Un projet de décret d’application de la loi anti-gaspillage de février dernier a été envoyé à la Commission européenne. Il prévoit de rendre plus lisible l’information relative aux « mises à jour des logiciels pour les biens comportant des éléments numériques ». Explications.
On parle souvent de l’obsolescence programmée comme étant matérielle : un appareil trop fragile pour survivre au temps, des soudures mal réalisées, avec pour objectif un remplacement récurrent et une dépendance à un producteur.
Depuis l’entrée des logiciels dans nos objets du quotidien (téléphones, machines à laver, voitures, etc.), un nouveau type d’obsolescence programmée, plus précise et pernicieuse, est apparue. Les appareils deviennent obsolètes car il n’est plus possible de les mettre à jour. On pense tout de suite aux smartphones, mais c’est aussi le cas de GPS embarqués dans les véhicules, ou encore des robots de cuisine. C'est ce que l'on appelle communément l'obsolescence logicielle.
Le futur décret d’application en question dresse la liste des informations que le producteur devra bientôt fournir au vendeur, qui devra lui-même les transmettre au consommateur.
Des mises à jour au grand jour
Ce décret souhaite faciliter la circulation des informations essentielles au fonctionnement de l’appareil en question afin de protéger le consommateur. L’objectif est de promouvoir une plus grande transparence sur le mode de fonctionnement des logiciels embarqués.
Un « support durable » devra donc obligatoirement permettre au consommateur de savoir quels sont les logiciels qui ont à être mis à jour ainsi que la durée durant laquelle le producteur maintiendra ces logiciels à jour.
Ces informations devront désormais être fournies par le vendeur « sans frais » et « de manière lisible et compréhensible », avant, mais aussi après, la vente d’un bien comportant des éléments numériques.
Une garantie commerciale
Dans le détail, le décret instaure une section Garantie commerciale au Code de la consommation. Cette section comprendra quatre articles. Le premier indique que « le producteur d’un bien comportant des éléments numériques communique sans frais au vendeur les informations relatives aux mises à jour des logiciels fournis lors de l’achat de ce bien, y compris les mises à jour de sécurité, compatibles avec un usage normal du bien ».
Selon la loi, l'usage du bien est considéré comme normal quand ses fonctionnalités répondent aux attentes légitimes du consommateur. Un critère qui laissera une marge aux fabricants.
Pour les informations répondant à ce critère, on devra retrouver « la durée pendant laquelle les mises à jour sont fournies ou la date à laquelle la fourniture des mises à jour pour le bien concerné prend fin ».
L’article 1er du décret prend soin de préciser que « le producteur communique également au vendeur, sans retard injustifié et sur support durable, toute information relative aux évolutions des mises à jour. A ce titre, il l’informe des conséquences des mises à jour fournies au-delà de la durée ou de la date indiquée au 2° sur les performances du bien ».
On se souviendra ici du cas d’Apple, dont une mise à jour bridait les performances de certains iPhone
Sur Android, ce sont les constructeurs qui décident du rythme d’implémentation des mises à jour… et certains y mettent plus de bonne volonté que d’autres. C’est pourtant un critère décisif lors du processus d’achat pour le consommateur, trop souvent absent des brochures.
Il faut néanmoins noter qu’il existe certains « bons élèves » en la matière. Google, par exemple, a déployé sur ses smartphones Pixels des mises à jour pendant plusieurs années. C’est aussi le cas de Oneplus, même si la politique de la firme chinoise semble avoir changé en la matière depuis novembre.
Ces informations seront mises à disposition du consommateur, avant la conclusion de la vente. On imagine par la piste d'un affichage dédié, sous forme d'une ligne supplémentaire sur les caractéristiques de chaque appareil. Reste la question des informations relatives aux évolutions des mises à jour qui seront là encore mises à disposition, conduisant le consommateur à aller chercher cette donnée en boutique ou sur les sites des vendeurs.
Une protection accrue sur la durée
Le décret, qui est programmé pour le 1er avril 2021, a surtout pour objet de préciser les conditions d’application de l’article 27 de la loi de février 2020. En effet, celui-ci dispose que la «période [de maintien des mises à jour] ne peut être inférieure à deux ans».
Cette période pourra même dépasser ce calendrier s'agissant de « la fourniture continue d’un contenu numérique ou d’un service numérique pendant une période supérieure à deux ans ».
Dans un tel cadre, le texte précise que « le vendeur veille à ce que le consommateur reçoive les mises à jour, y compris les mises à jour de sécurité, nécessaires au maintien de la conformité du bien durant toute la période pendant laquelle le contenu ou le service numérique est fourni, quel que soit le type de bien concerné ».
On a donc ici un corpus légal qui permettra au juge de lutter contre le manque de transparence à l’origine de nombreux scandales portant sur des mises à jour affectant la qualité de l’appareil en question, ou sur l’abandon de celles-ci sans information préalable du consommateur.
Au-delà de la lutte contre l'obsolescence logicielle, la loi anti-gaspillage prévoit plusieurs mesures pour agir en faveur de la durabilité des appareils numériques. Entre autres, elle entend faciliter la réparation et l'accès aux pièces détachées issues de l'économie circulaire ou encore imposer aux vendeurs d'afficher un indice de réparabilité.
