Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Linux Mint : le site officiel piraté, des images ISO infectées

Et un site toujours hors ligne

Linux Mint : le site officiel piraté, des images ISO infectées

Le 22 février 2016 à 15h00

Le site de la distribution Linux Mint a été piraté à deux reprises dans la journée du 20 février. Une version particulière de la distribution a été infectée avec une porte dérobée et distribuée pendant quelques heures. La situation est revenue depuis à la normale.

Les attaques contre les sites ont beau se multiplier, elles concernent en grande majorité des produits commerciaux capables d’attirer des millions d’utilisateurs. Les projets libres sont davantage épargnés, ce qui ne signifie pas pour autant qu’ils soient à l’abri. Preuve en est l’attaque contre Linux Mint, une distribution populaire et basée sur Ubuntu, qui prépare actuellement sa version 18 – « Sarah »- pour mai ou juin prochain.

Des liens vers des images ISO infectées

Dans la nuit de vendredi à samedi, des pirates ont attaqué le site officiel de Linux Mint et sont parvenus à s’insérer dans le serveur principal. De là, ils ont pu changer le lien de téléchargement direct pour Linux Mint 17.3 Cinnamon Edition, la variante la plus téléchargée du système. Cinnamon est un environnement graphique très largement inspiré de GNOME 2.X et créé pour contenter ceux qui n’appréciaient pas la direction prise par la version suivante.

Le nouveau lien pointait vers une version vérolée de Linux Mint, stockée sur un serveur FTP en Bulgarie. Dans le système se trouvait Tsunami, un cheval de Troie contenant une porte dérobée pilotable par des commandes IRC. Le lien est resté actif quelques heures avant que les administrateurs du site ne se rendent compte de l’intrusion. Tous ceux qui ont récupéré l’ISO de la distribution en direct avant le 20 février ne sont donc pas concernés, pas plus que ceux qui l’ont récupérée par BitTorrent. Idem pour toutes les autres variantes de Linux Mint.

Une brèche qui n'a toujours pas été trouvée

Pour autant, les administrateurs ne se sont pas débarrassés tout de suite du problème. Ils ont bien remis les bons liens sur le site, mais les pirates ont réussi à revenir une deuxième fois, prouvant que le point d’entrée n’avait pas été trouvé. L’équipe de Linux Mint, redoutant que le problème ne se propage trop rapidement auprès des utilisateurs, a donc mis hors ligne le site et a publié hier un billet explicatif pour préciser à la communauté ce qu'il s’était passé.

À l’heure où nous écrivons ces lignes, le site officiel de la distribution n’est toujours pas revenu en ligne. Les administrateurs travaillent donc encore sur la sécurité, pour trouver comment les pirates ont pu s’introduire. Dans leur billet explicatif, ils invitent les utilisateurs à vérifier les signatures des fichiers ISO, car il en existe au total cinq variantes : 32 bits, 64 bits, 32 bits sans codecs, 64 bits sans codecs et OEM 64 Bits.

linux mint

Se débarrasser au plus vite de tout système déjà installé

L’équipe recommande également de se débarrasser de l’image ISO téléchargée s’il s’agit d’une version frelatée, de jeter tout DVD qui aurait été gravé avec le système et de formater toute clé USB préparée depuis cette mouture. Dans le cas d’une installation déjà effectuée, elle enjoint les utilisateurs à déconnecter l’ordinateur d’Internet, mettre les documents de côté et formater avec une image propre. En l’état, il est urgent d’arrêter au plus vite d’utiliser un tel système.

Linux Mint indique en outre disposer de quelques informations sur la source de l’attaque, avec notamment les noms de trois personnes qui pourraient être impliquées. Curieusement, l’équipe n’a pas déposé encore plainte : « Ce que nous ignorons, ce sont les raisons de cette attaque. Si des efforts supplémentaires sont faits pour attaquer notre projet et si la raison est de nous faire du mal, nous nous mettrons en contact avec les autorités et les sociétés de sécurité pour confronter les personnes derrière tout ça. »

Commentaires (221)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







ActionFighter a écrit :



C’est quoi cette apologie du terrorisme ? <img data-src=" />





Ceux la ne sont prés de sortir une distro.







ActionFighter a écrit :



Plus sérieusement, c’est difficile de répondre à une telle question. La dissémination des forces vives est une des faiblesses, mais aussi une des forces du libre. Sur tout projet, tu peux trouver des critiques, certaines moins critiques que d’autres, et c’est justement le choix offert par de multiples initiatives qui permet de faire évoluer dans leur ensemble les distros.

Après, on peut aussi dire que tous les devs Linux devraient bosser sur la même distro pour que le manchot puisse conquérir le monde, mais ils se crêpent déjà le chignon sur systemd alors pour le reste <img data-src=" />





Je vois plutôt ça du point de vu de la réinvention perpétuelle de la roue, souvent lié à la flemme de s’intégrer dans ce qui existe. Suivant les intérêts de certaines distribution, facilité d’installation, pré-configuration diverses et variées, pack de fonds d’écran… Ne feraient-ils pas mieux de maintenir des packages pour différentes distributions au lieu de saboter uniquement celle qu’ils préfèrent ? Si demain je me borne à remplacer les logos et le nom de la distro, j’aurais artificiellement augmenté le nombre de distro sans que ça n’apporte quoi que ce soit à la communauté (et moi je pourrais toujours aller draguer à la buvette de la linux expo avec mes DVD TaigaIV Linux).


votre avatar

quand tu graves une iso, avec brasero, tu peux lui de vérifier le hash.

votre avatar







ActionFighter a écrit :



Perso, je ne leur crache pas dessus, au contraire, j’ai été sous Mint pendant plusieurs années avant de basculer sous Manjaro, et le boulot qu’ils abattent est à saluer, après, il reste quelques pistes d’amélioration.



Là, ils ont du comprendre que même en amateur, on héberge pas des fichiers aussi critiques sous Wordpress.







+1.



Et les merdes grotesques, personne n’est à l’abri.



A mon échelle, les phrases qui ne veulent rien dire dans mes écrits, et que j’ai laissé passer en édition, j’en ai bien vu une demi-douzaine dans toute ma carrière d’auteur. dont au moins les deux tiers qui m’ont été rapportées par des tiers. Et ce n’est pas faute de me relire…


votre avatar







Commentaire_supprime a écrit :



dont au moins les deux tiers qui m’ont été rapportées par des tiers.







Zut je suis perdu, ça fait combien de tiers au final ça ? <img data-src=" />


votre avatar







TaigaIV a écrit :



Je vois plutôt ça du point de vu de la réinvention perpétuelle de la roue, souvent lié à la flemme de s’intégrer dans ce qui existe. Suivant les intérêts de certaines distribution, facilité d’installation, pré-configuration diverses et variées, pack de fonds d’écran… Ne feraient-ils pas mieux de maintenir des packages pour différentes distributions au lieu de saboter uniquement celle qu’ils préfèrent ?







Les raisons sont souvent multiples, et même si ça donne l’impression d’un éparpillement des ressources, je ne pense pas que ça soit le cas. Au contraire je trouve ça sain, pour au moins deux raisons :



(1) ça permet aux développeurs d’explorer plusieurs façons de faire, plusieurs chemins ; si au final une solution se révèle meilleure que les autres alors elle peut être intégrée dans d’autres distros (l’avantage de l’Open Source).



(2) Pour les utilisateurs cela crée de la diversité et du choix. Là encore si une solution est meilleure que les autres, les utilisateurs iront naturellement vers elle.



Bref les distributions GNU/Linux c’est un peu un environnement Darwinien : (1) variations, et (2) sélection (pas naturelle mais par les utilisateurs).



Par ailleurs, je voudrais rappeler que la diversité, ça existe dans toutes les industries et ça ne choque personne. Quand Michelin, Goodyear, Bridgestone, Continental etc. dépensent chacun des milliards en R&D pour améliorer chacun leurs pneus, je ne vois personne se plaindre qu’ils essayent chacun de réinventer la roue (haha jeu de mots). Personne ne se dit « tiens si toutes ces entreprises se regroupaient, l’innovation irait beaucoup plus vite ! ». C’est faux, car l’innovation est justement motivée par la concurrence, par l’envie/le besoin de faire mieux que le voisin, ou de proposer quelque chose de différent.



On peut se faire la même réflexion pour la plupart des industries. Finalement il est assez logique qu’il y ait une telle effervescence et une telle compétition dans les OS.









TaigaIV a écrit :



Si demain je me borne à remplacer les logos et le nom de la distro, j’aurais artificiellement augmenté le nombre de distro sans que ça n’apporte quoi que ce soit à la communauté (et moi je pourrais toujours aller draguer à la buvette de la linux expo avec mes DVD TaigaIV Linux).







Tu peux effectivement le faire, mais personne ne sera intéressé par ta distro.

Pour créer et maintenir une distribution il faut quand même un minimum de personnes autour du projet, sinon ça n’ira pas bien loin…


votre avatar







damaki a écrit :



Debian testing c’est cool, sauf quand le cycle de dev s’approche de la stable suivante. A ce moment là, c’est le freeze des devs pendant un bon paquet de mois. C’est à cause de ça que j’étais passé à Ubuntu.





Hein ?


votre avatar







Konrad a écrit :



Les raisons sont souvent multiples, et même si ça donne l’impression d’un éparpillement des ressources, je ne pense pas que ça soit le cas. Au contraire je trouve ça sain, pour au moins deux raisons :



(1) ça permet aux développeurs d’explorer plusieurs façons de faire, plusieurs chemins ; si au final une solution se révèle meilleure que les autres alors elle peut être intégrée dans d’autres distros (l’avantage de l’Open Source).



(2) Pour les utilisateurs cela crée de la diversité et du choix. Là encore si une solution est meilleure que les autres, les utilisateurs iront naturellement vers elle.



Bref les distributions GNU/Linux c’est un peu un environnement Darwinien : (1) variations, et (2) sélection (pas naturelle mais par les utilisateurs).



Par ailleurs, je voudrais rappeler que la diversité, ça existe dans toutes les industries et ça ne choque personne. Quand Michelin, Goodyear, Bridgestone, Continental etc. dépensent chacun des milliards en R&D pour améliorer chacun leurs pneus, je ne vois personne se plaindre qu’ils essayent chacun de réinventer la roue (haha jeu de mots). Personne ne se dit « tiens si toutes ces entreprises se regroupaient, l’innovation irait beaucoup plus vite ! ». C’est faux, car l’innovation est justement motivée par la concurrence, par l’envie/le besoin de faire mieux que le voisin, ou de proposer quelque chose de différent.



On peut se faire la même réflexion pour la plupart des industries. Finalement il est assez logique qu’il y ait une telle effervescence et une telle compétition dans les OS.





J’ai plutôt l’impression que cette histoire de compétition pousse à faire pour faire et surtout pour plaire, au dépend du fond. Je pense qu’il est parfois préférable de voir ses ambitions à la baisse au lieu de proposer monts et merveilles et au final n’avoir qu’une façade et mettre ses utilisateurs en danger. Je ne suis pas qu’il ne faut rien faire, je pense qu’il faut bien faire.


votre avatar







Konrad a écrit :



Zut je suis perdu, ça fait combien de tiers au final ça ? <img data-src=" />







  1. Minimum. <img data-src=" />


votre avatar

&nbsp;







Commentaire_supprime a écrit :



+1.



Et les merdes grotesques, personne n’est à l’abri.



A mon échelle, les phrases qui ne veulent rien dire dans mes écrits, et que j’ai laissé passer en édition, j’en ai bien vu une demi-douzaine dans toute ma carrière d’auteur. dont au moins les deux tiers qui m’ont été rapportées par des tiers. Et ce n’est pas faute de me relire…





6 phrases ratées ? Mais c’est énorme !







&nbsp;<img data-src=" />


votre avatar

Les mecs font un OS, ce ne sont pas des dev web…

votre avatar

Ils ont trois noms, ne veulent pas déposer plainte, le site ce fait hacker 2 fois…

De plus quel intérêt il y a vérolé les isos, si ce n’est jeter le discrédit sur une distro de bureau montante.



Il y a un autre élément qui m’interpelle, pourquoi renvoyer vers de isos vérolées sans modifier les signatures qui leur sont associée ?

votre avatar

Encore un complot judéo-maçonnique <img data-src=" /> Ce bon vieux débat trollesque sur les sociétés qui ne veulent “que du mal” à Linux

votre avatar







Konrad a écrit :



Ah mais ça je suis bien d’accord… Je pense que Mint peut être pratique et simple pour les Michu, mais absolument pas à utiliser dans des entreprises ni dans des endroits où la sécurité est primordiale… (ou en tout cas, pas telle quelle).



Pour les pros ou ceux qui ont besoin de sécurité, il existe des distributions pro et avec un vrai support digne de ce nom : Red Hat, Suse, et ainsi de suite.





Mais alors pourquoi recommander Mint si tu penses que la sécurité de la distrib n’est pas au top. Pourquoi ne pas recommander une autre distrib plus secure qui contiendrait les éléments user-friendly de Mint (si tant est qu’une telle distrib existe)?



C’est une vraie question, hein, pas de troll inside.


votre avatar







Ulfr Sarr a écrit :



Mais alors pourquoi recommander Mint si tu penses que la sécurité de la distrib n’est pas au top. Pourquoi ne pas recommander une autre distrib plus secure qui contiendrait les éléments user-friendly de Mint (si tant est qu’une telle distrib existe)?



C’est une vraie question, hein, pas de troll inside.







Je ne pense pas que Mint soit moins (ni plus) sécurisée que Ubuntu (puisqu’elle est basée sur Ubuntu), ou d’autres distro grand public comme Mageia ou OpenSuse. Je recommande Mint parce que c’est celle que je trouve la plus simple et out-of-the-box pour les néophytes.



Après, pour les pros qui ont vraiment besoin de sécurité, il y a des solutions plus robustes, et surtout le support qu’il y a avec. Avec Red Hat, ce n’est pas tant la distrib que tu achètes, mais surtout le support qui va t’apporter des sécurités supplémentaires (pare-feu aux petits oignons, sandboxes, chiffrement des partitions, etc.). Mais ça, c’est hors de portée pour les gens qui veulent juste faire de la bureautique chez eux.



