Executer les mises à jour du noyau, ou pas ?

[ToutAlu]

J'ai pris l'habitude d'accepter les mises à jour du noyau, dès que Mint update me les propose.

Après la dernière mise à jour je redémarre et j'ai deux noyaux installés, le tout dernier et le précédent.
Si le nouveau noyau devait générer des bugs, j'ai toujours la possibilité de revenir au précédent.

Voici un site qui explique l'une des dernières failles connue :
https://thehackernews.com/2021/07/new-w ... -give.html

ou en français, la partie qui concerne Linux :

Des correctifs ont été publiés pour une lacune de sécurité affectant toutes les versions du noyau Linux à partir de 2014 qui peuvent être exploitées par des utilisateurs malveillants et des logiciels malveillants déjà déployés sur un système pour obtenir des privilèges de niveau racine.

Surnommé « Sequoia » par les chercheurs de la société de cybersécurité Qualys, le problème a reçu l'identifiant CVE-2021-33909 et affecte les installations par défaut d'Ubuntu 20.04, Ubuntu 20.10, Ubuntu 21.04, Debian 11 et Fedora 34 Workstation. Les versions 6, 7 et 8 de Red Hat Enterprise Linux sont également affectées par la vulnérabilité.

Plus précisément, la faille concerne une vulnérabilité de conversion de type size_t-to-int dans l'interface du système de fichiers "seq_file" du noyau Linux, permettant à un attaquant local non privilégié de créer, monter et supprimer une structure de répertoires profonds dont la longueur totale du chemin dépasse 1 Go, entraînant élévation de privilèges sur l'hôte vulnérable.

Séparément, Qualys a également divulgué une vulnérabilité de déni de service d'épuisement de la pile dans systemd ( CVE-2021-33910 ) qui pourrait être exploitée par des attaquants non privilégiés pour faire planter la suite logicielle et déclencher une panique du noyau .

Lorsque Linux Mint nous propose une mise à jour du noyau, il ne s'agit pas seulement d'une simple évolution de celui-ci mais surtout de nous mettre hors de danger.

[LoVache]

Pour ma part (désolé si je phagocyte un sujet qui ne m'appartient pas), j'aimerais savoir si je peux sans problème installer un noyau supérieur à ma version (en signature) sachant qu'il existe des noyaux 5.6.0-xx et 5.8.0-xx alors que je n'ai toujours qu'un noyau 5.4.0-xx ?

[Aztaroth]

Pour ma part (désolé si je phagocyte un sujet qui ne m'appartient pas), j'aimerais savoir si je peux sans problème installer un noyau supérieur à ma version (en signature) sachant qu'il existe des noyaux 5.6.0-xx et 5.8.0-xx alors que je n'ai toujours qu'un noyau 5.4.0-xx ?

Sans info système (inxi -Fxxxz) difficle de répondre (on ne sait rien sur la distro, les pilotes, les éventuels problèmes de configuration, la machine).
Le seul conseil à ce niveau est de créer une sauvegarde avec Timeshift avant.

[Aztaroth]

Lorsque Linux Mint nous propose une mise à jour du noyau, il ne s'agit pas seulement d'une simple évolution de celui-ci mais surtout de nous mettre hors de danger.

Pas vraiment. Les sauts de puce des màj des noyaux ne servent qu'à corriger des bugs mineurs.
Les failles que vous avez relayées sont exactes, mais ne visent pas l'utilisateur lambda. Seules, les grosses infrastructures de type cloud, banques, grandes entreprises ou institutions qui ont de gros serveurs Linux/Unix sont concernées.

Aucun hacker ne s'intéressera vraiment à nous, utilisateurs de LM, car :
- si les utilisateurs lambda sont sa cible, les passoires Windows sont bien plus faciles à pénétrer que les distros Linux et c'est plus rentable car vu le nombre d'utilisateurs et vu leur propension à cliquer sur tout ce qui bouge, il passe de la pêche à la ligne à la pêche au filet.
- si c'est les grosses infrastructures qui sont sa cible, il ignorera le menu fretin que nous sommes.

