fais ton propre dépôt, c'est ce que j'appellerai la liberté plutôt...

Donc tu as 2 manières :
Le dépôt officiel, restreint aux logiciels que les propriétaires ont bien voulu mettre.
Les dépôts non officiels qui eux peuvent être réalisés par n'importe qui.
Elle est où la liberté du 1er et la sécurité du 2nd ?

Tout simplement n'importe quoi... Ya même pas à débattre là dessus, si t'as pas compris qu'on devait séparer les droits d'utilisateurs et d'admin et même aller jusqu'à créer des bac à sables pour les différents services qui tournent sur une machine, bah ya du chemin à faire pour parler sécurité ensuite.

C'est toi qui ne comprend pas ce qu'implique ce que tu annonces.
Je te re-cite

Si tu prends l'exemple de Debian / Ubuntu rien ne t'empêche d'élever tes droits pour installer un logiciel "à la main".

Qu'est-ce ça implique ! M. Toutlemonde peut élever ses droits pour installer tout et n'importe quoi. Donc, je maintiens ce que je dis, plus aucune sécurité ! C'est quand même pas compliqué à comprendre, non ?
Une personne achète un PC, installes Débian dessus, et donc fournit elle-même le mot de passe root ! A partir de ce moment, qui va empêcher cette personne d'installer n'importe quel malware sur son PC ?

Tout à fait, mais étant donné que c'est toi (plus exactement l'admin) qui va rajouter le dépôt à la liste des dépôts, il y a une certaine forme de vérification de ce dépôt. Et puis pour un utilisateur lambda les dépôts, voire plutôt le dépôt renseigné par défaut est largement suffisant pour utiliser tous les logiciels de la vie de tous les jours.

Mais qu'est-ce qui te donne le droit de penser que ce qui te convient, convient à tout le monde ?

Ensuite pour ce qui est des logiciels autres (genre moi j'ai du rajouter un dépôt pour une machine virtuelle) et bah étant donnée que tu cherches un logiciel particulier tu t'es renseigné dessus et donc on peut supposé que tu sais ce que tu fais.

C'est exactement ce que fait le pirate. Il se base sur le fait que la personne croit savoir ce qu'elle fait !

Enfin il y a un système de vérification des dépôts fait par la distribution, je sais pas trop comment ça fonctionne mais quelques recherches te permettrons de voire qu'on peut aussi sécuriser les adresses des dépôts, un genre de système de certificats je crois.

Un certificat n'est pas une garantie. Et si on part sur le principe qu'il faut l'accord d'une organisation pour que le dépôt soit accepté, on en revient à l'AppStore, et donc plus de liberté ! Avec tous les abus possibles, bien évidemment !

Aucun système n'est parfait. Celui des dépôts est peut-être plus sécurisé, certes, mais il devient forcément plus liberticide. Et si on veut l'ouvrir, alors on le rend moins sûr. C'est une règle, hélas !

[unknow0]

Aucun système n'est parfait. Celui des dépôts est peut-être plus sécurisé, certes, mais il devient forcément plus liberticide. Et si on veut l'ouvrir, alors on le rend moins sûr. C'est une règle, hélas !

Hélas oui.

C'est la ou intervient la sensibilisation des utilisateurs, bien leur faire comprendre qu'il ne faut ajouter n'importe quoi .. oui bon d'accord c'est un peu une peine perdu ..

On peu aussi compliquer l'ajout de dépôt ainsi un simple utilisateur ne s'y risquera pas.. (quoi c'est une solution a la con.. oui bon ok xD)

[dams78]

Je pense qu'effectivement le mieux c'est que vous restiez avec vos droits administrateurs et vos fichier .exe à installer à la main, c'est certainement ce qu'il se fait de mieux.
D'ailleurs maintenant je vais certainement me logger qu'en root et n'installer que des binaires directement récupérer sur les sites des éditeurs, c'est tellement plus simple.

[Louis Griffont]

Je pense qu'effectivement le mieux c'est que vous restiez avec vos droits administrateurs et vos fichier .exe à installer à la main, c'est certainement ce qu'il se fait de mieux.
D'ailleurs maintenant je vais certainement me logger qu'en root et n'installer que des binaires directement récupérer sur les sites des éditeurs, c'est tellement plus simple.

Il n'y a pire aveugle que celui que ne veut pas voir !

[ALT]

Ouyye, le troll !

Bon, si j'essaye de résumer :
W 7 est déjà piraté, ce qu'on sait depuis longtemps, bien que son code soit fermé.
Linux pourrait l'être plus s'il était plus répandu.
Oui.
J'ai juste lu quelque part (PC Expert de je-ne-sais-plus-quand) qu'un développeur de virus pour Linux devrait être plus intelligent qu'avec OuinDose.
Bon ça, c'est juste pour alimenter le troll.

