Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 07-05-2021 09:40:12

dtux
Membre
Distrib. : Debian 10 Buster
Noyau : Linux 4.19.0-13-amd64
(G)UI : KDE
Inscription : 26-12-2020

sources.list en http

Bonjour,

J'ai remarqué que les adresses figurant dans le fichier sources.list étaient toutes en http et non en https.

Est-ce normal ? J'aurais été tenté de dire non pour une distribution aussi à cheval sur la sécurité que Debian, mais à la vue de vos fichiers sources.list dans le sujet dédié, c'est aussi le cas pour vous. Le https par défaut n'est-il donc pas nécessaire ?scratchhead.gif

Hors ligne

#2 07-05-2021 09:56:14

nam1962
Banni(e)
Distrib. : Manjaro, Debian, Xebian, Yunohost
Noyau : Ca dépend
(G)UI : Xfce
Inscription : 02-08-2017

Re : sources.list en http

Non, parce que les paquets sont signés, donc un malicieux qui les changerait le ferait pour des prunes.
Et par ailleurs, l'info qu'ils transmettent est... publique (open source), non ? big_smile

On peut toujours RTFM, mais c'est un peu plus long comme explication : https://wiki.debian.org/SecureApt

Almanet doLys de l'open source : mon tuto pour optimiser / finaliser une install
Manjaro Xfce - Debian Xfce - Yunohost - Xebian Et vous ?
61 convertis  IRL (n'ont pas eu le choix...).

Hors ligne

#3 07-05-2021 09:56:16

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : sources.list en http

Nope, vu que les paquets sont signés par la clé de Debian et seraient donc refusés si tronqués.

Par contre là où le http est pas terrible, c'est qu'on voit quel paquet tu télécharges et quand ; donc le https apporte quelque chose amha.

Le https a par contre le défaut de, à plusieur reprise j'ai vu ça, bloquer APT ; suffit de pas avoir le bon fuseau horaire et https bloque, et parfois c'est juste des soucis de certificats (et c'est arrivé plusieurs fois avec deb.debian.org).
Il y a aussi le repo par défaut "security" qui n'est disponnible seulement en HTTP (pourquoi ? Bonne question ! ~)

Dernière modification par otyugh (07-05-2021 09:59:09)


datalove-datalove-s1-2.png agendadulibre-lagendadulibre.png arzinfo-arzinfo.png

Hors ligne

#4 07-05-2021 11:03:41

jpt
Membre
Distrib. : Debian 10.8
Noyau : Linux 5.7.10 (backports)
(G)UI : LXDE
Inscription : 12-09-2020

Re : sources.list en http

Bonjour,

otyugh a écrit :

c'est qu'on voit quel paquet tu télécharges et quand ;

C'est qui, "on" ?


AMD Ryzen3 3200G sur Gigabyte B450M & Make Love Not War

En ligne

#5 07-05-2021 12:29:55

jce76350
Membre
Lieu : Rouen
Distrib. : Debian_Buster 10.9
Noyau : 4.19.0-17-amd64
(G)UI : XFCE
Inscription : 24-08-2016
Site Web

Re : sources.list en http

Il y a aussi le repo par défaut "security" qui n'est disponnible seulement en HTTP

Heu non enfin pour moi ça fonctionne sans de soucis et sur des autres machines de copains aussi wink

## buster security MODIF du 07/01/2020 paquets via https
deb https://deb.debian.org/debian-security buster/updates main contrib non-free


et d’ailler ici c'était prévu mais re-modifié


--
Jc E

Hors ligne

#6 07-05-2021 20:23:51

dtux
Membre
Distrib. : Debian 10 Buster
Noyau : Linux 4.19.0-13-amd64
(G)UI : KDE
Inscription : 26-12-2020

Re : sources.list en http

Donc au final c'est plutôt pas mal de tout mettre en https, non ? tongue

J'ai vu sur certains sites que le paquet apt- transport-https était inclus par défaut dans Buster, mais apparemment non. Je l'ai installé, ça n'a rien changé. D'ailleurs, il est décrit comme "un paquet factice de transition" ici https://packages.debian.org/fr/buster/a … port-https, je ne sais pas ce que ça veut dire...
Je l'ai désinstallé.

Alors finalement pour tester, j'ai ajouté manuellement un s à tous les "http" dans le fichier sources.list. Et après un "apt update", ca fonctionne.

Dernière modification par dtux (07-05-2021 20:25:03)

Hors ligne

#7 08-05-2021 10:09:48

jarek
Membre
Lieu : Haute Loire
Distrib. : bullseye
Noyau : linux 5.10 amd64
(G)UI : xfce4 - lightdm
Inscription : 24-06-2014

Re : sources.list en http

Il y a quelques mois j'ai lu que https était inopérant, "transformé" en http.

