Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 26/05/2007, à 11:43

Toumeno

L'attaque du milieu dans le logiciel libre ?

Bonjour big_smile

Depuis pas mal de temps, je me pose une question.

Imaginons que plusieurs développeurs programment un logiciel, le projet est terminé, les sources sont vérifiées, il n'y a pas de faille, pas de bug malicieux, etc. Mais la personne qui va compiler le logiciel en DEB par exemple, juste avant de le compiler, peut-elle modifier les sources, et y introduire des bugs malicieux volontairement, et ainsi la version binaire largement diffusée sera buguée ?

Est ce déjà arrivé ?
Comment faire pour prévenir ce genre de choses ?

(Ma question est valable à la fois pour les logiciels propriétaires, et les logiciels libres. Mais, comme je poste sur ubuntu-fr, je m'intéresse particulièrement aux LL)

Merci beaucoup pour vos réponses smile

@+ !
Toumeno
Sous Ubuntu depuis février 2006 :)
NOVATUX : Achetez votre PC Linux !   PlayOnLinux : jouez facilement à vos jeux Windows sous Linux !    Ekopedia : vivre autrement

Hors ligne

#2 Le 26/05/2007, à 13:02

chpo

Re : L'attaque du milieu dans le logiciel libre ?

Oui, il est parfaitement possible de rajouter du code malicieux dans un .deb, c est pour cela qu il est souvent rapelé de ne pas prendre des deb n importe ou et de ne pas rajouter de depots suspect.
Pour eviter les problemes, les depots sont signés. Donc apres il faut avoir confiance dans les depots que tu ajoute, refuser les depots non signés et ne pas installé les .deb trouvés n importe ou.

les logiciels, c'est comme le sexe: c'est pas parceque c'est payant que c'est meilleur!

Hors ligne

#3 Le 26/05/2007, à 16:16

Tangui

Re : L'attaque du milieu dans le logiciel libre ?

C'est bien là le problème !
Je me suis aussi posé la question. Imaginons qu'on contributeur de longue date (donc de confiance) réussisse à injecter un code malicieux (genre un cron qui lance  rm -R / en root) dans un paquet installé dans tous les systèmes. Ça me semble pas impossible...

Cours SVG

Hors ligne

#4 Le 26/05/2007, à 17:18

Plonk

Re : L'attaque du milieu dans le logiciel libre ?

Il me semble qu'un détournement de dépôt de ce type là a déjà eu lieu à plus ou moins (plutôt moins) grande ampleur, faudrait que je retrouve où j'ai lu ça...

/me va fouiller le forum ubuntu-fr

Edit : je ne le retrouve pas, j'ai peut être rêvé, ou alors je ne sais pas chercher hmm

Edit 2: ah, c'était ici : http://forum.ubuntu-fr.org/viewtopic.php?id=107669&p=2 et donc aussi .

Dernière modification par Plonk (Le 26/05/2007, à 17:32)

#5 Le 26/05/2007, à 18:30

Nigo

Re : L'attaque du milieu dans le logiciel libre ?

Tangui a écrit :

Ça me semble pas impossible...

to trust or not to trust, c'est bien tout le problème de la sécurité informatique roll

Hors ligne

#6 Le 26/05/2007, à 18:48

choupechoupechoupe

Re : L'attaque du milieu dans le logiciel libre ?

Toumeno a écrit :

la personne qui va compiler le logiciel en DEB par exemple

Salut, dans les dépôts officiels, ce n'est pas une personne qui compile le logiciel, mais une buill farm. Les sources du logiciel et les modifications apportées par le mainteneur du paquet sont conservé. Si la sécurité de la build farm est assurée, la correspondance entre les sources et le binaire est garantit.

Il est donc possible de faire de la vérification automatique de source. Le logiciel libre permet cela, parce qu'on dispose des sources et des modifications. Pour les logiciels propriétaires, c'est impossible d'analyser les sources originales, mais on a accès aux modifications du mainteneur.
On peut utiliser automatiquement certains outils d'analyse :
http://www.debian.org/security/audit/tools

De plus, beaucoup de distributions Gnu Linux ont une équipes de sécurité qui vérifient les paquets sensibles.
L'utilisateur final peut aussi télécharer le paquet source, le compiler, et voir si le paquet installé est le même. Cela donne une sécurité supplémentaire.

Bref, si un mainteneur souhaite ajouter un code malicieux, son code sera lisible par tous, il pourra être analysé par des logiciels d'audit de sécurité, voir revu par un humain. C'est un gros risque à prendre.

C'est un aspect très intéressant des logiciels libres qui n'existe pas dans les logiciels propriétaires.

Enfin, je pense qu'aucun système n'est infaillible. Ils sont tous plus ou moins sécurisés. Selon moi,  les logiciels libres apportent une sécurité bien plus grande que les logiciels propriétaires.

Et les dépôts non officiels sont clairement moins sécurisés que les dépôts officiels. Même si en téléchargeant le paquet source avec le paquet binaire, on pourra trouver un code malicieux dans le source, ou au moins trouver que le paquet compilé n'est pas le même que le paquet source.


- Audit de sécurité de la distribution Debian par l'équipe de sécurité :
http://www.debian.org/security/audit/packages

- Logiciels d'audit de sécurité automatique du code source :
http://www.debian.org/security/audit/tools

Hors ligne

Pages : 1