Le nouveau format de Linux Ubuntu 16.04 ne fait pas l’unanimité. Présenté la semaine dernière, il introduit la gestion de paquets connue comme Snaps. Selon Canonical, ce dispositif facilite l’installation des paquets du logiciel. Sauf que, Matthew Garret, un expert en sécurité informatique a détecté de sérieuses failles dans cette nouvelle fonctionnalité. Qu’en est-il au juste ?Le système de fenêtrage X11 n’est pas sécuriséSelon Matthew Garret, les paquets Snaps sont en mesure de copier des données privées pratiquement où ils veulent. Et ce, sans laisser aucune trace. L’expert en sécurité informatique se base sur le manque de sécurité du système de fenêtrage X11, qu’utilise Snaps. « Cela signifie que les applications tournant dans X peuvent très simplement demander à recevoir les enregistrements de touches effectuées dans d’autres applications. Une application qui n’a pas accès à toutes les données privées de l’utilisateur peut attendre la fin d’une session, ouvrir un terminal non confiné puis utiliser l’extension cURL pour envoyer ses données vers un site distant ».
Linux Ubuntu 16.04 : des failles détectées
Le nouveau format de Linux Ubuntu 16.04 ne fait pas l’unanimité. Présenté la semaine dernière, il introduit la gestion de paquets connue comme Snaps. Selon Canonical, ce dispositif facilite l’installation des paquets du logiciel. Sauf que, Matthew Garret, un expert en sécurité informatique a détecté de sérieuses failles dans cette nouvelle fonctionnalité. Qu’en est-il au juste ?Le système de fenêtrage X11 n’est pas sécuriséSelon Matthew Garret, les paquets Snaps sont en mesure de copier des données privées pratiquement où ils veulent. Et ce, sans laisser aucune trace. L’expert en sécurité informatique se base sur le manque de sécurité du système de fenêtrage X11, qu’utilise Snaps. « Cela signifie que les applications tournant dans X peuvent très simplement demander à recevoir les enregistrements de touches effectuées dans d’autres applications. Une application qui n’a pas accès à toutes les données privées de l’utilisateur peut attendre la fin d’une session, ouvrir un terminal non confiné puis utiliser l’extension cURL pour envoyer ses données vers un site distant ».
