Dans un article de blog en réponse à la controverse sur la confidentialité d'Amazon , Mark Shuttleworth a écrit:
Ne nous faites pas confiance? Euh, nous avons la racine . Vous nous faites déjà confiance avec vos données. Vous nous faites confiance pour ne pas bousiller votre machine à chaque mise à jour. Vous faites confiance à Debian et vous faites confiance à une grande partie de la communauté open source. Et surtout, vous nous faites confiance pour y remédier lorsque, étant humains, nous nous trompons.
Que veut-il dire par "nous avons racine"? Certes, Canonical n'a pas accès root à toutes les machines exécutant Ubuntu?
Le libellé de cette phrase peut sembler un peu inquiétant car, d'une certaine manière, cela implique qu'ils ont un accès root en tant que porte dérobée déjà installée et utilisée. La vérité est que c'était juste une mauvaise formulation de Mark et ce qu'il a essayé d'expliquer, c'est que, oui, ils ont un accès root potentiel à votre machine parce que chaque mise à jour de package s'exécute en tant que root et à ce stade, ils peuvent faire et installer tout ce qu'ils veulent ou tout ce qui pourrait potentiellement se faufiler dans un projet open source.
Si vous parcourez également les commentaires sur ce billet de blog, vous trouverez Mark donnant la réponse à votre question (son nom d'utilisateur dans les commentaires est "marque")
Quelqu'un lui a demandé:
Sebastian dit: ( http://www.markshuttleworth.com/archives/1182#comment-396204 )
23 septembre 2012 à 11h42
Euh. Tu as racine? Détails s'il vous plaît.
puis Mark a répondu:
la marque dit: ( http://www.markshuttleworth.com/archives/1182#comment-396225 )
23 septembre 2012 à 13h00
@ Sebastian - Chaque mise à jour de package s'installe en tant que root.
Vous leur faites confiance car ils distribuent le logiciel qui exécute votre ordinateur. Leurs processus fonctionnent en tant que root: vous avez pour leur faire confiance parce que l'ordinateur est entre leurs mains, plus que dans le vôtre. Pendant que vous êtes l'administrateur de la machine, vous utilisez leurs outils pour effectuer vos tâches d'administrateur.
Le point qu'il fait valoir est que vous ne pouvez exécuter qu'un système d'exploitation distribué par un fournisseur auquel vous faites entièrement et entièrement confiance, car le fournisseur dispose d'une puissance illimitée par rapport aux ordinateurs sur lesquels le système d'exploitation fonctionne.
Dans ce cas, il souligne l'absurdité apparente des cris selon lesquels Canonical envahit la vie privée de ses utilisateurs via l'intégration d'Amazon. Si l'entreprise voulait envahir votre vie privée, elle pourrait le faire de manière beaucoup plus subtile et détournée. Mais, il arrive, vous faites confiance en Canonical; vous avez depuis le début si vous exécutez Ubuntu sur votre ordinateur comme le montre le fait que vous exécutez Ubuntu sur votre ordinateur. Donc, si vous leur faites déjà confiance pour faire tout correctement, vous devez leur faire confiance pour faire ceci à droite.
Ce n'est pas un argument parfait, et je ne suis pas sûr que ce soit même un argument valide . Mais c'est son argument.
Fondamentalement, chaque disto a ses propres serveurs de référentiel, qui sont l'option par défaut pour le système installé pour récupérer les packages. Cela signifie que lorsque vous installez un nouveau package ou téléchargez des mises à jour, celles-ci sont téléchargées à partir de ces référentiels.
Vous (nous) faites confiance aux responsables du référentiel que les packages qu'ils téléchargent ne sont pas malveillants. La plupart des dépôts officiels offrent les sources aux packages disponibles, vous pouvez donc théoriquement télécharger les sources pour voir ce qu'il fait et les compiler vous-même. Mais personne ne fait ça.
Il y a quelque temps, la plupart des référentiels de packages ont implémenté une fonction de signature de packages. Chaque importateur de packages possède une clé de signature personnelle avec laquelle il signe ses packages avant de les télécharger sur le référentiel. Cela empêche un attaquant malveillant (qui s'est introduit dans le serveur de référentiel) de servir ses packages modifiés. Cela n'affecte cependant pas les actions de l'uploader, qui pourrait, s'il le souhaitait, diffuser un package modifié.
La façon dont la gestion des packages fonctionne dans la plupart des distos consiste à installer un package à l'échelle du système avec des privilèges root. Chaque package a des hooks qui doivent être exécutés avant et après l'installation pour sa configuration correcte, et ceux-ci s'exécutent également avec les privilèges root.
Vous pouvez donc, encore une fois théoriquement, mettre à jour votre système, télécharger un package malveillant sans même le savoir.
Le point que Shuttleworth essayait de faire valoir est que s'ils, en tant que Canonical, voulaient exécuter quelque chose de malveillant sur nos systèmes, ils ont déjà un moyen.
Le programme d'installation et le gestionnaire de paquets d'Ubuntu s'exécutent en tant que root. Ils doivent: c'est la seule façon dont il peut installer un système d'exploitation. Il installe également des programmes qui s'exécutent en tant que root. Les autres distributions Linux (et d'autres systèmes d'exploitation, d'ailleurs) ne sont pas différentes, même si les détails exacts peuvent changer un peu: Ubuntu se trouve juste être dans la portée de cette discussion. Il n'y a fondamentalement aucun moyen de contourner cela, car une partie de l'intérêt d'avoir un compte root est que personne d'autre ne puisse faire ces choses, mais quelqu'un doit être capable de les faire.
Pour cette raison, il serait trivial pour le fabricant d'un système d'exploitation de se glisser dans une porte dérobée, et il y a de fortes chances que vous ne le remarquiez même pas. Pour des raisons pratiques, il n'y a aucun moyen de contourner cela. Vous pouvez obtenir sorte de fermer si vous avez construit votre système vous-même à l'aide de Linux From Scratch, mais cela nécessite de construire votre système vous-même, et tout ce qui implique (et en fait, la méthode LFS vous oblige à le faire deux fois) . Ce n'est pas quelque chose que la plupart des gens ont le temps, l'argent ou l'expertise pour faire, et même s'ils l'ont fait, ce n'est toujours pas une méthode infaillible pour répondre à cette préoccupation. Le résultat final est que vous n'avez pratiquement pas d'autre choix que de faire confiance au fabricant de votre système d'exploitation.
Le corollaire à cela est que vous devez vous assurer que le fabricant de votre système d'exploitation est une personne de confiance. C'est dans cette partie que l'argument de Shuttleworth ne tient pas si bien. Sa position ressemble beaucoup plus à une confrontation "vous devez de toute façon nous faire confiance, alors vous devriez simplement y faire face" au lieu d'une tentative de répondre, voire de reconnaître, les préoccupations des gens.
Chaque fois que vous exécutez Sudo apt-get upgrade
vous téléchargez un .deb
package à partir des référentiels Ubuntu et laisser le programme d'installation s'exécuter sous root
(vous savez, Sudo
) pour l'installer. Si Ubuntu voulait manipuler l'un des packages et inclure une porte dérobée, ils le peuvent, et vous ne le saurez probablement jamais.
Implicitement, vous faites confiance à Ubuntu pour ne pas inclure de porte dérobée dans ces packages.