Linux Mint : le site officiel piraté, des images ISO infectées

Et un site toujours hors ligne

Linux Mint : le site officiel piraté, des images ISO infectées

Linux Mint : le site officiel piraté, des images ISO infectées

Le site de la distribution Linux Mint a été piraté à deux reprises dans la journée du 20 février. Une version particulière de la distribution a été infectée avec une porte dérobée et distribuée pendant quelques heures. La situation est revenue depuis à la normale.

Les attaques contre les sites ont beau se multiplier, elles concernent en grande majorité des produits commerciaux capables d’attirer des millions d’utilisateurs. Les projets libres sont davantage épargnés, ce qui ne signifie pas pour autant qu’ils soient à l’abri. Preuve en est l’attaque contre Linux Mint, une distribution populaire et basée sur Ubuntu, qui prépare actuellement sa version 18 – « Sarah » - pour mai ou juin prochain.

Des liens vers des images ISO infectées

Dans la nuit de vendredi à samedi, des pirates ont attaqué le site officiel de Linux Mint et sont parvenus à s’insérer dans le serveur principal. De là, ils ont pu changer le lien de téléchargement direct pour Linux Mint 17.3 Cinnamon Edition, la variante la plus téléchargée du système. Cinnamon est un environnement graphique très largement inspiré de GNOME 2.X et créé pour contenter ceux qui n’appréciaient pas la direction prise par la version suivante.

Le nouveau lien pointait vers une version vérolée de Linux Mint, stockée sur un serveur FTP en Bulgarie. Dans le système se trouvait Tsunami, un cheval de Troie contenant une porte dérobée pilotable par des commandes IRC. Le lien est resté actif quelques heures avant que les administrateurs du site ne se rendent compte de l’intrusion. Tous ceux qui ont récupéré l’ISO de la distribution en direct avant le 20 février ne sont donc pas concernés, pas plus que ceux qui l’ont récupérée par BitTorrent. Idem pour toutes les autres variantes de Linux Mint.

Une brèche qui n'a toujours pas été trouvée

Pour autant, les administrateurs ne se sont pas débarrassés tout de suite du problème. Ils ont bien remis les bons liens sur le site, mais les pirates ont réussi à revenir une deuxième fois, prouvant que le point d’entrée n’avait pas été trouvé. L’équipe de Linux Mint, redoutant que le problème ne se propage trop rapidement auprès des utilisateurs, a donc mis hors ligne le site et a publié hier un billet explicatif pour préciser à la communauté ce qu'il s’était passé.

À l’heure où nous écrivons ces lignes, le site officiel de la distribution n’est toujours pas revenu en ligne. Les administrateurs travaillent donc encore sur la sécurité, pour trouver comment les pirates ont pu s’introduire. Dans leur billet explicatif, ils invitent les utilisateurs à vérifier les signatures des fichiers ISO, car il en existe au total cinq variantes : 32 bits, 64 bits, 32 bits sans codecs, 64 bits sans codecs et OEM 64 Bits.

linux mint

Se débarrasser au plus vite de tout système déjà installé

L’équipe recommande également de se débarrasser de l’image ISO téléchargée s’il s’agit d’une version frelatée, de jeter tout DVD qui aurait été gravé avec le système et de formater toute clé USB préparée depuis cette mouture. Dans le cas d’une installation déjà effectuée, elle enjoint les utilisateurs à déconnecter l’ordinateur d’Internet, mettre les documents de côté et formater avec une image propre. En l’état, il est urgent d’arrêter au plus vite d’utiliser un tel système.

Linux Mint indique en outre disposer de quelques informations sur la source de l’attaque, avec notamment les noms de trois personnes qui pourraient être impliquées. Curieusement, l’équipe n’a pas déposé encore plainte : « Ce que nous ignorons, ce sont les raisons de cette attaque. Si des efforts supplémentaires sont faits pour attaquer notre projet et si la raison est de nous faire du mal, nous nous mettrons en contact avec les autorités et les sociétés de sécurité pour confronter les personnes derrière tout ça. »

Commentaires (260)


comme quoi ça sert de vérifier les signatures. ^^


Et pour la BDD utilisateurs du forum, pas de confirmation de hack? Pas de changement de mot passe encouragé?








CUlater a écrit :



Et pour la BDD utilisateurs du forum, pas de confirmation de hack? Pas de changement de mot passe encouragé?







