Après près d'un an de développement et de mise au point. Le logiciel EvalSMSI est disponible au téléchargement.

EvalSMSI est une application WEB, sous licence GPL, développée en PHP/MySQL, permettant de réaliser l'évaluation d'un Système de Management de la Sécurité de l'Information (SMSI).

S'appuyant sur la méthodologie proposée par la norme ISO 27001, cet outil a pour objectif de faciliter les opérations d’audit interne et de suivi des actions liées au management de la sécurité de l’information dans un organisme ou dans un groupement d'organismes.

Ses principales fonctionnalités sont :

• la réalisation d'évaluations internes à partir d'un questionnaire,
  
• la génération de graphes radars pour les résultats,
  
• la gestion d'un tableau de bord pour les évaluateurs,
  
• le suivi des évaluations sur plusieurs années,
  
• la génération automatique de rapports...

Une situation de compétition (race condition) a été trouvée le 14 octobre dans les fonctions pipe_read_open(), pipe_write_open() et pipe_rdwr_open() du noyau Linux par Earl Chew, bug vieux de plus de dix ans. Deux jours plus tard, Earl a écrit un patch corrigeant le bug (commité le 21 octobre, il fait partie de la version 2.6.32-rc6).

L'histoire pourrait s'arrêter là, mais Eugene Teo de Red Hat a découvert cinq jours plus tard que le bug est une faille de sécurité. La faille est facile à exploiter avec la boîte à outils de Brad Spengler. Comme les dernières failles du noyau Linux (vmsplice(), tun_chr_pool() et perf_counter), la faille est liée au déréférencement d'un pointeur NULL. Brad Spengler a écrit un exploit (pouvoir passer root à partir d'un compte utilisateur) fonctionnant sur, au moins, Debian Etch, Fedora (6, 10 et 11), et RedHat (5.3 et 5.4). L'exploit contourne les protections SELinux dans le cas de Fedora 10 et RedHat 5.4. Il devrait publier son exploit dans les prochains jours.

Pour se protéger (ou vérifier si votre système est vulnérable ou non), assurez-vous que la valeur de /proc/sys/vm/mmap_min_addr ne soit pas nulle. Debian Sid, Mandriva Linux 2010.0, Fedora 12, Ubuntu (Ibex et supérieurs) et les noyaux patchés avec grsecurity ne sont pas vulnérables. Alors que Debian Lenny et Squeeze ont une valeur nulle par exemple (il est prévu de changer ça à partir de Debian 5.0.4). Comme l'option mmap_min_addr a été introduite dans Linux 2.6.23, Debian Etch (qui utilise un noyau 2.6.18) est vulnérable : vous pouvez utiliser les paquets etchhalf pour installer un noyau 2.6.24. Des correctifs pour RedHat sont déjà disponibles.

Le projet LDAP Tool Box (aussi connu comme LTB project) est une compilation de petits outils destinés aux administrateurs d'annuaires LDAP. Certains de ces outils sont dédiés à OpenLDAP, mais la plupart peuvent être utilisés sur n'importe quel annuaire compatible avec le standard LDAPv3.

On trouve par exemple dans ces outils des scripts de supervision pour Nagios et Cacti, des RPMs de la dernière version stable d'OpenLDAP, ou encore une interface de changement de mot de passe.

LDAP Tool Box est publié sous licence GPLv2.

Hack.lu est une convention/conférence où les spécialistes peuvent discuter sur la sécurité informatique, les aspects de la vie privée, les technologies de l’information et son implication dans la société. Le but de cette convention est de réaliser des liens entre les différents acteurs du monde de la sécurité informatique.

Les sujets abordés pendant cette édition sont d’actualité, à la pointe de ce qui se fait actuellement. Entre autres :

• New advances in Office Malware analysis ;
  
• PDF- Penetration Document Format ;
  
• Some Tricks For Defeating SSL In Practice ;
  
• etc.
  

Cette convention est le lieu idéal pour créer des liens avec des interlocuteurs spécialistes de la sécurité, se tenir au courant des dernières bonnes pratiques dans le domaine, ainsi que de s’informer sur le matériel disponible.

