Le Fri, 5 Feb 2021 22:55:30 +0100, David VANTYGHEM <[email protected]> a écrit :
> Bonsoir, > > Microsoft commence à modifier Linux sans avertir les utilisateurs : > https://www.bestgizindia.com/2021/02/raspberry-pi-os-added-microsoft.html À mon humble avis, il y a plusieurs façons de réagir. 1/ Le pragmatisme / la soumission Tant pis, je fais avec et ça n'empêche pas le système de tourner. Bon, ça requête chez Microsoft à chaque fois que ça fait une mise à jour. Pas grave, j’ai de toutes façons déjà mis la source pour GoogleEarth. 2/ Non, merci Je ne peux pas supprimer le paquet fautif, sous peine de dégager des outils nécessaires. Alors je vais juste commenter la ligne dans la source de paquet. 3/ J’ai dis non ! T’es sourd !? Les lignes qui suivent font bien plus que poliment commenter la source. Elles assurent que la menace est éloignée pour le moment. Ceci dit, tout cela est contournable parce qu’à la prochaine mise à jour l’attaquant arrivera avec les droits root. Il faut donc envisager à terme de changer de distribution :'-( Analyse forensique ================== C’est venu avec le paquet raspberrypi-sys-mods qui ajoute : * /etc/apt/source.list.d/vscode.list ### THIS FILE IS AUTOMATICALLY CONFIGURED ### # You may comment out this entry, but any other modifications may be lost. deb [arch=amd64,arm64,armhf] http://packages.microsoft.com/repos/code stable main * /etc/apt/trusted.gpg.d/microsoft.gpg, contenant : pub rsa2048 2015-10-28 [SC] BC52 8686 B50D 79E3 39D3 721C EB3E 94AD BE12 29CF uid [ inconnue] Microsoft (Release signing) <[email protected]> Sur le forum dédié, on nous répond que "this won't be changing because it makes the first experience for people who do want to use tools such as VSCode easier." https://www.raspberrypi.org/forums/viewtopic.php?f=63&t=301011&p=1810728#p1810728) Vous le sentez, le « c’est pour votre bien ? ». L’attaque actuelle n’a pas d’effet grave, juste de la télémétrie de Microsoft. Mais s’ils peuvent y rentrer un doigt, et que ça passe, on finira avec un identifiant de publicité. Mais c’est juste pour l’expérience utilisateur. Contres-mesures ============== Bloquer le domaine ------------------ Comme le paquet raspberrypi-sys-mods est relativement essentiel à Raspbian, il faut blacklister le domaine packages.microsoft.com au niveau du serveur DNS : cat /etc/dnsmasq-blacklist.conf address=/packages.microsoft.com/:: address=/packages.microsoft.com/0.0.0.0 Chattrer la clé gpg de Microsoft -------------------------------- Et aussi empêcher l’ajout d’autres clés. # apt-key del "CF8A 1AF5 02A2 AA2D 763B AE7E 82B1 2992 7FA3 303E" # rm -r /etc/apt/trusted.gpg.d # touch /etc/apt/trusted.gpg.d # chmod 0 /etc/apt/trusted.gpg.d # chattr +i /etc/apt/trusted.gpg.d Supprimer la source de Microsoft -------------------------------- # rm /etc/apt/sources.list.d/vscode.list # touch /etc/apt/sources.list.d/vscode.list # chmod 0 /etc/apt/sources.list.d/vscode.list # chattr +i /etc/apt/sources.list.d/vscode.list Bloquer la mise-à-jour du paquet fautif --------------------------------------- # apt-mark hold raspberrypi-sys-mods # apt remove unattented-upgrades Réfléchir à conserver ou non Raspbian ------------------------------------- https://raspi.debian.net/tested-images/ Je n’y ai pas encore jeté un œil, mais je suppose qu’il pourrait y avoir des frictions entre Debian et ce matériel spécifique. Si quelqu’un peut témoigner d’un passage de Raspbian à Debian sur Raspberry Pi… Dernière précision technique : chattrer est un terme technique indiquant qu’en plus de mettre à 0 les permissions on rend le nœud non modifiable car « immuable ». Cela permet de s’abriter contre un chmod malvenu. Toutefois, l’attaquant avec les droits root peut le retirer. -- Christophe HENRY FR EO EN - https://sbgodin.fr
pgpm6AZTKdUh8.pgp
Description: Signature digitale OpenPGP
_______________________________________________ libre mailing list [email protected] https://brassens.heberge.info/cgi-bin/mailman/listinfo/libre