Définitivement pour ce qui est contre et contre ce qui est pour.
Ryzen3 3200G - Asrock B450

Hors ligne

#8 08-05-2021 14:00:52

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : sources.list en http

jce76350 a écrit :

Il y a aussi le repo par défaut "security" qui n'est disponnible seulement en HTTP

Heu non enfin pour moi ça fonctionne sans de soucis et sur des autres machines de copains aussi wink


=> Sauf que c'est juste une redirection, qui semble merder présentement. Non ?

curl -D- https://deb.debian.org/debian-security


HTTP/2 404
server: Apache
x-content-type-options: nosniff
x-frame-options: sameorigin
referrer-policy: no-referrer
x-xss-protection: 1
permissions-policy: interest-cohort=()
content-type: text/html; charset=iso-8859-1
via: 1.1 varnish, 1.1 varnish
accept-ranges: bytes
date: Sat, 08 May 2021 11:57:06 GMT
age: 0
x-served-by: cache-ams21077-AMS, cache-lhr7329-LHR
x-cache: MISS, MISS
x-cache-hits: 0, 0
x-timer: S1620475027.692649,VS0,VE23
content-length: 265

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
<hr>
<address>Apache Server at security.debian.org Port 80</address>
</body></html>




C'est qui, "on" ?


N'importe qui qui regarde les paquets entre toi et le receveur. Tous les intermédiaires quoi. Bien entendu beaucoup de gens le font, et c'est bien pourquoi on chiffre tout ce qu'on peut...

Donc au final c'est plutôt pas mal de tout mettre en https, non ?


Oui.
Tant que tu sais en plus que si jamais ça marche plus, tu peux probablement débloquer en retirant le "s", parce qu'historiquement ça a merdé. Si ça le fait plus, tant mieux !

Dernière modification par otyugh (08-05-2021 14:05:18)


datalove-datalove-s1-2.png agendadulibre-lagendadulibre.png arzinfo-arzinfo.png

Hors ligne

#9 08-05-2021 14:13:40

jpt
Membre
Distrib. : Debian 10.8
Noyau : Linux 5.7.10 (backports)
(G)UI : LXDE
Inscription : 12-09-2020

Re : sources.list en http

otyugh a écrit :

N'importe qui qui regarde les paquets entre toi et le receveur

Euh, le receveur (des paquets provenant de Debian) c'est moi. Donc tu écris "N'importe qui qui regarde les paquets entre toi et toi" et j'ai beau regarder, il n'y a rien entre moi et moi.

Admettons que tu aies voulu écrire "entre toi et l'émetteur" (Debian, donc), déjà ça tient mieux la route et maintenant la question qui tue : tu en connais beaucoup, des gens qui font ça ? Regarder passer les trames IP entre le premier routeur en sortie de la box de Debian et le dernier routeur avant l'arrivée dans ma box ?
Regarder passer les trames et les analyser pour reconstituer en clair ce qui est en train de passer quand il passe quelque chose ?
Honnêtement ?

Alors oui, tu écris

otyugh a écrit :

Bien entendu beaucoup de gens le font, et c'est bien pourquoi on chiffre tout ce qu'on peut...

mais je me demande si ça ne relève pas de la légende urbaine car perso, je ne connais personne ayant ce profil (et faut vraiment n'avoir que ça à faire, hein).

Dernière modification par jpt (08-05-2021 14:16:03)


AMD Ryzen3 3200G sur Gigabyte B450M & Make Love Not War

En ligne

#10 08-05-2021 16:00:41

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : sources.list en http

Admettons que tu aies voulu écrire "entre toi et l'émetteur" (Debian, donc), déjà ça tient mieux la route


...Forcément je disais ça, va, pas besoin de faire un paragraphe sur une erreur d'écriture >_>

tu en connais beaucoup, des gens qui font ça ?


Je ne connais personne qui développe de malware donc c'est une légende urbaine ? tongue

Quand y a une vulnérabilité ou une fuite de donnée en informatique, elle tend a être exploitée un jour ou l'autre. Pis c'est trivial à faire surtout. Déjà tu peux parier que les services de renseignement le font. Pas que je dise que le choix de tes paquets sur ton OS soit l'information la plus palpitante du monde non plus mrgreen.gif

Dernière modification par otyugh (08-05-2021 16:03:17)


datalove-datalove-s1-2.png agendadulibre-lagendadulibre.png arzinfo-arzinfo.png

Hors ligne

#11 08-05-2021 17:12:43

saitama-san
Membre
Inscription : 28-07-2019

Re : sources.list en http

@jpt; c'est une des attaques possible. si tu interceptes le trafic et tu sais qu'un paquet est en cours de téléchargement, tu peux potentiellement lancer et réussir une attaque avant la fin de la mise à jour.

