+ Le chant du vario +

Déçu je suis ! Dans ce forum spécialisé informatique, pour le moment personne n'a réagi aux récentes tentatives d'extorsions par rançongiciel.

Ce qu'il me semble en avoir compris en écoutant la radio.
Le virus exploite une faiblesse des anciens systèmes Windows qui ne sont plus maintenus par la marque et bloque (crypte ?) le contenu des ordinateurs. Pour y avoir à nouveau accès, il faut payer 300 dollars en bitcoins.
La NSA connaissait cette faille depuis 15 ans mais s'était bien gardée de la divulguer car elle l'exploitait à son compte pour rentrer dans les systèmes concernés. Mais ça a fini par sortir et par être exploité à des fins vénales.
Des administrations ont été touchées par manque de crédits pour renouveler les systèmes informatiques, ainsi que des entreprises qui utilisent des logiciels spécifiques qui ne tournent que sous ces anciens systèmes.

Nul doute que vous aurez de nombreux et passionnants commentaires et corrections à faire sur le sujet.

Je n'ai qu'un commentaire, il faut passer aux logiciels open sources.
Windows n'est pas déjà un rançongiciel à lui tout seul   :grat:

L'énoooooorme avantage de la majorité des distributions UNIX qui apparaît de manière flagrante dans ce cas là c'est qu'elles sont maintenues et développées par une grande communauté. Il est donc peu probable qu'une faille passe inaperçue bien longtemps, et il est totalement impossible que la NSA, le FBI ou le papa Noël décide de se garder une faille de côté.
J'ai l'impression que les mentalités commencent à changer (https://fr.wikipedia.org/wiki/Linux#Part_de_march.C3.A9_sur_les_postes_clients), mais il faudra que les éditeurs de logiciels et les constructeurs suivent pour inciter les gens à migrer, et ça ça semble mal parti...
Mon PC portable était livré avec windows, j'ai voulu mettre un Debian dessus sauf que ça diminue l'autonomie de ma batterie de plus de la moitié, probablement parce-que les drivers sont optimisés pour Windows. Sans parler des jeux et autres logiciels qui ne sont pas disponibles sous UNIX

La ou ça fait mal c'est sur les serveurs d'entreprises, pas de soucis de batterie ou de jeux.
Le plus marquant dans cette affaire c'est que les commandes de windows "à jour" vont exploser (à qui profite le crime ?)

Il ne s'agit pas nécessairement de renouveler les systèmes, mais au moins de les mettre à niveau (vous savez les mise à jour de windows quand on éteint son ordinateur)
Le collègue qui a passé son week end à bosser pour déterminer quels systèmes étaient vulnérable me dit que cette mise à niveau était disponible (gratuitement) depuis 2 mois, et donc qu'avec une bonne gestion des patchs/correctifs/mise à jour, cela n'aurait pas du faire tant de bruit.

D'après ce qu'on peut lire, cela n'était pas le cas pour windows XP!

bien curieux de comparer le nombre de développeurs (effectifs) d'un unix vs windows :grat:

http://www.zdnet.fr/blogs/ubuntu-co/une-grande-partie-des-developpeurs-linux-est-payee-qui-est-surpris-39712735.htm

bon ... j'ai pas résisté ...
grosso modo il faut compter ~1.100 développeurs de 225 compagnies différentes en 2013 sur ubuntu contre ~1.000 développeurs pour windows 7
pas sur que ça change grand chose

A ma connaissance, si je me souviens bien, XP est officiellement plus supporté par M$oft depuis au moins 1 an.  Pas étonnant du coup que les fix de sécurité ne soient pas dispo pour cette plateforme.  L'arrêt du support a été annoncé depuis fort longtemps.  Ceux qui ont décidé de rester sur XP ont du peser le pour et le contre, et peut-être sous-estimer le contre...

pour xp /  le support de Windows XP a pris fin le 8 avril 2014

POUR w7 c est encore maintenu 3 ans je crois

le nerf de la guerre a toujours été de bien sauvegarder ses données et d en faire plusieurs copie  sur plusieurs types de support différents ( idem linux ou Unix ) ,  mise à jour des ses antivirus  etc  sous Windows .

ce qui arrive là pourrais aussi arriver sur de la panne matérielle ( a moins grande échelle )   mais pour le PME  PMI  c est le même résultat si on perd toutes ses données et que l on ne peut pas les restaurer dans la plupart des cas sous 6 mois  les sociétés ferment.