Néanmoins il me semble que la grande faille des systèmes µ$oft est qu'on travaille par défaut avec les droits d'administrateur, puisqu'avec XP le premier compte installé (la plupart du temps : le seul) a tous les droits.
Problème apparemment corrigé avec Vista (&, je suppose avec 7), mais le simple fait qu'ils aient développé ce genre de solution montre que le souci principal des développeurs n'est pas la sécurité.

Pour le reste, oui je suis d'accord que la liberté comporte des risques. Plus on est libre, plus on en prend. Mais c'est aussi vrai dans la vie de tous les jours.
Les anciens systèmes (MVS, UNIX, VMS...) étaient complètement verrouillés & parfaitement fiables. Et un utilisateur n'avait que les droits (appelés aussi privilèges) accordés par l'administrateur.
Le simple fait d'introduire une application qui interragit avec le noyau système présente un danger. Même si elle n'est pas malveillante, il suffit d'un bug mal placé pour planter le système.

Alors W 7 moins fiable que Linux ? Je ne sais pas.
J'ai souvenir d'une formation sur W 2003 serveur. Les PC étaient équipés de 2 Go de RAM, tounaient en natif sous XP & on faisait fonctionner en machines virtuelles XP (encore) & 2003 serveur.
Les machines virtuelles avaient été préparées par un vrai spécialiste OuinDose.
Eh ben... Ça n'a pas planté pendant une semaine (5 jours sans le moindre redémarrage de la machiine physique) !
J'ai ainsi découvert qu'un système µ$oft correctement installé pouvait être fiable...
La question est : combien, même parmi les intégrateurs, savent installer proprement du OuinDose ?
Autrement dit, malgré leurs publicités tonitruantes, ces machins-là ne sont pas simples ni triviaux à utiliser.

Ce que je leur reproche le plus ? Leur prix. Et le fait que même si on entre un numéro de licence valide (celui qui est sur le PC) on peut avoir un message du style "Vous êtes probablement viictime d'une contrefaçon logicielle. Pour la corriger cliquez là". Et le lien pointe sur les tarifs...
Alors plus fiable ou pas devient secondaire. Tant qu'ils seront aussi chers & intrusifs dans mes données (à leur seul avantage), je n'en veux pas. À ce sujet je rappelle que l'armée française avait dû abandonner, au moins sur les PC sensibles, W2000 car ils se sont aperçus que les données très confidentielles partaient, via Internet, vers... Microsoft entre autres !
Ça, c'est un gros inconvénient du code fermé : on ne peut pas savoir ce qu'il fait. Oui, je sais que je ne saurais analyser facilement 20 000 lignes de code, mais je sais que d'autres en sont capables & n'ont aucun lien hiérarchique ni commercial avec les développeurs. Donc aucune obligation de confidentialité. C'est peut-être tarte, mais ça me rassure. Car une telle tare du programme serait très vite connue, a priori.
Mais là je m'éloigne nettement du sujet.

Bonne journée à tous

[guigz2000]

Ouyye, le troll !

Bon, si j'essaye de résumer :
W 7 est déjà piraté, ce qu'on sait depuis longtemps, bien que son code soit fermé.
Linux pourrait l'être plus s'il était plus répandu.
Oui.
J'ai juste lu quelque part (PC Expert de je-ne-sais-plus-quand) qu'un développeur de virus pour Linux devrait être plus intelligent qu'avec OuinDose.
Bon ça, c'est juste pour alimenter le troll.

Néanmoins il me semble que la grande faille des systèmes µ$oft est qu'on travaille par défaut avec les droits d'administrateur, puisqu'avec XP le premier compte installé (la plupart du temps : le seul) a tous les droits.
Problème apparemment corrigé avec Vista (&, je suppose avec 7), mais le simple fait qu'ils aient développé ce genre de solution montre que le souci principal des développeurs n'est pas la sécurité.

Pour le reste, oui je suis d'accord que la liberté comporte des risques. Plus on est libre, plus on en prend. Mais c'est aussi vrai dans la vie de tous les jours.
Les anciens systèmes (MVS, UNIX, VMS...) étaient complètement verrouillés & parfaitement fiables. Et un utilisateur n'avait que les droits (appelés aussi privilèges) accordés par l'administrateur.
Le simple fait d'introduire une application qui interragit avec le noyau système présente un danger. Même si elle n'est pas malveillante, il suffit d'un bug mal placé pour planter le système.