Commentaires (79)
#1
Il faudra maintenant aussi s’attaquer aux batteries, disponibilité dans le temps, standardisation, adaptateurs …
On peut sauver un vieux téléphone avec une distrib alternative mais quand la batterie est morte et que plus personne ne la fabrique c’est terminée.
#1.1
Il existe déjà un décret qui traite du sujet :
Texte
#2
Espérons que le projet de loi passe, qu’il arrive jusque chez nous (je n’y connais rien aux processus UE->FRA, mais ce n’est pas une ni la question ^^), et que les sanctions soient suffisamment dures et appliquées pour mettre les mauvais élèves au pas
En tous cas c’est une bonne nouvelle, je trouve que ça fait du bien.
#2.1
Il y a un temps de plusieurs mois/années pour traduire en droit national les directives. Ensuite c’est des sanctions, à moins de démontrer que c’est pas faisable (et avec de sérieux arguments).
Souvent la France anticipe et modifie le droit national en glissant dans des projets de lois certains articles.
Après, la France se taper sur doigts souvent dans certains domaines, environnement notamment…
#3
C’est bien d’informer le consommateur et de garantir une durée minimale de mise à jour, mais 2 ans c’est court. Et surtout, on reste sur la logique des petits pas.
Si on veut s’attaquer sérieusement aux enjeux environnementaux du numérique et de l’électronique, il faut allonger considérablement la durée de vie des équipements. On ne peut pas contraindre un fabricant à mettre à jour ses produits pendant 10 ans, mais on peut le contraindre à publier toutes les sources nécessaires pour qu’un tiers puisse le faire une fois l’exploitation commerciale par le fabricant terminée (après la fin des mises à jour officielles).
Ça permettrait aux bidouilleurs de plus facilement tenir à jour leurs machines, et ça ouvrirait un marché pour que des entreprises proposent un support pour tenir à jour des matériels anciens.
#4
Est-ce que l’on ne risque pas d’avoir des produits qui n’auront plus aucune mise à jour fonctionnelle et uniquement des mise à jour de sécurité afin de ne pas altérer les performances?
#5
Alors ça c’est une bombe. Actuellement, les durées de support logiciel sont basées sur la date de sortie du modèle. Ça va de rien du tout pour certains Android bas de gamme à genre 7 ans pour les iPhones. Ici, la durée minimale de mise à jour vise le consommateur, donc l’acheteur. Ça voudrait donc dire que si un modèle est en vente pendant 3 ans (ce qui arrive assez souvent), faudrait que le vendeur garantisse 5 ans de mises à jour de sécurité au total. Faudra donc surtout voir ce qui va se passer quand ça n’est pas respecté. Dans l’état actuel de la loi sur les garanties, ça voudrait dire qu’on pourrait réclamer un modèle plus récent pour remplacer celui sans mises à jour.
#5.1
T’as pas dû saisir le concept d’obsolescence :)
#6
C’est tout trouvé : ils suivront les deux ans de garantie liés à l’appareil, et ça ne changera finalement rien. Mais ils seront juridiquement dans les clous !
Et puis vous citez apple, mais pas microsoft ? Alors qu’actuellement on a des éditeurs antivirus qui utilisent la peur pour pousser les usagers en seven vers cette bouse de windows 10 ! “Bientôt vous ne serez plus protégé !” - ah bon ? Parce que windows 10, qui plante des machines comme jamais, protégerait de quelque chose ? Grande nouvelle !
Qui peut croire que cette UE fasciste, qui n’arrête pas de faire la promotion des GAFAM d’un côté, tout en faisant semblant de leur coller des amendes ridicules de l’autre, va tenir demain un rôle d’arbitre qu’elle n’a jamais assumé en 28 ans ?!
Les seuls qui ont fait leur taxe GAFAM, ce sont les britanniques. Et il est vrai que quand on est souverain, et qu’on n’a plus besoin de se coucher devant Bruxelles, les choses vont tout de suite beaucoup mieux, et dans de très nombreux domaines…
#7
Il faudrait donc supporter les OS combien de temps? Win7 a été supporté 10 ans. A un moment, il faut savoir évoluer. Après, si tu as des machines avec des pilotes pourris, ce n’est pas la faute de l’éditeur de l’OS. Sur un parc de plus de 10k machines, c’est l’OS le plus stable depuis les années 90. Plus que XP.
#8
Il faudrait à nouveaux frapper sur les fabricants d’imprimante tel HP qui sortent des firmwares qui interdise les cartouches adaptables et surtout qui te pourrissent de pop up jusqu’a que tu fasses la MAJ du firmware..
Je viens d’en faire les frais avec une HP MFP M180n qui fonctionnait avec des cartouches lasers compatibles depuis 1 an. J’ai fini par faire la MAJ et là le drame… plus rien ne fonctionnait mes cartouche étaient “inconnues”. Par chance j’ai pu retrouver l’ancien firmware sur un site vendant des cartouches compatible sinon c’était 100€ de cartouche presque pleine à la poubelle et obliger d’en dépenser 260€ (de cartouches HP) de plus pour pouvoir à nouveau jouir de l’imprimante…
#9
Non mais étant supporteur d’Asselineau il veut des solutions françaises (voix ORTF Mike) donc ses pilotes le sont. Du coup ça plante un peut plus
#10
Le problème est autrement plus complexe à mettre en pratique, aujourd’hui les produits sont interdépendants.
