[Linux-bruxelles] help pour l'installation d'un lecteur d'eID

Jean-Marc jean-marc at 6jf.be
Sam 2 Fév 18:02:08 CET 2019


Mon, 28 Jan 2019 18:24:36 +0100
"Depuydt, Patrick" <patrick at htag2.com> écrivait :

> Je pense que l'on s'est mal compris. Ma question est:

OK, je vais essayer d'être plus clair, plus compréhensif et de répondre à tes questions.

> Dans le contexte décrit, soit l'installation de l'eid, quels sont les
> logiciels tiers dont tu parles ? Et pourquoi ces logiciels tiers sont
> déconseillés par toi ? Est-ce par expérience, connaissance, mimétisme,
> autre ?

Les logiciels dont je parlais sont le ou les logiciels fournis par le paquet eid (cf. https://eid.belgium.be).
Pourquoi je les déconseille ?

Un exemple.  Sur la page de téléchargement du paquet "eID-archive", il est indiqué ceci :
>>>>>
Tous les paquets et référentiels sont signés de manière numérique par la clé OpenPGP avec l'empreinte digitale suivante :

B37D 9040 098C 3DEE E00F 6D08 A357 43EA 6773 D225

Nous vous conseillons de ne pas installer de paquet qui ne sont pas signés avec cette clé. Si vous utilisez le paquet correct « eID-archive » pour votre distribution, la clé correcte est automatiquement configurée et vous ne devez donc pas vous faire de souci.
<<<<<

Donc, on te dit qu'il est déconseillé d'installer un paquet qui n'est pas signés avec cette clé et la première chose qu'on t'indique de faire, c'est d'installer un paquet ... non-signé.

Et aucun moyen de vérifier l'intégrité de ce tu viens de télécharger (apparemment, le paquet ne contient pas de signatures).

Sachant que ce genre de chose est prise en charge par apt/dpkg, je conseille d'utiliser les paquets de la distribution plutôt que d'une source tierse.


> Dans le cas où ces logiciels tiers sont disponibles aupres de sources
> reconnues qu'est-ce qui fait qu'elles sont moins conseillées que une
> version (generalement moins a jour) de distro ?

Autre exemple d'argument pour préférer un paquet officiel : les efforts de qualité.
93.6% des paquets stretch/amd64 sont marqués "reproducible builds" [1].
(source : https://tests.reproducible-builds.org/debian/reproducible.html).
Je ne sais pas si ce que fournit eid l'est aussi.
Et c'est important.  En tout cas pour moi.

Et concernant les versions généralement moins à jour de distro, l'essentiel pour moi, c'est avant tout que le logiciel fasse ce dont j'ai besoin, pas d'avoir la dernière version.

> Dans le cadre professionnel je me retrouve souvent dans l'obligation
> d'utiliser des logiciels tiers disponible uniquement sur les repos des
> devs. Pourquoi devrais-je plus faire confiance au packager plutôt qu'au
> développeur?

Je reviens sur ce que je disais : «si c'est dispo dans ta distro, je déconseille ce qui vient de tiers».

Si ce n'est pas dispo ou uniquement dispo hors distro, c'est hors propos.

> Suis-je plus clair comme ça?

Je pense que ton mail était plus clair.
J'espère que mes réponses le sont aussi.
Et qu'elles ont vraiment répondus à tes questions.

> Pat.

Jean-Marc <jean-marc at 6jf.be>
https://6jf.be/keys/ED863AD1.txt


[1] https://reproducible-builds.org/
Extrait : «The motivation behind the Reproducible Builds project is therefore to allow verification that no vulnerabilities or backdoors have been introduced during this compilation process.»
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: non disponible
Type: application/pgp-signature
Taille: 833 octets
Desc: non disponible
URL: <http://listes.domainepublic.net/pipermail/linux-bruxelles/attachments/20190202/df5071ab/attachment.sig>


Plus d'informations sur la liste de diffusion Linux-bruxelles