De nombreux sites ont relayé l'information sur les dangers d'avoir le miroir debian-multimedia.org dans son sources.list, à commencer par le très officiel Bits from Debian : http://bits.debian.org/2013/06/remove-debian-multimedia.html ou tout comme entre autre linuxfr avec les billets de patrick_g : http://linuxfr.org/users/patrick_g/journaux/attention-au-depot-debian-multimedia-org et http://linuxfr.org/news/attention-au-depot-debian-multimedia-org

Ok, tout le monde est prévenu et certains ont conseillé d'utiliser en remplacement le miroir deb-multimedia.org. Soit. Moi je veux bien, même si je doute de l'utilité de cette démarche. On pourrait me répondre qu'il est nécessaire pour installer libdvdcss. Bon, à la rigueur, mais il y a plus simple comme je l'explique ici : http://cyrille-borne.com/forum/showthread.php?tid=2145 , à savoir récupérer le paquet sur deb.multimedia.org pour l'installer localement. Ou même à la rigueur, mais c'est moins simple, récupérer le tar.gz sur le site du projet : http://download.videolan.org/pub/libdvdcss/

Mais revenons au site web de deb.multimedia.org. J'ai voulu l'utiliser pour faire une recherche sur le paquet Qarte et donc j'utilise la page dédiée : http://www.deb-multimedia.org/search

Le résultat de la recherche m'a donné un lien que l'on peut voir sur la capture d'écran : DMO changes - Debian Multimedia 8 Out 2012 ... Accepted qarte 1.4.0-dmo1 (source all). Christian Marillat. 2012-10-04 11:05. 2012-10-04 18:05. Accepted handbrake 0.9.8-dmo4 (source i386). www.debian-multimedia.org/.../dmo-changes@20121008.103120.2d5bc1e0. gl.html

Et maintenant si je clic sur le lien DMO Changes Debian Multimedia va s'ouvrir une page 404 puis tout de suite après un pseudo http://debian-multimedia.org/ que l'on peut voir par la capture d'écran suivante présentant une page n'ayant rien à voir avec deb-multimedia et écrite en russe.

Alors, qui est coupable ? bien sûr à priori Google car ses liens de recherches ne sont pas à jour, mais c'est tout de même aussi le résultat indirect d'un comportement pour le moins étrange, voir irresponsable, de la part de Christian Marillat. Dommage. Mais inutile de polémiquer. Imaginons plutôt qu'à la place de cette page il y ait un lien vers un deb piégé, combien de personnes risqueraient de se faire avoir et passer outre les signatures non conformes ? Qui va systématiquement décompresser un deb récupéré sur le web pour en vérifier le fichier control, postinst, et le /usr ?

Moralité de l'histoire, pas de paranoïa inutile mais tout de même prudence et, si par mégarde il vous reste encore une ancienne référence multimedia dans votre sources.list, vite un coup de add-apt-repository -r (comme expliqué ici)

cep

p.s. si on veut installer qarte autrement que par deb-multimedia.org :

- le tar et un deb de qarte : http://oqapy.eu/releases/
- ou carrément à la source : http://bazaar.launchpad.net/~vincent-vandevyvre/qarte/trunk/files à utiliser de préférence avec la commande bzr branch lp:qarte

Original post of Cyrille BORNE.Votez pour ce billet sur Planet Libre.