Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

En finir avec Mint ?

[supprimé]

Hello,

Je lis depuis longtemps des gens conseiller Mint à des débutants, parce que c'est user friendly, etc.

En même temps, je suis tombé sur plusieurs articles qui s'inquiètent de la sécurité de Mint : Cyrille BORNE en parle un peu (voir vers le milieu de l'article), ou ceci en anglais. TL;DR : l'attitude de l'équipe de Mint par rapport aux mises à jour de sécurité est risquée pour les utilisateurs ; la distrib blackliste même des mises à jour de Debian/Ubuntu pour contourner des problèmes.

De plus, on a vu récemment le site de Mint piraté pour distribuer des ISOs corrompues. Ça peut bien sûr arriver à n'importe qui, mais je ne me souviens pas d'avoir vu une grande distribution souffrir du même hack (pas touchant les ISOs officielles). J'imagine qu'une négligence dans la sécurité du site a permis au pirate de réussir.

Tout ça ne dit pas que Mint est nulle, mais pour moi ces inquiétudes sont suffisantes pour éviter cette distribution et ne pas la conseiller. Elle semble manquer de moyens pour offrir une véritable sécurité.

Ne devrait-on pas arrêter, au moins temporairement, de conseiller ce fork, et plutôt diriger les gens vers Ubuntu ou Debian ?

krodelabestiole

oui perso j'ai arrêté de conseiller ou d'installer mint chez des petits vieux, entre autre suite à ça : https://lwn.net/Articles/676664/

j'étais relativement séduit il y a longtemps par le fait de ne pas avoir à installer flash ou les codecs proprio à chaque fois, et d'avoir un thème convenable dès l'installation, je trouvais aussi cinnamon pas mal, mais maintenant je repars sur xubuntu (avec un thème numix ça me semble au poil).

seb24

Numix c'est cool ^^ . Je l'utilise avec Ubuntu.

bruno-legrand

Personnellement je ne conseillerai plus Mint non plus.

Oh et voici d'autres articles qui parlent de Mint :
http://frederic.bezies.free.fr/blog/?p=14848
http://passiongnulinux.tuxfamily.org/2016/08/06/mintlinux-pourquoi-ne-pas-prendre-directement-ubuntu/

Et sur la LMDE qui n'est pas mieux : http://passiongnulinux.tuxfamily.org/2016/08/05/lmde-lautre-deception/

PileOuFace

Le point fort de l'équipe de Linux Mint, ce sont surtout leurs contributions au niveau de la couche bureau, ils sont effectivement moins affûtés concernant la distribution elle-même, ce qui est bien dommage.

donut

Vous citez des gens qui sont des blogueurs et non des experts en sécurité.
Sérieusement c'est juste le délai d'arrivée des mises à jour qui vous inquiète ?

PileOuFace

L'article le plus clair, c'est peut-être celui-ci : https://lwn.net/Articles/676664/
C'est écrit par un membre de l'équipe Debian.

En résumé :
- Mint mélangerait les paquets Ubuntu et Debian sans les reconstruire, ce qui provoquerait de potentiels problèmes pour les mises à jour
- certaines mises à jour Debian ou Ubuntu sont juste blacklistées par Mint. On n'obtient pas le même résultat si on met à jour via leur applet ou via les outils classiques comme apt, c'est à cause de la politique basée sur les niveaux.
- des soucis dans le nommage des paquets Mint qui créent des incompatibilités avec Debian
- des soucis de copyright qui peuvent être bloquants dans certains pays

Les blogueurs parlent aussi de mises à jour distribuées en fonction du risque/confort supposé pour l'utilisateur final, pas en fonction de l'utilité première de la mise à jour.

krodelabestiole

il dit aussi que mint ne publie pas de conseils de sécurité, ce qui fait que les utilisateurs ne savent pas si - ni à quoi - ils sont vulnérables.
et que d'une manière générale ils ne fournissent pas un travail professionnel, la distro est un hack grossier d'autres distros basées sur debian.

de mon point de vue c'est aussi ce que montre l'épisode de leur site hacké en février :
- le pirate a remplacé les images des distros par d'autres contenant des backdoors (en l'occurence des botnet pour attaque ddos) sur le site officiel (pas terrible déjà)
- lorsque les dev de mint s'en sont aperçu, ils ont simplement remis les images d'origine, et laissé le site en ligne
- du coup ils se sont refait hacker direct derrière
quand un truc du style arrive, le bon sens veut qu'on mette le site hors ligne tant qu'on a pas trouvé la manière dont l'assaillant s'y est pris et corrigé la faille.

tu peux ajouter à ça le fait que leur forum a été compromis aussi, ce qui fait que l'attaquant a pu récupérer l'intégralité de leurs bases de données avec les données perso de tous les users :
http://blog.linuxmint.com/?p=3001

et aussi qu'en décembre précédent leur site a été down 2 semaines et ils ont perdu une partie du site et du forum (tout seul comme des grands, y a pas eu d'attaque seulement un dd hs).
au début je m'en suis aperçu parce que la page de démarrage de firefox (google déguisé en linux mint start) était injoignable (et elle l'est restée pendant 2 semaines !)
http://blog.linuxmint.com/?p=2944

bref à mon sens ça pue l'amateurisme à beaucoup trop de niveau

[supprimé]

donut a écritVous citez des gens qui sont des blogueurs et non des experts en sécurité.
Sérieusement c'est juste le délai d'arrivée des mises à jour qui vous inquiète ?

