Chapitre 17 Choisir, vérifier et installer un logiciel
Cette partie propose quelques recettes à propos de la gestion de ses logiciels :
- Sur quels critères choisir un logiciel ? On doit parfois choisir un logiciel pour effectuer une certaine tâche, et il est alors possible de se perdre dans la multitude de solutions disponibles… On trouvera dans ce chapitre quelques critères permettant de prendre une décision adéquate.
- Comment trouver et installer un logiciel avec Debian ? Lorsqu’on cherche à réaliser de nouvelles tâches avec un ordinateur, cela nous amène à installer de nouveaux logiciels. On trouvera dans ce chapitre quelques conseils pour trouver ce que l’on cherche dans Debian.
- Comment installer des paquets sur Debian ? On a parfois besoin de paquets qui complètent des logiciels ou peuvent avoir leur propre rôle.
- Comment ajouter des dépôts Debian ? Les logiciels qui sont téléchargés par le système Debian se trouvent dans ce qu’on appelle des dépôts. Si les dépôts fournis avec Debian contiennent quasiment tous les logiciels dont on peut avoir besoin, il est parfois utile d’en ajouter de nouveaux.
17.1 Critères de choix
Durée : Une demi-heure à une heure.
On doit parfois choisir un logiciel pour effectuer une certaine tâche, et il est alors possible de se perdre dans la multitude de solutions disponibles. Voici donc quelques critères permettant de prendre une décision adéquate.
L’intérêt d’utiliser des logiciels libres par rapport à des logiciels propriétaires ou même open source a d’ores et déjà été expliqué. La suite du texte s’attachera donc uniquement à départager les logiciels libres disponibles.
17.1.1 Distribution
Il est généralement préférable d’installer des logiciels fournis par sa distribution GNU/Linux (par exemple, Debian). Il y a deux principales raisons à ça.
Tout d’abord, une question pratique : la distribution fournit les outils pour installer et mettre à jour, de façon plus ou moins automatisée, un ensemble de logiciels ; elle nous alerte lorsque l’un des logiciels que l’on utilise peut être mis à jour, par exemple pour corriger une faille de sécurité. Mais dès lors qu’on installe un logiciel qui n’est pas fourni par sa distribution, il faut penser à le mettre à jour soi-même, se tenir informée des failles de sécurité qui y sont découvertes, gérer les dépendances entre logiciels, etc. Ça demande des efforts, du temps, des compétences.
D’autre part, une question de politique de sécurité : lorsqu’on a choisi sa distribution GNU/Linux, on a implicitement décidé d’accorder une certaine confiance à un ensemble de gens, à un processus de production. Installer un logiciel qui n’est pas fourni par sa distribution implique de prendre une décision similaire à propos d’un nouvel ensemble de gens, d’un nouveau processus de production. Une telle décision ne se prend pas à la légère : lorsqu’on décide d’installer un logiciel n’appartenant pas à sa distribution, on élargit l’ensemble des personnes et processus à qui on accorde de la confiance, et on augmente donc les risques. Par exemple, sans quelques précautions, on peut rapidement se retrouver à télécharger un virus.
17.1.2 Maturité
L’attrait de la nouveauté est bien souvent un piège : un logiciel en plein développement peut contenir des problèmes majeurs qui n’ont pas encore été découverts.
Mieux vaut, autant que possible, choisir un logiciel activement développé et qui a atteint une certaine maturité. Dans un logiciel développé et utilisé depuis au moins quelques années, il y a des chances que les plus gros problèmes aient déjà été découverts et corrigés… y compris les failles de sécurité.
Pour s’en rendre compte, on peut consulter l’historique des logiciels. On les trouve généralement sur leur site web en faisant une recherche avec des termes comme historique, release, news ou changelog. Si on constate qu’il y a beaucoup de mises à jour et surtout des mises à jour récentes, ça veut dire que le logiciel est toujours entretenu.
17.1.3 Processus de production et « communauté »
L’étiquette logiciel libre est un critère essentiellement juridique, qui ne doit jamais suffire à nous inspirer confiance.
Certes, le fait qu’un logiciel soit placé sous une licence libre ouvre la possibilité de modes de développement inspirant confiance. Mais les personnes développant ce logiciel peuvent fort bien, intentionnellement ou non, décourager toute coopération et travailler en vase clos. Que nous importe alors que le programme soit juridiquement libre, si, de fait, personne d’autre ne lira jamais son code source ?