Dans le doute, ca ne peut pas faire de mal ^^









hellmut a écrit :



comme quoi ça sert de vérifier les signatures. ^^





c’est clair ! mais, soyons honnêtes, levez la main ceux qui le font systématiquement ?

garde le bras baissé



Dans tous les cas, saluons la réactivité de l’équipe <img data-src=" />

(la question du “pourquoi pas d’action alors qu’ils ont des noms ?” fait un peu trop dit ou pas assez… Nadella, Cook et Stallman, moi j’dis <img data-src=" /> mais évidemment on nous cache tout, on nous dit rien)



Question subsidiaire : on a une idée du nombre de DL durant la mauvaise période ?









WereWindle a écrit :



c’est clair ! mais, soyons honnêtes, levez la main ceux qui le font systématiquement ?

garde le bras baissé



ouais je vérifie à chaque fois, et&nbsp; ça prend 10 secondes de vérifier les signatures…









hellmut a écrit :



comme quoi ça sert de vérifier les signatures. ^^





Meme s’ils ont pris le contrôle du site web?

&nbsp;









WereWindle a écrit :



c’est clair ! mais, soyons honnêtes, levez la main ceux qui le font systématiquement ?

garde le bras baissé&nbsp;



&nbsp;

ben j’ai récemment testé un certaine distribution, je peux te dire que j’ai vérifié la signature.

et plutôt deux fois qu’une. <img data-src=" />&nbsp;<img data-src=" />



ah ben oui mais faut aussi pas stocker la signature au même endroit. ^^

je sais pas si c’est le cas chez Mint.


et pour une personne lambda … :/ mouai à la Linuxienne quoi



(oui j’utilise aussi linux…)








hellmut a écrit :



ah ben oui mais faut aussi pas stocker la signature au même endroit. ^^

je sais pas si c’est le cas chez Mint.







J’espère que dans le ftp il y a aussi les clés privées et certificats <img data-src=" />




Si seulement c’était le seul problème de Mint. Vous je sais pas, mais je crois que je vais en rester à distance pour quelque temps et essayer de trouver une autre distro où Cinnamon est dispo.


Encore un coup de Microsoft ca.

En effet on sait tous que 2016 est L’année ou linux va conquérir le monde des PC et Microsoft en est réduit à pirater les serveurs et infecter les distributions.

Ridicules <img data-src=" />

































<img data-src=" />


bon ben la prochaine fois, je vérifie la signature :o


savais pas qu’une distrib linux pouvait être victime de ce genre de saleté <img data-src=" />



bref comme toujours, faire attention, vérifier.. mais là sur le site officiel, pas facile de se méfier <img data-src=" />








CUlater a écrit :



Et pour la BDD utilisateurs du forum, pas de confirmation de hack? Pas de changement de mot passe encouragé?





Il me semble qu’il y a eu accès aux données et revente déjà dans les bas-forum, dixit un autre article sur le même sujet.



La vérification des signatures: Rien que ça une bonne raison d’utiliser les torrents ?


S’ils ont réussi à modifier les isos sur les serveurs de téléchargement, on peut raisonnablement supposer qu’ils ont aussi pu modifier les MD5/SHA-1 affichés sur le site.



Donc vérifier les hashs (et non pas les signatures !), c’est utile si elles ne correspondent pas, mais si elles correspondent tu n’es pas plus avancé.



Par contre, un système de téléchargement avec signature, ça ça serait top, en gros leur clé publique est dispo chez un éditeur tiers de confiance et il est possible de vérifier que les fichiers viennent bien du bon éditeur. Mais plus compliqué à mettre en place pour le premier téléchargement de l’iso…


Si ton .torrent vient d’une mauvaise source, ça ne changera rien au problème.


warning, <img data-src=" />



“Une brèche qui n’a toujours pas été trouvée”

A tout les coups leurs serveurs sont sous Linux…


Mageia mon ami ! En plus Cocorico c’est une association Française derrière le projet.


(d’où mon «?»)



Autrement dit, faut commencer par aller chercher la signature en s’assurant soigneusement qu’elle est la bonne.


Le mécanisme des clés publiques/privées pour signer existe déjà et est très fiable. Ils fournissent une clé publique (que tu peux éventuellement vérifier auprès d’un tiers de confiance), et leur clé privé sert à signer le fichier téléchargé.