Typiquement, j’ai acheté ma Sonos Play:1 pour écouter ma musique sur mon abonnement Google Play Musique. Tout allait bien, je pouvais écouter ma musique, mettre des “J’aime”/“Je n’aime pas”… Un jour, Google a décidé de fermer Google Play Musique et de lancer YouTube Music. Pour moi, c’est le même abonnement et mon compte a été “migré”.
Et ça c’est un exemple simple. Pour Android on l’a vu, les mises à jour on pas toujours énormément d’impact sur les fonctionnalités d’origine du téléphone. A ce que je sache, un smartphone sous Oreo est encore largement utilisable au quotidien, et pourtant ça fait plus de 3 ans sans mise à jour…
#10.1
Non, on ne va pas demander à Sonos de mettre à jour son firmware. Mais on pourrait lui demander de publier le code source du firmware et toute la documentation associée, de manière à ce que tu puisse modifier toi-même ou payer quelqu’un qui en a les compétences, pour l’adapter à l’API de YouTube Music.
#10.2
Une autre option qui pourrait être élégante, qui en plus serait réellement écologique pour le coup, serait de conditionner la fin de la mise à jour logicielle d’un produit à la publication de toute information permettant de déverrouiller le produit (bootloader entre autre).
Pour faire plus abstrait : ok pour ne plus mettre à jour un appareil, à la condition que l’utilisateur (par extension la communauté d’utilisateurs) puissent reprendre en main le produit. Après tout cela ne me pose aucun soucis que Sonos ou Apple arrête de mettre à jour mes enceintes / mon iPhone, à partir du moment où ils me filent les clés pour exploiter moi même le hardware (que je possède toujours).
#10.3
C’est exactement ce que je propose (en mieux formulé) ! Tu ne veux pas publier tes sources pour n’importe quelle raison, pas de souci tant que tu assures les mises à jour du matériel.
#10.4
Je trouve qu’il peut y avoir un énorme effet pervert pour les utilisateurs non-avancés.
Si le code source est publié, trouver des failles sera encore plus facile. Les groupes de pirates n’auront même plus à essayer de les obtenir.
Par contre, les appareils ne seront plus patchés en central, vu que l’éditeur n’assurera plus cela via son réseau. Donc qui le fera?
Et on se retrouve avec donc potentiellement plus de failles, et à part les utilisateurs avancés qui iront chercher les patches du Github ou des forums, la plupart des gens seront encore plus vulnérables.
Si on force la publication du code source, il faut que le patching soit géré par quelqu’un de façon fiable et centralisé.
#11
Il faut voir à quel moment cette durée (courte) de 2 ans coure. Si c’est la date de sortie du produit c’est mieux d’avoir une date de fin qu’une durée.
En pratique je pense pas que ça changera grand chose. Ça pourrait même être pire avec des constructeurs qui publient juste une mise à jour avant la date fatidique.
Seuls Apple ou Google vont annoncer des durées genre de 5 ans, les autres sûrement le minimum obligatoire. Ce qui les poussera beaucoup moins une fois la date passée.
#12
7 était nettement plus stable que 10 chez moi, comme au boulot (constaté dans mon établissement comme dans ceux des collègues : on a tous régulièrement un PC sous 10 qui plante sans aucune raison (et ce n’est pas un problème de pilotes, ou alors on a des pilotes foireux sur 100% des modèles, sachant qu’on en a une dizaine différents, de différentes marques, en AMD et en Intel, ce qui serait plus qu’étonnant), ou qui buggue totalement (en empêchant une ouverture de session avec un joli “Accès refusé”… Qu’on règle en redémarrant le poste une nouvelle fois. Logique)).
#12.1
en empêchant une ouverture de session avec un joli “Accès refusé”…..
moi aussi, j’ai ça de + en + souvent ???
#13
Concernant les solutions de publier le code source des firmwares, je ne pense pas que niveau sécurité ce soit une bonne idée, car ca devrait rendre les appareils plus vulnérable ou augmenter les risques de hack.
Mais la loi devrait aussi obliger tous les appareil fonctionnant par Internet uniquement à indiquer le minimum de temps ou le service sera supporté, je pense aux cameras de sécurité qui fonctionne via des plate formes et logiciel sur Internet et qui ne fonctionnent pas par exemple sur un réseau local sans Internet, le jour ou le fabriquant stope le support, toute l’installation pourtant fonctionnel finirat a la poubelle.
Pareil enceinte connecté, imaginez Google ou Amazon stope le service dans X mois, plus rien ne fonctionne.
Si on parle de proteger l’utilisateur et eviter une obsolecence programmé, le gouvernement devrait imposer que tout systeme vendu en EU puis etre fonctionnel en offline quand cela est possible même partiellement, par exemple Alexa devrait pouvoir controler mes objets connecté sur le réseau local même sans Internet mais pas me donner la météo, etc.
Mais bon je demande un peu trop la ^^
#14
Le sécurité par l’obscurité n’a jamais fait ses preuves, dixit la plupart des spécialistes en sécurité et cryptologie.