Il convient donc d’étudier rapidement le processus de production des logiciels, en s’aidant des questions suivantes, qui nous permettront de surcroît de jauger le dynamisme du processus :
- Qui développe ? Une personne, des personnes, toute une équipe ?
- Le nombre de personnes qui contribuent au code source va-t-il en augmentant ou en diminuant ?
- Le développement est-il actif ? Il ne s’agit pas ici de vitesse pure, mais de réactivité, de suivi à long terme, de résistance. Le développement logiciel est une course d’endurance et non un sprint.
Et à propos des outils de communication collective sur lesquels s’appuie le développement (listes et salons de discussion, par exemple) :
- A-t-on facilement accès aux discussions guidant le développement du logiciel ?
- Ces discussions rassemblent-elles de nombreuses personnes ?
- Ces personnes participent-elles à son développement, ou ne font-elles que l’utiliser ?
- Quelle atmosphère y règne t-il ? Calme plat, silence de mort, joyeuse cacophonie, sérieux glaçant, bras ouverts, hostilité implicite, tendre complicité ? (Mais aussi : blagues sexistes, remarques racistes ?)
- Le volume de discussion, sur les derniers mois/années, va-t-il en diminuant ou en augmentant ? Plus que le volume brut, c’est surtout la proportion de messages obtenant des réponses qui importe : un logiciel mûr, stable et bien documenté ne sera pas forcément source de discussions, mais si plus personne n’est là pour répondre aux questions des néophytes, ça peut être mauvais signe.
- Peut-on trouver des retours d’utilisation, des suggestions d’améliorations ? Si oui, sont-elles prises en compte ?
- Les réponses sont-elles toujours données par un nombre réduit de personnes, ou existe-t-il des pratiques d’entraide plus larges ?
17.1.4 Popularité
La popularité est un critère délicat en matière de logiciels. Le fait que la grande majorité des ordinateurs de bureau fonctionnent actuellement sous Windows n’indique en rien que Windows soit le meilleur système d’exploitation disponible.
Pour autant, si ce logiciel n’est pas utilisé par beaucoup de monde, on peut douter de sa viabilité à long terme : si l’équipe de développement venait à cesser de travailler sur ce logiciel, que deviendrait-il ? Qui reprendrait le flambeau ?
On peut donc retenir, comme règle générale, qu’il faut choisir un logiciel utilisé par un nombre suffisamment important de personnes, mais pas forcément le logiciel le plus utilisé.
Afin de mesurer la popularité d’un logiciel, il est possible, d’une part, d’utiliser les mêmes critères que ceux décrits ci-dessus au sujet du dynamisme de la « communauté » formée autour de lui. On peut aussi regarder dans Logiciels l’évaluation d’une application, en ne se fiant pas uniquement à la note mais aussi au nombre de personnes ayant voté. Par exemple, on préfèrera une application qui est notée de trois étoiles avec 295 votes à une autre ayant cinq étoiles mais seulement 19 votes. D’autre part, Debian publie les résultats de son concours de popularité169, qui permet de comparer non seulement le nombre de personnes ayant installé tel ou tel logiciel, mais aussi, voire surtout, l’évolution dans le temps de leur popularité.
17.1.5 Passé de sécurité
On peut aussi jeter un œil sur le suivi de sécurité170 proposé par Debian. En y cherchant un logiciel par son nom, on peut avoir la liste des problèmes de sécurité qui y ont été découverts et parfois résolus.
Si ce logiciel a un historique de sécurité parfaitement vierge, ça peut impliquer : soit que tout le monde s’en fout, soit que le logiciel est écrit de façon extrêmement rigoureuse.
Si des failles de sécurité ont été découvertes dans le logiciel étudié, il y a plusieurs implications, parfois contradictoires.
Ces failles ont été découvertes et corrigées :
- donc elles n’existent plus, a priori ;
- donc une personne s’est préoccupé de les trouver, et une autre de les corriger : on peut supposer qu’une attention est donnée à cette question.
Mais ces failles ont existé :
- le logiciel est peut-être écrit sans que la sécurité soit un souci particulier ;
- d’autres failles peuvent subsister, non encore découvertes ou pire, non encore publiées.
