Forum

Bonjour,

Est-ce qu'Android c'est de la "merde"?
Je pèse mes mots quand j'écris ça, car il n'y a pas d'autre terme.

Je viens de voir une vidéo sur Youtube d'une vingtaine de minutes, d'une émission que je ne regarde pourtant jamais.
On voit un jeune homme qui s'appelle Idriss pirater en direct un smartphone!?!

On dirait que de passer à une distribution Linux qui semble très sécurisé à un système Android, où on voit des applications qui demandent toutes les autorisations possibles et imaginables, on se retrouve avec le pire des systèmes d'exploitation!
On nous dit :"Les systèmes Android et Ios sont inviolable" et en fin de compte c'est tout l'inverse.

Qu'est-ce qui ne va plus avec Android?

Bonjour,

Dans le cadre de la vidéo, dés les premières minutes ( je n' ai pas regardé la vidéo en entier) il est précisé que qu' une application a été installée suite à un clic sur un lien...

Dans ce cas de figure, cela implique la "complicité" volontaire ou involontaire de l' utilisateur et n' importe quel système peut être vulnérable. S' il existe une faille 0-day qui permet une élévation de privilège à distance, alors rien n' empêche de rentrer dans un système puis de faire ce que l' on veut avec celui ci.

Édité par nic80 Le 13/11/2021 à 12h49

Bonjour

Déjà, les mecs ont cliqués sur un lien, donc oui forcément, c'est facile. Sur Mageia tu n'auras pas accès au système sans le mot de passe root (et encore il existait un bug de sudo sur Ubuntu qui provoquait une escalade de privilège. Mais par contre récupérer tes documents avec un programme qui s'exécuterait en user ça reste possible. Tout comme des keylogers ou autres. Bon, j'ai arrêté au bout de 10 minutes, ça m'énervait ce truc.

Une remarque intéressante que j'avais lu à propos de Linux. Pourquoi l'ajout de dépôt ou l'installation de programme est réservé à l'administrateur (ou à root) ? Car si un utilisateur pouvait le faire, il lui suffirait d'ajouter un programme qui monterait ses privilèges pour lui donner l'accès administrateur et donc le contrôle de la machine.

Elle ne sont pas parfaites mais Micode fait quelques vidéos intéressantes sur la sécurité.

Oui, comme vous dites, faut "cliquer" sur un lien.
Mais on ne fait que ça sur un site internet par exemple de cliquer sur un lien.
Nous on est averti, et on regarde toujours sur quoi on clique.
Mais bon, ce que l'on entend sur cette vidéo ne devrait pas être possible.

Pour en revenir à Android, j'ai toujours trouvé drôle au début que c'était sorti, de pouvoir installer tout et n'importe quoi à partir d'un magasin même s'il vient de chez Google, alors qu'on n'est pas root!
Et qu'en plus fallait donner des autorisations!

Tout ça n'a rien à voir avec notre manière d'utiliser nos distributions.
Mais bon, on en est là et moi aussi il me faut un smartphone pour mon travail, donc j'en reste là.
Dommage tout ça.

Jybz t'expliquera très bien ce qu'il en est sur Android. . On est là face à différentes approches de la sécurité. Par exemple, sous Mageia, tu peux installer des Flatpak sans être root. Je dirais qu'on a globalement trois visions. Celle du compte root telle que pratiqué chez Mageia ou Red Hat Entreprise Linux, elle de l'administrateur avec des droits temporaire tel que cela existe sous Debian, Ubuntu et celle du bac à sable comme flatpak (je suppose qu'Android fonctionne à peu près pareil).
Dans la première approche, tu as un compte root séparé qui a tous les droits. Dans la seconde (celle de sudo), tu définis un ou plusieurs administrateurs dont le compte peut temporairement prendre les droits de super utilisateur du système. Enfin dans la dernière, tes logiciels sont clairement séparés les uns des autres et du système. Ils n'interagissent avec lui et avec l'espace utilisateur que via un ensemble de permissions que leur a donné le concepteur et qui ont été acceptées à l'installation par l'utilisateur. Le débat sur l'approche la plus sécuritaire est loin d'être clos.

Mageia fonctionne de la même manière sauf que l'on utilise un compte root. Tu télécharges des paquets fournis par Mageia qui viennent de miroirs donnés par la distribution. Tu fais confiance à ces miroirs et surtout aux clefs GPG des paquets qui certifient qu'ils proviennent de Mageia. Tu n'as pas d'autorisations à donner vu que le logiciel étant installé en root, il a théoriquement accès à tout.

Tu peux tout à fait utiliser des Android alternatifs. Tu as celui de LineageOS et celui de murena (alias /e/ OS) qui te propose même des téléphones prêt à l'emploi. Tu resteras sous Android, la plupart des applications fonctionneront, mais tu seras moins lié à Google.

gerard

tu ne faisais encore pas parti du club ?

Non ??? 8O !!!

alors bienvenu au club

(priere d’éteindre son xxxphone, de retirer la batterie, est de laisser son bignouphone, a la maison, dans la voiture SI elle est sur un parking TRREEEEESSSS éloigné ou en dernier recoure, a l'entrée, SANS BATTERIE, merci

Et pour ta bienvenu, un cadeau surprise : quand tu sera sur un parking (loin de tout, c'est mieux) regarde TOUTES les autorisations.... parce que tu va voir, il y a celles qui te demande l'autorisation ET celle QU'IL s'autorise lui (et que ton de ton accord il s'en tape comme de son premier octet....
Autorisations que tu ne peu même pas couper ou interdire... OOPS ! BLOOPER
[ptain ca caille]

Heureux de l'apprendre!



