Il y a plusieurs jours, la nouvelle a été publiée que dans le cadre d'une récente mise à jour de Raspberry OS, la Fondation Raspberry Pi a installé un référentiel Microsoft sur tous les ordinateurs monocarte qui lui ont fait confiance, à l'insu de leurs propriétaires.
La manœuvre n'est pas passée inaperçue au sein de la communauté de Linux qui s'intensifie pour s'opposer au manque de transparence et de télémétrie et aux utilisateurs de cartes Raspberry Pi discutent de l'inclusion d'un appel au référentiel Microsoft sur Raspberry Pi OS, plus l'ajout d'une clé Microsoft GPG pour une installation fiable du package.
Le référentiel Microsoft est ajouté par le package raspberrypi-sys-mods, qui comprend des scripts et des paramètres spécifiques au système d'exploitation.
La configuration de /etc/apt/sources.list.d est modifiée par le script post-inst et est utilisé pour configurer l'environnement de développement VSCode. Les principales revendications sont liées au fait que le référentiel et la clé Microsoft ont été ajoutés sans avertir les utilisateurs.
L'idée derrière l'ajout du référentiel apt Microsoft est de faciliter l'utilisation de l'environnement de développement Visual Studio Code.
C'est officiellement parce qu'ils prennent en charge l'IDE de Microsoft (!), Mais vous l'obtiendrez même si vous l'avez installé à partir d'une image claire et utilisez votre Pi sans tête sans interface graphique. Cela signifie que chaque fois que vous effectuez une «mise à jour apt» sur votre Pi, vous envoyez un ping à un serveur Microsoft.
Ils installent également la clé Microsoft GPG utilisée pour signer les packages à partir de ce référentiel. Cela peut potentiellement conduire à un scénario dans lequel une mise à jour extrait une dépendance du référentiel Microsoft et le système approuvera automatiquement ce package.
L'installation du référentiel se fait en silence, sans le consentement de l'utilisateur, et la Raspberry Foundation n'a pas préparé les utilisateurs à un tel changement via un article de blog dédié.
Les utilisateurs ennuyés commentent que eCe comportement est dangereux pour deux raisons:
Premièrement, chaque fois que les informations des référentiels sont mises à jour lors de l'installation ou de la mise à jour des packages, le gestionnaire de packages interroge tous les référentiels connectés, c'est-à-dire eLe serveur Microsoft accumule des informations sur les adresses IP de tous les utilisateurs Système d'exploitation Raspberry Pi, qui peut être utilisé pour créer un profil utilisateur.
Un profil similaire peut être utilisé, par exemple, pour la publicité ciblée lors de la connexion aux services Microsoft à partir de la même adresse IP.
Deuxièmement, le référentiel Microsoft est connecté de manière totalement fiable, malgré le fait qu'il ne soit pas sous le contrôle des développeurs du système d'exploitation Raspberry Pi et les utilisateurs n'ont pas été invités à confirmer l'ajout de la clé Microsoft GPG. Si l'infrastructure de Microsoft est compromise via un tel référentiel, de fausses mises à jour peuvent être distribuées pour remplacer les packages standard ou remplacer les dépendances.
Il continue même en disant que
C'est ainsi que vous faites les choses tout le temps "pour des problèmes similaires" sans informer les propriétaires de votre gamme d'ordinateurs monocarte. »Les utilisateurs ont rappelé les tensions entre Linux et Microsoft sur la télémétrie.
Enfin, il est à noter que la distribution Raspbian supportée par la communauté n'est pas affectée par le problème, la modification n'est ajoutée qu'à Raspberry Pi OS, une variante de Raspbian maintenue par Raspberry Pi Foundations.
Une autre approche consiste à bloquer Visual Studio Code si vous souhaitez continuer à utiliser le système d'exploitation Raspberry Pi. Visual Studio Code est équipé d'options de télémétrie, de sorte que de nombreux utilisateurs considèrent Visual Studio Codium comme plus approprié.
Pour éliminer l'accès aux serveurs Microsoft dans le système d'exploitation Raspberry Pi, commentez simplement le contenu du fichier /etc/apt/sources.list.d/vscode.list et supprimez la clé de confiance / etc / apt /. Gpg.d / microsoft .gpg.
De plus, "127.0.0.1 packages.microsoft.com" peut être ajouté à / etc / hosts pour bloquer les requêtes.
Enfin, si vous souhaitez en savoir plus, vous pouvez consulter le lien suivant.