Comme ça même si le fichier vient d’un site externe, tu peux t’assurer qu’il a bien été généré par l’éditeur de Mint. (Sauf si, bien sûr, leur clé privée est compromise, auquel cas il suffit de révoquer la clé publique et d’en générer une nouvelle).



C’est tout le principe des certificats pour le HTTPs et on l’utilise depuis bien longtemps. Il faudrait peut être passer à un système similaire pour les téléchargements.


tu peux résumé stp ?



merci :)


c’est quand même une “infection open source”, les sources du trojan sont sur github <img data-src=" />


Je fais plutôt partie de la tribu des apt-get, m’enfin ça sera l’occasion de tester d’autres trucs que les dérivés de Debian. Je crois que je vais tester Fedora et Mageia <img data-src=" />








WereWindle a écrit :



Question subsidiaire : on a une idée du nombre de DL durant la mauvaise période ?





Vu l’activité sur les torrents qui ne servent peu ou prou qu’à télécharger des iso Linux et les parts de marché de Mint, ça doit faire environ 28 millions de téléchargement.



Et en distro michu-ready / légère tu recommande quoi à la place de Mint ? J’ai installé ça à mes parents ils sont ravis (sur mon vieil e-pc tout pourri donc je peux pas mettre une distro trop lourde)


Les mauvaises pratiques de Mint :




  • blocage de mises à jour de sécurité de certains paquets paquets en provenance des repos Ubuntu officiels

  • nommage de leurs paquets avec le même nom que d’autres paquets upstreams ce qui met un peu le bazar. Si ça bloquait pas l’install de l’autre paquet, ça serait mieux, quand même. A noter que la solution de Debian est de renommer de façon ultra bourrine les packages, la solution de Gentoo est d’utiliser des namespaces (des catégories, quoi)

  • les paquets non-free (flash, java de Sun) ne sont pas différenciés des paquets libres (ok, celui là, je m’en tamponne)


Pour les anglophones, un sujet sur Reddit apporte quelques précisions


Ubuntu MATE, non ? C’est MATE, donc pas forcément sexy, mais c’est simple et ça marche.


Linux infecté ? hahaha








Candl3 a écrit :



Le site d’une distribution Linux infectée ? hahaha





Fixed.







picatrix a écrit :



c’est quand même une “infection open source”, les sources du trojan sont sur github <img data-src=" />





On peut donc en conclure que les attaquants portent une barbe, et sont probablement vierges.



J’ai installé Xubuntu sur le PC portable de 2007 de ma mère, ça tourne au poil et elle n’a pas eu à s’en plaindre jusqu’à présent.


Ben oui, ça arrive à tout le monde ce genre de merde.



Après, j’espère qu’ils vont colmater la brèche rapidement, j’aime beaucoup Linux Mint pour son côté pratique, facile et rapide à installer sur des machines secondaires sur lesquelles je n’ai pas envie de me casser la tête à mettre une Fedora.



@la rédac : Par contre, vous, vous être très réactifs sur certaines infections à ce que j’ai vu. Bien vu, continuez comme ça !








hellmut a écrit :



comme quoi ça sert de vérifier les signatures. ^^





Si tout le site a été piraté, les attaquants ont tout à fait pu changer les signatures des ISO pour les faire correspondre à celles des images infectées.

&nbsp;





hellmut a écrit :



ah ben oui mais faut aussi pas stocker la signature au même endroit. ^^&nbsp;



<img data-src=" />



Lubuntu.

Sinon en ultralight Puppy Linux, mais c’est moins friendly








Nargas a écrit :



Mageia mon ami ! En plus Cocorico c’est une association Française derrière le projet.



En effet, d’ailleurs je viens de quitter Fedora pour revenir à Mageia après 4 ans d’absence, je voulais retrouver aussi une distro plus pérenne, sans upgrade tous les 6 mois.

Et puis pourquoi aller chercher loin ce qu’on a ici-même ?









