Pourquoi ne faut-il absolument pas brancher ses appareils USB sur des bornes publiques ?

Posté par (page perso) . Édité par Benoît Sibaud, ZeroHeure, tankey et Florent Zara. Modéré par patrick_g. Licence CC by-sa
40
8
mar.
2015
Sécurité

Bornes USB à Paris
Vous avez peut-être entendu parler des nouvelles bornes installées dans les abris-bus à Paris permettant de recharger un téléphone ou tout autre appareil se rechargeant par l'USB. Bon, ça n'a rien d'ingénieux et ça se fait depuis plus d'une décennie.

Et si ça posait un risque pour vos données ? Et de manière générale si se brancher sur l'USB n'était pas anodin ?

NdM: l'article original de matlink a été enrichi en modération.

Quand la cybernétique hiberne l'éthique

Posté par (page perso) . Édité par NeoX et Nÿco. Modéré par Nÿco. Licence CC by-sa
39
23
fév.
2015
Sécurité

La 19 février 2015, le ministère français de la défense a mis en ligne (sur Youtube) une cybervidéo pour nous parler de la cyberdéfense afin d'arrêter les cybermenaces des cyberméchants. Cette vidéo a notamment été reprise dans Les liens idiots du dimanche de NextINpact sous le titre « Cyberdéfense : la drôle de publicité de l'armée ». Le titre officiel « La cyberdéfense : le combat numérique au cœur des opérations » est plus vendeur.

Le « nouveau terrain d'affrontement » est l'occasion de parler de « propagande djihadiste, des pirates cagoulés qui tapent au hasard sur des claviers, les Anonymous, Stuxnet, etc. avant d'enchainer sur des avions de chasse, sous-marins, hélicoptères et autres artilleries lourdes. »

Évoquons un peu (dans la seconde partie de la dépêche) cette vidéo, avant de faire un petit résumé des épisodes précédents dans l'armée française.

Pour plus de sécurité au bureau, évitez les chips (ou alors, chuchotez) !

Posté par (page perso) . Édité par Benoît Sibaud, Nÿco et palm123. Modéré par Nÿco. Licence CC by-sa
20
23
fév.
2015
Sécurité

Ok vous vous dites « qu'est-ce que c’est encore cette dépêche ? » (vous n’auriez pas tort) mais sous ce titre il est vrai aguicheur, je vais vous parler d’un article que j’ai lu récemment.
Article très sérieux où il n’est pas question du tout nouveau logiciel open source, mais plutôt de paquet de chips, de cyberespionnage, de plante et de ronronnement d’ordinateur…

La suite de la dépêche a pour but de montrer que la sécurité informatique est un domaine vaste et complexe qui parfois est complètement indépendant de la bonne volonté des informaticiens…

GnuPG utilisé, GnuPG oublié, mais GnuPG financé

Posté par (page perso) . Édité par palm123, NeoX, Xavier Teyssier, Benoît Sibaud, ZeroHeure et Christophe Guilloux. Modéré par ZeroHeure. Licence CC by-sa
66
7
fév.
2015
Sécurité

Il s'est passé quelque chose d'assez extraordinaire ces derniers jours pour GnuPG, alors j'aimerais en parler pour que tout le monde soit au courant.

NSA - À propos de BULLRUN

45
5
fév.
2015
Sécurité

Voici la suite des « études » des leaks (fuites) de Snowden menées pour NSA-Observer. Dans cet article, nous allons revenir sur les révélations du Spiegel datant de fin décembre lors du 31c3 (Chaos Computer Congress) et du 17 janvier 2015 portant sur les moyens offensifs de la NSA ainsi que d'autres agences concernant la cryptographie.

La conférence « Reconstructing narratives » de Laura Poitras et Jacob Appelbaum présentant ces documents est visible ci-dessous (mais aussi sur le site du CCC) :

BULLRUN, qu'est ce que c'est ?

BULLRUN est un « programme » de la NSA exploitant différents moyens pour accéder à du contenu chiffré. Le New York Times avait abordé le sujet fin 2013 dans son article « Secret Documents Reveal N.S.A. Campaign Against Encryption » mais sans aucun détail (comme The Guardian ou encore propublica).