Tu compares quoi à quoi ? Ils sortent d’où tes chiffres ? Ubuntu ne suffit pas à faire le dev de tout ce qu'ils utilisent. Y'a déjà plus de 1500 dev rien que sur le noyau (vanilla, sans les changements apportés par les distrib https://www.linux.com/publications/linux-kernel-development-how-fast-it-going-who-doing-it-what-they-are-doing-and-who et ce sont de vieux chiffres).

Bref.

Par contre des failles ont déjà été trouvées après plusieurs années de présence dans linux ou dans d'autres éléments de base, faut effectivement pas tout confondre :P Genre : https://www.theregister.co.uk/2017/02/23/linux_kernel_gets_patch_against_12yearold_bug/ .

Bien sûr c'est pas sûr à 100% qu'il n'y ai pas de failles, aucun produit informatique ne l'est. Mais la multiplication des sources de vérification limite les erreurs.

Pour répondre à Piwaille, je ne pense pas que le seul nombre de développeur soit un critère. Pour moi un atout principal c'est que ce n'est pas une seule entreprise qui développe l'OS (sauf pour redhat peut-être, mais il y a CentOS qui est un genre de community edition) mais un conglomérat d'entreprise et pour certaines des développeurs indépendants. C'est ça qui fait que ce genre de faille ne peut pas être maintenue secrète pour servir les intérêts d'une boite ou d'une autre, bien qu'elle puisse passer inaperçue car les développeurs sont humains.

Marc Lassalle On/ Ça me vrille toujours les papilles de voir maintenant quasi-systématiquement employé ce terme d'origine anglaise "support" dans le sens de "maintenance" ou "soutien". Non les supporters ne "supportent" pas une équipe de foot : ils la soutiennent (et au passage, c'est nous qui avons souvent à supporter les supporters). Non un système informatique n'est pas "supporté" : il est maintenu (et on peut trouver son absence de maintenance insupportable). /Marc Lassalle Off

A ce sujet, que penser de l'éducation nationale qui dépense des millions dans l'achat de systèmes Microsoft ? Est-ce un bon service rendu à la collectivité ? Doit-on s'interroger sur d'éventuels intérêts particuliers chez les décideurs ?
De la même manière, pourquoi l'Université Française ne joue-t-elle pas 100% le jeu du logiciel libre et pourquoi ne le soutient-elle pas avec ses cohortes d'étudiants en informatique et pourquoi ne le fait-elle pas activement évoluer ?
Enfin, est-ce que certains de nos domaines sensibles (police, armée, hôpitaux, aéronautique/spatial, recherche appliquée, nucléaire, etc.) fonctionnent sous systèmes commerciaux Microsoft ?
 

Bonjour

les contrat éducation national  de Microsoft sont impressionnants, un peu comme apple qui distribue ses tablettes.

Concernant nos sites dits sensibles, il me semble que la gendarmerie travaille dejà en open source depuis quelques années.... seul soucis pour tout le monde, la maintenance qui semble coûter beaucoup plus cher qu'avec les produits Microsoft...

http://www.opensourceschool.fr/2017/03/17/les-services-publics-appeles-a-adopter-lopen-source/

https://www.developpez.com/actu/89021/Fonction-publique-open-source-ou-solution-proprietaire/

Un truc qui m'a toujours fait halluciner c'est que dans mon école (filière électronique et informatique), quasiment tout pas part des fichiers .docx, du sujet de TP au modèle pour les rapports de stage. Heureusement OpenOffice/LibreOffice gère assez bien ce format (et les étudiants en info n'ont pas de problèmes pour obtenir une version crackée de krosoft Office, mais c'est un autre débat), mais ça m'insupporte qu'une école publique utilisent majoritairement un format propriétaire.

Après pour leur défense, la majorité des profs de maintenant (et du coup probablement des administratifs) viennent d'une génération qui a majoritairement connu une supériorité écrasante (en terme de fonctionnalités) de le suite de krosoft sur les alternatives libres, ce qui n'est plus aussi vrai maintenant à mon sens

"Nous avons rencontré plusieurs obstacles et dysfonctionnements relatifs à l’utilisation de fonctionnalités spécifiques ... Qui plus est, en raison de l’impossibilité de remplacer Access et partiellement Excel (différentes macros utilisées sur des dizaines de fichiers), nous avons décidé que nous devions garder une solution hybride, utilisant les deux solutions à la fois. Ce mélange a été dévastateur ... Il faut dire qu’avoir à repaginer et modifier un certain nombre de documents à cause du manque de compatibilité entre les solutions propriétaires et open source s’est traduit par une perte de temps et de productivité considérable."

