Malwares: les utilisateurs de Mac ont un peu la gueule de bois, Réactions à la publication du 08/05/2017

[Lionel]

Ces derniers temps, et même ces derniers jours, les annonces de découvertes de Malwares sous macOS se sont enchaînées.
D'un point de vue global, cela n'a rien de surprenant, ces dernières années les attaques diverses et variées contre les équipements informatiques sont de venues de plus en plus nombreuses et systématiques. Dès qu'une faille est découverte, elle est exploitée à grande échelle, que ce soit au niveau des routeurs, caméras, Flash Player... C'est lié à la création de réseaux criminels de grande échelle (ou de structures étatiques) qui les exploitent massivement.
Pendant longtemps, très longtemps, macOS et avant lui OS X et avant lui Mac OS a été épargnés par ces attaques. Apple en faisait d'ailleurs un argument commercial, comme le rappelle cette vidéo.

On pourrait expliquer de plusieurs manières cette impunité relative, à commencer par la base Unix de ce système qui, éprouvée depuis des décennies, était moins faillible que Windows. On peut aussi considérer que les pirates n'avaient pas encore acquis de compétences de programmation sous les systèmes Apple. Mais le plus probable est que le faible parc de Mac, proportionnellement à celui sous Windows n'intéressait pas les pirates.
Les choses ont depuis changé. Non seulement le parc de Mac n'est plus aussi négligeable, mais il sert aussi de porte d'entrée à des choses précieuses pour les pirates. Nous parlons ici de cibles potentielles ayant des moyens élevés, mais également de la population de développeurs iOS et macOS qu'il est intéressant de cibler ainsi que d'un moyen d'atteindre indirectement le contenu des appareils iOS via les sauvegardes stockées sur les machines.

Bref, inutile de s'appesantir trop longuement sur les causes de cet état de fait, les conséquences sont les choses les plus importantes à traiter.

Aujourd'hui, les attaques que nous subissons sont très proches de celles auxquelles les utilisateurs de PC sous Windows (ou plus récemment de machines sous Linux) sont victimes. Ce sont pour l'essentiel des chevaux de Troie qui vont utiliser la méconnaissance ou la crédulité des utilisateurs pour s'installer sur les machines et faire leurs œuvres, vol de données, détournement des machines en réseau zombie ou prise "d'otage" des données qui sont chiffrées.

Il va donc falloir grimper de quelques crans dans la prise de conscience de cet état de fait, et ce sera la première victoire contre ces attaques. Non seulement il va falloir apprendre à ne rentrer son mot de passe administrateur que quand on est certain que la demande est totalement légitime, mais aussi apprendre à vérifier la somme de contrôle d'un téléchargement de fichier avant de le décompacter et de le lancer. Pour certain c'est là qu'ils ont la gueule de bois, mais elle passera plus facilement en prenant conscience que l'on a été dupé.

A l'occasion de cette brève, nous tenons à vous dire que si nous craignons grandement ces attaques, nous avons aussi tendance à craindre les éventuelles réactions d'Apple. Certes, elle peut se lancer dans une amélioration de ses faibles barrières contre les attaques comme Gatekeeper (qui ne sert pas à grand chose une fois qu'un compte de développeur légitime est utilisé) ou les faibles sécurités mises en place par détection de signature qui visent plus à éteindre un incendie qu'à éviter qu'il soit allumé.
Nous craignons qu'Apple ne puisse, sous prétexte de nous protéger, décider de franchir un cap sous MacOS et de nous interdire l'installation de tout logiciel non signé et non téléchargé depuis l'App Store, une iOSation ultime de macOS.
Une fois encore, on devrait faire le choix entre sécurité et liberté et là on serait certains d'avoir perdu la seconde sans avoir la moindre garantie de gagner la première.

Lien vers le billet original

[be51be51]

il va falloir apprendre à vérifier la somme de contrôle d'un téléchargement de fichier

Il va falloir nous apprendre !

il va falloir apprendre à ne rentrer son mot de passe administrateur que quand on est certain que la demande est totalement légitime

J'utilise un compte administrateur en permanence, pratique mais sans doute pas une bonne pratique...

[bricoleur]

apprendre à vérifier la somme de contrôle d'un téléchargement de fichier avant de le décompacter et de le lancer
Lien vers le billet original

Je plussoie: on fait ça comment?

