Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Y a t'il le feu chez SourceForge ?

LePetitApprenti

Bonsoir,

Étant un nouvel utilisateur de Ubuntu je m'interroge sur ce que j'ai lu a propos de source forge qui nous livre des petits cadeaux bonus sous le manteaux.
Lorsque l'on voit que dés qu'un logiciel libre dans source forge peux devenir une vrai bombe a retardement dans notre PC, sous prétexte que le concepteur ne le mets plus trop a jour, ou bien carrément le faire sans même avertir le(s) développeur(s) y a de quoi devenir parano !!

Cela m'a tout l'air d’être un nouveaux moyen légal de saboter du libre purement et simplement.
Je suis un nouvel utilisateur de Ubuntu, et je ne sais pas exactement comment marche le gestionnaire de PPA mais je pense qu'il doit y avoir beaucoup de lien de téléchargement à gérer la dedans.
Comment savoir si un petit coquin ne sait pas glissé en douce dans cette immense bibliothèque ? Surtout que la il s'agit tout de même de GIMP, une application assez vedette du libre.
Je fais confiance à la communauté Ubuntu mais personne n'est à l’abri d'un oublis ou d'une erreur.

A votre avis peux t'on toujours faire confiance a SourceForge ?

Source: http://www.developpez.com/actu/85903/SourceForge-multiplie-des-derives-avec-la-diffusion-d-adwares-le-compte-de-GIMP-usurpe-pour-distribuer-des-versions-verolees-de-l-outil/

Nairwolf

Bonsoir, et bienvenue dans le monde Gnu/Linux.

Est-ce que l'on peut faire confiance à SourceForge ? Je suis étonné que cette histoire sorte maintenant, mais j'ai l'impression que cela fait une éternité que SourceForge fournit des installateurs Windows en proposant des m**des publicitaires... Je suis donc étonné, mais ça, c'est le monde Windows. C'est comme Dalas et son univers impitoyable ! Effectivement, comment on télécharge un logiciel sur Windows ? Il suffit de trouver un .exe quelque part sur le net pour installer un logiciel. Aucune vérification n'est possible mis à part la confiance... Généralement, on fait attention au site sur lequel on télécharge le .exe. C'est pour cela qu'on conseille fortement de se rendre sur le site officiel de l'éditeur de logiciel et de ne pas passer par des intermédiaires (01.net ; Téléchargez.com ; etc). Il y a évidemment toujours un risque de phishing

Sur Ubuntu, la façon dont on télécharge un logiciel est sensiblement différent. Bienvenue donc dans le monde Gnu/linux 😉
On parle d'ailleurs davantage de paquets. Voici les principales façon d'installer un paquet :

-Tu utilises la logithèque. C'est l'équivalent graphique de la méthode suivante en ligne de commande

sudo apt-get install nom_du_paquet_que_je_veux_installer

Comment cela se passe sous le capot ? En fait, le nom du paquet que tu souhaites installer est référencé dans des dépôts. Ce sont les dépôts officiels d'Ubuntu géré soit par Cannonical eux-même, soit par la communauté Ubuntu. En fait, cela ressemble beaucoup au Google Store, ou Apple Store. C'est un magasin d'applications validés et certifiés pour la distribution que tu utilises. Si ce système est très connu sur les smartphone, il a initialement été instauré sur Linux. Tu peux lire ici de la documentation sur les systèmes de dépôts. C'est très intéressant.

-Utilisation des ppa. Une autre matière d'installer des logiciels qui ne font pas partie des dépôts officiels. C'est très simple. Imagine que je développe un logiciel très utile, mais encore trop peu connu pour intégrer les dépôts officiels. Comment puis-je faire pour le distribuer au plus grand nombre ? Je mets en place un dépôt ppa. Cela permettra aussi aux utilisateurs de bénéficier très facilement des mises à jour. (Souviens-toi sur WIndows, il faut parfois télécharger à nouveau le .exe pour avoir la bonne version :/). Plus d'infos sur les PPA, ici !
En résumé, cela consiste à ajouter un dépôt à la liste des dépôts officiels. Ensuite, les mises te sont proposés dès qu'il y a des mises à jours 😉 Ici, c'est tout de même un peu plus risqués que les dépôts officiels car ce sont des logiciels qui n'ont pas (encore) été accepté dans des dépôts officiels. Il doit certainement avoir une vérification et une validation pour avoir le droit d'être dans les dépôts officiels. Tu fais donc seulement confiance au mainteneur du PPA. A toi de voir si le projet a l'air sérieux, et s'il a bonne presse.

-Installer un paquet sans passer par un dépôt. Une méthode que je n'ai jamais utilisé car je n'en ai jamais eu besoin. J'ai l'impression que c'est l'équivalent de télécharger un .exe en provenance de je-ne-sais-où. A faire en ayant déjà suffisamment d'expérience pour contrôler l'installation. (Il n'y a pas de proposition de mise à jour automatique par exemple).