Comme l'année passée, celle-ci se tiendra à Luxembourg-Ville à l'Alvisse Parc Hotel. Les dates retenues sont du 28 au 30 octobre. Réservez votre entrée dès maintenant afin de pouvoir bénéficier du tarif réduit (entre 100 et 500€ selon votre statut (étudiant ou non) et la date de la réservation).

Dans le cadre du colloque FRHack, Richard M. Stallman (RMS) animera une conférence en anglais : "Free Software in Ethics and in Practice", lundi 7 septembre à 17h30. Contrairement aux autres conférences du colloque celle-ci sera accessible gratuitement à cette adresse : http://mediatux.com/webtvstream.php

FRHack est un colloque international sur la sécurité informatique et les NTIC en France (au Grand Kursaal de Besançon), programmée du 7 au 11 Septembre 2009.

Brad Spengler, le mainteneur du projet grsecurity et l'auteur du dernier exploit en date dans le noyau Linux, a accepté de répondre à quelques questions pour LinuxFr.org.

Sous le pseudonyme de "Spender", Brad s'est rendu célèbre en découvrant de nombreuses vulnérabilités du noyau Linux et en prouvant, à l'aide d'exploits, que ces trous de sécurité étaient exploitables. Il est le mainteneur principal du patch externe grsecurity, qui vise à renforcer la sécurité du noyau en ajoutant divers mécanismes qui restreignent l'impact des vulnérabilités ou qui les bloquent complètement. Après la publication de son dernier exploit plusieurs questions lui ont été envoyées par mail (en une seule fois) et il a eu la gentillesse d'y répondre. Qu'il en soit remercié.

Bien entendu ce n'est pas de Sébastien Chabal dont il est question ici mais bien de la fonction de hachage SHABAL qui participe à la compétition SHA-3.

Les 14 algorithmes sélectionnés pour participer au second tour de la compétition ont été annoncés avant-hier 24 juillet par le NIST.

Brad Spengler, mainteneur du projet Grsecurity, a publié un exploit local pour le noyau Linux. Seule la version 2.6.30 du noyau est impactée. L'exploit a été publié rapidement car aucune distribution n'utilise cette version pour le moment. Il est capable de contourner les protections AppArmor, SELinux, LSM, et désactive l'audit. La faille concerne les interfaces réseaux virtuelles tun et a été introduite en février dernier. D'abord considérée comme un simple bug, elle a été découverte le 4 juillet, corrigée le lendemain, puis Brad a publié son exploit le 15 juillet.

Brad profite de l'exploit pour dire tout le mal qu'il pense de la gestion de la sécurité dans le noyau Linux (lire notamment tous les commentaires présents dans le fichier exploit.c du tgz). Il reproche notamment la correction silencieuse de failles qui pose problème aux distributions Linux : les mainteneurs ne savent pas quels patchs doivent être backportés dans les branches stables. Il reproche également l'absence d'analyse de l'impact d'un bug en terme de sécurité : certaines failles sont considérées comme non exploitables, alors qu'elles le sont.

La seconde partie de cette dépêche détaille la faille.

Début juillet est sortie la dernière version de LemonLDAP::NG, un logiciel libre de WebSSO et gestion des accès.
Les nouveautés de la version 0.9.4 ont été présentées lors des 10èmes RMLL à Nantes, pendant la journée consacrée à la gestion des identités. Pour ceux qui n'ont pas eu le privilège d'assister à cette conférence, cet article rappelle les principes de fonctionnement du produit et liste les nouvelles fonctionnalités. Les plus intéressés trouveront également dans le Linux Mag de cet été une bonne introduction au logiciel.

Générer des nombres aléatoires avec un ordinateur (déterministe par définition) est un problème complexe. Il est facile d'introduire un biais par une maladresse. On a vu de nombreuses failles au fil des années, un exemple récent étant la faille introduite dans la version Debian d'OpenSSL (mai 2008).

Chaque système d'exploitation propose des périphériques et API différentes, et il existe diverses bibliothèques tierces, pour générer des nombres aléatoires. La bibliothèque Hasard propose une API simple, portable et haut niveau, pour limiter les erreurs d'un développeur, tout en réutilisant les briques existantes (ex: bibliothèques OpenSSL et gcrypt).

