logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 07-08-2024 21:47:05

Jean-Pierre Pinson
Adhérent(e)
Lieu : Orléans
Distrib. : Debian 64bits Ordi.: Thinkpad T440p
Noyau : de cerise
(G)UI : gnome
Inscription : 04-03-2017
Site Web

Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?
Réponse: parce que c'est toujours possible d'introduire un code malicieux dans une application.
"Il est toujours préférable d'utiliser des logiciels depuis les dépôts officiels de Debian, si cela est possible. Les paquets des dépôts Debian sont connus pour fonctionner et s'installer correctement. Utiliser seulement des logiciels issus des dépôts Debian est beaucoup plus sûr que l'installation depuis des sites Web pris au hasard. Ils pourraient contenir des logiciels malveillants et ouvrir des failles de sécurité."
Conseils aux nouveaux arrivants pour ne pas endommager leur système Debian:
https://wiki.debian.org/fr/DontBreakDebian

Dernière modification par Jean-Pierre Pinson (08-08-2024 14:16:39)


Debian
Bureau : gnome
Ordinateur : Thinkpad T440P libreboot

Hors ligne

#2 07-08-2024 22:20:51

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

Ça fonctionne pour tout logiciel, peu importe la forme de sa distribution.

Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

En ligne

#3 08-08-2024 03:09:04

Jean-Pierre Pinson
Adhérent(e)
Lieu : Orléans
Distrib. : Debian 64bits Ordi.: Thinkpad T440p
Noyau : de cerise
(G)UI : gnome
Inscription : 04-03-2017
Site Web

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

vv222 a écrit :

Ça fonctionne pour tout logiciel, peu importe la forme de sa distribution.



Merci pour l'info vv222 smile


Debian
Bureau : gnome
Ordinateur : Thinkpad T440P libreboot

Hors ligne

#4 08-08-2024 04:04:32

Jean-Pierre Pinson
Adhérent(e)
Lieu : Orléans
Distrib. : Debian 64bits Ordi.: Thinkpad T440p
Noyau : de cerise
(G)UI : gnome
Inscription : 04-03-2017
Site Web

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?


Debian
Bureau : gnome
Ordinateur : Thinkpad T440P libreboot

Hors ligne

#5 08-08-2024 04:12:54

Jean-Pierre Pinson
Adhérent(e)
Lieu : Orléans
Distrib. : Debian 64bits Ordi.: Thinkpad T440p
Noyau : de cerise
(G)UI : gnome
Inscription : 04-03-2017
Site Web

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?


Debian
Bureau : gnome
Ordinateur : Thinkpad T440P libreboot

Hors ligne

#6 08-08-2024 04:26:32

Jean-Pierre Pinson
Adhérent(e)
Lieu : Orléans
Distrib. : Debian 64bits Ordi.: Thinkpad T440p
Noyau : de cerise
(G)UI : gnome
Inscription : 04-03-2017
Site Web

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?


Debian
Bureau : gnome
Ordinateur : Thinkpad T440P libreboot

Hors ligne

#7 08-08-2024 04:56:35

Jean-Pierre Pinson
Adhérent(e)
Lieu : Orléans
Distrib. : Debian 64bits Ordi.: Thinkpad T440p
Noyau : de cerise
(G)UI : gnome
Inscription : 04-03-2017
Site Web

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

7.7. Bac à sable

De nombreuses applications sous Linux, principalement basées sur une interface graphique, sont disponibles dans des formats binaires à partir de sources autres que Debian :

    AppImage – applications Linux qui s'exécutent partout  ;

    FLATHUB – applications pour Linux, fonctionnant pour nous ;

    snapcraft – magasin d’applications pour Linux .

[Avertissement]     Avertissement

Les binaires de ces sites peuvent inclure des logiciels propriétaires non libres.

https://www.debian.org/doc/manuals/debi … l#_sandbox

Debian
Bureau : gnome
Ordinateur : Thinkpad T440P libreboot

Hors ligne

#8 08-08-2024 10:33:41

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

Jean-Pierre Pinson a écrit :

FLATHUB – applications pour Linux, fonctionnant pour nous ;


big_smile big_smile big_smile lol
blague à part, Jean-Pierre, quand il y a une erreur de frappe, tu peux la corriger avant de la recopier smile (ou/et envoyer un petit mot à l'équipe de traduction fr de Debian pour leur signaler la coquille smile )
                     *********
sinon,

