Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

erreur de téléchargement et usage du reseau tor

IAI_Kmer

bonjour à tous. Je tiens tout d'abord à m'excuser pour la rubrique car je crois qu'elle devait être plutôt sur "réseau, internet et sécurité". à certains moment, les fichiers que je télécharge avec des utilitaires pourtant adapter comme XDM ou l'utilisation de la commande

wget

sont inexploitables malgré la réussite du téléchargement pour des raisons tel que "fichiers corrompu, ...". quelquefois, l’exécution de la commande

sudo apt-get update

fourni des résultats tel que :

Réception de :1 http://archive.canonical.com/ubuntu bionic InRelease [10,2 kB]           
Atteint :2 http://ppa.launchpad.net/cematinla/bisnext/ubuntu bionic InRelease            
Atteint :3 http://archive.ubuntu.com/ubuntu bionic InRelease                             
Atteint :4 http://packages.microsoft.com/repos/vscode stable InRelease                   
Ign :5 http://dl.google.com/linux/chrome/deb stable InRelease                            
Atteint :6 http://dl.google.com/linux/chrome/deb stable Release                          
Atteint :7 http://ppa.launchpad.net/danielrichter2007/grub-customizer/ubuntu bionic InRelease
Atteint :8 http://repo.steampowered.com/steam precise InRelease                          
Réception de :9 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88,7 kB]      
Atteint :11 https://deb.nodesource.com/node_10.x bionic InRelease                        
Atteint :12 https://deb.opera.com/opera-stable stable InRelease                          
Atteint :13 https://download.virtualbox.org/virtualbox/debian bionic InRelease           
Atteint :14 http://ppa.launchpad.net/dolphin-emu/ppa/ubuntu bionic InRelease             
Atteint :15 http://ppa.launchpad.net/gns3/ppa/ubuntu bionic InRelease                    
Réception de :16 http://archive.ubuntu.com/ubuntu bionic-backports InRelease [74,6 kB]   
Atteint :17 http://ppa.launchpad.net/gregory-hainaut/pcsx2.official.ppa/ubuntu bionic InRelease
Atteint :10 http://mirrors.edge.kernel.org/ubuntu xenial InRelease                       
Atteint :18 http://ppa.launchpad.net/ppsspp/stable/ubuntu bionic InRelease               
Atteint :19 http://ppa.launchpad.net/random-stuff/ppa/ubuntu bionic InRelease            
Réception de :20 http://archive.ubuntu.com/ubuntu bionic-security InRelease [88,7 kB]    
Atteint :22 http://ppa.launchpad.net/sergio-br2/vbam-trunk/ubuntu bionic InRelease       
Atteint :23 http://ppa.launchpad.net/yannubuntu/boot-repair/ubuntu bionic InRelease      
Réception de :24 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [768 kB]
Réception de :25 http://archive.ubuntu.com/ubuntu bionic-updates/main i386 Packages [601 kB]
Réception de :26 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 DEP-11 Metadata [295 kB]
Réception de :27 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 48x48 Icons [73,8 kB]
Réception de :28 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 64x64 Icons [143 kB]
Réception de :29 http://archive.ubuntu.com/ubuntu bionic-updates/main DEP-11 128x128 Icons [375 kB]
Réception de :30 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages [985 kB]
Err :30 http://archive.ubuntu.com/ubuntu bionic-updates/universe i386 Packages           
  Somme de contrôle de hachage incohérente
  Hashes of expected file:
   - Filesize:985016 [weak]
   - SHA256:667780687f5e5bb3a0b021636b1ae64ba31c0e3d604ea8d09b200a1294da4347
   - SHA1:e01517ca52b80b3bb413fbffb85c651835fdc9d1 [weak]
   - MD5Sum:a227d05a8b47be65d2013ef1c832dc08 [weak]
  Hashes of received file:
   - SHA256:9330d3f994ef7c42a5fb5dc0ff13bd56b9075f3d39a320c3e22077dd7dad2070
   - SHA1:41339fec39781b0d97c0a76721f1895d4e438021 [weak]
   - MD5Sum:08a55a2b8e77ffb5aef4322f6dc7c211 [weak]
   - Filesize:985016 [weak]
  Last modification reported: Sat, 02 Nov 2019 01:01:53 +0000
  Release file created at: Sat, 02 Nov 2019 01:01:08 +0000
Réception de :31 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [1018 kB]
Err :31 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages          
  