La version 0.9.6 supporte Linux, FreeBSD, Mac OS X et Windows, et devrait fonctionner sur n'importe quel système d'exploitation disposant des périphériques /dev/urandom et /dev/random. La bibliothèque Hasard est écrite en C, propose un binding Python, et est distribué sous licence BSD.

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 1.8.3 de PacketFence, sous licence GPLv2.

Créé en 2004, PacketFence est un logiciel libre de contrôle d'accès réseau ("NAC").
Contrairement aux alternatives propriétaires, PacketFence possède toutes les fonctionnalités d'un NAC telles :

• L'enregistrement des composantes réseau ;
  
• La détection d'activités illicites (avec Snort) ;
  
• La détection proactive de vulnérabilités (avec Nessus) ;
  
• L'isolation des composantes réseau problématiques ;
  
• La capture d'empreintes DHCP ;
  
• Ainsi qu'un puissant portail captif.

PacketFence peut être utilisé pour la sécurisation d'un réseau filaire ou sans fil et possède plusieurs mécanismes pour la gestion des accès réseau (usurpation ARP, DHCP/DNS, changement dynamique de VLAN et 802.1X).

Par ailleurs, la solution peut être utilisée pour la sécurisation de très grands réseaux hétérogènes grâce à sa prise en charge de nombreux modèles de commutateurs (Cisco, Nortel, HP, etc.).

Des paquets pour Red Hat Enterprise Linux (ou CentOS) sont disponibles sur le site officiel du projet ainsi qu'une version préconfigurée dans une image de type VMWare.

La conférence Eurocrypt 2009 qui s'est achevé le 20 avril dernier nous a donné de nouvelles attaques sur la fonction de hachage SHA-1. Trouver une collision ne nécessite maintenant plus que 2^52 opérations, soit quelques semaines de calcul sur un PC standard (voir ce document pdf d'annonce de la nouvelle attaque).

Un plan de migration pour la bien connue distribution GNU/Linux Debian a été proposé, soit une migration de l'ensemble des clefs PGP et GPG de son infrastructure (développeurs compris) vers des clefs plus robustes. Beaucoup de ses clefs font en effet appel aux mécanismes RSA ou DSA, avec des clefs de 1024 bits, ainsi qu'à la fonction de hachage SHA-1, à l'exception notable de la clef primaire de la distribution stable actuelle, Lenny, qui fait 4096 bits (RSA).

Les clefs migreraient donc toutes vers l'algorithme RSA, taille 2048 bits, ainsi que vers les fonctions de hachage de la famille SHA-2 (SHA-224, SHA-256, SHA-384 et SHA-512). Tout l'enjeu de cette migration est de ne pas casser le Web of Trust (chaîne de confiance) déjà existant mais de le faire migrer en douceur.

Plus de détails dans la suite de la dépêche.

OCS Inventory NG (Open Computer and Software Inventory Next Generation) est une solution d'inventaire automatisé de parc informatique et de télédistribution, libre (GNU GPLv2), multiplateforme (Microsoft Windows, Linux, *BSD, Sun Solaris, IBM AIX, HP-UX, Mac OS X) et modulaire. Elle permet de centraliser les informations concernant les périphériques d'un parc et de déployer des logiciels ou des scripts sur des ordinateurs, tout en optimisant l'utilisation de la bande passante du réseau (5 Ko pour un inventaire complet d'un ordinateur fonctionnant avec le système d'exploitation Microsoft Windows). L'administration s'effectue via une interface web.

Utilisé conjointement à un logiciel de gestion de parc comme l'outil open source GLPI, vous disposerez d'une solution puissante d'inventaire et gestion de parc avec mises à jour automatique des configurations, outil de gestion des licences logicielles, outil de help desk et bien plus encore.

Cette solution d'inventaire a été récompensée, dans la catégorie sécurité, aux trophées du Libre 2006.

Patrick Mac Hardy, chef du projet Netfilter, travaille depuis l'été 2008 à une ré-écriture d'iptables sous un nouveau nom : nftables. Or, depuis le 18 mars dernier, nftables est officiellement disponible en version alpha. C'est le moment d'en refaire le tour.