Pour résumer, n’importe quelle distro GNU/Linux est bien assez sécurisée pour Mme Michu, parce qu’il y a peu de chances qu’un pirate veuille s’en prendre spécifiquement à son PC. En revanche pour les pros, les entreprises, les gouvernements qui risquent de subir des attaques et/ou manipulent des données sensibles, aucune distrib n’est assez sécurisée out-of-the-box : il faut avoir des admins compétents qui ajoutent des mécanismes de sécurité supplémentaires.



Au passage c’est la même différence entre un Windows Familial out-of-the-box sans antivirus ni rien, et un Windows Server bien configuré et sécurisé par un admin compétent… Les deux ne sont clairement pas au même niveau de sécurité. Les deux ne visent pas le même public non plus (on ne va pas demander à Mme Michu de savoir administrer un Windows Server chez elle -ben une Red Hat non plus).


votre avatar

sur qu’un système fermé est exempt de faille … putain serieux stop le troll de bas étage…

votre avatar







sr17 a écrit :



Pour un Linuxien, n’importe quel dépôt est suspect





C’est quand même un comble qu’un barbu trouve quelque chose de suspect, surtout un dépôt.

&nbsp;

En général c’est eux que la police trouve suspects, et justement elle les emmène au dépôt pour une une petite GAV.


votre avatar







Elwyns a écrit :



et L’iso c’est quoi ? un site internet.. même si le serveur est pas celui de Mint , ça reste une version de Mint vérolé ,, donc oui Linux et pas que le site







…ça reste une distribution… parmi un paquet d’autres. Mais peut-être va t’il falloir encore ré-expliquer la différence entre distribution et noyau ?



Surtout que distribuer un logiciel modifié auquel on a ajouté un trojan n’implique pas qu’il y avait une vulnérabilité dans le logiciel à la base… et tous les logiciels, sans aucune exception peuvent être concernés. La seule difficulté pour les petits piratous c’est de réussir à distribuer leur logiciel vérolé ensuite.

C’est pourquoi le fait que le site officiel de Linux Mint ai été piraté est beaucoup plus grave que l’existence d’une iso piégée.


votre avatar

C’est pas du tout ce qu’il dit, en plus je pense que c’est de l’humour.

votre avatar

Clément Lefèbvre, qui a publié le billet explicatif, pense que l’intrusion a été rendue possible par Wordpress. Il était pourtant à jour et sans plugins. Ce n’est qu’à moitié étonnant.

Il dit aussi réfléchir à prendre plusieurs serveurs au lieu d’un, ce qui permet de limiter les dégâts en cas d’intrusion.



En tous cas il est très transparent sur le sujet et parle sans langue de bois, c’est appréciable.

votre avatar







Candl3 a écrit :



Il y aura toujours des linuxiens totalement dans le déni le plus total et sélectionneront toujours les infos qui les arrangent seulement.







Non, si on relit ton premier message :







Candl3 a écrit :



Linux infecté ? hahaha







Eh bien non, « Linux » n’a pas été infecté hein… <img data-src=" />



Linux c’est le noyau, ça n’a rien à voir avec le site de Linux Mint, et le noyau Linux il se porte très bien lui.



Ce qui a été infecté c’est seulement une distribution GNU/Linux, et encore, une seule variante (Cinnamon).



Bref, tu mélanges tout, tu fais des approximations et des raccourcis, tu te moques sans aucun argument, et après tu sors des généralités infondées sur les linuxiens… C’est l’hôpital qui se fout de la charité là <img data-src=" />


votre avatar

All forums users should change their passwords

It was confirmed that the forums database was compromised during the attack led against us yesterday and that the attackers acquired a copy of it. If you have an account on forums.linuxmint.com, please change your password on all sensitive websites as soon as possible…

http://blog.linuxmint.com/?p=3001

votre avatar







PixelMort a écrit :



ça sert aussi à voir si le téléchargement s’est bien passé avant d’utiliser l’iso, histoire que si il manque quelques octets ça ne foute pas ton installation en l’air.&nbsp; mais enfin si c’est pas ton rôle après tout….





ca c’est très simple, tu vas t’en rendre compte à l’isntallation.

et l’intégrité complète ne m’interesse guère : j’ai déjà réussi quelques installs linux de livecd rayés dont une partie etait illisible.





sr17 a écrit :



Pour ma part, je vérifie TOUJOURS les signatures.



C’est VRAIMENT très important.







Et bien tu as tort.



Il faut comprendre un truc important, c’est que la plupart des distributions Linux confient le téléchargement, non pas à un site central, mais à une myriade de miroirs extérieurs.



Il est facile de comprendre pourquoi c’est très difficile de s’assurer de la sécurité de chaque serveur de cet ensemble de serveurs disséminés qui sont administrés par des personnes différentes.



Et c’est pour cela que la signature est primordiale.





je considère que par défaut dans 99,99% du temps le site met à disposition des outils intègres et vérifiés par l’éditeur, et que la rentabilité vérification=/=infection est infimement trop faible pour demander trente secondes de vérification à chaque fois :

ce n’est pas rentable, surtout que l’éditeur de la distrib a alerté ses utilisateurs.



C’est comme aller sur un parking et vérifier si chaque voiture est accidentée, le taux d’éléments positifs est tellement proche de zéro que t’as une perte de temps phénoménale.



Si on devait finir par vérifier l’image à chaque fois, on deviendrait Inspecteur de l’Intégrité du Numérique Francais (en passant par la case ENA/intérieur hein)



Donc non, pas pour moi, pas assez rentable.

amusez-vous.


votre avatar

Je suis à peu près certain de pouvoir te générer un .torrent vérolé.

votre avatar

Non mais vérifier après coup lorsqu’ils ont donné les md5s sur leur blog, c’est effectivement important. Mais vérifier avec les md5s affichés sur leur site au moment où on télécharge, ça n’a strictement aucun intérêt si le site a été infecté.

votre avatar

Disons qu’il serait peut être intéressant de réfléchir à une norme qui permet de télécharger un fichier tout en s’assurant de son origine et de son intégrité. Il en existe peut-être déjà une remarque, mais elle n’est pas utilisée.

votre avatar







ErGo_404 a écrit :



Je suis à peu près certain de pouvoir te générer un .torrent vérolé.





C’est pas ca dont on parle là.


votre avatar







ErGo_404 a écrit :



Non mais vérifier après coup lorsqu’ils ont donné les md5s sur leur blog, c’est effectivement important. Mais vérifier avec les md5s affichés sur leur site au moment où on télécharge, ça n’a strictement aucun intérêt si le site a été infecté.





<img data-src=" />


votre avatar

Détend toi, c’était juste une connerie couplée à un petit missile à destination de ceux qui tiennent réellement ce discours <img data-src=" />

votre avatar







Konrad a écrit :



Ben puisque tu fais une analogie automobile, pour moi c’est plutôt comme si un constructeur de voitures critiquait un autre sur la position de l’autoradio et du bouton pour régler les rétroviseurs. Encore une fois, des choix qui ont un impact minime sur l’expérience utilisateur et sur sa sécurité.







Tu as vraiment lu les commentaires de Glaubitz ?









Konrad a écrit :



À moins, encore une fois, que tu n’aies des éléments concrets (et non des analogies foireuses) qui démontrent que les choix opérés par Mint introduisent des vulnérabilités supplémentaires par rapport à Ubuntu ?





Tu veux que je te démontre qu’il y a un problème alors que tu es prét à croire sur parole qu’une distribution a bien traitée les alertes de sécurité ? C’est marrant ça.


votre avatar







ActionFighter a écrit :



Moi, je veux bien freiner, par contre, j’utilise pas la pédale comme il le souhaiterai, je préfère utiliser le frein moteur.





Bon courage avec ton vélo. <img data-src=" />


votre avatar







TaigaIV a écrit :



Bon courage avec ton vélo. <img data-src=" />





Si c’est un BMX, bon courage pour trouver la pédale de frein <img data-src=" />


votre avatar







ActionFighter a écrit :



Si c’est un BMX, bon courage pour trouver la pédale de frein <img data-src=" />





Cadre de BMX, roues de VTT, pédale de freins de péniche, néon de kéké, klaxon multi-tons, ça claque tellement que je ne vois pas ce qui pourrait poser un problème la dedans. <img data-src=" />


votre avatar







TaigaIV a écrit :



Cadre de BMX, roues de VTT, pédale de freins de péniche, néon de kéké, klaxon multi-tons, ça claque tellement que je ne vois pas ce qui pourrait poser un problème la dedans. <img data-src=" />





Le mauvais goût ? <img data-src=" />


votre avatar







ActionFighter a écrit :



Le mauvais goût ? <img data-src=" />





Et voila, maintenant tu fais dans le FUD. <img data-src=" /><img data-src=" />


votre avatar

Moi j’utilise LMDE (Linux Mint Debian Edition). Moins “risquée” que la version basée sur Ubuntu tout en bénéficiant plus rapidement que Debian des petits ajouts sympathiques qui me simplifie la vie (du genre les falsh et consorts, parce que ranafout’ des lubies libristes jusqu’auboutiste).



Si Debian proposait ces améliorations facilement (et sans une phase de test de 36 ans), j’utiliserais Debian.

Mais ce n’est ni le but, ni la philosophie de Debian. Et ce n’est pas forcément une critique.

&nbsp;

votre avatar







TaigaIV a écrit :



Tu as vraiment lu les commentaires de Glaubitz ?







Oui, et toi ?



On peut résumer ses reproches au fait que Mint est un patchwork mal foutu de Debian et Ubuntu, utilisant des paquets de ci de là sans les repackager. Il ne dit pas en quoi Linux Mint aurait davantage de vulnérabilités que Ubuntu par exemple…



À moins que j’aie raté un de ses messages…









TaigaIV a écrit :



Tu veux que je te démontre qu’il y a un problème alors que tu es prét à croire sur parole qu’une distribution a bien traitée les alertes de sécurité ? C’est marrant ça.







Je ne crois rien du tout, surtout en l’absence de preuves.



Mint est essentiellement basée sur Ubuntu. Si tu considères que Ubuntu fait bien son boulot et est sécurisée, je ne vois pas pourquoi Mint serait moins sécurisée. Ou alors il faut m’en apporter la preuve.



Après, si TOI par choix tu décides de faire confiance à Ubuntu mais pas à Mint, c’est ton choix et il faut l’assumer. Mais ça ne prouve en rien que Mint soit moins sécurisé que Ubuntu.



Pour ma part j’ai autant confiance en Mint qu’en Ubuntu, la première étant basée sur la seconde, je ne vois toujours pas en quoi elle serait moins sécurisée… <img data-src=" />



Enfin bref on ne va pas tergiverser là-dessus pendant des années, chacun utilise bien la distro qu’il veut. Si après cette affaire des gens perdent confiance en Mint, c’est leur choix et ils ont tout à fait le droit de se tourner vers autre chose. <img data-src=" />


votre avatar







Konrad a écrit :



Oui, et toi ?



On peut résumer ses reproches au fait que Mint est un patchwork mal foutu de Debian et Ubuntu, utilisant des paquets de ci de là sans les repackager. Il ne dit pas en quoi Linux Mint aurait davantage de vulnérabilités que Ubuntu par exemple…



À moins que j’aie raté un de ses messages…





C’est sur que si tu ne prends qu’une partie du problème soulevé…





Secondly, they are mixing their own binary packages with binary packages from Debian and Ubuntu without rebuilding the latter. This creates something that we in Debian call a “FrankenDebian” which results in system updates becoming unpredictable [2]. With the result, that the Mint developers simply decided to blacklist certain packages from upgrades by default thus putting their users at risk because important security updates may not be installed.









Konrad a écrit :



Je ne crois rien du tout, surtout en l’absence de preuves.



Mint est essentiellement basée sur Ubuntu. Si tu considères que Ubuntu fait bien son boulot et est sécurisée, je ne vois pas pourquoi Mint serait moins sécurisée. Ou alors il faut m’en apporter la preuve.



Après, si TOI par choix tu décides de faire confiance à Ubuntu mais pas à Mint, c’est ton choix et il faut l’assumer. Mais ça ne prouve en rien que Mint soit moins sécurisé que Ubuntu.



Pour ma part j’ai autant confiance en Mint qu’en Ubuntu, la première étant basée sur la seconde, je ne vois toujours pas en quoi elle serait moins sécurisée… <img data-src=" />





C’est la qu’il va falloir aller relire la liste de reproches.



Autre point, tu peux, par exemple, me dire quand a été traitée CVE-2015-7547 par Mint ?







Konrad a écrit :



Enfin bref on ne va pas tergiverser là-dessus pendant des années, chacun utilise bien la distro qu’il veut. Si après cette affaire des gens perdent confiance en Mint, c’est leur choix et ils ont tout à fait le droit de se tourner vers autre chose. <img data-src=" />





De mon point de vue, cette événement en tant que tel n’est pas le fond du problème.


votre avatar







TaigaIV a écrit :



With the result, that the Mint developers simply decided to blacklist certain packages from upgrades by default thus putting their users at risk because important security updates may not be installed.







Ah ben voilà du concret.



Effectivement j’avais dû zapper cette partie de ses messages, mea culpa <img data-src=" />



Blacklister des mises à jour de sécurité, c’est moche et vraiment irresponsable. Là ok je dois reconnaître que ça pose de sérieux problèmes…


votre avatar

&nbsp;







Konrad a écrit :



Ah ben voilà du concret.



Effectivement j’avais dû zapper cette partie de ses messages, mea culpa <img data-src=" />



Blacklister des mises à jour de sécurité, c’est moche et vraiment irresponsable. Là ok je dois reconnaître que ça pose de sérieux problèmes…





C’est peut-être pour ça qu’on ne s’est pas compris précédemment, c’était un peu beaucoup de ça dont je voulais parler&nbsp; <img data-src=" />


votre avatar







Konrad a écrit :



Ah ben voilà du concret.



