'\" t
.\"     Title: apt-secure
.\"    Author: Jason Gunthorpe
.\" Generator: DocBook XSL Stylesheets v1.78.1 <http://docbook.sf.net/>
.\"      Date: 09\ \&juin\ \&2012
.\"    Manual: APT
.\"    Source: APT 1.0.9.8.4
.\"  Language: French
.\"
.TH "APT\-SECURE" "8" "09\ \&juin\ \&2012" "APT 1.0.9.8.4" "APT"
.\" -----------------------------------------------------------------
.\" * Define some portability stuff
.\" -----------------------------------------------------------------
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.\" http://bugs.debian.org/507673
.\" http://lists.gnu.org/archive/html/groff/2009-02/msg00013.html
.\" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.ie \n(.g .ds Aq \(aq
.el       .ds Aq '
.\" -----------------------------------------------------------------
.\" * set default formatting
.\" -----------------------------------------------------------------
.\" disable hyphenation
.nh
.\" disable justification (adjust text to left margin only)
.ad l
.\" -----------------------------------------------------------------
.\" * MAIN CONTENT STARTS HERE *
.\" -----------------------------------------------------------------
.SH "NOM"
apt-secure \- Gestion de l\*(Aqauthentification d\*(Aqarchive avec APT
.SH "DESCRIPTION"
.PP
Depuis sa version 0\&.6,
\fBapt\fR
sait v\('erifier la signature du fichier Release de chaque archive\&. On s\*(Aqassure ainsi que les paquets de cette archive ne peuvent pas \(^etre modifi\('es par quelqu\*(Aqun qui ne poss\(`ede pas la cl\('e de la signature du fichier Release\&.
.PP
Quand un paquet provient d\*(Aqune archive sans signature ou d\*(Aqune archive avec une signature dont apt ne poss\(`ede pas la cl\('e, ce paquet n\*(Aqest pas consid\('er\('e comme fiable et son installation provoquera un avertissement\&. Pour l\*(Aqinstant,
\fBapt\-get\fR
ne signale que les archives sans signature\ \&; les prochaines versions pourraient rendre obligatoire la v\('erification des sources avant tout t\('el\('echargement de paquet\&.
.PP
Les interfaces
\fBapt-get\fR(8),
\fBaptitude\fR(8)
et
\fBsynaptic\fR(8)
poss\(`edent cette nouvelle fonction de certification\&.
.SH "TRUSTED ARCHIVES"
.PP
D\*(Aqune archive apt jusqu\*(Aq\(`a l\*(Aqutilisateur, la confiance se construit en plusieurs \('etapes\&.
\fBApt\-secure\fR
est la derni\(`ere \('etape\&. Faire confiance \(`a une archive ne signifie pas que les paquets qu\*(Aqelle contient sont exempts de code malveillant, mais signifie que vous faites confiance au responsable de l\*(Aqarchive\&. C\*(Aqest ensuite au responsable de l\*(Aqarchive de faire en sorte que l\*(Aqarchive soit fiable\&.
.PP
\fBApt\-secure\fR
n\*(Aqexamine pas la signature d\*(Aqun paquet\&. Certains programmes peuvent le faire comme
\fBdebsig\-verify\fR
ou
\fBdebsign\fR, qu\*(Aqon peut trouver dans les paquets debsig\-verify et devscripts\&.
.PP
La cha\(^ine de confiance dans Debian commence quand un responsable de paquet envoie un nouveau paquet ou une nouvelle version d\*(Aqun paquet dans l\*(Aqarchive\&. Cet envoi, pour \(^etre effectif, doit \(^etre sign\('e avec la cl\('e d\*(Aqun responsable qui se trouve dans le trousseau des responsables Debian (disponible dans le paquet debian\-keyring)\&. Les cl\('es des responsables de paquet sont sign\('ees par d\*(Aqautres responsables, suivant des proc\('edures pr\('e\('etablies pour s\*(Aqassurer de l\*(Aqidentit\('e des propri\('etaires de la cl\('e\&.
.PP
Une fois que le paquet envoy\('e a \('et\('e v\('erifi\('e et inclus dans l\*(Aqarchive, la signature du responsable est enlev\('ee, une somme de contr\(^ole du paquet est calcul\('ee et mise dans le fichier Packages\&. Une somme de contr\(^ole de tous les paquets est ensuite calcul\('ee et mise dans le fichier Release\&. Ce fichier est sign\('e par la cl\('e de l\*(Aqarchive pour la version courante de la distribution et distribu\('ee en m\(^eme temps que les paquets et les fichiers Packages sur les miroirs\&. Les cl\('es sont dans le trousseau de cl\('es de l\*(Aqarchive fournies par le paquet
debian\-archive\-keyring\&.
.PP
Un utilisateur peut consulter la signature du fichier Release, extraire la somme de contr\(^ole d\*(Aqun paquet et la comparer avec la somme du paquet qu\*(Aqil a t\('el\('echarg\('e, ou tout simplement compter sur APT pour faire ces op\('erations automatiquement\&.
.PP
Cette fa\(,con de faire est diff\('erente d\*(Aqune v\('erification de la signature d\*(Aqun paquet\&. Elle vise \(`a emp\(^echer deux types d\*(Aqattaque possibles\ \&:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Attaque r\('eseau de type \(Fo\ \&homme au milieu\ \&\(Fc\&. Sans v\('erification de signature, quelqu\*(Aqun de malveillant peut s\*(Aqintroduire au milieu du processus de t\('el\('echargement et ins\('erer du code soit en contr\(^olant un \('el\('ement du r\('eseau, routeur, commutateur, etc\&. soit en d\('etournant le trafic vers un serveur fourbe (par usurpation d\*(Aqadresses)\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
Attaque par compromission d\*(Aqun miroir sur le r\('eseau\&. Sans v\('erification de signature, quelqu\*(Aqun de malveillant peut compromettre un miroir et modifier les fichiers\&. Ainsi tous ceux qui t\('el\('echargent les paquets de ce miroir propagent du code malveillant\&.