NdM : Un grand merci à switcher pour son journal dont est tiré la dépêche.

Hacker Space Brussels (HSB) vous invite a une nuit de hacking autour d'OpenWRT ce samedi 7 Février. OpenWRT est la meilleure distribution Linux pour l'embarqué. De nombreux développeurs d'OpenWRT seront présents au FOSDEM et cette nuit de hacking sera l'occasion de tester la dernière version RC2 :

Date
Début : Samedi soir 7 Février @ 18:00
Fin : Dimanche 8 Février @ 12:00

Objectifs

• Présentation des nouvelles fonctionnalités de la RC2 ;
  
• Test de la RC2 sur des routeurs Asus WL-HDD, foneras, etc. ;
  
• Dégustation de bières belges.
  

Nous fournissons

• Un frigo plein de bières ;
  
• Espace, électricité, internet ;
  
• Rafraîchissements et snacks.
  

Adresse
HackerSpace Brussels
Void*Pointer
Av princesse elisabeth 46
1030 Bruxelles

Transport

• Le tram 23 part de l'ULB et arrive a notre porte (arrêt 'prinses elisabeth').
  
• Le bus de nuit Noctis s'arrête à 'verboekhoven', qui est à 100m à pied.
  

Inscription
L'espace étant limité, nous vous demandons de vous inscrire en avance en effectuant les deux actions suivantes :

1. Envoyez un email à zoobab at gmail.com
   
ET

2. Enregistrez-vous sur Doodle
   

Contact
Benjamin Henrion +32-484-566109

LemonLDAP::NG est un logiciel de Web-SSO, développé par Xavier Guimard et destiné à protéger des applications Web. Pour les utilisateurs, cela permet de ne s'authentifier qu'une seule fois, et pour les administrateurs du WebSSO cela permet de contrôler de manière centralisée les droits d'accès aux applications.

LemonLDAP::NG est une réécriture de la version initiale LemonLDAP, qui n'est aujourd'hui plus maintenue. Eric German, leader historique de la communauté, est à présent impliqué sur un nouveau projet, LemonID, que nous vous invitons à découvrir.

Cette version est normalement la dernière avant la 1.0 qui se concentrera sur la refonte de la configuration (utilisation de XML, exhaustivité des paramètres de configuration dans la console d'administration Web, etc.). Elle apporte toutefois un lot conséquent de corrections et d'améliorations, telles qu'un menu des applications autorisées, un explorateur de session, et des paquetages pour les systèmes basés sur Debian et RedHat.

Cette version est également importante en terme de sécurité car elle corrige quelques failles de Cross Site Scripting (XSS) et ajoute un contrôle plus fort sur les URL de redirection.

La version 2 d'OpenVAS, le principal fork de Nessus, vient de sortir un peu plus d’un an après la première version stable.

À mon sens le changement de version ne se justifiait pas, aucune fonctionnalité substantielle n’ayant été ajoutée dans l’intervalle. En effet, OpenVAS utilise encore largement le code originel de Nessus et une partie importante du travail consiste à auditer les sources.

Cette nouvelle version intègre néanmoins pas mal de nouveautés intéressantes :

• Amélioration du client graphique ;
  
• Support partiel d'OVAL (Open Vulnerability Assessment Language). OVAL est un langage -indépendant du projet OpenVAS malgré les similitudes de consonance- de création de tests de vulnérabilités. Un test développé en OVAL est utilisable par tous les outils supportant ce langage, contrairement par exemple à un plugin NASL (Nessus Attack Scripting Language) qui est “propriétaire” Nessus ;
  
• Création du protocole OTP (OpenVAS transfert protocol) en remplacement du protocole originel NVT (Nessus transfert protocol). Ces protocoles sont utilisés pour les communications entre les clients et le serveur ;
  
• Nouveau format d'identifiants pour les tests de vulnérabilités (OID) ;
  
• Support des architectures 64 bits ;
  
• Sans compter pas mal de corrections de bogues.