Hors ligne

#12 08-05-2021 18:22:45

jpt
Membre
Distrib. : Debian 10.8
Noyau : Linux 5.7.10 (backports)
(G)UI : LXDE
Inscription : 12-09-2020

Re : sources.list en http

otyugh a écrit :

...Forcément je disais ça, va, pas besoin de faire un paragraphe sur une erreur d'écriture

Désolé mais moi, surtout en informatique, j'ai besoin de précision et d'exactitude car je prends tout au premier degré et bien sûr, la plupart du temps ça coince, et après je passe du temps à essayer de comprendre où se cache la vérité. Bref...

otyugh a écrit :

Pis c'est trivial à faire surtout.

Ben pas tant que ça : y a longtemps (époque de Hacker Magazine ou peut-être même avant), y avait des bouts de code qui expliquaient comment prendre le contrôle de la machine à côté de celle où il fallait écrire le code et crois-moi, ça se terminait plus souvent par un écran bleu ou un kernel panic qu'autre chose, alors prendre le contrôle d'un routeur, déjà faut trouver le routeur, et ensuite rester planté devant son écran à attendre que l'analyseur de trames te réveille en disant "j'ai trouvé un truc bizarre", et ensuite il faut encore que l'attaque à lancer soit compaltible avec la cible (ma bécane -- et comme tu le dis si bien,

otyugh a écrit :

le choix de tes paquets sur ton OS

ne sera pas

otyugh a écrit :

l'information la plus palpitante du monde non plus

).
Je ne dis pas que c'est impossible, je dis qu'il faut tout un tas de conditions, tout un contexte que l'utilisateur lambda n'a pas pour être concerné (sauf peut-être pour rejoindre sans le vouloir des groupes de bots et réaliser des ddos -- mais avec un peu d'hygiène informatique, ça s'évite facilement -- Me souviens du ver I love you fin des années '90 ou début 2000, je sais plus, qu'on ouvrait avec des pincettes et Ho !, le joli code vbscript, lol).

saitama-san a écrit :

c'est une des attaques possible. si tu interceptes le trafic et tu sais qu'un paquet est en cours de téléchargement, tu peux potentiellement lancer et réussir une attaque avant la fin de la mise à jour.

Peux-tu détailler un peu ce que j'ai mis en italique ? Merci,


AMD Ryzen3 3200G sur Gigabyte B450M & Make Love Not War

En ligne

#13 08-05-2021 19:11:45

Tawal
Membre
Distrib. : Debian 10 Buster
Noyau : Linux 4.19.0-17-amd64
(G)UI : Xfce4
Inscription : 25-02-2021

Re : sources.list en http

Bon, je me sens obligé de mettre mon mot.

Tout d'abord, croyez-vous que les devs de Debian laisserais le sources.list en http si vraiment il y avait un quelconque soupçon de vulnérabilité ?

Ensuite, depuis le temps que c'est ainsi, y-a-t-il eu un seul report d'attaque sur apt par le biais de http ?

Et puis, pour finir et rester bref, le peu de formation sécurité informatique que j'ai suivi m'a bien fait comprendre que le maillon faible se situe entre le clavier et la chaise.
D'ailleurs les attaques par "social enginering"  sont les plus fréquentes et c'est souvent le point d'entrée à toute l'armada de malwares.

Enfin, il y a plus de "chances" que ton paquet soit vérolé une fois installé et à cause d'une erreur humaine qu'au travers la mise à jour ou installation via apt ...
.

Comme la science n'est pas infuse, elle se diffuse.

En ligne

#14 08-05-2021 19:51:01

saitama-san
Membre
Inscription : 28-07-2019

Re : sources.list en http

jpt a écrit :


saitama-san a écrit :

c'est une des attaques possible. si tu interceptes le trafic et tu sais qu'un paquet est en cours de téléchargement, tu peux potentiellement lancer et réussir une attaque avant la fin de la mise à jour.

Peux-tu détailler un peu ce que j'ai mis en italique ? Merci,


quand tu effectues une mise à jour, tu commences par télécharger le paquet, tu l'installes et si besoin tu redémarres le service.
tant que le paquet n'est pas encore installé ou le service n'a pas été redémarré, tu restes vulnérables.

Hors ligne

#15 08-05-2021 21:50:50

nam1962
Banni(e)
Distrib. : Manjaro, Debian, Xebian, Yunohost
Noyau : Ca dépend
(G)UI : Xfce
Inscription : 02-08-2017

Re : sources.list en http

Je vois plein de débat, de circonvolutions, de rhétorique... ma réponse https://debian-facile.org/viewtopic.php … 10#p359810 était incomplète ?