#15
Surement mais à titre perso je n’attend que cela
J’en ai marre de toutes ces versions qui parait il m’apportent des fonctionalités dont je ne me sers jamais ni sur mes PC ni sur mes smartphones ni sur mes navigateurs
Je préfèrerais un produit stable avec MAJ de sécurité uniquement , et un autre produit ou version avec d’autres fonctionalités que j’achèterais si j’en ai besoin.
Mais ça ne fait pas l’affaire des éditeurs.
Tout le monde ne pense pas comme moi, mais tout le monde ne pense pas comme les éditeurs non plus.
#16
ça n’a rien à voir avec l’article.
Un pc peut être mis à jour facilement, changer d’os, linux windows… Il n’est pas verrouillé par le fabricant. Ce n’est pas le cas d’un fabricant de smartphone. Dans le meilleur des cas le bootloader pourra être déverrouillé mais cela apportera une grosse faille niveau sécu (possibilité d’installer n’importe quoi par quelqu’un de malveillant, root qui peut être mal contrôlé) en contre partie de l’installation d’une ROM custom (qui a souvent des bugs ou fonctions en moins par rapport à la rom de base).
L’exemple de windows 7 ne tient pas. Pourquoi il faut le mettre à jour ? Par ce que sur tous les os, être bien protégé, c’est avoir des mises à jour qui comblent les failles de sécurité, en plus d’un éventuel antivirus. T’as le choix d’avoir une machine vérolée, t’as le choix d’avoir windows 10, t’as le choix d’avoir windows 10. Microsoft ne force pas, et microsoft supporte plus ou moins les mêmes machines aux mêmes perfs sur 10 que 7. Les machines plantées, c’était au début de 10.
Après j’avoue que windows, 7 ou 10 sur un ordinateur poussif, ça ventile tout le temps et ça prend la moitié des ressources de l’ordinateur pour rien. Pour le coup, c’est mieux d’avoir un ubuntu LTS mis à jour longtemps.
#17
#18
Faudrait que les fabricants de smartphones soit obligés de faire 5 ans de mise à jour (android ou à minima les mises à jour de sécurité).
Il y a beaucoup trop de fabricants qui considèrent ces smartphones comme briques après deux ans, même dans le haut de gamme. Même après 3 ou 4 ans, c’est un scandale que de ne plus avoir aucune mise à jour alors que le smartphone est parfaitement fonctionnel.
Les seuls vraiment bons dans les maj, maintenant, c’est apple avec 5 ans de mises à jour. Et des smartphones qui sont globalement revendus et reconditionnés beaucoup plus sur le marché de l’occasion que les android bas de gamme qui finissent dans un tiroir au bout d’un ou deux ans.
Je ne sais pas trop quoi penser du fairphone : specs ok, quelle durée de mise à jour ? pas de support de toutes les bandes 4G+ en France.
Obsolescence logicielle ou physique ? J’ai reussi à casser le tiroir d’un lg g6 dans le téléphone il y a pas longtemps. Carte mère et batterie changée, le téléphone est reparti pour des mois encore… La batterie est facilement trouvable, carte mère aussi… Et c’est bien plus facile que de changer les pièces d’un iphone (vérouillé niveau logiciel apple). Avec des specs tout à fait correctes… Mais il n’est plus du tout mis à jour par LGL
#19
#19.1
Linux n’est pas l’OS d’une caméra IP lambda ou un autre IoT bidon.
De plus, les distributions sont patchées de façon centrales. C’est justement ce que je dis qu’il faut mettre en place pour tous les appareils.
Les failles ne sont pas inscrites dans le code source, mais il est bien plus facile de pirater une application non patchées dont le code source est public qu’une dont le code est privé. Il suffit de lire les commentaires de PR sur le Git pour savoir ce qui a été changé et ou était précisément la vulnérabilité.
Maintenant, si tous les OS ou applications sont gérées comme Linux, tant mieux. Mais je n’y crois pas du tout!
#20
Je ne parle pas de publier les sources. Je parle de publier les clés de déverrouillage. Je ne dit pas non plus que ce déverrouillage doit pouvoir s’effectuer à distance donc les pirates ne pourront rien en faire. Libre à chaque utilisateur par la suite de :
Ce que je propose n’est ni plus ni moins que la manière dont fonctionnent les ordinateurs depuis 3 ou 4 décennies.
Quand ton PC sous Windows 7 n’est plus mis à jour tu peux :
Je ne demande pas plus à Sonos de publier son code source que je ne demande à MS le code de Windows 7. Je demande à Sonos de me laisser le choix de me passer d’eux pour faire ce que je veux moi, de l’appareil qui m’appartient. Que je perde éventuellement en contrepartie l’accès au logiciel Sonos dont je ne suis effectivement pas propriétaire me semble une contrepartie raisonnable.
#20.1
Ok, j’avais mal compris, merci de la clarification. Du coup en effet, c’est clairement la bonne approche.
Forcer également les fabricants à garantir une durée de support et l’afficher. Cela permettra au consommateur de choisir les appareils en fonction de cela également. Et si ce n’est pas respecté, petit procès qui va bien.
