VirtualBox appartient maintenant à Oracle

Oracle a fait l'acquisition de Sun voilà quelque mois, et petit à petit, il place sa marque sur les produits qui faisaient partie de la corbeille de la mariée. Virtualbox fait partie de ceux là, et la sortie de la version 3.2 à été l'occasion pour Oracle de marquer son territoire.

Hélas, cela a eu pour conséquence de rompre la mécanique de mise à jour automatique que j'avais installé en intégrant le dépôt de Virtualbox au sein de mes sources de logiciels.

Ce qui provoque ce petit désagrément, c'est ce qui fait la sécurité même de la mise à jour des distributions Linux. Normalement, si vous n'avez rien changé à votre distribution, tous les logiciels que vous pouvez installer, et ils sont nombreux, proviennent des dépôts de votre distribution, et surtout, ils sont signés. Ainsi, vous êtes certain qu'aucun code malicieux ne se retrouvera installé sur votre machine; et pour vérifier les signatures des paquets, votre distribution vérifie leur signature avec les certificats de ces dépôts.

Le problème, c'est que le certificat qui sert maintenant à signer les paquets de Virtualbox appartient à Oracle, alors que jusqu'à présent, c'était celui de Sun.

Son insertion dans votre magasin[1] se réalise simplement, dans un terminal, par la commande suivante :

wget -q http://download.virtualbox.org/virtualbox/debian/oracle_vbox.asc -O- | sudo apt-key add -

Pour corser le tout, comme il est maintenant d'usage avec Virtualbox, le changement de release impose une réinstallation manuelle; il est donc nécessaire de faire :

sudo apt-get install virtualbox-3.2

Le programme d'installation s'occupera tout seul de la désinstallation de la version 3.1.x précédente.

Le certificat de Sun étant devenu inutile, il peut être retiré du magasin qui sert à les ranger. Ceci peut être fait graphiquement, depuis l'interface de gestion des dépôts, mais c'est peut-être l'occasion d'apprendre à utiliser une autre commande en ligne : apt-key

Pour savoir quelle est l'identifiant de la clé à enlever, il faut commencer par demander la liste des clés contenues dans le magasin :

user@desktop:~$ sudo apt-key list
/etc/apt/trusted.gpg
--------------------
pub   1024D/437D05B5 2004-09-12
uid                  Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>
sub   2048g/79164387 2004-09-12
..........
pub   1024D/6DFBCBAE 2008-07-14
uid                  Sun Microsystems, Inc. (xVM VirtualBox archive signing key) <info@virtualbox.org>
sub   2048g/78A86EAF 2008-07-14

C'est la valeur 6DFBCBAE qui constitue cet identifiant et est importante pour la commande suivante :

user@desktop:~$ sudo apt-key del 6DFBCBAE
OK

Voilà, c'est tout; pas très impressionnant, hein ?

Cette version apporte son lot de corrections et de nouvelles fonctionnalités dont une qui risque de faire couler beaucoup d'encre, la capacité à émuler un système MAC OS X ...
Sans oublier quelques changement cosmétiques plutôt réussis.

VirtualBox, by Oracle

Notes

[1] On appele souvent 'magasin' ou 'trousseau' le lieu centralisé de stockage des clés publiques connues et de confiance. C'est le plus souvent un fichier texte.