Pas besoin d'être un expert pour douter. On sait déjà qu'ils savent pas sécuriser un site et qu'ils se réservent le droit d'ignorer des patchs si ça leur fait trop de travail.

Le délai d'arrivée des mises à jour est important pour éviter les exploits, et c'est pas le seul problème : certaines mises à jour n'arrivent jamais.

CM63

Bonjour,

Personnellement si j'ai choisi Mint plutôt que Ubuntu (que j'avais aussi essayé) c'est uniquement à cause de ce facteur qui pour moi était bloquant : sous Mint on a une émulation des caractères True-type (licence propriétaire windows) qui est de meilleure qualité que celle qu'on a sous Ubuntu. Et en conséquence , sous LibreOffice, dans l'affichage d'un document texte noir sur blanc, les caractères sont bien contrastés noir sur blanc sous Mint alors que sous Ubuntu on a du gris sur blanc. Et pour ce qui est de l'affichage des caractères en couleurs (par exemple sous navigateur ou sur le bureau) les irrisations sur les bords sont beaucoup plus amoindris sous Mint que sous Ubuntu (sans disparaître parfaitement comme dans la police true-type Windows).

Mais bon, ce qui était bloquant pour moi c'était surtout l'affichage pâle des caractères noirs sur blanc sous LivreOffice. Est-ce que cela est corrigé dans la LST actuelle de Ubuntu? (j'avais du essayé la précédente)

[supprimé]

Je viens de lancer Writer et j'ai vu du vrai noir sur blanc. Je ne me souviens pas d'avoir eu autre chose, même en 12.04. Tu es sûr que ça ne venait pas de ton matériel ? Les polices sont très bien chez moi.

De toute façon, Mint est presque identique à Ubuntu, ça devait pas être plus compliqué à corriger qu'installer un paquet et changer une option.

donut

Le piratage du site et une triste histoire mais le risque zéro n'existe pas.
Je trouve qu'ils ont communiqué assez rapidement et clairement dans cette situation de crise.
Est-ce que leur site était insuffisamment sécurisé ?
Les mesures me semblaient correctes mais pas à la hauteur de leur succès, ce qui demande de l'argent or la distribution est gratuite.

Pour la disponibilité des mises à jour, on est pas toujours obligé de sauter dessus à la seconde près.
Quand il s'agit de Firefox là d'accord car c'est un point d'entrée sur la machine de l'utilisateur.
En revanche beaucoup d'autres correctifs sont destinés à des usages serveurs, or ce n'est pas trop le but de Mint.

Ce que j'essaie de dire c'est que tout cela tient de la masturbation intellectuelle ou de la critique gratuite.

CM63

En live sessions j'avais observé qu'une certaine police, ayant la prétention de supprimer les effets d'irisation aux bords des caractères (et donc d'avoir un meilleur contraste noir/blanc) était présente sous Linux Mint (Petra) et était absente sous Linux Ubuntu 14.04. Et effectivement la qualité d'affichage était meilleure sous Mint.
Je ferai un essai en live session de U 16.04 pour voir si c'est corrigé.

[supprimé]

donut a écritCe que j'essaie de dire c'est que tout cela tient de la masturbation intellectuelle ou de la critique gratuite.

Ignorer des mises à jour de sécurité est de l'amateurisme. Si un patch de sécurité existe, c'est parce que la faille était exploitable. On ne peut pas faire confiance à cette distribution qui semble faire passer la sécurité au second plan.

Sécuriser un site ne demande pas d'argent mais des compétences et de la motivation. Je ne sais pas duquel Mint manque, mais ça ne me met pas en confiance.
Cette distrib met ses utilisateurs en danger parce que sécuriser correctement le système demanderait plus de travail. C'est du travail d'amateur. Aucune raison de la préférer à une distrib sérieuse comme Ubuntu ou Debian qui ont des conseils de sécurité.

PileOuFace

CercleEuclidien a écritAucune raison de la préférer à une distrib sérieuse comme Ubuntu ou Debian qui ont des conseils de sécurité.

C'est vrai que la gestion "distro" de Mint est très perfectible. En revanche, je les trouve bien meilleurs qu'ubuntu en ce qui concerne les attentes de pas mal d'utilisateurs concernant l'ergonomie et l'environnement de travail, c'est d'ailleurs grâce à ça qu'ils ont percé et trouvé leur public. À tel point que le travail a été repris est intégré à d'autres distributions, y compris Debian et Ubuntu, ce n'est pas rien. Mais ça n'enlève rien au fait que leur gestion "distro" est bancale ce qui est quasi-éliminatoire hélas.