Alors W 7 moins fiable que Linux ? Je ne sais pas.
J'ai souvenir d'une formation sur W 2003 serveur. Les PC étaient équipés de 2 Go de RAM, tounaient en natif sous XP & on faisait fonctionner en machines virtuelles XP (encore) & 2003 serveur.
Les machines virtuelles avaient été préparées par un vrai spécialiste OuinDose.
Eh ben... Ça n'a pas planté pendant une semaine (5 jours sans le moindre redémarrage de la machiine physique) !
J'ai ainsi découvert qu'un système µ$oft correctement installé pouvait être fiable...
La question est : combien, même parmi les intégrateurs, savent installer proprement du OuinDose ?
Autrement dit, malgré leurs publicités tonitruantes, ces machins-là ne sont pas simples ni triviaux à utiliser.

Ce que je leur reproche le plus ? Leur prix. Et le fait que même si on entre un numéro de licence valide (celui qui est sur le PC) on peut avoir un message du style "Vous êtes probablement viictime d'une contrefaçon logicielle. Pour la corriger cliquez là". Et le lien pointe sur les tarifs...
Alors plus fiable ou pas devient secondaire. Tant qu'ils seront aussi chers & intrusifs dans mes données (à leur seul avantage), je n'en veux pas. À ce sujet je rappelle que l'armée française avait dû abandonner, au moins sur les PC sensibles, W2000 car ils se sont aperçus que les données très confidentielles partaient, via Internet, vers... Microsoft entre autres !
Ça, c'est un gros inconvénient du code fermé : on ne peut pas savoir ce qu'il fait. Oui, je sais que je ne saurais analyser facilement 20 000 lignes de code, mais je sais que d'autres en sont capables & n'ont aucun lien hiérarchique ni commercial avec les développeurs. Donc aucune obligation de confidentialité. C'est peut-être tarte, mais ça me rassure. Car une telle tare du programme serait très vite connue, a priori.
Mais là je m'éloigne nettement du sujet.

Bonne journée à tous

un linux installé par un neophyte n'est pas plus securisé qu'un windows..

En ce qui concerne la securite dans tous les cas,tous depend de la personne qui installe le systeme et de sa competence.De meme,les besoins de securité ne sont pas tous les meme.Pour un desktop chez soit,la securité est différente que pour un reseau d'entreprise avec des centaines d'utilisateurs et des données a protèger.

Tu parles du compte administrateur sous XP,mais il est possible de créer des comptes limité.Le seul probleme qui est le meme qu'avec n'importe quel OS, c'est que si tu n'y connais rien et que surtout si tu n'as pas envie ni besoin de t'emmerder avec une gestion d'utilisateurs, tu restes avec le compte administrateur pour pouvoir installer et utiliser ce dont tu as besoin sans avoir a changer de compte toutes le 5 minutes.Ca, que ca soit sous linux,OSX ou windows,c'est pareil(quid du sudo).Rien a voir avec les soucis des developpeurs,c'est juste les soucis de l'utilisateur.Les systemes UNIX etaient verrouillés,mais il y avais un installateur pro qui effectuais une gestion des utilisateurs ainsi que les installations necessaires,rien a voir avec le pekin moyen qui viens d'acheter son premier PC a casino et qui veux juste surfer sur le web.

[ManusDei]

Heu.. Comme l'a dit Rams7s t'en connais combien qui regardent les codes des applis Open Source pour corriger les bugs ? Ou même combien, qui remontent les infos au ST quand ils ont découverts ce qu'ils supposent être un bug ? (et là ça ne concerne pas que le libre)

J'arrive un peu après la guerre, mais j'en vois plein les forums d'Eclipse, sur les plugin Eclipse.

[dams78]

Tu parles du compte administrateur sous XP,mais il est possible de créer des comptes limité.Le seul probleme qui est le meme qu'avec n'importe quel OS, c'est que si tu n'y connais rien et que surtout si tu n'as pas envie ni besoin de t'emmerder avec une gestion d'utilisateurs, tu restes avec le compte administrateur pour pouvoir installer et utiliser ce dont tu as besoin sans avoir a changer de compte toutes le 5 minutes.Ca, que ca soit sous linux,OSX ou windows,c'est pareil(quid du sudo)

Tu peux pas comparer le compte root ou alors le système de sudo avec un compte utilisateur qui est en plus administrateur (qui va donc se loguer avec son compte, lire ses mails en tant qu'admin etc).

