Durée: 12 mois
Rubrique: Architecte cybersécurité
Dans le cadre de la mise à jour et de la gestion des correctifs, il est essentiel de vérifier l'intégrité des paquets. Cela signifie s'assurer que les paquets téléchargés et installés n'ont pas été modifiés ou corrompus d'une manière ou d'une autre.
Il existe plusieurs outils et méthodes pour vérifier l'intégrité des paquets dans les systèmes Linux / Unix. Certains gestionnaires de paquets, par exemple, offrent cette fonctionnalité intégrée. Ainsi, chaque fois qu'un paquet est installé, le gestionnaire de paquets compare une somme de contrôle du paquet téléchargé à une somme de contrôle stockée dans une base de données de confiance. Si les deux correspondent, le gestionnaire de paquets peut confirmer que le paquet n'a pas été modifié et est sûr d'être installé.
Cependant, cette méthode n'est pas infaillible. Les pirates peuvent par exemple modifier à la fois le paquet et la somme de contrôle dans la base de données. Pour cette raison, il est recommandé de vérifier également l'intégrité des paquets de manière indépendante, en utilisant des outils comme GPG (GNU Privacy Guard).
GPG est un outil de chiffrement qui peut être utilisé pour vérifier l'intégrité des paquets. Il utilise une méthode de "signature" pour s'assurer qu'un paquet n'a pas été modifié. Une personne ou une organisation de confiance (comme le développeur du logiciel) signera le paquet avec leur clé privée. Quiconque reçoit le paquet peut alors utiliser la clé publique correspondante pour vérifier que la signature est correcte.