Bonjour à toutes et à tous,

Je suis sous la distribution Debian et la Version “Squeeze” à 64-Bits.
Pour installer le paquet mjpegtools nécessaire du Programme KINO, j’ai ajouté “les dépots” suivant dans le fichier sources.list :*

## squeeze multimedia deb http://www.debian-multimedia.org squeeze main non-free deb-src http://mirror.home-dn.net/debian-multimedia squeeze main
puis apt-get update

et avant, l’instruction# aptitude install debian-multimedia-keyring Impossible de trouver un paquet dont le nom ou la description correspond à « debian-multimedia-keyring » Impossible de trouver un paquet dont le nom ou la description correspond à « debian-multimedia-keyring » Aucun paquet ne va être installé, mis à jour ou enlevé. 0 paquets mis à jour, 0 nouvellement installés, 0 à enlever et 2 non mis à jour. Il est nécessaire de télécharger 0 o d'archives. Après dépaquetage, 0 o seront utilisés.
Alors sans succès.

Je vous laisse voir ci dessous le résultat concernant les instructions précédentes et suivantes:

W: Erreur de GPG : http://www.debian-multimedia.org squeeze Release : Les signatures suivantes n'ont pas pu être vérifiées car la clé publique n'est pas disponible : NO_PUBKEY 07DC563D1F41B907 W: Erreur de GPG : http://mirror.home-dn.net squeeze Release : Les signatures suivantes n'ont pas pu être vérifiées car la clé publique n'est pas disponible : NO_PUBKEY 07DC563D1F41B907
Cette remarque vient s’ajouter à une autre dont voici le lien:(milieu d’écran)
https://www.debian-fr.org/probleme-installation-carte-wifi-pci-t38083.html?hilit=SQUEEZE%20MULTIMEDIA

Questions:
Pourquoi, le depot n’a pas l’annotation “contrib” comme le reste de mon fichier?
Qu’es ce que je peux faire face à ce “Message Erreur”?

*…mais pas d’onglet grisé dans le logiciel.
Par contre il est possible d’installer le paquet mjpegtools via le programme Synaptic.
Cependant, j’ai un message m’alertant je cite:“Vous allez installer un logiciel qui ne peut pas etre authentifier; Ceci peu permettre a un individu mal intentionné de prendre le contrôle de votre système”:
libmjpegtools-1.9
mjpegtools>>

Merci par avance de vos conseils car je ne voudrai pas faire de bêtises!!

debian-multimedia.org/faq#q1

Télécharge le auparavant

debian-multimedia.org/pool/m … 26_all.deb

Quant à “main” “contrib” et “non-free”, il ne tient qu’à toi de les ajouter dans /etc/apt/sources.list.

Pour ton problème de clé, la solution se trouve par là : Erreur lors d'un update: NO_PUBKEY

EDIT : La solution d’etxeberrizahar est tout aussi efficace dans ce cas de figure.

Bonsoir à toutes et à tous,

Voici le retour de commande de la méthode n°1 donnée ci-dessus dans ce post:Télécharger, puis installer
Sans succès.
Deux petites choses me chagrinent;

le NOM de la commande je cite "dpkg -i debian-multimedia-keyring_2008.10.16all.deb" et le paquet effectivement téléchargé dans le dossier Téléchargements; ne sont pas idem. En effet leurs noms différent, soit pour le dernier: debian-multimedia-keyring2010.12.26_all.deb…
Voici les retours des deux combinaisons, la dernière étant à mes yeux la plus logique, même si l’on a pas à se positionner dans le répertoire, Téléchargements en l’occurrence, et avec la commande cd /Téléchargements.
N’est’il pas?

[code]root@_ _ :/home/ _ _ _# dpkg -i debian-multimedia-keyring_2008.10.16_all.deb
dpkg : erreur de traitement de debian-multimedia-keyring_2008.10.16_all.deb (–install) :
ne peut pas accéder à l’archive: Aucun fichier ou dossier de ce type
Des erreurs ont été rencontrées pendant l’exécution :
debian-multimedia-keyring_2008.10.16_all.deb

root@_ _ :/home/ _ _ _# dpkg -i debian-multimedia-keyring_2010.12.26_all.deb
dpkg : erreur de traitement de debian-multimedia-keyring_2010.12.26_all.deb (–install) :
ne peut pas accéder à l’archive: Aucun fichier ou dossier de ce type
Des erreurs ont été rencontrées pendant l’exécution :
debian-multimedia-keyring_2010.12.26_all.deb
[/code]