[MikeNavy]

Lorsque Linux Mint nous propose une mise à jour du noyau, il ne s'agit pas seulement d'une simple évolution de celui-ci mais surtout de nous mettre hors de danger.

Pas vraiment. Les sauts de puce des màj des noyaux ne servent qu'à corriger des bugs mineurs.
Les failles que vous avez relayées sont exactes, mais ne visent pas l'utilisateur lambda. Seules, les grosses infrastructures de type cloud, banques, grandes entreprises ou institutions qui ont de gros serveurs Linux/Unix sont concernées.

Aucun hacker ne s'intéressera vraiment à nous, utilisateurs de LM, car :
- si les utilisateurs lambda sont sa cible, les passoires Windows sont bien plus faciles à pénétrer que les distros Linux et c'est plus rentable car vu le nombre d'utilisateurs et vu leur propension à cliquer sur tout ce qui bouge, il passe de la pêche à la ligne à la pêche au filet.
- si c'est les grosses infrastructures qui sont sa cible, il ignorera le menu fretin que nous sommes.

Bonjour,

En 2021 Trend Micro a recensé 13 000 000 d'attaques (*) contre des systèmes Linux, essentiellement sur des systèmes pour lesquels les mises à jour de sécurité n'ont pas été faites (distributions plus maintenues, mises à jour du noyau et principaux programmes système pas faites...).

Bref, en suivant les conseils de ToutAlu on se met à l'abri de ces problèmes, en suivant ceux d'Aztaroth on s'y expose...

Cordialement,

MN

(*) : crypto coin miners 25 %, web shell (prise de contrôle de la machine) 20 %, ransomwares 12 %...

[Aztaroth]

Bref, en suivant les conseils de ToutAlu on se met à l'abri de ces problèmes, en suivant ceux d'Aztaroth on s'y expose...

Vous n'avez rien compris.
Je n'ai pas dit de ne pas faire les mises à jour. Juste qu'elles ne correspondaient pas à la résolution de délires sécuritaires ne concernant pas l'utilisateur lambda.
Une preuve évidente en est que la dernière version de Mint (20.2 Uma) est proposée de base avec un kernel 5.4 (voir encart site officiel en dessous) alors que les derniers kernels Linux en sont à la 5.13.
Linux Mint 20.2 features Cinnamon 5.0, a Linux kernel 5.4 and an Ubuntu 20.04 package base.

[LoVache]

Pour ma part (désolé si je phagocyte un sujet qui ne m'appartient pas), j'aimerais savoir si je peux sans problème installer un noyau supérieur à ma version (en signature) sachant qu'il existe des noyaux 5.6.0-xx et 5.8.0-xx alors que je n'ai toujours qu'un noyau 5.4.0-xx ?

Sans info système (inxi -Fxxxz) difficle de répondre (on ne sait rien sur la distro, les pilotes, les éventuels problèmes de configuration, la machine).
Le seul conseil à ce niveau est de créer une sauvegarde avec Timeshift avant.

Voici :

