doc/fr/apt-secure.fr.8

   1 '\" t
   2 .\"     Title: apt-secure
   3 .\"    Author: Jason Gunthorpe
   4 .\" Generator: DocBook XSL Stylesheets v1.75.2 <http://docbook.sf.net/>
   5 .\"      Date: 28 Octobre 2008
   6 .\"    Manual: APT
   7 .\"    Source: Linux
   8 .\"  Language: English
   9 .\"
  10 .TH "APT\-SECURE" "8" "28 Octobre 2008" "Linux" "APT"
  11 .\" -----------------------------------------------------------------
  12 .\" * Define some portability stuff
  13 .\" -----------------------------------------------------------------
  14 .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  15 .\" http://bugs.debian.org/507673
  16 .\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
  17 .\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  18 .ie \n(.g .ds Aq \(aq
  19 .el       .ds Aq '
  20 .\" -----------------------------------------------------------------
  21 .\" * set default formatting
  22 .\" -----------------------------------------------------------------
  23 .\" disable hyphenation
  24 .nh
  25 .\" disable justification (adjust text to left margin only)
  26 .ad l
  27 .\" -----------------------------------------------------------------
  28 .\" * MAIN CONTENT STARTS HERE *
  29 .\" -----------------------------------------------------------------
  30 .SH "NAME"
  31 apt-secure \- Gestion de l\*(Aqauthentification d\*(Aqarchive avec APT
  32 .SH "DESCRIPTION"
  33 .PP
  34 Depuis sa version 0\&.6,
  35 \fBapt\fR
  36 sait vérifier la signature du fichier Release de chaque archive\&. On s\*(Aqassure ainsi que les paquets de cette archive ne peuvent pas être modifiés par quelqu\*(Aqun qui ne possède pas la clé de la signature du fichier Release\&.
  37 .PP
  38 Quand un paquet provient d\*(Aqune archive sans signature ou d\*(Aqune archive avec une signature dont apt ne possède pas la clé, ce paquet n\*(Aqest pas considéré comme fiable et son installation provoquera un avertissement\&. Pour l\*(Aqinstant,
  39 \fBapt\-get\fR
  40 ne signale que les archives sans signature\ \&; les prochaines versions pourraient rendre obligatoire la vérification des sources avant tout téléchargement de paquet\&.
  41 .PP
  42 Les interfaces
  43 \fBapt-get\fR(8),
  44 \fBaptitude\fR(8)
  45 et
  46 \fBsynaptic\fR(8)
  47 possèdent cette nouvelle fonction de certification\&.
  48 .SH "TRUSTED ARCHIVES"
  49 .PP
  50 D\*(Aqune archive apt jusqu\*(Aqà l\*(Aqutilisateur, la confiance se construit en plusieurs étapes\&.
  51 \fBApt\-secure\fR
  52 est la dernière étape\&. Faire confiance à une archive ne signifie pas que les paquets qu\*(Aqelle contient sont exempts de code malveillant, mais signifie que vous faites confiance au responsable de l\*(Aqarchive\&. C\*(Aqest ensuite au responsable de l\*(Aqarchive de faire en sorte que l\*(Aqarchive soit fiable\&.
  53 .PP
  54 \fBApt\-secure\fR
  55 n\*(Aqexamine pas la signature d\*(Aqun paquet\&. Certains programmes peuvent le faire comme
  56 \fBdebsig\-verify\fR
  57 ou
  58 \fBdebsign\fR, qu\*(Aqon peut trouver dans les paquets debsig\-verify et devscripts\&.
  59 .PP
  60 La chaîne de confiance dans Debian commence quand un responsable de paquet envoie un nouveau paquet ou une nouvelle version d\*(Aqun paquet dans l\*(Aqarchive\&. Cet envoi, pour être effectif, doit être signé avec la clé d\*(Aqun responsable qui se trouve dans le trousseau des responsables Debian (disponible dans le paquet debian\-keyring)\&. Les clés des responsables de paquet sont signées par d\*(Aqautres responsables, suivant des procédures préétablies pour s\*(Aqassurer de l\*(Aqidentité des propriétaires de la clé\&.
