Raspberry pi OS et le dépôt de Satan !

rpi os
Dernière mise a jour 21 Fév 2021 a 08:38

L’affaire a fait grand bruit en ce début de mois et a secoué le petit monde des libristes, makers adeptes du nano ordinateur rasperryPI. Pour résumer rapidement , les utilisateurs de la distribution officielle raspberrypi OS (dérivée de debian) ont pu constater du jour au lendemain l’apparition dans les sources de leurs dépôts d’une nouvelle adresse pointant chez microsoft. Le problème n’étant pas forcément Microsoft mais surtout la méthode insidieuse employée par la fondation Raspberry pour pousser des dépôts tiers sans le consentement de ses utilisateurs. Un grave manque de transparence qui a choqué la communauté. Alors quelles solutions pour y remédier?

« Vscode , c’est pour ton bien « 

Donc en résumé, toi qui installe une distrib linux et qui pense être le seul maître à bord en tant qu’administrateur, sache que la fondation Raspberry peut à tout moment intervenir sur ta machine. »L’enfer est pavé de bonnes intentions ». La fondation pense que pour ton bien être il serait bon que tu puisses installer et utiliser facilement l’éditeur de code Vscode développé par Microsoft. Ok ne soyons pas hypocrites, beaucoup de gens l’utilisent. Mais nombreux sont ceux aussi qui ne l’utilisent pas ou qui codent avec d’autres IDE. Tu sens pas là ? Yaurait pas comme une odeur de contrat bien juteux passé avec le gafam américain?
Au passage , si tu es fan de l’ide vscode (why not) préfère lui le projet Vscodium (c’est vscode sans la télémétrie, la différence est très bien expliqué ici).

Petit rappel des conséquences de l’ajout du dépôt de microsoft:
– a chaque apt-update , ton raspberry ping un serveur de microsoft
– Microsoft peut pousser n’importe quel paquet compilé par ses soins et si tu fais pas gaffe tu peux installer de la m…
– Microsoft récupère des infos sur ta framboise (ip , hostname etc…) avec sans doute un profilage à la clé

Solution 1: virer le dépôt de Satan?

voici les 2 fichiers installés à notre insu:
/etc/apt/sources.list.d/vscode.list
/etc/apt/trusted.gpg.d/microsoft.gpg

Virer le dépôt de Satan, c’est le premier truc que j’ai cherché à faire. Au début , mon cerveau reptilien m’a orienté basiquement vers la suppression des fichiers vscode.list et microsoft.gpg. Et puis je me suis dit qu’ils pouvaient très bien réapparaitre du jour au lendemain comme ils l’ont fait la première fois. D’ailleurs après recherches , le vrai responsable est le paquet raspberrypi-sys-mods.

Alors voici la méthode que j’ai retenue:

-Supprimer le contenu du fichier « vscode.list »:
sudo truncate -s0 /etc/apt/sources.list.d/vscode.list

-Supprimer le contenu du fichier « clé de confiance de microsoft »:
sudo truncate -s0 /etc/apt/trusted.gpg.d/microsoft.gpg

-Mettre les droits en « immuable » sur les 2 fichiers. ce qui empêchera tout programme d’écrire dedans:
sudo chattr +i /etc/apt/trusted.gpg.d/microsoft.gpg
sudo chattr +i /etc/apt/sources.list.d/vscode.list

Enfin, étape importante, on empêche le paquet « raspberrypi-sys-mods » d’être installé ou mis à jour une prochaine fois. C’est par lui qu’est passée la postinstall du dépôt de microsoft.
sudo apt-mark hold raspberrypi-sys-mods

Dernier truc, on peut rajouter une règle de filtrage dans /etc/hosts :
0.0.0.0 packages.microsoft.com

Mais bon l’idéal serait plutôt un filtre avec wildcard sur domaine microsoft . Mais c’est un peu bourrin. On peut éventuellement affiner avec une solution comme pihole pour que le blacklistage ne soit valable que pour le raspberry.