Code: Select all

System:    Kernel: 5.4.0-81-generic x86_64 bits: 64 compiler: gcc v: 9.3.0 Desktop: Cinnamon 5.0.5 
           wm: muffin dm: LightDM Distro: Linux Mint 20.2 Uma base: Ubuntu 20.04 focal 
Machine:   Type: Desktop System: Hewlett-Packard product: HP EliteDesk 800 G1 TWR v: N/A 
           serial: <filter> Chassis: type: 6 serial: <filter> 
           Mobo: Hewlett-Packard model: 18E4 serial: <filter> BIOS: Hewlett-Packard v: L01 v02.53 
           date: 10/20/2014 
CPU:       Topology: Quad Core model: Intel Core i7-4770 bits: 64 type: MT MCP arch: Haswell 
           rev: 3 L2 cache: 8192 KiB 
           flags: avx avx2 lm nx pae sse sse2 sse3 sse4_1 sse4_2 ssse3 vmx bogomips: 54272 
           Speed: 3833 MHz min/max: 800/3900 MHz Core speeds (MHz): 1: 3864 2: 3867 3: 3866 
           4: 3694 5: 3795 6: 3799 7: 3834 8: 3813 
Graphics:  Device-1: Intel Xeon E3-1200 v3/4th Gen Core Processor Integrated Graphics 
           vendor: Hewlett-Packard driver: i915 v: kernel bus ID: 00:02.0 chip ID: 8086:0412 
           Device-2: NVIDIA GF106GL [Quadro 2000] vendor: Hewlett-Packard driver: nvidia 
           v: 390.144 bus ID: 01:00.0 chip ID: 10de:0dd8 
           Display: x11 server: X.Org 1.20.11 driver: modesetting,nvidia 
           unloaded: fbdev,nouveau,vesa resolution: 1920x1080~60Hz 
           OpenGL: renderer: Quadro 2000/PCIe/SSE2 v: 4.6.0 NVIDIA 390.144 direct render: Yes 
Audio:     Device-1: Intel Xeon E3-1200 v3/4th Gen Core Processor HD Audio vendor: Hewlett-Packard 
           driver: snd_hda_intel v: kernel bus ID: 00:03.0 chip ID: 8086:0c0c 
           Device-2: Intel 8 Series/C220 Series High Definition Audio vendor: Hewlett-Packard 
           driver: snd_hda_intel v: kernel bus ID: 00:1b.0 chip ID: 8086:8c20 
           Device-3: NVIDIA GF106 High Definition Audio vendor: Hewlett-Packard 
           driver: snd_hda_intel v: kernel bus ID: 01:00.1 chip ID: 10de:0be9 
           Sound Server: ALSA v: k5.4.0-81-generic 
Network:   Device-1: Intel Ethernet I217-LM vendor: Hewlett-Packard driver: e1000e v: 3.2.6-k 
           port: f080 bus ID: 00:19.0 chip ID: 8086:153a 
           IF: eno1 state: up speed: 100 Mbps duplex: full mac: <filter> 
Drives:    Local Storage: total: 1.14 TiB used: 158.31 GiB (13.6%) 
           ID-1: /dev/sda vendor: Crucial model: CT250MX500SSD1 size: 232.89 GiB speed: 6.0 Gb/s 
           serial: <filter> 
           ID-2: /dev/sdb vendor: Seagate model: ST1000DM003-1ER162 size: 931.51 GiB 
           speed: 6.0 Gb/s serial: <filter> 
Partition: ID-1: / size: 45.38 GiB used: 16.81 GiB (37.0%) fs: ext4 dev: /dev/sda3 
           ID-2: /home size: 906.54 GiB used: 141.50 GiB (15.6%) fs: ext4 dev: /dev/sdb1 
           ID-3: swap-1 size: 9.50 GiB used: 0 KiB (0.0%) fs: swap dev: /dev/sdb5 
USB:       Hub: 1-0:1 info: Full speed (or root) Hub ports: 3 rev: 2.0 chip ID: 1d6b:0002 
           Hub: 1-1:2 info: Intel ports: 6 rev: 2.0 chip ID: 8087:8008 
           Hub: 2-0:1 info: Full speed (or root) Hub ports: 3 rev: 2.0 chip ID: 1d6b:0002 
           Hub: 2-1:2 info: Intel ports: 8 rev: 2.0 chip ID: 8087:8000 
           Hub: 3-0:1 info: Full speed (or root) Hub ports: 15 rev: 2.0 chip ID: 1d6b:0002 
           Device-1: 3-11:2 info: HP Elite Keyboard type: Keyboard,HID driver: hid-generic,usbhid 
           rev: 1.1 chip ID: 03f0:034a 
           Device-2: 3-12:3 info: Logitech M90/M100 Optical Mouse type: Mouse 
           driver: hid-generic,usbhid rev: 2.0 chip ID: 046d:c05a 
           Hub: 4-0:1 info: Full speed (or root) Hub ports: 6 rev: 3.0 chip ID: 1d6b:0003 
Sensors:   System Temperatures: cpu: 44.0 C mobo: N/A gpu: nvidia temp: 63 C 
           Fan Speeds (RPM): N/A gpu: nvidia fan: 30% 
Repos:     No active apt repos in: /etc/apt/sources.list 
           Active apt repos in: /etc/apt/sources.list.d/eid.list 
           1: deb http: //files.eid.belgium.be/debian ulyana main
           2: deb http: //files2.eid.belgium.be/debian ulyana main
           Active apt repos in: /etc/apt/sources.list.d/gerardpuig-ppa-focal.list 
           1: deb http: //ppa.launchpad.net/gerardpuig/ppa/ubuntu focal main
           Active apt repos in: /etc/apt/sources.list.d/maarten-baert-simplescreenrecorder-focal.list 
           1: deb http: //ppa.launchpad.net/maarten-baert/simplescreenrecorder/ubuntu focal main
           Active apt repos in: /etc/apt/sources.list.d/nextcloud-devs-client-focal.list 
           1: deb http: //ppa.launchpad.net/nextcloud-devs/client/ubuntu focal main
           Active apt repos in: /etc/apt/sources.list.d/official-dbgsym-repositories.list 
           1: deb http: //ddebs.ubuntu.com focal main restricted universe multiverse
           2: deb http: //ddebs.ubuntu.com focal-updates main restricted universe multiverse
           Active apt repos in: /etc/apt/sources.list.d/official-package-repositories.list 
           1: deb http: //packages.linuxmint.com uma main upstream import backport #id:linuxmint_main
           2: deb http: //archive.ubuntu.com/ubuntu focal main restricted universe multiverse
           3: deb http: //archive.ubuntu.com/ubuntu focal-updates main restricted universe multiverse
           4: deb http: //archive.ubuntu.com/ubuntu focal-backports main restricted universe multiverse
           5: deb http: //security.ubuntu.com/ubuntu/ focal-security main restricted universe multiverse
           6: deb http: //archive.canonical.com/ubuntu/ focal partner
           Active apt repos in: /etc/apt/sources.list.d/qbittorrent-team-qbittorrent-stable-focal.list 
           1: deb http: //ppa.launchpad.net/qbittorrent-team/qbittorrent-stable/ubuntu focal main
           Active apt repos in: /etc/apt/sources.list.d/rvm-smplayer-focal.list 
           1: deb http: //ppa.launchpad.net/rvm/smplayer/ubuntu focal main
           Active apt repos in: /etc/apt/sources.list.d/vincent-vandevyvre-vvv-focal.list 
           1: deb http: //ppa.launchpad.net/vincent-vandevyvre/vvv/ubuntu focal main
Info:      Processes: 260 Uptime: 7m Memory: 31.27 GiB used: 1.85 GiB (5.9%) Init: systemd v: 245 
           runlevel: 5 Compilers: gcc: 9.3.0 alt: 9 Client: Unknown python3.8 client inxi: 3.0.38 