Jean-Pierre Pinson a écrit :

c'est toujours possible d'introduire un code malicieux dans une application.


vv222 a écrit :

Ça fonctionne pour tout logiciel, peu importe la forme de sa distribution.


comme pour XZ ? tongue
ou n'y a-t-il eu que les gens utilisant Debian SiD qui ont été impacté(e)s ? roll
+++ et justement, dans le cas des snaps, flats ou app images, comment ça se passe ?
Si ces applications embarquent toutes leurs bibli etc avec elles pour fonctionner dans un bac à sable en autonome (si j'ai bien compris), avec une bibliothèque (?/logiciel-utilitaire) comme XZ, lors d'une mise à jour, y'a toutes les applis snap, flat et app qui viennnent se mettre à jour leur bibli vérolée, ou on a le risque d'avoir un truc dans un bac à sable utilisant des trucs bogués ou vérolés dans son système ?

Hors ligne

#9 08-08-2024 10:52:03

Jean-Pierre Pinson
Adhérent(e)
Lieu : Orléans
Distrib. : Debian 64bits Ordi.: Thinkpad T440p
Noyau : de cerise
(G)UI : gnome
Inscription : 04-03-2017
Site Web

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

ubub a écrit :

Jean-Pierre Pinson a écrit :

FLATHUB – applications pour Linux, fonctionnant pour nous ;


big_smile big_smile big_smile lol
blague à part, Jean-Pierre, quand il y a une erreur de frappe, tu peux la corriger avant de la recopier smile (ou/et envoyer un petit mot à l'équipe de traduction fr de Debian pour leur signaler la coquille smile )
                     *****



Désolé mais je ne vois pas où est l'erreur de frappe ubub, dis-moi ce qu'il faut mettre et je corrigerai.

En tout cas la phrase qui est importante c'est celle-là: Les binaires de ces sites peuvent inclure des logiciels propriétaires non libres.

Dernière modification par Jean-Pierre Pinson (08-08-2024 10:56:32)


Debian
Bureau : gnome
Ordinateur : Thinkpad T440P libreboot

Hors ligne

#10 08-08-2024 11:01:31

Jean-Pierre Pinson
Adhérent(e)
Lieu : Orléans
Distrib. : Debian 64bits Ordi.: Thinkpad T440p
Noyau : de cerise
(G)UI : gnome
Inscription : 04-03-2017
Site Web

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

CVE-2024-3094 ubub.

Dernière modification par Jean-Pierre Pinson (08-08-2024 13:01:52)


Debian
Bureau : gnome
Ordinateur : Thinkpad T440P libreboot

Hors ligne

#11 08-08-2024 11:12:23

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

... c'était .... smile smile
Mais, justement, qu'en est-il de tout ces flats et snaps ? xz, par exemple, doit être utilisé par moult applications ....

Hors ligne

#12 08-08-2024 12:10:48

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

ubub a écrit :

comme pour XZ ? tongue
ou n'y a-t-il eu que les gens utilisant Debian SiD qui ont été impacté(e)s ? roll


Debian stable n’a pas été impactée.
Mais la source de cette attaque n’était de toutes manières pas technique, elle aurait pu passer peu importe les précautions mises en place côté logiciel et infrastructure.

ubub a écrit :

+++ et justement, dans le cas des snaps, flats ou app images, comment ça se passe ?
Si ces applications embarquent toutes leurs bibli etc avec elles pour fonctionner dans un bac à sable en autonome (si j'ai bien compris), avec une bibliothèque (?/logiciel-utilitaire) comme XZ, lors d'une mise à jour, y'a toutes les applis snap, flat et app qui viennnent se mettre à jour leur bibli vérolée, ou on a le risque d'avoir un truc dans un bac à sable utilisant des trucs bogués ou vérolés dans son système ?


Au moins pour Flatpak et AppImage, il n’y a aucune règle (c’est possiblement mieux encadré avec snap). Chacun maintient son paquet comme il le souhaite, en mettant ou pas à jour les dépendances embarquées avec régularité. Si on fouille du côté de Flatpak et AppImage, je pense que pour reprendre ton exemple on pourrait y retrouver plusieurs exemplaires de la version compromise de xz encore aujourd’hui.