-Compiler le logiciel s'il est libre. Les sources sont ouvertes et accessibles à tout le monde. Généralement plusieurs développeurs travaillent quotidiennement sur le logiciel. Si des choses malhonnêtes sont écrites par quelqu'un, d'autres personnes l'auront peut-être remarqué et corrigé. En compilant les sources, tu transformes le code écrit en un langage de 0 et 1 compréhensible par la machine. Tu es donc parfaitement certifié que le logiciel que tu as correspond au logiciel qui était écrit.

Voilà, en pratique depuis Linux, tu n'auras plus trop affaire à SourceForge 😉 C'était de toute manière en perte de vitesse face à github.

Après, il est toujours possible qu'il y ait des maladresses de développeurs qui aient échappés. Mais généralement, si cela provoque des bugs, cela sera détecté, et tu auras des mises à jour de sécurité. Le risque 0 n'existe pas en informatique, mais, en pratique, on est plutôt bien protégé. Il n'y a qu'à voir l'an dernier où deux failles majeures avaient secoué l'informatique. Elles provenaient de logiciels libres utilisés pour la sécurité. La faille était visiblement là depuis longtemps, mais dès qu'elle a été détecté et communiqué, les mises à jour de sécurité sont arrivés très très vite. En fait pour une, la détection de la faille était resté confidentielle avant que les développeurs proposent un correctif. Quand la faille était révélé au grand public et dans les médias, la faille était déjà corrigé.

src

Oui ils dépassent quand même les bornes : https://linuxfr.org/news/sourceforge-de-pire-en-pire-usurpation-d-identite-du-projet-gimp
Je ne pense pas à de la malveillance mais plutôt à une stratégie marketing véreuse. C'est vraiment la tendance sur le web.

SilentStorm

Oui c'est étonnant qu'ils fassent ça mais rassurez vous, même si il y a des adwares, ils n'auront pas d'effet destructeur sur votre système linux.

Nairwolf

Oui, car l'installation depuis Linux n'utilise pas SourceForge, mais des dépôts surs 😉

Après qui nous dit que le mainteneur d'un projet ne rajoute pas quelques lignes malveillantes avant de compiler le paquet et de le distribuer ? Pour être totalement sur, il faudrait télécharger les sources et compiler chaque logiciel ^^

seb24

Oui ça fait longtemps pour moi que sourceforge est devenu un site publicitaire.
Et leur interface a toujours été a vomir.

erresse

Nairwolf a écritPour être totalement sur, il faudrait télécharger les sources et compiler chaque logiciel ^^

Que nenni !!!
Il faudrait d'abord LIRE les sources ligne à ligne pour s'assurer qu'aucune ne contient de code malveillant !
Personnellement, moi, je vais faire confiance aux dépôts et PPA que j'utilise. Pour les autres... Bonne lecture !

Nairwolf

Oui, évidemment ^^ Mais, c'était un poil sous-entendu. Après, tu peux te rendre sur github par exemple, vérifier que le code est développé par un grand nombre d'utilisateurs. Tu peux te dire que s'il y avait du code malveillant comme le code est maintenu par un grand nombre de personne, il y aurait une certaine probabilité qu'il soit détecté et corrigé. L'intrusion de code malveillant se verrait sur les différents commits. Si un packageur introduit du code malveillant avant de compiler le paquet et de le mettre à disposition, cela peut sans doute se faire de manière confidentielle.

Après, comme beaucoup de choses en dehors de l'informatique, il faut avoir un minimum de confiance envers autrui. Et comme souvent, faire quelque chose de malveillant dans un environnement ouvert a plus de conséquences (qui dissuaderaient de faire) que dans un environnement fermé, car cela ne se verrait pas.

Rufus T. Firefly

SilentStorm a écritOui c'est étonnant qu'ils fassent ça mais rassurez vous, même si il y a des adwares, ils n'auront pas d'effet destructeur sur votre système linux.

T'es sûr de ça ?

Et voilà qu'hier, sur la liste de diffusion, on nous prévient qu'en cliquant sur le lien gimp-2.8.14-setup-1.exe de 91.9 MB, Sourceforge lance un téléchargement d'un fichier avec exactement le même nom, de 730kb, qui n'est évidemment pas notre installeur officiel.
Faux installeur Sourceforge

D'accord, c'est du w$... Mais qu'est-ce qui empêche de faire pareil avec un .deb, par exemple ? Après tout il en existe déjà, tout ce qu'il y a de plus officiels, qui téléchargent sur des sites tiers (l'installateur de flashplayer, par exemple).
C'est une vraie question, dont je ne connais pas la réponse.

src

Rien ne les empêche mais rien ne montre qu'ils le font.

SilentStorm

Tu n'a pas les droits administrateur sous Linux par défaut, un programme malveillant ne peux pas s'installer sans ton autorisation puisqu'il lui faut les droits du super-utilisateur et pour cela il faut le mdp. De plus vu que le code source est disponible, un programme malveillant serai très vite repéré si c'était le cas (pas par toi mais par les développeurs qui travail dans le libre).

Enfin, dans la très grande majorité des cas, il n'y a rien a télécharger sur le site sourceforge pour un linuxien, linux ce n'est pas windows, on récupère pas un exécutable qu'on lance ensuite, on installe les paquets via les dépôts.