Appel à conférences sur la sécurité informatique, pour le 06 au 08 mars 2015, à SUPELEC Metz

Posté par . Édité par tankey et Benoît Sibaud. Modéré par Ontologia. Licence CC by-sa
6
9
jan.
2015
Sécurité

Cette année l'association GOALL aide à l'organisation des Journées FedeRez à SUPELEC à Metz. FedeRez est une fédération d'associations de réseaux informatiques étudiants. Tous les ans, les étudiants des associations membres se retrouvent pour échanger lors des Journées FedeRez, assister à des conférences et participer à divers ateliers. En plus des nombreux étudiants et jeunes diplômés constituant le public habituel de l'événement, beaucoup de professionnels sont invités.

L'édition 2015 aura pour thème la sécurité des systèmes d'information :

  • vendredi 6 mars après-midi : conférences et table ronde
  • samedi 7 mars matin : conférences
  • samedi 7 mars après-midi : conférences et ateliers
  • dimanche matin 8 mars : conférences et Assemblée Générale Ordinaire des associations membres du réseau Federez

Mises à jour ntp à faire suite à la faille CVE-2014-9295

Posté par . Édité par Benoît Sibaud, Jiehong, Florent Zara, Nÿco, BAud et Nils Ratusznik. Modéré par Nÿco. Licence CC by-sa
30
26
déc.
2014
Sécurité

De multiples failles de sécurité ont été identifiées et comblées dans ntp (le logiciel de ntp.org, pas le protocole NTP en général) ces derniers jours. Il s'agit de plusieurs failles avec notamment :

  • deux dépassements de mémoire tampon qui peuvent permettre un déni de service ou l'exécution de code avec les privilèges du processus ntpd lancé ;
  • d'une faiblesse dans la génération des clés, il est donc conseillé de recréer ces dernières après la mise à jour dans certains cas.

Elles ne sont pas forcément exploitables ou d'une grande dangerosité en dehors d'une d'utilisation avancée / serveur ntpd, mais il est préférable d'être prévenu :)

Cette faille a été identifiée et nommée CVE-2014-9295. Elle concerne toutes les versions de ntp jusqu'à la 4.2.7 et la version corrective 4.2.8 est parue le 18 décembre 2014.

NdM : il existe d'autres logiciels libres pouvant servir pour la synchronisation NTP, comme openntpd (non vulnérable) issu d'OpenBSD, Ntimed (client uniquement) sponsorisé par la Linux Foundation, chrony, etc.

Vulnérabilité dans Git et Mercurial sur certains systèmes de fichiers (FAT, NTFS, HFS+, etc.)

Posté par (page perso) . Édité par Benoît Sibaud et Bruno Michel. Modéré par Christophe Guilloux. Licence CC by-sa
42
19
déc.
2014
Sécurité

Une vulnérabilité (CVE-2014-9390) a été annoncée hier soir concernant le logiciel de gestion de versions le plus en vogue en ce moment, j'ai nommé Git, ainsi que sur Mercurial, autre logiciel de la même catégorie. Elle a déjà été corrigée, je vous invite donc à mettre à jour vos installations.

Github, le service d'hébergement de dépôt Git lui aussi très en vogue, a de son côté annoncé avoir vérifié tous les dépôts présents sur ses serveurs à la recherche d'exploitations de cette vulnérabilité. Mesure de sécurité supplémentaire, il refuse désormais les push exploitant cette faille.

NdM : Merci à RoM1 et Sébastien Douche pour les précisions apportées dans la dépêche. La faille a été trouvée par le créateur de Mercurial, Matt Mackall, et Augie Fackler. La vulnérabilité se décline en trois parties :

  • la sensibilité à la casse dans Git, déjà corrigé dans Mercurial en 2008 ;
  • l’expansion des noms courts sous Windows (PROGRA~1 → Program Files), déjà corrigé dans Mercurial ;
  • la découverte récente de la façon non documentée dont Darwin (Apple) s’amuse avec HFS+ à ignorer certains caractères spéciaux et qui peut créer de nouvelles collisions de nom (cf la correction chez Mercurial, qui a permis la correction côté Git).

