Quels référentiels Ubuntu sont totalement sûrs et exempts de logiciels malveillants?

J'ai lu dans les actualités tous les logiciels malveillants qui infectent Android OS. Le malware est dans l'App Store de Google et les gens le téléchargent et l'installent sans le savoir.

Si je comprends bien, le référentiel principal d'Ubuntu peut être téléchargé en toute sécurité (je ne serai pas infecté par des logiciels malveillants en le faisant) car les ingénieurs Canonical examinent le logiciel. Mais qu'en est-il des autres référentiels, notamment le référentiel Universe? Le référentiel Universe reçoit-il une sorte d'examen pour se protéger contre les logiciels malveillants? Est-il conseillé d'éviter le repo Universe de peur de télécharger à son insu des logiciels malveillants?

J'ai lu que les AAE sont particulièrement dangereux car ils ne sont pas examinés. Je suppose cependant qu'il est parfaitement sûr d'utiliser le Google Chrome PPA.

Donc, si je n'utilise que les référentiels Main & Universe et Google Chrome PPA, serai-je protégé contre le téléchargement involontaire de logiciels malveillants?

Si Ubuntu gagne des centaines de millions d'utilisateurs comme le prévoit Mark Shuttleworth, les PPA Ubuntu ne deviendront-ils pas le problème des logiciels malveillants pour Ubuntu comme l'App Store de Google est aujourd'hui pour Android?

Tous les référentiels officiels d'Ubuntu (englobant tout ce que vous pouvez trouver sur archive.ubuntu.comou ses miroirs, ainsi que certains autres) sont entièrement conservés. Ce moyen main, restricted, universe, multiverse, ainsi que -updateset -security. Tous les paquets qu'il contient proviennent soit de Debian (et ont donc été téléchargés par un développeur Debian), soit ont été téléchargés par un développeur Ubuntu; dans les deux cas, le package téléchargé est authentifié par la signature gpg du téléchargeur.

Vous pouvez donc être sûr que chaque paquet dans les archives officielles a été téléchargé par un développeur Debian ou Ubuntu. De plus, les packages que vous téléchargez peuvent être vérifiés par les signatures gpg sur les fichiers du référentiel, vous pouvez donc être sûr que chaque package que vous téléchargez a été construit sur la ferme de construction Ubuntu à partir de la source qui a été téléchargée par un développeur Ubuntu ou Debian¹.

Cela rend les logiciels malveillants carrément improbables - une personne en position de confiance devrait le télécharger et le téléchargement serait facilement traçable pour eux.

Cela laisse la question d'une infamie plus subreptice. Les développeurs en amont pourraient mettre des portes dérobées dans des logiciels autrement utiles et ceux-ci pourraient en faire l'archive - dans universeou multiverse, selon la licence. Les gens effectuent des audits de sécurité des archives Debian, donc si ce logiciel devenait populaire, il est probable que la porte dérobée serait découverte.

Les paquets mainont une vérification supplémentaire et reçoivent plus d'amour de l'équipe de sécurité d'Ubuntu.

Les AAE n'ont presque rien de tout cela. La garantie que vous obtenez d'un PPA est que les packages que vous téléchargez ont été construits sur l'infrastructure de construction Ubuntu, et ont été téléchargés par quelqu'un ayant accès à l'une des clés GPG du compte Launchpad du téléchargeur répertorié. Il n'y a aucune garantie que l'uploader est bien ce qu'il prétend être - n'importe qui peut créer un «Google Chrome PPA». Vous devez déterminer la confiance d'une autre manière pour les AAE.

¹: Cette chaîne de confiance pourrait être rompue par une intrusion importante dans l'infrastructure Ubuntu, mais c'est vrai pour tout système. Le compromis de la clé gpg d'un développeur permettrait également à un chapeau noir de télécharger des packages dans l'archive, mais comme l'archive envoie un e-mail au téléchargeur de chaque package, cela devrait être remarqué rapidement.

Tous les packages dans les référentiels Ubuntu avant d'être téléchargés sont vérifiés et examinés par les MOTU (Masters of the Universe). Les MOTU sont les âmes courageuses qui maintiennent les composants Univers et Multivers d'Ubuntu en forme. Ce sont des membres de la communauté qui passent leur temps à ajouter, maintenir et soutenir autant que possible les logiciels trouvés dans Universe. Par conséquent, il n'y a aucune chance que ces packages pénètrent dans votre ordinateur et volent vos données. Cependant, ces packages peuvent avoir des bogues de sécurité qui sont des failles trouvées dans le logiciel. Certains logiciels de sécurité sont également disponibles dans Ubuntu (par exemple, les enregistreurs de frappe), mais ces packages ne voleront pas vos données (sauf si quelqu'un les a intentionnellement installés sur votre ordinateur).

J'espère que cela t'aides. Voir la page wiki d'Ubuntu MOTU pour plus d'informations.

Rester avec les référentiels principal et universel est très sûr, tout comme les PPA s'ils sont particulièrement populaires (la plupart du temps), ou si vous savez qu'ils vont être sûrs (comme le Google Chrome PPA. Je doute que Google le fasse y mettre n'importe quel type de malware.) Si vous utilisez Main, Universe et votre Google Chrome PPA, vous serez en sécurité.

Si Ubuntu gagne une tonne d'utilisateurs, alors oui, il y aura probablement plus de logiciels malveillants. Je ne pense pas qu'il y en ait assez pour être un vrai problème.