in

Comment vérifier la somme de contrôle d’un ISO Linux et confirmer qu’elle n’a pas été falsifiée

Le mois dernier, Le site Web de Linux Mint a été piraté, et un ISO modifié a été mis en place pour téléchargement qui comprenait une porte dérobée. Bien que le problème ait été résolu rapidement, cela démontre l’importance de vérifier les fichiers ISO Linux que vous téléchargez avant de les exécuter et de les installer. Voici comment.

Les distributions Linux publient des sommes de contrôle afin que vous puissiez confirmer que les fichiers que vous téléchargez sont ce qu’elles prétendent être, et elles sont souvent signées afin que vous puissiez vérifier que les sommes de contrôle elles-mêmes n’ont pas été falsifiées. Ceci est particulièrement utile si vous téléchargez un ISO depuis un endroit autre que le site principal, comme un miroir tiers, ou via BItTorrent, où il est beaucoup plus facile pour les gens de falsifier les fichiers.

Comment fonctionne ce processus

Le processus de vérification d’un ISO est un peu complexe, donc avant d’entrer dans les étapes exactes, expliquons exactement ce que le processus implique:

  1. Vous allez télécharger le fichier ISO Linux depuis le site Web de la distribution Linux – ou ailleurs – comme d’habitude.
  2. Vous allez télécharger une somme de contrôle et sa signature numérique à partir du site Web de la distribution Linux. Il peut s’agir de deux fichiers TXT distincts ou vous pouvez obtenir un seul fichier TXT contenant les deux éléments de données.
  3. Vous obtiendrez une clé PGP publique appartenant à la distribution Linux. Vous pouvez l’obtenir sur le site Web de la distribution Linux ou sur un serveur de clés distinct géré par les mêmes personnes, en fonction de votre distribution Linux.
  4. Vous utiliserez la clé PGP pour vérifier que la signature numérique de la somme de contrôle a été créée par la même personne qui a créé la clé – dans ce cas, les responsables de cette distribution Linux. Cela confirme que la somme de contrôle elle-même n’a pas été falsifiée.
  5. Vous allez générer la somme de contrôle de votre fichier ISO téléchargé et vérifier qu’elle correspond au fichier de somme de contrôle TXT que vous avez téléchargé. Cela confirme que le fichier ISO n’a pas été falsifié ou corrompu.

Le processus peut différer un peu pour différents ISO, mais il suit généralement ce modèle général. Par exemple, il existe plusieurs types de sommes de contrôle. Traditionnellement, les sommes MD5 ont été les plus populaires. Cependant, les sommes SHA-256 sont désormais plus fréquemment utilisées par les distributions Linux modernes, car SHA-256 est plus résistant aux attaques théoriques. Nous discuterons principalement des sommes SHA-256 ici, bien qu’un processus similaire fonctionnera pour les sommes MD5. Certaines distributions Linux peuvent également fournir des sommes SHA-1, bien que celles-ci soient encore moins courantes.

De même, certaines distributions ne signent pas leurs sommes de contrôle avec PGP. Vous n’aurez besoin que d’effectuer les étapes 1, 2 et 5, mais le processus est beaucoup plus vulnérable. Après tout, si l’attaquant peut remplacer le fichier ISO à télécharger, il peut également remplacer la somme de contrôle.

L’utilisation de PGP est beaucoup plus sûre, mais pas infaillible. L’attaquant pourrait toujours remplacer cette clé publique par la sienne, il pourrait toujours vous faire croire que l’ISO est légitime. Cependant, si la clé publique est hébergée sur un serveur différent – comme c’est le cas avec Linux Mint – cela devient beaucoup moins probable (puisqu’ils devraient pirater deux serveurs au lieu d’un seul). Mais si la clé publique est stockée sur le même serveur que l’ISO et la somme de contrôle, comme c’est le cas avec certaines distributions, elle n’offre pas autant de sécurité.