[huexley]

mais aussi apprendre à vérifier la somme de contrôle d'un téléchargement de fichier avant de le décompacter et de le lancer.[/url]

Le Hash est une bonne chose, mais à partir du moment ou le site de téléchargement de l'éditeur est compromis, on peut imaginer que l'information du hash sur le site web peut l'être également. En même temps quand on voit l'usine à gaz qu'es devenu OSX il faut pas s'étonner. Entre les fonctionnements antiques d'installeurs, ceux qui font leur cuisine, ceux qui vont dans les containers, les prefs qui ressemble aux archives de la stasi après 2 ans, les launchagents qui s'empilent sans parler des invisibles et la liste est longue… Il est normal que les utilisateurs aient un peu de la peine. Mais après tout c'est un ordinateur et pas un lave vaisselle et il convient à mon sens d'en apprendre le fonctionnement à minima.

[JPRW]

apprendre à vérifier la somme de contrôle d'un téléchargement de fichier avant de le décompacter et de le lancer
Lien vers le billet original

Je plussoie: on fait ça comment?

.

Ben comme je ne suis pas informaticien et que j' ai décroché de la bidouille depuis le passage à Mac OsX , je fais basique pour les nuls : je passe tous les éléments téléchargés ( app , pièces jointes , dmg avant et après décompression ,zip , etc ... ) au scanner antivirus toujours à jour ( Bitdef et intego ) .

Après toute installation je repasse un coup de malwarebyte

Ca fait un peu parano , je sais ....

[Fafnir]

Et si on utilisait les fables du petit chaperon rouge et des trois petit cochons pour faire décider l'industrie qu'il est désormais temps de refonder sur des bases plus saine leurs montages digne de Tinguely?

[jakin1950]

Windows 10 S est un Os où on ne peut utiliser que des programmes téléchargés sur le Windows Store.
Il est destiné aux Surface éducation ( en gros )

J'imagine mal adobe mettre lightroom sur le Windows Store.

La réaction des éditeurs va être instructive.

Apple va avoir la tentation : sous prétexte de sécurité , enfermer totalement l'utilisateur .

Windows 10 restera ouvert , Seven reste très utilisé par les professionnels
Les programmes utilisés en entreprise ne passeront pas par le Windows Store.

Pour Apple, entreprise narcissique , c'est une aubaine.


Les professionnels qui ont besoin de programmes spécifiques seront contraints de rester sur les "anciens " Mac OS et de se mettre sur Hackintosh

La fusion au niveau de la gestion des programmes entre Mac OS et iOS me semble une éventualité crédible.

[Macmmouth]

Lionel,

Ta remarque sur les cibles ayant des moyens élevés est interessante.
Je n'avais pas vu les choses sous cet angle.

C'est un peu comme avoir une voiture haut de gamme, au final ça représente beaucoup plus d'inconvénient que d'avantages.

On ne peut pas la laisser longtemps sur un parking, on ne peut pas charger n'importe quoi dedans sous peine de la salir.
La moindre rayure est un drame et on risque de se la faire piquer ou vandaliser en permanence.

Tout ça pour quoi ?

Absolumnent rien en fait. Une vieille voiture pourrie vous transportera d'un point A vers un point B en exactement le même temps.

Même chose pour les ordis où on peut faire maintenant la même chose avec un ordi modeste et où avoir un ordi de luxe ne sert pratiquement plus qu'à attirer d'avantage les pirates.

Ce message a été modifié par Macmmouth - 8 May 2017, 08:32.

[sinbad21]

Déjà avec Sierra il faut entrer une commande Terminal pour retrouver l'option "n'importe où" dans les préférences système. Apple peut se contenter de ça, vu que ça élimine 95% des utilisateurs.

[fabounio]

me je ne suis pas informaticien et que j' ai décroché de la bidouille depuis le passage à Mac OsX , je fais basique pour les nuls : je passe tous les éléments téléchargés ( app , pièces jointes , dmg avant et après décompression ,zip , etc ... ) au scanner antivirus toujours à jour ( Bitdef et intego ) .

Après toute installation je repasse un coup de malwarebyte
Ca fait un peu parano , je sais ....

Et t'as déjà trouvé quelque chose de louche ? j'imagine que non.
En plus toutes ces solutions antiviraux sur mac sont en général des catastrophes, ça ralentit la machine quand ça la rend pas instable.
Et puis quand on a un antiviral, on se dit "je suis couvert" et donc on fait n'importe quoi sans réfléchir car on se sent protégé... on arrive au résultat inverse.