#20.2
Ah ok, en effet on ne propose pas la même chose. Le problème que je vois là, c’est les pilotes. Même avec un bootloader ouvert, si tu n’as aucun pilote pour exploiter le matériel, aucun OS alternatif ne pourra être proposé. Donc dans les faits, je pense que ça apporterait pas grand chose. D’ailleurs en dehors des smartphones / tablettes, est-ce que la pratique des bootloaders fermés est courante sur d’autres catégories (TV, IoT, périphériques type imprimantes, etc.) ?
#21
Bordel il y a encore des gens pour sortir celle LU débunkée depuis des décenies?
Surtout qu’à peine qques commentaires avant, il avait déjà été dit que l’obscurantisme n’a jamais été une sécurité efficace…
#22
La puissance d’une faille est proportionnelle à sa “rareté” et plus ou moins à usage unique.
Dans le pire des cas le git peut être piraté et / ou ton téléphone peut être briqué après un mauvais patch et le constructeur t’enverra surement te faire foutre quand tu demandera de l’aide.
Linux est une sombre bouse si il est pas mis à jours. J’ai également vécu une corruption des sources chez un hébergeur ( dédibox ) avec un jolie email d’abuse de la part du cnrs ( pls total haha ).
Je suppose qu’il est possible de deviner des failles en comparant deux sources.
N’oubliez pas qu’un téléphone c’est pas qu’un os mais des apps… Quand le système est mise à jours rien ne garantit que les apps tourneront correctement. Et si il y à pas de documentation ça peut vite devenir le bordel. Et la plupart du temps personne ne veut payer pour ça.
Si l’os est trop souvent à jours et l’upgrade difficile alors l’app aura de moins en moins de nouvelles fonctions.
#23
Dommage j’aurais bien vu une clause forçant à rendre opensource le firmware après la période de mise à jour.
#24
D’une part c’est toujours ça de gagné. D’autre part le pratique du jailbreak devenant légalement encadrée, tu n’ouvres plus cette pratique qu’aux bidouilleurs, tu l’ouvres aussi au marché, et ça ça change tout.
Imagine qu’il devienne légal et “facile” de jailbreaker un vieil iPad : tu ouvres tout de suite des marchés énormes à des boites qui pourraient :
Largement de quoi motiver une boite à développer quelques drivers même basiques pour adapter le produit à un nouvel usage.
Oui c’est la norme en fait, mais ce n’est gênant que pour les appareils connectés qui peuvent avec le temps perdre les fonctionnalités pour lesquels tu les avais achetés. Une TV non connectée qui n’est pas mise à jour ne représente aucun problème : elle a les mêmes fonctionnalités au jour d’achat que 10 ans après et ne représente pas un risque en terme de sécurité.
#25
Ce n’est pas efficace seul, mais c’est bien plus efficace que d’offrir les failles de tous les systèmes non patchés à qui veut lire des commentaires. Je parlais ici de systèmes qui ne seront pas mis à jour une fois corrigé par la communauté. Le crime par opportunité ça a aussi été démontré et ici, tous les cript-kiddies s’en donneront à coeur joie.
#26
Ceci s’applique pour les systèmes patchés, quand une fois découverte elle est corrigée rapidement.
Ici, je parle de tous les gens qui, faute de serveur de mise à jour central disponible, n’iront jamais chercher une mise à jour. Et du coup, toute faille sera exploitable “à vie” pour cette partie de la population.
#27
Il me semble quand même que le modèle Apple est plutôt l’exception que la règle (en tout cas pour les smartphones, j’en sais rien pour les autres objets connectés). La plupart des fabricants de smartphone Android fournissent les clés nécessaires au déverrouillage du bootloader sur leur site web. J’ai eu des téléphones Android de marques Sony, LG et Samsung, et les 3 permettent de débloquer le bootloader. Je crois que ça met fin à la garantie, mais a priori si le téléphone n’est plus mis à jour, il n’est pas non plus sous garantie. Et pour autant, installer un OS alternatif tenu à jour reste une galère même pour un bidouilleur. Donc encore une fois, même si ça irait dans le bon sens, je pense pas que ce soit suffisant pour avoir un effet significatif sur la durée de vie réelle des équipements.
C’est déjà légal de faire ça, deux exemples avec /e/ et Sailfish X.
Pour autant le modèle ne décolle pas. Les raisons sont certainement diverses, mais je pense que le législateur devrait mettre en place des mesures pour favoriser l’émergence de ces modèles là. La généralisation de l’open source après une certaine durée d’exploitation (de la même manière que les brevets expirent après un certain temps) me parait une bonne solution, mais il y en a certainement d’autres.
On est bien d’accord, je parlais des TV connectées. Plus ça va, plus les appareils sont connectés, et avec la 5G la tendance va encore s’accentuer. Il faudra bientôt que tu penses à tenir à jour ton frigo et ton pot de fleur.
#28
Merci pour ce fou rire
Quand on n’y connait strictement rien, on essaie au moins d’éviter de faire croire être un expert…
Et tu as raison, jamais, JAMAIS une seule faille d’un seul Windows ni MacOS n’a été exploitée en day0, c’est bien connu
#28.1
Putain, je me souviens de pourquoi je t’avais bloqué… et la V7 a vidé ma liste.