  61 .PP
  62 Une fois que le paquet envoyé a été vérifié et inclus dans l\*(Aqarchive, la signature du responsable est enlevée, une somme MD5 du paquet est calculée et mise dans le fichier Packages\&. Une somme MD5 de tous les paquets est ensuite calculée et mise dans le fichier Release\&. Ce fichier est signé par la clé de l\*(Aqarchive\&. Cette clé, qui est recréée chaque année, est distribuée par le serveur FTP\&. Elle se trouve aussi dans le trousseau Debian\&.
  63 .PP
  64 Un utilisateur peut consulter la signature du fichier Release, extraire la somme MD5 d\*(Aqun paquet et la comparer avec la somme du paquet qu\*(Aqil a téléchargé\&. Avant la version 0\&.6, seule la somme du paquet téléchargé était vérifiée\&. Maintenant on peut vérifier aussi la signature du fichier Release\&.
  65 .PP
  66 Cette façon de faire est différente d\*(Aqune vérification de la signature d\*(Aqun paquet\&. Elle vise à empêcher deux types d\*(Aqattaque possibles\ \&:
  67 .sp
  68 .RS 4
  69 .ie n \{\
  70 \h'-04'\(bu\h'+03'\c
  71 .\}
  72 .el \{\
  73 .sp -1
  74 .IP \(bu 2.3
  75 .\}
  76 Attaque réseau de type \(lqhomme au milieu\(rq\&. Sans vérification de signature, quelqu\*(Aqun de malveillant peut s\*(Aqintroduire au milieu du processus de téléchargement et insérer du code soit en contrôlant un élément du réseau, routeur, commutateur, etc\&. soit en détournant le trafic vers un serveur fourbe (par usurpation d\*(Aqadresses)\&.
  77 .RE
  78 .sp
  79 .RS 4
  80 .ie n \{\
  81 \h'-04'\(bu\h'+03'\c
  82 .\}
  83 .el \{\
  84 .sp -1
  85 .IP \(bu 2.3
  86 .\}
  87 Attaque par compromission d\*(Aqun miroir sur le réseau\&. Sans vérification de signature, quelqu\*(Aqun de malveillant peut compromettre un miroir et modifier les fichiers\&. Ainsi tous ceux qui téléchargent les paquets de ce miroir propagent du code malveillant\&.
  88 .RE
  89 .PP
  90 Cependant cette méthode ne protège pas contre une compromission du serveur Debian lui\-même (qui signe les paquets) ni contre la compromission de la clé qui sert à signer les fichiers Release\&. Mais elle peut compléter la signature des paquets\&.
  91 .SH "CONFIGURATION UTILISATEUR"
  92 .PP
  93 Le programme qui gère la liste des clés utilisées par apt s\*(Aqappelle
  94 \fBapt\-key\fR\&. Il peut ajouter ou supprimer des clés\&. Cette version installe automatiquement les clés qui servent à signer l\*(Aqarchive Debian et les différents répertoires de paquets\&.
  95 .PP
  96 Pour ajouter une clé, vous devez d\*(Aqabord la télécharger\&. Il vaut mieux utiliser un canal fiable pour ce téléchargement\&. Ensuite vous l\*(Aqajoutez avec la commande
  97 \fBapt\-key\fR
  98 et vous lancez la commande
  99 \fBapt\-get update\fR
 100 pour télécharger et vérifier le fichier
 101 Release\&.gpg
 102 de l\*(Aqarchive que vous avez configurée\&.
 103 .SH "CONFIGURATION D'UNE ARCHIVE"
 104 .PP
 105 Si vous voulez signer les archives dont vous avez la responsabilité, vous devez\ \&:
 106 .sp
 107 .RS 4
 108 .ie n \{\
 109 \h'-04'\(bu\h'+03'\c
 110 .\}
 111 .el \{\
 112 .sp -1
 113 .IP \(bu 2.3
 114 .\}
 115 \fIcréer un fichier Release à la racine de l\*(Aqarchive\fR, s\*(Aqil n\*(Aqexiste pas déjà\&. Vous pouvez le créer avec la commande
 116 \fBapt\-ftparchive release\fR
 117 (fournie dans le paquet apt\-utils)\&.
