Le numéro 2 de la revue MISC est enfin dans les kiosques.

Au sommaire :

• Champ libre
  
  
  
  • Exécution de commandes arbitraires sans Active scripting ou ActiveX
  
  
  • Le ver Code-Red
  
  
  • La loi "Godfrain" à l'épreuve du temps
  
  
  • Le transfert inconscient
  
  
  
  


• Dossier
  
  
  
  • Modèle de sécurité du système Windows
  
  
  • Cassage et durcissement des mots de passe
  
  
  • Les partages Windows au quotidien
  
  
  • Sécurisation de Windows 2000
  
  


• Programmer
  
  
  
  • Petits débordements de tampon dans la pile
  
  
  • Exploitation distante et automatique d'un bogue de format
  
  
  
  


• Système
  
  
  
  • Comment sécuriser Solaris 2.6
  
  
  
  


• Réseau
  
  
  
  • Architecture d'un réseau sécurisé
  
  
  • Protection de l'infrastructure réseau IP
  
  
  • IPsec
  
  
  
  


• Sciences
  
  • Cryptanalyse des chiffremenst à clef secrète par blocs
  
  

A noter, le prix de cette revue de qualité est passé de 5,95 à 7,45 Euros



Bonne lecture.

Microsoft est connu pour ses engagements contre les méchants qui postent des failles de sécurité avant que le correctif ne soit disponible et encourage les découvreurs d'une faille a prévenir MS avant toutes choses. Ce qui est plus drole c'est que cela permet à MS de retarder ou de refuser de corriger une faille de sécurité.

Le dernier gag en date concerne le bouton « précédent » d'Internet Explorer. Un bogue permet de s'affranchir des "préférences sécurité" en vigueur. Il a été découvert et signalé en novembre 2001 à MS. En février 2002, MS a daigné répondre au découvreur que « pour exploiter la faille, il fallait que l'auteur malveillant "oblige" l'internaute à faire un retour en arrière, ce qui ne constituerait pas un scénario à risque pour les utilisateurs qui se servent correctement de leur navigateur ». Bref en langage clair « le correctif, tu peux l'attendre longtemps ».

On voit bien comment certaines boites prétendent faire de la sécurité. En cas de découverte, ne signalez rien à l'entreprise, postez directement sur Bugtraq vous avez plus de chance que cela force l'editeur à sortir un patch.

Note du modérateur : le dernier paragraphe ne reflète que l'avis de son auteur. La procédure habituelle est d'informer l'éditeur et s'il n'a toujours fait rien après un certain délai, de rendre l'information publique.

Don Marti et Richard Vernon ont récemment eu la chance de pouvoir passer un peu de temps avec Ted Ts'o pour parler avec lui de son rôle dans le développement du noyau Linux, d'IBM et de la communauté Linux. Ted semble être partout au sein de la communauté Linux -- dans le noyau et en dehors aussi.

Il est l'un des principaux membre de l'équipe technique du « Linux Base Technology Team » au centre de Technologie Linux d'IBM. Il siège aussi au « Technical Board of Linux International », oeuvre au niveau du directoire du « Free Standards Group », est membre de l'Internet Engineering Task Force (IETF) et travaille au « Security Area Directorate » de l'IETF.

Avant cela, il a (aussi !) travaillé dans le domaine des systèmes d'information au MIT, où il était le chef de projet de Kerberos. Et en parallèle à tous cela, il a joué un rôle essentiel dans le développement du noyau Linux.

Un pointure s'exprime !

Le site de dépêches LinuxQuestions.org vient d'ajouter un nouveau forum dédié à ... BSD en raison de l'intérêt grandissant pour ces systèmes.
Le texte exact de la dépêche sur LinuxQuestions étant :
« Due to the increase in BSD related questions I have added a BSD forum. All the BSD's are fair game - FreeBSD, OpenBSD, NetBSD, etc. »

Voici enfin la première Release Candidate de Mozilla 1.0

Parmi les changements on peut citer :

- Correction du bug qui empêchait de visualiser correctement le source d'une page dynamaique
- Réorganisation des menus contextuels
- Support de LDAP/SSL et réplication de carnet d'adresse LDAP
- Support des accusés de réception pour les courriels
- Possibilité de définir une taille minimale pour les fontes
- Nouveau gestionnaire de téléchargement

Une ombre au tableau : le bogue qui gèle Mozilla lorsque l'on essaye de visualiser du flash qui utilise le son alors que le périphérique est occupé n'est pas encore corrigé.

Une fois de plus Microsoft applique le fameux principe du «Embrace and Extend» en modifiant allègrement le protocole 802.11 pour l'intégrer dans des périphériques gérés majoritairement par le CPU ou la carte réseau.

Après les winmodems, voici venu le temps du winwireless...

A noter que l'article explique clairement les défauts du winmodem ce qui est rare sur ce type de site de news.

WineX 2.0 est sorti !
Avec le support de directx 8, un grand nombre de titres deviennent directement jouables sous Linux. Entre autres, Max Payne et Jedi Knight qui marchent parfaitement.

Quelqu'un pour tester avec EverQuest ?

Note du modérateur : WineX permet de faire tourner des logiciels pour Windows sous une plateforme GNU/Linux, avec ou sans Windows installé sur la même machine.

