Si on résume, une box connectée à un ordinateur sera exempte de redevance TV, mais un moniteur directement connecté à une box rendra exigible cette contribution.
C’est là que ce système est ridicule : j’ai une box avec triple play, et derrière un HTPC avec écran 24” (moniteur PC, pas une TV), donc je ne suis pas redevable " />
Enfin tant qu’ils ne changent pas ça, ça m’évite de payer pour des chaînes que je ne regarde pas.
Je ne vois pas trop la rentabilité de migrer vers l’open source car la migration va coûter cher, très cher !
pour un gain certes sur le long terme mais le gain de temps pour les utilisateurs et les performances des programmes sont à discuter…
D’après ton raisonnement, il faudrait donc rester pour toujours chez le même éditeur, et ne jamais changer parce que la migration a un coût ?
La migration a un coût, certes, mais après la migration tu peux avoir des économies substantielles. Les exemples de la Gendarmerie Nationale, ou encore de l’agglomération de Toulouse, en sont des exemples. En Allemagne la ville de Munich a aussi migré sous des solutions libres (Linux + LibreOffice), et a réalisé 11 millions d’Euros d’économies en 10 ans.
Par ailleurs, on l’a déjà dit dans ces colonnes, le coût est loin d’être le seul argument pour passer au libre.
Le
14/08/2014 à
07h
48
WereWindle a écrit :
ne sous-estime pas l’utilisateur ‘simple’ : un bouton qui change de place et toute l’interface lui devient étrangère ! (c’est du vécu même si ce n’est pas sur de la bureautique). ça peut aller jusque là. (bon après, pour mini 80% des autres, ça ne pose aucun vrai problème mais ce n’est jamais eux que tu entends…)
Les utilisateurs ont déjà été déroutés avec l’arrivée des rubans sous MS-Office. Donc, même en restant chez le même éditeur, l’interface peut aussi changer, et il faut payer du support, des formations. Pourtant au final beaucoup d’utilisateurs de MS-Office s’y sont fait et sont contents aujourd’hui.
Là c’est pareil. Les utilisateurs s’adapteront s’ils ont les formations nécessaires. Ils s’adapteront avec le temps.
Je crois qu’une part de l’humanité ne peut plus penser par soit même.
“Mardi, la plaisenterie a été présentée que preuve à charge dans le cadre du procès pour le meurtre de Christian Aguilar. ”
Le journaliste a dicté son article à Siri aussi ? " />
PS: on n’écrit pas “par soit même”, mais “par soi-même”, dans la lignée de “par moi-même”, “par toi-même”…
Le
13/08/2014 à
22h
38
Commentaire_supprime a écrit :
+1.
J’aimerai bien qu’il y ait FF OS et Sailfish qui décollent et prennent des parts de marche substantielles (Tizen, j’y crois pas et je n’aime pas remplacer un monopole par un autre).
Bon, il y a bien WP mais aller chez MS, ça me m’enchante guère… Peste, choléra, Charybde, Scylla, toussa…
+1 aussi
Par choix personnel je n’achèterais pas un Windows Phone, en revanche je serais plutôt content que Windows Phone augmente un peu en parts de marché. De même que Firefox OS. Pourquoi ? Parce que la diversité profitera à tout le monde, pour deux raisons :
si le parc est diversifié, les développeurs ne peuvent pas se contenter de viser une seule plate-forme. Ils doivent concevoir leurs applications pour plusieurs plates-formes, et concevoir les sites Web en respectant les standards (ceux qui ne développent que pour Webkit sont des branques).
si le parc est diversifié, l’impact des malwares sera moindre. Un malware qui touche une plate-forme ne touchera pas les autres, donc le nombre de victimes d’un malware sera moindre.
Le
13/08/2014 à
16h
21
Sans aucun doute l’un des atouts majeurs des plates-formes Open Source : la possibilité de créer des forks pour les adapter à ses besoins. " />
Je devrais peut-être clarifier mon propos pour dissiper ce que vous avez cru lire entre les lignes.
Vous avez affirmé que plus les pdm de GNU/Linux seront importantes, et plus il aura de malwares. J’ai voulu réfuter cet argument, parce que les parts de marché ne sont pas le seul facteur en cause. Par exemple, le fait que la sandbox d’iOS soit moins permissive, et le fait que les utilisateurs Android rootent leur téléphone, sont des facteurs importants dans le nombre de malwares subis par ces plates-formes. Je voulais réfuter le raisonnement «plus de pdm entraîne forcément plus de malwares», qui me paraît simpliste et erroné.
Donc, tout ce que j’ai voulu dire, c’est que si on veut être totalement impartial et objectif, pour l’instant il est impossible de prédire quoi que ce soit vis-à-vis des plates-formes GNU/Linux. Peut-être que vous aurez raison et que le nombre de malwares va exploser. Peut-être que vous aurez tort, parce que des mesures de protection supplémentaires (sandbox…) seront mises en place au fur et à mesure que les parts de marché augmentent, comme ce que Microsoft est en train de mettre en place actuellement. Soyez objectifs : nul ne peut prédire l’avenir, ni comment tout ça va évoluer, donc pour l’instant on ne peut rien dire. On ne pourra être fixés que si, un jour, les pdm augmentent sur desktop.
J’espère que ça clarifie un peu ce que je voulais dire.
Le
13/08/2014 à
11h
33
charon.G a écrit :
Julien te l’a expliqué pourquoi plus haut la sandbox d’IOS est plus restrictive et beaucoup d’utilisateurs android rootent leur système ou télécharge sur des dépôts non officiels
Ah, donc le nombre de malwares n’a finalement rien à voir avec les parts de marché ? Il y aurait d’autres paramètres à prendre en compte ?
charon.G a écrit :
De plus android a maintenant quasi le monopole(85%) il n’est pas très intéressant de développer un malware pour IOS.
Oui par contre Symbian a moins de 10% de parts de marché et il a beaucoup plus de malwares que iOS… Donc c’est intéressant de développer des malwares pour une plate-forme à 10%, mais pas pour une plate-forme à 30% de pdm ?
Le
13/08/2014 à
11h
14
Tenez, voici même une étude publiée sur MSDN qui montre que le nombre de malwares est complètement décorrélé de la part de marché :
C’est quand même du lourd il s’attaque à des évidences. Ne pas savoir que la sécurité d”un os est d’abord déterminé par sa part de marché c’est soit de la mauvaise foi totale ou ne rien comprendre à la sécurité en informatique. Et si iOS a aussi des malwares en rapport avec sa part de marché.
Non, le nombre de malwares sur iOS est complètement disproportionné par rapport à la part de marché de cet OS.
Mais cela ne va pas dans le sens de votre sacro-sainte règle, alors vous ignorez ce fait.
Oui, je suis d’accord que les parts de marché d’une plate-forme vont la rendre attractive pour les hackers et programmeurs de malwares. Mais de là à ce que ces hackers réussissent à concevoir des malwares efficaces, il y a d’autres paramètres à prendre en compte : le nombre de failles, la facilité d’attaque d’une plate-forme, le temps d’exposition (avant qu’une faille ne soit patchée), etc. Manifestement iOS n’est pas si facile que ça à attaquer, sinon il serait touché par beaucoup plus de malwares vu ses parts de marché.
Concernant GNU/Linux, pour l’instant on est d’accord que peu de hackers s’y intéressent car il a peu de parts de marché. Mais on ne peut pas en déduire qu’il y aura forcément des malwares si ses parts de marché augmentent, ça c’est prendre un raccourci très hasardeux : on n’en sait pas assez sur la facilité de concevoir ni de propager des malwares pour cette plate-forme. À moins que vous n’ayez vous-même déjà conçu des malwares pour GNU/Linux ?…
Je résume :
Les parts de marché rendent une plate-forme attractive pour les hackers. <– d’accord avec ça.
Les pdm font qu’une plate-forme aura forcément des malwares <– pas d’accord, c’est un raccourci foireux, démontré par rien du tout (et contredit par l’exemple d’iOS).
C’est plus clair comme ça ?
charon.G a écrit :
Ben oui si linux n’a pas de virus sous la raison que de l’argument de la part de marché serait soit disant bidon ça veut dire que linux est plus sécurisé par son fonctionnement
Je n’ai jamais écrit ça. Très bel élément de rhétorique de détourner les propos de quelqu’un pour le discréditer, je ne te félicite pas sur ce coup là.
Le
12/08/2014 à
21h
54
Mr.Nox a écrit :
Il ne veut pas comprendre que si il y a attaque (malware et autres) c’est avant tout du au PDM. Partant de la, je vois même pas pourquoi vous continuez…
Oui tiens, revenons sur cette assertion.