La méthode n°2 (personnelle): Gestionnaire de paquets, installer le paquet debian-multimedia-keyring.
Sans succés car “le paquet n’est pas AUTHENTIFIE ce qui peu permettre à une personne mal intentionné de prendre le contrôle du système”

Les autres solutions du Post font appels à des connaissances que je n’ai pas encore.

reste à votre écoute biensur,

Merci

https://www.debian-fr.org/la-cle-publique-n-est-pas-disponible-encore-t37579.html?hilit=multimedia%20keyring#p378210

En réaction a cette conversation très intéressante et pour réagir sur le point d’attaque de la securité de pasacal hambourg,
cela revient a se demander les choses suivantes:
c’est un raisonnement qui est peut être vrai mais des lors, qu’une personne a elle seule (mal intentionné ou non) soit assez influente pour infecter les “sources” (sens figuré du terme) des depots dont on parle, en l’occurence media.

La faille consisterait alors a autoriser un telechargement, occasionnée par la mise à jour de la base de données, infecté et correspondant à une signature en rapport.
Ce qui revient à se demander si une personne a elle seule (malintentionné ou non) a le pouvoir de deux chose l’une
de créer une ““debian-media-keyfreying”” en propre,
de créer un paquet indépendant et inclu dans ““la distribution depot media””?

Does it make sense? It is possible?

J’ai l’impression qu’on tourne au vinaigre et que cela revient à se demander si on peut faire confiance a ce a qui on fait confiance et là, c’est plutôt abstrait de remettre en question, le Bit, ou je ne sais quoi d’autre non?

La destination des téléchargements est-elle “Téléchargements” ?
À vérifier dans les préférences de ton navigateur.

procédure décrite par la FAQ

Traduction :

Installer le paquet des clés du dépôt multimedia par la commande

dpkg -i debian-multimedia-keyring_date_bidon-inexacte-1492.04.21_all.deb

(cliquez sur le lien ci-dessus pour télécharger le paquet)

clique sur le lien de la FAQ du site, il renvoie vers le dernier paquet deb en date malgré la date affichée.
Le même lien que je t’avais copié dans mon message précédent …

debian-multimedia.org/pool/m … 26_all.deb

Se placer dans ce qui fait office de dossier “Downloads”.
Prendre les droits de root(#) pour installer par dpkg.

J’ai suivi cette procedure:

root@debian:/home/jean9# aptitude install debian-multimedia-keyring([size=85]Pourquoi les clefs seraient falsifiées?[/size])
…Pour continuer, entrer « Oui ».
OK

le depot dans le sources.list est déja ajouté, dans mon cheminement

root@debian:/home/jean9# aptitude update(met à jour les clefs du systeme, je pense et en l’occurence les mises a jours generales et donc celle de ““media””)
…398 o téléchargés en 1s (220 o/s)

Il pourrait trés bien venir ici, mais alors apt-get update ensuite(met a jour les depots de la distribution, je pense)

Par ailleurs,mjpegtools est installé et sans message d’alerte improbable.

Ce lien appelé “amanite phalloïde” pointe vers l’article “girolle” de wikipedia.
Ce lien appelé girolle pointe vers l’article “amanite phalloïde” de wikipedia.

Pourquoi mettre des liens menteurs ?
N’y vois aucune malice, l’auteur de la doc du dépôt multimédia s’est dit que ses lecteurs étaient capables de dépasser une lecture “au pied de la lettre” et s’est épargné la peine de revoir la date donnée en exemple.

C’est bien un moindre mal!

Merci bien pour ces réponses mais, avec la tète dans le guidon et à toute vitesse, j’ai suivi en fin de compte une autre façon de faire. De toutes les manières, tous les chemins mènent à ROME, n’es-ce pas!

[quote=“100305”]
root@debian:/home/jean9# aptitude update met à jour les clefs du systeme, [/quote]
Tu fais un doublon avec ces deux commandes qui ont la même finalité.

Pour vérifier faire un apt-key update (en root)

Chez moi

# apt-key update gpg: clé F42584E6: « Lenny Stable Release Key <debian-release@lists.debian.org> » n'a pas changé gpg: clé 55BE302B: « Debian Archive Automatic Signing Key (5.0/lenny) <ftpmaster@debian.org> » n'a pas changé gpg: clé 6D849617: « Debian-Volatile Archive Automatic Signing Key (5.0/lenny) » n'a pas changé gpg: clé B98321F9: « Squeeze Stable Release Key <debian-release@lists.debian.org> » n'a pas changé gpg: clé 473041FA: « Debian Archive Automatic Signing Key (6.0/squeeze) <ftpmaster@debian.org> » n'a pas changé gpg: Quantité totale traitée: 5 gpg: inchangée: 5

Salut à tous !