99% des malwares actuels utilisent la faille qui est entre la chaise et le clavier, et s'installent en vous demandant la permission tout simplement (identifiants).
Sur windows au moins, ça se fait tout seul sans qu'on vous demande rien

[Fabricius]

il va falloir apprendre à vérifier la somme de contrôle d'un téléchargement de fichier

Il va falloir nous apprendre !

Lorsque tu télécharge un logiciel pour lequel un SHA1 ou SHA256 est dispo c'est généralement indiqué au moment du chargement de la page de téléchargement.
Exemple

Une fois que tu cliques sur le lien, un code du style "fd071b9817c9efccac5a144d69893a4a5323cbde4a74d5691c3cf3ab979d4160" va apparaitre.
Ce code est le HASH qui correspond au fichier que tu télécharges qui a été généré par les devs juste avant de mettre à disposition l'image disque.

Ensuite dans le terminal tu tapes (en l'occurrence pour l'image DMG de VLC 2.2.6 actuellement dispo)

Code

shasum -a 256 (ICI TU GLISSES TON FICHIER DMG A VERIFIER

Le résultat apparait au bout de quelques secondes si le fichier n'est pas très lourd et tu devrais retrouver caractère pour caractère le long code qui était donné par le site de VLC

Dans le cas présent tu dois mettre l'option "-a 256" car le SHA de VLC est calculé en 256, si tu te trompes tu n'auras pas le bon code de vérification.

Juste pour l'exemple j'ai recréé une image disque sans modifier le moindre fichier, seule différence c'est que mon ordinateur à re-généré une image DMG de VLC, par conséquent le SHA 256 à forcément changé.



Néanmoins les ferrus du terminal auront sans doute une solution plus simple, je sais qu'il est possible de faire une comparaison directe aussi, mais j'ai jamais cherché à le faire.

il va falloir apprendre à ne rentrer son mot de passe administrateur que quand on est certain que la demande est totalement légitime

J'utilise un compte administrateur en permanence, pratique mais sans doute pas une bonne pratique...

Plus de 10 ans que j'ai un mac, je suis technicien Mac d'ailleurs, je télécharge tout et n'importe quoi sur le net, pour autant je vérifie régulièrement avec MalwareByte Mac ma machine et je n'ai jamais rien de vilain sur mon ordinateur.

Effectivement, ne pas mettre le mot de passe admin à tout bout de champs est important.

Fabricius

Ce message a été modifié par Fabricius - 8 May 2017, 09:45.

[downanotch]

Il y a deux moyen de distributions très sûrs qui garantisse que l'application a été compilée par le développeur et qu'elle n'a pas été modifiée depuis, et qui donc auraient rendu inefficaces les deux derniers malware (Flash et Handbrake) :

1. le Mac App Store
2. l'utilisation d'un pkg signé qui permet de facilement vérifier qui est le détenteur du certificat utilisé pour signer le logiciel, comme ci-dessous

 Screen_Shot_2017_05_08_at_10.45.40.png ( 93.72 Ko ) Nombre de téléchargements : 51


Ce message a été modifié par downanotch - 8 May 2017, 09:47.

[fabounio]

...comme avoir une voiture haut de gamme, au final ça représente beaucoup plus d'inconvénient que d'avantages.

On ne peut pas la laisser longtemps sur un parking, on ne peut pas charger n'importe quoi dedans sous peine de la salir.
La moindre rayure est un drame et on risque de se la faire piquer ou vandaliser en permanence.

Tout ça pour quoi ?

Absolumnent rien en fait. Une vieille voiture pourrie vous transportera d'un point A vers un point B en exactement le même temps.

J'ai une twingo 1 qui a 22 ans et 223 000 Km, on a tenté de me la voler 2 fois, et elle a été vandalisée. la dernière fois était il y a 2 ans.
On est obligés de mettre un bloque volant bien visible pour dissuader les voleurs. et pourtant c'est une vieille caisse, mais tellement facile a voler...
En plus vu la valeur du véhicule c'est même pas la peine de l'assurer tout risques, et dont toutes les réparation étaient pour ma pomme l'assureur l'aurait envoyé a la casse direct.
l'argument ne tient pas forcément.
Dans le top 5 des voitures les plus volées, ce ne sont pas forcément des haut de gamme.

