Le blog de Genma
Vous êtes ici : Accueil » Veille Technologique » Comment vérifier l’intégrité de Firefox quand on le télécharge ?

Comment vérifier l’intégrité de Firefox quand on le télécharge ?

D 26 septembre 2014     H 09:30     A Genma     C 4 messages   Logo Tipee

TAGS : GPG Planet Libre

Le but est de montrer, via un cas concret, une sorte de tutoriel, une application de mon billet théorique Comment vérifier l’intégrité d’un fichier que l’on télécharge ?.

Pour ce faire, on se rend sur la page de téléchargement de Firefox https://www.mozilla.org/en-US/firefox/all/.

Le lien qui est fourni est un lien vers https://download.mozilla.org/?product=firefox-stub&os=win&lang=fr

Ce lien ne nous intéresse pas. Il nous faut "le vrai lien". Pour ce, dans la fenêtre de téléchargement de l’exécutable, on récupère le chemin vers la source du fichier téléchargé. A savoir https://download-installer.cdn.mozilla.net/pub/firefox/releases/32.0.3/win32/fr/Firefox%20Setup%2032.0.3.exe

On utilise ce chemin pour remonter dans l’arborescence du serveur, au niveau de https://download-installer.cdn.mozilla.net/pub/firefox/releases/32.0.3/

Là, on aura les différents sous répertoires des différentes versions de Firefox pour les différents systèmes d’exploitations, mais surtout, c’est là que l’on trouvera différents fichiers :
 MD5SUMS et MD5SUMS.asc
 SHA1SUMS et SHA1SUMS.asc
 SHA512SUM et SHA512SUMS.asc

Si on regarde le contenu du fichier MD5SUMS, il contient pour tous les fichiers que l’on peut télécharger le hash (MD5) des exécutables.

Le MD5SUMS.asc est la signature numérique (GPG) du fichier contenant les hashs.

On vérifie que le fichier contenant les signatures est bon (application de Comment vérifier l’intégrité d’un fichier que l’on télécharge ?) via un

gpg --verify MD5SUMS.asc MD5SUMS

Puis on fait un

md5sum FirefoxSetup32.0.3.exe

et on compare le résultat obtenu (par exemple 36daf51ab56a8b56acbe727e843a7304) à celui contenu dans le fichier MD5SUMS.

Si les deux codes correspondent, le FirefoxSetup32.0.3.exe est bon. On peut l’installer en confiance.

Conclusion

De cette façon, je sais que mon fichier Firefox.exe est bon, n’a pas été corrompu et est bien celui que Mozilla propose au téléchargement (il ne sera pas une version modifié pour ajouter des spywares par exemple).

Ce n’est pas le binaire de Firefox OS qui est signé numériquement, mais le fichier des signatures, ce qui est mieux que rien. (Par exemple, dans le cas du TorBrowser , c’est l’exécutable de l’installeur qui est signé mais il est vrai qu’il y a beaucoup moins de versions différentes).

Sur le même sujet
 Comment vérifier l’intégrité d’un fichier que l’on télécharge ?.
 Comment vérifier l’intégrité du TorBrowser quand on le télécharge ?.

4 Messages

  • Bonjour,
    Oui je suis d’accord avec toi, il faut vérifier l’intégrité d’un logiciel (enfin quand il est libre, sinon c’est sans sans intérêt, les spywares sont inclus d’office...), et c’est très bien que tu contribues a cette pratique :-)
    Mais ce c’est pas une garantie à 100%, car si un tiers a pu corrompre le fichier que l’on télécharge il a pu aussi corrompre son empreinte SHA/MD5.
    Mais après ça devient compliquer, de s’assurer l’intégrité d’un logiciel, il faudrait télécharger les sources, les auditer, puis les compiler, et là ce n’est pas à la portée de tout le monde et même ceux dont c’est à la porté c’est un bien trop gros effort (surtout de le faire cela avec tous les logiciel que l’on installe...), et donc le donc le mieux c’est comme tu le dis de vérifier l’empreinte car il est facile pour l’éditeur (dans de cas Firefox : Mozilla) de noter l’empreinte de est vérifier régulièrement que c’est toujours la bonne, mais des attaques man in the middle restent toujours possible, mais elles vont être dédier à des cibles particulières et non utilisé en masse, donc pour monsieur et madame tout le monde, la vérification de l’empreinte devrait être suffisante, mais elle ne l’est pas pour un hacktiviste...


  • Inutile de comparer la somme de contrôle à la main : la commande md5sum (ou mieux, la commande sha512 puisque les sommes SHA-512, plus fiables, sont fournies) dispose d’une option -c (pour check) pour cela :

    sha512sum -c SHA512SUMS


  • D’ailleurs, pour la vérification de la signature, on peut également simplifier la commande :

    gpg SHA512SUMS.asc

    (GnuPG, voyant ce qu’on lui donne comme fichier, fait la seule chose sensée à faire avec : vérifier cette signature pour le fichier portant le même nom sans l’extension .asc)


  • DAOKA, le fichier KEY de Mozilla (clé GPG utilisé pour la signature) est délivré en HTTPS, contrairement à l’exe, ce qui apporte un sécurité supplémentaire.