Forum

Reprise du message précédent

Bonjour

marc-andré:

Exact. D'ailleurs, ce sujet préoccupe de plus en plus l'Etat Français qui mobilise et communique de plus en plus auprès des entreprises d'importance. Des recommandations sont transmises pour sensibiliser les DSI. Maintenant, dans la réalité des faits, s'est très difficile de suivre le rythme des mises à jour de sécurité qui cassent parfois le fonctionnement des logiciels et en parallèle suivre les mutations technologique importantes de ces dernières années (Dématérialisation, Virtualisation, Cloud, etc..).

A côté de cela, Microsoft impose désormais l'installation des mises à jour et réduit le délais maintenance. Je vous invite d'ailleurs à lire cet article qui montre le virage pris et ses conséquences.

Personnellement, je ne vais revenir sur l'affaire remontée. Tout a été dit, et le plan d'action est en cours d’exécution. Bon courage aux bénévoles de Mageia.

NB : Pour MLO, on la chance d'avoir Adrien et Xkomodor qui font du grand boulot !! Merci encore les gars !!

Pour ma part j'ai tenté de résister quelque peu dans le fil de discussion de linuxfr.
Bien entendu à chaque fois, je me suis pris des notes négatives. J'en souris presque !

Certes, de la part de mageia.org, il y a quand même eu un gros problème et il me parait assez effarant de donner des dates de fin de maintenance des versions de la distribution et de continuer à utiliser une mageia 1 sur un serveur certes a priori - non critique, mais qui peut l'être quand même dès lors que par ce biais il est possible pour un attaquant d'atteindre toute l'infrastructure. Donc c'est un serveur critique.

Et même si Remi a fini par "poster" sur le blogue pour expliquer la situation, la communication de mageia n'a pas été terrible. Il faudrait désormais une vraie réponse officielle.

Bien entendu, certain vont me considérer peut être "naïf" et que l'on ne vit pas dans un monde de bisounours, pour autant mon objectif était de retourner l'argumentation en disant : on fait quoi ? Et surtout de tenter d'apporter un peu de bienveillance et d'humanité. Cette bienveillance qui manque tant. Même si Mageia a "déconné", il n'en demeure pas moins qu'il y a manière et manière de faire. Derrière la distribution il y a des hommes et des femmes.

Bref l'objectif de l'auteur du post est bien de mettre à mal notre distribution, ce qui prouve qu'elle compte.

Je suis un peu désolé de mon commentaire à Arpinux, peut être un peu hard. Mais voilà nous sommes dans le monde du libre et non dans le monde de l'informatique déloyale.

Comme je l'ai indiqué ici, pour tous ceux qui ne peuvent aider opérationnellement, je propose de faire un don.

Et plus il y aura de personnes qui se manifesteront par ce biais là plus les contributeurs pourront se sentir soutenus.

En contrepartie, bien entendu, je compte - nous comptons - pour que les choses soient bien faites

Édité par TuxMips Le 09/04/2017 à 09h08

bonjour
Vouf
D'ailleurs, ce sujet préoccupe de plus en plus l'Etat Français qui mobilise et communique de plus en plus auprès des entreprises d'importance. Des recommandations sont transmises pour sensibiliser les DSI.

Vu le ton et la manière employée, j'ai pensé à un type de la sécurité d'état.(le lanceur d'alerte)
Il n'a pas à être bienveillant ou malveillant vis à vis de qui que ce soit; s'il détecte un point faible par lequel des ennemis potentiels pourraient causer des dommages, et bien son job est de dégommer ce point faible, sans état d'âme.

J'espère que cet incident ne soit pas fatal pour Mageia que j'apprécie beaucoup.

Faudrait contribuer!

Mais je ne sais pas faire grand chose d'utile et pour ce qui est de l'argent, ça ne semble pas être le problème.

Faudrait acquérir des compétences en administration système!
Moi, qui est déjà beaucoup de mal à m'occuper de ma simple machine!
Mais même à l'époque (des dinosaures) où j'étais dans l'informatique, j'aimais bien développer des applications mais faire du système, ça a toujours été le cauchemar comme pour de nombreux informaticiens.
Le problème reste toujours le même : personne n'aime faire du système car c'est chiant et peu gratifiant...

Bon courage et un grand merci aux administrateurs systèmes.

Pour ce qui concerne l'article sur M$, très intéressant.
Ça confirme le climat de parano induit par l'actualité politique.
Cela veut dire que quelque soit l'OS utilisé, il va falloir faire des MAJ de sécurité sans arrêt; finalement, c'est la technique des rolling realease qui devra se généraliser, cela va être pénible pour tous ceux qui n'aiment pas faire du système c'est à dire la grande majorité des utilisateurs.

stormi:

Il faut donc qu'un responsable, au hasard Admel, il a déjà crée je crois un article sur https://linuxfr.org
qu'il ponde un article pour contrer cette attaque qui n'est autre qu'une attaque fausse.

Car si ce n'est pas la majorité du parc de machines avec ce pépin c'est juste de la diffamation.

Bon j'ai un exemple un peu tiré par les cheveux mais je vais quand même le donner, un mec qui va insulter toute votre famille (dans le but de déclencher une bagarre) si vous ne lui répondez pas de façon énergique en lui rentrant dedans à la 2ème ou 3ème insulte, cela va vous pourrir la vie si vous ne faites rien, il y a un exemple assez concrêt F. fillon qui se fait lyncher par les journalistes et tout ces amis qui le laisse tomber.

Ici cela n'a rien avoir ce n'est pas la même chose mais le résultat risque d'être ressemblant c'est juste le silence qui fait qu'on donne raison à la personne qui n'a rien trouvé de plus intelligent que de balancer ça au public.
Bref quelqu'un doit expliquer de façon à clair que ce n'est pas l'ensemble du parc de machines qui ont un problème
et pas de façon semi-privée ici sur un forum, au minimum en créant un article officiel sur https://linuxfr.org

Non, pas d'article réponse sur linuxfr.org, le sujet s'est enfin calmé, pas besoin de le relancer avec une contre-attaque.

S'il est vrai que seules deux machines étaient en retard de mise à jour, l'une d'elle faisait tourner la plupart des services web comme le wiki ou les forums (pas MLO bien sûr, les autres), ce qui peut potentiellement permettre à un attaquant d'avoir un accès partiel à l'infrastructure dans son ensemble.

Donc oui, dire que toute l'infra de Mageia date de Mathusalem, c'est une exagération. Mais deux machines pas à jour connectées à Internet, c'est déjà assez grave comme ça.

Bon remarque, il y a déjà eu un article pour expliquer le pourquoi du comment:
https://blog.mageia.org/fr/2017/04/05/services-web-mis-hors-ligne-de-facon-preventive/

Alors, ils n'auront qu'à s'en tenir à ça.

Petite remarque complémentaire. Mageia à des dépôts infra qui permettre de porter les mises à jour spécifiquement sur ses serveurs. Ceci a été fait pour les serveurs en cause, par contre je ne sais pas jusqu'à quel moment. Et çà pourra aussi être continué sur Mageia 5 et les serveurs actuels. La fin de vie de Mageia 5 ne signifiera pas que nos serveurs seront en danger le lendemain.