Oui mais malgré tout j'ai l'impression que c'est la meilleurs façon d'utiliser une distribution comme on fait avec Mageia.
En tout cas, depuis environ 15 ans, je n'ai pas eu de souci à fonctionner comme ça.



Sauf que là je manque de compétances.

Ah merci steven!



Oui comme ça t'arrive au boulot, et le téléphone n'a pas la batterie.



Oui mais tu ne vois pas le boulot là-dessus!!
J'va y passer ma vie.

Je ne suis un expert de rien du tout, mais je ne suis pas sur que le problème vienne d'Android en lui-même. Là effectivement on a l'exemple d'un gars qui installe une application en loucedé via un lien verreux. Alors on a visiblement pas le détail de l'opération, j'aimerais bien savoir quand-même si l'utisateur a du accorder une autorisation quelconque, ou s'il suffisait de cliquer sur le lien. Et on a eu plusieurs fois l'exemple d'applications malveillantes qui passaient sous les radar du système de sécurité de Play Store.

Cela dit, il faut considérer les choses dans leur contexte : en mobilité c'est pas compliqué, tu as Android et iOs. Et Android doit être à peu près à 85% de parts de marché. A partir de là, ce système est une cible pour les pirates éventuels. Linux c'est quoi.. 3% de parts de marché dans le monde des OS d'ordinateurs ? Et qui concerne en plus des utilisateurs relativement avertis ? Qui va sérieusement investir pour essayer de pirater ces 3% quand on peut taper sur le Windows de mémé Huguette qui comprends même pas le terme de "pishing" ? Si Linux est réputé sûr, c'est entre autres choses parce qu'il est peu représenté.

Ensuite, certes sous Linux y'a les accès Root, les gestionnaires de paquet qui évitent justement d'avoir à cliquer sur des liens pourris pour installer une application, et globalement un meilleur contrôle des sources. Mais tu sais, il y a peu j'ai planté mon PC et perdu mon accès Root, hé bien j'ai trouvé une manip pour modifier mes paramètres de démarrage et modifier mes codes user et Root sans mot de passe. Alors ça nécessite d'avoir accès physiquement au PC mais bon. Bien souvent la sécurité est d'abord une histoire d'utilisateur. Quant aux autorisations accordées à tout va par Android, elles ont au moins le mérite d'exister, et permettent de s'interroger sur les droits que demande telle ou telle appli. Personne ne les regarde, mais on a tort, elles sont là pour permettre justement une meilleure information sur les risques éventuels je trouve..

mdr gerard

Comme écrit par Duke4Ever, le monde Linux de bureau ayant une faible part de marché, les virus sont moins nombreux. Néanmoins, il y en a de plus en plus et qui ne vise pas forcément spécifiquement les serveurs Linux. Je suis en Dual Boot Windows/Linux depuis 10 ans et je n'ai jamais eu de problème de logiciel malveillant avec aucun des deux OS. Ça ne permet pas de conclure que l'un serait plus sécurisé que l'autre. Et des distributions se tournent vers le système snap/flatpak.


C'est pour ça que je te proposais /e/ (murena) qui propose des téléphones prêts à l'emploi.

/e/ ? ( l'a bon gout Yuusha ) ,

perso /e/ c'est super !

/e/ c'est juste android.

Si vous dite android c'est de la merde, vous ne faites pas confiance, c'est strictement identique à dire /e/ c'est de la merde, vous ne faite pas confiance en /e/.

Si vous voulez un parallèle sur le modèle de sécurité Android avec Mageia pour mieux comprendre :
Dites vous qu'au démarrage il y a des applications qui fonctionne en tant que root.
Dites vous que chaque applications EST un utilisateur différent. Lorsque vous installer une nouvelle applications, il y a derrière un service en root qui vient créer un nouvel utilisateur et y place le binaires, les fichiers de l'application.
Qu'il n'y a aucun DM (sddm, gdm, lxdm) pour changer d'utilisateur, vous arrivez directement sur une applications qui affiche une liste d'applications installé.
Puis, lorsque vous installer une applications, il y a des droits qui viennent avec une liste quelque part demandant les droits qu'il souhaite, et comme sudo, avec root on peut sélectionner quel utilisateur (par conséquence, donner des droits différents à chaque application comme chaque application est un utilisateur) permettant d'utiliser d'autre applications ou des services du système (comme pouvoir lancer des services de systemd).
Ainsi, une applications peut accéder à plus ou moins de services.

Linux est une grosse cible des pirates, car le nombre de serveur tournant sous windows est minoriaire, un particulier pourrait faire une croix sur ses données et racheter un ordinateur, une entreprise aura bien plus de mal.

Ah oui.
Et a-t-on des statistiques pour savoir où en est Linux par rapport aux autres OS niveau sécurité?
Ça m'intéresserait de savoir si la forteresse tient bon.

En tout cas merci à tous pour vos lumières sur la question.

Oui ben là, je me demande si c'est une bonne chose niveau sécurité!