C’est vrai qu’il y a des cas où des plates-formes populaires se sont fait attaquer. Windows bien sûr, mais aussi Android. Alors vous érigez cela en règle absolue : dès qu’une plate-forme devient populaire, elle souffre forcément de malwares. Et donc mécaniquement, si des OS comme GNU/Linux deviennent populaires, ils subiront forcément des malwares.
Seulement, il existe aussi des contre-exemples. iOS a des parts de marché très conséquentes, au début il était même seul sur le marché des smartphones, aujourd’hui on peut y ajouter le marché des tablettes. Pourtant il n’existe que peu de malwares pour iOS, c’est même dérisoire comparé au nombre de malwares présents sur Android. Pourtant, même encore aujourd’hui iOS capte un tiers du marché des smartphones, et environ un tiers aussi du marché des tablettes. Comment expliquer que 90% des malwares s’attaquent à Android et non pas à iOS ?
Bref, la fameuse règle «toute plate-forme qui devient populaire se fait forcément attaquer» ne me paraît pas très fiable. C’est seulement une règle empirique qui s’est vérifiée avec certains systèmes, mais ce n’est pas une loi de la nature.
Le
12/08/2014 à
17h
27
arno53 a écrit :
L’un propose une solution contre ce qui peut arriver par expérience, l’autre espère que ca n’arrive pas … Être proactif est une meilleur posture en terme de sécurité plutôt qu’attendre la catastrophe et essayé de mettre des garde fou ensuite.
Nope on veux pas prouver que les dépôts sont corrompu mais on veut que Linux deviennent proactif en terme de sécurité et que l’hoax selon lequel Linux serait secure by design disparaissent car dangereusement faux.
Mais qui a dit que Linux était «secure by design» ? En tout cas certainement pas moi puisque j’ai déjà dit notamment que l’utilisation de sandbox pourrait être généralisé, ça serait bienvenu.
De ton côté, pourquoi tu dis que Linux «espère que ça n’arrive pas», et n’est pas pro-actif ? Comme si personne ne faisait rien pour la sécurité, et attendait en croisant les doigts…
«Linux n’est pas sécurisé, ne fait rien pour améliorer sa sécurité, les libristes restent campés sur leurs positions, les dépôts risquent d’être truffés de malwares. Au contraire, Microsoft met en place des vraies solutions, avec un store et des sandboxes. Achetez Microsoft !»
Discours tout à fait objectif et impartial… Désolé si j’y ai vu du FUD, je devrais peut-être changer de lunettes.
For the record : moi mon discours, c’est de dire que des deux côtés des efforts sont faits pour améliorer la sécurité, et c’est tant mieux. Aucun système n’est parfait ni 100% sécurisé, c’est évident, mais les solutions qui sont en train d’être mises en place (store, sandboxes…) vont dans la bonne direction. Encore une fois je ne vois pas pourquoi vous vous entêtez à vouloir démontrer qu’aucun effort n’est porté sur la sécurité sous Linux.
PS: l’exposé est peut-être sympa mais il faut Silverlight pour le lire.
Le
12/08/2014 à
10h
54
jmanici a écrit :
Comme je l’ai deja dit, WM6 aussi avait un store similaire aux depots linux et donc vulnerable
Pour autant, il n’a jamais fait l’objet d’attaques. Juste parce qu’une plateforme n’a jamais fait l’objet d’attaque du fait de sa faible part de marché ne signifie pas que sa sécurité est un succès.
Non Sequitur : cela démontre que si A est vrai alors B est vrai. Ça ne démontre absolument pas que si A est faux alors B sera faux.
«WM6 avait de faibles parts de marché, et n’a pas subi de malwares.
Donc, quand les distributions GNU/Linux auront une part de marché importante, elles auront des malwares.»
C’est ça ton raisonnement ?
jmanici a écrit :
En revanche, ton post précédent sur des backdoors dans Windows ou iOS, ça c’est du FUD. Même les leaks de snowden n’ont rien révélé de tel.
Bien sûr dans un logiciel propriétaire, vu qu’on n’a pas accès au code source difficile de prouver que c’est une backdoor introduite volontairement. On peut juste avoir de fortes suspicions envers des programmes qui font des choses qu’ils ne devraient pas faire.
Dans un logiciel libre par contre, ça devrait être facile à prouver. J’attends encore : donnez-moi des exemples de logiciels libres dans lesquels des backdoors ont été introduites et propagées dans des distribs.
Le
12/08/2014 à
10h
24
jmanici a écrit :
Les développeurs sont parfois anonymes. Y compris pour des projets majeurs comme truecrypt.
Ils n’ont pas trop de soucis à se faire s’ils peuvent recommencer sous un nouveau pseudo.
Je doute que les mainteneurs de depots lisent le code source de fond en comble (et en comprennent tout le fonctionnement).
Même si c’était le cas, lire le code source de centaines de milliers de nouvelles apps et updates par an serait irréalisable si on voulait ouvrir un depot sur le même modèle pour les applis win32. Ca demanderait trop de moyens humains. Sans compter que bon nombre de sociétés ne veulent pas rendre leurs produits open source.
En plus, même en lisant le code source, si l’auteur a laissé volontairement une faille de sécurité pour s’en servir de backdoor, il y a très peu de chances qu’un mainteneur s’en aperçoive.
Bon je vais vous aider dans vos tentatives de démonstration :
Citez-moi UN SEUL cas où c’est arrivé. Un cas où un malware, ou une backdoor, a été introduite dans un logiciel libre, où ce logiciel a ensuite été injecté dans les dépôts d’une distribution GNU/Linux. Ça, un fait avéré, c’est un argument que je recevrai.
Tout le reste n’est que du FUD.
Le
12/08/2014 à
10h
11
Qui a parlé d’analyser le code source ? Ce n’est évidemment pas aux responsables de la distrib de relire entièrement un code source, ça n’a pas de sens. Pour chaque logiciel libre, la vérification du code source est d’abord faite en interne. Ces gens connaissent leur code, à eux d’opérer un premier filtrage sur les contributions qu’ils acceptent ou pas. De plus tout l’historique de modifications est public (GitHub ou autre). Ça limite déjà fortement la possibilité d’injecter un malware ni vu ni connu. Et encore une fois, même si un malware était injecté, on peut remonter à la personne qui l’a introduite et ce type est grillé à vie. Ce type de vérification n’est évidemment pas possible quand c’est un anonyme qui soumet un binaire dans le store, comme c’est le cas dans le store d’Android par exemple.
Ensuite lors de l’intégration à une distrib, le programme (binaire cette fois) est testé dans des sandboxes pour vérifier son comportement et à quelles ressources elle accède, ce qui limite aussi les risques. Enfin, il se passe parfois des mois entre la nouvelle version d’un code (figée par les développeurs) et sa mise à disposition dans les dépôts d’une distribution (sous Debian Stable ça peut être des années). Ce n’est pas crédible que toutes les distribs l’intègrent sans que personne ne s’en rende jamais compte…
Ah oui, peut-être que ça fait des années qu’un malware a été introduit, mais son auteur l’a programmé pour se réveiller quand il sera intégré dans toutes les distributions… Et puis, «si l’auteur a laissé volontairement une faille de sécurité pour s’en servir de backdoor»… Ça, c’est la partie FUD : on imagine des scénarios catastrophes pour appuyer ses propos. Microsoft a beaucoup utilisé cette technique par le passé pour décrédibiliser les logiciels libres (qui seraient plus chers, moins sécurisés, moins performants…) et faire comprendre qu’il fallait acheter ses logiciels. Vous avez bien appris votre leçon, vous reprenez les mêmes poncifs, sauf qu’aucun fait n’est jamais venu étayer vos propos. Et, comble de l’ironie, Microsoft fait maintenant du logiciel libre, propose un store, et a même contribué au noyau Linux, mais je constate que certains continuent d’utiliser ces bonnes vieilles techniques de FUD.
Vous voulez encore plus d’ironie : vous faites davantage confiance à Microsoft et Apple alors que leurs OS ont eu des backdoors et qu’ils collaborent avec la NSA, ce n’est pas du vent ce sont des faits avérés (il n’y a pas si longtemps encore sur iOS) ; et au contraire vous n’avez pas confiance dans les distributions GNU/Linux alors qu’aucun cas de backdoor n’a jamais été rapporté, juste dans votre imagination (et pour couper court aux arguments habituels, il n’y a jamais eu de backdoor dans BSD et la faille OpenSSL était une faille introduite involontairement, pas une backdoor).