Je me demande juste pourquoi cette installation qui date de l'année dernière, sur laquelle je fais les mises à jour quotidiennes quand elles me sont proposées utilise un noyau plus ancien, en tout cas d'une version inférieure à d'autres existantes ? Ma question étant générale, mais peut-être mal formulée, j'avais cru que ma signature aurait pu suffire.

[Aztaroth]

Je me demande juste pourquoi cette installation qui date de l'année dernière, sur laquelle je fais les mises à jour quotidiennes quand elles me sont proposées utilise un noyau plus ancien, en tout cas d'une version inférieure à d'autres existantes ? Ma question étant générale, mais peut-être mal formulée, j'avais cru que ma signature aurait pu suffire.

L'installation ne date pas de l'année dernière puisque LM20.2 n'existait pas. Vous aviez sans doute une version 20 antérieure que vous avez upgradée.
Ainsi que je l'ai dit dans mon précédent post, l'installation de base se fait avec un noyau 5.4 et vu votre PC "ancien" (un i7 4ème génération comme le mien ), il n'y a pas de vraie raison de changer de noyau car il est capable de gérer tous nos périphériques sans problème. Un i7 plus récent ou un Ryzen nécessiterait la version Edge de Mint 20.2 qui arrive avec un noyau 5.11. Mais ainsi que le dit l'Announcement de la version Edge, elle est moins stable que la version de base :
Warning
The Edge ISO image is not as stable as the other ISOs and may not support as many proprietary
drivers. Only use it if you cannot boot or install with the other ISOs.
Ce qui signifie que tout écart par rapport à la série de noyaux officiels se fait à vos risques et périls avec des incompatibilités possibles avec certains pilotes.

