Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 24-06-2015 11:29:27

deuchdeb
Moderato ma non troppo
Lieu : Pays de Cocagne
Distrib. : Jessie 8 + backports
Noyau : linux-image-3.16
(G)UI : KDE4.14 - Mate
Inscription : 13-01-2010

Chromium pour Debian télécharge silencieusement un fichier proprio

Chromium pour Debian télécharge silencieusement un fichier binaire propriétaire.

Je relais ici un article lu sur Developpez.com: http://www.developpez.com/actu/86804/Ch … leur-insu/

La communauté Debian a récemment découvert que la dernière version du navigateur open source Chromium 43 téléchargeait silencieusement une extension (fichier binaire) contenant du code propriétaire au moment de son installation. Cette extension, baptisée « Chrome Hotword Shared Module » , s'intègre avec le microphone pour favoriser l'utilisation de la reconnaissance vocale au sein du navigateur ; permettant ainsi d'écouter les conversations des utilisateurs à leur insu. L'extension arriverait à faire cela en ajoutant à Chromium la célèbre fonctionnalité « OK Google » contenue dans les applications mobiles.

L'annonce du cette opération a été faite par l'utilisateur Yoshino Yoshihito sur la mailing list du projet Debian.

Selon la communauté Linux, le code source de ce module ne leur a pas été parvenu alors que le module continue à apporter des modifications importantes sur le navigateur Chromium, cela en activant le microphone de l'utilisateur sans aucune demande de permission.

Il convient de rappeler que des utilisateurs de Chromium, soucieux de la sécurité de leurs données avaient déjà commencé à réagir par rapport au téléchargement et à l'installation silencieuse de cette extension.

Face à ce problème, Google a répondu que ce module ou extension ne peut fonctionner que si l'utilisateur procède à l'activation de la fonctionnalité « OK Google » pour lancer la recherche vocale.

Réagissant à la réponse de Google, le fondateur du Parti Pirate suédois Rick Falkvinge affirme que Google est toujours en mesure d'écouter les conversations. Selon lui, la fonction de surveillance continue d'être fonctionnelle et le microphone reste ouvert.

Aujourd'hui, il est annoncé que Debian a supprimé le programme à partir de sa version de Chromium. Par ailleurs, Google aurait opté pour une solution plus facile en décidant d'extirper le fichier binaire à partir de la version 45 de Chromium.

Chromium est disponible en téléchargement pour Windows , Linux et Mac OS X.



Autre article sur le sujet: http://www.zdnet.fr/actualites/debian-e … 821076.htm

Hors ligne

#2 24-06-2015 11:54:10

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Chromium pour Debian télécharge silencieusement un fichier proprio

Miam. Merci pour la veille deuchdeb smile

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#3 24-06-2015 12:06:40

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : Chromium pour Debian télécharge silencieusement un fichier proprio

N’oublions pas la source d’origine :
https://bugs.debian.org/cgi-bin/bugrepo … bug=786909
et les réactions à la remontée upstream :
https://code.google.com/p/chromium/issu … ?id=491435

Jouer sous Debian ? Facile !

Hors ligne

#4 24-06-2015 12:25:49

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Chromium pour Debian télécharge silencieusement un fichier proprio

C'est un peu triste comme dialogue de sourds.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#5 24-06-2015 12:36:00

nIQnutn
Modérateur
Lieu : Lyon
Distrib. : Jessie
Noyau : Linux 3.16-amd64
(G)UI : XFCE
Inscription : 16-03-2012
Site Web

Re : Chromium pour Debian télécharge silencieusement un fichier proprio

pour un paquet dans free, c'est pas cool.

J'utilise Iceweasel, mais de temps en temps chromium. J'hésite à le supprimer mais je ne sais pas si ça pose des pb de sécurité.

Hors ligne

#6 24-06-2015 12:47:25

enicar
Membre
Lieu : Grenoble
Distrib. : debian/sid
Noyau : Linux 4.8.10
(G)UI : openbox
Inscription : 26-08-2010

Re : Chromium pour Debian télécharge silencieusement un fichier proprio

Ce qui est bizarre dans chromium :

ls -l /usr/lib/chromium/chrome-sandbox


-rwsr-xr-x 1 root root 18304 juin  20 07:21 /usr/lib/chromium/chrome-sandbox


Tiens, leur « sandbox » est seduid root !!! Franchement, ça ne m'inspire pas du tout confiance !
Ceci dit, je ne sais pas à quoi sert cette « sandbox ». Drôle de notion de bac à sable, qui a besoin
des droits root pour fonctionner. Ça doit être pour accéder à certaines choses inaccessibles autrement.
Et c'est ce qui me pose questions. C'est un véritable virus ce navigateur !