Et puis je ne sais pas ce que vous cherchez à me faire dire exactement. Je n’ai jamais dit que le système de dépôt se suffisait à lui-même en termes de sécurité. Je suis complètement d’accord pour dire que ce n’est qu’un maillon de la chaîne, et qu’il faut prendre d’autres mesures (sandbox…). Je suis complètement d’accord pour dire que Microsoft va dans la bonne direction avec son système de sandbox. Mais tout ça, je l’ai déjà dit.
J’ai l’impression qu’on est tous d’accord sur le principe, mais que vous voulez absolument prouver que les dépôts Linux ne sont pas sécurisés et qu’ils sont truffés de malwares. Je ne sais pas à quoi ça vous amène de vouloir démontrer ça, mais vous avez l’air d’y tenir.
Le
12/08/2014 à
08h
14
Et puis, falsifier son identité pour injecter des malwares dans un dépôt GNU/Linux… J’imagine que le gars va aussi passer par des proxys pour pas qu’on retrouve son adresse IP.
Des scénarios catastrophes avec des «si» je pourrais vous en pondre aussi… Ça permettrait de continuer cette discussion encore très longtemps, mais ça ne démontrerait rien du tout.
« Et si un malware est introduit dans le store de Microsoft, et s’il utilise une faille dans la sandbox WinRT pour faire une élévation de privilèges !!!…»
Soyez objectifs : ce genre de scénarios est très peu probable, et même si ça arrivait, cela ne remettrait pas en cause l’intérêt et l’importance du système de dépôt (ou de store Windows) ni des sandboxes*. Donc, utiliser ce genre de scénarios pour décrédibiliser une plate-forme (GNU/Linux en l’occurrence), oui, c’est juste du FUD.
* De même que l’existence de scientifiques fraudeurs ne remet pas en cause l’importance des journaux ni des process de review. Ça n’est pas infaillible mais c’est le meilleur système que l’on a, et les fraudes sont très marginales.
Le
12/08/2014 à
07h
57
Edtech a écrit :
Et si, il y a déjà eu des injections dans des dépôts, vite maîtrisé heureusement.
Source ? Ça m’intéresse.
Le
12/08/2014 à
07h
33
Edtech a écrit :
Juste pour info, il est très facile de proposer un paquet à un dépôt, les vérifications sont dérisoires et seule la confiance entre en compte… Pas trop dur d’injecter de la merde si tu t’y prends bien (pour avoir proposé des paquets, j’ai pu constater le peu de vérifications).
En fait, ça va dépendre de qui tu vas avoir comme interlocuteur. J’ai eu du gars qui rejette ton paquet sans même le regarder car il ne te connait pas et que de toutes façons tu es sans doute un bouseux vu que pas connu (oui, je me suis fait insulter pour oser proposer un paquet, ça refroidi !), au gars qui prend les yeux fermé…
si tu arrives dans un projet de logiciel libre, il y a déjà une équipe de développement. Ils ne vont pas te laisser injecter du code sans que personne ne vérifie. Le chemin sera long avant de soumettre ça dans un dépôt. Si au contraire, tu veux soumettre un nouveau code, je trouve normal que les mainteneurs se méfient de toi (et je trouve anormal si c’est accepté sans vérif).
Une fois que ton paquet est proposé, si des mois après on se rend compte que tu avais introduit un malware, personne ne peut remonter jusqu’à toi ? Tu peux répéter le processus et introduire d’autres malwares ?
Une fois que tu as fait ça dans une distribution, le programme malicieux ne se retrouve pas dans toutes les distributions. Certaines distributions (notamment Ubuntu) intègrent rapidement les nouvelles versions de certains programmes, alors que d’autres sont plus lentes. Donc, même si tu arrives à berner une distribution, une fois le malware découvert il ne touchera pas d’autres distrib.
Dans le Store d’Android la soumission est beaucoup plus rapide, et elle est anonyme : il suffit d’avoir un compte Gmail, on paye 25$ et hop, notre binaire se retrouve sur le store. Tu vois les différences par rapport aux dépôts GNU/Linux ?
En fait je ferais le parallèle avec la recherche scientifique. Des gens font des recherches, puis ils les exposent au reste du monde. Pour cela ils doivent rédiger un article, détaillant leur protocole et les résultats obtenus (le «code source»). Cet article n’est pas anonyme, les noms des auteurs apparaissent toujours. Alors oui, il peut y avoir de la fraude, il y a des cas avérés de gens qui ont volontairement publié des trucs faux, pour l’enrichissement personnel, pour faire le buzz, ou je ne sais quoi. Je ne dis pas que c’est impossible. Mais leur carrière se termine souvent de façon brutale : licenciement, leur nom est discrédité à vie, et plus aucun crédit de recherche ne leur est accordé. Ce genre de comportement est donc marginal, parce que les gens sont totalement exposés et risquent gros. Et, même si ce type de comportement existe et qu’il y a déjà eu des fraudes, cela ne remet pas en cause l’efficacité et la robustesse de la méthode scientifique.
Pour les dépôts GNU/Linux c’est un peu la même chose… Sauf que pour l’instant il n’y a aucun cas avéré de fraude. Pour résumer les deux points que je défends :
oui, il y a des malwares injectés dans l’Android Market. Mais extrapoler en disant que ça arrivera forcément aussi dans les dépôts GNU/Linux, c’est un très gros raccourci qui ignore beaucoup de paramètres (binaires vs code source, soumission anonyme vs nominatif, vérif vs aucune vérif).
depuis 20 ans il n’y a jamais eu de cas avéré de malware injecté dans un dépôt GNU/Linux. Donc, spéculer avec des «oui mais si ceci, si cela», ça ne s’appuie sur aucune donnée, aucun fait, c’est juste des scénarios tirés par les cheveux pour faire peur aux enfants. Bref, du FUD.
Le
11/08/2014 à
22h
39
Bon, au final je pense qu’on est d’accord pour dire que le système de dépôts, ainsi qu’une sandbox, sont des éléments importants pour la sécurité.
Même si nos avis divergent sur d’autres sujets. Notamment, quand on parle de logiciels libres, il est possible de remonter non seulement à la personne qui est responsable du paquet dans la distribution, mais aussi au développeur qui aurait introduit un malware dans une appli : les contributions ne sont jamais anonymes. Il faudra que tu m’explique comment un type peut s’en tirer en implémentant un malware dans un code source qui est relu par plusieurs développeurs spécialistes de l’appli, jusqu’au point où l’appli est vérifiée et packagée dans la distribution, et atteint l’utilisateur final. Et même si le malware réussit tout ce parcours, ce développeur verra sa carrière finie car il est possible de remonter jusqu’à lui. Par ailleurs, certaines distributions incluent rapidement les applis, alors que d’autres sont plus lentes (Debian Stable est très lente par exemple). Donc si jamais (et c’est un gros «si») ce scénario catastrophe arrivait dans une distrib rapide, les autres distribs seraient au courant et ne propageraient pas la version malicieuse (là encore la fragmentation est un élément qui limite la casse).
Voilà, grosso modo, pourquoi je ne crois pas une seule seconde que des malwares puissent être introduits dans les dépôts d’une distrib GNU/Linux. Et on parle bien de malwares ici hein, càd de code malicieux implémenté volontairement dans une appli.
Après, si l’utilisateur ajoute des dépôts tiers, télécharge des .deb ou .rpm, ou s’il exécute des binaires n’importe comment, c’est une autre histoire. Voilà pourquoi je défends effectivement le système de dépôts : comme tu le dis, l’utilisateur ne devrait pas aller chercher des choses hors-dépôt. S’il le fait, ça doit être en connaissance de cause et en mesurant les risques. Encore une fois, je suis d’accord que pour parer à ce genre de cas, une sandbox est un élément important de sécurité.
Le
11/08/2014 à
19h
48
jmanici a écrit :
Ce que tu décris est le type de sandbox qu’on utilise pour protéger une application dans laquelle on a confiance (on sait que son auteur n’a pas inclus de malware dedans). La sandbox dans cette situation est configurée (manuellement ou avec un profil) de manière à limiter les dégâts si jamais l’application est compromise à cause d’une faille de sécurité (serveur web, navigateur web,…).
Mais ce n’est pas le type de sandbox dont je parle lorsque je fais référence à un “store” ou un dépôt.
Dans le cas des stores, le but est de référencer beaucoup d’applications auxquelles on n’a pas forcement confiance (parce que n’importe quel développeur inconnu peut facilement soumettre son appli).
Je crois que c’est là qu’on a un désaccord.
