En bref, oui, ils sont sécurisés, en raison de la cryptographie à clé publique utilisée pour signer les fichiers.
Tous les fichiers téléchargés par APT ont une signature qui permet de vérifier le fichier téléchargé par rapport aux clés publiques stockées sur votre ordinateur comme étant signé par Ubuntu et uniquement Ubuntu. Cela vérifie que le fichier que vous recevez a été autorisé par Ubuntu à un moment donné et n'a pas été modifié ou falsifié depuis.
Une explication technique de la façon dont cela fonctionne est disponible à partir d'Ubuntu (et de Debian qui utilise le même système).
En raison de l'utilisation de HTTP au lieu de HTTPS, oui, les écoutes peuvent voir quels fichiers vous téléchargez, mais la confidentialité ne sera probablement pas votre préoccupation dans ce cas. Une tentative man-in-the-middle de modifier les packages pour injecter du code nuisible échouerait toujours car elle briserait le mécanisme de signature.
Un problème possible dans ce mécanisme de signature est qu'il ne garantit pas que vous obtenez la version la plus récente du package (en effet, les miroirs sont parfois lents à mettre à jour). Pour aider à atténuer ce problème, le fichier de version signée inclut une date «valide jusqu'à» après laquelle tous les fichiers auxquels il fait référence doivent être considérés comme périmés. Il serait plausible pour un homme du milieu de remplacer une archive par une version antérieure non modifiée de l'archive dans cette date de validité jusqu'à ce que votre APT pense qu'il n'y a pas de mises à jour. Mais ils ne peuvent pas apporter de modifications arbitraires aux packages ni remonter dans le temps au-delà d'un certain point.
Les mécanismes de signature offrent une bien meilleure sécurité que HTTPS dans ce type d'environnement distribué où les fichiers sont mis en miroir sur de nombreux serveurs non contrôlés par Ubuntu. En substance, vous devez seulement faire confiance à Ubuntu, pas au miroir, vous devez donc prouver que les fichiers proviennent à l'origine d'Ubuntu et n'ont pas été modifiés depuis - il n'est pas nécessaire de vérifier l'identité du miroir.
Notez que lorsque vous ajoutez un référentiel non officiel à votre liste de sources, tel qu'un PPA, vous recevrez des fichiers qui ne sont pas signés par Ubuntu. APT devrait vous en avertir, car ils n'ont pas été signés par un certificat correspondant à l'une des clés publiques installées sur votre ordinateur, comme autorisé par Ubuntu.