“OpenPGP card”, une application cryptographique pour carte à puce

74
18
déc.
2014
Sécurité

À la demande générale de deux personnes, dans cette dépêche je me propose de vous présenter l’application cryptographique « OpenPGP » pour cartes à puce au format ISO 7816. Une carte à puce dotée d’une telle application vous permet d’y stocker et de protéger vos clefs OpenPGP privées.

LibreSSL 2 est bien lancé

Posté par Matthieu Herrb . Édité par Nÿco, ZeroHeure, M5oul, BAud, Davy Defaud, sinma, tankey, RyDroid, palm123 et Benoît Sibaud. Modéré par Nils Ratusznik. Licence CC by-sa
63
1
déc.
2014
Sécurité

Suite à la découverte des failles sur OpenSSL, les développeurs d’OpenBSD ont publié les premières versions de leur fork LibreSSL : d’abord la 2.0.0 le 11 juillet 2014, puis la 2.1.0 le 12 octobre et la 2.1.1 le 16 octobre. Elles sont disponibles sur leur site FTP.
Les buts sont de moderniser la base de code, améliorer la sécurité, et appliquer les bonnes pratiques de développement (modernizing the codebase, improving security, and applying best practice development processes).
LibreSSL

Plusieurs projets ont déjà cherché à remplacer OpenSSL. Par exemple, LibreSSL est censé fonctionner sous GNU/Linux, Solaris, Mac OS X ou FreeBSD.

Detekt, un logiciel de détection de logiciels espions

Posté par . Édité par Benoît Sibaud, Davy Defaud, Nÿco, M5oul et Nils Ratusznik. Modéré par NeoX. Licence CC by-sa
Tags : aucun
29
22
nov.
2014
Sécurité

Amnesty International, en partenariat avec Privacy International, Digitale Gesellschaft et Electronic Frontier Foundation, a annoncé le 20 novembre la publication du logiciel Detekt. Ce logiciel libre (GPL v3) a pour but de détecter des logiciels espions (spywares) sur un système d’exploitation Windows. Il cible notamment l’espionnage gouvernemental des journalistes et des militants. Detekt est développé par le chercheur en sécurité Claudio Guarnieri.

Amnesty

CVE-2014-3566 — Vulnérabilité POODLE

Posté par . Édité par Nÿco, tankey, Davy Defaud, Xavier Teyssier, palm123 et Benoît Sibaud. Modéré par patrick_g. Licence CC by-sa
32
17
oct.
2014
Sécurité

Qu’est‐ce POODLE ?

POODLE signifie Padding Oracle On Downgraded Legacy. Il s’agit d’une vulnérabilité permettant via une attaque de l’« homme du milieu » (MIM, Man In the Middle), en se plaçant entre le navigateur Web et le serveur Web, de déchiffrer les informations chiffrées.

POODLE affecte les anciennes normes de chiffrement, notamment Secure Socket Layer (SSL) version 3.0. Il n’affecte pas le mécanisme de chiffrement plus récent, et standardisé, appelé Transport Layer Security (TLS).

Recommandations

Pour atténuer cette vulnérabilité, désactivez SSL 3.0 en forçant l’utilisation de TLS, tout en vérifiant la compatibilité des navigateurs clients devant y avoir accès.

Plusieurs bulletins de sécurité ont annoncé la vulnérabilité :

SELKS 1.0 : une distribution

Posté par (page perso) . Édité par Davy Defaud, Nÿco, Xavier Teyssier et palm123. Modéré par patrick_g. Licence CC by-sa
35
16
oct.
2014
Sécurité

SELKS est une distribution liv_e et installable qui fournit un système de détection d’intrusion (_Intrusion Detection System, abrévié IDS) Suricata prêt à l’emploi. Elle intègre Scirius, une interface Web de gestion des règles de l’IDS, et le trio Elasticsearch, Logstash et Kibana (ou "ELK"). L’interface Kibana permet d’analyser les alertes et les événements remontés par l’IDS.

Capture d'écran de SELKS

Le projet SELKS a été initié pour fournir un moyen de tester rapidement les capacités de l’IDS Suricata dans le domaine de la détection d’intrusion réseau et dans le domaine de la surveillance réseau. En mode live, il est ainsi possible de passer de l’amorçage du système à l’analyse du trafic réseau dans Kibana en 30 secondes.

