Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Applications et sécurité des données

Ivan Fiodorovitch

Bonjour à tous,

Parmi toutes les applications disponibles sur le store Ubuntu, j'aimerais savoir comment trier le bon grain de l'ivraie.
Comment savoir, en particulier, qu'une application ne contient pas de malware?

Sous OS X, je procède de la façon suivante:
- je ne télécharge que des applications que j'estime fiables (quels développeurs, etc)
- j'ai une application me permettant d'empêcher certaines applications d'échanger des données sur le réseau. Si par malheur une application que j'utilise essayait d'émettre des données sans mon consentement, j'en serais immédiatement informé et je pourrais lui en refuser l'autorisation.

Comment faire sous Ubuntu?
- Est-il également possible d'interdire l'émission de données à certaines applications?
- Comment savoir qu'une application est fiable, puisque je ne connaîtrai jamais les développeurs?

Je vous remercie d'avance pour votre aide.

cinaptix

Parmi toutes les applications disponibles sur le store Ubuntu, j'aimerais savoir comment trier le bon grain de l'ivraie.
Comment savoir, en particulier, qu'une application ne contient pas de malware?

GNU/Linux utilise en général des logiciels libres dont le code source est public. S'il y a malware, ça se sait rapidement.

Morgiver

cinaptix a écrit GNU/Linux utilise en général des logiciels libres dont le code source est public. S'il y a malware, ça se sait rapidement.

A condition qu'il n'installe QUE des logiciels libres et open source.

Ivan Fiodorovitch

Merci pour vos réponses.

Je veux bien supposer qu'un logiciel libre n'a probablement pas un comportement malfaisant, à condition qu'il soit suffisamment connu pour qu'un personne compétente ait pu passer par là.

De votre côté, suivez-vous des règles de sécurité sous Linux?
Ou alors vous sentez-vous suffisamment en sécurité pour n'avoir aucune prudence particulière?

Savez-vous quand même s'il existe une application pour contrôler ce qui entre et sort sur le réseau (et éventuellement gérer des autorisations?).

J'ai maintenant une machine avec une distro installée en permanence, et je m'acclimate tranquillement. Mais ce qui pourrait bien me pousser dans le monde du libre est la sécurité, qui sur Mac ne va pas en s'améliorant.

[supprimé]

Ivan Fiodorovitch a écritSavez-vous quand même s'il existe une application pour contrôler ce qui entre et sort sur le réseau (et éventuellement gérer des autorisations?)

Ça s'appelle un pare-feu. Y'en a un de base sous Linux, désactivé par défaut (ou plutôt configuré pour tout laisser passer). Il s'appelle netfilter si je me souviens bien, et il se configure avec la commande iptables (à lancer en root). Tu trouveras pas mal de documentation sur Internet.

Le problème, c'est que netfilter ne peut filtrer que par port, et pas par application (ou je n'ai pas trouvé comment faire) : si tu choisis d'ouvrir un port, tu le fais pour tous les programmes. Mais tu peux limiter les données sortantes à quelques protocoles (ne laisser passer que le mail et le Web par exemple), ce qui n'est déjà pas mal.

Pour le choix des applications installées, le plus sûr est de s'en tenir aux pré-installées et aux éditeurs connus et fiables (Mozilla, LibreOffice, GIMP...). Mais de toute façon, je pense qu'on peut considérer que tout ce qui provient des dépôts officiels d'Ubuntu est sans surprise : tout est libre et contrôlé dans les dépôts par défaut.

Ayral

Ivan Fiodorovitch a écritBonjour à tous,
Parmi toutes les applications disponibles sur le store Ubuntu, j'aimerais savoir comment trier le bon grain de l'ivraie.
Comment savoir, en particulier, qu'une application ne contient pas de malware? .

Pour répondre à cette partie de la quextion, pour ne pas avoir de désagréments il faut et il suffit de n'installer QUE les applications se trouvant dans les dépôts d'Ubuntu. Comme il est précisé dans le document mis en lien, il faut absolument décocher si ce n'est pas le cas la ligne des dépôts Proposed.
Les applications se trouvant dans les dépôts ne contiennent pas de malware ni rie d'autre que l'appli.
Pour installer une application, soit tu utilises la logithèque Ubuntu soit tu es un habitué de la ligne de commande et tu utilises un terminal.

