Mercredi, l’équipe de KDE a averti les utilisateurs de Linux de faire preuve d’une « extrême prudence » lors de l’installation de thèmes globaux, même à partir de la boutique officielle de KDE, car ces thèmes exécutent du code arbitraire sur les appareils pour personnaliser l’apparence du bureau.

Le magasin KDE permet actuellement à quiconque de télécharger de nouveaux thèmes et divers autres plugins ou modules complémentaires sans aucune vérification de comportement malveillant.

Cependant, comme l’a dit KDE, il manque actuellement de ressources pour examiner le code utilisé par chaque thème global soumis pour inclusion dans sa boutique officielle. Si les thèmes sont défectueux ou malveillants, cela peut entraîner des conséquences inattendues.

« Les thèmes globaux et les widgets créés par des développeurs tiers pour Plasma peuvent exécuter et exécuteront du code arbitraire. Vous êtes encouragés à faire preuve d’une extrême prudence lors de l’utilisation de ces produits », a averti KDE.

« Les thèmes globaux ne modifient pas seulement l’apparence du plasma, mais aussi le comportement. Pour ce faire, ils exécutent du code, et ce code peut être défectueux, comme dans le cas mentionné ci-dessus. Il en va de même pour les widgets et les plasmoïdes. »

L’exécution de code est nécessaire car les thèmes globaux sont conçus pour tout changer sur un bureau Plasma, des icônes aux décorations Windows, écrans de verrouillage, écrans de démarrage, fonds d’écran, schémas de couleurs, etc., à l’aide de scripts bash exécutables.

Le thème global efface les fichiers de l’utilisateur à l’aide de ‘rm-rf’
Selon un article de Reddit cité par KDE, au moins un utilisateur a vu ses fichiers effacés après l’installation d’un tel thème global Plasma.

Après son installation, le thème a supprimé toutes les données personnelles des lecteurs montés à l’aide de « rm-rf », une commande UNIX très dangereuse qui supprime de force et de manière récursive le contenu d’un répertoire (y compris les fichiers et autres dossiers) sans aucun avertissement ni demande de confirmation.

Lorsque cette commande est utilisée pour supprimer des fichiers, ils sont définitivement effacés et ne peuvent être récupérés qu’à l’aide d’un logiciel de récupération de données ou restaurés à partir de sauvegardes.

Bien que le thème global défectueux ait depuis été supprimé du magasin de KDE, tout autre thème global disponible via le référentiel officiel de plugins de KDE pourrait entraîner une perte de données si les développeurs ne les ont pas testés à fond avant de les soumettre.

« Il exécute rm-rf en votre nom [et] supprime immédiatement toutes les données personnelles. Pas de questions posées », a averti l’utilisateur de KDE. « J’ai annulé cela quand il m’a demandé mon mot de passe root, mais il était trop tard pour mes données personnelles. Tous les lecteurs montés sous mon utilisateur avaient disparu, jusqu’à 0 octet. [G]ames, configurations, données du navigateur, [et le] dossier personnel [ont] tous disparu. »

« Ensuite, cela a généré une sorte d’erreur, [et] mon plasma s’est en quelque sorte bloqué. Lorsque j’ai vérifié et que mes deux disques durs étaient entièrement effacés, les jeux, les configurations, les données personnelles, tout avait disparu. Tout lecteur monté avec des autorisations utilisateur a également été effacé », a ajouté l’utilisateur dans un autre article Reddit.

KDE promet de commencer à vérifier le contenu du magasin
À la lumière des risques liés à l’installation de plugins Plasma non vérifiés, KDE a demandé à la communauté de signaler les logiciels défectueux déjà disponibles via le magasin KDE.

L’équipe a également promis de gérer le contenu du magasin et d’améliorer les avertissements affichés aux utilisateurs avant d’installer des thèmes et des plugins développés par la communauté sur leurs systèmes.

« Nous devons communiquer clairement quelles attentes en matière de sécurité les utilisateurs de Plasma devraient avoir pour les extensions qu’ils téléchargent sur leurs ordinateurs de bureau », a déclaré David Edmundson, ingénieur logiciel et chef de projet chez KDE. « Ensuite, nous pouvons envisager de fournir une curation et un audit dans le cadre du processus de magasin en combinaison avec une amélioration lente de la prise en charge du bac à sable. »

« Si vous installez du contenu à partir du magasin, je vous conseillerais de le vérifier localement ou de rechercher des critiques provenant de sources fiables. »

« Néanmoins, cela prendra du temps et des ressources. Nous recommandons à tous les utilisateurs d’être prudents lors de l’installation et de l’exécution de logiciels non fournis directement par KDE ou vos distributions », a ajouté l’équipe de KDE.

Jusque-là, les utilisateurs seront toujours avertis lors de l’installation de thèmes globaux à partir des paramètres système de KDE: « Le contenu disponible ici a été téléchargé par des utilisateurs comme vous et n’a pas été examiné par votre distributeur pour ses fonctionnalités ou sa stabilité. »

Avertissement avant d’installer un thème global dans KDE

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *