Salut à tous,
 
Imaginez que vous n'ayez à disposition que des PC que vous ne pouvez pas considérer comme sûrs, voire même peut-être ayant un malware.
Est-il possible dans un tel cas de créer un media d'installation pour une machine neuve qui soit 100% sûr ? Existe-il des techniques pour ce genre de situations ? Je parle de techniques un peu plus avancées que juste contrôler la checksum de l'iso. Un malware pourrait injecter des données sur le média d'installation au moment de la création par exemple.
A une époque on trouvait des CD d'installation dans des magazines. Ca pourrait être une solution, comme commander un CD en ligne. Mais si on a pas d'autre choix que d'utiliser un des PC pas sûrs, est-ce qu'on peut s'en sortir ?

Salut,
 
Si tu n'as pas du tout confiance en l'os de base il va effectivement falloir considérer qu'il n'est pas présent et donc booter sur autre chose. Ça existe toujours les cds en commande: https://www.debian.org/CD/vendors/ et il en va de même pour les magazines avec des cds. Si vraiment tu ne peux avoir recours à aucun autre PC je ne vois pas d'autre solution plus sécurisée mais c'est tout de même un drôle de cas que celui-ci.  
 

Hello,
 
Pourquoi ne pas simplement comparer le checksum du CD créé avec celui de l'ISO? S'ils sont identiques on sait qu'il n'y a pas eu d'altération malveillante ou accidentelle.
 
 
Nicolas

Un malware peut faire de choses quand tu prépares le média d'installation, sans avoir à corrompre l'iso. Si par exemple tu fais une clé USB bootable à partir d'une iso.
Stuxnet par exemple était capable d'agir comme un proxy entre un PC et une centrifugeuse pour corrompre la vitesse de rotation de cette dernière. Tu pouvais faire autant de fois la checksum du logiciel de pilotage légitime du fabricant de la centrifugeuse, tu voyais qu'elle était bonne et le logiciel montrait la vitesse attendue à l'opérateur. Et pourtant, la centrifugeuse ne tournait pas à la vitesse attendue.

Le problème devient encore plus compliqué si on a pas de lecteur optique sur la machine sur laquelle installer Linux. Juste la possibilité de le faire via clé USB.
 
En fait en postant ce message je pensais que c'était un problème classique et qu'il existait des techniques, des bonnes pratiques pour ce genre de situations.

Si tu pars du principe qu'aucune des machines n'est sure et qu'un logiciel malveillant complexe est là, alors effectivement, tu n'as aucun moyen simple d'être certains de quelque action faite sur la machine.
A fortiori, même l'installation d'un OS depuis un média sur ne sera pas suffisant (infection d'un bios ou d'un firmware).