Le fait qu'une application soit utile, efficace, proprement codée, et j'en passe, n'est effectivement pas facile à savoir, mais d'une part dans la logithèque elles sont "notées" avec des étoiles, soit le forum est là pour te répondre.
De toutes façons si une appli ne répond pas à tes attentes, il suffit de la supprimer, avec la logithèque suffit de cliquer sur "Supprimer". Par ailleurs le système d'installation / Suppression est largement plus efficace que celui de Windows, le système entrtient une base de données qui conserve la mémoire des paquets installés, de leurs dépendances, et à la suppression cette base de données permet un nettoyage pile poil.
Sur Windows chaque éditeur crée son application d'installation / Désinstallation, qui souvent est de mauvaise qualité et laisse un peu partout y compris dans la base de registres une tas de scories.

Un dernier conseil : n'installer que les ppa en les quels tu as confiance (lis bien l'encart en orange au début de la page), ne jamais "Télécharger" à la Windows une application sur un site web. C'est là que les ennuis peuvent commencer.

Ayral

Concernant le pare-feu, celui installé par défaut se nomme en effet netfilter. On peut le paramétrer en ligne de commandes depuis le terminal, mais aussi avec une interface graphique pour utilisateur (un Graphic User Interface GUI) comme indiqué dans la doc en lien.
Bien du plaisir avec ton Ubuntu.

AlexandreP

Bonjour,

Ivan Fiodorovitch a écritComment faire sous Ubuntu?
- Est-il également possible d'interdire l'émission de données à certaines applications?

À ma connaissance, Ubuntu (à tout le moins, dans sa version actuelle pour postes de travail) ne dispose pas d'une telle fonctionnalité comparable à celle retrouvée, par exemple, sous iOS ou sous Android avec PrivacyGuard ou XPrivacy afin de restreindre les capacités d'une application bien précise. Peut-être que ceci se développera avec l'évolution d'Ubuntu par l'utilisation de Snappy et le déploiement dans les smartphones; mais dans sa forme actuellement, la version pour postes de travail ne semble pas offrir un programme facile de filtrage applicatif.

Certes, comme mentionné plus haut par JeanHallebardeTriphasé et Ayral, Ubuntu inclut un logiciel de pare-feu nommé netfilter. Ubuntu inclut aussi une interface en ligne de commandes pour simplifier sa configuration, appelé Uncomplicated FireWall (UFW); les utilisateurs peuvent installer par-dessus cela une interface graphique, Graphical UFW, pour faciliter encore plus la personnalisation. GUFW offre, par son interface graphique, une vue aisée des ports de communication actuellement ouverts et utilisés. De plus, certains profils applicatifs sont proposés, de sorte qu'il est possible, par exemple, de restreindre l'accès réseau à 0A.D., à DropBox, à MSN Gaming Zone...

Cependant, encore une fois, ce filtrage se fait par port, même en utilisant un profil applicatif prédéfini par GUFW. Ainsi, si je bloque les connexions en entrée pour 0A.D., en réalité, je bloque toute communication entrante vers le port UDP 20595, peu importe l'application requérante. De plus, l'installation de nouvelle applications ne provoque pas l'ajout de nouveaux profils prédéfinis dans GUFW.

Pour du contrôle d'accès au niveau applicatif, il faudrait probablement regarder plus du côté de AppArmor ou SELinux. Deux projets avec l'objectif de créer du filtrage applicatif, Douane et LeopardFlower, pourraient aussi être intéressants à surveiller.

Ivan Fiodorovitch a écrit- Comment savoir qu'une application est fiable, puisque je ne connaîtrai jamais les développeurs?

Un lien vers le site des développeurs des applications est visible dans la description des applications dans la Logithèque.

Ayral a écritPar ailleurs le système d'installation / Suppression est largement plus efficace que celui de Windows, le système entrtient une base de données qui conserve la mémoire des paquets installés, de leurs dépendances, et à la suppression cette base de données permet un nettoyage pile poil.
Sur Windows chaque éditeur crée son application d'installation / Désinstallation, qui souvent est de mauvaise qualité et laisse un peu partout y compris dans la base de registres une tas de scories.

En ce qui me concerne, la suppression d'applications par la Logithèque laisse souvent traîner des choses dans mon profil, entre autre des résidus de configuration...

[supprimé]

AlexandreP a écrit En ce qui me concerne, la suppression d'applications par la Logithèque laisse souvent traîner des choses dans mon profil, entre autre des résidus de configuration...

Sous Windows aussi, t'inquiète pas 😉 Je trouve que c'est mieux comme ça, le système de paquets nettoie le système et touche pas aux fichiers perso des utilisateurs. Exemple un peu bête, si j'ai pas de dossier Téléchargements et j'installe un navigateur qui en crée un, quand je supprimerai ce navigateur, je ne voudrai pas qu'il supprime en même temps tous mes Téléchargements.