Ce n’est pas le cas dans les dépôts des distributions GNU/Linux. Chaque contributeur est identifié par son nom et prénom, et soumettre du code est soumis à des règles. Par ailleurs, dans le cas de Debian par exemple les logiciels passent par différentes étapes en «arrière boutique» : unstable, testing, avant d’intégrer la version Stable de la distrib. Ceci garantit qu’un certain nombre de tests (selon les cas, tests dans des sandbox, analyse des I/O, relecture du code, debug…) sont effectués avant que l’appli ne soit propagée au plus grand nombre. Le développeur originel n’est pas le seul à vérifier son appli, il y a plusieurs développeurs, testeurs et mainteneurs. Il en va de même avec toutes les mises à jour d’un paquet.
Si n’importe qui pouvait ajouter facilement n’importe quoi dans les dépôts des distribs, ça serait un beau bordel… Et ça ne serait effectivement pas sécurisé du tout. Si tu essayes de faire passer une appli vérolée, il y a très peu de chances que ça passe.
Après, je suis d’accord que si l’utilisateur ajoute des dépôts tiers, ou si il installe des applis hors-dépôt, il peut compromettre sa machine… Je suis donc d’accord qu’il serait préférable d’avoir un sandboxing systématique des applications dans les distribs.
Et sinon, la plupart des applis que j’ai testées dans un chroot fonctionnent très bien. Elles n’ont accès qu’à un nombre restreint de bibliothèques et de dossiers, avec les droits restreints d’un utilisateur chrooté lui aussi. Je ne vois pas vraiment dans quelle configuration un logiciel serait rendu inopérant par une sandbox ou un chroot.
Le
11/08/2014 à
17h
47
jmanici a écrit :
Les droits linux peuvent être sécurisés. Ubuntu est en train de le faire.
Et Android l’a fait (avec quelques déficiences dûes au manque de maj des terminaux et d’une sandbox trop permissive).
Mais les applis desktop linux existantes ne peuvent pas être sandboxées sans modification ou reecriture. Idem pour un hypothétique store win32 (qui ne serait pas secure sans sandbox).
Je le sais qu’elles peuvent être sécurisées. Seccomp est inclus dans le noyau depuis 2005, il y a aussi AppArmor comme solution de sandbox (qui vient avec des profils pour ssh, Apache, etc.). Si les distributions Linux deviennent plus populaire, il faut parier sur le fait que ce type de solutions se généralisera et seront activées par défaut sur les distribs.
Sinon vraie question technique :
d’après ce que je comprends des sandboxes, il s’agit d’isoler un process en ne lui autorisant que certaines actions bien précises (appels système, accès systèmes de fichiers…). Je comprends donc que, pour chaque application, il faut déterminer un ensemble d’actions acceptables ou non (un peu à la manière des «autorisations» demandées lors de l’installation d’une appli sous Android, par exemple). J’imagine que c’est donc ça qui prend du temps : établir, pour chaque application, l’ensemble des règles permises ou non.
En revanche je ne vois pas pourquoi il faudrait ré-écrire les applications. Tant que l’application a accès à ce dont elle a besoin (autorisé par la sandbox) elle agit normalement. Si la sandbox refuse quelque chose à l’appli, c’est soit que la sandbox est mal configurée, soit que l’appli essaye de faire quelque chose qu’elle n’est pas censée faire (possible malware). Dans ce cas l’appli plante, ou est tuée par le système. Je ne vois pas pourquoi il faudrait ré-écrire les applis pour être «sanbox-compliant».
Le
11/08/2014 à
17h
32
Bon j’ai compris ton point de vue : la seule solution c’est que Windows reste à 90% de pdm, et que Linux reste à 1% car il ne peut pas être sécurisé. Merci de ton point de vue éclairé.
Le
11/08/2014 à
16h
51
jmanici a écrit :
L’exemple d’android pour toi c’est du FUD?
Non ce n’est pas ce que j’ai dit.
J’ai dit : l’extrapolation à toutes les distributions Linux, c’est du FUD.
Le
11/08/2014 à
16h
49
jmanici a écrit :
+1 pour la politique de l’autruche. Surtout ne pas considérer Android comme un linux.
Oui enfin +1 pour la politique de l’autruche considérant que tous les Linux sont identiques…
Si Android est infecté de malwares, c’est essentiellement les couches ajoutées par Google qui en souffrent. Ce n’est pas le noyau Linux qui est attaqué.
Donc utiliser Android en disant «c’est ce qui arrivera à toutes les distribs Linux», c’est aller un peu vite en besogne. Le noyau est le même (Linux), mais pas les environnements au-dessus.
jmanici a écrit :
Si un utilisateur ne trouve pas Photoshop sur le store, il cherchera “Photoshop linux” sur Google.
Si un site warez lui propose un fichier de 500ko nommé “Photoshop complet pour linux garanti sans malware.deb”, il y a de fortes chances qu’il tombe dans le panneau.
Je trouve que tu utilises beaucoup de «si» dans tes démonstrations. Et si ma tante en avait on l’appellerait mon oncle.
jmanici a écrit :
En attendant MS est conscient de cela et a construit une plateforme qui va dans la bonne direction (WinRT+ store).
Attends, laisse-moi résumer : quand Microsoft met en place un store, ça va dans la bonne direction. Par contre les distributions GNU/Linux qui utilisent un store depuis plus de 20 ans, elles finiront forcément infectées par des malwares. Mmm… (/sarcasme)
Ne te méprends pas : je trouve que Microsoft va effectivement dans la bonne direction, et a fait énormément pour la sécurité depuis des années. Je ne cherche pas à dénigrer le travail de Microsoft. Mais venir dire que Linux est à la traîne, alors que les plus grandes entreprises travaillent dessus à plusieurs niveaux (Intel, Oracle… Microsoft aussi a contribué au noyau Linux), que la sécurité fait partie des priorités de ces entreprises, que des distributions GNU/Linux sont utilisées pour des utilisations bien plus critiques (serveurs…)… Je trouve ça ridicule et bien présomptueux de ta part.
Le
11/08/2014 à
16h
00
jmanici a écrit :
Si Windows/ubuntu linux/osx ont 30% de pdm chacun, chaque OS aura ses malwares, et certains créateurs de malwares feront l’effort de les porter sur les 3 plateformes, puisque chacune a un nombre attractif d’utilisateurs
Oui, mais tu es d’accord pour dire que ça réclame un effort supplémentaire aux créateurs de malwares. Donc ça augmente le coût de création de ces malwares (temps/argent), d’autant que les plates-formes (Apple/Google/Microsoft) sont très différentes, il ne suffit pas de recompiler pour que ça marche ailleurs. Donc forcément ça limite leur développement et leur propagation.
À titre d’exemple, bien qu’iOS représente plus de 30% du parc de smartphones, les malwares Android ne sont pas portés sur iOS. Ils n’existent que sur Android.
Je n’ai pas dit que la fragmentation empêchait complètement les malwares. Je dis juste que ça apporte un coût supplémentaire assez conséquent. Et si un malware est développé pour Android, alors iOS et Windows Phone ne sont pas touchés, ça limite donc le nombre de potentielles victimes.
Quant aux spéculations sur ce qui se passerait «si»… J’ai déjà dit que je préférais m’en tenir aux faits. Le jour où il y aura effectivement des gens qui développent des malwares pour Ubuntu et qui paieront Google, tu pourras venir me dire «j’avais raison». En attendant ça n’a que peu de chances d’arriver alors c’est juste du FUD.
Le
11/08/2014 à
15h
18
jmanici a écrit :
Android est un linux.
Android market est un depot.
Oui, je confirme qu’il y a beaucoup de malwares sur Android, les chiffres sont là, ce serait idiot de le nier.
À mon humble avis, cela est dû au manque de moyens mis en œuvre pour vérifier les applications. Google est la seule entité à vérifier les applications de l’Android Market, je ne sais pas combien de gens bossent là-dessus, mais c’est clairement insuffisant quand il y a plusieurs millions d’applis. S’il y a des malwares, on peut blâmer ceux qui ont conçu ces malwares, mais je pense que Google a sa part de responsabilité aussi, parce que manifestement la quantité d’applis à passer sur le Market le dépasse.
Voilà pour Android. Maintenant, comme je l’ai déjà dit ça ne se passe pas comme ça dans les dépôts des distributions GNU/Linux : chaque mainteneur est responsable d’un petit nombre de paquets. Le nombre de mainteneurs a augmenté avec le nombre de packages disponibles. Si un package contient un malware, ce n’est pas «la distrib» ou on-ne-sait-qui qui est responsable, c’est le mainteneur, on sait sur quels doigts taper (et bien entendu son nom est public, autant dire que le statut de mainteneur ne se prend pas à la légère).
