sources.list en http

dtux · 07-05-2021 09:40:12

Bonjour,

J'ai remarqué que les adresses figurant dans le fichier sources.list étaient toutes en http et non en https.

Est-ce normal ? J'aurais été tenté de dire non pour une distribution aussi à cheval sur la sécurité que Debian, mais à la vue de vos fichiers sources.list dans le sujet dédié, c'est aussi le cas pour vous. Le https par défaut n'est-il donc pas nécessaire ?

nam1962 · 07-05-2021 09:56:14

Non, parce que les paquets sont signés, donc un malicieux qui les changerait le ferait pour des prunes.
Et par ailleurs, l'info qu'ils transmettent est... publique (open source), non ?

On peut toujours RTFM, mais c'est un peu plus long comme explication : https://wiki.debian.org/SecureApt

otyugh · 07-05-2021 09:56:16

Nope, vu que les paquets sont signés par la clé de Debian et seraient donc refusés si tronqués.

Par contre là où le http est pas terrible, c'est qu'on voit quel paquet tu télécharges et quand ; donc le https apporte quelque chose amha.

Le https a par contre le défaut de, à plusieur reprise j'ai vu ça, bloquer APT ; suffit de pas avoir le bon fuseau horaire et https bloque, et parfois c'est juste des soucis de certificats (et c'est arrivé plusieurs fois avec deb.debian.org).
Il y a aussi le repo par défaut "security" qui n'est disponnible seulement en HTTP (pourquoi ? Bonne question ! ~)

Dernière modification par otyugh (07-05-2021 09:59:09)

jpt · 07-05-2021 11:03:41

Bonjour,

otyugh a écrit :

c'est qu'on voit quel paquet tu télécharges et quand ;

C'est qui, "on" ?

jce76350 · 07-05-2021 12:29:55

Il y a aussi le repo par défaut "security" qui n'est disponnible seulement en HTTP

Heu non enfin pour moi ça fonctionne sans de soucis et sur des autres machines de copains aussi

## buster security MODIF du 07/01/2020 paquets via https

deb https://deb.debian.org/debian-security buster/updates main contrib non-free

et d’ailler ici c'était prévu mais re-modifié

dtux · 07-05-2021 20:23:51

Donc au final c'est plutôt pas mal de tout mettre en https, non ?

J'ai vu sur certains sites que le paquet apt- transport-https était inclus par défaut dans Buster, mais apparemment non. Je l'ai installé, ça n'a rien changé. D'ailleurs, il est décrit comme "un paquet factice de transition" ici https://packages.debian.org/fr/buster/a … port-https, je ne sais pas ce que ça veut dire...
Je l'ai désinstallé.

Alors finalement pour tester, j'ai ajouté manuellement un s à tous les "http" dans le fichier sources.list. Et après un "apt update", ca fonctionne.

Dernière modification par dtux (07-05-2021 20:25:03)

jarek · 08-05-2021 10:09:48

Il y a quelques mois j'ai lu que https était inopérant, "transformé" en http.

otyugh · 08-05-2021 14:00:52

jce76350 a écrit :

Il y a aussi le repo par défaut "security" qui n'est disponnible seulement en HTTP
Heu non enfin pour moi ça fonctionne sans de soucis et sur des autres machines de copains aussi

=> Sauf que c'est juste une redirection, qui semble merder présentement. Non ?

curl -D- https://deb.debian.org/debian-security

HTTP/2 404
server: Apache
x-content-type-options: nosniff
x-frame-options: sameorigin
referrer-policy: no-referrer
x-xss-protection: 1
permissions-policy: interest-cohort=()
content-type: text/html; charset=iso-8859-1
via: 1.1 varnish, 1.1 varnish
accept-ranges: bytes
date: Sat, 08 May 2021 11:57:06 GMT
age: 0
x-served-by: cache-ams21077-AMS, cache-lhr7329-LHR
x-cache: MISS, MISS
x-cache-hits: 0, 0
x-timer: S1620475027.692649,VS0,VE23
content-length: 265

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
<hr>
<address>Apache Server at security.debian.org Port 80</address>
</body></html>

C'est qui, "on" ?