Effectivement j’avais dû zapper cette partie de ses messages, mea culpa <img data-src=" />



Blacklister des mises à jour de sécurité, c’est moche et vraiment irresponsable. Là ok je dois reconnaître que ça pose de sérieux problèmes…





Ce n’est pas exactement le cas, en blacklistant certains package pour des raisons de stabilité, on prend le risque de passer à côté de mise à jour de sécurité. Associé à la non publication de ‘Security Advisories’ ça fait beaucoup. Dans ces conditions je pense qu’il est préférable d’éviter et de conseiller d’éviter cette distro, tout en laissant les utilisateurs libre.


votre avatar







Ulfr Sarr a écrit :



C’est peut-être pour ça qu’on ne s’est pas compris précédemment, c’était un peu beaucoup de ça dont je voulais parler  <img data-src=" />







Je suis désolé comme j’avais zappé ce passage je ne comprenais pas de quoi vous parliez… Toutes mes excuses <img data-src=" />


votre avatar







TaigaIV a écrit :



Dans ces conditions je pense qu’il est préférable d’éviter et de conseiller d’éviter cette distro, tout en laissant les utilisateurs libre.





Mais dans ce cas, quelle distrib aussi “user-friendly” recommander ?


votre avatar







Ulfr Sarr a écrit :



Mais dans ce cas, quelle distrib aussi “user-friendly” recommander ?





La ça va être plus compliqué vu que la notion de user-friendly est très variable.


votre avatar







Ulfr Sarr a écrit :



Mais dans ce cas, quelle distrib aussi “user-friendly” recommander ?







Ubuntu reste très user-friendly, si on aime Unity (perso je n’aime pas du tout).



Après en dehors des Debian-like il y a Mageia qui est pas mal. J’ai aussi utilisé OpenSuse qui est vraiment bien, facile à installer, et on peut même concevoir ses propres images ISO personnalisées avec Suse Studio (non il n’est pas possible d’ajouter des backdoors aux ISOs <img data-src=" /> )


votre avatar







ActionFighter a écrit :



Oui enfin, ils ne sont pas non plus à la rue, chez Mint. J’aurai du mal à les qualifier “d’amateurs”.



Je suis assez d’accord avec Paetarra, un wordpress pour télécharger une distrib, c’est pas ce qui se fait de plus sérieux, ni de plus sécure…





C’est vrai. Le terme “branquignoles” serait plus adapté.


votre avatar

Ah ! Effectivement j’avais passé ton lien à la trappe mais ça me convient plus comme analyse.

Qu’est ce que certains sites ne feraient pas pour du clic, ça en devient effarant …



Je suis curieux de savoir si quelqu’un possède une version de cet ISO vérolé ? For Research Purpose

votre avatar







gokudomatic a écrit :



C’est vrai. Le terme “branquignoles” serait plus adapté.





“Personne excentrique, qui se met dans des situations tragi-comiques ou se plait à les provoquer.”



Peut pas trouver mieux <img data-src=" />


votre avatar







Aytine a écrit :



Je suis curieux de savoir si quelqu’un possède une version de cet ISO vérolé ? For Research Purpose





Remonte le fil de discussion, il me semble avoir vu un INpactien ayant DL un ISO dans ces périodes.


votre avatar







WereWindle a écrit :



c’est clair ! mais, soyons honnêtes, levez la main ceux qui le font systématiquement ?

garde le bras baissé



Dans tous les cas, saluons la réactivité de l’équipe <img data-src=" />

(la question du “pourquoi pas d’action alors qu’ils ont des noms ?” fait un peu trop dit ou pas assez… Nadella, Cook et Stallman, moi j’dis <img data-src=" /> mais évidemment on nous cache tout, on nous dit rien)



Question subsidiaire : on a une idée du nombre de DL durant la mauvaise période ?





ça ne sers à rien de vérifier les hash, vu tu télécharges une vérolée et qu’il met le md5 de la vérolée…

C’est comme se peser en mangeant et dire je ne grossis pas….


votre avatar







Konrad a écrit :



Et alors ? Linux Mint EST CONÇU par des amateurs, des bénévoles !!



Ça ne veut pas dire que TOUTES les distribs GNU/Linux sont conçues par des amateurs non plus hein, faut pas faire des généralités du genre « Linux c’est que des amateurs, alors que Microsoft ce sont des pro » <img data-src=" />



Certaines distributions sont bien plus professionnelles que d’autres, et certaines distrib sont tout à fait amateur…





Le Titanic a été conçu par des pros, l’arche de Noé par des amateurs… <img data-src=" />


votre avatar

Désolé de ne pas comprendre ISO verolé comme un site piraté…

votre avatar







Candl3 a écrit :



Désolé de ne pas comprendre ISO verolé comme un site piraté…





Compares avec Windows. Il n’y a pas de virus dans le fichier ISO officiel, et pourtant, il y en a dans les ISO non officiel tombés du camion. Cela ne veut pas dire que Windows est vulnérable, ça veut juste dire que dans un fichier d’installation quel qu’il soit, tu peux mettre un virus.



Dans le cas de Mint, les pirates se sont introduits sur le site web, probablement par une faille wordpress, et on remplacé les ISO officiels par des fichiers vérolés. Cela ne veut pas dire que Mint est vulnérable, ça veut juste dire que wordpress, c’est de la merde.


votre avatar







MuadJC a écrit :



Le Titanic a été conçu par des pros, l’arche de Noé par des amateurs… <img data-src=" />





Un élu de Dieu amateur ? Hérétique <img data-src=" />


votre avatar







ActionFighter a écrit :



Un élu de Dieu amateur ? Hérétique <img data-src=" />



comme disais Jésus: pistonné, moi? des clous!


votre avatar







MuadJC a écrit :



Le Titanic a été conçu par des pros, l’arche de Noé par des amateurs… <img data-src=" />





Puis il a été coulé par des pros aussi. <img data-src=" />


votre avatar







gokudomatic a écrit :



C’est vrai. Le terme “branquignoles” serait plus adapté.







Canonical c’est plus de 600 employés et 30 millions de chiffre d’affaire.

Red Hat c’est plus de 7000 employés, et plus d’un milliard de CA



Linux Mint c’est une bande de copain, une ou deux personnes à plein temps et un budget qui est bouclé par la barre de recherche Google et des dons.



Il faut comparer ce qui est comparable, Linux Mint est bien un projet amateur. Dans le bon sens du terme.

Je pense qu’on devrait se réjouir qu’un “petit” projet puisse devenir aussi populaire au lieu de leur cracher dessus !


votre avatar







cerank a écrit :



Il faut comparer ce qui est comparable, Linux Mint est bien un projet amateur. Dans le bon sens du terme.

Je pense qu’on devrait se réjouir qu’un “petit” projet puisse devenir aussi populaire au lieu de leur cracher dessus !





Il faudrait aussi peut-être se rappeler que Linux Mint n’est qu’un projet amateur. Beaucoup ont chanté ses louanges sur PCI ces dernières années (je ne compte plus le nombre de fois que j’ai lu des variantes de “ubuntu c’est nul, mint c’est le bien”). Pourtant c’est pas plus la panacée que le reste. Donc j’ai autant le droit de faire l’antifanboy que les autres ont le droit de faire leur fanboy. :P


votre avatar







Candl3 a écrit :



Désolé de ne pas comprendre ISO verolé comme un site piraté…







Ce que tu ne comprends pas c’est que mettre un virus ou une backdoor dans une image ISO, ça n’a rien à voir avec le fait d’infecter une machine qui fonctionne sous Linux. Donc tout ton laïus sur la sécurité de Linux, le fait d’utiliser un anti-virus ou pas, est complètement à côté de la plaque.



N’importe qui peut mettre une backdoor dans une image ISO. Ça ne veut pas dire que n’importe qui peut infecter un ordinateur sous Linux <img data-src=" />









cerank a écrit :



Canonical c’est plus de 600 employés et 30 millions de chiffre d’affaire.

Red Hat c’est plus de 7000 employés, et plus d’un milliard de CA



Linux Mint c’est une bande de copain, une ou deux personnes à plein temps et un budget qui est bouclé par la barre de recherche Google et des dons.



Il faut comparer ce qui est comparable, Linux Mint est bien un projet amateur. Dans le bon sens du terme.

Je pense qu’on devrait se réjouir qu’un “petit” projet puisse devenir aussi populaire au lieu de leur cracher dessus !







+1 <img data-src=" />


votre avatar







gokudomatic a écrit :



Il faudrait aussi peut-être se rappeler que Linux Mint n’est qu’un projet amateur. Beaucoup ont chanté ses louanges sur PCI ces dernières années (je ne compte plus le nombre de fois que j’ai lu des variantes de “ubuntu c’est nul, mint c’est le bien”). Pourtant c’est pas plus la panacée que le reste. Donc j’ai autant le droit de faire l’antifanboy que les autres ont le droit de faire leur fanboy. :P







Il faut faire la part des choses : ce qui est remis en question avec cette attaque, c’est leur manière de gérer le site Web, de le sécuriser, etc.



Après chacun peut penser ce qu’il veut des qualités ou des défauts de l’OS, mais ça n’a juste rien à voir avec l’attaque qui s’est produite, donc il faut arrêter de tout mélanger.


votre avatar







Northernlights a écrit :



Lubuntu.

Sinon en ultralight Puppy Linux, mais c’est moins friendly





Slitaz forever.

rien de plus léger et réactif sur les config les plus anciennes. Une dizaine de fixes et portables confondus tournent dessus depuis trois ans, au poil


votre avatar







gokudomatic a écrit :



manjaro, c’est beaucoup mieux.





Tu préfères Manjaro. <img data-src=" />


votre avatar







trekker92 a écrit :



Slitaz forever.

rien de plus léger et réactif sur les config les plus anciennes. Une dizaine de fixes et portables confondus tournent dessus depuis trois ans, au poil





Antix est pas mal non plus.<img data-src=" />


votre avatar







Candl3 a écrit :



Linux infecté ? hahaha











paradise a écrit :



Non, pas Linux, le site d’UNE distribution.







&nbsp;

et L’iso c’est quoi ? un site internet..

Le nouveau lien pointait vers une version vérolée de Linux Mint, stockée sur un serveur FTP en Bulgarie

même si le serveur est pas celui de Mint , ça reste une version de Mint vérolé ,, donc oui Linux et pas que le site


votre avatar







WereWindle a écrit :



c’est clair ! mais, soyons honnêtes, levez la main ceux qui le font systématiquement ?

garde le bras baissé&nbsp;



&nbsp;

jamais fait, et je le ferai probablement jamais



j’estime que c’est pas dans mon role, que la distribution doit vérifier d’elle meme l’intégrité des données mises à disposition du public et de faire un disclaimer en cas de pépin.



Ici Mint a plutot bien réagit dans son role d’éditeur.


votre avatar







trekker92 a écrit :



&nbsp;

jamais fait, et je le ferai probablement jamais



j’estime que c’est pas dans mon role, que la distribution doit vérifier d’elle meme l’intégrité des données mises à disposition du public et de faire un disclaimer en cas de pépin.



Ici Mint a plutot bien réagit dans son role d’éditeur.



ça sert aussi à voir si le téléchargement s’est bien passé avant d’utiliser l’iso, histoire que si il manque quelques octets ça ne foute pas ton installation en l’air.&nbsp; mais enfin si c’est pas ton rôle après tout….


votre avatar







WereWindle a écrit :



c’est clair ! mais, soyons honnêtes, levez la main ceux qui le font systématiquement ?

garde le bras baissé



Dans tous les cas, saluons la réactivité de l’équipe <img data-src=" />

(la question du “pourquoi pas d’action alors qu’ils ont des noms ?” fait un peu trop dit ou pas assez… Nadella, Cook et Stallman, moi j’dis <img data-src=" /> mais évidemment on nous cache tout, on nous dit rien)



Question subsidiaire : on a une idée du nombre de DL durant la mauvaise période ?







Pour ma part, je vérifie TOUJOURS les signatures.



C’est VRAIMENT très important.







trekker92 a écrit :



jamais fait, et je le ferai probablement jamais



j’estime que c’est pas dans mon role, que la distribution doit vérifier d’elle meme l’intégrité des données mises à disposition du public et de faire un disclaimer en cas de pépin.



Ici Mint a plutot bien réagit dans son role d’éditeur.







Et bien tu as tort.



Il faut comprendre un truc important, c’est que la plupart des distributions Linux confient le téléchargement, non pas à un site central, mais à une myriade de miroirs extérieurs.



Il est facile de comprendre pourquoi c’est très difficile de s’assurer de la sécurité de chaque serveur de cet ensemble de serveurs disséminés qui sont administrés par des personnes différentes.



Et c’est pour cela que la signature est primordiale.


votre avatar

Et l’iso

votre avatar







Ricard a écrit :



Il a dit légère.







Mate est relativement léger.



Même s’il n’est pas le champion en terme de légèreté, il a l’avantage d’être très ergonomique et bien fini.



votre avatar

Ouf j’avais pris la version avec KDE :oui2:

votre avatar

Il y aura toujours des linuxiens totalement dans le déni le plus total et sélectionneront toujours les infos qui les arrangent seulement.

votre avatar







Candl3 a écrit :



Il y aura toujours des linuxiens totalement dans le déni le plus total et sélectionneront toujours les infos qui les arrangent seulement.







Faux.



Pour un Linuxien, n’importe quel dépôt est suspect jusqu’à ce que la signature ait prouvé le contraire.



C’est une règle de survie primordiale dans l’univers du libre ou les dépôts sont rarement centralisés.


votre avatar

un mal pour un bien.

peut être que ça permettra de mettre en place un système de signature dans les téléchargements.



&nbsp;Changer le hash pour le faire correspondre a l’iso vérolé est facile, mais pour changer une signature, il en est tout autrement.



on peux très bien imaginer un firefox qui télécharge aussi un fichier asc pour verifier la signature du fichier.

après tout.. c’est bien comme cela que ca fonctionne pour apt

votre avatar







MuadJC a écrit :



warning, <img data-src=" />



“Une brèche qui n’a toujours pas été trouvée”

A tout les coups leurs serveurs sont sous Linux…







Que que que que KEUWAH ?!