La machine, c'est dépassé ! On va tout remplacer par des humains big_smile

Hors ligne

#7 24-06-2015 13:04:31

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : Chromium pour Debian télécharge silencieusement un fichier proprio

Plus qu’une question de sécurité, c’est ici une question de confiance qui est centrale.
L’équipe derrière chromium n’a pas hésité à activer le téléchargement silencieux de code propriétaire (et donc au comportement impossible à contrôler) sur un projet dit libre. Qui nous dit que c’est la première fois ? Qui nous dit que ce sera la dernière ?

Vous avez voulu faire confiance à Google malgré ce qu’on sait de cette boîte ? Libre à vous mais ne faites pas semblant d’être surpris de l’existence de ce genre de "porte dérobée" alors que ça fait des années qu’on vous répète que c’est leur fonds de commerce…

Dernière modification par vv222 (24-06-2015 13:05:59)


Jouer sous Debian ? Facile !

Hors ligne

#8 24-06-2015 13:12:43

nIQnutn
Modérateur
Lieu : Lyon
Distrib. : Jessie
Noyau : Linux 3.16-amd64
(G)UI : XFCE
Inscription : 16-03-2012
Site Web

Re : Chromium pour Debian télécharge silencieusement un fichier proprio

vv222 a écrit :

Plus qu’une question de sécurité, c’est ici une question de confiance qui est centrale.
L’équipe derrière chromium n’a pas hésité à activer le téléchargement silencieux de code propriétaire (et donc au comportement impossible à contrôler) sur un projet dit libre. Qui nous dit que c’est la première fois ? qui nous dit que ce sera la dernière ?

Vous avez voulu faire confiance à Google malgré ce qu’on sait de cette boîte ? Libre à vous mais ne faites pas semblant d’être surpris de l’existence de ce genre de "porte dérobée" alors que ça fait des années qu’on vous répète que c’est leur fonds de commerce…



Sachant que chromium est dans free ont peu s'attendre à ce que ça soit un peu près clean.
En plus, on installe Chromium et non pas Google Chrome.
Après je veux bien être prudent, mais je fais un minimum confiance à Debian.


edit:ça laisse un choix de navigateur à ..... 1 https://www.debian.org/releases/jessie/ … r-security
j'imagine que les navigateurs en mode texte ne sont pas trop impactés.

Hors ligne

#9 24-06-2015 13:19:42

enicar
Membre
Lieu : Grenoble
Distrib. : debian/sid
Noyau : Linux 4.8.10
(G)UI : openbox
Inscription : 26-08-2010

Re : Chromium pour Debian télécharge silencieusement un fichier proprio

vv222 a écrit :

Vous avez voulu faire confiance à Google malgré ce qu’on sait de cette boîte ? Libre à vous mais ne faites pas semblant d’être surpris de l’existence de ce genre de "porte dérobée" alors que ça fait des années qu’on vous répète que c’est leur fonds de commerce…


En fait, je n'ai jamais fait confiance à google, et je n'utilise chromium que très très rarement.


La machine, c'est dépassé ! On va tout remplacer par des humains big_smile

Hors ligne

#10 24-06-2015 13:34:30

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : Chromium pour Debian télécharge silencieusement un fichier proprio

nIQnutn a écrit :

Sachant que chromium est dans free ont peu s'attendre à ce que ça soit un peu près clean.
En plus, on installe Chromium et non pas Google Chrome.
Après je veux bien être prudent, mais je fais un minimum confiance à Debian.


Je suis le premier à clamer haut et fort ma confiance quasi-aveugle en les choix du projet Debian. Mais ça ne m’empêche pas de penser qu’ils peuvent faire des erreurs.
L’inclusion de chromium dans les dépôts (main ou non-free d’ailleurs) est une de ces erreurs à mon avis.


nIQnutn a écrit :

edit:ça laisse un choix de navigateur à ..... 1 https://www.debian.org/releases/jessie/ … r-security
j'imagine que les navigateurs en mode texte ne sont pas trop impactés.


J’utilise quotidiennement Iceweasel et QupZilla, et à l’occasion links2. Aucun des trois ne m’a jamais fait défaut, et surtout aucun n’installe de binaires propriétaires dans mon dos.


Jouer sous Debian ? Facile !