[broitman]

c'est surtout l'attrait du moyen de paiement proprietaire APPLE PAY qui fait saliver et aspire les pirates, surtout si les moyens d'identification sont dematerialises

[downanotch]

Déjà avec Sierra il faut entrer une commande Terminal pour retrouver l'option "n'importe où" dans les préférences système.

C'est une très bonne chose ! Pas la peine de désactiver complètement cette sécurité alors qu'on peut très facilement le faire au cas par cas via le menu contextuel.

[yannich]

Même chose pour les ordis où on peut faire maintenant la même chose avec un ordi modeste et où avoir un ordi de luxe ne sert pratiquement plus qu'à attirer d'avantage les pirates.

Les pirates s'intéressent à TOUS les ordinateurs ( ou plus tôt leur système ) quelqu'en soit le prix payé à l'achat .

[JPRW]

me je ne suis pas informaticien et que j' ai décroché de la bidouille depuis le passage à Mac OsX , je fais basique pour les nuls : je passe tous les éléments téléchargés ( app , pièces jointes , dmg avant et après décompression ,zip , etc ... ) au scanner antivirus toujours à jour ( Bitdef et intego ) .

Après toute installation je repasse un coup de malwarebyte
Ca fait un peu parano , je sais ....

Et t'as déjà trouvé quelque chose de louche ? j'imagine que non.
En plus toutes ces solutions antiviraux sur mac sont en général des catastrophes, ça ralentit la machine quand ça la rend pas instable.
Et puis quand on a un antiviral, on se dit "je suis couvert" et donc on fait n'importe quoi sans réfléchir car on se sent protégé... on arrive au résultat inverse.

99% des malwares actuels utilisent la faille qui est entre la chaise et le clavier, et s'installent en vous demandant la permission tout simplement (identifiants).
Sur windows au moins, ça se fait tout seul sans qu'on vous demande rien

Ben oui , tu as raison , comme tu as pu le constater , je fais n' importe quoi en pensant être couvert .

Sinon , avec mon comportement irresponsable j' ai trouvé quelques "saloperies" avec quelques app téléchargées i.e. : Osirix un viewer DICOM , une MAJ Real player à l' époque ( pourtant chargées chez les éditeurs ) , dans des pièces jointes Office et des documents compressée en zip adressés par des correspondants professionnels ( qui ont été avertis pour faire le ménage chez eux ) ,

Je bosse avec mon MBP et je préfère l' avoir ralenti que vérolé . En plus , je trouve que ça ne ralentit rien si on configure les AV intelligemment pour chaque situation de travail et de connexion .

Je suis suis sur ordi Apple depuis le IIe et j' ai tout de même vu une certaine "détérioration malveillante" suffisamment progresser au sein de l' environnement Apple pour ne plus faire l' autruche depuis bien longtemps .

M' enfin ce n' est que mon avis du moment .

[lolo-69]

Les pirates s'intéressent à TOUS les ordinateurs ( ou plus tôt leur système ) quelqu'en soit le prix payé à l'achat .

Oui. Si une part de l'énergie et des moyens mis en œuvre par les gouvernements pour pister le citoyen lambda (flicage, hadopi & Cie) était mise pour se débarrasser de ces emmerdeurs, nous ne les aurions plus collés à nos burnes comme des morbacs!

Mais mieux vaut utiliser le denier du con-tribuable pour protéger les intérêts privés des copains de l'industrie multi-nationale, ça rapporte plus!

Enfin, j'dis ça, j'dis rien...

[divoli]

Plus de 10 ans que j'ai un mac, je suis technicien Mac d'ailleurs, je télécharge tout et n'importe quoi sur le net, pour autant je vérifie régulièrement avec MalwareByte Mac ma machine et je n'ai jamais rien de vilain sur mon ordinateur.

Avoir un comportement à risque en se reposant exclusivement sur un anti-malware (ou anti-virus) et en se croyant de facto protégé, je pense que c'est une grossière erreur, ces logiciels (y compris MAM) ne sont pas infaillibles.
Je me souviens même d'un type, spécialisé dans la sécurité informatique, qui ayant un doute sur une possible infection de son PC, l'avait scanné avec plusieurs anti-virus différents (cinq ou six, si je me souviens bien).

[raoulito]

Plus de 10 ans que j'ai un mac, je suis technicien Mac d'ailleurs, je télécharge tout et n'importe quoi sur le net, pour autant je vérifie régulièrement avec MalwareByte Mac ma machine et je n'ai jamais rien de vilain sur mon ordinateur.