Ils trouvent pas une faille sous Linux alors que le code est ouvert et permet de révéler les failles au grand jour montrant à quel point ces systèmes basés sur ce truc pas sécurisé pour deux sous sont des passoires monumentales ?


votre avatar

Le plus problématique c’est que certains vont croire que leur Mint est infecté (à tort) et cela risque de leur faire perdre des users …

votre avatar







Aytine a écrit :



Le plus problématique c’est que certains vont croire que leur Mint est infecté (à tort) et cela risque de leur faire perdre des users …







Ben oui, déjà vu la confusion et les amalgames que certains font ici… Il y en a qui vont croire que tous les PC sous Linux Mint ont une backdoor, alors que c’est faux… <img data-src=" />



Par contre d’après ce que j’ai lu sur leur site, l’ISO vérolée a été téléchargée environ une centaine de fois avant qu’ils ne mettent le site offline. Si ça se traduit par 100 installations sur des PC, là ça va faire des dégâts oui… Les attaquants auront sans doute un accès complet à cette centaine de machine, et ça c’est pas glop :/



(PS pour éviter tout malentendu : ça ne change rien à la sécurité des Linux Mint qui étaient déjà installés avant cette attaque hein… Les gens qui avaient déjà Linux Mint installé ne vont pas se retrouver avec une backdoor apparue par magie sur leur système).


votre avatar







cerank a écrit :



Il faut comparer ce qui est comparable, Linux Mint est bien un projet amateur. Dans le bon sens du terme.

Je pense qu’on devrait se réjouir qu’un “petit” projet puisse devenir aussi populaire au lieu de leur cracher dessus !





Perso, je ne leur crache pas dessus, au contraire, j’ai été sous Mint pendant plusieurs années avant de basculer sous Manjaro, et le boulot qu’ils abattent est à saluer, après, il reste quelques pistes d’amélioration.



Là, ils ont du comprendre que même en amateur, on héberge pas des fichiers aussi critiques sous Wordpress.


votre avatar







Konrad a écrit :



Ben oui, déjà vu la confusion et les amalgames que certains font ici… Il y en a qui vont croire que tous les PC sous Linux Mint ont une backdoor, alors que c’est faux… <img data-src=" />



Par contre d’après ce que j’ai lu sur leur site, l’ISO vérolée a été téléchargée environ une centaine de fois avant qu’ils ne mettent le site offline. Si ça se traduit par 100 installations sur des PC, là ça va faire des dégâts oui… Les attaquants auront sans doute un accès complet à cette centaine de machine, et ça c’est pas glop :/



(PS pour éviter tout malentendu : ça ne change rien à la sécurité des Linux Mint qui étaient déjà installés avant cette attaque hein… Les gens qui avaient déjà Linux Mint installé ne vont pas se retrouver avec une backdoor apparue par magie sur leur système).





A supposer qu’une iso (et tous les suports générés à partir d’elle) s’auto-détruise par magie dès lors qu’elle a été exploitée une seule et unique fois quelque part. On peut compter sur maximum 100 pc (y’en a, ils téléchargent… et puis non).



Si l’aspect sécurité de l’OS Mint n’est pas directement mis en question, on peut quand même se questionner sur la façon dont la sécurité est abordée dans la conception de leur projet.

Laisser des iso distribuées à portée d’un wordpress ou autre produit du genre, c’est quand même léger comme approche…

&nbsp;


votre avatar

Debian testing c’est cool, sauf quand le cycle de dev s’approche de la stable suivante. A ce moment là, c’est le freeze des devs pendant un bon paquet de mois. C’est à cause de ça que j’étais passé à Ubuntu.

votre avatar







YesWeekEnd a écrit :



Laisser des iso distribuées à portée d’un wordpress ou autre produit du genre, c’est quand même léger comme approche…







Ça, je pense que tout le monde est d’accord là-dessus… Ça c’est le côté « amateur » du projet… Il faut donc qu’ils remettent en question leur façon d’héberger leurs ISO et de les distribuer.



Mais encore une fois, ça n’a rien à voir avec la sécurité de l’OS en lui-même.


votre avatar







Konrad a écrit :



Ça, je pense que tout le monde est d’accord là-dessus… Ça c’est le côté « amateur » du projet… Il faut donc qu’ils remettent en question leur façon d’héberger leurs ISO et de les distribuer.



Mais encore une fois, ça n’a rien à voir avec la sécurité de l’OS en lui-même.





A ceci près qu’ils le conçoivent.


votre avatar

Après, je reste convaincu que Mint aurait du en rester à bosser uniquement sur le DE parce que créer et maintenir une distribution de cette envergure, même si c’est une version customisée de Ubuntu, ça demande une véritable équipe derrière, notamment une “Security Team”

votre avatar







YesWeekEnd a écrit :



A ceci près qu’ils le conçoivent.







Oui enfin ça, ça veut tout et rien dire.



Linux Mint, comme la plupart des distribs, c’est un assemblage de logiciels créés et maintenus par d’autres gens. La seule chose qu’ils développent vraiment eux-même c’est Cinnamon, et encore même sur ce projet il y a pas mal de contributeurs qui n’ont rien à voir avec Mint.



Bref leur amateurisme sur leur site Web ne doit pas être confondu avec des soucis de sécurité sur la distrib en elle-même…


votre avatar







Konrad a écrit :



Par contre d’après ce que j’ai lu sur leur site, l’ISO vérolée a été téléchargée environ une centaine de fois avant qu’ils ne mettent le site offline. Si ça se traduit par 100 installations sur des PC, là ça va faire des dégâts oui… Les attaquants auront sans doute un accès complet à cette centaine de machine, et ça c’est pas glop :&nbsp;





&nbsp;&nbsp;Je relativise un peu sur ce point, 100 DL sur un parc de 6 millions, c’est regrettable mais négligeable … et si en plus vu le bruit que cette news a fait, 50 % de ces personnes se trouvent informées, ce hackeur de génie va se retrouver avec un botnet de 50 PC de quoi faire trembler Google, Amazon et même les DNS ROOT qui sait :trolloff:

&nbsp;





Konrad a écrit :



Bref leur amateurisme sur leur site Web ne doit pas être confondu avec des soucis de sécurité sur la distrib en elle-même…







Le pire c’est qu’avec le nombre de fois où tu l’a répété, il va s’en trouver qui vont continuer a embrayer sur la sécu de Mint uhuhu <img data-src=" />


votre avatar







Konrad a écrit :



Oui enfin ça, ça veut tout et rien dire.



Linux Mint, comme la plupart des distribs, c’est un assemblage de logiciels créés et maintenus par d’autres gens. La seule chose qu’ils développent vraiment eux-même c’est Cinnamon, et encore même sur ce projet il y a pas mal de contributeurs qui n’ont rien à voir avec Mint.



Bref leur amateurisme sur leur site Web ne doit pas être confondu avec des soucis de sécurité sur la distrib en elle-même…





Oui, oui… Bien entendu qu’il n’y a pas à confondre faille php dans un wp hébergé à la one again avec la sécurité propre d’un OS. C’est pas trop le sujet.

&nbsp;

Ce qui est soulevé à juste titre dans quelques comments, c’est qu’au minimum on peut se demander comment ils abordent la question de la sécurité dans leur projet.

Ça date pas d’hier que WP est un nid à exploits, les derniers ransom-crypto s’en donnent d’ailleurs à coeur joie comme moyen de diffusion… Alors, si ils ont la même légèreté dans les autres aspects de leur projet (la diffusion étant un fail), il vaut mieux courir loin si la sécu est un point vital dans ton activité.


votre avatar







YesWeekEnd a écrit :



Alors, si ils ont la même légèreté dans les autres aspects de leur projet (la diffusion étant un fail), il vaut mieux courir loin si la sécu est un point vital dans ton activité.







Ah mais ça je suis bien d’accord… Je pense que Mint peut être pratique et simple pour les Michu, mais absolument pas à utiliser dans des entreprises ni dans des endroits où la sécurité est primordiale… (ou en tout cas, pas telle quelle).



Pour les pros ou ceux qui ont besoin de sécurité, il existe des distributions pro et avec un vrai support digne de ce nom : Red Hat, Suse, et ainsi de suite.


votre avatar







ActionFighter a écrit :



Certains pensent que l’interview est un fake par un type en manque de notoriété, et penchent pour des types en relation avec Canonical. Voir le lien que j’ai posté plus haut.






Mouais... La théorie du complot (Canonical voulant couler la réputation de Linux Mint), pour le moment une vague rumeur non sourcée sur le blog de LM, ce n'est pas plus crédible que l'interview dans ZDNet. Jusqu'à preuve du contraire. :D  


&nbsp;






YesWeekEnd a écrit :



Alors, si ils ont la même légèreté dans les autres aspects de leur projet (la diffusion étant un fail), il vaut mieux courir loin si la sécu est un point vital dans ton activité.






Justement, et sans vouloir critiquer LM - j'utilise notamment sur Ubuntu leur super fork Nemo à la place de Nautilus que perso, je ne supporte plus, et j'attends de voir leurs X-Apps - le lien a déjà été cité, mais on leur reproche une certaine insouciance dans la gestion de leur distro cette fois (et pas seulement la sécurisation du Wordpress) :




https://lwn.net/Articles/676662/



&nbsp;- pas de diffusion systématique des alertes de sécurité, ainsi les utilisateurs ne peuvent vérifier s’ils sont affectés spécifiquement par tel ou tel CVE. 




- non mise à jour de sécurité de certains paquets upstream venant  d'Ubuntu ou Debian, ou mix avec leurs propres builds sans suivre toutes  les normes, créant des problèmes potentiels






  • renommage de certains de leurs propres programmes par le même nom que d’autres existant déjà dans Debian (ex. le fork de gdm2 “Mint

    Display Manager” appelé mdm alors qu’il existe déjà par ailleurs et devient donc impossible à installer)





    • les paquets non-libres tels que Java, Flash, codecs MP3… ne sont pas clairement identifiés comme tels ni distingués, et fournis de base avec la distro, donc problèmes de licences / copyright…



votre avatar







Valeryan_24 a écrit :



Mouais… La théorie du complot (Canonical voulant couler la réputation de Linux Mint), pour le moment une vague rumeur non sourcée sur le blog de LM, ce n’est pas plus crédible que l’interview dans ZDNet. Jusqu’à preuve du contraire. <img data-src=" />





Cela reste pour le moment une simple théorie non étayée <img data-src=" />


votre avatar







ActionFighter a écrit :



Cela reste pour le moment une simple théorie non étayée <img data-src=" />





Les critiques sur lwn me semblent parfaitement justifiées, je ne suis pas certains que sans cette attaque grand monde aurait été au courant. J’ai un peu de mal à comprendre l’intérêt de ce genre de pratique, pourquoi ne pas rejoindre des distributions existantes ? ou simplement proposer des choses à coter en laissant le travail de maintenance global à ceux qui ont le temps pour le faire ?


votre avatar







TaigaIV a écrit :



Les critiques sur lwn me semblent parfaitement justifiées, je ne suis pas certains que sans cette attaque grand monde aurait été au courant. J’ai un peu de mal à comprendre l’intérêt de ce genre de pratique, pourquoi ne pas rejoindre des distributions existantes ? ou simplement proposer des choses à coter en laissant le travail de maintenance global à ceux qui ont le temps pour le faire ?





C’est quoi cette apologie du terrorisme ? <img data-src=" />



Plus sérieusement, c’est difficile de répondre à une telle question. La dissémination des forces vives est une des faiblesses, mais aussi une des forces du libre. Sur tout projet, tu peux trouver des critiques, certaines moins critiques que d’autres, et c’est justement le choix offert par de multiples initiatives qui permet de faire évoluer dans leur ensemble les distros.

Après, on peut aussi dire que tous les devs Linux devraient bosser sur la même distro pour que le manchot puisse conquérir le monde, mais ils se crêpent déjà le chignon sur systemd alors pour le reste <img data-src=" />


votre avatar

Je fais plutôt partie de la tribu des apt-get, m’enfin ça sera l’occasion de tester d’autres trucs que les dérivés de Debian. Je crois que je vais tester Fedora et Mageia <img data-src=" />

votre avatar







WereWindle a écrit :



Question subsidiaire : on a une idée du nombre de DL durant la mauvaise période ?





Vu l’activité sur les torrents qui ne servent peu ou prou qu’à télécharger des iso Linux et les parts de marché de Mint, ça doit faire environ 28 millions de téléchargement.


votre avatar

Et en distro michu-ready / légère tu recommande quoi à la place de Mint ? J’ai installé ça à mes parents ils sont ravis (sur mon vieil e-pc tout pourri donc je peux pas mettre une distro trop lourde)

votre avatar

Les mauvaises pratiques de Mint :




  • blocage de mises à jour de sécurité de certains paquets paquets en provenance des repos Ubuntu officiels

  • nommage de leurs paquets avec le même nom que d’autres paquets upstreams ce qui met un peu le bazar. Si ça bloquait pas l’install de l’autre paquet, ça serait mieux, quand même. A noter que la solution de Debian est de renommer de façon ultra bourrine les packages, la solution de Gentoo est d’utiliser des namespaces (des catégories, quoi)

  • les paquets non-free (flash, java de Sun) ne sont pas différenciés des paquets libres (ok, celui là, je m’en tamponne)

votre avatar

Pour les anglophones, un sujet sur Reddit apporte quelques précisions

votre avatar

Ubuntu MATE, non ? C’est MATE, donc pas forcément sexy, mais c’est simple et ça marche.

votre avatar

Linux infecté ? hahaha

votre avatar







Candl3 a écrit :



Le site d’une distribution Linux infectée ? hahaha





Fixed.







picatrix a écrit :



c’est quand même une “infection open source”, les sources du trojan sont sur github <img data-src=" />





On peut donc en conclure que les attaquants portent une barbe, et sont probablement vierges.


votre avatar

J’ai installé Xubuntu sur le PC portable de 2007 de ma mère, ça tourne au poil et elle n’a pas eu à s’en plaindre jusqu’à présent.

votre avatar

Ben oui, ça arrive à tout le monde ce genre de merde.