Certes, tout cela se conçoit. D'où, y compris au travers de l'expérience de treuze, retour à mon interrogation :
Pourquoi l'université, les iut, les enseignants et étudiants informatique n'ont ils pas développé une filière consacrée à la maintenance et au développement du logiciel libre, qui lui permette d'évoluer en copiant les fonctionnalités du logiciel commercial et en le rendant systématiquement compatible ?

C'est une supposition sans fondement de ma part: mais est-ce qu'il n'y aurait pas une histoire de languages/formats propriétaires fermées empêchant justement légalement de réaliser la compatibilité ?

Franchement ça ne serait pas étonnant, ça donnerait à krosoft le pouvoir de verrouiller ses utilisateurs. De ce qu'il m'a semblé comprendre de ta citation Vincent, le problème est qu'ils ont un "héritage" basé entièrement sur des solutions propriétaires.
La solution serait donc de faire un investissement massif pour reprendre tout cet héritage et remettre ça sous format libre. A mon humble avis, le problème commence à partir du mot "investissement" et s'aggrave drastiquement avec l'apparition de l'adjectif "massif"...
Quand je vois que mon école a réduit les temps de cous pour faire des économies, c'est pas trop l'ambiance d'investir des sous. C'est sûr que par contre à moyen et long terme ça ferait faire d'énormes économies pour peu/pas d'efforts au quotidien

Peut être que c'est le rôle d'une société commerciale de faire de sorte qu'on ne puisse pas copier entièrement ses logiciels......je dis ça, je dis rien, mais si je développais et distribuais un logiciel qui m'a coûté des millions, j'aurai déposé des brevets ou bloqué des codes.......
C'est rigolo qu'en France, tout doive être gratuit.......

il y a d'une part un certain nombre d'incompatibilités et d'inéquivalences
d'autre part est-ce que le role de l'université est de défendre un idéal quel qu'il soit ou bien de former des jeunes (le mieux qu'elle peut) à ce qu'ils vont rencontrer dans la vraie vie ?
Le taux de pénétration d'office est juste énorme ...

après c'est encore une histoire de poule et d'oeuf ... est-ce que les prochains décideurs pourront changer les choses s'ils sont bassinés dans du jus de windows/office ?

enfin ... pourquoi windows/office en est arrivé à cette domination hégémonique (moi je me souviens encore de lotus 1-2-3, de wordstar qui étaient à l'époque les leader puis de pagemaker)

Salut à tous.
Tout ce que vous dites fait assez peur.  :|
Je surfe depuis un petit netbook sous Seven mais mon PC principal fonctionne (fonctionnait) avec XP qui n'est plus mis à jour et je constate depuis quelques mois qu'il rame énormément. Depuis 2 semaines il bloque même carrément et j'ai un mal de chien à naviguer.
Etant une brêle en informatique, quel logiciel open source facile à télécharger me conseilleriez-vous pour remplacer le vieux Win XP sans pour autant que je bousille tout en effectuant la manoeuvre ?
Je vais passer pour un blaireau mais tant pis, mes compétences sont ailleurs.  ;)
Un grand merci d'avance pour vos lumières.

http://www.parapentiste.info/forum/videos/montages-video-quel-logiciel-t43212.0.html;msg548897#msg548897
http://www.comptoir-hardware.com/actus/software-pilotes/25392-lxle-1404-lubuntu-dans-une-version-grand-luxe.html



faut pas confondre libre et gratuit  :prof:
https://www.microsoft.com/france/openness/

telecharge ubuntu 

C'est pas une histoire de logiciel, c'est une histoire de format. Une boite peut créer un logiciel payant qui exploite un format libre.

un exemple: il me semble que SolidWorks permet d'importer et exporter dans un format libre. Pourtant SolidWorks se vend très bien et coûte la peau du cul (à l’échelle d'un particulier). Du coup n'importe qui peut faire un logiciel gratuit qui fait la même chose, mais déjà je lui souhaite bon courage et si quelqu'un (enfin plutôt un groupe de quelqu'uns) passe des années à le faire je doute fort qu'ils aient envie de le mettre à disposition gratuitement (bien que ça soit le cas pour certains logiciels, CF Blender dans un autre domaine)

D'ailleurs, je ne voudrais pas tirer sur l'ambulance: maintenant Word permet d'importer et d'exporter des fichier .odt, et ça c'est bien

Merci.  :trinq:
Après l'avoir téléchargé, il faut désinstaller Win XP ou ça n'est pas gênant ?

