Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

L'mportance de vérifier la somme de contrôle d'une image .ISO ?

Caille

Bonjour,

Je vois partout que les images .iso des téléchargements d'Ubuntu peuvent êtres vérifiées avec une somme de contrôle.
Je n'ai jamais vérifié cette somme de contrôle et pourtant je n'ai jamais eu de problème d'installation.
Si la somme de contrôle était mauvaise, est-ce que l'installation pourrait quand même ce dérouler normalement ?
Après lors de l'utilisation serait-elle possible quand même si la somme de contrôle était mauvaise ?

Cordialement.

xubu1957

Bonjour,

L'utilisation d'une image ISO corrompue est à proscrire. Elle peut provoquer des problèmes à l'installation d'Ubuntu ainsi qu'une forte instabilité lors de son utilisation.

dans tutoriel/comment_verifier_l_integrite_de_son_image_cd#comment_verifier_l_integrite_de_son_image_iso_d_ubuntu

jplemoine

Ça peut très bien parfaitement se passer mais avec installation d'un rootkit ou autre "joyeuseté".
Cf ce qu'il ait arrivé à Mint ou lmde (je ne sais plus),il y a quelques années.

FrancisFDZ

Bonjour,
Si le téléchargement se fait par torrent, le contrôle est fait automatiquement par le logiciel de téléchargement (transmission ou autre) et un nouveau contrôle est alors superflu.

michel_04

Bonjour.

jplemoine a écritÇa peut très bien parfaitement se passer mais avec installation d'un rootkit ou autre "joyeuseté".
Cf ce qu'il ait arrivé à Mint ou lmde (je ne sais plus),il y a quelques années.

Voir LinuxRouen.

A+

xubu1957

C'était en 2016 > linuxfr.org/news/linux-mint-a-ete-compromise

lool_lauris

Concernant les iso Linux Mint compromis, rien ne dit que les signatures MD5 ou SHA... n'étaient pas aussi compromises ; je veux dire que les pirates qui ont fait pointer vers leurs iso, ont certainement pris soin d'y mettre les signatures correspondantes !?

lucmars

En la matiere on applique le principe du tout ou rien. Idem quand depuis ta clef/dvd tu vérifies celle-ci : si t'as au moins une erreur, c'est mort.

Nuliel

lool_lauris a écritConcernant les iso Linux Mint compromis, rien ne dit que les signatures MD5 ou SHA... n'étaient pas aussi compromises ; je veux dire que les pirates qui ont fait pointer vers leurs iso, ont certainement pris soin d'y mettre les signatures correspondantes !?

Effectivement, j'imagine que c'était le cas. C'est pas l'intérêt des signatures GPG des sommes de contrôle?

jplemoine

lool_lauris a écritConcernant les iso Linux Mint compromis, rien ne dit que les signatures MD5 ou SHA... n'étaient pas aussi compromises ; je veux dire que les pirates qui ont fait pointer vers leurs iso, ont certainement pris soin d'y mettre les signatures correspondantes !?

Ben non. Les dépôts et les signatures n'étaient pas sur le même serveur (ou un truc du genre).
Donc, tout ceux qui ont utilisé des torrents (à noter : il faut mieux faire un contrôle manuel dans l'appli un fois à 100%) ou vérifier les signatures après le téléchargement classique, ça disait Ko.
(Je faisais partie de ceux-là).
NB : Il faut mieux utiliser SHA que MD5.

lool_lauris

jplemoine a écritBen non. Les dépôts et les signatures n'étaient pas sur le même serveur

Ah d'accord ! 🙂

jplemoine a écrit NB : Il ~~faut~~ vaut mieux utiliser SHA que MD5.

On utilise ce qui est fourni... Si le fournisseur du lien de téléchargement donne des signatures de vérification en MD5, alors on est bien obligé de faire un checksum avec MD5 et s'il fournit du SHAxxx alors on utilise du SHAxxx.
S'il fournit les deux, alors tant mieux. 🙂

bluc

Bonjour,

Je ne télécharge depuis quelques années qu'en torrent et je n'ai jamais eu de probleme de fichiers corrompus
Il me faut environ 4 heures pour télécharger 2 Go parfois je ne trouve pas de torrent et dans ce cas c'est souvent un mauvais fichier

Pour vérifier j'utilise [url=apt://nautilus-gtkhash]nautilus-gtkhash[/url] que l'on retrouve en cliquant sur le fichier a contrôler → Propriétés → Empreintes

Nuliel

C'est normal, l'intégrité est vérifiée automatiquement via bittorent (la somme de contrôle est dans le fichier .torrent)

jplemoine

Naziel a écritC'est normal, l'intégrité est vérifiée automatiquement via bittorent (la somme de contrôle est dans le fichier .torrent)

Ce n'est pas tout à fait ça car le fichier est découpé en tronçon et chaque tronçon est vérifié une fois téléchargé.
Dans le cas d'un téléchargement classique, l'intégrité n'est vérifiée qu'une fois tout le téléchargement entièrement fini.

FrancisFDZ

jplemoine a écrit
Naziel a écritC'est normal, l'intégrité est vérifiée automatiquement via bittorent (la somme de contrôle est dans le fichier .torrent)
Ce n'est pas tout à fait ça car le fichier est découpé en tronçon et chaque tronçon est vérifié une fois téléchargé.
Dans le cas d'un téléchargement classique, l'intégrité n'est vérifiée qu'une fois tout le téléchargement entièrement fini.

Autrement dit, même si le chargement via torrent est plus sur, le "surcontrole" une fois le téléchargement complet , même si superflu, peut être recommandé .

jplemoine

En fait, c'est que une fois à 100%, il met un certain temps avant de contrôler le dernier téléchargement.
En forçant le contrôle dans le logiciel, tu es sûr que l'ensemble est complet et cela force la désactivation (suppression ?) d'un tronçon incorrect.