Candl3 a écrit :



Linux infecté ? hahaha



Non, pas Linux, le site d’UNE distribution.









alliocha1805 a écrit :



Et en distro michu-ready / légère tu recommande quoi à la place de Mint ? J’ai installé ça à mes parents ils sont ravis (sur mon vieil e-pc tout pourri donc je peux pas mettre une distro trop lourde)





bonne question.

en pas user friendly à l’install, j’ai archlinux sur mon eeePC avec openbox et elle est très légère et boot en 12 secondes sur un SSD. (eeePC de récup et SSD de récup <img data-src=" /> )









Candl3 a écrit :



Linux infecté ? hahaha





Ouais. Ils ont mis Mono en standard dans la distro, les salauds ! <img data-src=" />



c’est quoi cette histoire d’infection?


Perso j’ai installé Lubuntu pour mes parents.

Le plus c’est que ça ressemble beaucoup à Windows (menu en bas à gauche un peu à la windows XP/7).

Le moins c’est que ce n’est pas aussi jolie que Xubuntu/LinuxMint.

Le pc à un processeur pentium 4 et 1go de ram mais il tourne sans problème.








paradise a écrit :



En effet, d’ailleurs je viens de quitter Fedora pour revenir à Mageia après 4 ans d’absence, je voulais retrouver aussi une distro plus pérenne, sans upgrade tous les 6 mois.

Et puis pourquoi aller chercher loin ce qu’on a ici-même ?





manjaro, c’est beaucoup mieux.









Galahad a écrit :



Meme s’ils ont pris le contrôle du site web?

&nbsp;





C’est ce que je me suis dit… Les mecs ils prennent le site pour mettre un ISO vérolé, c’est dommage pour eux d’oublier de changer les empreintes <img data-src=" />









CUlater a écrit :



Et pour la BDD utilisateurs du forum, pas de confirmation de hack? Pas de changement de mot passe encouragé?





Normalement, un mot de passe dans une bdd est chiffré, donc&nbsp; logiquement il n’y a pas besoin. Si c’est le cas, fuir le forum en question, ça laisse songeur sur les compétences des admins. <img data-src=" />









WereWindle a écrit :



c’est clair ! mais, soyons honnêtes, levez la main ceux qui le font systématiquement ?

garde le bras baissé





<img data-src=" />









Galahad a écrit :



Meme s’ils ont pris le contrôle du site web?

&nbsp;





Pareil, ça se voit vite. <img data-src=" />



J’ai toujours vu les signatures des ISO à coté des liens de téléchargements de ces mêmes ISO donc en cas de piratage je ne suis sûr que la vérification soit pertinente.



Pour ma part je la vérifie uniquement quand un truck louche c’est produit lors du téléchargement pour m’assurer que j’ai bien le fichier en entier mais ça ne va pas plus loin.








damaki a écrit :



Si seulement c’était le seul problème de Mint. Vous je sais pas, mais je crois que je vais en rester à distance pour quelque temps et essayer de trouver une autre distro où Cinnamon est dispo.





Debian Testing. <img data-src=" />





jb18v a écrit :



savais pas qu’une distrib linux pouvait être victime de ce genre de saleté <img data-src=" />



bref comme toujours, faire attention, vérifier.. mais là sur le site officiel, pas facile de se méfier <img data-src=" />





En fait, ça peut être n’importe quel logiciel (Windows, Linux, Android…)









ErGo_404 a écrit :



S’ils ont réussi à modifier les isos sur les serveurs de téléchargement, on peut raisonnablement supposer qu’ils ont aussi pu modifier les MD5/SHA-1 affichés sur le site.





Les md5 donnés sont les originaux. Ils ont étés publiés sur le blog, pas sur le site.









picatrix a écrit :



c’est quand même une “infection open source”, les sources du trojan sont sur github <img data-src=" />







<img data-src=" /> Mékilékon !



Em même temps, je me disais, c’est bizarre leur système de mise à jour : apt-got update … <img data-src=" />









ErGo_404 a écrit :



Si ton .torrent vient d’une mauvaise source, ça ne changera rien au problème.





Bien sur que si.









Nargas a écrit :



Mageia mon ami ! En plus Cocorico c’est une association Française derrière le projet.





C’est pour ça que personne n’en veut… <img data-src=" />





levhieu a écrit :



(d’où mon «?»)



Autrement dit, faut commencer par aller chercher la signature en s’assurant soigneusement qu’elle est la bonne.





Exactement.









damaki a écrit :



Ubuntu MATE, non ? C’est MATE, donc pas forcément sexy, mais c’est simple et ça marche.





Il a dit légère.