PFFFFF t'es un jeunot toi :tomate:
Moi j'ai connu Multiplan ! :dent:

Peut-être pas selon tes conceptions de l'existence ? Mais selon les miennes, assurément oui (défendre un idéal, idéal d'un certain type de formation et de certaines valeurs) !

Tu peux mettre les 2 en parallèle si tu as assez d'espace disque disponible. Je te conseille de suivre un tuto, comme celui-là (https://openclassrooms.com/courses/reprenez-le-controle-a-l-aide-de-linux) par exemple (apparemment mis à jour mercredi dernier en plus)

Si ma mère a réussi à passer d'un Office à un LibreOffice, j'ose espérer qu'"un jeune" gavé à la technologie y arrivera sans problème.

A priori, tu peux commencer à tester sans l'installer (en démarrrant sur ta clé USB par exemple) ; évidemment, c'est pour se donner une idée car les performances ne seront pas au top dans ce cas. Sinon, pour l'installation complète, vu que tu pars de zéro, tu vas te poser quelques questions au fur et à mesure ; ce n'est pas vraiment compliqué, mais un forum de parapente n'est sans doute pas le lieu idéal pour ça. Tu trouveras facilement des tuto sur le web pour l'installation. Ou, encore mieux, selon où tu habites, tu peux aller à une "install party" ; il y en a un peu partout. Tu prends ton PC sous le bras, et tu trouveras du monde pour t'aider (à l'installation et à tes premiers pas). Tu trouveras des dates et lieux ici, par exemple : https://www.agendadulibre.org/events?tag=install-party (tiens, j'en vois même plusieurs à Annecy, et pour toi, à Villefranche sur saône). A mon avis, ce calendrier n'est pas exhaustif. Il me semble que tu es à Lyon, tu peux voir  du côte de l'ALDIL : http://aldil.org/calendrier/month ou de ubuntu-Lyon : http://www.ubuntu-lyon.org/ (je précise que je ne connais pas ces deux assoc').

Derob

P.S. Pour voir tous les événements, sans filtrer sur "install-party" : https://www.agendadulibre.org/
P.P.S. Grillé par Treuze

Vous y croyez à la faille connue de la NSA et ignorée de Microsoft ?

Il ne me semble pas totalement déconnant que les deux grands du logiciel prévoient des portes dérobées pour que les services d'état américains puissent espionner tous les ordis. Le respect de la vie privée s'arrête chez eux aux limites du business et de l’intérêt d'état.

Les failles inconnues de microsoft / google / apple, c'est précieux. Ça se monnaye cher. Les services de renseignements de tous les pays se battent pour les avoir.
Certaines boîtes en font même un business model
Ici, on te donne 1 500 000 USD pour la découverte d'une faille apple : https://www.zerodium.com/program.html

Merci bcp pour les infos.  :pouce:
Au pire je verrai avec l'Aldil.
Merci également à Treuze.  :D

Alors ce serait quoi l'idée ? Microsoft fait "volontairement" des "entrées secrètes" dans ses systèmes pour que les services étasuniens puissent y entrer discrètement et y faire ce qu'ils veulent. Puis forcément des fuites finissent par se produire et ces prétendues "failles" sont exploitées de manière frauduleuse ?

C'est encore un coup des chinois du FBI!

C'est l'impression que cela me fait. Je n'imagine pas que les concepteurs du système passent à coté d'une faille et qu'un espion de la NSA la trouve comme par hasard. Il me parait plus plausible que la faille soit volontairement installée à la conception du système.

Tant que cela ne fuite pas, pas vu pas pris !