Avoir un comportement à risque en se reposant exclusivement sur un anti-malware (ou anti-virus) et en se croyant de facto protégé, je pense que c'est une grossière erreur, ces logiciels (y compris MAM) ne sont pas infaillibles.
Je me souviens même d'un type, spécialisé dans la sécurité informatique, qui ayant un doute sur une possible infection de son PC, l'avait scanné avec plusieurs anti-virus différents (cinq ou six, si je me souviens bien).

oui, pour les malwares et spywares c'est d'ailleurs la seule solution sur PC...
mais dans notre cas, une sécurité basique avec compte admin/compte user et antivirus (pas forcement en permanence mais un scan hebdomadaire) ca devrait déja aider. En particulier effectivement dès qu'on veut installer quelque chose.

[Tmps]

Cela ne va vraiment pas aider les personnes qui sont déjà mal à l'aise avec les produits informatiques!

Vous trouvez donc normal que le seul bon conseil, auquel on arrive, c'est de dire aux utilisateurs de se méfier? A les conditionner à être parano? A leur dire de serrer les fesses à la moindre installation?

Personne ne pense que la/les solution(s) devrai(en)t venir du monde informatique en lui-même?

Pour les éditeurs qui fournissent eux-mêmes leurs applications, au lieu de passer par un store officiel, n'est-il pas techniquement possible de surveiller, en permanence ou régulièrement, l'intégrité des fichiers disponibles?

C'est un peu facile de fournir une somme de contrôle et de se dire "voilà, nous avons fait notre boulot, plus aucune raison de surveiller ce que nous fournissons, c'est à l'utilisateur de le faire"!

...
mais dans notre cas, une sécurité basique avec compte admin/compte user ...

Dans le cas d'un utilisateur unique, qui gère seul son Mac, je ne vois vraiment pas en quoi cela change la donne.





Ce message a été modifié par Macbox - 8 May 2017, 12:06.

[DarkAngel5666]

Question con, qu'est ce que vous conseillez dans ce cas, en pratique, et pas trop contraignant ?

Un anti-virus qui aurait fait ses preuves, un anti malwares quelconque ?

Perso en tournant sous Windows et sous Mac OS, j'ai toujours privilégié le second lorsque je me rends sur des sites douteux (téléchargement de films, etc...) par conviction un peu idiote sans doute qu'il y avait moins de risques comme ça.

[Hebus]

J'ai installé Avast, j'avais eu une très bonne expérience sur PC quand les antivirus ne m'étaient pas imposés.

Sur le mac du boulot j'ai Sophos qui bouffe des ressource à certains moments de manière très sensibles.

J'utilise maintenant Malwarebytes également

J'achète mes soft au max sur l'appstore et pour le reste je fais gaffe.

[_Panta]

Néanmoins les ferrus du terminal auront sans doute une solution plus simple, je sais qu'il est possible de faire une comparaison directe aussi, mais j'ai jamais cherché à le faire.

oui, shasum compare l'image et le fichier shasum avec l'option -c

donc soit l'éditeur fourni un fichier avec la somme de controle, soit simplement la chaine de caractere, auquel cas tu la copie dans un fichier texte, donc dans le cas de vlc que tu prends en exemple:

Code

$ echo "fd071b9817c9efccac5a144d69893a4a5323cbde4a74d5691c3cf3ab979d4160  vlc-2.2.4.dmg" > vlc.sha256
$ shasum -a 256 -c vlc.sha256
vlc-2.2.4.dmg: OK

Je suis un vilain et je rajoute la chtouille dans le fichier vlc

Code

$ echo "viens que je te verole" > vlc-2.2.4.dmg

L'archive est donc altérée, ca sortira un failed.

Code

$ shasum -a 256 -c vlc.sha256
vlc-2.2.4.dmg: FAILED
shasum: WARNING: 1 computed checksum did NOT match

Ce message a été modifié par _Panta - 8 May 2017, 14:33.

[raoulito]

...
mais dans notre cas, une sécurité basique avec compte admin/compte user ...

