Publié le 10 février 2021 - par

Un lien vers les serveurs Microsoft dans Raspberry Pi OS !

Depuis quelques jours une espèce de tempête agite le monde du Raspberry Pi. La Fondation Raspberry Pi a facilité l’installation de l’environnement de développement Visual Studio Code de Microsoft. Certains utilisateurs de Linux suggèrent que Microsoft a secrètement installé un lien à l’insu de votre plein gré. Voyons cela de plus près et surtout comment éliminer ce dépôt Microsoft s’il vous gêne.

Raspberry Pi OS contient un lien vers un dépôt Microsoft

Qu’est-ce qui a été ajouté ?

Une mise à jour de Raspberry Pi OS a récemment ajouté un repository (dépôt) de Microsoft au système. A vrai dire aucun paquet n’a été ajouté.

Lorsque vous faites une mise à jour du système avec

Un fichier  /etc/apt/sources.list.d/vscode.list est ajouté. Ce fichier ajoute un seul dépôt aux sources : http://packages.microsoft.com/repos/code, avec les branches stable et main.

Si on regarde le contenu réel de , on peut voir qu’il ne contient que trois paquets : code, code-exploration, et code-insiders.

Enfin si vous lancez

vous voyez que Visual Studio Code n’est pas installé  le système. Avec la présence de ce dépôt il sera simplement plus facile à installer si vous voulez l’utiliser, puisque son dépôt fait partie de la liste de sources, avec le code GPG qui vérifie le contenu de ce dépôt.

Pourquoi ajouter ce dépôt ?

Avant que la Fondation Pi n’ajoute le dépôt Microsoft pour Visual Studio Code à la liste, l’installation de cet IDE nécessitait quelques étapes supplémentaires, et plutôt non-Linux. Vous deviez ouvrir un navigateur Web, aller sur la page de téléchargement de Visual Studio Code et surmonter quelques obstacles mineurs. Par exemple, vous devez savoir que votre système veut des fichiers deb et non des rpm, que votre Pi a besoin de paquets d’architecture ARM, et enfin si ces paquets doivent être ARM ou ARM64 (ils différent pour les différents modèles de Raspberry Pi…).

Une fois que vous aviez téléchargé la version du code de Visual Studio, que vous espérez être la bonne, vous devez localiser le paquet téléchargé et l’exécuter – typiquement, en le trouvant dans le gestionnaire de fichiers et en double-cliquant dessus. Une fois cela fait, vous deviez vous authentifier en tant qu’utilisateur privilégié, et enfin le package (et ses dépendances) commençait à se télécharger et à s’installer sur votre Pi.

En revanche, maintenant que le dépôt du code (et sa clé GPG) sont installés sur le système, un utilisateur peut simplement faire  sudo apt install code. C’est une façon de faire plus proche de celle dont on a l’habitude, c’est considérablement plus simple, et ça peut être réalisé beaucoup plus facilement sans même avoir d’interface graphique.

Bien entendu vous pouvez penser qu’il n’était pas si difficile d’installer le code de VS « à l’ancienne » – mais souvenez-vous que le but premier de la Fondation Raspberry Pi n’est pas de fournir aux utilisateurs avancés des jouets bon marché, mais de faciliter l’éducation à l’informatique en supprimant les obstacles.

Le premier de ces obstacles était sans doute le prix – il est difficile, voire impossible, d’obtenir un appareil informatique complet et polyvalent pour un prix inférieur à celui d’un Pi. Mais la difficulté de commencer à écrire du code est un autre de ces obstacles potentiels. Faciliter l’installation d’un IDE très populaire est tout à fait en accord avec la mission principale de la Fondation Pi.

Quelles en sont les conséquences ?

Avec le dépôt Visual Studio Code de Microsoft installé sur votre système, à chaque fois que le système vérifiera les mises à jour, le serveur http://packages.microsoft.com recevra des requêtes pour voir s’il y a des changements dans les paquets qu’il met à disposition. On peut dire que ça constitue de la « télémétrie » puisque votre Raspberry Pi a contacté un serveur Microsoft…

Cependant, c’est selon le fondateur de Raspberry Pi, Eben Upton, « c’est plutôt mince ». Le seul outil qui touche ce serveur Web est apt lui-même, et il ne révèle rien sur le système de l’utilisateur – il vérifie simplement ce qui se trouve dans /repos/vscode/dists/stable et télécharge le fichier Contents-*.gz approprié à votre architecture système. Sur un Pi 400, il s’agit de Contents-arm64.gz et sur les anciens Raspberry Pi 32 bits, ce sera Contents-armhf.gz.

Une fois le fichier Contents téléchargé, apt l’analyse pour déterminer quelles versions de paquets sont disponibles. Ces données permettent à apt de répondre aux demandes des utilisateurs d’installer le paquet correspondant. Ils lui permettent également de savoir s’il existe des versions plus récentes des paquets installés qui seront téléchargées et mises en place uniquement après une commande apt upgrade ou de apt dist-upgrade. Mais aucune de ces informations n’est communiquée à Microsoft, sauf si l’utilisateur a effectivement installé du code ; dans ce cas, Microsoft saura quand une version plus récente est téléchargée (puisque cela aussi vient de ‘packages.microsoft.com‘).

Pour les plus paranoïaques, il existe une autre possibilité : si Microsoft mettait à disposition dans son dépôt des paquets portant les mêmes noms que les paquets du dépôt standard raspbian.raspberripi.org spécifié dans /etc/apt/sources.list, il pourrait remplacer les « vrais » paquets du système par d’autres de sa propre fabrication.