Une discussion sur le site Quora concernant l'intention de laisser des backdoors (en anglais)
https://www.quora.com/As-a-software-developer-how-often-do-you-leave-a-backdoor-in-your-code

Bien sur ici le contexte est un peu différent parce qu'on parle d'un des plus gros developpeurs de logiciel qui répondrait à une demande des services de renseignements. Mais le risque semble etre trop gros que la faille soit utilisé par n'importe qui et pas uniquement les services de renseignements.

Pour rappel à l'époque de l'attaque de San Bernardino aux US, le FBI avait fait appel à un hacker pour déverouiller un iphone, chose que ne souhaitait pas faire Apple. Par la suite le FBI n'a pas communiqué la faille exploitée à Apple et peut donc continuer à l'exploiter faute de correction (http://www.lemonde.fr/conflit-apple-fbi/article/2016/04/27/le-fbi-ne-va-pas-reveler-a-apple-la-faille-utilisee-pour-debloquer-l-iphone-de-san-bernardino_4909468_4870067.html)


Et en même temps Tim Cook déclare
http://www.papergeek.fr/wannacry-pourquoi-apple-a-raison-de-refuser-de-cooperer-avec-le-fbi-26237

Tiens, c'est aussi l'occasion de faire connaître la possibilité de l'auto-hébergement. De la même manière que Linux (qui est vraiment accessible à tout le monde maintenant), il y a un gros effort de démocratisation mis sur ce côté là. Cela permet de facilement installer et administrer un serveur chez soit, avec les principaux services pour soit et ses amis, sa famille (partage de fichier, blog, agenda, chat, etc.). C'est un peu périphérique à cette discussion, quoique.
On peut citer par exemple, l'excellent Yunohost (que l'on peut essayer en ligne en démo) : https://yunohost.org
Ce n'est pas encore tout à fait pour ceux qui n'ont jamais vu une ligne de commande, mais on s'en approche sérieusement.

Derob

Un article très intéressant, qui prend un peu de recul sur cette affaire, sur l'articulation entre capitalisme et démocratie. A lire : "Cyberinsécurité - La rançon et la rente" http://blog.mondediplo.net/2017-05-15-La-rancon-et-la-rente
Un extrait, parmi tant d'autres :
L’expansion des capacités de surveillance des États présuppose une insécurité structurelle permanente de nos réseaux de communication. Or, une fois structurelle, l’insécurité n’appelle pas plus de sécurité, mais plus d’assurance C’est la raison pour laquelle la cyberassurance est devenue l’un des segments les plus prometteurs du marché de l’assurance. Même des secteurs comme celui de l’industrie manufacturière, elle aussi de plus en plus connectée et interconnectée, dépensent des sommes extravagantes pour s’assurer contre les cyberattaques.

Derob

Un serveur, qu'il soit linux ou autre si on y applique pas de patch régulièrement et si tous les mots de passes sont identiques pour chaque service, ça reste une passoire !
Pour rappel toutes les (dernières ?) infos de sécurité c'est la faute des hommes et pas des systèmes.

Tout à fait. C'est pour ça que j'ai posté le message suivant, avec cet article qui adresse cette question : http://blog.mondediplo.net/2017-05-15-La-rancon-et-la-rente

Derob

Je comprends pas bien la logique. 
L'administration serveur est délicate, même les pros font des erreurs.  La solution serait de distribuer ça à des amateurs, que Mme Michu soit chargée de la sécurité de son micro-serveur???  Si le micro-serveur de Mme Michu était complètement isolé du réseau, elle ferait bien ce qu'elle veut, je m'en fiche.  Mais comme ce n'est pas le cas, elle devient un vecteur d'infection pour tout le monde.

Merci Hub c'est ce que je voulais dire précédemment

L'article du monde ... :grat: l'extrait  de Derob est une piste intéressante de réflexion, mais comme l'article est truffé d'affirmations gratuites (et qui depuis mon système de croyance à moi me semble complétement érronées), ben finalement ça ne (me) donne pas du tout envie de lire la suite ni d'embrayer sur ces pistes avec lui (l'article).

@Hub : "Tout à fait. C'est pour ça que j'ai posté le message suivant, avec cet article qui adresse cette question plus largement : http://blog.mondediplo.net/2017-05-15-La-rancon-et-la-rente" ;-) L'extrait, n'est qu'un extrait ; pour savoir ce qu'il dit, il n'y a pas d'autre solution que de le lire (il n'est pas si long).

@Piwaille : Ben... reste dans tes croyances hors sol, et ne cherche pas à comprendre alors.

Derob