Le 28/02/2014 à 17h 06

ActionFighter a écrit :

C’est un service Web. Yahoo aurait beau donner le code source, personne n’irai croire que c’est bien celui qui est implémenté.

De plus, ça ne prouverait pas non plus qu’il n’ y ait pas un man in the middle indépendamment de Yahoo.



Je suis entièrement d’accord avec toi. C’est d’une part un service web et en plus un logiciel propriétaire. C’est exactement ce que je veux dénoncer:

La plupart des gens ignore tout cela ou s’en fichent (d’ailleurs ils s’en fichent souvent car il n’y comprennent rien).

Pour conserver le droit de dialoguer de façon privée avec un tiers il est indispensable d’

• Utiliser de l’open source de bout en bout (donc se documenter pour comprendre ce qui l’est et ce qui ne l’est pas).
  


• Crypter fortement (donc apprendre à choisir des clés robustes) pour tout dialogue avec l’extérieur de la machine.
  

Le 28/02/2014 à 13h 05

Et si les gens finissaient par comprendre qu’en utilisant des logiciels non open source on ne peut absolument rien contrôler de sa vie privée sur Internet ?
Que trouve t-on dans le rayon informatique des grandes surfaces ? Des machines vendues de force avec des systèmes (mac OS ou Windows) qui espionnent sans vergogne (essayez donc de n’acheter que la machine à la Fnac sans ses logiciels).
Avant on nous répondait que cet espionnage relevait de la paranoïa. Maintenant qu’on l’a appris par la voix des acteurs eux mêmes, les gens répondent “je m’en fiche, je n’ai rien à cacher”…
Il y en a de l’éducation et de la réflexion à prodiguer sur ces technologies. Visiblement ça va trop vite pour les consommateurs qui ont oublié qu’ils sont aussi des citoyens.

Le 01/02/2014 à 11h 08

Je me réponds à moi même: ce malware ne contient aucun exploit d’élévation de privilèges. Donc sous Linux, pour avoir des soucis il faut, pour le pékin moyen

1. qu’il ait choisi d’utiliser le Java d’Oracle plutôt qu’ openJDK.
   


2. puis qu’il ait refusé toutes les MAJ de son OS depuis 6 mois (!!! lol )
   


3. puis qu’il se chope la vérole
   
   Ca fait quand même un concours de circonstances assez démentiel !
   Au final, ce bot n’aurait de toute façon pas la possibilité de contaminer d’autres users de la machine, ni celle de se lancer au démarrage (pas les droits admin pour modifier /etc/init.d ).
   
   Enfin pour régler le problème, une simple MAJ suffit. Bref, peut on vraiment penser que ce bot soit nocif sous des systèmes GNU/Linux ?
   
   

Le 01/02/2014 à 10h 34

L’avantage d’une distribution GNU/Linux c’est que la mise à jour de JAVA c’est juste un paquet parmi les autres. Ca se fait parmi toutes les autres mises à jours, en quelques secondes.

Y a juste un truc que j’ai pas compris. Admettons que l’admin d’une machine sous GNU/Linux ait refusé toutes les mises à jour recommandées régulièrement par l’OS, le malware ne contaminera que l’espace utilisateur ou bien il arrive à élever ses privilèges ?