Bob49

Salut

Ayral a écritSur Windows chaque éditeur crée son application d'installation / Désinstallation, qui souvent est de mauvaise qualité et laisse un peu partout y compris dans la base de registres une tas de scories.
Un dernier conseil : n'installer que les ppa en les quels tu as confiance (lis bien l'encart en orange au début de la page), ne jamais "Télécharger" à la Windows une application sur un site web. C'est là que les ennuis peuvent commencer.

...le choix des applications...Perso, j'utilise des applications qui ne laissent rien derrière, hormis leur profile bien sur. Celles qui laisse des clés dans le registre, ce n'est pas gênant du tout et elle sont rares... sans oublier que le registre depuis Vista n'aime pas trop les nettoyeurs...
Quand à télécharger, c'est la flemme pour certaines personnes de ne pas aller jusqu'au sites des éditeurs (..si c'est pas du téléchargement ilégal..) et pour certaines personnes, le côté pratique que les sites de téléchargements soit en français !.. Et bien sur, dans sites de téléchargements les plus mauvais, on retrouve certains très connus comme par exemple 01net !.. Les personnes ont malheureusement confiance en ses sites réputés, jusqu'au jour où leur pc à un problème suite à une installation...

AlexandreP a écritEn ce qui me concerne, la suppression d'applications par la Logithèque laisse souvent traîner des choses dans mon profil, entre autre des résidus de configuration...

La logithèque est conçue pour installer facilement des application, mais pas du tout prévue pour la désinstallation complète. Car la majorité des applications pour l’utilisateur (je parle pas de celle pour le système et non configurables), laisse leur profile de configuration, ce qui est bien logique. Pour une désinstallation complète, le gestionnaire de paquets fait très bien.

ça ne m'empêche pas de passer Ubuntu Tweak de temps à autres pour un petit nettoyage de résidus liés au système. 🙂

Elder

Salut,

Je rejoint Ayral en ce qui concerne les applis en provenance des dépots officiels, il y a peu de risque qu'elles soient vérolés.
En ce qui concerne les traces résiduelles des applis. Il y a tout de même moins de risque de se retrouver avec avec un bidule indécollable sous linux que sous windows (je me suis vu devoir aller chercher des désinstalleurs spécifique pour certaines applis windows particulièrement tordues à virer, genre les anti-virus en mode évaluation sur pc neuf !).
Sous Linux il ne faut pas oublier la séparations des pouvoirs ! Même si sous Ubuntu c'est vite fait vu que l'utilisateur root n'est pas directement utilisable.
En effet sous Linux (Ubuntu compris) c'est root seul qui peut installer/désinstaller des applications, les "résidus" ne sont souvent que des dossiers/fichiers de configuration de l'utilisateur non-root qu'il suffira de supprimer.

My two cents

@+
Elder

Ivan Fiodorovitch

Merci pour toutes ces précisions =)

Le problème des fichiers survivant à une désinstallation me préoccupe bien moins qu'une éventuelle activité souterraine desdites applications.

Condamner certains ports est en effet à la fois excessif et insuffisant.

Douane a l'air pas mal en effet, en tout cas cela semble user-friendly, ce qui n'est pas pour me déplaire 😉
Je vais tester ça.

-----------------------------

Sans vouloir troller, j'ai quand même l'impression que beaucoup d'utilisateurs de Linux accordent une confiance (un peu trop) importante en l'open-source.
Je comprends bien l'idée: si une application open-source comprenait un malware, cela n'aurait pas échappé à telle ou telle personne compétente qui aurait été lire le code source.

De mon point de vue, cela semble quand même un peu léger. D'une part rien ne garantit qu'un expert soit effectivement passé par là, et d'autre part il peut y avoir un délai important avant qu'un comportement indésirable soit détecté. Sans compter qu'il faudrait auditer le code à chaque MAJ.
Le système de notes dans le store n'aide en rien: une application peut être très bonne et contenir un keylogger ou siphonner mes données personnelles.

Après avoir lu pas mal de posts dans le forum "sécurité" (oui j'ai compris un peu tard que j'avais posté au mauvais endroit), j'ai constaté que le message est souvent du type "pas d'inquiétude, c'est de l'open-source".

Mais quand même, en cas d'attaque, vous êtes à poil.

Qu'en pensez-vous?

cinaptix

Sans vouloir troller, j'ai quand même l'impression que beaucoup d'utilisateurs de Linux accordent une confiance (un peu trop) importante en l'open-source.

Une telle impression me conduit à me demander pourquoi tu t'intéresses aux OS libres. Avec un tel doute, pourquoi ne pas se contenter des produits commerciaux ?

