Ubuntu-fr

siden

dépots sûrs?

une petite question qui me taraude depuis un petit temps

comment est-ce que l'on sait que un paquet dans un dépot n'est pas un fake ou un virus?
n'importe qui peut commencer a créer des dépots et y mettre des paquets?

si un petit rigolo s'amuse a changer quelques paquets par des virus  a la prochaine MAJ ca fait un paquet d'utilisateurs qui sont infectés donc je voudrais juste savoir ce qu'il y a comme sécurités prévue pour ce genre d'attaque.

chpo

Re : dépots sûrs?

c est pour cela qu il ne faut pas rajouter des depots trouvés ici ou la. Les paquets officiels sont sensés etres sur, apres il faut avoir confiance dans les depots que tu rajoute et ne pas installer n importe quoi.

---

les logiciels, c'est comme le sexe: c'est pas parceque c'est payant que c'est meilleur!

LeSmurf

Re : dépots sûrs?

Parmis les dépôt non-officiels, il y en a certains dits "de confiance", tels que Medibuntu et quelques autres. Ou encore les dépôt offitiels d'un éditeur, comme ceux de Virtualbox, Wine ou Beryl.
En général, il faut effectivement réfléchir à deux fois avant d'en rajouter.

si un petit rigolo s'amuse a changer quelques paquets par des virus  a la prochaine MAJ ca fait un paquet d'utilisateurs qui sont infectés donc je voudrais juste savoir ce qu'il y a comme sécurités prévue pour ce genre d'attaque.

Je crois qu'il n'y en a pas
Il s'agit du point faible principal de Linux, pour le moment. Au mieux, tomber sur une note ou un post qui prévient... Mais l'idéal est de ne pas installer de dfépôts louches.

Splitsch

Re : dépots sûrs?

On ne le répetera jamais assez: ne mettre dans son sources.ist que des dépots dont on est sur qu'ils ne représentent aucuns danger: ceux fournis d'office avec la distrib, et, comme cela a été dit, ceux proposés par les éditeurs.
Quoiqu'il en soit, si il faut ajouter un dépot style medibuntu pour un paquet particuliers, le mieux est de directement les désactivé dès le logiciel installé, et ne pas faire de mise à jour globale avec des dépots tiers activés!

Aplus!

mrf

Re : dépots sûrs?

Les dépôts sérieux utilisent une clé GPG

Donc faut arrêter le comportement "on me demande la clé, j'installe la clé"

Une clé, ça se vérifie...c'est comme ça que fonctionne un réseau de confiance. Il FAUT vérifier, et sérieusement

Goldy

Re : dépots sûrs?

Ubuntu gagnerait en sécurité si il y avait moyen de savoir de quel dépôt vient telle mise à jours, car aujourd'hui, c'est assez compliqué de le savoir.

mrf

Re : dépots sûrs?

Ben t'as déjà une séparation pour les mises à jour de sécurité il me semble ... il faudrait juste ajouter un signal si c'est un dépôt officiel ou tous les autres ...

brakbabord

Re : dépots sûrs?

"Point faible de Linux"

En même temps sur Windows si tu t'amuse à télécharger des programmes que tu trouves dans les publicités sur les sites de crack (genre "have 10000 smileys for msn for FREE") je pense que ça revient au même.

La faille est située entre la chaise et le clavier.

Ajouter un dépot inconnu c'est comme acheter un autoradio a un parfait inconnu qui n'a pas de commerce déclaré, tu sais pas sur quoi tu peux tomber.

Dernière modification par brakbabord (Le 24/06/2007, à 15:45)

---

Changez la carte wifi de votre ordinateur portable
Liste des machines compatibles Linux (ou non)

Goldy

Re : dépots sûrs?

"Point faible de Linux"

En même temps sur Windows si tu t'amuse à télécharger des programmes que tu trouves dans les publicités sur les sites de crack (genre "have 10000 smileys for msn for FREE") je pense que ça revient au même.

La faille est située entre la chaise et le clavier.

Ajouter un dépot inconnu c'est comme acheter un autoradio a un parfait inconnu qui n'a pas de commerce déclaré, tu sais pas sur quoi tu peux tomber.