Afin d’affiner notre intuition par rapport à ce logiciel, il peut être bon de se pencher sur le critère « temps ». Par exemple, il n’est pas dramatique que quelques failles aient été découvertes au début du développement d’un logiciel et si aucune n’a été découverte depuis quelques années, on peut alors mettre ça sur le compte des erreurs de jeunesse. Au contraire, si de nouvelles failles sont découvertes régulièrement, depuis des années, et jusqu’à très récemment, il est fort possible que le logiciel ait encore de nombreux problèmes de sécurité totalement inconnus… ou non publiés. Tout comme un nombre relativement élevé de failles, même récentes peut indiquer une communauté de développement active et être meilleur signe qu’aucune faille de sécurité pour un logiciel dont très peu de personnes s’occupent au final.
17.1.6 Équipe de développement
Qui a écrit ce logiciel ? Qui le maintient ? Si l’on a réussi à répondre à ces questions, divers indices peuvent nous aider à déterminer la confiance qui peut être accordée à l’équipe de développement. Par exemple :
- Les mêmes personnes ont aussi écrit un autre logiciel que nous utilisons déjà intensivement ; nos impressions sur cet autre logiciel sont tout à fait pertinentes dans le cadre de cette étude.
- Des membres de l’équipe de développement ont des adresses qui
finissent par
@debian.org
et ont donc le droit de modifier les logiciels fournis par Debian GNU/Linux ; si nous utilisons cette distribution, nous accordons déjà, de fait, une certaine confiance à ces personnes. - Des membres de l’équipe de développement ont des adresses qui
finissent par
@google.com
, ce qui montre que Google les paie ; s’il n’y a aucun doute à avoir sur leurs compétences techniques, on peut se demander à quel point leur travail est téléguidé par leur employeur qui, lui, n’est digne d’aucune confiance quant à ses intentions concernant nos données personnelles.
17.2 Trouver et installer un logiciel
Durée : De cinq minutes (si on connaît le nom du logiciel) à une demi-heure (si l’on part de zéro), plus le temps de téléchargement et d’installation (quelques secondes à plusieurs heures selon la taille des logiciels à installer et la vitesse de la connexion).
Parfois, on connaît déjà le nom du logiciel (aussi appelé application) que l’on souhaite installer — parce qu’on nous l’a conseillé, parce qu’on l’a trouvé sur Internet — et l’on veut savoir s’il est dans Debian. D’autres fois, on connaît seulement la tâche que l’on souhaiterait que le logiciel remplisse. Dans tous les cas, la base de données des logiciels disponibles dans Debian répondra certainement à nos questions.
Pour faire des choix éclairés, lorsque plusieurs logiciels permettent d’effectuer une même tâche, voir le chapitre qui propose des critères pour choisir un logiciel.
- Ouvrir l’application Logiciels :
afficher la vue d’ensemble des Activités en appuyant sur la touche
(⌘
sur un Mac), puis taper
logic
dans la barre de recherche et cliquer sur Logiciels. - Ensuite, il y a deux techniques pour chercher une application :
- soit cliquer sur l’icône en haut à gauche. Taper le nom de l’application dans la barre de recherche. C’est aussi possible de taper des mots-clés mais les descriptions des applications ne sont pas toujours traduites en français. Avec quelques bases d’anglais, il est souvent intéressant d’essayer des mots-clés dans cette langue.
- soit sélectionner une catégorie dans le bas de la page (par exemple Jeux).
- Les résultats de la recherche s’affichent. En cliquant sur l’icône d’un logiciel, sa description apparait.
On peut installer le logiciel qui nous intéresse une fois trouvé. Il est nécessaire d’être connectée à Internet puisque les logiciels sont installés à partir de paquets qui sont téléchargés en ligne sur ce qu’on appelle des dépôts.
- Cliquer sur le bouton Installer sous le logo et le titre du logiciel.
- Puisqu’on va installer une nouvelle application, on nous demande notre mot de passe.
- Logiciels installe la nouvelle application.
- Quitter l’application Logiciels.
17.3 Trouver et installer un paquet Debian
Durée : Dix minutes, plus le temps de téléchargement et d’installation (quelques secondes à plusieurs heures selon la taille des paquets à installer et la vitesse de la connexion).
On a parfois besoin de paquets. Les paquets permettent d’installer les logiciels, mais ils peuvent aussi les compléter ou avoir leur rôle propre.
Pour installer des paquets on peut utiliser le logiciel Gestionnaire de Paquet Synaptic.