Réception de :32 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [253 kB]
Réception de :33 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 48x48 Icons [192 kB]
Réception de :34 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 64x64 Icons [443 kB]
Réception de :35 http://archive.ubuntu.com/ubuntu bionic-updates/universe DEP-11 128x128 Icons [973 kB]
Réception de :36 http://archive.ubuntu.com/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2464 B]
3633 ko réceptionnés en 15s (237 ko/s)                                                  
Lecture des listes de paquets... Fait
N: Le fichier configuré « contrib/binary-i386/Packages » ne sera pas pris en compte car le dépôt « https://download.virtualbox.org/virtualbox/debian bionic InRelease » ne prend pas en charge l'architecture « i386 »
E: Impossible de récupérer http://archive.ubuntu.com/ubuntu/dists/bionic-updates/universe/binary-i386/by-hash/SHA256/667780687f5e5bb3a0b021636b1ae64ba31c0e3d604ea8d09b200a1294da4347  Somme de contrôle de hachage incohérente
   Hashes of expected file:
    - Filesize:985016 [weak]
    - SHA256:667780687f5e5bb3a0b021636b1ae64ba31c0e3d604ea8d09b200a1294da4347
    - SHA1:e01517ca52b80b3bb413fbffb85c651835fdc9d1 [weak]
    - MD5Sum:a227d05a8b47be65d2013ef1c832dc08 [weak]
   Hashes of received file:
    - SHA256:9330d3f994ef7c42a5fb5dc0ff13bd56b9075f3d39a320c3e22077dd7dad2070
    - SHA1:41339fec39781b0d97c0a76721f1895d4e438021 [weak]
    - MD5Sum:08a55a2b8e77ffb5aef4322f6dc7c211 [weak]
    - Filesize:985016 [weak]
   Last modification reported: Sat, 02 Nov 2019 01:01:53 +0000
   Release file created at: Sat, 02 Nov 2019 01:01:08 +0000
E: Impossible de récupérer http://archive.ubuntu.com/ubuntu/dists/bionic-updates/universe/binary-amd64/by-hash/SHA256/87d156e8984ee5009cb15305cf09f626f691bed58d60f618abacd4ecbbd8c4a1  
E: Le téléchargement de quelques fichiers d'index a échoué, ils ont été ignorés, ou les anciens ont été utilisés à la place.

Autrefois en de pareille circonstance, ma démarche consistait à refaire les opérations jusqu’à satisfaction des résultats obtenus.
maintenant , en cas problème, je passe par le réseau tor en faisant précédé les commandes par le mot "torify" venant du paquet

sudo apt-get install tor

. j'ai donc :

sudo torify apt-get update

pour apt ou

torify wget (paramètre)

pour wget ou encore une configuration graphique permettant aux applications graphique tel que xdm d'utiliser le réseau tor. je signale que à ce jour les résultats ont toujours était satisfaisant dans l'ensemble.

je voudrais votre appréciation sur cette pratique. est elle peu recommandable ? , dangereuse ? ...
si elle n'est pas du tout conseillé qu'elle démarche entreprendre pour les messages comme "E: Impossible de récupérer http://archive.ubuntu.com/ubuntu/dists/bionic-updates/universe/binary-i386/by-hash/SHA256/667780687f5e5bb3a0b021636b1ae64ba31c0e3d604ea8d09b200a1294da4347 Somme de contrôle de hachage incohérente" venant de apt ?
toute contribution diverse à ce débat serait la bienvenue.

pseudofab

Bonjour,
Je ne connaissais pas la commande torify , merci
D'après ce que j'en lit elle permet de s'affranchir (nécessite une modification du fichier de configuration /etc/tor/torrc) des authentifications.
Mon bon sens me dit que sudo torify apt-get update est donc une mauvaise pratique.