Pour les histoires de sandbox, il en existe déjà pour les distrib GNU/Linux, malheureusement elles ne sont pas (encore) généralisées. C’est vrai qu’il serait bon que les distribs intègrent une sandbox par défaut, j’espère qu’ils n’attendront pas qu’il arrive un gros malheur avant de mettre ça en place.
Et sinon, je suis tout à fait d’accord pour dire que la fragmentation du marché est une bonne solution pour limiter le nombre d’infections. C’est pour cela que je ne souhaite pas qu’Android devienne trop important (un équilibre avec iOS et d’autres OS serait bienvenu). C’est pour cela aussi que, sur desktop, l’hégémonie Windows est mauvaise : là aussi, un équilibre avec Mac OS et différentes distributions GNU/Linux serait bienvenu. Ainsi, si une plate-forme est touchée, tous ceux qui ne sont pas sur cette plate-forme restent protégés.
Le
11/08/2014 à
14h
03
jmanici a écrit :
Linux n’est absolument pas d’avantage protégé que Windows contre ce genre de pratique.
Si linux avait 90% de pdm sur le desktop, tu crois vraiment que les éditeurs de toolbars autres compagnies qui cherchent à installer leur produit de force sur un maximum de machines ne pourraient pas faire exactement la même chose que sous Windows?
Si tu t’imagines que les depots sont la solution à tous les problèmes, tu te fourres le doigt dans l’oeil. Le modèle des depots linux ne serait pas efficace pour supporter un écosystème de dizaines de millions d’apps. Il y aurait des malwares dedans, et les utilisateurs continueraient à télécharger des logiciels hors depot, sur le site de leurs auteurs, car beaucoup de devs n’auront pas envie de se faire chier à soumettre leurs apps et chaque maj à des dizaines de depots (pour chaque distrib linux).
C’est vrai que si les gens font comme sous Windows, càd télécharger et installer des .exe (ou des .deb ou .rpm ce qui revient au même), il y a les mêmes risques sous GNU/Linux.
Mais, pour avoir installé des distributions GNU/Linux autour de moi, souvent à des gens qui n’y connaissent rien, ils prennent très vite l’habitude de passer par l’appli dédiée aux dépôts. Ils ne cherchent absolument pas à aller chercher des .deb sur le Web. C’est une question d’habitudes, et finalement c’est exactement le même principe que ce qu’ils utilisent ailleurs : sur leur téléphone, ils passent aussi par le Store (celui de Google, Apple ou Microsoft). Ce n’est donc pas compliqué de leur faire comprendre que sur un GNU/Linux desktop, c’est pareil.
Quant aux développeurs qui ne veulent pas générer les .deb et .rpm pour toutes les distribs, j’ai envie de dire tant pis pour eux, leur appli ne sera pas utilisée. C’est comme si un dev disait qu’il en a marre de générer ses binaires pour le Store d’Android ou iOS : très peu de gens auraient l’idée d’aller chercher les binaires pour son smartphone sur le Web, donc l’appli serait très peu utilisée.
Et pour les dépôts Linux remplis de malwares… Tu t’appuies sur quoi de concret ? Parce que rien de ce genre n’est jamais arrivé. Aujourd’hui Debian par exemple c’est environ 50 000 paquets. J’imagine que tu vas me rétorquer que «s’il y en avait des millions peut-être que ci ou ça»… On ne base pas une argumentation sur des «si». Il n’y a peut-être qu’un seul dépôt central, mais les responsables de paquets ne sont en charge que d’un petit nombre de paquets. C’est évident que ce n’est pas 3 gus dans leur garage qui maintiennent et packagent 50 000 paquets… Bref c’est du FUD, tu cherches juste à décrédibiliser le système de dépôts, mais pour l’instant en 20 ans d’existence les dépôts Linux n’ont jamais distribué de malware.
Le
11/08/2014 à
12h
27
DacK1 a écrit :
Et personnellement, je trouve aussi que ça n’a rien a voir, c’est encore pire d’installer un soft en bundle avec un autre !
J’installe Windows de Microsoft, je suis pas choqué d’avoir internet explorer de Microsoft… (ainsi qu’un lecteur vidéo/audio par exemple)
Entièrement d’accord avec ça : quand on installe un logiciel, ce n’est pas pour en installer d’autres qui n’ont rien à voir. Je n’aime pas non plus ce genre de pratique. Je suis peut-être capable de décocher la case, mais la plupart des gens n’y prêtent même pas attention et ne remarquent même pas la case à (dé)cocher.
Ce n’est pas un problème d’incompétence de l’utilisateur final. C’est juste que l’utilisateur final ne peut pas se douter, quand il installe un logiciel X, que ça va installer en même temps un logiciel Y, ça n’a rien de logique. L’utilisateur ne s’attend pas à ça, donc il ne va pas se méfier ni chercher à s’en prémunir.
Le
11/08/2014 à
10h
16
Edtech a écrit :
C’est à la mode de faire croire qu’on était ironique pour ne pas admettre qu’on a tort (ça fait plusieurs fois que je vois ça) ? Enfin bon, après, on a tous ses opinions, hein !
Oui ça semble être à la mode, de même que prendre les sarcasmes au pied de la lettre " />
Promis on essaiera de mettre des smileys explicites " />
Et maintenant le même message avec d’autres smileys :
Oui ça semble être à la mode, de même que prendre les sarcasmes au pied de la lettre " />
Promis on essaiera de mettre des smileys explicites " />
Le ton n’est pas le même…
Maintenant tu vois peut-être pourquoi certaines subtilités (sarcasmes, ironie…) sont plus difficiles à détecter à travers des commentaires / forum. Selon la personne et son humeur, un même message peut être pris de différentes façons.
" />
Le
11/08/2014 à
09h
15
Edtech a écrit :
IE supporte depuis la version 9 la balise vidéo de façon complète. IE9 ayant intégré l’accélération matérielle (que les autres ont intégré rapidement par la suite, fort heureusement), la vidéo s’en trouvait elle aussi accélérée, à condition que le codec le gère. Car IE, contrairement aux autres, se base simplement sur les codecs du système. Du coup, IE gère tous les formats de vidéos, même ceux qui n’existe pas encore (pratique pour de futures évolutions). Il me semble que Firefox a finalement décidé de faire de même.
Ce qui, à mon sens, est la meilleure chose à faire : ainsi ce n’est pas au navigateur d’embarquer le codec et éventuellement de payer des royalties, à la place le codec peut être installé sur le système par l’utilisateur.
C’est aussi une meilleure chose du point de vue du standard html5 : figer un codec dans la norme serait trop restrictif. Figer la balise video en disant qu’elle peut contenir n’importe quel codec, c’est plus souple et ça n’entrave pas les futures évolutions des codecs.
Et on le re-re-re-re-re-répète : à quand deux classements, un pour les ordinateurs et l’autre pour les smartphones-tablettes " />
Le duo smartphone-tablette est ultra-majoritairement avec iOS ou Android : dans le premier cas il y a aura plutôt Safari, mais Chrome le reste du temps ; dans le second, quasiment que Chrome ; dans les deux cas une toute petite touche de Firefox.
À côté de ça, pour les PCs : les majoritaires restent Internet Explorer et Firefox, suivis de Chrome.
On met le tout dans le petit pot, on mélange bien, et pouf, un Chrome à 30 %, et Internet Explorer - Firefox - Safari à égalité, tous à 20 %.
Donc ces chiffres sont parlants pour les ouèbemaistres qui préparent le lien entre feuille de style et User Agent du navigateur, mais ne veulent pas dire grand chose au final : Internet Explorer n’est pas à 20 % des smartphones, Safari n’est pas à 20 % des ordinateurs, Firefox n’est pas à 20 % des tablettes, etc.
Effectivement ça pourrait être utile d’avoir les chiffres séparés desktop / appareils mobiles.
Mais en même temps, mélanger toutes les plates-formes reflète une chose : c’est fini le temps où les gens accédaient au Web uniquement avec leur PC de bureau. Aujourd’hui ils utilisent aussi leur smartphone ou leur tablette. Ainsi ces chiffres englobent toutes les façons qu’ont les gens d’accéder au Web.
Le
12/08/2014 à
17h
29
Cet article est entièrement faux puisque Internet Explorer détient 60% de parts de marché. Jmanici vous expliquera ça mieux que moi " />
Moi j’abandonne, à chaque news sur chromeOS y’a toujours plus de personnes qui viennent juger sans connaitre et sans jamais prendre 5sec pour se renseigner…
C’est valable un peu sur toutes les news " />
Le
12/08/2014 à
09h
00
flagos_ a écrit :
Mais sincèrement, pour moi aujourd’hui ca n’est qu’un troll: les réseaux sont partout.