Même si ce n’est pas son intérêt, Microsoft pourrait utiliser ce lien pour collecter des données, établir le profil des utilisateurs de Rapsberry Pi et les identifier lorsqu’ils utilisent certains services en ligne comme Bing ou Github (propriété de Microsoft) afin de leur proposer des publicités ciblées. (source 01net)

Cependant, ce serait un changement évident de la politique de Microsoft – un changement qui serait détecté presque immédiatement après que Microsoft l’ait fait – et qui entraînerait effectivement la destruction immédiate de l’investissement de Microsoft dans la communauté Linux depuis 6 ans et anéantirait le peu de confiance qu’on peut avoir dans ce GAFAM. Cela ne semble pas être sa volonté.

Bon d’accord mais je fais quoi si je n’en veux pas ?

Si vous avez lu jusqu’ici et que vous êtes toujours persuadé que Microsoft veut prendre le contrôle de votre système Raspberry Pi OS, vous avez plusieurs options.

Virer Raspberry Pi OS

L’option la plus expéditive est de vous débarrasser complètement de Raspberry Pi OS. Vous pouvez toujours utiliser Ubuntu sur votre Raspberry Pi par exemple. Il existe également des images de Debian vanilla prêtes à l’emploi pour le Raspberry Pi, et hébergées sur debian.org lui-même. Il y a également Arch Linux, OpenSuse, FreeBSD, OpenBSD, NetBSD

Supprimer le dépôt

Mais il serait plus simple de se contenter de bloquer le dépôt dont vous ne voulez pas entendre parler. Il y a plusieurs façons de le faire : par exemple, vous pouvez modifier ou supprimer le fichier vscode.list lui-même.

Puis relancez un

Bloquer complètement l’accès à Microsoft

On peut craindre que les futures mises à jour de Raspberry Pi OS ne remettent ce fichier en place ou n’annulent votre modification, vous pouvez ajouter une entrée dans /etc/hosts rendant impossible tout contact avec le dépôt de Microsoft :

127.0.0.1 packages.microsoft.com

Du coup, si votre système tente d’accéder au dépôt de Microsoft, il le fera sur… lui-même,ce qui échouera et résoudra le problème.

Sortir la grosse artillerie

Si cependant vous souhaitez continuer à utiliser Raspberry Pi OS, l’article de cyberciti donne une solution radicale, un peu plus longue à mettre en œuvre :

Modifiez votre fichier /etc/hosts sur le Raspberry PI (ou ajoutez ce domaine à votre Pi-Hole)

Ajoutez la ligne suivante :

Enregistrez et fermez le fichier dans nano. Bloquez le paquet raspberrypi-sys-mods pour  qu’il n’installe pas d’autres mises à jour :

Supprimez la clé GPG de Microsoft à l’aide de la commande rm :

Assurez-vous que de nouvelles clés Microsoft ne pourront pas être installées :

Ensuite, protégez ce fichier en écriture sur Linux en utilisant la commande chattr :

Avec cet ensemble de modifications, vous êtes tranquille et aucun fichier suspect de Microsoft ne viendra s’immiscer subrepticement dans votre OS.

 

Conclusion

Voilà, que vous soyez neutre, pour, ou farouchement opposé à l’ajout de ce dépôt, cet article vous aidera à décider le choix que vous faites. Si vous décidez de supprimer le dépôt et de bloquer Microsoft sur Raspberry Pi OS, vous trouverez des solutions…

Sources

https://www.cyberciti.biz/linux-news/heads-up-microsoft-repo-secretly-installed-on-all-raspberry-pis-linux-os/

https://www.01net.com/actualites/raspberry-pi-pourquoi-son-nouvel-os-communique-sans-autorisation-avec-les-serveurs-de-microsoft-2033864.html

https://www.pcmag.com/news/users-upset-as-raspberry-pi-os-now-pings-a-microsoft-server-during-updates

https://arstechnica.com/gadgets/2021/02/raspberry-pi-os-added-a-microsoft-repo-no-its-not-an-evil-secret/

https://github.com/RPi-Distro/raspberrypi-sys-mods/issues/43

 

À propos François MOCQ

Électronicien d'origine, devenu informaticien, et passionné de nouvelles technologies, formateur en maintenance informatique puis en Réseau et Télécommunications. Dès son arrivée sur le marché, le potentiel offert par Raspberry Pi m’a enthousiasmé j'ai rapidement créé un blog dédié à ce nano-ordinateur (www.framboise314.fr) pour partager cette passion. Auteur de plusieurs livres sur le Raspberry Pi publiés aux Editions ENI.

9 réflexions au sujet de « Un lien vers les serveurs Microsoft dans Raspberry Pi OS ! »

  1. Eric

    Bonjour,

    Est-ce que la version de Debian vanilla comporte quelques améliorations, comme la détection de fichiers dans la partition boot, donc ssh et wpa_supplicant ?

    Répondre
  2. bonobot

    Le paragraphe qui traite de la « difficulté » d’installation de vscode sans dépôt me rappelle l’installation d’un quelconque programme sous windows :
    Faut ouvrir un navigateur web, aller sur la page de téléchargement et connaitre la version de son windows.
    Connaitre son architecture 32 ou 64
    Une fois téléchargé la version du logiciel, qu’on espère être la bonne, on doit localiser le paquet téléchargé et l’exécuter.

    C’est vrai que c’est pas donné à tout le monde….

    Répondre
    1. François MOCQ Auteur de l’article

      Bonjour
      Eh non! pour répondre à de nombreuses questions en commentaires ou en mail, je peux vous dire que ce n’est pas évident pour tout le monde… il y a des ”vrais” débutants 😉

      Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Complétez ce captcha SVP *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.