Dans le cas d'un utilisateur unique, qui gère seul son Mac, je ne vois vraiment pas en quoi cela change la donne.

ben plusieurs en fait:
> un compte utilisateur unique ne signifie pas un seul utilisateur en fait (plusieurs personnes peuvent se logger sur un ordinateur avec un compte général) et de la meme manière un portable peut se balader partout hors de la maison et se brancher sur pleins de choses douteuses...
> plusieurs cochonneries arrivent par le surf et peuvent se mettre en fonctionnement dans le user uniquement. du coup ils ne déclenchent pas d'alerte ou de demande de mdp. Ici un compte user peut donc simplement etre supprimé et recrée sans trop de problème. au pire "seule" la section user est atteinte..
> effet psychologique: quand tu es ne user et qu'on te demande le mpd: tu dois aussi taper le user admin Et le mdp. C'est plus long et plus chiant. du coup on peut réfléchir 1,3 sc de plus

Ce message a été modifié par raoulito - 8 May 2017, 13:01.

[SartMatt]

J'imagine mal adobe mettre lightroom sur le Windows Store.

Je vois pas trop ce qui les en empêcherait. Surtout que la licence est désormais contrôlée via le compte Adobe, donc ils pourraient le mettre en téléchargement gratuit sur le Windows Store sans devoir verser une partie du prix à Microsoft.

Pour les éditeurs qui fournissent eux-mêmes leurs applications, au lieu de passer par un store officiel, n'est-il pas techniquement possible de surveiller, en permanence ou régulièrement, l'intégrité des fichiers disponibles?

Si, c'est possible.

Mais :
* aussi fréquente soit la vérification, il y a forcément un risque que des gens téléchargent le fichier corrompu entre le moment où il a été corrompu et le moment où la vérification a été faite,
* ces processus de vérification peuvent eux même être piratés,
* une vérification à très haute fréquence consommerait beaucoup de ressources.

[Lionel]

J'imagine mal adobe mettre lightroom sur le Windows Store.

Je vois pas trop ce qui les en empêcherait. Surtout que la licence est désormais contrôlée via le compte Adobe, donc ils pourraient le mettre en téléchargement gratuit sur le Windows Store sans devoir verser une partie du prix à Microsoft.

Je ne sais pas comment fonctionne le store de Microsoft mais Apple refuse ce genre de pratique.

[_Panta]

Dans l'idéal chacun devrait avoir sa clef gpg et à defaut de chiffrer au moins signer.
Les sommes de contrôles ayant toujours la possibilité d'être détourné, il faut se référer au fichier de signature de ces mêmes checksums.(classiquement en .sig ou .asc), qui malheureusement ne sont pas fournis systématiquement.

Un exemple avec la distribution Debian, vous voulez la telecharger et verifier que vous avez bien l'image original de la distributions. A la racine de leur serveurs, vous avez :

- debian-8.8.0-amd64-DVD-1.iso
- SHA512SUMS.txt
- SHA512SUMS.sign
- [SHA1,SHA256,MD5 etc, mais autant prendre la clef la plus forte, sauf si vous avez uen vielle machien poussive; les paranos les vérifieront toutes)
On descend donc les 3 fichiers iso, sha512,et sha512.sign

On verifie dans un premier temps l'integrité du fichier de somme de controle par le fichier de signature de cette même somme de contrôle, par gpg --verify .

Si vous n'avez pas encore enregistré la clef du créateur dans votre trousseau, vous aurez une erreur de la sorte

Code

# gpg --verify SHA512SUMS.sign SHA512SUMS
gpg: Signature faite le dim. 07 mai 2017 20:28:23 CEST avec la clef RSA d'identifiant 6294BE9B
gpg: Impossible de vérifier la signature : clef publique introuvable

On rajoute donc la clef au trousseau par un gpg --import ou --rec-key en utilisant son identifiant (6294BE9B ) trouvé plus haut

Code

$ gpg --recv-key 6294BE9B
gpg: demande de la clef 6294BE9B sur le serveur hkp keys.gnupg.net
gpg: clef 6294BE9B : clef publique « Debian CD signing key <[email protected]> » importée
gpg: aucune clef de confiance ultime n'a été trouvée
gpg:       Quantité totale traitée : 1
gpg:                     importées : 1  (RSA: 1)

Et ensuite on vérifie l'intégrité du checksum par gpg --verify fichier.de.signature fichier.checksum

Code

$ gpg --verify SHA512SUMS.sign SHA512SUMS
gpg: Signature faite le dim. 07 mai 2017 20:28:23 CEST avec la clef RSA d'identifiant 6294BE9B
gpg: Bonne signature de « Debian CD signing key <[email protected]> »
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:             Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B

Tout est bon pour les sommes de contrôle, ce sont bien les originales signées par l'éditeur, il n'y a plus qu'a verifier l'intégrité de l'image iso descendue

Code

$ shasum -a 512 -c SHA512SUMS
debian-8.8.0-amd64-DVD-1.iso: OK

Maintenant vous êtes (à peu pres) sur de la copie. A peu près car il y a toujours la possibilité que le propriétaire se soit fait spoofer sa clef par une attaque de type "Man In The Middle", et dans l'absolu un mur ou une porte sont fait pour tomber, mais la vous ^tes quand même bien à l'abri avant que cela vous arrive.