Solution 2: choisir une distrib linux alternative pour sa framboise

Pour moi la solution 1 n’est qu’une rustine temporaire. Le mal est fait, même si la rasperry fondation revenait en arrière sur ses choix, la confiance est définitivement rompue. Donc a minima me voilà en quête d’une nouvelle distrib pour ma framboise .

Je veux un truc de léger orienté serveur basé sur debian si possible.

Dans mon cas , je cherche donc une alternative libre sérieuse pour une distrib linux légère orientée serveur. Quels choix s’offrent à nous?

  • raspbian: a priori le projet vit toujours malgré les tentatives de raspberry.org pour en effacer son existence.
  • armbian https://www.armbian.com/
  • archlinux
  • ubuntu
  • …?

Si vous avez des conseils en choix d’os alternatifs à raspberry piOS, n’hesitez pas à partager dans les commentaires.

Solution 3 : choisir une carte opensource

Bah oui , rappelons que le raspberry n’est pas une carte opensource (firmware propriétaire). Ce serait bien l’occasion de jeter un œil du côté de produits openhardware comme:

https://www.olimex.com/Products/OLinuXino/A20/open-source-hardware

Pareil , je suis preneur d’avis sur le choix de cartes alternatives.

Conclusion:

Au delà de la promotion du produit d’un Gafam, c’est bien un problème de communication et de méthode qui sont reprochées à la fondation raspberry par une partie de sa communauté.
Pourquoi ne pas avoir laisser le choix en amont à ses utilisateurs sur l’ajout d’un dépôt tiers ? Pourquoi ne pas avoir communiqué dessus? Pourquoi ne pas avoir fait amende honorable une fois la main prise dans le pot de miel? Plutôt que d’adopter une posture méprisante à l’encontre de ces utilisateurs en affirmant que c’est ainsi qu’ils ont toujours procédé.
Et que dire de ces méthodes autoritaires employées par les modérateurs du forum officiel pour supprimer des threads considérés comme trop « microsoft bashing »?
Là il faut bien admettre que la fondation raspberry a fait du sale et n’a clairement pas joué la transparence. Ce changement de stratégie n’augure rien de bon pour la suite…

sources:
https://www.reddit.com/r/linux/comments/lbu0t1microsoft_repo_installed_on_all_raspberry_pis/

18 commentaires sur Raspberry pi OS et le dépôt de Satan !

  1. La 3eme solution n’a rien à voir non ?
    Le hardware est Open-Source, mais le software l’est entièrement.

    Après, je pense qu’il faut aussi arrêter de voir le mal partout, même s’il aurait été plus malin de l’intégrer aux dépôts debian classique.

  2. @mck1e merci pour le lien, j’étais tombé dessus dans mes recherches .Très intéressant, pourquoi pas pour un environnement de test. Mais le dev est seul et ça me rassure pas trop pour la pérennité du projet.
    Sinon j’ai découvert que devuan buildait des images pour ARM https://arm-files.devuan.org/ , ca me plait bien

    @Pofilo ,
    – D’un point de vue éthique je préfère mettre des ronds dans des projets libres (matériellement ») plutôt que ds une fondation caritative qui prend un mauvais chemin.
    – euh …intégrer du code proprio aux dépôts debian classique , je suis pas sûr que ce soit compatible ^^
    encore une fois pour moi cest la méthode employée qui me gêne.Un manque de transparence totale vis à vos de sa communauté

  3. A propos de la solution 3, les Olinuxino A20 sont très bien. J’en ai plusieurs, ils sont stables et supportés par le debian-installer depuis longtemps. Open-hardware + open-source. Par contre, leur processeur commence à dater donc ils ne sont pas très puissants.