Rufus T. Firefly

Rien ne montre qu'ils le font ? Ouais... Rien ne montre qu'ils le font aussi avec linux...
Comme disent les gens de Gimp :

Nous aurions dû juste vider notre compte et mettre un gros texte en CAPS-LOCK du genre "compte abandonné par l'équipe de GIMP, veuillez télécharger GIMP sur gimp.org" (ou similaire). Mais passons, ce qui est fait est fait.

Nous aurions dû...

Rufus T. Firefly

SilentStorm a écritTu n'a pas les droits administrateur sous Linux par défaut, un programme malveillant ne peux pas s'installer sans ton autorisation puisqu'il lui faut les droits du super-utilisateur et pour cela il faut le mdp.

Ça je sais bien... Mais si on te fourgue un .deb modifié ? T'installes ce que tu voulais installer, sudo dpkg -i, et ça t'installe le reste dans la foulée, puisque c'est dans le .deb... Non ?

Caribou22

SilentStorm a écritTu n'a pas les droits administrateur sous Linux par défaut, un programme malveillant ne peux pas s'installer sans ton autorisation puisqu'il lui faut les droits du super-utilisateur et pour cela il faut le mdp.

Bonjour,
C'est aussi le cas dans Windows. (Pas de mdp demandé par compte. Un simple "OK".) Le gros problème vient surtout de la vigilance de l'utilisateur qui a tendance à accepter tout ce qui lui est demandé et donc donner les droits à tout et n'importe quoi. Et ce sont les sites comme Sourceforge et 01net qui en profitent.
Les dépôts officiels de logiciels nous préservent de ce problème, mais si un utilisateur lambda suit un tuto lambda sur Internet lui faisant modifier ses sources et installer des paquets hors dépôts, le problème est le même.

LePetitApprenti

Merci pour vos avis sur la question.
A mon niveau cela se résume donc à la confiance car je n'ai pas suffisamment de connaissance pour comprendre ce que j'installe, autrement dit le code source.
Disons que le fait que ce soit libre et beaucoup utilisé limite au mieux la possibilité d'infecter son PC, du moins en théorie.

Nairwolf

Oui, voilà, c'est cela 😉

Il y a deux types de malveillance, celle qui est volontaire et celle qui est involontaire.
Pour l'involontaire, c'est à dire des bugs ou des failles qui compromettent l'intégrité de l'utilisateur, malheureusement personne n'est infaillible, cela arrive sans doute avec la même proportion que dans le propriétaire. Dès que ces failles sont détectés, elles sont corrigés, il y a transparence. Dans le propriétaire, tu ne peux que faire confiance à l'éditeur.

Pour la malveillance volontaire, le fait que ce soit ouvert limite très fortement la volonté d'introduire de la malveillance volontairement. Dans le propriétaire, il peut y avoir des problèmes tels qu'on rencontre avec SourceForge. Mais, parfois, même les éditeurs eux-même, introduisent du code malveillant. C'est leur volonté. Tu trouveras ici les raisons pour lesquelles le logiciel privateur est souvent malveillant

Caribou22

Petit aparté. Et quand une faille est découverte dans le propriétaire, ça fait du bruit 😛 http://bigbrowser.blog.lemonde.fr/2015/06/03/huit-petits-caracteres-qui-font-planter-skype/

src

SilentStorm a écritTu n'a pas les droits administrateur sous Linux par défaut, un programme malveillant ne peux pas s'installer sans ton autorisation puisqu'il lui faut les droits du super-utilisateur et pour cela il faut le mdp. De plus vu que le code source est disponible, un programme malveillant serai très vite repéré si c'était le cas (pas par toi mais par les développeurs qui travail dans le libre).

Non il suffit de voir les multiples failles OpenSSL...
C'est du libre et des failles béantes n'ont jamais été détectées en amont.

LePetitApprenti

Génial la chaîne de caractère qui fait tout planté !!!
On vois que c est du solide le propriétaire :lol:

Nairwolf

Après, je veux pas spécialement défendre le propriétaire, mais vous parlez de failles, de bugs qui sont causé directement par l'éditeur du logiciel (Microsoft). On ne parle pas, comme cela était initialement des failles de sécurité que pourrait introduire des intermédiaires.

Cela peut-être le cas lorsqu'on télécharger un .EXE sur le net sur Windows. Mais ce n'est pas le cas sur Gnu/linux avec le système de dépôt (ça n'empêche pas non plus de pouvoir télécharge des .deb vérolés, mais ce n'est pas le comportement par défaut des utilisateurs).

En termes d'erreurs et bugs liés directement aux développeurs, je pense que les résultats sont les mêmes. Il n'y a pas de raison que les développeurs des logiciels libres soient meilleurs ou pire que les développeurs de logiciel privateurs. Néanmoins, tout les chiffres à propos de cette comparaison doivent être pris avec des pincettes. En effet, les corrections de bugs dans les logiciels libres peuvent être facilement être dénombrés. Dans le logiciel privateur, les éditeurs dévoilent les bugs qu'ils souhaitent. Méfiance donc...

Page suivante »