Almanet doLys de l'open source : mon tuto pour optimiser / finaliser une install
Manjaro Xfce - Debian Xfce - Yunohost - Xebian Et vous ?
61 convertis  IRL (n'ont pas eu le choix...).

Hors ligne

#16 08-05-2021 22:38:02

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : sources.list en http

Tawal a écrit :

Tout d'abord, croyez-vous que les devs de Debian laisserais le sources.list en http si vraiment il y avait un quelconque soupçon de vulnérabilité ?


TL;DR non.

Mais on peu chipailler (ce que je fais depuis le début).
À une époque ça a été le cas vu qu'il avait une faille dans la vérification des signatures GPG sur lequel repose notre sécurité, et sans HTTPS, y avait virtuellement aucune protection contre une attaque "man in the middle". La vulnérabilité a été résolue depuis bien sûr tongue

Comme je le disais plus haut, le pire qui puisse arriver c'est découvrir une faille sur la signature des paquets ou que qu'un psychopathe veuille savoir quel paquets tu télécharges quand tu installes ou met à jour un logiciel. Ce n'est pas du genre "terrible" comme ordre de vulnérabilité.

Dernière modification par otyugh (08-05-2021 23:17:32)


datalove-datalove-s1-2.png agendadulibre-lagendadulibre.png arzinfo-arzinfo.png

Hors ligne

#17 08-05-2021 23:28:43

Tawal
Membre
Distrib. : Debian 10 Buster
Noyau : Linux 4.19.0-17-amd64
(G)UI : Xfce4
Inscription : 25-02-2021

Re : sources.list en http

otyugh a écrit :

ou que qu'un psychopathe veuille savoir quel paquets tu télécharges quand tu installes ou met à jour un logiciel

Les premiers "psychopathes" sont justement les devs, qui aiment bien savoir si leur paquet est plus ou moins utilisé. Et la question d'envoi de rapport d'utilisation des paquets est posée à l'installation de Debian ...

Dernière modification par Tawal (08-05-2021 23:29:15)


Comme la science n'est pas infuse, elle se diffuse.

En ligne

#18 09-05-2021 13:46:16

dtux
Membre
Distrib. : Debian 10 Buster
Noyau : Linux 4.19.0-13-amd64
(G)UI : KDE
Inscription : 26-12-2020

Re : sources.list en http

otyugh a écrit :



Donc au final c'est plutôt pas mal de tout mettre en https, non ?


Oui.
Tant que tu sais en plus que si jamais ça marche plus, tu peux probablement débloquer en retirant le "s", parce qu'historiquement ça a merdé. Si ça le fait plus, tant mieux !



On est d'accord smile

Ca ne coûte rien et le moins qu'on puisse dire, c'est que c'est sans danger. lol

Hors ligne

#19 09-05-2021 13:49:18

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : sources.list en http

c'est sans danger


sans-danger.jpg
(référence à Marathon Man)

Dernière modification par otyugh (09-05-2021 13:49:51)


datalove-datalove-s1-2.png agendadulibre-lagendadulibre.png arzinfo-arzinfo.png

Hors ligne

#20 09-05-2021 14:13:05

saitama-san
Membre
Inscription : 28-07-2019

Re : sources.list en http

Tawal a écrit :

Les premiers "psychopathes" sont justement les devs, qui aiment bien savoir si leur paquet est plus ou moins utilisé. Et la question d'envoi de rapport d'utilisation des paquets est posée à l'installation de Debian ...


C'est vraiment des dingues, ils ont même mis une case à cocher pour refuser. Ils sont vraiment fourbes chez Debian

Hors ligne

#21 09-05-2021 14:29:30

hybridemoineau
Membre
Inscription : 21-02-2016

Re : sources.list en http

saitama-san a écrit :

Tawal a écrit :

Les premiers "psychopathes" sont justement les devs, qui aiment bien savoir si leur paquet est plus ou moins utilisé. Et la question d'envoi de rapport d'utilisation des paquets est posée à l'installation de Debian ...


C'est vraiment des dingues, ils ont même mis une case à cocher pour refuser. Ils sont vraiment fourbes chez Debian



Comme ils ont tous un Asperger, je me demande même s'il ne faut pas cocher la case pour accepter.

Hors ligne

#22 10-05-2021 09:57:24

Tawal
Membre
Distrib. : Debian 10 Buster
Noyau : Linux 4.19.0-17-amd64
(G)UI : Xfce4
Inscription : 25-02-2021

Re : sources.list en http

Oui, ce n'est pas coché par défaut, il faut le vouloir.
Les vrais psychopathes sont ceux qui croient être espionnés en cochant cette case ... car ce sont des rapports anonymes.

Dernière modification par Tawal (10-05-2021 09:59:34)


Comme la science n'est pas infuse, elle se diffuse.

En ligne

Pied de page des forums