Avec la popularité croissante de Linux, les risques de sécurité augmentent également. Cela s'explique par deux choses : d'une part, l'intérêt des cybercriminels augmente, et d'autre part, l'intérêt des personnes ayant peu de connaissances en informatique.
Autrefois, les utilisateurs qui connaissaient Linux étaient ceux d'entre nous qui possédaient des compétences informatiques. De plus, à cette époque, Google privilégiait la pertinence des contenus plutôt que les investissements publicitaires, et l'intelligence artificielle, avec ses dérives, n'existait pas encore. Cela réduisait considérablement les risques de téléchargement de logiciels malveillants.
En octobre dernier, le site web de la distribution Xubuntu a été piraté par des cybercriminels qui ont tenté de diffuser un logiciel malveillant à la place du fichier torrent de la distribution. Ce type d'attaque s'était déjà produit avec d'autres distributions comme Linux Mint, bien que dans ce cas, l'image ISO ait été remplacée. Le logiciel malveillant était un exécutable Windows permettant aux attaquants de détourner les liens de comptes de cryptomonnaie.
Comment télécharger des distributions Linux en toute sécurité
La méthode la plus courante pour télécharger des distributions Linux est une image ISO. Par « image », nous n'entendons ni un graphique ni une photo. Il s'agit d'une copie conforme, jusqu'au moindre octet, d'un fichier hébergé sur un serveur. Auparavant, il était possible d'obtenir cette image ISO sur CD ou DVD, auprès de groupes d'utilisateurs ou dans des magazines informatiques. Avec le temps et l'essor d'Internet, ces options ont progressivement disparu. Le téléchargement reste donc la seule solution, outre l'achat d'un ordinateur avec une distribution Linux préinstallée.
Que nous téléchargions directement ou en utilisant le protocole BitTorrent Nous avons besoin d'un mécanisme qui nous permette de déterminer que le fichier téléchargé est exactement le même que le fichier hébergé sur le serveur.
La valeur de hachage
La méthode la plus courante pour vérifier l'intégrité du téléchargement consiste à utiliser la valeur de hachage. Il s'agit d'une chaîne alphanumérique de longueur fixe. Cette chaîne utilise un algorithme mathématique pour représenter un ensemble de données. Elle sert à identifier de manière unique les fichiers, les documents et les messages.
Les caractéristiques d'un hachage sont les suivantes :
- Longueur fixe : Quelle que soit la taille du fichier source, la chaîne de caractères comportera le même nombre de caractères.
- Unicité: Il y aura un résultat pour chaque participation.
- Égalité: Une même origine produira le même résultat.
- Sensibilité: Un petit changement peut modifier le résultat final.
types de hachage
- MD5: Il est désormais obsolète et sa longueur est de 32 caractères hexadécimaux.
- SHA-1: Longueur de 40 caractères hexadécimaux.
- SHA-256 : Longueur de 60 caractères. Utilisé dans la sécurité et la blockchain.
- BLAKE2 : Longueur variable jusqu'à 512 caractères. Utilisé en cryptographie avancée.
Les sites de téléchargement fournissent généralement la valeur de hachage correcte de l'image. Pour vérifier sa correspondance, vous pouvez utiliser une application graphique ou le terminal. Par exemple, si vous êtes à l'aise avec PowerShell ou l'invite de commandes Windows, vous pouvez utiliser la commande :
certutil -hashfile ruta_del_archivo algoritmo
Sous Ubuntu, nous pouvons utiliser n'importe laquelle de ces commandes en fonction de l'algorithme.
sha1sum archivo.iso
sha256sum archivo.iso
sha512sum archivo.iso
md5sum archivo.iso
Outre les sites de téléchargement officiels, il existe deux sites de confiance pour trouver des distributions Linux.
Distrowatch
Ce site vétéran Il s'agit d'une base de données de distributions Linux, constamment mise à jour avec les nouvelles versions et les versions à venir. Elle propose également un moteur de recherche complet permettant de filtrer par langue, environnement de bureau, origine et fonctionnalités. Distrowatch ne renvoie pas vers les sites de téléchargement officiels. Un seul conseil : ne vous fiez pas trop à son classement.
linuxtracker
Si vous préférez utiliser un client torrent pour télécharger votre distribution Linux préférée, vous trouverez sur cette page une sélection de trackers pour les principales distributions, vous permettant de le faire en toute sécurité et à plus grande vitesse.
Outre ces précautions, il est conseillé de maintenir votre système d'exploitation à jour afin de bénéficier des derniers correctifs de sécurité. Évitez également de télécharger des programmes provenant de sources inconnues. Ainsi, vous minimiserez les risques pour vous-même et pour les personnes avec lesquelles vous interagissez via ces appareils.