Hors ligne

#11 24-06-2015 16:11:16

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Chromium pour Debian télécharge silencieusement un fichier proprio

@vv222: les devs de chromium n'ont clairement pas la même notion de « libre » que Debian. Ils ne sont pas nécessairement malveillants pour autant smile
Ceci-dit, ça prouve que chromium mériterait un audit sérieux pour identifier son degré d'éthique libriste smile

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#12 24-06-2015 16:34:10

vv222
Membre
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : >= Linux 4.5.0 (amd64)
(G)UI : Openbox + ROX
Inscription : 18-11-2013
Site Web

Re : Chromium pour Debian télécharge silencieusement un fichier proprio

captnfab a écrit :

les devs de chromium n'ont clairement pas la même notion de « libre » que Debian. Ils ne sont pas nécessairement malveillants pour autant smile


Non, bien sûr, mais ils pavent la voie pour d’éventuelles utilisations réellement malveillantes. Et vu les discussions dans le bug tracker de chromium ils n’en sont pas conscients, ce qui pose un gros problème de mon point de vue.

M’est avis au passage qu’un audit sérieux des sources de chromium amènerait vite à casser le mythe « libre = respectueux de la liberté de l’utilisateur ».


Jouer sous Debian ? Facile !

Hors ligne

#13 24-06-2015 19:30:47

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Chromium pour Debian télécharge silencieusement un fichier proprio

Personnellement, je me sens plus en confiance avec SRWare Iron, j'espère que je ne fais pas fausse route.  hmm

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#14 24-06-2015 20:52:05

nIQnutn
Modérateur
Lieu : Lyon
Distrib. : Jessie
Noyau : Linux 3.16-amd64
(G)UI : XFCE
Inscription : 16-03-2012
Site Web

Re : Chromium pour Debian télécharge silencieusement un fichier proprio

paskal a écrit :

Personnellement, je me sens plus en confiance avec SRWare Iron, j'espère que je ne fais pas fausse route.  hmm


quel est la réactivité d'un fork d'un fork de Google Chrome en cas de vulnérabilité ?

Hors ligne

#15 24-06-2015 21:19:07

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Chromium pour Debian télécharge silencieusement un fichier proprio

Iron est un fork de chromium, au même titre que chrome.

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#16 25-06-2015 00:00:47

Severian
Membre
Distrib. : Debian GNU/Linux 8.6 (jessie)
Noyau : Linux 4.6.0-0.bpo.1-amd64
(G)UI : Openbox 3.6.1-2
Inscription : 13-12-2014

Re : Chromium pour Debian télécharge silencieusement un fichier proprio

et là je me demande si ça touche opera (basé sur chromium)

"il est urgent d'attendre" (bendia)
ob3-debian2-150x50.png

Hors ligne

#17 27-06-2015 01:13:50

Ir0nsh007er
Membre
Lieu : Montréal, PQ, Canada
Distrib. : Debian GNU/Linux 9.0 Stretch/Sid
Noyau : 4.7.0-1-amd64 #1 SMP Debian 4.7.5-1 (2016-09-26) x
(G)UI : Xfce 4.12.3
Inscription : 30-04-2015
Site Web

Re : Chromium pour Debian télécharge silencieusement un fichier proprio

paskal a écrit :

Iron est un fork de chromium, au même titre que chrome.


Non je ne suis pas un fork de chromium tongue


Moé avec mon P4: Intel(R) Pentium(R) 4 CPU 3.40GHz, Mémoire: 6G DDR2, Carte Graphique: NVIDIA Corp GT216 [GeForce GT 220] (rev a2)
Ir0nsh007er (49 72 30 6E 73 68 30 30 37 65 72).  Mon CV
Noob un jour, noob toujours cool
01001001 01110010 00110000 01101110 01110011 01101000 00110000 00110000 00110111 01100101 01110010

Hors ligne

#18 27-06-2015 01:56:12

martinux_qc
Administrateur
Lieu : Montréal (Québec)
Distrib. : Sid
Noyau : Linux 4.7.0-1-amd64
(G)UI : XFCE 4.12
Inscription : 12-10-2008

Re : Chromium pour Debian télécharge silencieusement un fichier proprio

Ir0nsh007er a écrit :

paskal a écrit :

Iron est un fork de chromium, au même titre que chrome.


Non je ne suis pas un fork de chromium tongue



On fait dans l'esprit de bottine tongue .... en plus de polluer ce fil big_smile

Dernière modification par martinux_qc (27-06-2015 01:56:57)


"L'éducation vise à former des citoyens pas trop tatas et non pas à envoyer le plus de tatas possible à l'université."
Pierre Foglia (Journaliste à la retraite à La Presse)
Note : au Québec, le mot tata a un sens péjoratif qui sert à désigner une personne un peu idiote ou insignifiante. D'où les expressions familières : Espèce de grand, de gros tata! Être, avoir l'air tata.

Hors ligne

Pied de page des forums