Néanmoins, si vous essayez de vérifier la signature PGP sur un fichier de somme de contrôle, puis de valider votre téléchargement avec cette somme de contrôle, c’est tout ce que vous pouvez raisonnablement faire en tant qu’utilisateur final téléchargeant un ISO Linux. Vous êtes toujours beaucoup plus en sécurité que les personnes qui ne s’en soucient pas.

Comment vérifier une somme de contrôle sous Linux

Nous utiliserons Linux Mint comme exemple ici, mais vous devrez peut-être rechercher le site Web de votre distribution Linux pour trouver les options de vérification qu’elle offre. Pour Linux Mint, deux fichiers sont fournis avec le téléchargement ISO sur ses miroirs de téléchargement. Téléchargez l’ISO, puis téléchargez les fichiers «sha256sum.txt» et «sha256sum.txt.gpg» sur votre ordinateur. Cliquez avec le bouton droit sur les fichiers et sélectionnez «Enregistrer le lien sous» pour les télécharger.

Sur votre bureau Linux, ouvrez une fenêtre de terminal et téléchargez la clé PGP. Dans ce cas, la clé PGP de Linux Mint est hébergée sur le serveur de clés d’Ubuntu, et nous devons exécuter la commande suivante pour l’obtenir.

gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 0FF405B2

Le site Web de votre distribution Linux vous indiquera la clé dont vous avez besoin.

Nous avons maintenant tout ce dont nous avons besoin: l’ISO, le fichier de somme de contrôle, le fichier de signature numérique de la somme de contrôle et la clé PGP. Ensuite, passez au dossier dans lequel ils ont été téléchargés…

cd ~/Downloads

… Et exécutez la commande suivante pour vérifier la signature du fichier de somme de contrôle:

gpg --verify sha256sum.txt.gpg sha256sum.txt

Si la commande GPG vous permet de savoir que le fichier sha256sum.txt téléchargé a une «bonne signature», vous pouvez continuer. Dans la quatrième ligne de la capture d’écran ci-dessous, GPG nous informe qu’il s’agit d’une «bonne signature» qui prétend être associée à Clement Lefebvre, le créateur de Linux Mint.

Ne craignez pas que la clé ne soit pas certifiée avec une «signature de confiance». Cela est dû au fonctionnement du chiffrement PGP: vous n’avez pas configuré de site Web de confiance en important des clés provenant de personnes de confiance. Cette erreur sera très courante.

Enfin, maintenant que nous savons que la somme de contrôle a été créée par les responsables de Linux Mint, exécutez la commande suivante pour générer une somme de contrôle à partir du fichier .iso téléchargé et comparez-la au fichier de somme de contrôle TXT que vous avez téléchargé:

sha256sum --check sha256sum.txt

Vous verrez beaucoup de messages «aucun fichier ou répertoire de ce type» si vous n’avez téléchargé qu’un seul fichier ISO, mais vous devriez voir un message «OK» pour le fichier que vous avez téléchargé s’il correspond à la somme de contrôle.

Vous pouvez également exécuter les commandes de somme de contrôle directement sur un fichier .iso. Il examinera le fichier .iso et crachera sa somme de contrôle. Vous pouvez ensuite simplement vérifier qu’il correspond à la somme de contrôle valide en regardant les deux avec vos yeux.

Par exemple, pour obtenir la somme SHA-256 d’un fichier ISO:

sha256sum /path/to/file.iso

Ou, si vous avez une valeur md5sum et avez besoin d’obtenir la md5sum d’un fichier:

md5sum /path/to/file.iso

Comparez le résultat avec le fichier de somme de contrôle TXT pour voir s’ils correspondent.

Comment vérifier une somme de contrôle sous Windows

Si vous téléchargez un ISO Linux à partir d’une machine Windows, vous pouvez également vérifier la somme de contrôle là-bas, bien que Windows ne dispose pas du logiciel nécessaire intégré. Vous devrez donc télécharger et installer l’open-source Gpg4win outil.

Localisez le fichier de clé de signature et les fichiers de somme de contrôle de votre distribution Linux. Nous utiliserons Fedora comme exemple ici. Site Web de Fedora fournit des téléchargements de somme de contrôle et nous indique que nous pouvons télécharger la clé de signature Fedora à partir de https://getfedora.org/static/fedora.gpg.