[ALT]

Sans compter qu'avec XP, pour installer le moindre truc, il faut sortir de son compte perso, se connecter en tant qu'administrateur, installer le bidule, puis se déconnecter du compte admin., se reconnecter sur son compte perso...
Quand tu as fait ça quatre ou cinq fois de suite, tu craques & tu te connectes uniquement en administrateur.

La distinction entre station de bureau au taf & le PC perso chez soi est effectivement importante. C'est pourquoi j'aurais tendance, au boulot, à limiter les droits des utilisateurs. Mais c'est souvent difficile à faire admettre.

Je suis d'accord que l'utilisateur de base qui peut avoir les droits d'admin. peut faire n'importe quoi sur sa bécane. Quel que soit le système.

Comme ça a déjà été écrit ici, le système ne vaut rien sans la vigilance de l'utilisateur. S'il laisse traîner le mot de passe de on compte admin. sur l'écran (ou s'il n'y a pas de mot de passe...), s'il le donne au premier inconnu de passage, s'il télécharge tout ce qui lui passe à portée de souris... Eh ben y a rien à faire.
Et s'il plante son outil de travail, tant pis pour lui.
Par contre, s'il plante tout le réseau...

[guigz2000]

Tu peux pas comparer le compte root ou alors le système de sudo avec un compte utilisateur qui est en plus administrateur (qui va donc se loguer avec son compte, lire ses mails en tant qu'admin etc).

Il y a possibilité de creer des comptes limités dans XP,mais personne ne le fait sur son pc personnel sur lequel il est bien souvent le seul utilisateur.Sous vista et 7,il y a l'ACT qui demande lorsque une elevation est necessaire(et microsoft se sont fait emmerder parce que c'etait trop intrusif et frequent!!!).
Il faut pas oublier que XP a 8 ans(c'est un papi!) et qu'a l'epoque,tous ces problemes de securité n'etaient pas vraiment primordiaux car internet n'en etait pas a l'etat actuel.Enfin,pour ce qui est de lire ses mails en tant qu'admin ou pas,maintenant,la plupart des clients mails previennent avant d'ouvrir une piece jointe douteuse.

[Louis Griffont]

Tu peux pas comparer le compte root ou alors le système de sudo avec un compte utilisateur qui est en plus administrateur (qui va donc se loguer avec son compte, lire ses mails en tant qu'admin etc).

Tu peux créer un compte LIMITE sous XP
Là, tu as lu ? Un compte limité sous XP ne peut pas installer de logiciels, de nouveaux periphériques, etc. Je le sais, c'est ce que j'avais fait pour le PC de la famille, afin d'éviter à ma fille ou a ma femme de faire des bêtises !

Maintenant, dans une entreprise, avec un service informatique, il est possible de faire la même chose.
Comme je l'ai dit, le péquin moyen qui va installer un Linux (quelque soit la distri) va créer le compte root, et donc pourra l'utiliser pour faire ce qu'il veut. Et si le système lui demande le mot de passe admin pour installer un truc, il le lui donnera. Aucune sécurité de plus que dans Windows ! Si ce n'est la gestion des dépôts officiels. Mais, comme je l'ai dit, ces dépôts sont une restrictions et c'est assez surprenant que ceux qui prônent le "Libre" soit les mêmes qui vantent le verrouillage des dépôts !

[ALT]

XP a peut-être 8 ans, mais quand 2000 était sorti, ils avaient prévu de demander le mot de passe de l'administrateur à chaque installation. Le malheur c'est que ça ne fonctionnait pas toujours.
Et ça a été supprimé avex XP !
Les problèmes de sécurité sont donc plus anciens qu'XP !

[ALT]

Oui, Louis, tu as raison, on peut créer un compte utilisateur avec XP.
Mais rien ne signale clairement les risques à l'utilisateur moyen : on lui demande de créer le premier compte utilisateur & hop, il a les droits d'administrateur !
Les distributions Linux te demandent un mot de passe pour le compte admin (root) puis t'encouragent très vivement, aussitôt après, à créer un compte utilisateur.
C'est déjà une très grosse différence.
Une autre différence : certaines distributions (Debian & dérivés) interdisent une connexion graphique en tant qu'administrateur. Donc, quand on se connecte en console, on ne fait que de l'administration.
Ça aussi c'est une grosse différence.
Encore une fois, après c'est l'utilisateur qui assure ou non la sécurité de son poste.

PS : Comment va la Kwasinette ?