Après, j’espère qu’ils vont colmater la brèche rapidement, j’aime beaucoup Linux Mint pour son côté pratique, facile et rapide à installer sur des machines secondaires sur lesquelles je n’ai pas envie de me casser la tête à mettre une Fedora.



@la rédac : Par contre, vous, vous être très réactifs sur certaines infections à ce que j’ai vu. Bien vu, continuez comme ça !

votre avatar







hellmut a écrit :



comme quoi ça sert de vérifier les signatures. ^^





Si tout le site a été piraté, les attaquants ont tout à fait pu changer les signatures des ISO pour les faire correspondre à celles des images infectées.

&nbsp;





hellmut a écrit :



ah ben oui mais faut aussi pas stocker la signature au même endroit. ^^&nbsp;



<img data-src=" />


votre avatar

Lubuntu.

Sinon en ultralight Puppy Linux, mais c’est moins friendly

votre avatar







Nargas a écrit :



Mageia mon ami ! En plus Cocorico c’est une association Française derrière le projet.



En effet, d’ailleurs je viens de quitter Fedora pour revenir à Mageia après 4 ans d’absence, je voulais retrouver aussi une distro plus pérenne, sans upgrade tous les 6 mois.

Et puis pourquoi aller chercher loin ce qu’on a ici-même ?


votre avatar







Candl3 a écrit :



Linux infecté ? hahaha



Non, pas Linux, le site d’UNE distribution.


votre avatar







alliocha1805 a écrit :



Et en distro michu-ready / légère tu recommande quoi à la place de Mint ? J’ai installé ça à mes parents ils sont ravis (sur mon vieil e-pc tout pourri donc je peux pas mettre une distro trop lourde)





bonne question.

en pas user friendly à l’install, j’ai archlinux sur mon eeePC avec openbox et elle est très légère et boot en 12 secondes sur un SSD. (eeePC de récup et SSD de récup <img data-src=" /> )


votre avatar







Candl3 a écrit :



Linux infecté ? hahaha





Ouais. Ils ont mis Mono en standard dans la distro, les salauds ! <img data-src=" />


votre avatar







Winderly a écrit :



Ils ont parfaitement démontré être des amateurs dans le domaine de la sécurité. <img data-src=" />





Le Point en parle aujourd’hui de l’attaque subie par Sony (voir Google news)


votre avatar

merci <img data-src=" />

votre avatar







saladiste a écrit :



Pas si on vérifie la signature du hash bon sang de bois !

Vous êtes incompétents, n’en faites pas une généralité.





explique ?&nbsp;

“Pas si on vérifie la signature du hash bon sang de bois !”



tu la vérifie comment? par comparaison ? en comparant qu’elle autre hash ? celui du site, celui hacké ?

ou d’un autre site ? mais comment tu peux savori que ça soit le bon hash et que le pirate ne l’est pas modifié aussi&nbsp; ?





Si moi je verole iso donc tu as un nouveau hash et que le site est hack, j’édite l’article en mettant le nouveau hash.

Comment tu fais ?


votre avatar







saladiste a écrit :



Comme ça. En vérifiant sur d’autres sites que les clefs correspondent bien aux auteurs présumés. Cela permet d’authentifier les hash et donc de savoir si ce dernier a été compromis.

Ou ici pour un peu plus de précisions.



Il s’avère que Mint ne fournit pas ces signatures en plus de n’utiliser que MD5 là où Gentoo en fournit une panoplie (de hash), signés et dont la clef publique des auteurs peut se trouver sur plusieurs sites différents.



De l’amateurisme quoi. <img data-src=" />







A ce sujet, Manjaro, par exemple, est très pointilleuse sur les hashs. Au point de planter à l’install si certains hashs de contributeurs ont expiré…


votre avatar







ActionFighter a écrit :



Sinon, je viens de découvrir ça <img data-src=" />





Je veux la même en version musul.

Avec un soft qui fait exploser la batterie en ca de besoin divin, ou en cas de foule compacte.


votre avatar

Y a t il un soupçon de faille dans Wordpress ?

votre avatar







jfair a écrit :



Y a t il un soupçon de faille dans Wordpress ?





plutôt quelques cuillères à soupe.


votre avatar







Drepanocytose a écrit :



Je veux la même en version musul.

Avec un soft qui fait exploser la batterie en ca de besoin divin, ou en cas de foule compacte.







Ya pas un anarbuntu par hasard ?



Là, je prends.


votre avatar

Ça existe, ça s’appelle Debian. <img data-src=" />

votre avatar







Ulfr Sarr a écrit :



Mais dans ce cas, quelle distrib aussi “user-friendly” recommander ?





Perso, je recommanderai Manjaro, bien user-friendly et en rolling release.



Seul inconvénient pour les barbus extrémistes mais qui est un avantage pour ceux qui se rasent pas, mais uniquement le dimanche, elle intègre du proprio.


votre avatar







TaigaIV a écrit :



La ça va être plus compliqué vu que la notion de user-friendly est très variable.





Le user-friendly, pour moi, c’est un peu ce qui fait la force de Mint : une installation simple, un DE simple, les codecs et les drivers de base installés.&nbsp; Bref, qui ne nécessite pas de s’y connaitre pour s’en sortir.

&nbsp;


votre avatar







Ulfr Sarr a écrit :



Le user-friendly, pour moi, c’est un peu ce qui fait la force de Mint : une installation simple, un DE simple, les codecs et les drivers de base installés.  Bref, qui ne nécessite pas de s’y connaitre pour s’en sortir.





Perso je trouve l’installation de Debian User friendly, il y a suffisament de choix d’environnement graphique, pas eu de problème de drivers depuis belle lurette, pour les codecs je ne sais pas.


votre avatar

Sinon, je viens de découvrir ça <img data-src=" />

votre avatar







TaigaIV a écrit :



Perso je trouve l’installation de Debian User friendly, il y a suffisament de choix d’environnement graphique, pas eu de problème de drivers depuis belle lurette, pour les codecs je ne sais pas.





Il manque juste les softs/codecs/drivers proprios utiles pour le tout venant.


votre avatar







ActionFighter a écrit :



Il manque juste les softs/codecs/drivers proprios utiles pour le tout venant.





il faudrait peut être que tu arrêtes de récupérer tes images Debian sur ftp.microsoft.ru


votre avatar







ActionFighter a écrit :



Sinon, je viens de découvrir ça <img data-src=" />





Estrosi à aussi fait sa distribution Linux ?


votre avatar







TaigaIV a écrit :



il faudrait peut être que tu arrêtes de récupérer tes images Debian sur ftp.microsoft.ru





Je ne prends que la net install <img data-src=" />



Les drivers et softs proprios sont proposés dans l’instal standard ?







TaigaIV a écrit :



Estrosi à aussi fait sa distribution Linux ?





Oui, et il a immédiatement été imité par Christiane Taubira <img data-src=" />


votre avatar







ActionFighter a écrit :



Je ne prends que la net install <img data-src=" />



Les drivers et softs proprios sont proposés dans l’instal standard ?





Non, c’est stable par défaut.







ActionFighter a écrit :



Oui, et il a immédiatement été imité par Christiane Taubira <img data-src=" />





Puis par François


votre avatar







Ulfr Sarr a écrit :



Pourquoi ne pas recommander une autre distrib plus secure qui contiendrait les éléments user-friendly de Mint (si tant est qu’une telle distrib existe)?



C’est une vraie question, hein, pas de troll inside.





Ubuntu Mate est une variante officielle depuis la 15.04



En tant que particulier je préfère&nbsp; Mint mais effectivement, un pro de la sécu prendra plutot une distrib qui a des “security advisories” voire d’autres distrib plus sécurisées (redhat?).


votre avatar







TaigaIV a écrit :



Non, c’est stable par défaut.





<img data-src=" />







TaigaIV a écrit :



Puis par François





Ah ben lui, dès qu’il y a un truc à droite à imiter…


votre avatar







jaguar_fr a écrit :



un pro de la sécu prendra plutot une distrib qui a des “security advisories” voire d’autres distrib plus sécurisées (redhat?).







Oui et les pros/entreprises prendront surtout un support efficace…

(pour une entreprise, installer n’importe quel OS sans support et sans IT digne de ce nom relève de l’hérésie)


votre avatar







Konrad a écrit :



On peut se dire que si leur site a été piraté, c’est parce que les gars de Linux Mint sont des quiches (c’est l’avis de certaines personnes). Bon, il ne faut quand même pas oublier que d’autres sites ont déjà été piratés auparavant, notamment celui de Debian (2003), ou celui de Fedora (2008). Cela ne concerne pas que les distribs GNU/Linux : les réseaux de Microsoft aussi sont attaqués. Faut-il en conclure que tous ces gens et toutes ces entreprises sont des quiches ? Non.





&nbsp;



&nbsp;

Non. J’espère que tu as conscience que les attaques en question sont quelque peu éloignées du contexte technique qui concerne cet article ?

&nbsp;



Pour le reste, tu continues à boucler… tant pis. Bon amusement.


votre avatar

Debian testing, c’est la next stable. Mais en fait ils ont deux parties bien distinctes dans leur cycle de dev : le dev et le feature freeze. Pendant le dev, ils font régulièrement des promotions de paquets unstable vers testing. Pendant le feature freeze, ils bloquent toutes les évolutions pour stabiliser.

J’ai pas été tout à fait exhaustif dans mes raisons qui me font éviter debian testing :





  • Pas de cohérence entre les versions de paquets garantie pendant les périodes dev. C’est à la Gentoo ou à la Arch

  • Pas d’évolutions de paquets pendant le freeze. Et de mémoire, c’est de l’ordre de 9 mois-1 an





    En fait, il n’y a à mon sens ni l’avantage d’un bleeding edge à la debian unstable, gentoo ou arch, ni l’avantage des rolling releases fréquentes avec paquets cohérents à la Ubuntu.

votre avatar

Il y en a parmi vous qui oublie que Sony a eu des problèmes de ce genre et même pire, il y a quelque temps (je ne savais pas que c’était aussi des amateurs) <img data-src=" />



<img data-src=" />

votre avatar







2show7 a écrit :



Il y en a parmi vous qui oublie que Sony a eu des problèmes de ce genre et même pire, il y a quelque temps (je ne savais pas que c’était aussi des amateurs) <img data-src=" />



<img data-src=" />





Ils ont parfaitement démontré être des amateurs dans le domaine de la sécurité. <img data-src=" />


votre avatar

Oui certes Linux est le noyau mais moi j’entendais bien par système d’exploitation (L’ISO qu’on parle dans l’article pour moi, est le système d’exploitation à installer sur une machine, à moins qu’on m’ait menti ?). Faut pas avoir fait un bac + 10 pour comprendre un minimum.

On nous sort que ce n’est pas possible de l’infecter à longueur de journée et je me souviens encore les années ou ça se moquait de Windows tous les jours et ça se vantait à tout va que mon système n’a pas besoin de ci, pas besoin de ça, il est supra sécurisé, trololol tu utilises un antivirus, trololol encore des mises à jour, etc…

Bref, ce que je dis, est que même les OS à base de Linux ne sont pas à l’abri. D’où ma façon de me moquer gentiment.

votre avatar







127.0.0.1 a écrit :



“Un hashcode garantie l’intégrité mais pas l’authenticité.”

Citation de Benjamin Franklin.



MD5 de la citation: 6172CF1A252A75C90054847EE40E1CE0





Loin de moi l’idée de démarrer un troll religieux, mais la citation me fait penser à la prétendue protection numérique contre la falsification qu’allah aurait mis en place dans le coran.


votre avatar

Excellent!

votre avatar

On est probablement d’accord, on ne parle juste pas de la même chose alors :)



Pour moi télécharger une distribution en direct ou via un .torrent sur le site de l’éditeur, c’est aussi risqué l’un que l’autre si le site a été infecté. Je crois comprendre que ce que tu dis, c’est qu’on ne peut pas infecter l’iso en ayant un client torrent qui envoie n’importe quoi aux autres pairs, ce qui est vrai.

votre avatar

c’est quoi cette histoire d’infection?

votre avatar

Perso j’ai installé Lubuntu pour mes parents.

Le plus c’est que ça ressemble beaucoup à Windows (menu en bas à gauche un peu à la windows XP/7).

Le moins c’est que ce n’est pas aussi jolie que Xubuntu/LinuxMint.

Le pc à un processeur pentium 4 et 1go de ram mais il tourne sans problème.

votre avatar







paradise a écrit :



En effet, d’ailleurs je viens de quitter Fedora pour revenir à Mageia après 4 ans d’absence, je voulais retrouver aussi une distro plus pérenne, sans upgrade tous les 6 mois.

Et puis pourquoi aller chercher loin ce qu’on a ici-même ?





manjaro, c’est beaucoup mieux.


votre avatar







Galahad a écrit :



Meme s’ils ont pris le contrôle du site web?

&nbsp;





C’est ce que je me suis dit… Les mecs ils prennent le site pour mettre un ISO vérolé, c’est dommage pour eux d’oublier de changer les empreintes <img data-src=" />


votre avatar







CUlater a écrit :



Et pour la BDD utilisateurs du forum, pas de confirmation de hack? Pas de changement de mot passe encouragé?





Normalement, un mot de passe dans une bdd est chiffré, donc&nbsp; logiquement il n’y a pas besoin. Si c’est le cas, fuir le forum en question, ça laisse songeur sur les compétences des admins. <img data-src=" />


votre avatar







WereWindle a écrit :



c’est clair ! mais, soyons honnêtes, levez la main ceux qui le font systématiquement ?

garde le bras baissé





<img data-src=" />


votre avatar







Galahad a écrit :



Meme s’ils ont pris le contrôle du site web?

&nbsp;





Pareil, ça se voit vite. <img data-src=" />


votre avatar

J’ai toujours vu les signatures des ISO à coté des liens de téléchargements de ces mêmes ISO donc en cas de piratage je ne suis sûr que la vérification soit pertinente.