.RE
.PP
Cependant cette m\('ethode ne prot\(`ege pas contre une compromission du serveur Debian lui\-m\(^eme (qui signe les paquets) ni contre la compromission de la cl\('e qui sert \(`a signer les fichiers Release\&. Mais elle peut compl\('eter la signature des paquets\&.
.SH "CONFIGURATION UTILISATEUR"
.PP
Le programme qui g\(`ere la liste des cl\('es utilis\('ees par apt s\*(Aqappelle
\fBapt\-key\fR\&. Il peut ajouter ou supprimer des cl\('es\&. Cette version installe automatiquement les cl\('es qui servent \(`a signer l\*(Aqarchive Debian et les diff\('erents r\('epertoires de paquets\&.
.PP
Pour ajouter une cl\('e, vous devez d\*(Aqabord la t\('el\('echarger\&. Il vaut mieux utiliser un canal fiable pour ce t\('el\('echargement\&. Ensuite vous l\*(Aqajoutez avec la commande
\fBapt\-key\fR
et vous lancez la commande
\fBapt\-get update\fR
pour t\('el\('echarger et v\('erifier le fichier
InRelease
ou
Release\&.gpg
de l\*(Aqarchive que vous avez configur\('ee\&.
.SH "CONFIGURATION D'UNE ARCHIVE"
.PP
Si vous voulez signer les archives dont vous avez la responsabilit\('e, vous devez\ \&:
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fIcr\('eer un fichier Release \(`a la racine de l\*(Aqarchive\fR, s\*(Aqil n\*(Aqexiste pas d\('ej\(`a\&. Vous pouvez le cr\('eer avec la commande
\fBapt\-ftparchive release\fR
(fournie dans le paquet apt\-utils)\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fIle signer\fR, avec les commande
\fBgpg \-\- clearsign \-o InRelease Release\fR
et
\fBgpg \-abs \-o Release\&.gpg Release\fR\&.
.RE
.sp
.RS 4
.ie n \{\
\h'-04'\(bu\h'+03'\c
.\}
.el \{\
.sp -1
.IP \(bu 2.3
.\}
\fIpublier l\*(Aqempreinte de la cl\('e\fR\&. Ainsi les utilisateurs de votre archive conna\(^itront la cl\('e qu\*(Aqils doivent importer pour authentifier les fichiers de l\*(Aqarchive\&.
.RE
.PP
Chaque fois que le contenu de l\*(Aqarchive change, le responsable doit refaire les deux premi\(`eres \('etapes\&.
.SH "VOIR AUSSI"
.PP
\fBapt.conf\fR(5),
\fBapt-get\fR(8),
\fBsources.list\fR(5),
\fBapt-key\fR(8),
\fBapt-ftparchive\fR(1),
\fBdebsign\fR(1),
\fBdebsig-verify\fR(1),
\fBgpg\fR(1)
.PP
Pour des informations plus compl\(`etes, vous pouvez consulter
\m[blue]\fBl\*(Aqinfrastructure debian pour la s\('ecurit\('e\fR\m[]\&\s-2\u[1]\d\s+2
un chapitre du manuel Debian sur la s\('ecurit\('e (disponible dans le paquet harden\-doc) et le
\m[blue]\fBStrong Distribution HOWTO\fR\m[]\&\s-2\u[2]\d\s+2
par V\&. Alex Brennen\&.
.SH "BOGUES"
.PP
\m[blue]\fBPage des bogues d\*(AqAPT\fR\m[]\&\s-2\u[3]\d\s+2\&. Si vous souhaitez signaler un bogue \(`a propos d\*(AqAPT, veuillez lire
/usr/share/doc/debian/bug\-reporting\&.txt
ou utiliser la commande
\fBreportbug\fR(1)\&.
.SH "AUTHOR"
.PP
APT a \('et\('e \('ecrit par l\*(Aq\('equipe de d\('eveloppement APT
<apt@packages\&.debian\&.org>\&.
.SH "AUTEURS DES PAGES DE MANUEL"
.PP
Cette page a \('et\('e \('ecrite \(`a partir des travaux de Javier Fern\('andez\-Sanguino Pe\(~na, Isaac Jones, Colin Walters, Florian Weimer et Michael Vogt\&.
.SH "TRADUCTEURS"
.PP
J\('er\(^ome Marant, Philippe Batailler, Christian Perrier
<bubulle@debian\&.org>
(2000, 2005, 2009, 2010), \('Equipe de traduction francophone de Debian
<debian\-l10n\-french@lists\&.debian\&.org>
.PP
Veuillez noter que cette traduction peut contenir des parties non traduites\&. Cela est volontaire, pour \('eviter de perdre du contenu quand la traduction est l\('eg\(`erement en retard sur le contenu d\*(Aqorigine\&.
.SH "AUTEURS"
.PP
\fBJason Gunthorpe\fR
.RS 4
.RE
.PP
\fB\('Equipe de d\('eveloppement d\*(AqAPT\fR
.RS 4
.RE
.SH "NOTES"
.IP " 1." 4
l'infrastructure debian pour la s\('ecurit\('e
.RS 4
\%http://www.debian.org/doc/manuals/securing-debian-howto/ch7
.RE
.IP " 2." 4
Strong Distribution HOWTO
.RS 4
\%http://www.cryptnet.net/fdp/crypto/strong_distro.html
.RE
.IP " 3." 4
Page des bogues d'APT
.RS 4
\%http://bugs.debian.org/src:apt
.RE