67 chaussettes pour OpenSSH

Posté par (page perso) . Édité par Davy Defaud, Benoît Sibaud et patrick_g. Modéré par Xavier Teyssier. Licence CC by-sa
Tags :
56
16
oct.
2014
Sécurité

Le 6/10, OpenSSH est sortie en version 6.7. Faut‐il vraiment dire ici ce que fait OpenSSH ou est‐ce dans l’inconscient collectif des libristes ? En très bref, c’est un serveur et un client du protocole SSH, digne descendant de telnet, qui ajoute pas mal de truc comme la redirection de ports…

Quoi de neuf en octobre ?

  • Les algorithmes de chiffrement par défaut ont été changés et notamment CBC et Arcfour ont été désactivés (pas supprimés, il est toujours possible de les activer).

  • La prise en charge de la bibliothèque tcpwrapper a été supprimé. Cela pose, par exemple, des problèmes pour la future Debian Jessie car c’était une fonctionnalité encore souvent utilisée par de nombreux utilisateurs. Debian a décidé de maintenir via un correctif la fonctionnalité pour le moment (voir les commentaires sur LWN).

  • La factorisation du code source continue afin d’améliorer le cœur en vue de fournir une bibliothèque utilisable de manière indépendante. Cependant, le travail n’est pas encore parfait du coté de l’interface de programmation (API), donc la bibliothèque n’est pas encore mise en avant.

  • ssh et sshd intègrent la prise en charge de la transmission (forward) des sockets UNIX. Un port TCP distant peut être connecté à un socket UNIX local et réciproquement. De même, on peut connecter deux sockets UNIX ! Cette fonctionnalité n’était possible jusqu’à présent que pour X-Window via l’option -X, elle ouvre de grands horizons dans l’usage distant d’un poste de travail.

  • Ajout de la séquence d’échappement %C dans le client ssh pour les commandes LocalCommand et ControlPath. %C représente un condensat (hash) du tuple (hôte local, utilisateur distant, hôte distant, port). L’objectif est de pouvoir avoir un nom de fichier court et unique, car sur certains UNIX, on pouvait dépasser la limite du système pour les noms de fichiers correspondant aux sockets UNIX !

Il y a encore pas mal de petites choses concernant le chiffrement, les procédures de test et de robustesse… Le mieux pour les passionnés est de lire la note de version pour avoir une vision détaillée et complète.

Une faille nommée « shellshock »

82
28
sept.
2014
Sécurité

« ShellShock », une faille dans l'usage du shell Bash, est sous les projecteurs depuis quelques jours. Le terme est un jeu de mot entre la stupeur propre à l'obusite des combattants de la première guerre mondiale et l'interface système shell. Nous vous proposons des explications sur cet évènement particulier, son périmètre, les conditions de son exploitation, les surfaces d'attaques, et les solutions proposées, déjà mises en œuvre ou à venir. Enfin, une revue de presse sera dressée, cette faille s'étant transformée en évènement.

NSA / TAO : le chemin vers vos serveurs

Posté par (page perso) . Édité par Benoît Sibaud, palm123, NeoX et tuiu pol. Modéré par ZeroHeure. Licence CC by-sa
34
24
sept.
2014
Sécurité

Ne trouvant aucune base de données des différents programmes provenant des fuites de Snowden, nous avons travaillé à la création d'une base de données concernant la NSA et le GCHQ. L'article qui suit est une synthèse d'une partie de nos travaux.

NdM : cet article poursuit la série commencée par NSA-observer — quels sont les programmes de la NSA ?, NSA - temps de faire le (premier) point et Que peut faire le service d'élite JTRIG du GCHQ ?.

Nous (nsa-observer) allons aborder aujourd'hui le "catalogue" du groupe d'élite de la NSA nommé TAO (pour Tailored Access Operations). La mission de ce groupe est, depuis sa création en 1997, d'identifier, de monitorer et de trouver un chemin vers des réseaux ou des systèmes pour collecter des informations. Ce département a gagné la réputation de collecter certains des meilleurs renseignements parmi les services de renseignements US, que ce soit sur la Chine, sur des groupes terroristes, ou sur les activités politiques, militaires et économiques d'un pays.