Au lieu de te foutre ouvertement de ma gueule, tu peux te passer de comparer l’open source avec un repo Git qui offre à chaque PR un commentaire qui te dit quoi exploiter, où tu n’as qu’à te ramasser pour trouver une faille et n’importe quel gamin avec un script exploite, et les failles que les “pros” trouveront.
Si t’es infoutu de lire, réfléchir et comprendre la différence, explicitée dans un poste précédent, j’y peux rien. Quand on n’est infoutu de lire, on ferme sa gueule.
Je n’ai pas besoin d’un rigolo comme toi pour m’appendre à faire mon boulot.
#29
Il me semble que à moins de l’avoir monté soi même ou fait monter par un assembleur, un pc dispose bien d’un verrouillage, certes beaucoup plus facilement contournable que sur smartphone.
#30
C’est un peu le principe des LU, elles durent.
#31
Il faut dire que tu réponds à un mec qui te parle “d’UE fasciste” (moi j’essaie même pas de répondre à ce genre de clown), un supporter de l’UPR (Asselineau) qui vient poster ses bouses de temps à autres, c’est assez caricatural.
J’ai aussi remarqué ça, Windows a tendance à rendre bruyant les portables, même quand tu ne fais pas grand chose avec, c’est énervant. Un reboot remédie parfois à la chose. Il doit y avoir une explication mais je ne la connais pas, j’ai parfois vu qu’un “service” mais sans nom précis semblait prendre constamment du CPU.
#32
Non, à part chez Apple, et encore sur les derniers macs M1 uniquement, ce n’est pas vrai.
Beaucoup de gens pensent ça à cause de secureboot dont le principe est d’interdire de booter un OS non signé par une autorité de confiance afin d’éviter de booter du code de boot qui aurait été modifié (un rootkit quoi).
Mais secureboot est totalement désactivable depuis le bios. Secureboot est aussi utilisable sous Linux, soit avec le bootloader shim qui est signé par Microsoft (pour faire simple) soit en ajoutant toi même des clés de canfiance dans l’UEFI.
#33
Le modèle Apple est l’exception qui tend à devenir la règle sur smartphone : les fabricants ajoutent de plus en plus d’effets irréversibles au jailbreak. Ma dernière expérience sous Android était avec un S10e et clairement, le bootloader était impossible à débloquer sans risque.
Mais pour les objets connectés au sens large, c’est plus que la norme. L’exemple de Sonos qui a récemment laissé sur le carreau ses vieilles enceintes qui fonctionnaient encore très bien est frappant.
J’ai pas trop de doute sur le fait qu’il soit faisable de faire tourner sans trop de difficultés un linux sur les enceintes Sonos (qui tournent déjà sous Linux de mémoire) la seule difficulté étant peut être d’écrire un driver pour le son si c’est un truc maison mais ça s’arrête là.
#34
J’ai donc du rêver les disques durs (ou autres pièces) tatoués.
#34.1
Ca existe encore cette pratique ?
J’ai pu installer Fedora sur un portable Asus d’il y a deux ans sans rien faire d’autre que d’y mettre une clé USB avec un live disque.
C’est plutôt la CG et les drivers Nvidia qui ne fonctionnaient pas qui m’a posé problème. Mais avec Nouveau, ça fonctionnait même si c’était pas optimisé.
#35
Pour Secureboot, je l’ai désactivé sur une mobo pour pouvoir faire tourner un Tux. Et je suis passé par le bios pour y arriver.
Il a au moins l’avantage de ne pas sortir ses conneries de façon systématique sur tous les sujets entrant dans ses obsessions, et de partir en prime à l’attaque des gens qui ne pensent pas comme lui (soit 99,99999 % de la population de la planète). En plus de ne pas être insolent et injurieux, de ne pas avoir un double compte, et d’y aller mollo sur les pavés d’imbécilités grotesques.
En même temps, il est pas obsédé par une reconnaissance sociale qu’il n’a pas dans la vie réelle, on ne peut le considérer (hansi) comme un raté qui cherche à se faire voir sur le net parce qu’il est écrasé partout ailleurs, il se contente de chier sa propagande de son parti politique minuscule quand ça lui prend. Bref, si on l’oublie dans son coin, il reste pittoresque…
Je ne vise personne en particulier en disant cela… Ça s’est vu que je ne suis pas crédible avec ce discours ?
#35.1
J’ai pensé à tmtisnuts, c’est ça ?
#35.2
#36
Ah c’est ton boulot de propager des légendes urbaines sur NXi, intéressant.
#37
#38
En tout cas le tiens ne doit pas consister en savoir lire une conversation.
#39
Écoute c’est une chose de lire tes inepties sur la sécurité informatique, l’insulte gratuite en est une autre.
Jusqu’à preuve du contraire, personne ne lit un code source pour trouver des failles.
Ça a été expliqué ici suffisamment de fois sans devoir retourner jusqu’en l’an 2000.
Lire ça à répétition devient usant.
#40
Parce que tu dis énormément de conneries et que tu n’aimes pas qu’elles soient remarquées, surtout quand tu insistes lourdement dessus?
J’ai lu. Je maintien. L’obscurantisme n’a jamais été une solution à quoique ce soit, contrairement à tes croyances infondées et débunkées depuis au plus tard le début des années 90.
Donc pquoi tu l’ouvres encore?