Oui mais si on doit tout s'interdire sous prétextes de sécurité alors je vois pas en quoi on avance...

Il est indéniable que dans le futur, si ubuntu à la chance d'être adopté par de plus en plus d'utilisateurs (ce que je souhaite fortement), on aura a faire face à ce type de menace, et ça servira a rien de dire aux gens qu'ils doivent pas mettre des dépots, si c'est pour eux le seul moyen d'installer une application, alors ils le feront et puis c'est tout. Donc il faudra bien trouver un moyen de palier à ce manque de sécurité d'une manière ou d'une autre.

Compte anonymisé

Re : dépots sûrs?

Bah, c'est un point faible tout comme le fait de télécharger et d'installer un .exe sur fenêtres ou un .deb / .rpm sur Linux depuis internet.
Il faut investir une dose minimum de confiance au tout début de l'action sinon on installe rien sur sa bécane.

xabilon

Re : dépots sûrs?

Donc il faudra bien trouver un moyen de palier à ce manque de sécurité d'une manière ou d'une autre.

En responsabilisant l'utilisateur, par exemple ?

---

Pour passer un sujet en résolu : modifiez le premier message et ajoutez [Résolu] au titre.

brakbabord

Re : dépots sûrs?

Je suis désolé mais je ne peux pas admettre que le système de dépot a une faille.

Comme on l'a dit 50 fois, sur Windows ça revient à télécharger des programmes d'origine douteuse ou carrément des virus. Que veux-tu faire contre ça ? A part developper des antivirus Linux?

---

Changez la carte wifi de votre ordinateur portable
Liste des machines compatibles Linux (ou non)

Compte anonymisé

Re : dépots sûrs?

Je suis désolé mais je ne peux pas admettre que le système de dépot a une faille.

Ce n'est pas une faille, c'est à toi de faire confiance à un site, un serveur ftp ou un CD acheté dans le commerce (voire faire confiance à un antivirus).

Goldy

Re : dépots sûrs?

Je suis désolé mais je ne peux pas admettre que le système de dépot a une faille.

Comme on l'a dit 50 fois, sur Windows ça revient à télécharger des programmes d'origine douteuse ou carrément des virus. Que veux-tu faire contre ça ? A part developper des antivirus Linux?

Je n'ai pas parlé de faille, j'ai parlé de manque, c'est pas pareil. Je parlais surtout de la trop grande transparence qu'il y a sur les systèmes de mise à jours actuellement sur ubuntu, quand j'ai sous les yeux la liste des paquets qui se mettent à jours, je ne sais pas d'où viennent précisément ces mises à jours, et de ce fait, ça réduit le contrôle que je peux avoir sur la sécurité de ma machine. On peut très bien faire confiance a un dépôt dont les mainteneurs ne serait absolument pas mal intentionnés, mais un manque de sécurité sur celui-ci et vous risquez de foutre en l'air une bonne partie du parc informatique sous ubuntu.

Alors je sais pas, on pourrait imaginer un système de couleurs pour éviter de mettre trop d'informations confuses pour l'utilisateur, parce que aujourd'hui, le seul gain de sécurité, c'est qu'on sait si oui ou non les paquets sont signés, ça reste un peu léger.

LeSmurf

Re : dépots sûrs?

Donc il faudra bien trouver un moyen de palier à ce manque de sécurité d'une manière ou d'une autre.

En responsabilisant l'utilisateur, par exemple ?

Si le public de Linux s'élargit, il est fatal qu'il y aura des dérives.
Plusieurs sites essayent de responsabiliser les utilisateurs Windows, ce n'est pas ce qui empèche les dossiers "xxx" autres autres composants indésirables d'apparaitre sur la HD chez nombre d'entre eux.

Etudiant, j'ai bossé comme vendeur-micro dans un supermarché. On avait beau dire, répéter, re-répéter de ne pas installer n'importe quoi, le message était loin d'être entendu. Nous répétions pourtant la même chose lors de chaque vente de PC.

Si un mécanisme plus contraignant n'est pas mis en place (je ne sais pas lequel), ça risque de faire mal auprès d'un certain public

Dernière modification par LeSmurf (Le 24/06/2007, à 22:46)