D'où mon conseil générique de faire absolument un snap Timeshift si vous décidez de tenter l'expérience malgré tout (car en plus, ça ne vous apportera rien puisque vos composants sont parfaitement compatibles avec le noyau de base).

Vous comprendrez alors aussi pourquoi un avis plus fourni ne peut se baser que sur des infos système. Certes, vous décrivez votre matériel dans votre signature, mais rien ne prouve (à partir de cette simple signature) qu'il soit bien installé. Nombre de questions sur le forum anglais portent sur des pilotes Nvidia mal installés, des cartes non reconnues, etc...
Le parcourir m'a permis de vérifier que tout était OK car le pire qui puisse arriver est d'installer un autre noyau sur une configuration déjà bancale,
La vôtre est saine. Si vous tenez absolument à faire l'expérience d'un autre noyau, faites-le (inutile d'en arriver à une frustation insurmontable en ayant présent à l'esprit les précautions et limitations dont je vous ai fait part. Le principal souci que vous pourriez rencontrer selon moi est un "rejet" du pilote nvidia qui lors de son installation se lie au kernel.

[MikeNovember]

Bref, en suivant les conseils de ToutAlu on se met à l'abri de ces problèmes, en suivant ceux d'Aztaroth on s'y expose...

Vous n'avez rien compris.
Je n'ai pas dit de ne pas faire les mises à jour. Juste qu'elles ne correspondaient pas à la résolution de délires sécuritaires ne concernant pas l'utilisateur lambda.
Une preuve évidente en est que la dernière version de Mint (20.2 Uma) est proposée de base avec un kernel 5.4 (voir encart site officiel en dessous) alors que les derniers kernels Linux en sont à la 5.13.
Linux Mint 20.2 features Cinnamon 5.0, a Linux kernel 5.4 and an Ubuntu 20.04 package base.

Je vous le renvoie : Vous n'avez rien compris !

Le fait que Mint 20.2 utilise le noyau 5.4 ne signifie pas qu'il n'est pas sûr ! Au contraire, les mises à jour régulières du noyau 5.4 (on en est au 5.4.0-81 le 30/08/21) sont des mises à jour de sécurité ! Par rapport à un noyau 5.13 on a moins de fonctionnalités, le noyau est compatible de moins de matériels (récents). Mais les failles connues sont patchées dans le 5.4.

MN

[Aztaroth]

Bref, en suivant les conseils de ToutAlu on se met à l'abri de ces problèmes, en suivant ceux d'Aztaroth on s'y expose...

Vous n'avez rien compris.
Je n'ai pas dit de ne pas faire les mises à jour. Juste qu'elles ne correspondaient pas à la résolution de délires sécuritaires ne concernant pas l'utilisateur lambda.
Une preuve évidente en est que la dernière version de Mint (20.2 Uma) est proposée de base avec un kernel 5.4 (voir encart site officiel en dessous) alors que les derniers kernels Linux en sont à la 5.13.
Linux Mint 20.2 features Cinnamon 5.0, a Linux kernel 5.4 and an Ubuntu 20.04 package base.

Je vous le renvoie : Vous n'avez rien compris !

Le fait que Mint 20.2 utilise le noyau 5.4 ne signifie pas qu'il n'est pas sûr ! Au contraire, les mises à jour régulières du noyau 5.4 (on en est au 5.4.0-81 le 30/08/21) sont des mises à jour de sécurité ! Par rapport à un noyau 5.13 on a moins de fonctionnalités, le noyau est compatible de moins de matériels (récents). Mais les failles connues sont patchées dans le 5.4.

MN

Vous avez lu ma réponse au post précédent ? Vous dites en gros la même chose.
A part ça, j'essaie d'aider qui le souhaite et pas d'avoir des réactions de cour d'école : "c'est pas moi, m'sieur, c'est lui".
Donc : 1) vous avez enfin compris ou 2)vous êtes ignoré dorénavant

[MikeNovember]

Vous avez lu ma réponse au post précédent ? Vous dites en gros la même chose.
A part ça, j'essaie d'aider qui le souhaite et pas d'avoir des réactions de cour d'école : "c'est pas moi, m'sieur, c'est lui".
Donc : 1) vous avez enfin compris ou 2)vous êtes ignoré dorénavant

Bonjour,

Sincèrement, je n'ai pas compris vos interventions :

Pas vraiment. Les sauts de puce des màj des noyaux ne servent qu'à corriger des bugs mineurs.