Bref, le projet avance, lentement, mais il avance :-)

Que vous soyez développeur ou simple utilisateur, la sauvegarde de données sensibles telles que les mots de passe est source de soucis.
En tant qu'utilisateur, on aime avoir le choix. C'est d'autant plus vrai en sécurité où chacun a ses propres exigences et sa propre topologie.
En tant que développeur, stockages variés et plus sécurisés riment avec moins de portabilité.

Pour essayer de concilier les deux mondes, la bibliothèque "PPasskeeper" voit le jour.

La version 0.9 venant tout juste de sortir (version que je considère comme étant la bêta 1), n'hésitez pas à l'essayer via son utilitaire de gestion de mot de passe graphique ou en ligne de commande.
Je n'ai pu tester la bibliothèque que sous Linux et Windows (XP et Vista), de plus, la liste des modules est assez courte (KWallet, registre Windows et fenêtres de demande de mot de passe en GTK, Win32 ou Qt).

La dernière version du « firmware » (microcode) pour le routeur D-link DIR-655 introduirait une nouvelle « fonctionnalité » : le détournement de trafic à des fins de sécurité (sic). Lorsqu'un internaute se promène sur le web, le routeur prendrait l'initiative de l'envoyer sur un site commercial pour lui vendre des produits commercialisés par D-Link (abonnement à une fonctionnalité de sécurité baptisée SecureSpot).

Cette fonctionnalité serait désactivable, mais activée par défaut. Cela semble douteux pour dire le moindre (les mots interception et détournement de communication privée viennent à mon esprit). Par ailleurs, d'un point de vue éducation et sécurité, prétendre améliorer la sécurité en faisant du détournement de trafic semble un peu antinomique.
Ce n'est pas une nouveauté sur le principe, la société Belkin l'avait appris à ses dépens en 2003.

Et la partie « amusante », D-Link publie son (ou une partie de son) code sous GPL...

D'après un communiqué de la FFII daté du 10 novembre, le Conseil des Ministres de l'Union Européenne a refusé la demande de la FFII déposée la semaine dernière de divulguer les documents secrets utilisés dans la négociation de l'ACTA (ou Traité commercial anti-contrefaçon), au prétexte que la publication de ces documents affaiblirait la position de l'Union Européenne dans la négociation et affecterait les relations entre les parties en présence.

Sous la traditionnelle excuse de sécurité, l'ACTA prévoit de nombreuses mesures disparates susceptibles de nuire à la vie privée des citoyens, et le fait même que la discussion reste secrète démontre un évident mépris de la démocratie, et la FFII dans sa réponse s'interroge sur le prix à partir duquel une négociation devient plus importante que la démocratie.

Des centaines d'associations à travers le monde telles que EFF (son dossier ACTA), Act Up et Médecins Sans frontières entre autres ont également dénoncé ce dysfonctionnement démocratique de l'ACTA.

NdM : merci aussi à Éric Cousin pour sa proposition de dépêche sur le même sujet.

Numerama nous apprend que le WPA-TKIP servant à sécuriser des réseaux Wi-Fi aurait été partiellement cassé par deux chercheurs.

Cette méthode pourrait être utilisée pour briser le chiffrement en un quart d'heure à peine. Cette technique ne repose pas sur une attaque « brute force » comme il est de coutume, mais sur de solides algorithmes mathématiques ainsi que sur une faille du système de chiffrement. Ce système de chiffrement était réputé comme quasiment impossible à « casser » sans posséder de matériel très performant : les deux chercheurs semblent avoir prouvé le contraire.

L'article de Numerama rappelle à juste titre aux législateurs (NdR : de la loi "Création et Internet" entre autres) :
[...] qu'aucune protection quelle qu'elle soit ne peut garantir la sécurité des données sur un ordinateur ou sur un réseau. La loi Création et Internet, qui veut faire supporter de fait aux abonnés une obligation de résultat dans la protection de leur accès à Internet, est en cela redoutable. S'il n'est pas possible techniquement de prouver que l'on a fait l'objet d'une attaque, cette obligation de sécurisation doit être refusée puisqu'elle est incompatible avec les droits de la défense [...].

Les deux chercheurs présenteront leur méthode lors du PacSec à Tokyo, le semaine prochaine.