Pour ma part je la vérifie uniquement quand un truck louche c’est produit lors du téléchargement pour m’assurer que j’ai bien le fichier en entier mais ça ne va pas plus loin.

votre avatar







damaki a écrit :



Si seulement c’était le seul problème de Mint. Vous je sais pas, mais je crois que je vais en rester à distance pour quelque temps et essayer de trouver une autre distro où Cinnamon est dispo.





Debian Testing. <img data-src=" />





jb18v a écrit :



savais pas qu’une distrib linux pouvait être victime de ce genre de saleté <img data-src=" />



bref comme toujours, faire attention, vérifier.. mais là sur le site officiel, pas facile de se méfier <img data-src=" />





En fait, ça peut être n’importe quel logiciel (Windows, Linux, Android…)


votre avatar







ErGo_404 a écrit :



S’ils ont réussi à modifier les isos sur les serveurs de téléchargement, on peut raisonnablement supposer qu’ils ont aussi pu modifier les MD5/SHA-1 affichés sur le site.





Les md5 donnés sont les originaux. Ils ont étés publiés sur le blog, pas sur le site.


votre avatar







picatrix a écrit :



c’est quand même une “infection open source”, les sources du trojan sont sur github <img data-src=" />







<img data-src=" /> Mékilékon !



Em même temps, je me disais, c’est bizarre leur système de mise à jour : apt-got update … <img data-src=" />


votre avatar







ErGo_404 a écrit :



Si ton .torrent vient d’une mauvaise source, ça ne changera rien au problème.





Bien sur que si.


votre avatar







Nargas a écrit :



Mageia mon ami ! En plus Cocorico c’est une association Française derrière le projet.





C’est pour ça que personne n’en veut… <img data-src=" />





levhieu a écrit :



(d’où mon «?»)



Autrement dit, faut commencer par aller chercher la signature en s’assurant soigneusement qu’elle est la bonne.





Exactement.


votre avatar







damaki a écrit :



Ubuntu MATE, non ? C’est MATE, donc pas forcément sexy, mais c’est simple et ça marche.





Il a dit légère.


votre avatar







WereWindle a écrit :



c’est clair ! mais, soyons honnêtes, levez la main ceux qui le font systématiquement ?

garde le bras baissé







<img data-src=" /> Je le fais systématiquement pour les ISO (esd) Windows, jamais pour les Linux… <img data-src=" />


votre avatar

c’est la distrib de Jean-Claude Killy c’est ça?



<img data-src=" />

votre avatar







Konrad a écrit :



Je recommande Mint parce que c’est celle que je trouve la plus simple et out-of-the-box pour les néophytes.





Oui enfin, question de goût : tous ceux à qui j’installe Ubuntu de base, avec Unity, le trouvent de suite très simple, complet, ergonomique et s’y adaptent très bien aussi, Mint propose une alternative mais n’a rien

révolutionné, chacun a ses préférences, c’est tout ! ;)


votre avatar







Konrad a écrit :



Je ne pense pas que Mint soit moins (ni plus) sécurisée que Ubuntu (puisqu’elle est basée sur Ubuntu), ou d’autres distro grand public comme Mageia ou OpenSuse. Je recommande Mint parce que c’est celle que je trouve la plus simple et out-of-the-box pour les néophytes.





Donc selon toi, les problèmes de sécurités/update/etc qui remontent en marge de cette affaire de hack du site linuxmint ne sont pas si importants ?







Konrad a écrit :



Après, pour les pros qui ont vraiment besoin de sécurité, il y a des

solutions plus robustes, et surtout le support qu’il y a avec. Avec Red

Hat, ce n’est pas tant la distrib que tu achètes, mais surtout le

support qui va t’apporter des sécurités supplémentaires (pare-feu aux

petits oignons, sandboxes, chiffrement des partitions, etc.). Mais ça,

c’est hors de portée pour les gens qui veulent juste faire de la

bureautique chez eux.



Pour résumer, n’importe quelle distro

GNU/Linux est bien assez sécurisée pour Mme Michu, parce qu’il y a peu

de chances qu’un pirate veuille s’en prendre spécifiquement à son PC. En

revanche pour les pros, les entreprises, les gouvernements qui risquent

de subir des attaques et/ou manipulent des données sensibles, aucune

distrib n’est assez sécurisée out-of-the-box : il faut avoir des admins

compétents qui ajoutent des mécanismes de sécurité supplémentaires.





Au passage c’est la même différence entre un Windows Familial

out-of-the-box sans antivirus ni rien, et un Windows Server bien

configuré et sécurisé par un admin compétent… Les deux ne sont

clairement pas au même niveau de sécurité. Les deux ne visent pas le

même public non plus (on ne va pas demander à Mme Michu de savoir

administrer un Windows Server chez elle -ben une Red Hat non plus).





Mint n’est pas fait pour les pros, je crois que tout le monde en est conscient ;-)

&nbsp;&nbsp;


votre avatar







Valeryan_24 a écrit :



Oui enfin, question de goût : tous ceux à qui j’installe Ubuntu de base, avec Unity, le trouvent de suite très simple, complet, ergonomique et s’y adaptent très bien aussi, Mint propose une alternative mais n’a rien révolutionné, chacun a ses préférences, c’est tout ! ;)







Tout à fait, c’est pour ça que j’ai dit que « je la trouve plus simple » ;)







Ulfr Sarr a écrit :



Donc selon toi, les problèmes de sécurités/update/etc qui remontent en marge de cette affaire de hack du site linuxmint ne sont pas si importants ?







Hein ? Mais comment tu déduis ça de ce que j’ai écrit ? <img data-src=" />



Je dis juste que le piratage du site Web (et du Wordpress hébergé dessus) n’a rien à voir avec la sécurité de la distribution Linux Mint !



Le piratage du site Web a à voir avec la sécurité de Wordpress, avec la façon dont le site Web est géré et sécurisé, et ainsi de suite. Ça aurait pu être n’importe quoi sur ce site Web, le problème aurait été le même : si ça avait été des images ISO de Windows elles auraient été infectées tout pareil, si ça avait été des images ISO de Red Hat ou OpenSuse ça aurait été la même chose.



Ce que je répète depuis des pages et des pages, c’est qu’il ne faut pas confondre le piratage du site Web/Wordpress, avec le fait que Linux Mint soit sécurisé ou pas ! Ce sont juste deux sujets complètement différents !! Rien à voir !! Mais certains font facilement l’amalgame… C’est sans doute plus facile de tout mélanger et de tirer des conclusions hâtives et scandaleuses, que de faire marcher son cerveau deux minutes…



Donc oui, le hack du site EST IMPORTANT, et pas à prendre à la légère. Les admins ont intérêt à mettre en place une autre solution pour distribuer leur distro, parce que manifestement Wordpress n’est pas une solution suffisamment sécurisée.


votre avatar







Yseader a écrit :



Encore un complot judéo-maçonnique <img data-src=" /> Ce bon vieux débat trollesque sur les sociétés qui ne veulent “que du mal” à Linux





Quand tu vois Mark Shuttleworth sans maquillage, il y a quand même de quoi se poser des questions sur ses intentions.







TaigaIV a écrit :



Ceux la ne sont prés de sortir une distro.





On leur reproche de l’avoir fait pourtant <img data-src=" />







TaigaIV a écrit :



Je vois plutôt ça du point de vu de la réinvention perpétuelle de la roue, souvent lié à la flemme de s’intégrer dans ce qui existe. Suivant les intérêts de certaines distribution, facilité d’installation, pré-configuration diverses et variées, pack de fonds d’écran… Ne feraient-ils pas mieux de maintenir des packages pour différentes distributions au lieu de saboter uniquement celle qu’ils préfèrent ? Si demain je me borne à remplacer les logos et le nom de la distro, j’aurais artificiellement augmenté le nombre de distro sans que ça n’apporte quoi que ce soit à la communauté (et moi je pourrais toujours aller draguer à la buvette de la linux expo avec mes DVD TaigaIV Linux).





Une distribution… Une distribution pour les contrôler tous ! <img data-src=" />



Blague à part, je pense que tu as en partie raison et en partie tort, et que tout dépend des exemples que l’on prend.



Si ça peut marcher avec Mint, je pense que les distributions principales, ainsi que quelques alternatives du genre Tail ou Mageia, ont chacune leur place, et qu’un regroupement de celles-ci serait une perte de diversité dommageable dans l’écosystème Linux.



Après, au delà des initiatives destinées à combler un manque affectif chez ses créateurs, il y a aussi la vision technique qui est très différente selon les individus. J’évoquais systemd, ce n’est qu’un exemple parmi d’autres qui montre bien que mettre tout le monde d’accord pour la même solution, c’est de l’ordre de l’impossible.



Donc je suis assez d’accord avec Konrad, les distributions Linux sont régies par la sélection naturelle. Si une distribution ne fait que, comme tu l’as décris, remplacer les graphismes, mais que ceux qui sont suffisamment beaux pour conquérir un public, tant mieux. Après, si la sécurité n’est pas assurée, là il y a un vrai problème, mais les libristes sont, je pense, assez avertis et j’espère assez intelligents pour changer si besoin.


votre avatar







Konrad a écrit :



Hein ? Mais comment tu déduis ça de ce que j’ai écrit ? <img data-src=" />



Je dis juste que le piratage du site Web (et du Wordpress hébergé dessus) n’a rien à voir avec la sécurité de la distribution Linux Mint !



Le piratage du site Web a à voir avec la sécurité de Wordpress, avec la façon dont le site Web est géré et sécurisé, et ainsi de suite. Ça aurait pu être n’importe quoi sur ce site Web, le problème aurait été le même : si ça avait été des images ISO de Windows elles auraient été infectées tout pareil, si ça avait été des images ISO de Red Hat ou OpenSuse ça aurait été la même chose.



Ce que je répète depuis des pages et des pages, c’est qu’il ne faut pas confondre le piratage du site Web/Wordpress, avec le fait que Linux Mint soit sécurisé ou pas ! Ce sont juste deux sujets complètement différents !! Rien à voir !! Mais certains font facilement l’amalgame… C’est sans doute plus facile de tout mélanger et de tirer des conclusions hâtives et scandaleuses, que de faire marcher son cerveau deux minutes…



Donc oui, le hack du site EST IMPORTANT, et pas à prendre à la légère. Les admins ont intérêt à mettre en place une autre solution pour distribuer leur distro, parce que manifestement Wordpress n’est pas une solution suffisamment sécurisée.





Mais on est entièrement d’accord, le piratage du site n’a rien à voir avec la distrib en elle même (c’est même assez évident selon moi mais passons). Ce n’est pas de ça dont je te parle et j’ai d’ailleurs bien précisé “en marge du hack”.



Je ne parle que de la distrib et des ses problèmes de sécurité, dont je n’avais jamais entendu parler avant (mais je suis l’actualité linux de loin, c’est sûrement pour ça) et qu’on voit apparaitre un peu plus au grand jour maintenant (notamment dans le fil des commentaires de cette news :https://lwn.net/Articles/676662/).



Or tu me dis précédement que Mint n’est pas moins sécurisée qu’une autre distrib et pour le coup, à la lecture du lien lwn et après avoir googliser un peu, j’ai carrément l’impression que ce n’est pas le cas. D’ou ma question, qui est, je le reprécise, relative à la sécurité de la distrib et pas du site.


votre avatar

Il faut sortir de ta boucle, Konrad.

&nbsp;

Encore une fois, ça montre qu’ils sont du niveau de la grosse quiche question sécu et, pour réagir aux derniers propos, je ne vois même pas en quoi LM peut être recommandable pour Mme Michu qui a justement besoin d’être épaulée par plus compétent qu’elle.

&nbsp;

Peu importe pour Mme Michu que ce soit brouillon question libre non-libre du moment que ses mp3 marchent, on est d’accord. Par contre, dépendre d’une distrib conçue par des amateurs (au sens péjoratif pour certains points) incapables d’assurer ni diffusion ni suivi corrects de leur système, c’est un peu chaud pour les miches à Michu, d’autant qu’elle n’en n’aura pas conscience et n’aura donc aucune réaction.

Non seulement elle croira son pc à l’abri “parce que c’est linux” mais en plus elle sera un joli vecteur à m3rdes.



Qu’a prévu LM pour la-machine-à-Michu installée avec une iso corrompue par neveu Kevin ?

votre avatar







YesWeekEnd a écrit :



…Qu’a prévu LM pour la-machine-à-Michu installée avec une iso corrompue par neveu Kevin ?





J’aurais plutôt écrit “Qu’a prévu LM pour la-machine-à-Michu installée par neveu Kevin avec une iso corrompue ?” parce que ta version pourrait laisser croire que Kevin a corrompu l’iso.


votre avatar







ActionFighter a écrit :



Donc je suis assez d’accord avec Konrad, les distributions Linux sont régies par la sélection naturelle. Si une distribution ne fait que, comme tu l’as décris, remplacer les graphismes, mais que ceux qui sont suffisamment beaux pour conquérir un public, tant mieux. Après, si la sécurité n’est pas assurée, là il y a un vrai problème, mais les libristes sont, je pense, assez avertis et j’espère assez intelligents pour changer si besoin.







Je ne pense pas qu’il y ai de différence fondamentale en terme de sélection entre les distributions Linux et les autres OS. Ce ne sont ni les qualités techniques fondamentales, ni la sécurité qui déterminent le succès d’un OS (surtout pour le grand public), je ne suis pas certains qu’il faille aller concurrencer le propriétaire à ce niveau. J’ai l’impression que cette affaire illustre une partie du problème, trop de confiance, non respect de certaines règles sous couvert de distribution non destinée au professionnels.


votre avatar







TaigaIV a écrit :



Je ne pense pas qu’il y ai de différence fondamentale en terme de sélection entre les distributions Linux et les autres OS. Ce ne sont ni les qualités techniques fondamentales, ni la sécurité qui déterminent le succès d’un OS (surtout pour le grand public), je ne suis pas certains qu’il faille aller concurrencer le propriétaire à ce niveau. J’ai l’impression que cette affaire illustre une partie du problème, trop de confiance, non respect de certaines règles sous couvert de distribution non destinée au professionnels.





Pour les OS propriétaires et majoritaires, c’est différents, puisque c’est la vente liée qui s’occupe d’opérer la sélection.