Les réseaux sont partout, mais il faut voir à quel prix… Perso quand je voyage c’est souvent par train, parfois par avion. C’est difficile ou très cher d’avoir du réseau.
Je me souviens aussi d’un hotel en Bavière avec le WiFi à 12 € la journée… " />
Le
12/08/2014 à
07h
51
Pr. Thibault a écrit :
Sinon toujours même remarque : Microsoft vend 5 millions de Windows Phone par trimestre on trouve ça insignifiant, Google vend 5 millions de Chromebook par an on trouve que c’est (je cite l’article) “une belle performance”.
L’art de comparer des choux avec des carottes… Et Renault qui a vendu 2 millions de voitures depuis le début de l’année, c’est mauvais par rapport aux Chromebooks ?
Les ventes de Windows Phone sont en-dessous des prévisions, elles sont même en recul par rapport à l’année dernière. Malgré l’arrivée de Windows Phone 8, et le rachat de Nokia, les ventes ne sont pas meilleures qu’avant avec WP7 et précédents.
Les Chromebooks eux, sont en progression, chaque année il s’en vend de plus en plus.
Par ailleurs il ne faut pas non plus faire mentir l’article, il est clairement écrit :
Une performance intéressante il est vrai, mais qui n’a pas de quoi encore bousculer le marché.
PS: perso je n’achèterai pas de Chromebook, pas envie de remettre ma vie dans les mains de Google. Les Chromebooks sont en partie financés par la pub intégrée dans les services Google, autrement dit les gens payent ces machines avec leurs données personnelles et leur vie privée. Je ne trouve pas que ça rende service aux gens, mais bon après chacun fait ce qu’il veut.
Le sens de ma remarque n’était donc pas de défendre Google, c’est juste que ça n’a strictement aucune valeur de comparer deux chiffres de vente bruts, sans les remettre dans leur contexte. Tout ça c’est juste pour chouiner «ouin les gens sont méchants avec Microsoft mais ils sont trop sympas avec Google, c’est pô juste»…
Tu amalgames vie privée - publique et commerce. Il existe des délimitations entre, heureusement.
Quant aux analogies avec les oiseaux ou les carottes…
Non mais arrête, il va dire que tu as un point de vue délirant et il va encore faire des analogies… " />
Le
11/08/2014 à
09h
47
Wouah il nous a même fait un combo avec Point Godwin inside, c’est bon on a la totale !
Quel talent " />
Le
11/08/2014 à
09h
09
caoua a écrit :
Effectivement, je ne suis pas ici pour changer d’avis au gré de ceux que d’autres me donnent ! Non je suis ici pour me faire mes propres avis, et surtout penser par moi même.
Euh non, s’il y a une chose qu’on a déterminé de façon claire ici, c’est que tu n’es pas capable de penser.
Et en bon troll, tu ne t’arrêteras pas tant que tu n’auras pas eu le dernier mot. Je souhaite bien du courage à ceux qui vont encore essayer d’établir un contact avec toi (@ActionFighter : n’insiste pas trop longtemps " /> ).
Le
11/08/2014 à
08h
39
caoua a écrit :
Si je suis ton raisonnement, quand tu es dans la rue et que donc d’après toi, tu n’es plus en vie privée, on peu donc légitimement venir te déshabiller pour photographier ton kiki ?
Ah non, c’est privé, oui mais tu es dans la rue ?!
Ah merdum, dilemme là !!!
Pour en revenir à ta première phrase, tu prends l’exemple de l’adresse qui d’après toi fais partie de la vie privé et donc toujours d’après toi, toi seul peut décider de la divulguer ou non ! J’me trompe ?
Ok, mais alors, est ce que tu autorises les passants dans ta rue de relever ou non le numéro de ton habitation ainsi que le nom de la rue et ton nom sur ta boite aux lettre ? Peut être que tu vis dans un endroit qui où tu as retiré les panneaux du nom de ta rue, enlevé le numéro de ton habitation, et que tu n’as pas indiqué ton nom sur ta boite aux lettre ? Vois tu l’absurdité de ton raisonnement ? Et stp cesses de me rejeter tes incohérences, tu seras bien aimable.
Je reprenais l’exemple de la rue parce que tu disais que les autres pouvaient voir mon visage. Maintenant tu transformes ton exemple avec de la nudité… Tu appuies toute ta démonstration sur des exemples plus stupides les uns que les autres, et quand ça ne t’arrange plus, tu changes d’exemple. Tu as des problèmes avec la logique la plus élémentaire ? Est-ce que tu sais au moins ce qu’est un raisonnement logique ?!?
J’étais déjà arrivé à cette conclusion hier, j’ai juste mis du temps à l’accepter : soit tu es un troll, soit tu es un fanboy Facebook, soit tu as des troubles de la personnalité (vu les différences de ton d’un message à l’autre).
Dans tous les cas tu n’es manifestement pas ici pour changer d’avis, ni pour écouter les autres. Donc, longue vie à toi, longue vie à Ashtar Sheran, vivent les nounours qui fument des pastèques, et à la revoyure.
Le
11/08/2014 à
08h
15
caoua a écrit :
Mais RE RE RE LOL !!!
Vraiment, tu le fais exprès de pas vouloir comprendre.
Je sais que pour toi, le droit à la vie privé est synonyme de pouvoir exercer sur autrui une autorité pour leur donner l’autorisation de te regarder ou non dans la rue par exemple.
Sinon, c’est quoi pour toi la vie privé ?
ps : c’est ta propre image que je te reflète et dont tu as horreur. Faut assumer mon ami.
La vie privée, c’est la partie de ta vie dont toi seul (et tes proches si tu en as) avez connaissance. Grossièrement, cela inclut ton adresse, tout ce qui se trouve chez toi, qui est ton médecin traitant, tes photos de famille, ta religion, etc.
Pour autant ça ne veut pas dire que personne ne sait rien de toi. Tu peux décider de divulguer certains de ces éléments à tes amis, voire à des inconnus. Mais c’est toi qui le décide, c’est de ta responsabilité. Peut-être qu’une autre personne n’aura pas envie de le faire, et préfèrera garder certains de ces éléments privés, c’est-à-dire inconnus des autres.
Dans tous les cas, la loi garantit un droit à la vie privée. C’est-à-dire qu’un tiers n’a pas le droit de violer ta vie privée : si tu veux garder quelque chose privé, un tiers n’a pas le droit de s’en emparer, et encore moins de le divulguer.
Tu inverses complètement les rôles : ce n’est pas moi qui prétends avoir un pouvoir sur les autres. C’est la loi qui interdit aux autres de violer ma vie privée.
Et quand je sors dans la rue je suis dans l’espace public, ça ne peut donc pas faire partie de la vie privée. Il faut arrêter de donner des exemples de mauvaise foi.
Le
11/08/2014 à
07h
53
caoua a écrit :
Je le répète, mon point de vue sur la récolte des données est le suivant :
tant que FB ou les gens dans la rue qui te regardes, ne se servent pas dans un but malveillant de tes données, FB ou les gens sont libres. Après, je comprend que tu ne sois pas d’accord que FB ou que des gens dans la rue récoltent tes données, seulement, il semble que cela soit un problème d’égocentrisme ou d’importance personnelle surdimensionnée.
(…)
Mais si tu pouvais répondre à ma question, ce serai cool quand même.
Je te la remet ici : Quels sont concrètement le(s) préjudice(s) qu’il (en l’occurrence FB) a commis envers autrui en récoltant des données que des utilisateurs laissent que ce soit de manière consciente ou non ?
La réponse a déjà été donnée plusieurs fois, je la résume en 5 mots :
droit à la vie privée.
Manifestement c’est un concept qui t’échappe.
Un peu plus haut tu félicitais un intervenant pour avoir reconnu son erreur et pour avoir changé d’avis, tu disais que ça dénotait un esprit ouvert. On ne peut pas en dire autant de toi, niveau égocentrisme et importance personnelle surdimensionnée tu places la barre haute ici.
Le
10/08/2014 à
19h
46
Hum, je vais arrêter là aussi…. Je crois que nous avons affaire à Ashtar Sheran, nous ne pouvons pas lutter.
Le
10/08/2014 à
19h
22
caoua a écrit :
Mais re LOL (dsl de montrer mon exaspération, je sais que je ne devrai pas, mais c’est plus fort que moi, je ne peux pas lutter ! Pardonne moi.)
Bon alors, par quoi commencer !?
Oui, est ce que facebook en montant un profil sur toi, même si tu n’as jamais consenti à Facebook d’exploiter tes données est plus grave que le profil que je me fais de toi au travers tes commentaires que je trouves risible ?