    J’ai aussi des Olinuxino A64 (https://www.olimex.com/Products/OLinuXino/A64/open-source-hardware), qui sont plus puissants. Mais j’ai beaucoup de problèmes de stabilité avec l’image officielle fournie par Olimex (l’appareil n’est pas encore supporté par le debian-installer). Leur gestion et communication manquent vraiment de sérieux (j’en parlais encore ce matin sur leur forum), je suis pas loin d’abandonner. Je vais peut-être essayer l’image https://www.armbian.com/olimex-lime-a64/ à la place de la leur. A leur décharge, le processeur Allwinner A64 a un bug matériel (qui fait parfois changer la date d’une centaine d’année), un contournement existe dans les kernel pas trop anciens.

    A propos d’alternatives, je suis tombé sur https://wiki.debian.org/CheapServerBoxHardware qui en recense pas mal

      • Pour bémoler la problématique sur les Olinuxino A64, j’en ai plusieurs et certains sont tout à fait stables. Le hardware est le même, c’est l’image utilisée qui n’est pas la même. Donc c’est possible et n’est « que » un problème logiciel.
        Ce qui est « instable » c’est surtout les mises à jour fournies par Olimex (MAJ du kernel et de leurs outils à travers leur repo, nouvelles images), dans le sens où ce n’est pas assez bien testé (de mon point de vue) et qu’ils ne communiquent pas bien dessus.
        Cela dit, après avoir passé mon coup de gueule sur leur forum, ils ont dit qu’ils allaient fournir des changelog (c’est déjà mieux que rien).
        D’autre part, j’ai espoir que l’appareil soit supporté par le debian-installer en version Bullseye : le kernel 5.10 serait suffisant, mais ça ne fonctionne pas encore (je peux faire toute l’installation, mais ensuite l’appareil ne démarre pas)

  4. Salut,
    Perso j’utilise dietpi sur du pi 0 1 et 4 depuis que les versions sont trop gourmandes en espace disque (enfin de mon point de vue), ça marche vraiment bien sur une petite carte de 2go.

    https://dietpi.com/

    Sincèrement l’essayer c’est l’adopter.

    • @seb & @moubai
      j’ai testé dietpi.
      point positif: elle est vraiment légère!
      2 trucs jai pas aimé , la surcouche de scripts pour demander la config et l’install. A la limite pour le débutant pourquoi pas mais je trouve ça un lourdingue au final de devoir répondre à whatmille questions.
      Et en fin, ce n’est ni plus ni moins qu’une raspberry piOS allégée et au final le dépôt vscode.list est installé comme sur les autres!
      Après je peux comprendre que cette distrib puisse répondre aux besoins de certains mais pour les miens ça va pas le faire

  5. RaspberryPi OS est le nouveau nom de Raspbian (c’est écrit sur la page https://www.raspberrypi.org/software/) depuis la sortie en 2020 du RaspberryPi 4 (selon https://fr.wikipedia.org/wiki/Raspberry_Pi_OS#Caract%C3%A9ristiques).

    Sur mon RaspberryPi 1B en Raspbian 10 Buster, j’ai retrouvé le dépôt Microsoft mais pas sur mon RaspberryPi 3B+ en Raspbian 9 Stretch.
    Ça n’inspire pas confiance qu’ils aient poussé le dépôt sans prévenir l’utilisateur, même si rien n’a été installé (heureusement). Ça montre l’importance, les potentielles conséquences que peuvent avoir l’ajout d’un dépôt tiers sur un système…

    Je sais que Debian fait des images pour RaspberryPi mais je ne les ai pas encore testé : https://wiki.debian.org/RaspberryPi

      • SSH est activé de base (sans mot de passe) mais il n’est pas encore possible (c’est prévu) de configurer le Wi-Fi via un fichier dans /boot. Ça semble possible via /etc/network/interfaces.d/wlan0 mais sous Windows ce sera plus compliqué ^^.

        Il est possible de configurer :
        – hostname
        – clef SSH
        – mot de passe via le fichier /boot/firmware/sysconf.txt
        Cf. https://raspi.debian.net/defaults-and-settings/

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*