CM63

Mais au fait c'était quoi l'avantage de Mint par rapport à Ubuntu? (à part bien entendu ce dont je parle plus haut, qui est assez secondaire et n'était d'ailleurs pas dans la "vitrine" de Mint)

krodelabestiole

donut a écrittout cela tient de la masturbation intellectuelle ou de la critique gratuite.

pff tu peux te passer de ce type de commentaire stp...
qui pour le coup est franchement gratuit, tout ce qui a été dit jusqu'à présent a été argumenté et sourcé.
par ailleurs si le choix d'un os tient pour toi de la masturbation intellectuelle, tu n'es pas obligé de participer à cette conversation.

[supprimé]

PileOuFace a écritC'est vrai que la gestion "distro" de Mint est très perfectible. En revanche, je les trouve bien meilleurs qu'ubuntu en ce qui concerne les attentes de pas mal d'utilisateurs concernant l'ergonomie et l'environnement de travail, c'est d'ailleurs grâce à ça qu'ils ont percé et trouvé leur public. À tel point que le travail a été repris est intégré à d'autres distributions, y compris Debian et Ubuntu, ce n'est pas rien. Mais ça n'enlève rien au fait que leur gestion "distro" est bancale ce qui est quasi-éliminatoire hélas.

Oui, ils sont pas devenus aussi populaires pour rien. Je pense qu'ils feraient aussi bien de se concentrer sur leur deux DE, Cinnamon et MATE, et laisser les autres distributions les intégrer. Ils n'ont pas les capacités de maintenir un fork complet d'Ubuntu, et l'intérêt est discutable.

CM63 a écritMais au fait c'était quoi l'avantage de Mint par rapport à Ubuntu? (à part bien entendu ce dont je parle plus haut, qui est assez secondaire et n'était d'ailleurs pas dans la "vitrine" de Mint)

Principalement Cinnamon et MATE je pense. Ça plus l'intégration par défaut de logiciels non libres (légalement discutable je crois). Beaucoup de monde semble préférer l'ergonomie des DE par défaut de Mint.

Bien sûr, ça peut aussi se faire sous Ubuntu, c'est juste moins visible.

maxire

Bonjour,

Je viens soutenir Donut qui me semble bien isolé dans cette discussion.

J'ai juste une question.

L'un des nombreux contempteurs de Mint criant au loup dans ce fil de discussion s'est-il donné la peine d'analyser le mode de construction de Mint?

Si cela avait été le cas vous vous seriez aperçu que Mint utilise les dépôts de Canaonical et que donc tout ce qui est mise à jour est pris en compte.

Les paquets spécifiques de Mint sont très peu nombreux.

Mint n'est pas un fork de Ubuntu, c'est une distribution dérivée de Ubuntu avec quelques paquets spécifiques comme Cinnamon et des réglages spécifiques de Apt portant essentiellement sur les priorités de versions à appliquer pour certains paquets.

Je crois que les attaques contre Mint sont d'assez mauvaise foi bien qu'en partie justifiées (sujet secondaire comme mdm).

Je précise que je n'utilise plus Mint, je l'ai utilisé à une époque pour bénéficier d'un meilleur graphisme et de l'environnement Mate.
Depuis je suis passé sous Archlinux.

À tous les critiques je voudrais rappeler que la qualité du noyau Linux est également fortement critiquée par les dévelopeurs de Unix Like comme BSD.
Il est vrai que la lecture des sources de Linux fait peur quant à la faible qualité, à la lisibilité du code (les développeurs système vivent réellement dans un autre monde que nous!).

J'utilise Linux malgré tout à cause du catalogue étoffé d'applications disponibles.

krodelabestiole

donut a écritJe trouve qu'ils ont communiqué assez rapidement et clairement dans cette situation de crise.

en décembre le site est resté une semaine down avant d'avoir la moindre nouvelle.

donut a écritEst-ce que leur site était insuffisamment sécurisé ?

un site suffisamment sécurisé ne tombe pas, ou très partiellement.
en l'occurrence les devs ne savent même pas exactement ce qui leur est arrivé. mais ils parlent d'une faille de... WordPress, la honte totale. WP est un des CMS les plus permissifs (afin de faciliter les updates et la gestion des thème et des extensions), et le plus utilisé, donc clairement le plus attaqué. C'est le dernier truc que tu veux utiliser sur un serveur qui héberge des données sensibles.

I’m answering this on Feb 24th and we have more info. It was a brand new version of WP with no plugins but using a theme called Sydney. That said, there were already PHP backdoors on the forums and we think we had lax file permissions too.

le risque zero n'existe pas, c'est vrai, mais là c'est plutôt l'extrême opposé.

donut a écritLes mesures me semblaient correctes mais pas à la hauteur de leur succès, ce qui demande de l'argent or la distribution est gratuite.

d'un côté leur site est pétri de pubs. de l'autre avec ou sans argent, ça ne change rien à la piètre qualité de la distro et c'est de ça dont on parle.

CercleEuclidien a écritJe pense qu'ils feraient aussi bien de se concentrer sur leur deux DE, Cinnamon et MATE, et laisser les autres distributions les intégrer. Ils n'ont pas les capacités de maintenir un fork complet d'Ubuntu, et l'intérêt est discutable.

complètement d'accord.

Page suivante »