Peut être un problème de narcissisme très certainement !?
Et puis à ce que je sache, facebook ne te met pas un couteau sous la gorge pour te forcer a consommer les produits qu’il souhaite que tu consommes ! Fou la paix a FB tant qu’il ne te fait pas concrètement du mal. En même temps, FB doit en avoir rien a carrer de toi ou de Max Schrems.
Bref, je souhaite bien du courage à ce Max Schrems qui n’a visiblement rien d’autre à faire que de brasser du vent ! Pauvre Max !!!
Tu diras à Max que tant que facebook ne se sert pas des profils et des données dans un but malveillant, il peut aller dormir en paix et économiser son énergie en arrêtant de brasser du vent.
Et ça commence quand la malveillance ? Quand des employés de Facebook arrivent chez nous avec des couteaux pour nous tuer ? Tant que ça n’arrive pas c’est bon ?
Le
10/08/2014 à
19h
09
caoua a écrit :
Mais LOL !!!
Tu me prends vraiment pour un abruti mais en réalité c’est toi que tu prends pour tel sans que tu ne le saches. Bref… c’est navrant !!!
Toi, vas te renseigner sur le rôle de la CNIL et après tu viendras me faire des beaux discours. Et puis bon, on à pas les mêmes point de vue et je ne veux pas te faire adhérer au miens alors crois et penses ce qui te fait plaisir.
Mais pour en revenir à la FB, il ne divulgue pas tes metadonnées sur la place public à ce que je saches, et leur serveurs contenant ces données sont très bien sécurisé afin d’éviter justement que tes données ne soient plus protégées. La CNIL gère entre autre le fait que les entreprises gèrent correctement les données privées de leur utilisateurs. Bref, va te renseigner et va te donner des leçons à toi même qui en a visiblement grandement besoin.
Sinon, tu peux continuer de parler à ma main (cf. Michaël Youn qui doit faire partie de tes références !)
Ah on en vient aux noms d’oiseaux. Je n’ai pourtant pas été agressif dans mon message, par contre toi tu le deviens clairement.
Le fait que les données soient rendues publiques n’a rien à voir avec la choucroute. Les organismes publics ou n’importe quelle entreprise française ne rendent pas tes données publiques non plus. Ça n’empêche pas que la collecte, l’enregistrement, le traitement de données personnelles, sont très strictement encadrées. Et ce n’est pas qu’une question de «serveur sécurisé» (qu’est-ce que ça veut dire d’ailleurs, quand les serveurs sécurisés de Sony ou Apple se sont fait hacker, ça pourrait très bien arriver à Facebook aussi).
L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
C’est ça qui est sensible quand on parle des données collectées par Facebook : si ces données comportementales sont privées, Facebook n’a pas le droit de les utiliser comme il veut, contrairement à ce que tu disais dans ton message précédent, je cite : «Tu n’as pas le droit d’entraver quelqu’un qui récolte des données pour son compte afin qu’il en fasse ses propres analyses». Justement si, car ce ne sont pas ses données, il n’a pas à en faire ce qu’il veut.
Tu dis que Facebook ne te porte pas préjudice. Une autre personne peut tout à fait estimer que, rien que le fait de collecter des informations sur sa vie privée, ça lui porte préjudice.
Le
10/08/2014 à
18h
40
caoua a écrit :
Tu n’as pas le droit d’entraver quelqu’un qui récolte des données pour son compte afin qu’il en fasse ses propres analyses. Parce que tu n’es tout simplement pas au dessus de ce quelqu’un pour lui dicter ce qu’il doit faire ou ne pas faire !
Je t’invite à te renseigner sur le rôle de la CNIL. La collecte et le traitement de données personnelles nominatives est très encadré par la loi française. Contrairement à ce que tu prétends, un organisme ou un site Web n’a pas le droit de faire ce qu’il veut. La CNIL peut tout à fait entraver ce genre de comportement.
Là où c’est pervers avec Facebook, c’est qu’il me semble que les méta-données sont dans une «zone grise» (est-ce que ce sont des données personnelles ou pas ?), et qui plus est Facebook n’est pas basé en France donc pas soumis au droit français. Un juriste sera peut-être plus précis sur ces points.
Donc oui, je trouve ça anormal que Facebook (ou Google, etc.) collecte et manipule autant de données, qui sont nominatives puisqu’ils arrivent à cibler la publicité en fonction de ce qu’ils savent sur chaque individu.
Et non, on ne peut rien faire pour l’empêcher. Ce n’est pas simplement une question de fermer les rideaux ou de se protéger…
4337 commentaires
[MàJ] Windows 8.1 : la mise à jour problématique d’août est de retour
28/08/2014
Le 19/08/2014 à 08h 42
Un moniteur connecté à une box est soumis à la redevance TV
18/08/2014
Le 18/08/2014 à 16h 24
Si on résume, une box connectée à un ordinateur sera exempte de redevance TV, mais un moniteur directement connecté à une box rendra exigible cette contribution.
C’est là que ce système est ridicule : j’ai une box avec triple play, et derrière un HTPC avec écran 24” (moniteur PC, pas une TV), donc je ne suis pas redevable
Enfin tant qu’ils ne changent pas ça, ça m’évite de payer pour des chaînes que je ne regarde pas.
Le ministère du Travail va basculer vers des logiciels de bureautique libres
14/08/2014
Le 14/08/2014 à 08h 50
Le 14/08/2014 à 07h 48
Android écrase le marché des smartphones, tiré par le succès des forks
13/08/2014
Le 13/08/2014 à 22h 41
Le 13/08/2014 à 22h 38
Le 13/08/2014 à 16h 21
Sans aucun doute l’un des atouts majeurs des plates-formes Open Source : la possibilité de créer des forks pour les adapter à ses besoins.
" />
Microsoft fait un ménage radical dans le support d’Internet Explorer
08/08/2014
Le 13/08/2014 à 11h 57
Je devrais peut-être clarifier mon propos pour dissiper ce que vous avez cru lire entre les lignes.
Vous avez affirmé que plus les pdm de GNU/Linux seront importantes, et plus il aura de malwares. J’ai voulu réfuter cet argument, parce que les parts de marché ne sont pas le seul facteur en cause. Par exemple, le fait que la sandbox d’iOS soit moins permissive, et le fait que les utilisateurs Android rootent leur téléphone, sont des facteurs importants dans le nombre de malwares subis par ces plates-formes. Je voulais réfuter le raisonnement «plus de pdm entraîne forcément plus de malwares», qui me paraît simpliste et erroné.
Donc, tout ce que j’ai voulu dire, c’est que si on veut être totalement impartial et objectif, pour l’instant il est impossible de prédire quoi que ce soit vis-à-vis des plates-formes GNU/Linux. Peut-être que vous aurez raison et que le nombre de malwares va exploser. Peut-être que vous aurez tort, parce que des mesures de protection supplémentaires (sandbox…) seront mises en place au fur et à mesure que les parts de marché augmentent, comme ce que Microsoft est en train de mettre en place actuellement. Soyez objectifs : nul ne peut prédire l’avenir, ni comment tout ça va évoluer, donc pour l’instant on ne peut rien dire. On ne pourra être fixés que si, un jour, les pdm augmentent sur desktop.
J’espère que ça clarifie un peu ce que je voulais dire.
Le 13/08/2014 à 11h 33
Le 13/08/2014 à 11h 14
Tenez, voici même une étude publiée sur MSDN qui montre que le nombre de malwares est complètement décorrélé de la part de marché :
Source
Le 13/08/2014 à 10h 55
Le 12/08/2014 à 21h 54
Le 12/08/2014 à 17h 27
Le 12/08/2014 à 10h 54
Le 12/08/2014 à 10h 24
Le 12/08/2014 à 10h 11
Qui a parlé d’analyser le code source ? Ce n’est évidemment pas aux responsables de la distrib de relire entièrement un code source, ça n’a pas de sens. Pour chaque logiciel libre, la vérification du code source est d’abord faite en interne. Ces gens connaissent leur code, à eux d’opérer un premier filtrage sur les contributions qu’ils acceptent ou pas. De plus tout l’historique de modifications est public (GitHub ou autre). Ça limite déjà fortement la possibilité d’injecter un malware ni vu ni connu. Et encore une fois, même si un malware était injecté, on peut remonter à la personne qui l’a introduite et ce type est grillé à vie. Ce type de vérification n’est évidemment pas possible quand c’est un anonyme qui soumet un binaire dans le store, comme c’est le cas dans le store d’Android par exemple.