Après avoir téléchargé ces fichiers, vous devrez installer la clé de signature à l’aide du programme Kleopatra inclus avec Gpg4win. Lancez Kleopatra et cliquez sur Fichier> Importer des certificats. Sélectionnez le fichier .gpg que vous avez téléchargé.

Vous pouvez maintenant vérifier si le fichier de somme de contrôle téléchargé a été signé avec l’un des fichiers clés que vous avez importés. Pour ce faire, cliquez sur Fichier> Décrypter / Vérifier les fichiers. Sélectionnez le fichier de somme de contrôle téléchargé. Décochez l’option « Le fichier d’entrée est une signature détachée » et cliquez sur « Décrypter / Vérifier ».

Vous êtes sûr de voir un message d’erreur si vous le faites de cette manière, car vous n’avez pas eu la peine de confirmer que ces certificats Fedora sont réellement légitimes. C’est une tâche plus difficile. C’est ainsi que PGP est conçu pour fonctionner: vous rencontrez et échangez des clés en personne, par exemple, et créez un réseau de confiance. La plupart des gens ne l’utilisent pas de cette manière.

Cependant, vous pouvez afficher plus de détails et confirmer que le fichier de somme de contrôle a été signé avec l’une des clés que vous avez importées. C’est bien mieux que de simplement faire confiance à un fichier ISO téléchargé sans vérification, de toute façon.

Vous devriez maintenant pouvoir sélectionner Fichier> Vérifier les fichiers de somme de contrôle et confirmer que les informations du fichier de somme de contrôle correspondent au fichier .iso téléchargé. Cependant, cela n’a pas fonctionné pour nous – c’est peut-être juste la façon dont le fichier de somme de contrôle de Fedora est présenté. Lorsque nous avons essayé cela avec le fichier sha256sum.txt de Linux Mint, cela a fonctionné.

Si cela ne fonctionne pas pour la distribution Linux de votre choix, voici une solution de contournement. Tout d’abord, cliquez sur Paramètres> Configurer Kleopatra. Sélectionnez «Opérations cryptographiques», sélectionnez «Opérations sur les fichiers» et configurez Kleopatra pour utiliser le programme de somme de contrôle «sha256sum», car c’est avec cela que cette somme de contrôle particulière a été générée. Si vous avez une somme de contrôle MD5, sélectionnez «md5sum» dans la liste ici.

Maintenant, cliquez sur Fichier> Créer des fichiers de somme de contrôle et sélectionnez votre fichier ISO téléchargé. Kleopatra générera une somme de contrôle à partir du fichier .iso téléchargé et l’enregistrera dans un nouveau fichier.

Vous pouvez ouvrir ces deux fichiers – le fichier de somme de contrôle téléchargé et celui que vous venez de générer – dans un éditeur de texte comme le Bloc-notes. Confirmez que la somme de contrôle est identique dans les deux avec vos propres yeux. S’il est identique, vous avez confirmé que votre fichier ISO téléchargé n’a pas été falsifié.

Ces méthodes de vérification n’étaient pas destinées à l’origine à se protéger contre les logiciels malveillants. Ils ont été conçus pour confirmer que votre fichier ISO a été téléchargé correctement et n’a pas été corrompu pendant le téléchargement, vous pouvez donc le graver et l’utiliser sans vous inquiéter. Ce n’est pas une solution totalement infaillible, car vous devez faire confiance à la clé PGP que vous téléchargez. Cependant, cela fournit toujours beaucoup plus d’assurance que la simple utilisation d’un fichier ISO sans le vérifier du tout.

Crédit d’image: Eduardo Quagliato sur Flickr

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Comment gérer les applications et les appareils connectés à votre compte Google depuis Android

Comment gérer les applications et les appareils connectés à votre compte Google depuis Android

Qu'est-ce que Microsoft Planner et comment l'utiliser

Qu’est-ce que Microsoft Planner et comment l’utiliser