J’ai donné une conférence lors de la Journée Logiciels libres et sécurité organisée par le Cetril. Cela m’a permis d’assiter à la conférence de Nat Makarevitch sur la sécurité des systèmes basée sur des logiciels libres. Il a relevé avec justesse l’augmentation des attaques sur les sources de certains logiciels libres et la tentative d’inclusion de backdoor. Une des meilleures solutions à ce problème repose sur la signature gpg des archives et des paquets des distributions ce qui permet de garantir la provenance des données téléchargées.
Cependant, la signature d’un paquet sur une distribution ne garantit pas que les sources à partir duquel il a été compilé étaient saines. Le problème de la confiance est donc juste décalé. Il semble donc important que les développeurs systématisent la signature des archives mises à disposition sur leur site. Une lacune reste alors à combler : le modèle de confiance de gpg étant basé sur les cercles de confiance (qui impose une rencontre physique), il parait difficile de parvenir à constituer des liens suffisamment proches entre les développeurs et les distributeurs pour garantir la validité des signatures.
Dans le contexte d’une distribution comme Debian comportant un nombre très important de développeurs, il semble envisageable de parvenir à constituer un tel cercle si cela devient un mot d’ordre au sein des développeurs. Pour des distributions ayant moins de contributeurs, la tâche semble plus ardue.