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

En ligne

#13 08-08-2024 12:44:57

Jean-Pierre Pinson
Adhérent(e)
Lieu : Orléans
Distrib. : Debian 64bits Ordi.: Thinkpad T440p
Noyau : de cerise
(G)UI : gnome
Inscription : 04-03-2017
Site Web

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

Cette alerte ne concerne que debian testing, unstable et experimentale qui ont été retro-gradé pour corriger la problématique, la version stable n’étant pas impacté

https://lists.debian.org/debian-securit … 00057.html

Dernière modification par Jean-Pierre Pinson (08-08-2024 13:05:34)


Debian
Bureau : gnome
Ordinateur : Thinkpad T440P libreboot

Hors ligne

#14 08-08-2024 13:51:55

Jean-Pierre Pinson
Adhérent(e)
Lieu : Orléans
Distrib. : Debian 64bits Ordi.: Thinkpad T440p
Noyau : de cerise
(G)UI : gnome
Inscription : 04-03-2017
Site Web

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

Conseils aux nouveaux arrivants pour ne pas endommager leur système Debian:
https://wiki.debian.org/fr/DontBreakDebian

Debian
Bureau : gnome
Ordinateur : Thinkpad T440P libreboot

Hors ligne

#15 08-08-2024 14:31:34

agp91
Membre
Distrib. : GNU Debian stable
(G)UI : xfce
Inscription : 12-02-2023

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

vv222 a écrit :

Chacun maintient son paquet comme il le souhaite, en mettant ou pas à jour les dépendances embarquées avec régularité.

En mon sens c'est un véritable soucis.

La multiplication des sources de confiances qui est nécessaires avec Flatpak, AppImage, Snap est un soucis de sécurité.
Plus on les multiplies, plus ça devient dangereux (ont ne peux pas faire confiance à tous ceux qui se disent de confiance).
Il n'est pas rare de trouver un acteur de la sécurité corrompu à son insu (j'ai la malchance roll de disposé de ce livre : Rootkits, infiltration du noyau.... Ho ça ne parle pas de Linux mais y est expliqué que nos machines sont déjà corrompues à l'achat; avec ou sans OS  mad )

Déjà qu'il faut faire un effort (fermer les yeux) pour faire confiance à une seule source.
On se souvient des clés révoquées de Dmitry Bogatov (https://debian-facile.org/viewtopic.php?id=17623).
Un trousseaux de clé n'est qu'un ensemble de fichier qui peut sans mal être récupérés par celui qui s'en donne les moyens (même si cryptés dans une clé mise au tour du coup lol ).

Dernière modification par agp91 (08-08-2024 14:49:52)


La liberté est gratuite et accessible à tous. Sinon ça n'en est pas.

En ligne

#16 08-08-2024 14:47:39

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

agp91 a écrit :

En mon sens c'est un véritable soucis.

La multiplication des sources de confiances qui est nécessaires avec Flatpak, AppImage, Snap est un soucis de sécurité.
Plus on les multiplies, plus ça devient dangereux (ont ne peux pas faire confiance à tous ceux qui se disent de confiance).


Je suis d’accord, et c’est ma raison principale pour n’utiliser qu’un seul et unique gestionnaire de paquets : apt.
Pas de Flatpak, pas d’AppImage, mais pas non plus de pip (Python), cargo (Rust) ou npm (JavaScript) par exemple.

agp91 a écrit :

Un trousseaux de clé n'est qu'un ensemble de fichier qui peut sans mal être récupérés par celui qui s'en donne les moyens (même si cryptés dans une clé mise au tour du coup lol ).


Je souhaite quand même bonne chance à qui voudrait voler les clés que j’utilise pour signer des paquets à destination des dépôts Debian offficiels, ça nécessiterait des moyens qui sont très loin d’être à la portée de n’importe qui wink

(et pour bien leur compliquer la tâche ça ne leur permettrait de corrompre qu’un nombre très restreint de paquets, qui de plus sont très peu installés par les utilisateurs de Debian)


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

En ligne

#17 08-08-2024 14:55:33

agp91
Membre
Distrib. : GNU Debian stable
(G)UI : xfce
Inscription : 12-02-2023

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

vv222 a écrit :

Je souhaite quand même bonne chance à qui voudrait voler les clés que j’utilise pour signer des paquets à destination des dépôts Debian offficiels, ça nécessiterait des moyens qui sont très loin d’être à la portée de n’importe qui wink

C'est pour cela que j'ai arrêté la secu... Ca rend fou... Et parano
Maintenant je suis un vrai pot de miel lol

vv222 a écrit :

(et pour bien leur compliquer la tâche ça ne leur permettrait de corrompre qu’un nombre très restreint de paquets, qui de plus sont très peu installés par les utilisateurs de Debian)

Sur mais qu'en est-il des autres acteurs ?


