Tuxicoman

Rom1v a récemment mis le doigt sur un problème actuel de la sécurité sous GNU/Linux : Une application utilisateur peut très facilement enregistrer toutes les frappes clavier de l'utilisateur effectuées dans le serveur graphique X.

Cela prose de graves problèmes de sécurité car une application malveillante peut récupérer de nombreuses informations confidentielles dont :

• le mot de passe root lorsque sa demande est effectuée lors d'un "su" dans un terminal graphique ou dans un popup.
• les mots de passe demandées par toutes les applications graphiques (clé GPG, navigateur web...)
• les données que vous souhaiteriez transmettre de manière confidentielles (n° de carte bancaire dans une page web, rédaction d'un email professionnel, etc...)

Il semblerait même possible defaire des captures d'écran (Ex: Pykeylogger).

Bref, une application ayant accès au serveur graphique peut écouter tout ce que tape l'utilisateur et ce qu'il voit sur son écran, et ce sans nécessiter de droits root.

La plupart d'entre nous sont conscients que les applications lancées par l'utilisateur ont en principe accès à toutes nos données personnelles (/home/user) et un accès réseau complet (d'où les firewalls applicatifs sous Windows pour contrôler un peu mieux cela).

Les gestionnaires de fenêtres des applications nous font croire que les applications sont isolées (plusieurs fenêtres qui ne semblent pas communiquer entre elles, gestion du focus de l'application "active", étant la seule avec laquelle on peut interagir, popup sur écran grisé lors de la demande du password root faisant penser un un mode sécurisé) alors qu'il n'en est rien.

Il semble donc que la sécurité sous linux avec le serveur graphique X suppose que l'utilisateur ne lance pas par lui-même de logiciel malveillant (spyware, malware). Dans le cas contraire, il semble aisé de devenir root et de compromettre l'installation dans les cas où l'utilisateur se sert de son interface graphique pour gérer son ordinateur (gestionnaires d'applications Synaptic et mises à jours par exemple), ce qui est le cas dans la majorité des utilisations GNU/Linux en tant que bureau personnel.

Cela suppose-t-il de n'utiliser que des applications open-sources ? Ce n'est malheureusement pas le cas général et que penser de la vague d' "applis web" qui a accès à de plus en plus de fonctionnalités sur l'ordinateur de l'utilisateur?

Apple semble prendre le problème de la sécurité entre applications au sérieux et vient d'annoncer que les applications distribuées par le Mac App Store seront "sandboxées" ou isolées de manière assez fortes les unes des autres (accès aux fichiers, réseau ainsi qu'aux autres applications par une API contrôlée). Cela impose néanmoins de fortes contraintes d'usage...

Wayland, qui semble être prédestiné à remplacer X, apporte-t-il une réponse à cette problématique ?

La 3ème mise à jour de l'actuelle version stable de Debian aussi connue sous le nom de code "Squeeze" est sortie le 8 octobre 2011.

Celle-ci comprend un noyau Linux mis à jour contenant des corrections de bogues de la suite Linux "à long terme" jusqu’à la version 2.6.32.46, des pilotes mis à jour pour gérer les nouvelles puces gigabit Ethernet de Broadcom, Intel et Realtek, ainsi que diverses corrections de sécurité dans de nombreux paquets.

Je vous invite à consulter l'annonce de publication officielle pour plus de détails et une bonne mise à jour !

Si vous utilisez le driver propriétaire ATI(AMD maintenant) sous linux, voici 2 commandes utiles :

Vous donne la vitesse du ventilo actuelle :

$ aticonfig --pplib-cmd "get fanspeed 0"

Règle la vitesse du ventilo à 60% :

$ aticonfig --pplib-cmd "set fanspeed 0 60"

Le réglage minimum semble être 33%. C'est aussi le réglage par défaut.

Si, comme moi, vous utilisez le dépôt http://mozilla.debian.net/ pour obtenir automatiquement les dernières versions de Firefox/Iceweasel sur votre Debian Stable, vous aurez remarqué que la traduction de l'interface est manquante.

Pour récupérer son interface localisée, il faut installer une extension Firefox (.xpi) appelée "pack de langue". Celle-ci se trouve sur le FTP de Mozilla. Voici un exemple de lien menant aux packs de langue pour la version 6.0 sur un linux x64 : ftp://ftp.mozilla.org/pub/firefox/releases/6.0/linux-x86_64/xpi/

Je vous laisse fouiller pour trouver le paquet qui correspond à votre langue, OS et version d'Iceweasel.

Voici la liste de mes bugs rapportés pour Debian Squeeze :

Non résolu dans la version 6.0.1 :

• #597223 : debian-installer; The First partition on USB flashdrives always attempts to be mounted as ISOFS

Résolu en partie dans la version 6.0.1 :

• #611750 : linux-image-2.6.32-5-686 : Asus EeePC resume from hibernation fails

Résolus ou fermés :

• #613136: fglrx-driver : installation should activate the driver
• #612802: debian-installer : crypted partition assistant should copy all parameters (FS, mount point) of the partition encrypted
• #601058: gthumb : gthumb install requires removal of gnome package

Bug non rapportés mais très gênant : Epiphany est presque inutilisable. Il ne lit pas correctement les vidéos/audios HTML5, rame comme un fou sur certaines pages et n'arrive pas à gérer la mémorisation de plusieurs identifiants pour un site web. Apparement c'est la librairie webkit qui serait en cause derrière tout ça puisque les problèmes se répercutent sur les autres navigateurs utilisant Webkit comme Midori. Mais aucune update en vue... Dommage, je n'arrive pas à me faire à Firefox, l'ergonomie d'Epiphany est tellement top

Mon ordinateur avait la facheuse tendance à retarder de quelques minutes. De plus conserver la même heure entre différents ordinateurs lors d'échanges de fichiers devenait crucial (quel est la dernière version du fichier???)