Bon c'est pas du Linux, mais voir que quelqu'un a connecté un Commodore sur internet et en a fait un serveur internet avec streaming audio via le lecteur de cassette, il faut en parler un peu.

Depuis quelques temps déjà nous disposons d'un player/plugin flash pour notre OS. Cepedant le player Shockwave/Director se faisant attendre, j'ai pris l'initiative (vachement gonflé le mec !) d'écrire à wish-director@macromedia.com pour leur indiquer que ce serait une super bonne idée que de sortir une version Linux.

J'ai d'abord reçu un auto-reply me disant que mon courrier allait être lu, je n'y ai pas cru... Mais peu de temps après (6 heures), j'ai reçu un courriel du spécialiste produit de l'équipe de Director. Ce dernier m'informait que pour le moment aucune version Linux n'était prévue, car la demande n'était pas suffisante pour justifier ce développement, mais que s'ils recevaient suffisamment de demandes ils se lanceraient dans l'aventure...

C'est pourquoi je profite de ce lieu d'expression qu'est http://linuxfr.org pour lancer un débat : pensez-vous que ce soit une bonne idée de voir débarquer un module propriétaire de plus sous Linux, si celui permet de s'affranchir un peu plus de Windows ?

Je pense à cela car j'enseigne les bases de l'informatique à mes enfants (7 ans tous les deux) et Linux fait partie de la 'formation'. Mais pendant les moments récrée, ils adorent visiter les sites de dessins animés et nombre de jeux sont créés avec Shockwave, et je suis triste de les entendre dire : « Je veux utiliser l'autre système (devinez lequel...), celui où Internet marche ».

Un article intéressant sur Fortune.com décrit les différentes méthodes utilisées par Microsoft afin de se mettre dans la poche le gouvernement américain.

On apprend ainsi qu'en plus des importants montants versés pour différentes "causes" (4,6 million de $ en 2000 à différents candidats, républicains et démocrates confondus), ils utilisent des tactiques plus subtiles afin de s'attirer la sympathie des hommes politiques, telles qu'en expliquants les nouvelles technologies aux politiciens perdus dans le jargon informatique (comme c'est gentil de leur part...)

Notez aussi le petit bandeau "Sponsored by Microsoft" en haut de l'article ;)

Note du modérateur : un cours de lobbying, ici appliqué par MS, mais on peut imaginer que les autres font de même...

La bibliothèque de développement de jeux vidéos ClanLib est sortie dans sa version stable 0.6.1 (une version 0.6.0 avait été annoncée sur la liste de diffusion le 1er avril, mais était vraiment boguée).

Ca faisait longtemps qu'on n'avait pas entendu parler de cette bibliothèque qui monte, qui monte...

Unlimit, le client Linux pour obtenir une URL fixe a partir des services d'Ulimit évolue.
Il permet aujourd'hui la redirection d'URL Ulimit et DynDNS (les commentaires d'une précédente dépêche m'ont incité à bosser dessus).

Le site est actuellement hebergé sur une ligne ADSL netissimo 1 et maintenue en fonction par Unlimit lui même.

Tous les commentaires constructifs sur des fonctions manquantes ou des bogues sont les bienvenus.

Note du modérateur : le client est sous GPL.

Suite a la diffusion d'une dépêche sur Gentoo Linux 1.1a, j'ai téléchargé les ISOs et fait des tests sur un portable et une machine de bureau.

Gentoo Linux est une distribution qui se distingue par le fait qu'elle optimise toute installation d'applications sur votre machine en les optimisant en rapport avec votre processeur.

Elle n'est néanmoins pas encore prête pour tout le monde.

Voici un courrier que vient de nous faire parvenir François Pellegrini:

IBM menace par des brevets logiciels une norme des Nations Unies sur l'echange d'informations. Encore un exemple de terrorisme juridique des brevets logiciels :

Après avoir, pendant deux ans, collaboré avec les Nations Unies et le consortium OASIS (Organization for the Advancement of Structured Information Standards) à la définition du standard d'échange d'informations ebXML, IBM annonce qu'il détient des brevets concernant des sous-spécifications cruciales de cette norme, et que les implémenteurs de la norme devront lui verser des royalties...

Excellent exemple de l'aberration des brevets logiciels :
- brevets « sous-marins »,
- accaparation brutale et unilatérale d'un travail collectif
- insanité économique

Est-ce cela que nous voulons en Europe ?

Francois Pellegrini

Note du modérateur : j'ajoute l'article ZDNet sur « IBM et MS complotant pour une main-mise sur le net », tiré des nouvelles hebdo Debian

Il y a 2 jours, un hacker a présenté sur la liste de diffusion ids-focus un outils d'évasion d'IDS (Système de détection d'intrusions en français) : fragroute. Ce programme permet de passer un exploit ou toute autre attaque sous le nez de Snort et à la barbe de la quasi-totalité des IDS (libres ou commerciaux) sans que ceux-ci ne génèrent la moindre alerte !

Fragroute est l'implémentation des techniques d'évasion d'IDS décrites dans "Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection", un document que je conseille à toutes les personnes interressées par les IDS de lire...