N'importe qui qui regarde les paquets entre toi et le receveur. Tous les intermédiaires quoi. Bien entendu beaucoup de gens le font, et c'est bien pourquoi on chiffre tout ce qu'on peut...

Donc au final c'est plutôt pas mal de tout mettre en https, non ?

Oui.
Tant que tu sais en plus que si jamais ça marche plus, tu peux probablement débloquer en retirant le "s", parce qu'historiquement ça a merdé. Si ça le fait plus, tant mieux !

Dernière modification par otyugh (08-05-2021 14:05:18)

jpt · 08-05-2021 14:13:40

otyugh a écrit :

N'importe qui qui regarde les paquets entre toi et le receveur

Euh, le receveur (des paquets provenant de Debian) c'est moi. Donc tu écris "N'importe qui qui regarde les paquets entre toi et toi" et j'ai beau regarder, il n'y a rien entre moi et moi.

Admettons que tu aies voulu écrire "entre toi et l'émetteur" (Debian, donc), déjà ça tient mieux la route et maintenant la question qui tue : tu en connais beaucoup, des gens qui font ça ? Regarder passer les trames IP entre le premier routeur en sortie de la box de Debian et le dernier routeur avant l'arrivée dans ma box ?
Regarder passer les trames et les analyser pour reconstituer en clair ce qui est en train de passer quand il passe quelque chose ?
Honnêtement ?

Alors oui, tu écris

otyugh a écrit :

Bien entendu beaucoup de gens le font, et c'est bien pourquoi on chiffre tout ce qu'on peut...

mais je me demande si ça ne relève pas de la légende urbaine car perso, je ne connais personne ayant ce profil (et faut vraiment n'avoir que ça à faire, hein).

Dernière modification par jpt (08-05-2021 14:16:03)

otyugh · 08-05-2021 16:00:41

Admettons que tu aies voulu écrire "entre toi et l'émetteur" (Debian, donc), déjà ça tient mieux la route

...Forcément je disais ça, va, pas besoin de faire un paragraphe sur une erreur d'écriture >_>

tu en connais beaucoup, des gens qui font ça ?

Je ne connais personne qui développe de malware donc c'est une légende urbaine ?

Quand y a une vulnérabilité ou une fuite de donnée en informatique, elle tend a être exploitée un jour ou l'autre. Pis c'est trivial à faire surtout. Déjà tu peux parier que les services de renseignement le font. Pas que je dise que le choix de tes paquets sur ton OS soit l'information la plus palpitante du monde non plus

Dernière modification par otyugh (08-05-2021 16:03:17)

saitama-san · 08-05-2021 17:12:43

@jpt; c'est une des attaques possible. si tu interceptes le trafic et tu sais qu'un paquet est en cours de téléchargement, tu peux potentiellement lancer et réussir une attaque avant la fin de la mise à jour.

jpt · 08-05-2021 18:22:45

otyugh a écrit :

...Forcément je disais ça, va, pas besoin de faire un paragraphe sur une erreur d'écriture

Désolé mais moi, surtout en informatique, j'ai besoin de précision et d'exactitude car je prends tout au premier degré et bien sûr, la plupart du temps ça coince, et après je passe du temps à essayer de comprendre où se cache la vérité. Bref...

otyugh a écrit :

Pis c'est trivial à faire surtout.

