La récente découverte, par un utilisateur de Raspberry Pi, qu’un répertoire apt Microsoft avait été installé à son insu lors de la mise à jour de son OS Raspian (renommé Raspberry Pi OS), mécontente certains amateurs de ces mini cartes-mères fonctionnant sous Linux, très prisés pour la programmation ou les makers. Cette installation faite sans avertissement préalable à l’administrateur a été décrite il y a quelques jours par Vivek Gite, le créateur de nixCraft. Celui-ci explique qu’à chaque fois qu’un équipement sous Raspbian - OS dérivé de Debian - est mis à jour avec ce répertoire apt, il envoie une requête à un serveur Microsoft, ce qui conduit inévitablement à se demander quel est le rôle de cet ajout qui ne s’annonce pas. La télémétrie de Microsoft a mauvaise réputation dans la communauté Linux, rappelle V. Gite.
En se penchant sur le package installé, il constate que celui-ci est lié à l’éditeur de code Visual Studio Code pour le Raspberry Pi, recommandé par la fondation RPI et inclus dans l’OS du Raspberry Pi. Utile pour les développeurs utilisant du code Visual Studio ou qui veulent apprendre Python, il ne l’est pas pour la plupart des spécialistes de Linux, pointe V. Gite en soulignant qu’à chaque fois qu’un élément est installé sans avertissement, un problème de confiance se pose. En forçant celle de ce répertoire apt (qui facilite l’installation de packages logiciels), Microsoft contrôle quel logiciel est installé, estime le développeur et, même s’il n’y a pas de mauvaise intention, il n’en veut pas et suggère quelques parades aux utilisateurs qui partagent ses réticences.
Utiliser une version de VSCode sans télémétrie
On peut d’abord choisir d’installer un autre OS sur son Raspberry Pi. Pour ceux qui souhaitent continuer à utiliser Raspian, Vivek Gite indique comment bloquer VSCode. Enfin, on peut utiliser une version open source des binaires de VSCode dépourvue de télémétrie et le développeur explique comment le faire. Enfin, il conclut que si RPIs n’est pas 100% open source, cela ne signifie pas qu’on peut installer « secrètement » du logiciel sur un terminal. « C’est que fait un malware », pointe V. Gite en invitant à suivre le fil Reddit qui suit le sujet.
D’autres commentaires tempèrent son propos, tel le site Arstechnica, qui estime c’est faire beaucoup de bruit pour peu. Un répertoire apt Microsoft est bien ajouté mais il n’installe rien et n’est là que pour faciliter la mise en place de l’environnement de développement Visual Studio Code. Si l’on n’en veut pas, le site donne aussi des astuces pour l’enlever.
Le modus operandi utilisé par Microsoft est effectivement TRÈS discutable.
Signaler un abusSur Linux il y a des façon beaucoup plus "transparente" d'ajouter un dépôt.
Une fois de plus Microsoft s'illustre pas ces méthodes peu respectueuse des conventions ...et de ces utilisateurs
Et que dire de la clef PGP de Microsoft, elle aussi ajoutée de la manière la plus pernicieuses.
La confiance est définitivement rompue :(