 118 .RE
 119 .sp
 120 .RS 4
 121 .ie n \{\
 122 \h'-04'\(bu\h'+03'\c
 123 .\}
 124 .el \{\
 125 .sp -1
 126 .IP \(bu 2.3
 127 .\}
 128 \fIle signer\fR, avec la commande
 129 \fBgpg \-abs \-o Release\&.gpg Release\fR\&.
 130 .RE
 131 .sp
 132 .RS 4
 133 .ie n \{\
 134 \h'-04'\(bu\h'+03'\c
 135 .\}
 136 .el \{\
 137 .sp -1
 138 .IP \(bu 2.3
 139 .\}
 140 \fIpublier l\*(Aqempreinte de la clé\fR\&. Ainsi les utilisateurs de votre archive connaîtront la clé qu\*(Aqils doivent importer pour authentifier les fichiers de l\*(Aqarchive\&.
 141 .RE
 142 .PP
 143 Chaque fois que le contenu de l\*(Aqarchive change, le responsable doit refaire les deux premières étapes\&.
 144 .SH "VOIR AUSSI"
 145 .PP
 146
 147 \fBapt.conf\fR(5),
 148 \fBapt-get\fR(8),
 149 \fBsources.list\fR(5),
 150 \fBapt-key\fR(8),
 151 \fBapt-ftparchive\fR(1),
 152 \fBdebsign\fR(1)
 153 \fBdebsig-verify\fR(1),
 154 \fBgpg\fR(1)
 155 .PP
 156 Pour des informations plus complètes, vous pouvez consulter
 157 \m[blue]\fBl\*(Aqinfrastructure debian pour la sécurité\fR\m[]\&\s-2\u[1]\d\s+2
 158 un chapitre du manuel Debian sur la sécurité (disponible dans le paquet harden\-doc) et le
 159 \m[blue]\fBStrong Distribution HOWTO\fR\m[]\&\s-2\u[2]\d\s+2
 160 par V\&. Alex Brennen\&.
 161 .SH "BOGUES"
 162 .PP
 163 \m[blue]\fBPage des bogues d\*(AqAPT\fR\m[]\&\s-2\u[3]\d\s+2\&. Si vous souhaitez signaler un bogue à propos d\*(AqAPT, veuillez lire
 164 /usr/share/doc/debian/bug\-reporting\&.txt
 165 ou utiliser la commande
 166 \fBreportbug\fR(1)\&.
 167 .SH "AUTHOR"
 168 .PP
 169 APT a été écrit par l\*(Aqéquipe de développement APT
 170 apt@packages\&.debian\&.org\&.
 171 .SH "AUTEURS DES PAGES DE MANUEL"
 172 .PP
 173 Cette page a été écrite à partir des travaux de Javier Fernández\-Sanguino Peña, Isaac Jones, Colin Walters, Florian Weimer et Michael Vogt\&.
 174 .SH "TRADUCTEURS"
 175 .PP
 176 Jérôme Marant, Philippe Batailler, Christian Perrier
 177 bubulle@debian\&.org
 178 (2000, 2005, 2009, 2010), Équipe de traduction francophone de Debian
 179 debian\-l10n\-french@lists\&.debian\&.org
 180 .PP
 181 Veuillez noter que cette traduction peut contenir des parties non traduites Cela est volontaire, pour éviter de perdre du contenu quand la traduction est légèrement en retard sur le contenu d\*(Aqorigine\&.
 182 .SH "AUTHOR"
 183 .PP
 184 \fBJason Gunthorpe\fR
 185 .RS 4
 186 .RE
 187 .SH "COPYRIGHT"
 188 .br
 189 Copyright \(co 1998-2001 Jason Gunthorpe
 190 .br
 191 .SH "NOTES"
 192 .IP " 1." 4
 193 l'infrastructure debian pour la sécurité
 194 .RS 4
 195 \%http://www.debian.org/doc/manuals/securing-debian-howto/ch7.en.html
 196 .RE
 197 .IP " 2." 4
 198 Strong Distribution HOWTO
 199 .RS 4
 200 \%http://www.cryptnet.net/fdp/crypto/strong_distro.html
 201 .RE
 202 .IP " 3." 4
 203 Page des bogues d'APT
 204 .RS 4
 205 \%http://bugs.debian.org/src:apt
 206 .RE