WereWindle a écrit :



c’est clair ! mais, soyons honnêtes, levez la main ceux qui le font systématiquement ?

garde le bras baissé







<img data-src=" /> Je le fais systématiquement pour les ISO (esd) Windows, jamais pour les Linux… <img data-src=" />



c’est la distrib de Jean-Claude Killy c’est ça?



<img data-src=" />








Northernlights a écrit :



Lubuntu.

Sinon en ultralight Puppy Linux, mais c’est moins friendly





Slitaz forever.

rien de plus léger et réactif sur les config les plus anciennes. Une dizaine de fixes et portables confondus tournent dessus depuis trois ans, au poil









gokudomatic a écrit :



manjaro, c’est beaucoup mieux.





Tu préfères Manjaro. <img data-src=" />









trekker92 a écrit :



Slitaz forever.

rien de plus léger et réactif sur les config les plus anciennes. Une dizaine de fixes et portables confondus tournent dessus depuis trois ans, au poil





Antix est pas mal non plus.<img data-src=" />









Candl3 a écrit :



Linux infecté ? hahaha











paradise a écrit :



Non, pas Linux, le site d’UNE distribution.







&nbsp;

et L’iso c’est quoi ? un site internet..

Le nouveau lien pointait vers une version vérolée de Linux Mint, stockée sur un serveur FTP en Bulgarie

même si le serveur est pas celui de Mint , ça reste une version de Mint vérolé ,, donc oui Linux et pas que le site









WereWindle a écrit :



c’est clair ! mais, soyons honnêtes, levez la main ceux qui le font systématiquement ?

garde le bras baissé&nbsp;



&nbsp;

jamais fait, et je le ferai probablement jamais



j’estime que c’est pas dans mon role, que la distribution doit vérifier d’elle meme l’intégrité des données mises à disposition du public et de faire un disclaimer en cas de pépin.



Ici Mint a plutot bien réagit dans son role d’éditeur.









trekker92 a écrit :



&nbsp;

jamais fait, et je le ferai probablement jamais



j’estime que c’est pas dans mon role, que la distribution doit vérifier d’elle meme l’intégrité des données mises à disposition du public et de faire un disclaimer en cas de pépin.



Ici Mint a plutot bien réagit dans son role d’éditeur.



ça sert aussi à voir si le téléchargement s’est bien passé avant d’utiliser l’iso, histoire que si il manque quelques octets ça ne foute pas ton installation en l’air.&nbsp; mais enfin si c’est pas ton rôle après tout….









WereWindle a écrit :



c’est clair ! mais, soyons honnêtes, levez la main ceux qui le font systématiquement ?

garde le bras baissé



Dans tous les cas, saluons la réactivité de l’équipe <img data-src=" />

(la question du “pourquoi pas d’action alors qu’ils ont des noms ?” fait un peu trop dit ou pas assez… Nadella, Cook et Stallman, moi j’dis <img data-src=" /> mais évidemment on nous cache tout, on nous dit rien)



Question subsidiaire : on a une idée du nombre de DL durant la mauvaise période ?







Pour ma part, je vérifie TOUJOURS les signatures.



C’est VRAIMENT très important.







trekker92 a écrit :



jamais fait, et je le ferai probablement jamais



j’estime que c’est pas dans mon role, que la distribution doit vérifier d’elle meme l’intégrité des données mises à disposition du public et de faire un disclaimer en cas de pépin.



Ici Mint a plutot bien réagit dans son role d’éditeur.







Et bien tu as tort.



Il faut comprendre un truc important, c’est que la plupart des distributions Linux confient le téléchargement, non pas à un site central, mais à une myriade de miroirs extérieurs.



Il est facile de comprendre pourquoi c’est très difficile de s’assurer de la sécurité de chaque serveur de cet ensemble de serveurs disséminés qui sont administrés par des personnes différentes.



Et c’est pour cela que la signature est primordiale.



Et l’iso








Ricard a écrit :



Il a dit légère.







Mate est relativement léger.



Même s’il n’est pas le champion en terme de légèreté, il a l’avantage d’être très ergonomique et bien fini.




Ouf j’avais pris la version avec KDE :oui2:


Il y aura toujours des linuxiens totalement dans le déni le plus total et sélectionneront toujours les infos qui les arrangent seulement.