Ben pas tant que ça : y a longtemps (époque de Hacker Magazine ou peut-être même avant), y avait des bouts de code qui expliquaient comment prendre le contrôle de la machine à côté de celle où il fallait écrire le code et crois-moi, ça se terminait plus souvent par un écran bleu ou un kernel panic qu'autre chose, alors prendre le contrôle d'un routeur, déjà faut trouver le routeur, et ensuite rester planté devant son écran à attendre que l'analyseur de trames te réveille en disant "j'ai trouvé un truc bizarre", et ensuite il faut encore que l'attaque à lancer soit compaltible avec la cible (ma bécane -- et comme tu le dis si bien,

otyugh a écrit :

le choix de tes paquets sur ton OS

ne sera pas

otyugh a écrit :

l'information la plus palpitante du monde non plus

).
Je ne dis pas que c'est impossible, je dis qu'il faut tout un tas de conditions, tout un contexte que l'utilisateur lambda n'a pas pour être concerné (sauf peut-être pour rejoindre sans le vouloir des groupes de bots et réaliser des ddos -- mais avec un peu d'hygiène informatique, ça s'évite facilement -- Me souviens du ver I love you fin des années '90 ou début 2000, je sais plus, qu'on ouvrait avec des pincettes et Ho !, le joli code vbscript, ).

saitama-san a écrit :

c'est une des attaques possible. si tu interceptes le trafic et tu sais qu'un paquet est en cours de téléchargement, tu peux potentiellement lancer et réussir une attaque avant la fin de la mise à jour.

Peux-tu détailler un peu ce que j'ai mis en italique ? Merci,

Tawal · 08-05-2021 19:11:45

Bon, je me sens obligé de mettre mon mot.

Tout d'abord, croyez-vous que les devs de Debian laisserais le sources.list en http si vraiment il y avait un quelconque soupçon de vulnérabilité ?

Ensuite, depuis le temps que c'est ainsi, y-a-t-il eu un seul report d'attaque sur apt par le biais de http ?

Et puis, pour finir et rester bref, le peu de formation sécurité informatique que j'ai suivi m'a bien fait comprendre que le maillon faible se situe entre le clavier et la chaise.
D'ailleurs les attaques par "social enginering" sont les plus fréquentes et c'est souvent le point d'entrée à toute l'armada de malwares.

Enfin, il y a plus de "chances" que ton paquet soit vérolé une fois installé et à cause d'une erreur humaine qu'au travers la mise à jour ou installation via apt ...
.

saitama-san · 08-05-2021 19:51:01

jpt a écrit :

saitama-san a écrit :
c'est une des attaques possible. si tu interceptes le trafic et tu sais qu'un paquet est en cours de téléchargement, tu peux potentiellement lancer et réussir une attaque avant la fin de la mise à jour.
Peux-tu détailler un peu ce que j'ai mis en italique ? Merci,

quand tu effectues une mise à jour, tu commences par télécharger le paquet, tu l'installes et si besoin tu redémarres le service.
tant que le paquet n'est pas encore installé ou le service n'a pas été redémarré, tu restes vulnérables.

nam1962 · 08-05-2021 21:50:50

Je vois plein de débat, de circonvolutions, de rhétorique... ma réponse https://debian-facile.org/viewtopic.php … 10#p359810 était incomplète ?

otyugh · 08-05-2021 22:38:02

Tawal a écrit :

Tout d'abord, croyez-vous que les devs de Debian laisserais le sources.list en http si vraiment il y avait un quelconque soupçon de vulnérabilité ?

TL;DR non.

Mais on peu chipailler (ce que je fais depuis le début).
À une époque ça a été le cas vu qu'il avait une faille dans la vérification des signatures GPG sur lequel repose notre sécurité, et sans HTTPS, y avait virtuellement aucune protection contre une attaque "man in the middle". La vulnérabilité a été résolue depuis bien sûr

Comme je le disais plus haut, le pire qui puisse arriver c'est découvrir une faille sur la signature des paquets ou que qu'un psychopathe veuille savoir quel paquets tu télécharges quand tu installes ou met à jour un logiciel. Ce n'est pas du genre "terrible" comme ordre de vulnérabilité.

