<b>Bienvenue</b> dans la gazette hebdomadaire de Debian, un journal destiné à la
communauté des développeurs Debian.
Tout le monde est <a href="../../1999/24/#signdebs">depuis longtemps</a>
conscient de l'existance d'un <b>problème élémentaire de sécurité dans
Debian</b> : les paquets peuvent être modifiés sur les miroirs Debian
et les utilisateurs n'ont aucun moyen de vérifier que le paquet qu'ils
rappatrient est le même que celui que le développeur a introduit dans
l'archive. Deux idées pour accroître la sécurité ont germé à maintes
reprises. La première consiste à ajouter des signatures au sein même des
fichiers .deb, ce qui permet de contrôler qu'un développeur
donné a bien généré un paquet donné. La seconde consiste à signer
les fichiers Packages.gz, ce qui permet de vérifier que le paquet
a été convenablement chargé. Aucune de ces solutions n'offre une sécurité
parfaite. Beaucoup de failles demeurent; par exemple, si la machine
d'un développeur est piratée et que celui-ci n'est pas prudent avec ses clés,
ces dernières peuvent être compromises. De part le passé, traditionnellement
à l'esprit Debian, nous nous sommes gardés de faire quoi que soit car aucune
solution parfaite ne s'était présentée.
Ce problème
<a href="../../../../Lists-Archives/debian-devel-0003/msg01283.html">
a refait surface</a> cette semaine, et la tendance serait d'implémenter
ces deux types de signatures,
tout en sachant qu'elles sont toutes deux trop imparfaites
pour pouvoir placer la barre de la sécurité un cran plus haut.
À l'issue de
<a href="../../../../Lists-Archives/debian-devel-0004/msg00013.html">longues
discussions</a> sur les
<a href="../../../../Lists-Archives/debian-devel-0004/msg00188.html">
listes de diffusion</a> et sur
<a href="../../../../Lists-Archives/debian-devel-0004/msg00245.html">irc</a>,
<b>une majorité croissante de personnes semble parvenir à un consencus
sur le sujet</b>. Cependant, qui va l'implémenter ?
<p> <b>5 nouvelles listes de diffusion</b> viennent d'être <a href="../../../../Lists-Archives/debian-devel-0003/msg01812.html"> créées</a>. Elles traitent de divers sujets allant du portage vers les architectures PA-RISC et S/390 à l'internationalisation en Hollandais. </p>
Il est désormais possible d'<b>accéder directement au répertoire Incoming</b>
via <a href="http://incoming.debian.org/">http://incoming.debian.org/</a>.
L'ancien réseau de miroirs de Incoming va être
<a href="../../../../Lists-Archives/debian-project-0004/msg00000.html">
IBM Global Services "Linux Support Line", en partenariat avec Alcôve,
va offrir un <b>support téléphonique pour Debian dans de nombreux pays</b>.
Leur <a href="http://linuxpr.com/releases/1596.html">communiqué de presse</a>
affirme de manière surprenante que Debian <i>domine actuellement le marché (27%)</i>.
<b>Les nouveaux paquets</b> intégrés à Debian cette semaine incluent
les paquets suivants plus
<a href="http://master.debian.org/~tausq/newpkgs-20000410.html">24 autres</a> :
<li><a href="../../../../Packages/unstable/mail/abook.html">abook</a>: Un carnet d'adresses en mode texte basé sur ncurses.
<li><a href="../../../../Packages/unstable/admin/bass.html">bass</a>: Bulk Auditing Security Scanner <b>[non-free]</b>
<li><a href="../../../../Packages/unstable/admin/debwrap.html">debwrap</a>: wrapper (surcouche ?) à dpkg/apt-get
<li><a href="../../../../Packages/unstable/devel/doxygen.html">doxygen</a>: Documentation système pour C, C++ et IDL.
<li><a href="../../../../Packages/unstable/tex/dvipdfm.html">dvipdfm</a>: Un traducteur de DVI en PDF.
<li><a href="../../../../Packages/unstable/graphics/fujiplay.html">fujiplay</a>: une interface pour les appareils photo numériques Fuji
<li><a href="../../../../Packages/unstable/devel/gob.html">gob</a>: GTK+ Object Builder (générateur d'interfaces GTK)
<H1>Debian Weekly News - April 11th, 2000</H1>
<b>Welcome</b> to Debian Weekly News, a newsletter for the Debian developer
For a <a href="../../1999/24/#signdebs">long time</a> everyone has been aware
of a <b>basic security problem in Debian</b>: packages can be changed on
Debian mirrors and users have no way to verify that the package they download
is the same package a developer uploaded. Two ideas have come up again and
again as ways to make this more secure. The first idea is to allow for
signatures inside the .deb files themselves, which lets one verify that a
given developer built a package. The second is to allow for signed Packages.gz
files, which lets one verify that the package went through the normal
upload process. Neither of these signatures will provide perfect security.
There are many holes left; for example, a developer's computer may be
cracked and if they do not manage their keys wisely, their key may be
compromised. In the past, in typical Debian fashion, we have held off doing
anything since there was no known perfect solution.
This issue has
<a href="../../../../Lists-Archives/debian-devel-0003/msg01283.html">
resurfaced</a> this week, and there is a growing inclination to implement
both types of signatures, though both are imperfect, to allow the
security bar to at least be raised a bit higher. After some
<a href="../../../../Lists-Archives/debian-devel-0004/msg00013.html">long
discussions</a> on the
<a href="../../../../Lists-Archives/debian-devel-0004/msg00188.html">mailing
lists</a> and on
<a href="../../../../Lists-Archives/debian-devel-0004/msg00245.html">irc</a>,
more and more <b>people are reaching consensus on this</b>. Now, who will
implement it?
<b>5 new mailing lists</b> have been
<a href="../../../../Lists-Archives/debian-devel-0003/msg01812.html">
created</a>, for purposes ranging from porting to the PA-RISC and S/390 to
Dutch internationalisation.
<b>Direct access</a> to the Incoming directory</b> is now available at
<a href="http://incoming.debian.org/">http://incoming.debian.org/</a>. The
old Incoming mirror network is being
<a href="../../../../Lists-Archives/debian-project-0004/msg00000.html">shut
The IBM Global Services "Linux Support Line" in conjunction with Alcôve
will now offer <b>phone support for Debian in several countries</b>.
Interestingly, their <a href="http://linuxpr.com/releases/1596.html">press
release</a> claims that Debian is <i>the current market leader (27%)</i>.
<b>New packages</b> in Debian this week include the following, and
<a href="http://master.debian.org/~tausq/newpkgs-20000410.html">24 more</a>:
<li><a href="../../../../Packages/unstable/mail/abook.html">abook</a>: A text-based ncurses address book application.
<li><a href="../../../../Packages/unstable/admin/bass.html">bass</a>: Bulk Auditing Security Scanner <b>[non-free]</b>
<li><a href="../../../../Packages/unstable/admin/debwrap.html">debwrap</a>: Wrapper for dpkg/apt-get
<li><a href="../../../../Packages/unstable/devel/doxygen.html">doxygen</a>: Documentation system for C, C++ and IDL.
<li><a href="../../../../Packages/unstable/tex/dvipdfm.html">dvipdfm</a>: A DVI to PDF translator.
<li><a href="../../../../Packages/unstable/graphics/fujiplay.html">fujiplay</a>: Interface for Fuji digital cameras
<li><a href="../../../../Packages/unstable/devel/gob.html">gob</a>: GTK+ Object Builder