Non, elles servent aussi à corriger des failles de sécurité.

Aucun hacker ne s'intéressera vraiment à nous, utilisateurs de LM, car :
- si les utilisateurs lambda sont sa cible, les passoires Windows sont bien plus faciles à pénétrer que les distros Linux et c'est plus rentable car vu le nombre d'utilisateurs et vu leur propension à cliquer sur tout ce qui bouge, il passe de la pêche à la ligne à la pêche au filet.
- si c'est les grosses infrastructures qui sont sa cible, il ignorera le menu fretin que nous sommes.

On peut comprendre que cela sous-entend qu'il est inutile de faire les mises à jour, puisqu'il n'y aurait pas d'attaque.
Il n'y a en fait pas d'attaque rapportée contre les utilisateurs individuels, car ils n'ont en général pas de logiciel de protection commercial (antivirus, antimalware...). Seules les entreprises en sont équipées, et donc ces logiciels ne remontent que des attaques contre les entreprises (comme le rapport récent de Trend Micro). Mais cela ne veut pas dire qu'il n'y en aurait pas contre les particuliers, simplement on n'en connaît quasiment rien.
Quand aux passoires Windows, tout comme les passoires Linux, ce sont des systèmes pas mis à jour.

Une preuve évidente en est que la dernière version de Mint (20.2 Uma) est proposée de base avec un kernel 5.4 (voir encart site officiel en dessous) alors que les derniers kernels Linux en sont à la 5.13.

Je ne vois pas le lien entre le noyau 5.4 au lieu du 5.13 et la sécurité.
Le 5.13 prend en compte des matériels plus récents, il a de nouvelles fonctionnalités, certes de nouveaux dispositifs en matière de sécurité, et sans doute aussi de nouveaux bugs et de nouvelles vulnérabilités cachées. Il est patché régulièrement au fur et à mesure que les bugs sont corrigés et les vulnérabilités révélées, tout comme l'est le 5.4.
Adopter le 5.13 n'est pas lié à des questions de sécurité, mais à des questions de compatibilité de matériel, ce que couvre la version "Edge" de Mint.

Globalement la sécurité des noyaux Linux est fortement critiquée, par Google en particulier. Ils sont un agrégat de développements séparés, sans ligne directrice en matière de sécurité et sans effort suffisant (en heures de développement ou de test) consacrées à ce sujet.
Mais il faut bien faire avec (ou se donner le mal de passer à BSD...).

Cordialement,

MN

[Aztaroth]

Bonjour,

Sincèrement, je n'ai pas compris vos interventions :

Pas vraiment. Les sauts de puce des màj des noyaux ne servent qu'à corriger des bugs mineurs.

Non, elles servent aussi à corriger des failles de sécurité.

Ceci fait toute la différence avec le post original qui semble sous-entendre que si on n'a pas le dernier noyau sorti, on est ouvert à tous les vents. Bien sûr qu'une mise à jour peut aussi résoudre une faille de sécurité, mais elle peut aussi résoudre un problème de pilote, d'accès réseau Samba, ... Avec cette précision d'aussi, je crois que nous sommes plutôt d'accord. Certes, certaines failles de sécurité sont des bugs majeurs, mais dans ces cas-là, il faut souvent réecrire tout le code du noyau et cela devient une autre version.

Aucun hacker ne s'intéressera vraiment à nous, utilisateurs de LM, car :
- si les utilisateurs lambda sont sa cible, les passoires Windows sont bien plus faciles à pénétrer que les distros Linux et c'est plus rentable car vu le nombre d'utilisateurs et vu leur propension à cliquer sur tout ce qui bouge, il passe de la pêche à la ligne à la pêche au filet.
- si c'est les grosses infrastructures qui sont sa cible, il ignorera le menu fretin que nous sommes.