[unknow0]

Comme je l'ai dit, le péquin moyen qui va installer un Linux (quelque soit la distri) va créer le compte root, et donc pourra l'utiliser pour faire ce qu'il veut.

heuu tu a deja essayer de te logguer avec ton compte root directement (dans l'interface graphique j'entends)? nan? bin tu peu pas tous simplement!

et ou itu ne peu pas comparer le compte admin xp ou la tu l'utilise pour tous faire et une élévation des privilège seulement quand tu en a besoin (sudo ou depuis vista)

Et si le système lui demande le mot de passe admin pour installer un truc, il le lui donnera.

Malheureusement oui :s

Aucune sécurité de plus que dans Windows ! Si ce n'est la gestion des dépôts officiels. Mais, comme je l'ai dit, ces dépôts sont une restrictions et c'est assez surprenant que ceux qui prônent le "Libre" soit les mêmes qui vantent le verrouillage des dépôts !

les dépôt ne sont pas verrouiller justement, c'est dedans c'est cool. C'est pas dedans soit l'éditeur a un dépôt, soit un .deb (ou autre rpm) soit les source.

[Louis Griffont]

Oui, Louis, tu as raison, on peut créer un compte utilisateur avec XP.
Mais rien ne signale clairement les risques à l'utilisateur moyen : on lui demande de créer le premier compte utilisateur & hop, il a les droits d'administrateur !

Enfin un truc vrai ! Et regrettable, mais corrigé sous Vista et Seven ! Ouf !

Les distributions Linux te demandent un mot de passe pour le compte admin (root) puis t'encouragent très vivement, aussitôt après, à créer un compte utilisateur.
C'est déjà une très grosse différence.

Effectivement ! Mais on sait tous que ce n'est pas suffisant !

Une autre différence : certaines distributions (Debian & dérivés) interdisent une connexion graphique en tant qu'administrateur. Donc, quand on se connecte en console, on ne fait que de l'administration.
Ça aussi c'est une grosse différence.
Encore une fois, après c'est l'utilisateur qui assure ou non la sécurité de son poste.

Certes, et je le sais, mais, rien n'empêche l'administration en mode graphique. Sous une Debian, on peut demander en mode graphique à faire de l'administration, il demande le mot de passe root, et propose de le mémoriser pour toute la session. Si aujourd'hui Debian remplaçait Windows sur les PC vendus au public, très vite on retrouverait les mêmes problèmes que sous Windows avec des personnes qui feraient n'importe quoi. Le seul truc, c'est qu'il râleraient parce qu'on leur demande un mot de passe toutes les 5 minutes ! On a vu ce que ça donnait avec L'UAC de Vista !

PS : Comment va la Kwasinette ?

Bien, merci ! Elle vole de ses propres ailes maintenant ! mais aussi !
Elle vient nous voir ce WE ! Génial !

PS :

heuu tu a deja essayer de te logguer avec ton compte root directement (dans l'interface graphique j'entends)? nan? bin tu peu pas tous simplement!

Et ça change quoi ? Cf Réponse ci-dessus !

et ou itu ne peu pas comparer le compte admin xp ou la tu l'utilise pour tous faire et une élévation des privilège seulement quand tu en a besoin (sudo ou depuis vista)

Et pourquoi ?

les dépôt ne sont pas verrouiller justement, c'est dedans c'est cool. C'est pas dedans soit l'éditeur a un dépôt, soit un .deb (ou autre rpm) soit les source.

En quoi c'est cool ? Je veux un truc qui n'est pas dans le depôt de l'éditeur alors je rame comme un malade, et il me faut être ingénieur système pour m'en sortir ? Oué !!! Génial !
C'est sûr qu'avec une telle mentalité, Windows a encore de très très beaux jours devant lui !

[unknow0]

Et ça change quoi ? Cf Réponse ci-dessus !

ca évite que tous ce qui soit exécuter (du flash, applet java, ..) ai les droit d'admin est puissent faire nawak sur l'ordi.
Mais c'est vrai qu'au final ca change bien peu de chose.

En quoi c'est cool ? Je veux un truc qui n'est pas dans le depôt de l'éditeur alors je rame comme un malade, et il me faut être ingénieur système pour m'en sortir ? Oué !!! Génial !

même bordel que sous windows oui ^^
spas dans les dépôts go te faire chier sur le net pour trouver le dit programme.

[dams78]

Juste comme ça, le jour où j'ai voulu créer un compte utilisateur sur Xp pour ma mère, elle ne pouvait pas imprimer avec...

Sinon je rentre pas mon mot de passe toutes les 5 min, c'est pas parce que vous le faite sous Windows que c'est comme ça sous tous les OS...

D'ailleurs un truc marrant, vous dites que les utilisateurs de Windows se plaignent, mais à côté de ça, j'ai entendu peu d'utilisateurs de Linux se plaindre du système de dépôts, mot de passe root, etc.