Ivan Fiodorovitch

cinaptix a écrit
Sans vouloir troller, j'ai quand même l'impression que beaucoup d'utilisateurs de Linux accordent une confiance (un peu trop) importante en l'open-source.
Une telle impression me conduit à me demander pourquoi tu t'intéresses aux OS libres. Avec un tel doute, pourquoi ne pas se contenter des produits commerciaux ?

Je pense que le gain en sécurité est réel, mais je ne pense pas qu'il soit suffisant.
D'ailleurs tu ne me réponds pas sur le fond!

EDIT: Il n'est pas question de doute ou de croyance. La sécurité ne relève pas de la superstition. Je cherche la sécurité, et pas seulement un sentiment de sécurité.

pierrecastor

Salut

Rapidement, de ce que j'ai lu, la sécurité total en informatique est inatteignable (enfin, pas sur un OS complexe), on peut juste s'en rapprocher le plus possible. Et l'open source est un outil important pour approcher de cette sécurité.

Par exemple, pour une distribution comme debian, si tu veux voir comment est vérifier la sécurité global plus celle des différents logiciels, il faut que tu lises le mode de fonctionnement des contributions de debian. Et plus généralement pour le logiciel libre, se renseigné sur comment ces logiciels sont crée, par qui et avec quels procédure, plus quels procédures sont utilisé pour les mettre dans les dépots sont un bon moyens d'avoir un aperçue de la sécurité mise en œuvre.

Après, si tu veux te rapprocher encore plus de la sécurité, tu as openBSD, dont la conception même est centré sur la sécurité.

AlexandreP

Ivan Fiodorovitch a écritSans vouloir troller, j'ai quand même l'impression que beaucoup d'utilisateurs de Linux accordent une confiance (un peu trop) importante en l'open-source.
Je comprends bien l'idée: si une application open-source comprenait un malware, cela n'aurait pas échappé à telle ou telle personne compétente qui aurait été lire le code source.

De mon point de vue, cela semble quand même un peu léger. D'une part rien ne garantit qu'un expert soit effectivement passé par là, et d'autre part il peut y avoir un délai important avant qu'un comportement indésirable soit détecté. Sans compter qu'il faudrait auditer le code à chaque MAJ.
Le système de notes dans le store n'aide en rien: une application peut être très bonne et contenir un keylogger ou siphonner mes données personnelles.

Après avoir lu pas mal de posts dans le forum "sécurité" (oui j'ai compris un peu tard que j'avais posté au mauvais endroit), j'ai constaté que le message est souvent du type "pas d'inquiétude, c'est de l'open-source".

Sans vouloir troller: je pense que tu as raison. L'open-source et le libre facilite la détection des bogues et leur correction, c'est indéniable; c'est clairement un avantage en matière de sécurité. Mais estimer que ce qui est open-source ou libre est constamment 100% sûr, c'est, je crois, de la pensée magique.

Mais personnellement, ce qui m'inquiète davantage, c'est plutôt une pensée qui estime que toutes les fonctionnalités des applications open-source ou libres sont désirables pour tout le monde. Tu mentionnes plus haut qu'"il peut y avoir un délai important avant qu'un comportement indésirable [d'une application] soit détecté"; qu'est-ce qu'un comportement indésirable? Sont-ce les mêmes pour tout le monde?
Par exemple: Rhythmbox permet de lire des webradios -- ce n'est clairement pas un comportement indésirable. Cependant, disposant d'une connexion Internet limitée, j'aimerais empêcher Rhythmbox de discuter sur le réseau pour empêcher la lecture de webradios, de récupérer des pochettes dans Internet, de télécharger les paroles de chansons..., mais je ne souhaite pas désinstaller Rhythmbox parce que je souhaite pouvoir écouter mon audiothèque locale et lire mes CD. Pour moi, soudainement, cette fonctionnalité devient indésirable. Du coup, un logiciel de contrôle d'accès au niveau applicatif devient intéressant.

Ivan Fiodorovitch

Merci pour vos réponses, et désolé du retard.

pierrecastor a écrit Et plus généralement pour le logiciel libre, se renseigné sur comment ces logiciels sont crée, par qui et avec quels procédure, plus quels procédures sont utilisé pour les mettre dans les dépots sont un bon moyens d'avoir un aperçue de la sécurité mise en œuvre.

Après, si tu veux te rapprocher encore plus de la sécurité, tu as openBSD, dont la conception même est centré sur la sécurité.

J'aimerais en effet beaucoup avoir une idée plus claire du processus de création des logiciels libres. Les distributions, en particulier. J'ai bien compris qu'Ubuntu est fait par Canonical mais ensuite c'est le grand flou!
Il y a des source en particulier si on veut s'informer sur le sujet?