Crypto-party estivale au L@Bx (Bègles, Gironde), 22 août 2014

Posté par . Édité par tankey et Benoît Sibaud. Modéré par Benoît Sibaud. Licence CC by-sa
14
18
août
2014
Sécurité

Vendredi 22 août, c'est cryptoparty toute la soirée / nuit au L@Bx.

Entrée libre et gratuite. Amenez à manger, à boire, sac de couchage pour les plus courageux.

Quelques idées d'ateliers proposés :

  • Créations / échanges de clés GPG
  • Chiffrement de disque dur avec LVM+LUKS, encfs, etc.
  • Mise en place d'un serveur de courriel
  • Traduction du handbook cryptoparty en se basant sur le travail du Tetalab
  • TrollDébat sur la sécurisation des locaux du L@Bx (RFID, caméra, poulet-tueur, etc.)

Pour rappel, le L@Bx est un Hackerspace à Bègles (Communauté Urbaine de Bordeaux). Il ouvre ses portes tous les mardis et vendredis soir.

Au plaisir de vous y croiser !

scdrand: alimenter le pool d’entropie du noyau à partir d’une carte à puce

Posté par (page perso) . Édité par ZeroHeure, tankey et Benoît Sibaud. Modéré par Nils Ratusznik. Licence CC by-sa
42
14
août
2014
Sécurité

Possesseur d’une carte OpenPGP, je cherchais un moyen d’exploiter le générateur de nombres aléatoires dont elle est équipée.

Une rapide recherche m’a immédiatement emmené vers TokenTools, qui semble faire exactement ce que je veux. Malheureusement, ce programme ne peut pas cohabiter harmonieusement avec Scdaemon, le démon de GnuPG chargé d’interagir avec les cartes à puce : TokenTools ne peut pas accéder à la carte tant que scdaemon tourne — or j’ai besoin de scdaemon pour l’utilisation routinière de ma carte OpenPGP (signer, déchiffrer, m’authentifier).

La deuxième partie décrit le programme que l'auteur a écrit pour remplacer Token Tools.

Que peut faire le service d'élite JTRIG du GCHQ ?

Posté par (page perso) . Édité par Benoît Sibaud, ZeroHeure et Christophe Guilloux. Modéré par Christophe Guilloux. Licence CC by-sa
23
5
août
2014
Sécurité

Bonjour tout le monde, comme l'article précédent la version originale de cet article possède énormément de liens et de références ; je ne peux pas tout mettre ici, vous avez le lien vers l'article en question en bas de la page. J'espère que ça vous plaira :)


Nous allons parler dans cet article du JTRIG (pour Joint Threat Research Intelligence Group), qui est l'équivalent anglais pour le GCHQ (les services de renseignements anglais) du département TAO de la NSA. La mission du JTRIG consiste entre autres à détruire ou à empêcher d'agir les ennemis en les discréditant via de fausses informations ou en empêchant leurs communications de fonctionner : déni de service (DoS) via appels ou sms, suppression de la présence en ligne d'une cible, changement de photos sur les réseaux sociaux (pour discréditer une cible ou augmenter drastiquement sa parano), captation des courriels (par exemple pour apporter de la crédibilité lors de l'infiltration d'un groupe), … la liste est longue.

Capsicum dans Linux : ça bouge !

Posté par . Édité par Benoît Sibaud, Xavier Teyssier et Nils Ratusznik. Modéré par Nils Ratusznik. Licence CC by-sa
42
4
août
2014
Sécurité

Capsicum a été évoqué sur LinuxFr.org une première fois en 2011. C'est un projet de chercheurs de Cambridge concernant de nouvelles primitives de gestion des droits pour les systèmes UNIX, très prometteur et en passe d'être intégré à FreeBSD.
Voyons quels sont les mouvements autour de ce projet.