Candl3 a écrit :



Il y aura toujours des linuxiens totalement dans le déni le plus total et sélectionneront toujours les infos qui les arrangent seulement.







Faux.



Pour un Linuxien, n’importe quel dépôt est suspect jusqu’à ce que la signature ait prouvé le contraire.



C’est une règle de survie primordiale dans l’univers du libre ou les dépôts sont rarement centralisés.



un mal pour un bien.

peut être que ça permettra de mettre en place un système de signature dans les téléchargements.



&nbsp;Changer le hash pour le faire correspondre a l’iso vérolé est facile, mais pour changer une signature, il en est tout autrement.



on peux très bien imaginer un firefox qui télécharge aussi un fichier asc pour verifier la signature du fichier.

après tout.. c’est bien comme cela que ca fonctionne pour apt








MuadJC a écrit :



warning, <img data-src=" />



“Une brèche qui n’a toujours pas été trouvée”

A tout les coups leurs serveurs sont sous Linux…







Que que que que KEUWAH ?!

Ils trouvent pas une faille sous Linux alors que le code est ouvert et permet de révéler les failles au grand jour montrant à quel point ces systèmes basés sur ce truc pas sécurisé pour deux sous sont des passoires monumentales ?



sur qu’un système fermé est exempt de faille … putain serieux stop le troll de bas étage…








sr17 a écrit :



Pour un Linuxien, n’importe quel dépôt est suspect





C’est quand même un comble qu’un barbu trouve quelque chose de suspect, surtout un dépôt.

&nbsp;

En général c’est eux que la police trouve suspects, et justement elle les emmène au dépôt pour une une petite GAV.









Elwyns a écrit :



et L’iso c’est quoi ? un site internet.. même si le serveur est pas celui de Mint , ça reste une version de Mint vérolé ,, donc oui Linux et pas que le site







…ça reste une distribution… parmi un paquet d’autres. Mais peut-être va t’il falloir encore ré-expliquer la différence entre distribution et noyau ?



Surtout que distribuer un logiciel modifié auquel on a ajouté un trojan n’implique pas qu’il y avait une vulnérabilité dans le logiciel à la base… et tous les logiciels, sans aucune exception peuvent être concernés. La seule difficulté pour les petits piratous c’est de réussir à distribuer leur logiciel vérolé ensuite.

C’est pourquoi le fait que le site officiel de Linux Mint ai été piraté est beaucoup plus grave que l’existence d’une iso piégée.



C’est pas du tout ce qu’il dit, en plus je pense que c’est de l’humour.


Clément Lefèbvre, qui a publié le billet explicatif, pense que l’intrusion a été rendue possible par Wordpress. Il était pourtant à jour et sans plugins. Ce n’est qu’à moitié étonnant.

Il dit aussi réfléchir à prendre plusieurs serveurs au lieu d’un, ce qui permet de limiter les dégâts en cas d’intrusion.



En tous cas il est très transparent sur le sujet et parle sans langue de bois, c’est appréciable.








Candl3 a écrit :



Il y aura toujours des linuxiens totalement dans le déni le plus total et sélectionneront toujours les infos qui les arrangent seulement.







Non, si on relit ton premier message :







Candl3 a écrit :



Linux infecté ? hahaha







Eh bien non, « Linux » n’a pas été infecté hein… <img data-src=" />



Linux c’est le noyau, ça n’a rien à voir avec le site de Linux Mint, et le noyau Linux il se porte très bien lui.



Ce qui a été infecté c’est seulement une distribution GNU/Linux, et encore, une seule variante (Cinnamon).



Bref, tu mélanges tout, tu fais des approximations et des raccourcis, tu te moques sans aucun argument, et après tu sors des généralités infondées sur les linuxiens… C’est l’hôpital qui se fout de la charité là <img data-src=" />



All forums users should change their passwords

It was confirmed that the forums database was compromised during the attack led against us yesterday and that the attackers acquired a copy of it. If you have an account on forums.linuxmint.com, please change your password on all sensitive websites as soon as possible…

http://blog.linuxmint.com/?p=3001








PixelMort a écrit :



ça sert aussi à voir si le téléchargement s’est bien passé avant d’utiliser l’iso, histoire que si il manque quelques octets ça ne foute pas ton installation en l’air.&nbsp; mais enfin si c’est pas ton rôle après tout….





ca c’est très simple, tu vas t’en rendre compte à l’isntallation.

et l’intégrité complète ne m’interesse guère : j’ai déjà réussi quelques installs linux de livecd rayés dont une partie etait illisible.





sr17 a écrit :



Pour ma part, je vérifie TOUJOURS les signatures.



