Pour les personnes ayant activé le dépôt alternatif debian-multimedia.org, faites attention car le nom de domaine a été racheté par un cybersquatteur ukrainien. Si le dépôt debian-multimedia.org traine encore dans votre /etc/apt/sources.list, il est urgent de le retirer. C’est un bon exemple de l’importance de la cryptologie pour sécuriser les dépôts APT et de ne pas gérer les clefs à la légère !

Pour les détails et l’historique du pourquoi c’est arrivé, nous vous invitons à lire la suite de la dépêche.

NdM : merci à patrick_g pour son journal.

• lien n°1 : Journal à l’origine de la dépêche
• lien n°2 : La synthèse de l’affaire par le DPL sur "bits from the DPL - May 2013"

Christian Marillat, un développeur Debian, propose depuis plusieurs années un dépôt alternatif pour héberger divers paquets multimedia (par exemple vlc, ffmpeg, mplayer, etc). À l’origine c’était parce que ces paquets étaient compilés avec des options différentes de ceux de Debian, ou bien parce que le paquet n’était pas du tout disponible dans Debian.


En conséquence de nombreux utilisateurs activaient le dépôt externe debian-multimedia.org afin de pouvoir profiter de ces logiciels. Cela faisait partie des étapes classiques lors de l’installation d’un poste client sous Debian.

Néanmoins, au fil du temps, l’équipe de mainteneurs spécialisés dans ces paquets (pkg-multimedia-maintainers) a incorporé les logiciels manquants. La dernière version stable, Wheezy, propose ainsi la très grande majorité des logiciels qui manquaient dans les versions antérieures.


Le travail de Christian Marillat a donc été perçu comme une duplication inutile du travail et comme un risque de confusion. Le fait d’avoir Debian dans le nom du dépôt risquait de tromper les utilisateurs qui pourraient penser qu’il s’agit là d’un dépôt officiel. De plus il semble évident que les relations se sont tendues au fil du temps entre l’équipe pkg-multimedia-maintainers et Christian Marillat. Il a par exemple été affirmé que l’ajout de debian-multimedia.org dans le /etc/apt/sources.list pouvait provoquer des conflits avec les paquets officiels et causer de graves dysfonctionnements.

Comme Wheezy propose maintenant tout ce qui manquait avant, le précédent leader du projet à envoyé un courriel à Christian Marillat pour parler de ce problème et proposer des solutions.

En premier lieu Stefano Zacchiroli avance que le dépôt de Christian ne devrait contenir que des paquets manquants dans Debian ou qui ne provoquent aucun conflit technique :

You and the pkg-multimedia team reach an agreement on which-packages-belong-where. One way to settle would be that for every package that exist in the official Debian archive, the same package should not exist in d-m.o, unless it has a version that does not interfere with the official packages in "standard" Debian installations. Another way would be to rename packages and sonames.

Seconde solution qui est proposée à Christian, si un accord avec l’équipe pkg-multimedia n’est pas possible, le nom Debian ne devrait pas apparaitre dans le nom du dépôt pour éviter tout risque de confusion :

You stop using "debian" as part of the domain name of your repository, which is confusing for users. That would allow each part to keep on doing what they want in terms of packaging, but at least would remove any of the existings doubts about the official status of d-m.o.

Je vous invite vraiment à lire le courriel de Zack qui est un exemple parfait de clarté et de diplomatie. Du grand art.

La réaction de Christian a été d’opter pour la seconde solution et d’enregistrer le nom de domaine deb-multimedia.org. Zack a fait une seconde tentative pour encourager la coopération et pour, au minimum, transférer l’ancien nom de domaine à Debian. Cela n’a rien changé à la position de Christian qui annonce qu’il ne veut pas s’emmerder à transférer le nom :

I don’t want to be bothered, I don’t intent to transfert the domain name. I’ll delete the DNS entries in six months and not renew the domain name.

C’est dommage de réagir ainsi car cela va entrainer du travail en plus pour Debian. Comme l’explique Zack, au moment de l’expiration du nom il faudra faire la course avec les cybersquatteurs pour récupérer le domaine. En cas de défaite, il faudra se battre juridiquement pour récupérer le nom ce qui risque d’être long et potentiellement coûteux :

Well, you are still a Debian Developer and I was hoping you could take into account that you not wanting to be bothered will result in more work for the Debian Project and its peers, in particular by SPI and myself (or future DPLs) as coordinator. SPI will need to race for registering it after expiration. If that works, fine, but still someone has to keep an eye on that and get the timing right. If that doesn’t work, we will have to do arbitration, which we will easily win due to the debian trademark, but it will still cost Debian money and SPI lawyers time (pro bono time, which could better be used for the needs of other free sw projects supported by SPI). All this could be avoided, by you, in a very simple way.

Hélas, comme l’avait annoncé Zack dans son dernier courriel, les cybersquatteurs ont été les plus rapides (c’est un Ukrainien nommé Vitalij Kopich qui a gagné la course). Cela a été annoncé par le nouveau DPL, Lucas Nussbaum, dans son courriel récapitulatif pour le mois de mai.

debian-multimedia.org was an unofficial, popular repository of Debian packages. After a discussion last year, the service moved to another domain. Debian offered to cover costs for the transfer of the debian-multimedia.org domain to prevent it from expiring and falling into a domain squatter’s hands (or worse). Unfortunately, the debian-multimedia.org maintainer decided not to cooperate with Debian, and let the domain expire. The domain has now apparently been registered again by someone unknown to Debian (TTBOMK). This is a good example of the importance of the use of cryptography to secure APT repositories (and of the importance of not blindly adding keys).

À titre perso (en tant qu’utilisateur de base) je regrette le comportement de Christian Marillat dans cette affaire. Il était ultra-simple pour lui de transférer le nom de domaine, comme l’expliquait Zack cela ne prend quelques minutes, alors pourquoi n’avoir pas pris cette peine ? D’autant plus qu’il est encore officiellement un développeur Debian et qu’en faisant ça il crée un risque pour certains utilisateurs de la distribution (ceux qui ont désactivé la vérification des signatures GPG).

En tout cas vous savez ce qu’il vous reste à faire si le dépôt debian-multimedia.org traine encore dans votre /etc/apt/sources.list.

Lire les commentaires

Cet article est repris du site http://linuxfr.org/news/attention-a...