Dernière modification par otyugh (08-05-2021 23:17:32)

Tawal · 08-05-2021 23:28:43

otyugh a écrit :

ou que qu'un psychopathe veuille savoir quel paquets tu télécharges quand tu installes ou met à jour un logiciel

Les premiers "psychopathes" sont justement les devs, qui aiment bien savoir si leur paquet est plus ou moins utilisé. Et la question d'envoi de rapport d'utilisation des paquets est posée à l'installation de Debian ...

Dernière modification par Tawal (08-05-2021 23:29:15)

dtux · 09-05-2021 13:46:16

otyugh a écrit :

Donc au final c'est plutôt pas mal de tout mettre en https, non ?

Oui.
Tant que tu sais en plus que si jamais ça marche plus, tu peux probablement débloquer en retirant le "s", parce qu'historiquement ça a merdé. Si ça le fait plus, tant mieux !

On est d'accord

Ca ne coûte rien et le moins qu'on puisse dire, c'est que c'est sans danger.

otyugh · 09-05-2021 13:49:18

c'est sans danger

(référence à Marathon Man)

Dernière modification par otyugh (09-05-2021 13:49:51)

saitama-san · 09-05-2021 14:13:05

Tawal a écrit :

Les premiers "psychopathes" sont justement les devs, qui aiment bien savoir si leur paquet est plus ou moins utilisé. Et la question d'envoi de rapport d'utilisation des paquets est posée à l'installation de Debian ...

C'est vraiment des dingues, ils ont même mis une case à cocher pour refuser. Ils sont vraiment fourbes chez Debian

hybridemoineau · 09-05-2021 14:29:30

saitama-san a écrit :

Tawal a écrit :
Les premiers "psychopathes" sont justement les devs, qui aiment bien savoir si leur paquet est plus ou moins utilisé. Et la question d'envoi de rapport d'utilisation des paquets est posée à l'installation de Debian ...

C'est vraiment des dingues, ils ont même mis une case à cocher pour refuser. Ils sont vraiment fourbes chez Debian

Comme ils ont tous un Asperger, je me demande même s'il ne faut pas cocher la case pour accepter.

Tawal · 10-05-2021 09:57:24

Oui, ce n'est pas coché par défaut, il faut le vouloir.
Les vrais psychopathes sont ceux qui croient être espionnés en cochant cette case ... car ce sont des rapports anonymes.

Dernière modification par Tawal (10-05-2021 09:59:34)

Debian-facile

#1 07-05-2021 09:40:12

sources.list en http

#2 07-05-2021 09:56:14

Re : sources.list en http

#3 07-05-2021 09:56:16

Re : sources.list en http

#4 07-05-2021 11:03:41

Re : sources.list en http

#5 07-05-2021 12:29:55

Re : sources.list en http

#6 07-05-2021 20:23:51

Re : sources.list en http

#7 08-05-2021 10:09:48

Re : sources.list en http

#8 08-05-2021 14:00:52

Re : sources.list en http

#9 08-05-2021 14:13:40

Re : sources.list en http

#10 08-05-2021 16:00:41

Re : sources.list en http

#11 08-05-2021 17:12:43

Re : sources.list en http

#12 08-05-2021 18:22:45

Re : sources.list en http

#13 08-05-2021 19:11:45

Re : sources.list en http

#14 08-05-2021 19:51:01

Re : sources.list en http

#15 08-05-2021 21:50:50

Re : sources.list en http

#16 08-05-2021 22:38:02

Re : sources.list en http

#17 08-05-2021 23:28:43

Re : sources.list en http

#18 09-05-2021 13:46:16

Re : sources.list en http

#19 09-05-2021 13:49:18

Re : sources.list en http

#20 09-05-2021 14:13:05

Re : sources.list en http

#21 09-05-2021 14:29:30

Re : sources.list en http

#22 10-05-2021 09:57:24

Re : sources.list en http

Pied de page des forums