17.3.1 Trouver un paquet Debian
- Ouvrir le Gestionnaire de paquets : afficher la vue d’ensemble des
Activités en appuyant sur la touche (⌘
sur un Mac), puis taper
paquet
et cliquer sur Gestionnaire de paquets Synaptic. - Puisque le gestionnaire de paquets permet de modifier les logiciels installés sur l’ordinateur, et donc de choisir à quels programmes on fait confiance, on est rassurée qu’il nous demande notre mot de passe pour s’ouvrir.
- Une fois dans le gestionnaire de paquets, commençons par recharger la liste des paquets disponibles en cliquant sur l’icône Recharger. Le gestionnaire de paquets télécharge alors les dernières informations sur les paquets disponibles depuis un serveur Debian.
- Ensuite, il y a deux techniques pour chercher un paquet :
- soit cliquer sur l’icône Rechercher à droite dans la barre d’outils. Là, vérifier que Description et nom est bien sélectionné dans Rechercher dans. Taper des mots-clés ou un nom d’application dans la case Rechercher (par exemple « dictionnaire allemand openoffice »). Les descriptions des applications peu courantes sont rarement traduites en français. Avec quelques bases d’anglais, il est souvent intéressant d’essayer des mots-clés dans cette langue ;
- soit cliquer sur Catégorie dans la colonne de gauche, choisir la catégorie semblant adaptée au paquet.
- Les résultats de la recherche ou les paquets de la catégorie s’affichent alors dans une liste. En cliquant sur le nom d’un paquet, sa description apparaît dans le cadre en bas. Reste maintenant à installer le paquet correspondant.
17.3.2 Sélectionner le paquet à installer
Pour l’installation proprement dite du paquet trouvé précédemment, il y a différentes façons de faire selon que l’on souhaite utiliser la version par défaut, disponible dans les dépôts officiels de sa distribution ou un paquet provenant d’un autre dépôt, par exemple pour avoir une version plus récente.
17.3.2.1 Pour installer la version par défaut
Normalement, le paquet désiré se trouve maintenant quelque part dans la liste de paquets. Une fois trouvée la ligne correspondante, on clic-droit dessus, et dans le menu qui apparaît on choisit Sélectionner pour installation.
Parfois, pour le bon fonctionnement de ce à quoi servira le paquet, il est nécessaire d’en installer d’autres. Par exemple, si plusieurs logiciels utilisent un même paquet, pour que celui-ci ne soit installé qu’une seule fois il n’est pas contenu dans chacun des logiciels, mais il existe séparément et les logiciels s’y réfèrent. Si le paquet à installer dépend d’autres paquets, le gestionnaire ouvre une fenêtre où il demande s’il doit Prévoir d’effectuer d’autres changements ? En général, ses propositions sont pertinentes, et on peut accepter en cliquant sur Ajouter à la sélection.
17.3.2.2 Pour installer une version particulière
Parfois, on souhaite installer une version particulière d’un paquet parmi celles disponibles, par exemple, si on a ajouté des dépôts spécifiques. Au lieu de choisir Sélectionner pour installation dans le menu contextuel, on sélectionne le paquet désiré d’un clic gauche sur son nom, sans cliquer sur la case à cocher. Puis on va dans le menu déroulant Paquet, et on choisit Forcer la version…. Sélectionner alors la version désirée. Si cette option est grisée, c’est qu’elle n’est pas disponible car il n’y a qu’une seule version du paquet. La suite ne change pas.
17.3.3 Appliquer les modifications
Il est possible de répéter les deux dernières étapes pour installer plusieurs paquets en même temps. Une fois qu’on a préparé ces installations, il ne reste qu’à les lancer en cliquant sur Appliquer dans la barre d’outils. Le gestionnaire de paquets ouvre alors une fenêtre Résumé où il liste tout ce qu’il va faire. Après avoir jeté un œil pour vérifier qu’on ne s’est pas trompée, on clique sur Appliquer.
Le gestionnaire de paquets télécharge alors les paquets depuis Internet, les vérifie, puis les installe. Il peut arriver que le gestionnaire indique que certains paquets n’ont pas pu être vérifiés : cette information n’est pas à prendre à la légère. Dans un tel cas, il vaut mieux annuler le téléchargement, cliquer sur Recharger dans le menu principal, et recommencer l’opération de sélection des paquets. Si l’indication apparaît de nouveau, cela peut être le fruit d’une attaque, d’une défaillance technique ou de soucis de configuration. Mais autant s’abstenir d’installer de nouveaux paquets avant d’avoir identifié la source du problème.