Logo Capsicum

Sortie de LemonLDAP::NG 1.4

Posté par (page perso) . Édité par Xavier Teyssier et palm123. Modéré par tankey. Licence CC by-sa
28
26
juil.
2014
Sécurité

LemonLDAP::NG est un logiciel libre de SSO, de gestion des accès et de fédération des identités. Il est publié sous licence GPL. Il est développé par la Gendarmerie Nationale et la société Linagora.

Logo LemonLDAP::NG

Il implémente de nombreux protocoles standards, tels que Central Authentication Service, OpenID et SAML.

La version 1.4 est sortie fin juin. Cette dépêche présente les principales nouveautés de cette version.

Campagne de financement participatif pour ProtonMail

14
19
juil.
2014
Sécurité

ProtonMail est un service de messagerie web sécurisé créé en 2013 par Jason Stockman, Andy Yen et Wei Sun au CERN, situé à côté de Genève en Suisse. À l'opposé de nombreuses messageries web existantes (gmail.com, outlook.com…), ProtonMail chiffre les courriels avant qu'ils ne soient envoyés au serveur. ProtonMail est actuellement en version bêta.

logo ProtonMail

Depuis le 17 juin, une campagne de financement participative a été lancée par l'équipe de développeur dans le but d'atteindre 100 000$. Deux semaines plus tard, le projet avait déjà reçu 200 000$. La prochaine étape est d'atteindre 500 000$ afin que des applications pour iOS et Android soient développées. La campagne se termine le 31 juillet. ProtonMail accepte les paiements par carte bleue, paypal (voir plus bas) et bitcoin.

Haka pour le traitement de flux réseau

Posté par (page perso) . Édité par BAud et Nils Ratusznik. Modéré par tankey. Licence CC by-sa
Tags :
28
18
juil.
2014
Sécurité

Haka est un framework/langage basé sur Lua et destiné à appliquer des règles sur du trafic réseau en temps réel. Il permet aussi bien de faire un pare-feu classique, filtrant « bêtement » sur les ports, qu'un pare-feu applicatif. Il utilise la notion de dissecteur qui, une fois la grammaire du langage décrite, permet de définir différents événements qui pourront être utilisés dans les règles définies.

Il faut noter que ce n'est que le tout début du langage, il manque encore certaines fonctionnalités critiques.

Haka est sous licence MPL 2.

Résumé de l’affaire TrueCrypt

Posté par (page perso) . Édité par Nÿco, BAud, eggman, Benoît Sibaud, palm123, glennie et Nils Ratusznik. Modéré par Nÿco. Licence CC by-sa
44
20
juin
2014
Sécurité

TrueCrypt est un logiciel de chiffrement de disques, multiplateforme, sous licence non-libre (cf annexe en seconde partie), mais dont le code source est accessible. Ses développeurs sont anonymes.

TrueCrypt

Depuis le 28 mai dernier, le site web officiel TrueCrypt.org redirige vers le sous-domaine de Sourceforge dédié au projet et affiche en rouge un message inquiétant :

ATTENTION : Utiliser TrueCrypt n’est pas sûr car il pourrait contenir des problèmes de sécurité non-corrigés

Cette page explique également aux utilisateurs comment migrer leurs données vers un autre outil de chiffrement… qui n'est autre que BitLocker de Microsoft !

Nouvelle faille importante dans GnuTLS

Posté par (page perso) . Édité par BAud, Nÿco, eggman et Frédéric Massot. Modéré par ZeroHeure. Licence CC by-sa
40
6
juin
2014
Sécurité

GnuTLS est une bibliothèque libre qui, au même titre que OpenSSL, permet d’établir une connexion chiffrée sur Internet via le protocole SSL/TLS.

GnuTLS

Une faille de sécurité qui permet de faire planter GnuTLS et, dans certaines conditions, lui faire exécuter du code arbitraire a été découverte.

Concrètement, lors d’une poignée de main, l’envoi d’un identifiant de session extrêmement long par le serveur provoque un dépassement de tampon. Pour résumer, on veut enregistrer en mémoire l’identifiant de session qui est plus grand que l’espace prévu à cet effet, l’excédent est écrit à côté et, en particulier, sur le programme en mémoire. En choisissant bien l’identifiant de session, on peut donc altérer le fonctionnement du logiciel en cours d’exécution à son avantage.