Confiance aveugle
Je vois encore des gens croire que parce que le code est ouvert (open source), on est en sécurité avec des logiciels libres ou sur Linux. C’est évidemment faux.
Ce n’est pas parce que le code est ouvert, que quelqu’un va se pencher sérieusement dessus (le mainteneur par exemple) ni qu’on trouvera les trous de sécurité ou les erreurs/aberrations. Que le code soit ouvert est une bonne pratique, c’est déjà colossal mais ça n’inclut pas systématiquement le fait que le code soit contrôlé et « bien » contrôlé.
Vous êtes peut-être au courant du problème du paquet XScreenSaver dans Debian ? Je vous invite à lire l’article de Cyrille si ce n’est pas le cas.
Je considère que c’est un épiphénomène mais je vais en parler brièvement.
Le développeur de XScreenSaver a grave merdé. Il n’a surtout pensé qu’à lui, il a surtout oublié le respect des autres, la construction collective et n’en a rien eu à faire de ses responsabilités. Il a brisé le cercle vertueux du respect, de la confiance et de la responsabilité de chacun.
Mon avis personnel c’est que ce développeur a la plus grosse part de responsabilité dans cette histoire. Cependant le mainteneur du package Debian a failli également donc c’est aussi Debian qui a failli.
Cette histoire est semblable aux failles dans OpenSSL (Heartbleed notamment). Le fonctionnement actuel laisse passer des grosses aberrations, on doit tous revoir notre façon « de vendre » le Libre car la preuve par l’exemple on n’est pas à l’abri. Malheureusement.
Alors on prend nos responsabilités :
- La première c’est de dire que le fonctionnement actuel du Libre n’est pas plus sûr que les systèmes proprios parce que le code est ouvert, les exemples commencent à s’accumuler. Il faut reconnaître le problème afin de pouvoir l’assumer pour ensuite le corriger
- La seconde c’est de rappeler que le système fonctionne avant tout sur la confiance. Et ce n’est peut-être pas/plus suffisant. Est-ce que les paquets installés sur une installation par défaut de Debian ne doivent pas être davantage contrôlés par exemple ? En ces temps post-Snowden, peut-on garantir l’intégrité de tous les développeurs Debian pour ne pas inclure une porte dérobée dans un paquet ?
- Rappeler à tous les droits et les devoirs de chacun dans la chaîne du Libre. Nous avons des droits mais nous avons aussi des devoirs, pour que le système fonctionne. Faire croire que parce que c’est Libre, c’est sécurisé, c’est faux. La confiance ne doit pas être aveugle, elle doit être réfléchie. Elle ne dispense pas l’utilisateur de se poser des questions, de vérifier, de tester, lui aussi a des responsabilités
Déjà 8 avis pertinents dans Confiance aveugle
Les commentaires sont fermés.
Vas-y que je te forke, que je te réécrive un truc qui marche., à tour de bras !
C’est ton interprétation ça lol, je ne suis pas convaincu. Comment expliquer Heartbleed ? Il n’y avait pas de dissémination.
Il y a des composants majeurs, des packages de premier ordre : Apache, OpenSSL, Fail2ban, etc. Il faut que les packages importants soient davantage contrôlés, audités, suivis. En plus Debian par exemple fait déjà des stats via le Debian Popularity Contest : http://popcon.debian.org/
Tcho !
Ton article me rappelle le serpent de mer de la connaissance du code par tout le monde. Et vu que les français ne parlent déjà pas anglais…
Pour ma part je serais très heureux ne serais ce que de savoir lire un code. Mais je n’ai pas eu l’occasion durant ma scolarité et à présent le temps me manque cruellement. Surtout vu le nombre de langages existants…
Peut être en as tu déjà parlé mais connais tu des ressources pour apprendre le code ? (Pas seulement les instructions mais également la démarche à suivre, etc.)
Autre chose comment suivre l’etat de sécurité d’un paquet ? Certains sont anciens mais bien sécurisés, d’autres sont récents et très actifs et pourtant sont mal conçus et mal sécurisées, non ?
Ton niveau est grand débutant c’est bien ça ? Il y a un langage qui te branche plus que d’autres ? Si tu veux apprendre (t’y mettre) j’ai tendance à préconiser Python pour débuter. Communauté française sympa et visible, bon langage pour débuter, langage porteur et mûr, beaucoup de ressources etc.