En attendant, ce n’est pas moi qui fais dans le comique (pas drôle) de répétition ici
Et j’espère sincèrement que ton boulot n’est pas dans l’informatique. Sinon ton employeur est sacrément mal barré avec toi…
#41
Ca tombe bien, ce n’est pas ce que je dis. J’ai répété plusieurs fois que c’est lire les corrections de failles dans les répo qui permettent de les ramasser sans effort.
Comme quoi, ce que tu considère être une insulte n’est au final qu’une simple constatation: tu ne lis pas ce que j’écris.
#42
Tu utilise un master ? Si oui, vérifie le car tu dois avoir un souci dedans.
#43
Je ne peux pas éditer le poste précédent… mais j’ai eu un doute et je suis allé vérifier.
L’analyse de code statique m’est imposée par les équipes sécurité sur demande des clients, notamment l’état français.
Et sur l’année passée, c’est bien la première source de vulnérabilité trouvées par l’équipe de sécurité interne pour les projets open source “publics” déployés.
Mais c’est vrai que vu que c’est une légende urbaines débunkée depuis 30 ans et expliquée sur le forum de NextInpact, c’est forcément impossible. Alors que lire un rapport d’une analyse qui a tournée pendant que tu dormais, c’est vachement dur. Et au passage, ça scale super bien.
#44
Chez moi, c’est l’ISO officielle qui provient de chez MS. Au taf, un master que je n’ai pas le droit (ni la possibilité d’ailleurs) de toucher. Et j’ai des bugs des 2 côtés que je ne voyais jamais avec 7 (comme l’accès refusé, par ex).
#45
Les mac oui, les pc non. Sauf si on t’as donné un pc pro, qui a peu être le bios/efi verouillé.
#45.1
Et encore, sur Mac, ça ne date que des Mac M1 sortis le mois dernier. Tous les Macs Intel font tourner sans soucis n’importe quel OS.
#46
Après je pense qu’on manque de recul… Peu être qu’il sera possible de faire tourner du linux ARM ou windows ARM.
#47
En 2020 lire tes commentaires comme quoi l’Open Source est plus piratable/attaquable parce qu’on a les sources, franchement oui ça fait soit rigoler, soit “facepalmer”.
#48
Si ça arrive ce sera par une faille logicielle qu’Apple bouchera, ou par un changement de politique d’Apple (on peut rêver). Bref, pour l’instant rien de suffisamment pérenne en vue pour qu’une vraie distrib fasse le taf nécessaire pour supporter officiellement le bazar.
#49
Si le sujet t’intéresse, tu peux utiliser secureboot sous Linux avec shim : https://wiki.debian.org/SecureBoot
Si je dis pas de bêtise (ce dont je suis loin d’être certain, j’ai 0 preuves, que des souvenirs de lecture), les dernières distribs incluent généralement shim.
En gros ça marche comme ça de mémoire :
Tout ça pour dire : t’embête pas forcément à remettre ça en place pour le moment, mais à ta prochaine install, retente avec secureboot au cas où, c’est toujours ça de gagné en terme de sécu.
Un autre avantage de secureboot c’est si tu as une puce TPM avec biométrie utilisée pour stocker les clés de chiffrement de ton disque (par exemple sous windows avec Bitlocker c’est géré comme ça) : la puce est inutilisable sans secureboot, ce qui te permet de chiffrer ton disque avec une longue clé de chiffrement sans avoir à la connaître, et totalement inaccessible aux autres OS.
C’est vraiment bien sur un portable et tu peux stocker pleins de trucs sensibles dans la puce (clés ssh, certificats, clés privés) auxquels tu ne peux accéder qu’avec le même OS booté de manière sécurisée + la biométrie.
#50
Je nuancerai quand même vos moqueries à une part de vérité dans son intervention par rapport au débat qu’il y a eu plus haut (que les fabricants devraient opensourcer leur code en fin de support).
Si “SonosOS” devient opensource à la fin du support d’un matériel par Sonos et qu’une PR pour fixer une faille découverte (d’une manière ou d’une autre) se trouve publiquement dans le repo “CyanogenModSonosOS”, on peut admettre que ça faciliterait la vie d’un pirate qui voudrait exploiter les enceintes de monsieur tout le monde puisqu’elles ne seront probablement jamais mises à jour sous CyanogenModSonosOS.
Le précepte (auquel j’ adhère par ailleurs) “open source = ni plus ni moins sécurisé que proprio” part aussi d’un principe à peu près valable qu’il y aurait une équivalence de recherche de failles de la part des “white hat” / “black hat”. Sauf que ce précepte reste vrai uniquement avec des logiciels à jour, sinon le travail du “white hat” sur le fork à jour facilite celui du “black hat” sur la base de machines tournant sous l’ancien code.
Désolé si j’exprime ça grossièrement, faut que je me repose
Si je fais une erreur de raisonnement, dites le moi.
#50.1
Les pirates n’ont pas besoin de pull request pour découvrir des failles, il suffit de consulter une base de CVE.
#50.2
Oui, c’est vrai.
Mais l’ouverture du code source a t’il un impact positif sur le nombre de failles découvertes et donc corrigées ? Je n’en sais absolument rien mais ça ne me paraîtrai pas incohérent.
