Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

paquet "john" (john the ripper)

pj074

Bonjour, j'aimerais savoir si il y a un danger a installer le paquet "john" qui correspond au soft "john the ripper" qui permet de décrypter les mots de passes cryptés, je me dis le concepteur d'un tel soft peut être tenté pour installer un virus via son soft.
Plus généralement peut on faire confiance à tous les paquets proposés par les dépôts installés par défaut ? (ubuntu LTS 12.04 dans mon cas).
Merci pour vos éclaircissements.
Tchao.

ytreza

Bonjour !
- En principe, oui, en tant qu'utilisateur, nous pouvons faire confiance au contenu des dépôts Ubuntu. Tous les logiciels qui y sont accessibles sont libres, et ils ne sont pas ajoutés avant que le code soit relus par des membres du projet, pour s'assurer que le code n'a pas d'effets secondaires indésirables.
- Ce n'est par contre pas vrai avec les dépôts partenaires d'ubuntu qui proposent des logiciels qui sont sous licence propriétaire, tels que skype, ou l'archiveur rar. Le code source de ces logiciels n'étant pas libre, nous n'avons que la parole des développeurs des logiciels.
- Pour les dépôts que l'on ajoute sous même, il n'y a aucune garantie.

D'une manière générale, c'est au responsable du dépôt de s'assurer qu'il fournit des paquets de qualité. Si l'on a confiance en Canonical et en la communauté de développeurs d'Ubuntu, on peut donc avoir relativement confiance en les logiciels proposés par les dépôts Ubuntu. Excepté les logiciels propriétaires, dans ce cas, c'est a chacun de juger si il peut avoir confiance ou non dans le logiciel qu'il souhaite installer.

pj074

Merci pour ta réponse ytreza, cela me rassure, en ce qui concerne john (the ripper) je peux l'installer avec les dépots installé sur mon système mais je ne suis pas sur que ce sont des dépôts partenaire ou officiels.
Merci.

tiramiseb

Salut,

John the ripper est dans les dépôts officiels.

je me dis le concepteur d'un tel soft peut être tenté pour installer un virus via son soft.

Et pourquoi serait-il tenté de faire ça ?

En quoi un logiciel fait pour tester la sécurité d'un système installerait des virus ?
Ou plutôt, en quoi un tel logiciel serait plus susceptible d'installer des virus que n'importe quel autre ?

Plus généralement peut on faire confiance à tous les paquets proposés par les dépôts installés par défaut ?

Oui. C'est là tout l'intérêt de dépôts centralisés comme ceux d'Ubuntu.

Les paquets proposés sur le dépôt partenaire sont "validés" par Canonical, il s'agit cependant généralement de logiciels privateurs, qui peuvent avoir les dérives qu'on leur connaît... sans code source, on ne sait pas ce qu'ils font.