Simple, Mme Michu, n'est il pas ?

[SartMatt]

Je ne sais pas comment fonctionne le store de Microsoft mais Apple refuse ce genre de pratique.

Pas Microsoft. Par exemple, dans le Windows Store, on a bien l'application Netflix, sans qu'il y ait aucun moyen de payer l'abonnement via le Windows Store, l'abonnement passe directement par Netflix.

Techniquement, il y a un truc qui jusqu'à présent empêchait de mettre les gros logiciels Adobe sur le Windows Store : il était réservée aux applications utilisant les nouvelles API Windows, alors que les applications Adobe sont pour la plupart encore sur l'API Win32.

Mais le lancement de Windows 10 S a été accompagné de l'ouverture du Windows Store aux applications Win32, donc il n'y a plus de blocage technique.

Ce message a été modifié par SartMatt - 8 May 2017, 14:15.

[nicogala]

Dans l'idéal chacun devrait avoir sa clef gpg et à defaut de chiffrer au moins signer.
Les sommes de contrôles ayant toujours la possibilité d'être détourné, il faut se référer au fichier de signature de ces mêmes checksums.(classiquement en .sig ou .asc), qui malheureusement ne sont pas fournis systématiquement.

Un exemple avec la distribution Debian, vous voulez la telecharger et verifier que vous avez bien l'image original de la distributions. A la racine de leur serveurs, vous avez :

- debian-8.8.0-amd64-DVD-1.iso
- SHA512SUMS.txt
- SHA512SUMS.sign
- [SHA1,SHA256,MD5 etc, mais autant prendre la clef la plus forte, sauf si vous avez uen vielle machien poussive; les paranos les vérifieront toutes)
On descend donc les 3 fichiers iso, sha512,et sha512.sign

On verifie dans un premier temps l'integrité du fichier de somme de controle par le fichier de signature de cette même somme de contrôle, par gpg --verify .

Si vous n'avez pas encore enregistré la clef du créateur dans votre trousseau, vous aurez une erreur de la sorte

Code

# gpg --verify SHA512SUMS.sign SHA512SUMS
gpg: Signature faite le dim. 07 mai 2017 20:28:23 CEST avec la clef RSA d'identifiant 6294BE9B
gpg: Impossible de vérifier la signature : clef publique introuvable

On rajoute donc la clef au trousseau par un gpg --import ou --rec-key en utilisant son identifiant (6294BE9B ) trouvé plus haut

Code

$ gpg --recv-key 6294BE9B
gpg: demande de la clef 6294BE9B sur le serveur hkp keys.gnupg.net
gpg: clef 6294BE9B : clef publique « Debian CD signing key <[email protected]> » importée
gpg: aucune clef de confiance ultime n'a été trouvée
gpg:       Quantité totale traitée : 1
gpg:                     importées : 1  (RSA: 1)

Et ensuite on vérifie l'intégrité du checksum par gpg --verify fichier.de.signature fichier.checksum

Code

$ gpg --verify SHA512SUMS.sign SHA512SUMS
gpg: Signature faite le dim. 07 mai 2017 20:28:23 CEST avec la clef RSA d'identifiant 6294BE9B
gpg: Bonne signature de « Debian CD signing key <[email protected]> »
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:             Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B

Tout est bon pour les sommes de contrôle, ce sont bien les originales signées par l'éditeur, il n'y a plus qu'a verifier l'intégrité de l'image iso descendue

Code

$ shasum -a 512 -c SHA512SUMS
debian-8.8.0-amd64-DVD-1.iso: OK

Maintenant vous êtes (à peu pres) sur de la copie. A peu près car il y a toujours la possibilité que le propriétaire se soit fait spoofer sa clef par une attaque de type "Man In The Middle", et dans l'absolu un mur ou une porte sont fait pour tomber, mais la vous ^tes quand même bien à l'abri avant que cela vous arrive.

Simple, Mme Michu, n'est il pas ?