La liberté est gratuite et accessible à tous. Sinon ça n'en est pas.

En ligne

#18 08-08-2024 15:27:30

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

agp91 a écrit :

Sur mais qu'en est-il des autres acteurs ?


Ceux que je connais prennent la sécurité de leurs clés très au sérieux. À savoir que Debian nous distribue sur demande des tokens physiques pour améliorer cette sécurité.

Mais je ne connais pas non plus tout le monde au sein de Debian, loin de là. Donc une bonne partie de la confiance que j’accorde est extrapolée à partir des comportements des personnes que je connais.


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

En ligne

#19 08-08-2024 16:20:43

agp91
Membre
Distrib. : GNU Debian stable
(G)UI : xfce
Inscription : 12-02-2023

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

Je suis certain (j'aime le croire) que les acteurs Debian prennent très au sérieux la sécurité de leurs clés. Mais qu'en ai t-il des acteurs eux mêmes ?
Je ne connais qu'un seul acteur du monde informatique (Andrew Tanenbaum) qui à dénoncé  publiquement (lors d'un interview) que certaines organisations gouvernementales lui avaient demandé de modifier ces systèmes pour les rendre invulnérable. Je n'arrive pas (plus) à trouver quoi que ce soit la dessus. En tout cas je ne pense pas que ce soit le seul qui est été sollicité. Beaucoup ont du l'être et se sont tus.
Mais là aussi j'aime croire  roll que tous chez Debian et ceux qui développent les soft utilisés par Debian sont intègres.

Dernière modification par agp91 (08-08-2024 16:26:26)


La liberté est gratuite et accessible à tous. Sinon ça n'en est pas.

En ligne

#20 09-08-2024 09:51:54

saitama-san
Membre
Distrib. : stable
(G)UI : gnome
Inscription : 28-07-2019

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

Mais je ne connais pas non plus tout le monde au sein de Debian, loin de là. Donc une bonne partie de la confiance que j’accorde est extrapolée à partir des comportements des personnes que je connais.


certains paquets sont installés partout, donc c'est sur ces personnes que repose l'essentiel de la sécurité.
je n'ai pas d'ordre de grandeur mais certains paquets sont à mon avis peu utilisé et essentiellement à destination des particulier (par exemple les jeux).

j'imagine que c'est déjà théorisé mais à part la confiance je ne vois pas comment gérer ce type de projet.
je dirai que ça se rapproche du consensus scientifique.

L'attaque de la supply chain est une réalité et vv222 à un avis très tranché.
Pour autant, je n'aurai aucune crainte sur certains logiciel du moment que les développeurs ont la compétence de mettre à disposition via différents canaux. 
sur la sécurité de apt, je ne suis pas certains qu'elle soit supérieur à pip, npm, cargo ou autre hmm  c'est les acteurs et les contraintes pour distribuer des logiciels qui assurent la sécurité.

Il faut d'abord n'installer que ce qui est essentiel et pas passer sont temps à installer tout et n'importe quoi sur sa machine. sinon, faire ça sur un environnement qui ne risque rien.

Hors ligne

#21 09-08-2024 10:14:46

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : Debian 12
Noyau : Linux 6.1.0-26-amd64
(G)UI : Gnome - mutter 43.8-0+deb12u1
Inscription : 15-02-2016

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

Ce n'est pas que je ne fais pas confiance aux logiciels snap, c'est que je trouve que parfois ils fonctionnement mal, ce n'est pas si optimisé et intégré qu'un paquet Debian dans l'environnement créé par les autres paquets Debian. Je trouve un forum où un utilisateur récapitule tous les défauts des snap ( j'en avais oublié ! ) :


Il y a tellement de cas bien documentés où les Snaps sont nuls. Permettez-moi d'en évoquer quelques-uns ici :

Démarrage lent.

Pas de possibilité de contrôler les mises à jour, c'est-à-dire des mises à jour forcées que l'on ne peut que retarder.

Impossibilité de contrôler ce qui est intégré à l'application.

De nombreuses applications ayant les mêmes dépendances apportent de multiples copies des mêmes dépendances.

Le créateur d'une application a trop de contrôle sur l'environnement de votre PC.

Les thèmes ne s'appliquent pas correctement aux applications Snap.