Pour le reste, tu as parfaitement raison. Trop de confiance est clairement néfaste. Après, c’est à chacun de faire ses choix en connaissance de cause, ou pas, parce que quand tu vois le nombre de windows infecté…


votre avatar







Ulfr Sarr a écrit :



Je ne parle que de la distrib et des ses problèmes de sécurité, dont je n’avais jamais entendu parler avant (mais je suis l’actualité linux de loin, c’est sûrement pour ça) et qu’on voit apparaitre un peu plus au grand jour maintenant (notamment dans le fil des commentaires de cette news :https://lwn.net/Articles/676662/).



Or tu me dis précédement que Mint n’est pas moins sécurisée qu’une autre distrib et pour le coup, à la lecture du lien lwn et après avoir googliser un peu, j’ai carrément l’impression que ce n’est pas le cas. D’ou ma question, qui est, je le reprécise, relative à la sécurité de la distrib et pas du site.











YesWeekEnd a écrit :



Encore une fois, ça montre qu’ils sont du niveau de la grosse quiche question sécu et, pour réagir aux derniers propos, je ne vois même pas en quoi LM peut être recommandable pour Mme Michu qui a justement besoin d’être épaulée par plus compétent qu’elle.

 

Peu importe pour Mme Michu que ce soit brouillon question libre non-libre du moment que ses mp3 marchent, on est d’accord. Par contre, dépendre d’une distrib conçue par des amateurs (au sens péjoratif pour certains points) incapables d’assurer ni diffusion ni suivi corrects de leur système, c’est un peu chaud pour les miches à Michu, d’autant qu’elle n’en n’aura pas conscience et n’aura donc aucune réaction.

Non seulement elle croira son pc à l’abri “parce que c’est linux” mais en plus elle sera un joli vecteur à m3rdes.



Qu’a prévu LM pour la-machine-à-Michu installée avec une iso corrompue par neveu Kevin ?







Ben écoutez, peut-être que Linux Mint est moins sécurisée que Debian. Peut-être pas. Qui suis-je pour vous donner une réponse nette et tranchée ? <img data-src=" />



On peut se dire que si leur site a été piraté, c’est parce que les gars de Linux Mint sont des quiches (c’est l’avis de certaines personnes). Bon, il ne faut quand même pas oublier que d’autres sites ont déjà été piratés auparavant, notamment celui de Debian (2003), ou celui de Fedora (2008). Cela ne concerne pas que les distribs GNU/Linux : les réseaux de Microsoft aussi sont attaqués. Faut-il en conclure que tous ces gens et toutes ces entreprises sont des quiches ? Non.



Après le gros problème c’est ce qui se passe après l’intrusion. Il me semble que les équipes de Linux Mint ont rapidement mis leur site hors-ligne, ce qui était la seule chose correcte à faire. Aujourd’hui le site est de nouveau en ligne, et un billet explique ce qui s’est passé et donne les images ISO correctes avec les hash.



Après, si on veut résumer les reproches faits par “glaubitz” (développeur Debian) à Linux Mint :







  • Linux Mint ne fournit pas de “Security Advisories”, donc les utilisateurs ne peuvent pas vérifier facilement s’ils sont vulnérables à une vulnérabilité donnée ;

  • Linux Mint réutilise des paquets Debian et Ubuntu sans les re-packager, ce qui n’est pas très “propre” et fait ressembler la distribution à un monstre (“FrankenDebianBuntu”) ;

  • Linux Mint introduit des paquets qui ont le même nom que certains paquets existant dans Debian ou Ubuntu, ce qui crée des conflits et empêche les utilisateurs de Mint d’installer le paquet originel de Debian ou Ubuntu.







    Voilà. Alors ok, je suis d’accord que ce sont des mauvaises pratiques et tout, et je rejoins ces développeurs pour dire que Linux Mint devrait adopter un mode de développement plus “sain”.



    Une fois ceci dit, je ne suis pas convaincu que ces points rendent Linux Mint particulièrement plus vulnérable que Ubuntu. Si vous avez des éléments qui montrent, concrètement, que Mint est effectivement plus vulnérable, alors donnez-les. Les points soulevés ici (par glaubitz et par vous) relèvent des mauvaises pratiques, mais il reste à prouver qu’elles sont responsables de vulnérabilités supplémentaires par rapport à Ubuntu. Du coup, prétendre que Linux Mint est vérolée, mal sécurisée, à la merci du moindre malware qui passe, ça relève plus du FUD qu’autre chose, car il n’y a aucun élément concret qui le montre.



    Linux Mint est essentiellement une Ubuntu repackagée, voilà pourquoi je disais que Mint n’est, sans doute, pas plus ni moins vulnérable que Ubuntu, à mon avis (notez les pincettes et les gants que je prends). Du coup, il n’y a pas à avoir peur pour Mme Michu. Mais si un expert peut nous prouver le contraire, alors j’écouterai avec attention.


votre avatar







TaigaIV a écrit :



J’ai l’impression que cette affaire illustre une partie du problème, trop de confiance, non respect de certaines règles sous couvert de distribution non destinée au professionnels.







Oui, et c’est là que la sélection s’opérera : si par exemple Mint est atteint de problèmes (bugs, vulnérabilités, malwares…) qui n’existent pas dans d’autres distribs, alors là oui il y aura une grosse perte de confiance de la part des utilisateurs et Mint périclitera.



J’imagine que les développeurs en ont conscience, et qu’ils feront ce qu’il faut pour garder Mint à un niveau de sécurité suffisant.


votre avatar







Konrad a écrit :



Oui, et c’est là que la sélection s’opérera : si par exemple Mint est atteint de problèmes (bugs, vulnérabilités, malwares…) qui n’existent pas dans d’autres distribs, alors là oui il y aura une grosse perte de confiance de la part des utilisateurs et Mint périclitera.



J’imagine que les développeurs en ont conscience, et qu’ils feront ce qu’il faut pour garder Mint à un niveau de sécurité suffisant.





Les problèmes soulevés par “glaubitz” ne datent pas d’hier, de mon point de vu ce sont des problèmes fondamentaux, la distribution est dans le top 5, je ne vois pas comment dans ses conditions il est possible d’affirmer que la sélection s’opère efficacement.


votre avatar







TaigaIV a écrit :



Les problèmes soulevés par “glaubitz” ne datent pas d’hier, de mon point de vu ce sont des problèmes fondamentaux, la distribution est dans le top 5, je ne vois pas comment dans ses conditions il est possible d’affirmer que la sélection s’opère efficacement.







Relis les problèmes soulevés par glaubitz.



Tant que ces « problèmes » n’engendrent pas de bugs, ni de problèmes de sécurité, alors ce ne sont pas des problèmes du point de vue de l’utilisateur. Du coup, aucune raison que la sélection s’opère.



Les problèmes soulevés par glaubitz sont des problèmes de développeurs, de geeks qui veulent ou ne veulent pas faire les choses d’une certaine façon. Ce sont purement des choix et des problèmes de développeurs. Du point de vue de l’utilisateur, tant que ça marche sans se prendre la tête et qu’ils ne sont pas infectés par des malwares, ça n’a aucune importance.


votre avatar







Konrad a écrit :



Relis les problèmes soulevés par glaubitz.



Tant que ces « problèmes » n’engendrent pas de bugs, ni de problèmes de sécurité, alors ce ne sont pas des problèmes du point de vue de l’utilisateur. Du coup, aucune raison que la sélection s’opère.



Les problèmes soulevés par glaubitz sont des problèmes de développeurs, de geeks qui veulent ou ne veulent pas faire les choses d’une certaine façon. Ce sont purement des choix et des problèmes de développeurs. Du point de vue de l’utilisateur, tant que ça marche sans se prendre la tête et qu’ils ne sont pas infectés par des malwares, ça n’a aucune importance.





C’est vrai, pourquoi écouter le gars qui te dit de freiner alors que tu peux attendre d’être dans le mur pour le faire, d’ailleurs d’un certains point de vue c’est une technique efficace pour économiser ses freins. <img data-src=" />


votre avatar







TaigaIV a écrit :



C’est vrai, pourquoi écouter le gars qui te dit de freiner alors que tu peux attendre d’être dans le mur pour le faire, d’ailleurs d’un certains point de vue c’est une technique efficace pour économiser ses freins.







Ben puisque tu fais une analogie automobile, pour moi c’est plutôt comme si un constructeur de voitures critiquait un autre sur la position de l’autoradio et du bouton pour régler les rétroviseurs. Encore une fois, des choix qui ont un impact minime sur l’expérience utilisateur et sur sa sécurité.



À moins, encore une fois, que tu n’aies des éléments concrets (et non des analogies foireuses) qui démontrent que les choix opérés par Mint introduisent des vulnérabilités supplémentaires par rapport à Ubuntu ?


votre avatar







TaigaIV a écrit :



C’est vrai, pourquoi écouter le gars qui te dit de freiner alors que tu peux attendre d’être dans le mur pour le faire, d’ailleurs d’un certains point de vue c’est une technique efficace pour économiser ses freins. <img data-src=" />





Moi, je veux bien freiner, par contre, j’utilise pas la pédale comme il le souhaiterai, je préfère utiliser le frein moteur.


votre avatar







hellmut a écrit :



ah ben oui mais faut aussi pas stocker la signature au même endroit. ^^

je sais pas si c’est le cas chez Mint.







J’espère que dans le ftp il y a aussi les clés privées et certificats <img data-src=" />



votre avatar

Si seulement c’était le seul problème de Mint. Vous je sais pas, mais je crois que je vais en rester à distance pour quelque temps et essayer de trouver une autre distro où Cinnamon est dispo.

votre avatar

Encore un coup de Microsoft ca.

En effet on sait tous que 2016 est L’année ou linux va conquérir le monde des PC et Microsoft en est réduit à pirater les serveurs et infecter les distributions.

Ridicules <img data-src=" />

































<img data-src=" />

votre avatar

bon ben la prochaine fois, je vérifie la signature :o

votre avatar

savais pas qu’une distrib linux pouvait être victime de ce genre de saleté <img data-src=" />



bref comme toujours, faire attention, vérifier.. mais là sur le site officiel, pas facile de se méfier <img data-src=" />

votre avatar







CUlater a écrit :



Et pour la BDD utilisateurs du forum, pas de confirmation de hack? Pas de changement de mot passe encouragé?





Il me semble qu’il y a eu accès aux données et revente déjà dans les bas-forum, dixit un autre article sur le même sujet.


votre avatar

La vérification des signatures: Rien que ça une bonne raison d’utiliser les torrents ?

votre avatar

S’ils ont réussi à modifier les isos sur les serveurs de téléchargement, on peut raisonnablement supposer qu’ils ont aussi pu modifier les MD5/SHA-1 affichés sur le site.



Donc vérifier les hashs (et non pas les signatures !), c’est utile si elles ne correspondent pas, mais si elles correspondent tu n’es pas plus avancé.



Par contre, un système de téléchargement avec signature, ça ça serait top, en gros leur clé publique est dispo chez un éditeur tiers de confiance et il est possible de vérifier que les fichiers viennent bien du bon éditeur. Mais plus compliqué à mettre en place pour le premier téléchargement de l’iso…

votre avatar

Si ton .torrent vient d’une mauvaise source, ça ne changera rien au problème.

votre avatar

warning, <img data-src=" />



“Une brèche qui n’a toujours pas été trouvée”

A tout les coups leurs serveurs sont sous Linux…

votre avatar

Mageia mon ami ! En plus Cocorico c’est une association Française derrière le projet.

votre avatar

(d’où mon «?»)



Autrement dit, faut commencer par aller chercher la signature en s’assurant soigneusement qu’elle est la bonne.

votre avatar

Le mécanisme des clés publiques/privées pour signer existe déjà et est très fiable. Ils fournissent une clé publique (que tu peux éventuellement vérifier auprès d’un tiers de confiance), et leur clé privé sert à signer le fichier téléchargé.

Comme ça même si le fichier vient d’un site externe, tu peux t’assurer qu’il a bien été généré par l’éditeur de Mint. (Sauf si, bien sûr, leur clé privée est compromise, auquel cas il suffit de révoquer la clé publique et d’en générer une nouvelle).



C’est tout le principe des certificats pour le HTTPs et on l’utilise depuis bien longtemps. Il faudrait peut être passer à un système similaire pour les téléchargements.

votre avatar

tu peux résumé stp ?



merci :)

votre avatar

c’est quand même une “infection open source”, les sources du trojan sont sur github <img data-src=" />

votre avatar







127.0.0.1 a écrit :



“Un hashcode garantie l’intégrité mais pas l’authenticité.”

Citation de Benjamin Franklin.



MD5 de la citation: 6172CF1A252A75C90054847EE40E1CE0







C’était pas de Pline l’ancien ?



“Hashcode praestat integrum, sed non in veritate.”



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



votre avatar

ça fait du bien <img data-src=" />

votre avatar







atomusk a écrit :



ça fait du bien <img data-src=" />





Là, c’est mieux <img data-src=" />


votre avatar

Epurée et minimaliste, sans nulle doute la plus belle 13e page de commentaires jamais vu sur NXI.

votre avatar







atomusk a écrit :



ça fait du bien <img data-src=" />







Tu dois bien savoir qu’on a retrouvé merphémort / Laelen… Il va recommencer comme d’hab, on sait tous comment ça va se finir… Mêmes causes, mêmes conséquences…


votre avatar

penses-tu il y en a eux des bien plus épurées que cela des triples pages même sur des news Windows, petites joueuses les news linux à côté <img data-src=" />



edit : bref c’est quand même inquiétant tout cela qu’ils arrivent toujours pas à trouver où est cette faille, il est toujours pas revenu en ligne le site à cette heure-ci?

votre avatar

comme quoi ça sert de vérifier les signatures. ^^

votre avatar

Et pour la BDD utilisateurs du forum, pas de confirmation de hack? Pas de changement de mot passe encouragé?

votre avatar







CUlater a écrit :



Et pour la BDD utilisateurs du forum, pas de confirmation de hack? Pas de changement de mot passe encouragé?







