Ah, les dépôts tiers et leurs aléas…

J’ai souvent eu la dent dure sur l’utilisation abusive des dépôts PPA pour les distributions de la famille Ubuntu. Quand on voit des horreurs comme la FerenOS qui arrive à accumuler quelque chose comme 20 ou 30 dépôts tiers, on se dit que cela finira un jour par partir en cacahuètes. Je vous renvoie à cette vidéo concernant une des préversions de la PinguyOS 18.04 qui n’était pas franchement mieux au final…

On est dans quelque chose qui ressemble à un film d’horreur de série Z. En allant sur distrowatch, j’ai pu lire une énième fois une information concernant le dépôt tiers AUR.

Cette brève reprend un article qui parle de l’existence de recettes sur AUR trafiquées pour installer un logiciel malin qui fait fortement penser à un mineur de crypto-monnaie. En effet, dans l’article on apprend que la modification – appliquée sur le paquet Acroread. Si on regarde les commentaires, on s’aperçoit que la modification avait été introduite le 7 juillet 2018, et que celle-ci a été retirée dans les heures qui ont suivi après un Trusted User. Il n’est pas possible de savoir le nombre de personnes qui ont récupéré la recette malicieuse.

Le compte utilisateur frauduleux a été éjecté au passage. Je l’ai souvent précisé dans mes vidéos, il faut utiliser AUR que lorsque l’on ne trouve pas un logiciel sur les dépôts officiels. Aucun dépôt tiers n’est parfait. Ce qui fait la force d’AUR, c’est que les paquets précompilés sont inexistants, et que toute modification au niveau des recettes sera rapidement vue. Évidemment, si le code source à l’origine est vérolé, la recette n’y changera pas grand chose.

Autre règle de survie : ne jamais installer de noyau en provenance d’un dépôt tiers, ni de logiciels de bas niveau, du genre bibliothèque C… Le risque zéro restera inexistant. Il ne faut pas oublier que Gentoo a été aussi compromise via un de ses miroirs fin juin 2018.

Combien de temps avant qu’un PPA frauduleux ne fasse parler de lui ? Les paris sont ouverts 🙂