Si vous voulez désinstaller et purger définitivement snap et snapd : https://debian-facile.org/doc:systeme:s … nitivement

Si tout le monde pense pareil, c'est qu'aucune personne ne pense beaucoup.
 Intel® Core™2 Duo E8500  × 2
4,0 Gio DDR3 - 1333 MHz
Et si vous cherchiez votre solution dans le wiki => https://debian-facile.org/accueil palestine.png

Hors ligne

#22 09-08-2024 12:10:30

agp91
Membre
Distrib. : GNU Debian stable
(G)UI : xfce
Inscription : 12-02-2023

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

saitama-san a écrit :

Pour autant, je n'aurai aucune crainte sur certains logiciel du moment que les développeurs ont la compétence de mettre à disposition via différents canaux. 
sur la sécurité de apt, je ne suis pas certains qu'elle soit supérieur à pip, npm, cargo ou autre hmm  c'est les acteurs et les contraintes pour distribuer des logiciels qui assurent la sécurité.

Pour pip, cargo, npm, etc, c'est la multiplication des sources de confiance, qui pose problème (une de plus par soft installé).
En sachant que : La plus part des développeurs ne sont pas au fait de la sécurité (sinon nous aurions des softs sécurisés et il y aurait pas de soucis de sécurité). Quand au packageurs (les constructeurs de paquet) peuvent ne pas être les développeurs des softs qu'ils empaquettent.

Il y en fait très peu (pour ne pas dire pas) de logiciel libre qui ont subit un audit de sécurité. Encore moins qui en subit à chaque version.
Un autre soucis est que les failles de sécurité d'un soft ,ne sont pour la plus part divulgués, qu'une fois que le créateur du soft ai porté correction.

--gilles-- a écrit :

Impossibilité de contrôler ce qui est intégré à l'application.

C'est le soucis de toutes containérisations qui ne soit pas réalisé par soi même. On peut citer : snap, flatpack, mais aussi docker, kbernette, lxd (lxc sauce canonical) et même lxc si le container tourne sous une autre autorité que root (tout comme avec lxd, les dépôts du mina installé dans un contraire ne sont alors plus ceux de Debian) et j'en oubli.

Finalement, VM, containers, ou toutes couches intermédiaires complexifient le système (ce qui n'est jamais bon en terme de sécurité). Et cache à l’hôte ce qui est réaliser dans les isolations. Il est grandement plus sage d'avoir un simple système qui fait tourner des services ou des applicatifs correctement configurés.

En fait les container sont issus de chroot, qui au départ n'a pas été créé pour la sécurité, mais pour l'usage pratique des développeurs, pour tester sans altérer le système.

Snap, faltpac, appimage, etc, ne sont pas développés pour la sécurité mais pour faciliter la diffusion des softs.

Dernière modification par agp91 (09-08-2024 12:50:36)


La liberté est gratuite et accessible à tous. Sinon ça n'en est pas.

En ligne

#23 09-08-2024 12:14:42

TyZef
Membre
Distrib. : Debian_12_Ka’ay
Inscription : 09-05-2013

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

agp91 a écrit :

]C'est pour cela que j'ai arrêté la secu...


TheMatrixAnimated.gif

Hors ligne

#24 09-08-2024 12:59:22

agp91
Membre
Distrib. : GNU Debian stable
(G)UI : xfce
Inscription : 12-02-2023

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

@TyZef : Le b-a-ba est imprimé dans ma rom. J'y peu plus rien tongue

Dernière modification par agp91 (09-08-2024 13:01:23)


La liberté est gratuite et accessible à tous. Sinon ça n'en est pas.

En ligne

#25 09-08-2024 21:17:14

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : Flatpak AppImage et Snap pourquoi ne pas leurs faire confiance ?

agp91 a écrit :

Quand au packageurs (les constructeurs de paquet) peuvent ne pas être les développeurs des softs qu'ils empaquettent.


Pour moi c’est la situation idéale. En tant que développeur on a forcément des œillères au sujet de nos propres logiciels (moi le premier), c’est donc une très bonne chose que les empaqueteurs soient des personnes distinctes qui vont avoir une lecture différente des problématiques liées à la distribution.

Un très bon développeur peut en même temps être un très mauvais empaqueteur/distributeur. C’est d’ailleurs ce qui explique selon moi la prolifération de Flatpak et consorts.


Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

En ligne

Pied de page des forums