NdM : il ne s'agit pour l'instant que d'une annonce, même si d'après les commentaires du journal de fleny68 sur le même sujet, des ajouts ont été faits à un outil d'attaque des clés Wi-Fi pour exploiter une faille, dont l'ampleur et la méthode utilisée restent à décrire plus précisément.

Hack.lu est une convention et un espace de discussion sur la sécurité informatique, la vie privée, les technologies de l'information et ses implications dans la société. Le but de la convention est de créer une passerelle entre les différents acteurs du domaine de la sécurité informatique.

L'événement a lieu du 22 au 24 octobre, au Luxembourg.

La convention Netfilter qui rassemble les développeurs de la couche pare-feu de Linux aura lieu cette année à Paris. Cet événement international débutera par une journée de conférences ouvertes aux utilisateurs. Le lieu et le programme de cette journée sont maintenant établis.
Elle se déroulera le 29 septembre à l'école d'ingénieur ESIEA, Paris 5ème.

Des développeurs de Netfilter et des utilisateurs avancés présenteront leur vision et leur utilisation du filtrage IP sous Linux. Les conférences seront variées allant de la présentation de l'utilisation intensive de Netfilter/iptables chez un ISP danois à l'exposé sur le successeur d'iptables par Patrick McHardy, actuel leader du projet, en passant par une présentation de ses derniers travaux par David Miller, mainteneur de la couche réseau de Linux.

La journée est libre et gratuite. Une inscription est souhaitée pour des aspects logistiques.

Ceci est susceptible d'intéresser les développeurs et utilisateurs de logiciels libres qui souhaiteraient se rendre aux États-Unis (et d'autres pays en train de mettre en place la même législation). Le Département états-unien de la sécurité intérieure (DHS) a publié un texte autorisant les douaniers à saisir n'importe quel appareil électronique (portables, mobiles, disques durs portables, smartphones, CD, DVD, tous supports numériques, etc.) au nom de la sécurité, pour permettre la « découverte d'informations relatives au terrorisme, aux trafics de stupéfiants ou à l'immigration illégale. » Cela comprend donc une éventuelle confiscation et analyse du contenu (avec traduction et/ou tentative de déchiffrement si nécessaire). Les mesures sont déjà en vigueur et selon « IDG News Service, plusieurs voyageurs ont rapporté s'être faits saisir leur ordinateur portable sans que leur bien leur soit restitué par la suite. »

Ce texte fait partie de l'Anti-Counterfeiting Trade Agreement (ACTA, littéralement « Traité commercial anti-contrefaçon ») , entre les États-Unis, l'Union européenne, le Japon, la Suisse, l'Australie, le Canada et la Nouvelle Zélande (voir les détails sur le blog de Laurent Guerby). Vous aurez noté que l'ACTA concerne plus la contrefaçon que la (traditionnelle excuse de la) sécurité nationale...

L'EFF (Electronic Frontier Foundation) craint que « les ordinateurs [ne] renferment des informations familiales, médicales, financières, qui pourraient facilement être copiées et se retrouver dans les bases de données gouvernementales ».

On pourrait bien entendu évoquer des solutions techniques (le déni plausible, apprendre par coeur sa clé SSH et télécharger ses données une fois sur place, etc.), mais c'est bien l'adoption d'une telle législation et ses conséquences qui devraient faire réfléchir, et pas les hypothétiques et tortueux contournements techniques possibles.

Picviz vient de sortir. Il s'agit d'un programme libre publié sous licence GPLv3 permettant de tracer des graphes sur des axes parallèles, permettant ainsi de voir N-dimensions sur une surface en 2D.

Ce programme trouve plus particulièrement des applications dans le data mining, la détection de collision dans le contrôle aérien et dans la sécurité informatique, ce pourquoi Picviz a principalement été écrit.

Picviz cherche à répondre à la problématique de recherche d'une aiguille dans une botte de foin, où le nombre de données devient trop important pour être compris et analysé par des recherches de motifs connus... surtout si l'on ne sait pas ce que l'on cherche.

Grâce à un langage simple, fortement inspiré de Graphviz, il est aisé d'automatiser la création de graphes et de trouver des éléments remarquables (des convergences, divergences, des éléments éloignés par rapport aux autres, etc.).