Enfin, si tout s’est bien passé, le gestionnaire de paquets affiche une fenêtre comme quoi Les modifications ont été appliquées et on peut donc cliquer sur Fermer. Pour finir, fermer le gestionnaire de paquets pour éviter qu’il ne tombe entre d’autres mains.
17.4 Ajouter des dépôts
Durée : Un quart d’heure à une demi-heure.
Les paquets Debian qui contiennent les programmes se trouvent dans ce qu’on appelle des dépôts. Si les dépôts fournis avec Debian contiennent quasiment tous les logiciels dont on peut avoir besoin, il est parfois utile :
- d’installer des logiciels plus récents que ceux contenus dans la dernière version stable de Debian, dits backports, ou rétroportés en français ;
- d’installer des logiciels non-libres (non-free, par exemple des microprogrammes) ou fournis par des tiers (contrib, par exemple le navigateur Tor).
Attention : ajouter un nouveau dépôt Debian sur un ordinateur revient à décider de faire confiance aux gens qui s’en occupent. Si les dépôts de backports dont on parle ici sont maintenus par des membres de Debian, ce n’est pas le cas pour de nombreux autres dépôts. La décision de leur faire confiance ne doit pas se prendre à la légère : si le dépôt en question contient des logiciels malveillants, il serait possible de les installer sur l’ordinateur sans même s’en rendre compte.
17.4.1 Ouvrir Software & Updates
Ouvrir le Software & Updates : pour cela afficher la vue d’ensemble des
activités en appuyant sur la touche (⌘
sur un Mac), puis taper softw
et cliquer sur Software & Updates.
17.4.2 Désactiver les supports d’installation locaux
Comme indiqué dans le chapitre précédent, suivant l’image d’installation utilisée pour installer Debian, il se peut que le système de gestion des paquets demande à ce que l’on ait toujours ce support d’installation branché sur l’ordinateur afin de pouvoir faire la mise à jour de la liste des paquets disponibles.
Afin d’éviter cela, il faut désactiver les dépôts de ce support
d’installation : dans l’onglet Other Software, décocher toutes les lignes
commençant par cdrom:
.
17.4.3 Configurer l’emplacement du dépôt
17.4.3.1 Pour installer les logiciels rétroportés
Cliquer sur l’onglet Other Software, puis sur le bouton Add.
Dans Ligne APT entrer le répertoire APT à ajouter :
deb http://deb.debian.org/debian/ bullseye-backports main
Dans ce cas, la version du dépôt est bullseye-backports et la catégorie est main.
Une fois que c’est fait, cliquer sur Ajouter une source de mise à jour.
Puisque ce logiciel modifie à quels programmes on fait confiance, on est rassuré qu’il nous demande notre mot de passe.
17.4.3.2 Pour installer les logiciels non-libres ou fournis par des tiers
- Dans l’onglet Debian Software, sélectionner
en fonction de ses besoins
- contrib pour ajouter les logiciels fournis par des tiers ;
- non-free pour ajouter les logiciels non-libres.
Puisque ce logiciel modifie à quels programmes on fait confiance, on est rassuré qu’il nous demande notre mot de passe.
17.4.4 Mettre à jour les paquets disponibles
Il reste ensuite à fermer la fenêtre Software & Updates en cliquant sur le bouton Fermer. Il est possible qu’une fenêtre Les informations sur les logiciels disponibles sont obsolètes apparaisse, auquel cas il faudra cliquer sur Actualiser. Une fenêtre Cache Refresh (« rafraîchissement du cache », en français) apparaît pour montrer la progression du téléchargement des listes de paquets disponibles. Cette fenêtre ainsi que celle de Software & Updates se ferment automatiquement une fois le rafraîchissement terminé.
Pour installer un paquet à partir des rétroportages, suivre l’outil installer un paquet et choisir d’installer une version particulière lorsque la question se présente.
Debian.org, 2014, Debian Popularity Contest (en anglais).↩︎
L’équipe de sécurité de Debian maintient des informations pour chacun des paquets, visibles sur le security tracker (en anglais), site où il est possible de faire une recherche avec le nom du logiciel.↩︎