Il vaut mieux chercher à résoudre tes problèmes que de les camoufler ..

IAI_Kmer

afin de mieux comprendre de quoi il est question, vous pouvez mieux apprendre d’avantage sur le réseau tor via le site d'openclassroms . j'ai trouvé cette solution par rapport à mes connaissance dans le domaine de la cryptographie.

pseudofab

Re,
merci cependant je connais Tor, et l'utilise parfois ... ce que je connaissais pas, c'est cette possibilité de l'utiliser en ligne de commande . Cela pourrait mettre utile dans un de mes scripts qui utilise les traductions de google (je n'ai rien de particulièrement confidentiel à traduire mais c'est par principe...J'utilise par ailleurs Deepl mais à ma connaissance on ne peut l'utiliser à partir d'un script)

~~Ceci dit mon avis reste le même~~ 😛
Il est basé sur la lecture de ---> https://blog.genma.fr/?La-commande-Torify
notamment sur

blog.genma a écritAvec ces deux options, on fixe le port sur lequel Tor écoute pour les connexions locales et on dit à Tor qu’il n’y a pas besoin d’authentification

Zakhar

L'authentification dont il est question est celle qui sert à un programme local sur le PC à s'authentifier auprès de Tor. Aucun rapport avec les URL utilisées si celle-ci ont besoin d'authentification.

C'est donc tout à fait Ok d'utiliser Tor ainsi pour la mise à jour. Mais c'est Ok car apt vérifie la signature des paquets téléchargés, et donc même si l'accès se faisait en http et que le nœud TOR de sortie corrompait le paquet, on s'en rendrait compte à la signature.

pseudofab

Merci Zakhar pour ton explication,
Donc ~~mon~~ma compréhension était erronée ... Je me ravise sur mon point de vu 😉

Zakhar

Il faut cependant bien vérifier, en utilisant le réseau TOR, qu'on utilise https (ou l'équivalent pour d'autres protocoles) et que donc le chiffrement est de bout en bout. Sans cela, le noeud de sortie qui joue le rôle de proxy final va "voir" le trafic en clair et pourrait introduire des modifications, même s'il ne peut pas remonter à l'utilisateur qui a envoyé la requête. Dans le cas d'espèce, et pour les versions un peu ancienne d'Ubuntu (16.04 par exemple) cela pourrait être le cas.
En effet si on regarde le fichier /etc/apt/sources.list, on voit des ligne du genre

deb http://fr.archive.ubuntu.com/ubuntu/ xenial multiverse

Ce qui veut dire que les paquets sont téléchargés depuis les dépôts ubuntu en http simple, donc sans chiffrement de bout en bout. Mais en l'occurrence, comme "apt" vérifie la signature, on s'apercevrait de la modification.
Le risque demeure alors un "déni de service". Si on tombe sans cesse sur un noeud de sortie malicieux qui modifie les choses, on ne va jamais arriver à installer quoi que ce soit via TOR.

Heureusement tous les noeuds de sortie ne sont pas des gérés par des malfaisants... et aussi sur les versions plus récentes, il me semble que les dépôts sont passée en https (à vérifier).

Sinon torify n'est qu'un wrapper simplifié de torsocks qui lui peut spécifier un user/pass pour la connexion SOCK5, si cette partie de sécurité est importante pour vous (cela dépend de l'usage de la machine en réalité).
On doit aussi pouvoir mettre ces infos (user/pass) dans un fichier de config... mais est-ce une bonne idée ? Au moins si le fichier de config a des droits bien choisi, il est protégé d'autres personnes utilisant la machine, mais du moment qu'on a un accès physique, pas grand chose n'est protégé en réalité !