Ensuite lors de l’intégration à une distrib, le programme (binaire cette fois) est testé dans des sandboxes pour vérifier son comportement et à quelles ressources elle accède, ce qui limite aussi les risques. Enfin, il se passe parfois des mois entre la nouvelle version d’un code (figée par les développeurs) et sa mise à disposition dans les dépôts d’une distribution (sous Debian Stable ça peut être des années). Ce n’est pas crédible que toutes les distribs l’intègrent sans que personne ne s’en rende jamais compte…
Ah oui, peut-être que ça fait des années qu’un malware a été introduit, mais son auteur l’a programmé pour se réveiller quand il sera intégré dans toutes les distributions… Et puis, «si l’auteur a laissé volontairement une faille de sécurité pour s’en servir de backdoor»… Ça, c’est la partie FUD : on imagine des scénarios catastrophes pour appuyer ses propos. Microsoft a beaucoup utilisé cette technique par le passé pour décrédibiliser les logiciels libres (qui seraient plus chers, moins sécurisés, moins performants…) et faire comprendre qu’il fallait acheter ses logiciels. Vous avez bien appris votre leçon, vous reprenez les mêmes poncifs, sauf qu’aucun fait n’est jamais venu étayer vos propos. Et, comble de l’ironie, Microsoft fait maintenant du logiciel libre, propose un store, et a même contribué au noyau Linux, mais je constate que certains continuent d’utiliser ces bonnes vieilles techniques de FUD.
Vous voulez encore plus d’ironie : vous faites davantage confiance à Microsoft et Apple alors que leurs OS ont eu des backdoors et qu’ils collaborent avec la NSA, ce n’est pas du vent ce sont des faits avérés (il n’y a pas si longtemps encore sur iOS) ; et au contraire vous n’avez pas confiance dans les distributions GNU/Linux alors qu’aucun cas de backdoor n’a jamais été rapporté, juste dans votre imagination (et pour couper court aux arguments habituels, il n’y a jamais eu de backdoor dans BSD et la faille OpenSSL était une faille introduite involontairement, pas une backdoor).
Et puis je ne sais pas ce que vous cherchez à me faire dire exactement. Je n’ai jamais dit que le système de dépôt se suffisait à lui-même en termes de sécurité. Je suis complètement d’accord pour dire que ce n’est qu’un maillon de la chaîne, et qu’il faut prendre d’autres mesures (sandbox…). Je suis complètement d’accord pour dire que Microsoft va dans la bonne direction avec son système de sandbox. Mais tout ça, je l’ai déjà dit.
J’ai l’impression qu’on est tous d’accord sur le principe, mais que vous voulez absolument prouver que les dépôts Linux ne sont pas sécurisés et qu’ils sont truffés de malwares. Je ne sais pas à quoi ça vous amène de vouloir démontrer ça, mais vous avez l’air d’y tenir.
Le 12/08/2014 à 08h 14
Et puis, falsifier son identité pour injecter des malwares dans un dépôt GNU/Linux… J’imagine que le gars va aussi passer par des proxys pour pas qu’on retrouve son adresse IP.
Des scénarios catastrophes avec des «si» je pourrais vous en pondre aussi… Ça permettrait de continuer cette discussion encore très longtemps, mais ça ne démontrerait rien du tout.
« Et si un malware est introduit dans le store de Microsoft, et s’il utilise une faille dans la sandbox WinRT pour faire une élévation de privilèges !!!…»
Soyez objectifs : ce genre de scénarios est très peu probable, et même si ça arrivait, cela ne remettrait pas en cause l’intérêt et l’importance du système de dépôt (ou de store Windows) ni des sandboxes*. Donc, utiliser ce genre de scénarios pour décrédibiliser une plate-forme (GNU/Linux en l’occurrence), oui, c’est juste du FUD.
* De même que l’existence de scientifiques fraudeurs ne remet pas en cause l’importance des journaux ni des process de review. Ça n’est pas infaillible mais c’est le meilleur système que l’on a, et les fraudes sont très marginales.
Le 12/08/2014 à 07h 57
Le 12/08/2014 à 07h 33
Le 11/08/2014 à 22h 39
Bon, au final je pense qu’on est d’accord pour dire que le système de dépôts, ainsi qu’une sandbox, sont des éléments importants pour la sécurité.
Même si nos avis divergent sur d’autres sujets. Notamment, quand on parle de logiciels libres, il est possible de remonter non seulement à la personne qui est responsable du paquet dans la distribution, mais aussi au développeur qui aurait introduit un malware dans une appli : les contributions ne sont jamais anonymes. Il faudra que tu m’explique comment un type peut s’en tirer en implémentant un malware dans un code source qui est relu par plusieurs développeurs spécialistes de l’appli, jusqu’au point où l’appli est vérifiée et packagée dans la distribution, et atteint l’utilisateur final. Et même si le malware réussit tout ce parcours, ce développeur verra sa carrière finie car il est possible de remonter jusqu’à lui. Par ailleurs, certaines distributions incluent rapidement les applis, alors que d’autres sont plus lentes (Debian Stable est très lente par exemple). Donc si jamais (et c’est un gros «si») ce scénario catastrophe arrivait dans une distrib rapide, les autres distribs seraient au courant et ne propageraient pas la version malicieuse (là encore la fragmentation est un élément qui limite la casse).
Voilà, grosso modo, pourquoi je ne crois pas une seule seconde que des malwares puissent être introduits dans les dépôts d’une distrib GNU/Linux. Et on parle bien de malwares ici hein, càd de code malicieux implémenté volontairement dans une appli.
Après, si l’utilisateur ajoute des dépôts tiers, télécharge des .deb ou .rpm, ou s’il exécute des binaires n’importe comment, c’est une autre histoire. Voilà pourquoi je défends effectivement le système de dépôts : comme tu le dis, l’utilisateur ne devrait pas aller chercher des choses hors-dépôt. S’il le fait, ça doit être en connaissance de cause et en mesurant les risques. Encore une fois, je suis d’accord que pour parer à ce genre de cas, une sandbox est un élément important de sécurité.
Le 11/08/2014 à 19h 48
Le 11/08/2014 à 17h 47
Le 11/08/2014 à 17h 32
Bon j’ai compris ton point de vue : la seule solution c’est que Windows reste à 90% de pdm, et que Linux reste à 1% car il ne peut pas être sécurisé. Merci de ton point de vue éclairé.
Le 11/08/2014 à 16h 51
Le 11/08/2014 à 16h 49
Le 11/08/2014 à 16h 00
Le 11/08/2014 à 15h 18
Le 11/08/2014 à 14h 03
Le 11/08/2014 à 12h 27
Le 11/08/2014 à 10h 16
Le 11/08/2014 à 09h 15
Firefox surpasse Internet Explorer en France, une première
12/08/2014
Le 12/08/2014 à 22h 33
Le 12/08/2014 à 17h 29
Cet article est entièrement faux puisque Internet Explorer détient 60% de parts de marché. Jmanici vous expliquera ça mieux que moi
" />
Les Chromebook pourraient dépasser les 5 millions d’unités cette année
12/08/2014
Le 12/08/2014 à 10h 20
Le 12/08/2014 à 09h 00
Le 12/08/2014 à 07h 51
Lenny : le smartphone de 5″ sous Android 4.4 de Wiko arrive, dès 99 €
11/08/2014
Le 11/08/2014 à 22h 43
Il porte bien son nom, Lenny c’était le surnom de Debian Stable de 2009 à 2012… Les deux sont donc bien dépassés aujourd’hui
" />
Firefox OS : le ZTE Open C arrive chez LDLC pour 82,90 euros
06/08/2014
Le 11/08/2014 à 10h 31
Non Mark Zuckerberg, 13 sites et services ne font pas Internet
09/08/2014
Le 11/08/2014 à 10h 02
Le 11/08/2014 à 09h 47
Wouah il nous a même fait un combo avec Point Godwin inside, c’est bon on a la totale !
" />
Quel talent
Le 11/08/2014 à 09h 09
Le 11/08/2014 à 08h 39
Le 11/08/2014 à 08h 15
Le 11/08/2014 à 07h 53
Le 10/08/2014 à 19h 46
Hum, je vais arrêter là aussi…. Je crois que nous avons affaire à Ashtar Sheran, nous ne pouvons pas lutter.
Le 10/08/2014 à 19h 22
Le 10/08/2014 à 19h 09
Le 10/08/2014 à 18h 40
Diablo III : 63 Go pour l’Ultimate Evil Edition, le patch 2.1 arrive sur Xbox One
11/08/2014
Le 11/08/2014 à 08h 48
493ème édition des LIDD : Liens Idiots Du Dimanche
09/08/2014
Le 10/08/2014 à 17h 43