Pour conserver l'horloge de son ordinateur synchronisée avc Internet, il faut installer le paquet ntp. L'horloge sera mise à jour dans les quelques minutes suivant l'installation du paquet. Par la suite, votre ordinateur sera automatiquement synchronisé dès que vous aurez accès à Internet.

Je viens d'acheter le Humble Frozenbyte Rumble et celui contien le jeu Shadowgrounds. Il s'agit d'un "shoot'em up" vu de dessus dans un univers à la Doom 3. Zones sombres, lampe torche et bestaire alien sont de la partie. Vous trouverez un test du jeu sur Jeuvideopc.com

Malheureusement, ce jeu (non-libre) est fourni sous forme de simple binaire et je me suis retrouvé avec les galères de l'installation en dehors du système de paquets...

Lancer le programe d'installation

Pour lancer le fichier ShadowgroundsBeta12.run fourni, vous devez d'abord le rendre exécuable.

$ chmod +x ShadowgroundsBeta12.run

Ensuite, pour le lancer :

$ ./ShadowgroundsBeta12.run

Librairies 32 bits

Dès le premier lancement, le programme devrait raler dans la console car il ne trouve pas une librairie. Eh oui, il va falloir résoudre les dépendances à la main. Pour savoir quelles sont les librairies nécessaires au fonctionnement du programme lancez la commande suivante :

$ ldd ShadowgroundsBeta12.run

Dans mon cas, c'est surtout que le programme est en 32bit et que mon système dispose uniquement des librairies en 64bit. Pour installer les librairies nécessaires en 32bit regardez du coté des paquets commençant par "ia32" ou "lib32" dans les dépots Debian.

Son

L'installateur fonctionne mais le jeu plante au démarrage lorsque le son est activé.

Le jeu embarque ses propres librairies dans le répertoire "lib32" du répertoire d'installation du jeu. J'ai résolu le problème en forçant le jeu à utiliser la librairie libasound.so.2 de mon système au lieu de celle fournie avec le jeu. Pour cela, il suffit de renommer le fichier "libasound.so.2" fourni  en "bad_libasound.so.2" par exemple.

Même en 2011, des choses simples comme lire un DVD du commerce peuvent poser problème. En effet, les DVD vidéo sont parfois "cryptés" et uniquement lisibles sur des appareils de salon ou avec un logiciel de DVD propriétaire disposant de la clé de déchiffrement. Ce DRM a été mis en place pour empêcher la copie. Ainsi plus de piratage, plus de copie privée mais toujours des taxes sur les DVD vierges.... allez comprendre. D'autre part, ce DRM empêche aussi la lecture avec un logiciel libre vu que la clé ne doit pas être révêlée...

Il y a quelques années déja, le cryptage des DVDs a été cassé et le code publié. Malheureusement, ce code n'est pas dans les dépôts officiels Debian parce que certains pays le considèrent comme illégal. Si vous voulez lire ces DVDs sous Debian il faut installer le paquet libdvdcss du dépôt Multimedia ou des archives de Unofficial Debian maintainers.

Voici plusieurs raisons qui devraient vous convaincre d'utiliser Debian 6 alias queeze sur votre ordinateur de bureau :

1. Contrairement aux distributions comme Ubuntu ou Mandriva, la distribution est testée pendant au moins 6 mois (période de freeze) et les bugs gênants corrigés avant la sortie de Debian Stable. Les utilisateurs finaux ne font pas partie d'un beta-test géant avec son lot de mauvaises surprises lors de la sortie.
2. Les versions des logiciels inclus dans Debian Stable sont sélectionnées pour leur qualité de finition. Ainsi les versions éprouvées seront préférées aux version beta. Ceci afin d'éviter de subir les nécessaires bugs des logiciels à peine démoulés de la cuisine des développeurs.
3. Un grand choix de logiciels. Avec plus de 28'000 paquets compilés spécialement pour Debian Squeeze, vous devriez trouver le logiciel correspondant à votre besoin.
4. Le cycle de renouvellement de la version stable est d'environ 2 ans. Cela vous épargne de toute administration système pendant ce temps. Vous avez sous le clavier un poste de travail destiné à produire.
5. Une grande communauté d'utilisateurs très avertie. Debian étant historiquement compliquée à utiliser et destinée aux serveurs, sa communauté d'utilisateur est composée majoritairement d'utiliseurs de haut niveau qui feront progresser votre compétence informatique.

A qui Debian Squeeze ne s'adresse pas?

1. Aux geeks à la recherche des dernières versions des logiciels. Pour cela, regardez plutôt du coté de Debian Unstable ou Sid qui renouvellent leur paquets en permanence (rolling-release)
2. Aux parfaits débutants sous linux, car le site web, les forums et la communauté Debian en général ne tiennent pas assez compte des novices. Mais si vous savez ce qu'est une table de partitions, GRUB, un terminal, vous pouvez y aller.

Malheureusement, il reste quelques sites webs où le plugin propriétaire Adobe Flash est nécessaire pour accéder au contenu.

Pour installer le plugin Flash sous Debian Squeeze, il suffit d'installer le paquet flashplugin-nonfree du dépot "contrib" et de redémarrer son navigateur web (Firefox, epiphany, etc...).

La méthode s'applique aussi aux systèmes 64 bits (et oui, ce n'est pas plus compliqué !)