[quote=“100305”]https://www.debian-fr.org/la-cle-publique-n-est-pas-disponible-encore-t37579.html?hilit=multimedia%20keyring#p378210

En réaction a cette conversation très intéressante et pour réagir sur le point d’attaque de la securité de pasacal hambourg,
cela revient a se demander les choses suivantes:
c’est un raisonnement qui est peut être vrai mais des lors, qu’une personne a elle seule (mal intentionné ou non) soit assez influente pour infecter les “sources” (sens figuré du terme) des depots dont on parle, en l’occurence media.

La faille consisterait alors a autoriser un telechargement, occasionnée par la mise à jour de la base de données, infecté et correspondant à une signature en rapport.
Ce qui revient à se demander si une personne a elle seule (malintentionné ou non) a le pouvoir de deux chose l’une
de créer une ““debian-media-keyfreying”” en propre,
de créer un paquet indépendant et inclu dans ““la distribution depot media””?

Does it make sense? It is possible?

J’ai l’impression qu’on tourne au vinaigre et que cela revient à se demander si on peut faire confiance a ce a qui on fait confiance et là, c’est plutôt abstrait de remettre en question, le Bit, ou je ne sais quoi d’autre non?[/quote]

À la demande de 100305, j’interviens sur ce sujet. Cela dit, je ne suis pas nécessairement le plus à même de le faire.

Donc, un dépôt est ce qui permet d’installer des logiciels (j’enfonce une porte ouverte). En fait, il permet techniquement d’installer n’importe quoi. C’est-à-dire que c’est le meilleur moyen pour lancer une attaque massive sur les utilisateurs d’une distribution. Pour pallier ce problème, les dépôts sont munis d’une clef, le principe étant que si le paquet téléchargé est corrompu (par exemple pour ajouter du code malveillant), la clef ne correspondra plus et donc on peut savoir que quelque chose cloche.

La faille de sécurité que relevait Pascal Hambourg porte sur la façon de se procurer la clef. En effet, si le serveur qui fourni la clef est corrompu, alors on peut envoyer une clef qui permettra d’installer du code malveillant. Pour éviter cela, l’approche habituelle consiste à utiliser un serveur tiers, lui uniquement dédié a stocker des clefs. Ainsi, si le dépôt ou le serveur de clefs est corrompu, les clefs ne correspondront plus : on ne saura pas nécessairement d’où vient le problème, mais on a plus de moyen de savoir, au moins, que quelque chose ne va pas.

Après, il faut bien s’assurer que les clefs sont régulièrement mises à jour. Au final, la méthode du serveur tiers pose donc le problème d’avoir deux serveurs et de s’assurer en permanence la cohérence des clefs. Tout cela se gère bien, mais c’est une infrastructure plus lourde à mettre en place. Du coup, pour le simple particulier, l’utilisation de la clef fournie par le dépôt est un compromis qui me semble valable.

Voilà, j’espère que c’est clair et utile.

À bientôt.

Le Farfadet Spatial

Cette précision étant faite, je ne trouve pas pour autant l’inquiétude que soulève toujours la question posée, levée, même si elle permet d’y voir beaucoup plus clair.
Je réitère mon interrogation donc, de tous premier plan vous me l’accorderez, non?

N’est t-il pas toujours apparemment improbable dans sa faisabilité pour un individu, et à lui seul, d’avoir la marge d’action de créer de toute pièce un dépôt corrompu et une clé correspondante à celui-ci et quand bien même avec cette dernière précision à fortiori que ça fonctionne. [size=85](ni vu ni connu que je t’embrouille)[/size]

Oui c’est théoriquement possible.

Le Mossad, echelon, la CIA, ton FAI … sous la direction de la gendarmerie de Brive-la-Gaillarde .

Sur le forum anglophone, il y en a un qui est particulièrement attaché à ce genre de sujet:

forums.debian.net/viewtopic.php?f=3&t=75532

Bonjour à toutes et à tous,

Je voulais juste réagir par rapport à un “Post” qui laissait

entrevoir une bréche nouvelle à mes yeux, voilà!

Mais maintenant je vais surveiller de près les échanges avec les coreziens et coreziennes, si j’ai bien compris;

je laisse ce post ouvert une semaine car j’ai contacté un participant du post qui puisse réagir.