C’est VRAIMENT très important.







Et bien tu as tort.



Il faut comprendre un truc important, c’est que la plupart des distributions Linux confient le téléchargement, non pas à un site central, mais à une myriade de miroirs extérieurs.



Il est facile de comprendre pourquoi c’est très difficile de s’assurer de la sécurité de chaque serveur de cet ensemble de serveurs disséminés qui sont administrés par des personnes différentes.



Et c’est pour cela que la signature est primordiale.





je considère que par défaut dans 99,99% du temps le site met à disposition des outils intègres et vérifiés par l’éditeur, et que la rentabilité vérification=/=infection est infimement trop faible pour demander trente secondes de vérification à chaque fois :

ce n’est pas rentable, surtout que l’éditeur de la distrib a alerté ses utilisateurs.



C’est comme aller sur un parking et vérifier si chaque voiture est accidentée, le taux d’éléments positifs est tellement proche de zéro que t’as une perte de temps phénoménale.



Si on devait finir par vérifier l’image à chaque fois, on deviendrait Inspecteur de l’Intégrité du Numérique Francais (en passant par la case ENA/intérieur hein)



Donc non, pas pour moi, pas assez rentable.

amusez-vous.



Je suis à peu près certain de pouvoir te générer un .torrent vérolé.


Non mais vérifier après coup lorsqu’ils ont donné les md5s sur leur blog, c’est effectivement important. Mais vérifier avec les md5s affichés sur leur site au moment où on télécharge, ça n’a strictement aucun intérêt si le site a été infecté.


Disons qu’il serait peut être intéressant de réfléchir à une norme qui permet de télécharger un fichier tout en s’assurant de son origine et de son intégrité. Il en existe peut-être déjà une remarque, mais elle n’est pas utilisée.








ErGo_404 a écrit :



Je suis à peu près certain de pouvoir te générer un .torrent vérolé.





C’est pas ca dont on parle là.









ErGo_404 a écrit :



Non mais vérifier après coup lorsqu’ils ont donné les md5s sur leur blog, c’est effectivement important. Mais vérifier avec les md5s affichés sur leur site au moment où on télécharge, ça n’a strictement aucun intérêt si le site a été infecté.





<img data-src=" />



Détend toi, c’était juste une connerie couplée à un petit missile à destination de ceux qui tiennent réellement ce discours <img data-src=" />








trekker92 a écrit :



ca c’est très simple, tu vas t’en rendre compte à l’isntallation.

et l’intégrité complète ne m’interesse guère : j’ai déjà réussi quelques installs linux de livecd rayés dont une partie etait illisible.



je considère que par défaut dans 99,99% du temps le site met à disposition des outils intègres et vérifiés par l’éditeur, et que la rentabilité vérification=/=infection est infimement trop faible pour demander trente secondes de vérification à chaque fois :

ce n’est pas rentable, surtout que l’éditeur de la distrib a alerté ses utilisateurs.



C’est comme aller sur un parking et vérifier si chaque voiture est accidentée, le taux d’éléments positifs est tellement proche de zéro que t’as une perte de temps phénoménale.



Si on devait finir par vérifier l’image à chaque fois, on deviendrait Inspecteur de l’Intégrité du Numérique Francais (en passant par la case ENA/intérieur hein)



Donc non, pas pour moi, pas assez rentable.

amusez-vous.







Le problème, c’est que les conséquences d’un malware peuvent s’avérer graves parce que ceux qui les écrivent ne le font logiquement pas pour rien.



Il peut voler le mot de passe d’accès au site de ta banque, ton numéro de CB lors d’un achat en ligne.



Il peut décider un beau matin de chiffrer ton disque dur pour te demander une rançon par la suite.



Il peut permettre l’utilisation de ta machine comme un proxy pour réaliser des opérations frauduleuses sur le web.



Et pleins d’autres joyeusetés….