Dans le doute, ca ne peut pas faire de mal ^^


votre avatar







hellmut a écrit :



comme quoi ça sert de vérifier les signatures. ^^





c’est clair ! mais, soyons honnêtes, levez la main ceux qui le font systématiquement ?

garde le bras baissé



Dans tous les cas, saluons la réactivité de l’équipe <img data-src=" />

(la question du “pourquoi pas d’action alors qu’ils ont des noms ?” fait un peu trop dit ou pas assez… Nadella, Cook et Stallman, moi j’dis <img data-src=" /> mais évidemment on nous cache tout, on nous dit rien)



Question subsidiaire : on a une idée du nombre de DL durant la mauvaise période ?


votre avatar







WereWindle a écrit :



c’est clair ! mais, soyons honnêtes, levez la main ceux qui le font systématiquement ?

garde le bras baissé



ouais je vérifie à chaque fois, et&nbsp; ça prend 10 secondes de vérifier les signatures…


votre avatar







hellmut a écrit :



comme quoi ça sert de vérifier les signatures. ^^





Meme s’ils ont pris le contrôle du site web?

&nbsp;


votre avatar







WereWindle a écrit :



c’est clair ! mais, soyons honnêtes, levez la main ceux qui le font systématiquement ?

garde le bras baissé&nbsp;



&nbsp;

ben j’ai récemment testé un certaine distribution, je peux te dire que j’ai vérifié la signature.

et plutôt deux fois qu’une. <img data-src=" />&nbsp;<img data-src=" />


votre avatar

ah ben oui mais faut aussi pas stocker la signature au même endroit. ^^

je sais pas si c’est le cas chez Mint.

votre avatar

et pour une personne lambda … :/ mouai à la Linuxienne quoi



(oui j’utilise aussi linux…)

votre avatar







trekker92 a écrit :



ca c’est très simple, tu vas t’en rendre compte à l’isntallation.

et l’intégrité complète ne m’interesse guère : j’ai déjà réussi quelques installs linux de livecd rayés dont une partie etait illisible.



je considère que par défaut dans 99,99% du temps le site met à disposition des outils intègres et vérifiés par l’éditeur, et que la rentabilité vérification=/=infection est infimement trop faible pour demander trente secondes de vérification à chaque fois :

ce n’est pas rentable, surtout que l’éditeur de la distrib a alerté ses utilisateurs.



C’est comme aller sur un parking et vérifier si chaque voiture est accidentée, le taux d’éléments positifs est tellement proche de zéro que t’as une perte de temps phénoménale.



Si on devait finir par vérifier l’image à chaque fois, on deviendrait Inspecteur de l’Intégrité du Numérique Francais (en passant par la case ENA/intérieur hein)



Donc non, pas pour moi, pas assez rentable.

amusez-vous.







Le problème, c’est que les conséquences d’un malware peuvent s’avérer graves parce que ceux qui les écrivent ne le font logiquement pas pour rien.



Il peut voler le mot de passe d’accès au site de ta banque, ton numéro de CB lors d’un achat en ligne.



Il peut décider un beau matin de chiffrer ton disque dur pour te demander une rançon par la suite.



Il peut permettre l’utilisation de ta machine comme un proxy pour réaliser des opérations frauduleuses sur le web.



Et pleins d’autres joyeusetés….



Bref, chacun voit midi à sa porte, mais a mon humble opinion, ça mérite quand même d’y passer quelques secondes de vérification avant de réinstaller sa machine.





je considère que par défaut dans 99,99% du temps le site met à disposition des outils intègres et vérifiés par l’éditeur





Justement, dans le cas d’une distribution Linux, ce n’est pas toujours sur le site “de l’éditeur” que tu télécharges.



Ce n’est pas parce que tu cliques sur le site de l’éditeur que pour autant tu télécharges sur le site de l’éditeur.



Il n’est pas rare que le lien de téléchargement d’une distribution te dirige aléatoirement sur l’un des nombreux miroirs qui se sont portés volontaires pour fournir gratuitement de la bande passante.



Selon les distributions Linux, ce n’est donc pas forcément sous le contrôle direct de l’éditeur.



Personnellement, ça m’est déjà arrivé plusieurs fois de tomber sur des signatures qui ne correspondent pas (même si cela ne veut pas dire que la cause est forcément frauduleuse).


votre avatar

c’est etonnant de voir que peu de monde vérifie une signature, c’est toujours l’occasion de réviser man md5sum&nbsp; :) et d’avoir le plaisir de constater que ces pages man c’est vraiment de la balle !



concernant gpg et les signatures -&gt; même topo



peut etre les fraichement converti habitué a télécharger tout et n’importe quoi pour leur ex windows ? lorsque je suis obligé de le faire pour windows, j’en suis presque malade que PERSONNE ne propose une signature de leur setup.exe

votre avatar

pardon suis un poil tendu des fois <img data-src=" />

votre avatar

Ben oui, rien qu’à voir tes yeux, on se doute qu’il y a quelque chose qui s’est mal passé dans ta journée.

Prends un kiss cool ou un fuca, enjoy!

<img data-src=" />

Je te prête mes poils si tu veux <img data-src=" />

votre avatar

ça change quoi ?

si le MD5 a été lui aussi été changé ????



Note : je trouve cela vraiment bas de torpiller un site comme linux mint , c’est une association avec des bénévoles qui font une superbe distrib !





Alors pourquoi ?



L’être humain est parfois une vraie merde.

votre avatar

On dirait un règlement de compte d’après les éléments de l’article… bizarre cette histoire.

votre avatar

“Un hashcode garantie l’intégrité mais pas l’authenticité.”

Citation de Benjamin Franklin.



MD5 de la citation: 6172CF1A252A75C90054847EE40E1CE0

votre avatar







dualboot a écrit :



On dirait un règlement de compte d’après les éléments de l’article… bizarre cette histoire.





ils disent dans leur blog qu’ils ont identifié trois noms …

&nbsp;

&nbsp;

pour l’instant le seul des trois dont le nom qui ait fuité est un certain Nadella …

je ne vois pas pourquoi ce type leur en voudrait tant que ça&nbsp; …<img data-src=" />


votre avatar

je parlais uniquement de sécurité en l’occurrence.

votre avatar

ben ça change que j’ai effectué une vérification au lieu de rien faire.

et je parle de la signature, pas du hash MD5 affiché sur le site.

votre avatar

Il vaut mieux que le site reste fermé tant qu’ils ne sont pas sûrs d’avoir réparé le problème, afin d’éviter qu’il se reproduise.



S’ils rouvraient à la va-vite et se faisaient re-pirater derrière, ça serait pire…

votre avatar

ouh mais dis donc y’a eu du hachage en règle là !!^^

votre avatar
votre avatar

mais utiliser Wordpress quand même, ça dénote tout de même d’un certain amateurisme ou d’un amateurisme certain vous me direz pas franchement <img data-src=" />

votre avatar







ErGo_404 a écrit :



On est probablement d’accord, on ne parle juste pas de la même chose alors :)



Pour moi télécharger une distribution en direct ou via un .torrent sur le site de l’éditeur, c’est aussi risqué l’un que l’autre si le site a été infecté. Je crois comprendre que ce que tu dis, c’est qu’on ne peut pas infecter l’iso en ayant un client torrent qui envoie n’importe quoi aux autres pairs, ce qui est vrai.





<img data-src=" /> On est d’accord.


votre avatar







Paetarra a écrit :



mais utiliser Wordpress quand même, ça dénote tout de même d’un certain amateurisme ou d’un amateurisme certain vous me direz pas franchement <img data-src=" />







Et alors ? Linux Mint EST CONÇU par des amateurs, des bénévoles !!



Ça ne veut pas dire que TOUTES les distribs GNU/Linux sont conçues par des amateurs non plus hein, faut pas faire des généralités du genre « Linux c’est que des amateurs, alors que Microsoft ce sont des pro » <img data-src=" />



Certaines distributions sont bien plus professionnelles que d’autres, et certaines distrib sont tout à fait amateur…


votre avatar







Konrad a écrit :



Et alors ? Linux Mint EST CONÇU par des amateurs, des bénévoles !!



Ça ne veut pas dire que TOUTES les distribs GNU/Linux sont conçues par des amateurs non plus hein, faut pas faire des généralités du genre « Linux c’est que des amateurs, alors que Microsoft ce sont des pro » <img data-src=" />



Certaines distributions sont bien plus professionnelles que d’autres, et certaines distrib sont tout à fait amateur…





Oui enfin, ils ne sont pas non plus à la rue, chez Mint. J’aurai du mal à les qualifier “d’amateurs”.



Je suis assez d’accord avec Paetarra, un wordpress pour télécharger une distrib, c’est pas ce qui se fait de plus sérieux, ni de plus sécure…


votre avatar

BON! Après 15 pages de commentaires je peux enfin répondre à une question posée plus tôt : l’ordre de grandeur de l’infection n’est que de 500 machines

&nbsp;(source :http://www.zdnet.com/article/hacker-hundreds-were-tricked-into-installing-linux-… )



C’est en parti grâce à la réactivité de Lefvrevre puisque l’image vérolée n’est restée dispo que le 20.



Ensuite crier à la vulnérabilité de Linux car des mecs ont fait un repack de Mint avec une backdoor c’est comme crier à la faille Facebook parce que t’as téléchargé&nbsp; l’appli sur black market : c’est con.



&nbsp;Pour moi les mecs qui ont fait ça sont loin d’être des cadors ; ils ont laissés des traces, avouent qu’ils n’ont fait ça dans aucun but précis, donnent une interview parce que ça les fait bander qu’on parle d’eux et last but not least ils administrent les zombies par IRC (ce qui est, à mon humble avis, un truc d’amateur)

&nbsp;

votre avatar

C’est marrant de voir plein de gens parler de vérifier un “hash MD5” pour vérifier l’intégrité contre un attaquant potentiel. Ça fait des années que MD5 n’est plus considéré comme cryptographiquement sûr, parce qu’il est possible de forger des collisions. Même sha1 est maintenant délaissé sur les certificats x509, alors MD5…

votre avatar







gokudomatic a écrit :



manjaro, c’est beaucoup mieux.



Sans doute, en attendant je viens de l’installer en virtuel, une fois la MàJ faite, impossible de redémarrer avec un kernel panic… <img data-src=" />


votre avatar







ActionFighter a écrit :



Oui enfin, ils ne sont pas non plus à la rue, chez Mint. J’aurai du mal à les qualifier “d’amateurs”.



Je suis assez d’accord avec Paetarra, un wordpress pour télécharger une distrib, c’est pas ce qui se fait de plus sérieux, ni de plus sécure…







Ben non ça je suis d’accord que ça n’est pas sérieux ni secure.



C’est d’ailleurs pour cela que les distribs vraiment pro (Red Hat, Suse, même Debian ou Ubuntu) n’utilisent pas Wordpress…



Chez Mint ça donne l’impression qu’ils ont un peu fait au plus simple, c’est pour ça que je dis que ça fait « amateur ».



Après il ne faut pas utiliser le cas de Mint pour dire que toutes les distribs sont faites par des amateurs, comme certains l’ont écrit ici hein…


votre avatar







Konrad a écrit :



Ben non ça je suis d’accord que ça n’est pas sérieux ni secure.



C’est d’ailleurs pour cela que les distribs vraiment pro (Red Hat, Suse, même Debian ou Ubuntu) n’utilisent pas Wordpress…



Chez Mint ça donne l’impression qu’ils ont un peu fait au plus simple, c’est pour ça que je dis que ça fait « amateur ».



Après il ne faut pas utiliser le cas de Mint pour dire que toutes les distribs sont faites par des amateurs, comme certains l’ont écrit ici hein…





<img data-src=" />







Aytine a écrit :



Pour moi les mecs qui ont fait ça sont loin d’être des cadors ; ils ont laissés des traces, avouent qu’ils n’ont fait ça dans aucun but précis, donnent une interview parce que ça les fait bander qu’on parle d’eux et last but not least ils administrent les zombies par IRC (ce qui est, à mon humble avis, un truc d’amateur)





Certains pensent que l’interview est un fake par un type en manque de notoriété, et penchent pour des types en relation avec Canonical. Voir le lien que j’ai posté plus haut.


votre avatar







Candl3 a écrit :



Oui certes Linux est le noyau mais moi j’entendais bien par système d’exploitation (L’ISO qu’on parle dans l’article pour moi, est le système d’exploitation à installer sur une machine, à moins qu’on m’ait menti ?). Faut pas avoir fait un bac + 10 pour comprendre un minimum.

On nous sort que ce n’est pas possible de l’infecter à longueur de journée et je me souviens encore les années ou ça se moquait de Windows tous les jours et ça se vantait à tout va que mon système n’a pas besoin de ci, pas besoin de ça, il est supra sécurisé, trololol tu utilises un antivirus, trololol encore des mises à jour, etc…

Bref, ce que je dis, est que même les OS à base de Linux ne sont pas à l’abri. D’où ma façon de me moquer gentiment.







C’est bien ce que je disais : tu confonds le piratage d’un site Web (et de ses fichiers, y compris les fichiers ISO de la distrib), avec la sécurité des systèmes GNU/Linux en eux-mêmes (tu parles de virus et de mises à jour).



Bref tu te moques « gentiment », mais en faisant des amalgames pas possibles, et en tirant des conclusions fausses sur la sécurité des systèmes Linux.


votre avatar

J’ai eu des blocages heuristiques (spy / fraud) surhttp://isoredirect.centos.org/centos/7/isos/x86_64/CentOS-7-x86_64-DVD-1511.iso hier ; à première vue je dirais aucun rapport, ou alors ce serait certaines adresses de miroirs bloquées simplement sur base du nom d’hôte ?

votre avatar

touché :)



Faut dire, j’ai beaucoup de peine de booter certaines distributions linux sous virtualbox (xubuntu passe mais pas kubuntu, et l’année suivante c’est l’inverse), et sans que je trouve de cause particulière.

Linux Mint : le site officiel piraté, des images ISO infectées

  • Des liens vers des images ISO infectées

  • Une brèche qui n'a toujours pas été trouvée

  • Se débarrasser au plus vite de tout système déjà installé

Fermer