Tu es plutôt vidéo ou bouquin ou cours en ligne ? Moi je pense qu’il faut commencer par un bouquin au début pour être encadré et ne pas s’éparpiller mais c’est moins ludique que d’autres manières d’apprendre. Tu réponds à ces questions et je t’enverrai vers les bonnes ressources que je connais.
Pour la sécurité des paquets, ça ne m’a pas l’air d’être au point dans ton esprit. Explique-moi plutôt ta problématique et je vais tenter d’y répondre.
Tcho !
Il s’agit d’une pop-up agaçante qui apparaît mais rien de plus (jusqu’à preuve du contraire).
Il est évident que tous les logiciels ne peuvent pas être audités et ne le seront vraisemblablement jamais donc il faut éviter d’installer tout et n’importe quoi.
Il faut bien différencier un comportement malveillant d’un bug ou faille de sécurité.
Concernant Debian, il y a quand même des étapes à franchir pour un logiciel avant d’atterrir dans la version stable. Tout le monde ne peut pas, du jour au lendemain, ajouter son propre logiciel dans les dépôts.
Si un logiciel/developpeur/mainteneur est décrié par la communauté, le paquet ne sera vraisemblablement plus maintenu, et donc plus disponible dans les dépôts dans les versions futurs. Il semble difficile d’effectuer un contrôle systématique sur tous les paquets disponibles dans les dépôts mais la réaction de la communauté en cas de dysfonctionnement semble tout de même marcher.
Alors déjà je précise que en temps normal je ne parle pas aux extraterrestres, je fais une exception pour toi.
Je n’ai pas dit que je considérais ce comportement comme malveillant en revanche je le considère comme irresponsable. Tu fais bien de signaler que la réaction de la communauté semble bien marcher car effectivement c’est cet effet de système immunitaire qui sauve aujourd’hui. D’où mon rappel aux devoirs des utilisateurs.
Tcho !
Ce que l’on oublie vite c’est qu’une distribution n’est pas un produit tout en un. A preuve du contraire les logiciels composants la distribution appartiennent à leur auteurs respectifs CHARGE aux mainteneurs de la distrib de maintenir une cohésion. Si un des logiciels pose problème , il faut soit le corriger, l’éliminer et/ou le remplacer mais pas fermer les yeux en renvoyant les problèmes au dit propriétaire. En terme de sécurité, de stabilité , construire et maintenir une distribution est un énorme challenge. Mais cette sécurité, cette stabilité est de la responsabilité des créateurs/mainteneurs de la distribution . Prendre en « otage » l’utilisateur parce que simplement il y a un problème technique entre un composant et la cohésion de la distribution n’est pas sain.
Car ce qui est le plus frustrant dans cette histroire c’est que le logiciel fonctionne bien ailleurs mais pas sur Debian. Dire que
Je pense que dans cette histoire il ne faut pas perdre du vue l’intention.
Je ne doute pas que le mainteneur Debian si il avait vu cette aberration aurait agi et entrepris de trouver une solution. C’est une faute de sa part (il est passé à côté) mais pas intentionnelle.
Le développeur de XScreenSaver de son côté c’était intentionnel. Je rappelle qu’il s’agit d’un message dans une pop up affiché en gros et au centre de l’écran qui s’affiche à chaque ouverture de session. Une personne qui maitrise sa distribution, je pense qu’au bout d’une semaine (je suis très large), il en a marre et se met à la recherche d’une solution pour se débarrasser de ce message parasite. Pour une personne débutante (notamment les personnes utilisant la distribution HandyLinux basée sur Debian), c’est l’inquiétude, le questionnement voire la panique. Dans les deux cas, je considère ce souci comme majeur car il gêne tout le monde et il force tout le monde également à agir. C’est une gêne évidente. Je veux dire je n’arrive même pas à me souvenir d’un comportement aussi « visible » en 15 ans sur tous les O.S que j’ai pratiqué. En général tu mets une pop-up dans la zone de notification ou tu envoies un mail à Root ou tu mets un message tous les 10 jours. On parle là d’un message à chaque ouverture de session et au centre de l’écran. Franchement n’importe qui aurait pu faire moins dérangeant et plus propre. Là ça favorise la gêne et la panique et c’est intentionnel (dans le sens codé avec une absence de bon sens). Tu comprendras donc que pour moi, c’est bien le développeur qui a la plus grosse part de responsabilité dans cette histoire.
Tcho !