Bref, chacun voit midi à sa porte, mais a mon humble opinion, ça mérite quand même d’y passer quelques secondes de vérification avant de réinstaller sa machine.





je considère que par défaut dans 99,99% du temps le site met à disposition des outils intègres et vérifiés par l’éditeur





Justement, dans le cas d’une distribution Linux, ce n’est pas toujours sur le site “de l’éditeur” que tu télécharges.



Ce n’est pas parce que tu cliques sur le site de l’éditeur que pour autant tu télécharges sur le site de l’éditeur.



Il n’est pas rare que le lien de téléchargement d’une distribution te dirige aléatoirement sur l’un des nombreux miroirs qui se sont portés volontaires pour fournir gratuitement de la bande passante.



Selon les distributions Linux, ce n’est donc pas forcément sous le contrôle direct de l’éditeur.



Personnellement, ça m’est déjà arrivé plusieurs fois de tomber sur des signatures qui ne correspondent pas (même si cela ne veut pas dire que la cause est forcément frauduleuse).



c’est etonnant de voir que peu de monde vérifie une signature, c’est toujours l’occasion de réviser man md5sum&nbsp; :) et d’avoir le plaisir de constater que ces pages man c’est vraiment de la balle !



concernant gpg et les signatures -&gt; même topo



peut etre les fraichement converti habitué a télécharger tout et n’importe quoi pour leur ex windows ? lorsque je suis obligé de le faire pour windows, j’en suis presque malade que PERSONNE ne propose une signature de leur setup.exe


pardon suis un poil tendu des fois <img data-src=" />


Ben oui, rien qu’à voir tes yeux, on se doute qu’il y a quelque chose qui s’est mal passé dans ta journée.

Prends un kiss cool ou un fuca, enjoy!

<img data-src=" />

Je te prête mes poils si tu veux <img data-src=" />


ça change quoi ?

si le MD5 a été lui aussi été changé ????



Note : je trouve cela vraiment bas de torpiller un site comme linux mint , c’est une association avec des bénévoles qui font une superbe distrib !





Alors pourquoi ?



L’être humain est parfois une vraie merde.


On dirait un règlement de compte d’après les éléments de l’article… bizarre cette histoire.


“Un hashcode garantie l’intégrité mais pas l’authenticité.”

Citation de Benjamin Franklin.



MD5 de la citation: 6172CF1A252A75C90054847EE40E1CE0








dualboot a écrit :



On dirait un règlement de compte d’après les éléments de l’article… bizarre cette histoire.





ils disent dans leur blog qu’ils ont identifié trois noms …

&nbsp;

&nbsp;

pour l’instant le seul des trois dont le nom qui ait fuité est un certain Nadella …

je ne vois pas pourquoi ce type leur en voudrait tant que ça&nbsp; …<img data-src=" />



je parlais uniquement de sécurité en l’occurrence.


Oui certes Linux est le noyau mais moi j’entendais bien par système d’exploitation (L’ISO qu’on parle dans l’article pour moi, est le système d’exploitation à installer sur une machine, à moins qu’on m’ait menti ?). Faut pas avoir fait un bac + 10 pour comprendre un minimum.

On nous sort que ce n’est pas possible de l’infecter à longueur de journée et je me souviens encore les années ou ça se moquait de Windows tous les jours et ça se vantait à tout va que mon système n’a pas besoin de ci, pas besoin de ça, il est supra sécurisé, trololol tu utilises un antivirus, trololol encore des mises à jour, etc…

Bref, ce que je dis, est que même les OS à base de Linux ne sont pas à l’abri. D’où ma façon de me moquer gentiment.








127.0.0.1 a écrit :



“Un hashcode garantie l’intégrité mais pas l’authenticité.”

Citation de Benjamin Franklin.



MD5 de la citation: 6172CF1A252A75C90054847EE40E1CE0





Loin de moi l’idée de démarrer un troll religieux, mais la citation me fait penser à la prétendue protection numérique contre la falsification qu’allah aurait mis en place dans le coran.



Excellent!


On est probablement d’accord, on ne parle juste pas de la même chose alors :)



Pour moi télécharger une distribution en direct ou via un .torrent sur le site de l’éditeur, c’est aussi risqué l’un que l’autre si le site a été infecté. Je crois comprendre que ce que tu dis, c’est qu’on ne peut pas infecter l’iso en ayant un client torrent qui envoie n’importe quoi aux autres pairs, ce qui est vrai.


Le 23/02/2016 à 09h05