Name: Tremplin Numérique
Price range: $$$

Après une vague de logiciels malveillants dans le référentiel d'utilisateurs Arch (AUR), un système de packaging AUR, Chaotic-AUR, prend en réponse des mesures pour accroître la confiance et réduire les risques que des logiciels malveillants atteignent les utilisateurs d'Arch Linux. Sur la base de ce système, certaines mises à jour de packages seront signalées pour examen humain avant d'être rendues publiques.

Chaotic-AUR, un référentiel de packages contenant des logiciels précompilés de l'AUR, introduit un système de confiance des responsables pour réduire les cas où des personnes reçoivent des packages infusés de logiciels malveillants de Chaotic-AUR. Le nouveau système impliquera une liste de mainteneurs de confiance, vraisemblablement des personnes compilant des logiciels pour Chaotic-AUR et connues pour être des individus dignes de confiance sans antécédents de propagation de logiciels malveillants.

Les développeurs de Chaotic-AUR affirment qu'avant la publication des mises à jour logicielles, les responsables de ce logiciel seront vérifiés par rapport à la liste des responsables de confiance. Si tous les responsables sont fiables, rien d'inhabituel ne se produira et la mise à jour sera envoyée aux personnes accédant à Chaotic-AUR normalement.

Si l'un des responsables ne figure pas sur la liste de confiance, la mise à jour peut alors être retenue pour examen, en fonction du type de mise à jour dont il s'agit. S'il s'agit d'un changement de paquet ou de hachage inoffensif, rien ne se passera. S'il s'agit d'un autre type de mise à jour, un humain devra alors examiner la mise à jour avant qu'elle ne soit envoyée aux personnes utilisant Chaotic-AUR.

C'est agréable de voir des mesures de sécurité prises, mais il n'est pas clair comment cette limitation des mises à jour non fiables affectera l'expérience des personnes utilisant Chaotic-AUR. Les développeurs l’ont eux-mêmes déclaré avec ce commentaire :

Bien que nous ne puissions pas encore dire dans quelle mesure l'examen de la partie non fiable des mises à jour des packages sera durable, il s'agit certainement d'une bonne étape à franchir pour aller de l'avant. Peut-être que cela ouvre également la porte aux gens pour contribuer, par exemple en examinant les mises à jour des packages créées via PR 😇 (si quelqu'un est intéressé : informez-en l'équipe !)

Le principal avantage de l’utilisation de Chaotic-AUR est d’éviter de compiler vous-même le logiciel AUR. Fondamentalement, il vous permet d'installer des logiciels à partir de l'AUR en utilisant les mêmes commandes pacman que vous le feriez normalement pour tout autre package Arch. Vous n'avez pas non plus besoin de savoir comment gérer les PKGBUILD, ni d'installer des packages avec yay.

L'AUR lui-même est un référentiel distinct des référentiels Arch Linux standard : core, extra et multilib. Dans l'AUR, les contributeurs peuvent être essentiellement toute personne ayant envie d'écrire un script PKGBUILD et de le télécharger. Cela a pour effet à la fois d'accélérer l'accès des utilisateurs aux mises à jour logicielles et d'exposer ces personnes à des abus. Les abus sous forme de logiciels malveillants ont sensiblement augmenté ces derniers temps, comme le CHAOS RAT qui est apparu dans certains forks de Firefox en juillet 2025, et un autre qui a été trouvé dans un package de Google Chrome quelques jours plus tard.

En tant que consommateur occasionnel de Chaotic-AUR, je suis heureux de voir que des mesures de sécurité sont prises. Néanmoins, je serais intéressé d'en savoir plus sur la façon dont les gens gagnent et conservent leur place sur la liste des responsables de confiance. Comme l'ont noté les développeurs, je m'intéresse également à la rapidité avec laquelle les mises à jour non fiables seront examinées et approuvées (ou rejetées).