tout le monde peut publier n'importe quoi sans aucune vérification
Pas vraiment. Concernant le dépôt Arch Aur, la vérification des paquets est possible avant leur compilation, tout est transparent, même pour les non-spécialistes. Il suffit de lire les PKGBUILD. Il existe même des dépôts Arch non officiels qui fournit des paquets Aur signés par des dev Arch de confiance. https://wiki.archlinux.org/title/Unofficial_user_repositories
Personnellement, j'utilise chaotic-aur https://github.com/chaotic-aur https://aur.chaotic.cx/docs
PS: Concernant les dépôts PPA chez Debian, Ubuntu et dérivées, cette vérification est impossible puisqu'il s'agit de binaires.
Si vraiment. Il n'a pas dit que la vérification est impossible, mais qu'il est possible de publier sans que personne ne vérifie. Et c'est un fait. N'importe qui peut publier un paquet sur AUR sans vérification.
Même pour les non-spécialistes. Il suffit de lire les PKGBUILD.
Oxymore… Il y a de grandes chance qu'un non spécialiste ne détecte pas qu'un npm install n'a rien à faire dans ce PKGBUILD. Il ne faut pas minimiser le risque que peut représenter AUR, il est bien réel.
Du coup, tu propose quoi comme modèle? Car à part créer un dépôt par projet hors distribution, je ne vois pas comment lutter contre ça.
Et même dans ce cas, on se retrouverait vite submergés par le typosquatting et autres joyeusetés du genre.
Le dépôt centralisé aide les attaquants, car il leur fournit un canal rapide pour corrompre plein de dépendances d'un coup. En revanche, il facilite aussi la correction : on peut tout auditer d'un bloc, signaler l'ensemble des paquets vulnérables et potentiellement lancer des rollbacks globaux assez facilement.
Ah non je ne critique pas le modèle (et donc je n'ai aucune proposition). AUR est très pratique et j'ai actuellement 93 paquets qui viennent de là-bas.
pacman -Qm | wc -l
93
Je dis juste qu'il est aussi dangereux qu'il est puissant donc ne pas minimiser le risque. Il faut vraiment savoir ce qu'on fait et relire avec attention les PKGBUILD y compris pour des mises à jour de trucs installés (vu la facilité avec laquelle un attaquant peut récupérer les paquets orphelins).
# la vieille affaire npm
Posté par Maderios . Évalué à 2 (+0/-0).
Condition du problème décrit ici, avoir installé le paquet npm, "JavaScript package manager"
2025
# Qui aurait pu prédire que...
Posté par David Delassus (site web personnel) . Évalué à 5 (+3/-0). Dernière modification le 14 juin 2026 à 10:23.
… un dépôt central, ou tout le monde peut publier n'importe quoi sans aucune vérification, soit la cible d'attaque ?
AUR, npm, PyPI, etc… c'est "Remote Code Execution as a Service".
https://link-society.com - https://kubirds.com - https://github.com/link-society/flowg
[^] # Re: Qui aurait pu prédire que...
Posté par Maderios . Évalué à 2 (+1/-1).
Pas vraiment. Concernant le dépôt Arch Aur, la vérification des paquets est possible avant leur compilation, tout est transparent, même pour les non-spécialistes. Il suffit de lire les PKGBUILD. Il existe même des dépôts Arch non officiels qui fournit des paquets Aur signés par des dev Arch de confiance.
https://wiki.archlinux.org/title/Unofficial_user_repositories
Personnellement, j'utilise chaotic-aur
https://github.com/chaotic-aur
https://aur.chaotic.cx/docs
PS: Concernant les dépôts PPA chez Debian, Ubuntu et dérivées, cette vérification est impossible puisqu'il s'agit de binaires.
[^] # Re: Qui aurait pu prédire que...
Posté par Faya . Évalué à 6 (+4/-0).
Si vraiment. Il n'a pas dit que la vérification est impossible, mais qu'il est possible de publier sans que personne ne vérifie. Et c'est un fait. N'importe qui peut publier un paquet sur AUR sans vérification.
Oxymore… Il y a de grandes chance qu'un non spécialiste ne détecte pas qu'un
npm installn'a rien à faire dans ce PKGBUILD. Il ne faut pas minimiser le risque que peut représenter AUR, il est bien réel.[^] # Re: Qui aurait pu prédire que...
Posté par Toto . Évalué à 1 (+0/-0).
Du coup, tu propose quoi comme modèle? Car à part créer un dépôt par projet hors distribution, je ne vois pas comment lutter contre ça.
Et même dans ce cas, on se retrouverait vite submergés par le typosquatting et autres joyeusetés du genre.
Le dépôt centralisé aide les attaquants, car il leur fournit un canal rapide pour corrompre plein de dépendances d'un coup. En revanche, il facilite aussi la correction : on peut tout auditer d'un bloc, signaler l'ensemble des paquets vulnérables et potentiellement lancer des rollbacks globaux assez facilement.
[^] # Re: Qui aurait pu prédire que...
Posté par Faya . Évalué à 4 (+2/-0).
Ah non je ne critique pas le modèle (et donc je n'ai aucune proposition). AUR est très pratique et j'ai actuellement 93 paquets qui viennent de là-bas.
Je dis juste qu'il est aussi dangereux qu'il est puissant donc ne pas minimiser le risque. Il faut vraiment savoir ce qu'on fait et relire avec attention les PKGBUILD y compris pour des mises à jour de trucs installés (vu la facilité avec laquelle un attaquant peut récupérer les paquets orphelins).
[^] # Re: Qui aurait pu prédire que...
Posté par Maderios . Évalué à 2 (+0/-0).
Pendant le grand nettoyage, les mainteneurs de Arch travaillent pour trouver une solution
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.