On peut comprendre que cela sous-entend qu'il est inutile de faire les mises à jour, puisqu'il n'y aurait pas d'attaque.
Il n'y a en fait pas d'attaque rapportée contre les utilisateurs individuels, car ils n'ont en général pas de logiciel de protection commercial (antivirus, antimalware...). Seules les entreprises en sont équipées, et donc ces logiciels ne remontent que des attaques contre les entreprises (comme le rapport récent de Trend Micro). Mais cela ne veut pas dire qu'il n'y en aurait pas contre les particuliers, simplement on n'en connaît quasiment rien.
Quand aux passoires Windows, tout comme les passoires Linux, ce sont des systèmes pas mis à jour.
Il y a quand même une différence de grain entre ces passoires. Windows autorise tout une fois que le système est lancé, Linux protège son "root" en demandant systématiquement le mot de passe pour installer une application ou lancer un script. Donc, si certes Linux n'est pas parfait, il est quand même plus "pénible" à hacker que Windows et vu que Linux est non seulement très minoritaire sur les ordis, mais qu'il y a X manière de l'installer et de choisir sa distro (Debian, Arch, ... basé sur systemd ou non..., possibilité quand on s'y connaît de compiler soit-même son noyau) qui font que ce n'est pas rentable pour un hackeur de s'attaquer à Linux pour l'utilisateur lambda, sauf à vouloir prouver qu'il est doué (ce qui peut avoir son intérêt, je vous l'accorde).

Une preuve évidente en est que la dernière version de Mint (20.2 Uma) est proposée de base avec un kernel 5.4 (voir encart site officiel en dessous) alors que les derniers kernels Linux en sont à la 5.13.

Je ne vois pas le lien entre le noyau 5.4 au lieu du 5.13 et la sécurité.
Le 5.13 prend en compte des matériels plus récents, il a de nouvelles fonctionnalités, certes de nouveaux dispositifs en matière de sécurité, et sans doute aussi de nouveaux bugs et de nouvelles vulnérabilités cachées. Il est patché régulièrement au fur et à mesure que les bugs sont corrigés et les vulnérabilités révélées, tout comme l'est le 5.4.
Adopter le 5.13 n'est pas lié à des questions de sécurité, mais à des questions de compatibilité de matériel, ce que couvre la version "Edge" de Mint.
Oui et non. Chaque nouveau noyau corrige des failles antérieures, outre qu'il rajoute des fonctionnalités comme vous l'avez précisé. Je me souviens que lors de la release du premier noyau de la série 5.8, Linus (Torvalds) avait écrit un article en disant que pour lui, c'était la plus grande avance en matière de sécurité depuis 20 ans. Même s'il y a eu des contradicteurs, il est difficile de ne pas au moins tenir compte de l'avis d'un tel expert.

Globalement la sécurité des noyaux Linux est fortement critiquée, par Google en particulier. Ils sont un agrégat de développements séparés, sans ligne directrice en matière de sécurité et sans effort suffisant (en heures de développement ou de test) consacrées à ce sujet.
C'est le mode de pensée standardisée de Google. Comme je l'ai dit plus haut, on peut aussi penser que ces multiples versions créent en partie la sécurité globale de Linux en rendant la tâche difficile aux hackers : réussir à cracker une version ne signifie pas pour autant avoir réussi à les cracker toutes.

[/quote]
Cordialement

PS : la discussion ayant pris un tour courtois bien que nos avis puissent diverger et qu'elle n'aurait peut-être jamais quitté si je n'avais pas été le premier à vous dire "Vous n'avez rien compris", veuillez m'en excuser.

[MikeNovember]

Hello,

@Aztaroth, pas de problème ! Excuses acceptées et retournées.

Je reviens à la sécurité sous Linux : elle est a priori meilleure du fait de la demande de mot de passe systématique pour toute opération sur les fichiers systèmes, et du fait que les fichiers téléchargés ne sont pas exécutables (sauf s'ils sont à l'intérieur d'un fichier compressé).
Mais ceci est théorique, dans un monde parfait sans failles de sécurité...

