Ce problème existe déjà et quelque soit la distrib. Lorsque tu fais un urpmi, apt-get, pacman, cast, emerge, pkg-add ou autre, rien ne garanti que le site ne vient pas de se faire piraté, et que les signatures et les paquets n'ont pas changés.
Si tu veux vraiment être sécurisé de ce côté là, il faut au moins 3 serveurs pour distribuer les signatures, et des serveurs sur des réseaux (et localisés physiquement) différents, et récupérer les 3 signatures (en demandant d'en avoir au moins 2 valables)
La probabilité est relativement faible, et je pense qu'une telle chose serait rapidement découverte. L'idéal est donc de s'inscrire sur la liste officielle de diffusion des utilisateurs de ta distrib (si elle existe), et tu seras au courant de suite si une telle chose arrivait.
La couche ssl quand tu paies en ligne ne crypte que pour le transport. Si il y a intrusion sur le site, ssl n'y fera pas grand chose, par contre ça évitera le spoofing.
Et de toute manière, si tu es vraiment parano (avec accès à internet), tu récupèreras les sources et le md5 sur le site original, tu repasseras quelques jours plus tard pour vérifier que c'est le même md5, avant de le compiler (en utilisateur), de regarder le Makefile pour voir ce que fait le make install, et de l'installer.
Si tu es encore plus parano, on peut encore corser pas mal de choses :-))
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Poste le Tuesday 21 June 2005 15:28:55