Merci de m'avoir indiqué OpenBSD, je ne m'y étais jamais intéressé, je vais regarder de plus près!

AlexandreP a écrit Sans vouloir troller: je pense que tu as raison. L'open-source et le libre facilite la détection des bogues et leur correction, c'est indéniable; c'est clairement un avantage en matière de sécurité. Mais estimer que ce qui est open-source ou libre est constamment 100% sûr, c'est, je crois, de la pensée magique.

Mais personnellement, ce qui m'inquiète davantage, c'est plutôt une pensée qui estime que toutes les fonctionnalités des applications open-source ou libres sont désirables pour tout le monde. Tu mentionnes plus haut qu'"il peut y avoir un délai important avant qu'un comportement indésirable [d'une application] soit détecté"; qu'est-ce qu'un comportement indésirable? Sont-ce les mêmes pour tout le monde?
Par exemple: Rhythmbox permet de lire des webradios -- ce n'est clairement pas un comportement indésirable. Cependant, disposant d'une connexion Internet limitée, j'aimerais empêcher Rhythmbox de discuter sur le réseau pour empêcher la lecture de webradios, de récupérer des pochettes dans Internet, de télécharger les paroles de chansons..., mais je ne souhaite pas désinstaller Rhythmbox parce que je souhaite pouvoir écouter mon audiothèque locale et lire mes CD. Pour moi, soudainement, cette fonctionnalité devient indésirable. Du coup, un logiciel de contrôle d'accès au niveau applicatif devient intéressant.

"De la pensée magique", oui. Il y a dans la communauté Linux, en matière de sécurité, une part de superstition que je pensais naïvement être le propre de la communauté Apple. Avec le même argument "c'est secure parce-que c'est OS X / Linux". Cette idée est erronée dans un cas comme dans l'autre. Mais surtout, en matière de sécurité, rien n'est pire que le sentiment de sécurité... qui rend critique le facteur de risque situé entre la chaise et le clavier.

Ton exemple est, en effet, précisément le genre de cas où j'aime pouvoir interdire le réseau à une application.
Quand j'ai pour la première fois installé l'application permettant de le faire sous OS X (Little Snitch), j'ai été étonné de voir toutes les données que mes applications échangeaient sur le réseau sans aucune sollicitation de ma part.
Là où ta réflexion est intéressante, c'est qu'en effet de plus en plus d'applications se voient dotées de nouvelles fonctionnalités nécessitant un accès au réseau... pour le meilleur et pour le pire.

EDIT: l'exemple type de l'application très appréciée mais ayant un comportement indésirable est Google Chrome. En 2012 il y a eu un scandale parce-que Chrome siphonnait carrément des données personnelles des utilisateurs d'OS X. Heureusement je n'utilise pas ce navigateur. Mais voilà une application très populaire et pourtant malfaisante.

Oni_Shadow

De mon point de vue, libre ne signifie pas forcément sécurité, mais s'en rapproche fortement, notamment dans les gros projet, avec pleins de contributeurs. Les petites applis fait par une seule personne sont plus susceptible d'adopter un comportement de malware. Néanmoins, la majorité des logiciels les plus utilisés, sont maintenus et revu par de nombreuses personnes. À moins de prendre quelques soft isolé et très spécifique, les risque ne sont pas trop important. D'autant plus que niveau que généralement la philosophie des logiciels libres, et donc de ceux qui les fonts vont plutôt à l'encontre de la surveillance. Personnellement si je cachais un malware, je ne mettrais pas les sources en publique, ou alors une version différente des binaires précompilés. On peu toujours essayé de jouer la psychologie inversée, mais une fois pris, faut changer de nom de développeur :p

Ayral

Ivan Fiodorovitch a écrit
J'aimerais en effet beaucoup avoir une idée plus claire du processus de création des logiciels libres. Les distributions, en particulier. J'ai bien compris qu'Ubuntu est fait par Canonical mais ensuite c'est le grand flou!
Il y a des source en particulier si on veut s'informer sur le sujet?

Tu peux consulter cette page qui explique le fonctionnement des contributeurs pour Debian et Ubuntu.

D'autre part dans la documentation Ubuntu fr il y a une page consacrée à la contribution à Ubuntu. Tu vas savoir comment devenir Maître de l'Univers ! (MOTU)

La succession des paliers dans la contribution, le mode de désignation des Motu et de Core developers me semble si particulier qu'on ne voit pas comment un contributeurs intégrerait un code malicieux sans se prendre aussi sec un coup de pelle sur la tête.