Sous Windows, la sécurité est, sur un plan théorique, moins bonne. Mais depuis l'époque des balbutiements sur internet (Windows 95), la sécurité intrinsèque s'est considérablement améliorée, et des outils de protection comme antivirus et pare-feu sont mis en place automatiquement dès l'installation.
Il y aura encore un saut en matière de sécurité avec Windows 11, mais il laissera de nombreux PC en plan (il demande des PC récents, en gros moins de deux ans).
En fait, avec une protection de type système et logiciels à jour + antivirus + pare-feu + filtre de navigation (hosts + adblocker, contre publicité, tracking et malware) je n'ai subi aucune attaque depuis Windows 95.

Là où Linux et Windows se rejoignent, c'est vis à vis d'internet : le risque est le même, qu'on navigue sous l'un ou l'autre OS.
Windows a d'ailleurs fait un pas dans le bon sens, avec son navigateur par défaut Edge basé sur Chrome. L'isolement des processus de la famille des navigateurs basés sur Chromium (Chrome, Chromium, Ungoogled-Chromium, Edge et autres) apporte une bien plus grande sécurité que celle qu'on a aujourd'hui avec Firefox (au point que Firefox n'est plus invité aux concours de recherche de failles, tant sa sécurité est plus faible).
Et Ubuntu / Mint utilisent Firefox comme navigateur par défaut...

Cordialement,

MN

[Aztaroth]

En fait, avec une protection de type système et logiciels à jour + antivirus + pare-feu + filtre de navigation (hosts + adblocker, contre publicité, tracking et malware) je n'ai subi aucune attaque depuis Windows 95.

Je reviens juste sur un point de cette phrase (car nous nous égarons un peu du topic) : l'antivirus. Un antivirus sous Linux semble être la pire des choses, car il n'est pas une protection, mais une cible. Dans la mesure où il a un root access, il devient une cible privilégiée pour un hackeur qui, s'il réussit son exploit, a toutes les cartes en main. Sous Windows, c'est différent, tout a accès à tout (j'exagère un peu, mais presque).

Je vais néanmoins répondre au sujet du topic en indiquant ma conclusion que je pense vous voir partager :
Exécutez les mises à jour du noyau proposées par les développeurs de Mint (logique, si vous leur faites confiance pour utiliser leur OS, il faut leur faire confiance jusqu'au bout). Faites un snap Timeshift avant quand même.

Mais ce n'est pas ce que j'avais cru comprendre avec le post original qui, selon moi, en mettant en doute les noyaux de LM, Ubuntu, Debian, etc... semblait plutôt inviter à upgrader les noyaux quitte à aller au-delà des recommandations des développeurs de distros (voir plus haut l'encart que j'avais mis à propos de l'avertissement officiel concernant Edge). D'où mon intervention. J'ai peut-être mal compris l'intention.

A propos de sécurité de Firefox, on peut aussi renforcer sa sécurité en installant firejail qui le mettra dans un 'bac à sable', mais là encore, c'est un autre topic.

Cordialement,
Au plaisir de vous retrouver sur d'autres sujets.

[MikeNovember]

Bonjour,

J'ai "un peu" détaillé les problèmes de sécurité dans un fil dédié, "Utiliser Linux Mint en toute sécurité", viewtopic.php?f=63&t=356257.

Cordialement,

MN

[LoVache]

J'ai trouvé comment vérifier la compatibilité éventuelle de ma machine avec un noyau supérieur à celui par défaut : j'ai créé une clef d'installation Mint Cinnamon Edge que j'ai testée en mettant à jour le pilote graphique. Tout fonctionnait, j'ai donc fait une installation sur un disque séparé. Tout fonctionne encore. J'ai donc pu mettre à jour mon installation primaire avec le noyau 5.11. Et je peux tester un noyau encore plus récent (5.13) sur mon installation secondaire.
Ça sert à quoi ? Au minimum à me familiariser avec Linux Mint, Grub, Efi, le partitionnement, les noyaux, la configuration, la récup’ Timeshift (après avoir tenté d'installer une appli foireuse), tout ça. Coco content. Sauf que j'ai acheté quelques clefs USB pour jouer. Je ferais peut-être mieux de cloner ces différentes clefs en une seule multi-boot. Encore un truc à tester.