Le problème c’est que c’est quasiment impossible à vérifier puisque d’autres facteurs jouent aussi énormément (popularité, dégâts potentiels, bug bounty …). Si il y a des recherches à ce sujet ça m’intéresse.
#50.3
D’après le rapport 2020 de GitHub, il faut en moyenne 4 ans pour qu’une faille dans un projet open source soit découverte et identifiée. Le cycle de vie qu’ils observent est ensuite de 4.4 semaines pour qu’elle soit identifiée et corrigée, 10 semaines de publicité pour avertir de la faille et du fix, et une semaine pour que les utilisateurs appliquent le correctif.
Le rapport précise par comparaison qu’une faille 0 day (donc exploitée) peut rester inconnue pendant 5 ans.
L’origine d’une faille est également très variée. Ca peut être un défaut du code du logiciel, mais aussi des composants sur lesquels il repose (framework, middleware, OS, etc). Et donc c’est toute la pile logicielle qui peut être exposée aux vulnérabilités à un moment donné.
Et juste pour information, le Kernel Linux a fait l’objet d’une palanquée de CVE sur l’année 2020, et personne n’a hurlé à la catastrophe.
#50.4
Ouais enfin avant de prendre ça au pied de la lettre, perso j’irais voir dans le détail comment ils ont fait leurs stats.
Parce que s’ils prennent 100% des projets qu’ils hébergent dont la licence est “open source” (et même pas uniquement du logiciel libre), entre les projets intéressants et populaires mais peu/mal maintenus par manque de temps/motivation/personnes, les projets intéressants sur le papier mais écrits en mode “proof of concept” (donc sans considération particulière pour la sécurité ou qualité de manière générale) dans le cadre de réflexion préliminaire / concours et tous les petits trucs qu’on peut faire à l’arrache pour un besoin précis et ponctuel et qui sont donc abandonnés…
Il est vrai qu’à priori, enfin je suppose, ils n’auront réellement pris que des projets qui sont déjà suffisamment connus/exploités pour avoir un mécanisme de détection ou au moins rapport de vulnérabilités.
Malgré tout, il serait utile à mon sens s’ils ne l’ont fait de sous-diviser leur analyse selon la taille de l’équipe de dev et surtout la popularité du logiciel (évaluée faute de mieux selon le nombre de commits ou téléchargements).
Car au final faire une moyenne globale n’a pas grand sens pour une analyse à mon avis. Tous les projets n’ont pas vocation à être réellement exploités “en prod” (et je sais aussi par expérience que certaines entités publient des versions obsolètes de leur code pour “faire de l’open source” sans se mouiller).
Et en passant faire le même exercice pour les logiciels propriétaires dans la mesure du possible.
#51
C’est bizarre ton affaire 🤔. Des “accès refusés” peuvent être liés à des chemin trop lpngs (normalement fini à partir de Windows 10 1909 qui rejoint enfin Linux). Toutefois, des apps comme Word ou Excel restent encore avec leur limitation de 255 (Word) voire même 240 (Excel) en longueur de chemin.
Essaye avec le File Explorer de 7-Zip qui fonctionne réellement comme Linux (et m’a dépanné une paire de fois). Si tu as plus le souci, incrimine tes apps, voire l’OS. Si tu continue à avoir le souci, ▶ Crystaldisk Info.
#52
Il semblerait qu’on soit encore dans une situation de polique corrompue par le lobby tech.
L’avis de Louis Rossman à propos de ce projet législatif
#52.1
C’est quand même la misère cette mode des vidéos ces dernières années, là où un article (ou billet de blog ou truc écrit quelque part) se lit beaucoup plus rapidement.
Je ne regarde que rarement les réponses en vidéo, qui sont souvent postées sans aucun résumé en plus.
#52.2
Je te fais un résumé si tu veux :
Apple aurait influencé les critères de l’indice de réparabilité français (une autre disposition de la loi évoquée dans l’article de NXi) pour être bien notés bien que leurs produits ne soient pas réparables. Et son seul argument pour le démontrer, c’est qu’un MacBook qu’il ne peut pas réparer (parce qu’une pièce n’est pas vendue séparément) obtient un 7⁄10 (dont un 12⁄20 en disponibilité des pièces détachées).
Le reste ne fait que le montrer lui qui s’énerve devant sa caméra en disant que la bureaucratie c’est mal, les multinationales c’est des méchants et qu’on devrait écouter les petits réparateurs indépendants comme lui parce que tous les autres savent pas de quoi ils parlent…
Un propos tout en nuance donc !
#53
Certes, mais ça convient bien à ceux qui ont du mal avec la lecture.
#54
Et malheureusement, ils sont nombreux. Expérience, entre autres d’écrivain, vécue…
#55
Oui, et c’est encore plus marqué dans le milieu des complotistes, chez qui la vidéo est omniprésente, et assez peu l’écrit ; pas étonnant car ils savent mal lire, ils sont souvent capables de te donner un lien vers un article, et quand tu le parcours tu vois qu’ils ne l’ont pas compris. :-(
#56
Chemin trop long? A l’ouverture de session, tu es sûr?
#57
Et qui démonte neuf fois sur dix leur thèse.
Le nombre de fois où j’ai lu des démontages de vidéos complotistes par des gens qui s’y connaissent vraiment est conséquent.