salut tout le monde, merci pour l'information ! Pourtant, je viens de vérifier que Pi OS est sous GPL.
D'autres OS ? Ubuntu ? Ubuntu-Mate ? Mon 3B pourrait bien prendre la direction de la déchetterie... :'( renaud Le 06/02/2021 à 10:04, Christophe HENRY a écrit : > Le Fri, 5 Feb 2021 22:55:30 +0100, > David VANTYGHEM <[email protected]> a écrit : > >> Bonsoir, >> >> Microsoft commence à modifier Linux sans avertir les utilisateurs : >> https://www.bestgizindia.com/2021/02/raspberry-pi-os-added-microsoft.html > À mon humble avis, il y a plusieurs façons de réagir. > > 1/ Le pragmatisme / la soumission > Tant pis, je fais avec et ça n'empêche pas le système de tourner. Bon, > ça requête chez Microsoft à chaque fois que ça fait une mise à jour. > Pas grave, j’ai de toutes façons déjà mis la source pour GoogleEarth. > > 2/ Non, merci > Je ne peux pas supprimer le paquet fautif, sous peine de dégager des > outils nécessaires. Alors je vais juste commenter la ligne dans la > source de paquet. > > 3/ J’ai dis non ! T’es sourd !? > Les lignes qui suivent font bien plus que poliment commenter la source. > Elles assurent que la menace est éloignée pour le moment. Ceci dit, > tout cela est contournable parce qu’à la prochaine mise à jour > l’attaquant arrivera avec les droits root. > > Il faut donc envisager à terme de changer de distribution :'-( > > > Analyse forensique > ================== > > C’est venu avec le paquet raspberrypi-sys-mods qui ajoute : > > * /etc/apt/source.list.d/vscode.list > > ### THIS FILE IS AUTOMATICALLY CONFIGURED ### > # You may comment out this entry, but any other modifications > may be lost. deb [arch=amd64,arm64,armhf] > http://packages.microsoft.com/repos/code stable main > > * /etc/apt/trusted.gpg.d/microsoft.gpg, contenant : > > pub rsa2048 2015-10-28 [SC] > BC52 8686 B50D 79E3 39D3 721C EB3E 94AD BE12 29CF > uid [ inconnue] Microsoft (Release signing) > <[email protected]> > > Sur le forum dédié, on nous répond que "this won't be changing because > it makes the first experience for people who do want to use tools such > as VSCode easier." > https://www.raspberrypi.org/forums/viewtopic.php?f=63&t=301011&p=1810728#p1810728) > > Vous le sentez, le « c’est pour votre bien ? ». L’attaque actuelle n’a > pas d’effet grave, juste de la télémétrie de Microsoft. Mais s’ils > peuvent y rentrer un doigt, et que ça passe, on finira avec un > identifiant de publicité. Mais c’est juste pour l’expérience > utilisateur. > > > Contres-mesures > ============== > > Bloquer le domaine > ------------------ > Comme le paquet raspberrypi-sys-mods est relativement essentiel à > Raspbian, il faut blacklister le domaine packages.microsoft.com au > niveau du serveur DNS : > > cat /etc/dnsmasq-blacklist.conf > address=/packages.microsoft.com/:: > address=/packages.microsoft.com/0.0.0.0 > > > Chattrer la clé gpg de Microsoft > -------------------------------- > Et aussi empêcher l’ajout d’autres clés. > # apt-key del "CF8A 1AF5 02A2 AA2D 763B AE7E 82B1 2992 7FA3 303E" > # rm -r /etc/apt/trusted.gpg.d > # touch /etc/apt/trusted.gpg.d > # chmod 0 /etc/apt/trusted.gpg.d > # chattr +i /etc/apt/trusted.gpg.d > > > Supprimer la source de Microsoft > -------------------------------- > # rm /etc/apt/sources.list.d/vscode.list > # touch /etc/apt/sources.list.d/vscode.list > # chmod 0 /etc/apt/sources.list.d/vscode.list > # chattr +i /etc/apt/sources.list.d/vscode.list > > > Bloquer la mise-à-jour du paquet fautif > --------------------------------------- > # apt-mark hold raspberrypi-sys-mods > # apt remove unattented-upgrades > > > Réfléchir à conserver ou non Raspbian > ------------------------------------- > https://raspi.debian.net/tested-images/ > Je n’y ai pas encore jeté un œil, mais je suppose qu’il pourrait y > avoir des frictions entre Debian et ce matériel spécifique. Si > quelqu’un peut témoigner d’un passage de Raspbian à Debian sur > Raspberry Pi… > > Dernière précision technique : chattrer est un terme technique > indiquant qu’en plus de mettre à 0 les permissions on rend le nœud > non modifiable car « immuable ». Cela permet de s’abriter contre un > chmod malvenu. Toutefois, l’attaquant avec les droits root peut le > retirer. > > > _______________________________________________ > libre mailing list > [email protected] > https://brassens.heberge.info/cgi-bin/mailman/listinfo/libre
signature.asc
Description: OpenPGP digital signature
_______________________________________________ libre mailing list [email protected] https://brassens.heberge.info/cgi-bin/mailman/listinfo/libre
