OpenSSH.org a "scanné" 2,4 millions d'IP entre décembre et février sur l'utilisation des produits ssh. D'après les stats, OpenSSH obtient 59.4% de "part de marché", contre 37.3% pour SSH.

Commentaire de Theo : "Most major Linux distributions install OpenSSH by default."

Source : OpenBSD journal.

Une news fait beaucoup de bruit dans le monde de la cryptographie depuis quelques jours. En effet, le mathématicien DJ Berstein a publié un article de recherche donnant une technique théorique sur la factorisation de nombres entiers en facteurs premiers, permettant de "casser" le RSA 4x plus vite qu'actuellement.

Dans son article, il propose aussi une application pratique permettant de construire un "RSA breaker" 4x plus performant à coût égal. En conséquence, les clés PGP/RSA de taille plus petite que 2048 bits seraient cassables "facilement".

Et certains en profitent pour ajouter que "nos amis" de la NSA ont déjà ça dans leur carton (gravés dans le silicium) depuis un moment :-(

Un groupe de développeurs issus de l'OpenSource s'échine à mettre au point un standard industriel en ce qui concerne les tests de sécurité. Leur laborieux travail, le OSSTMM (Open Source Security Testing Methodology Manual) ou Manuel de Méthodologie de Tests de sécurité OpenSource, sortira dans sa nouvelle version courant du mois.

Ideahamster.org (nom de leur groupe/organisation) a commencé à travailler sur ce manuel l'année dernière. Ils en avaient assez de lire des descriptions de méthodologies de tests sans intérêt ou trop superficielles.

Le groupe, qui comprend en outre les experts en sécurité et des développeurs, prone le fait que l'établissement d'un standard industriel en terme de sécurité sera un premier pas pour évaluer les produits de sécurité.

NdR: la version 1.5 est disponible en téléchargement (.ps, .pdf, .rtf, .html), tandis que la version 2.0 draft n'est disponible qu'au format .rtf et .html.

Vous pensez que la Terre entière va vouloir attaquer votre ordinateur? Piller vos ressources ô combien confidentielles? Le camion de plombier en bas de chez vous est à la solde du projet TEMPEST? Le livreur de pizzas est un espion venu du froid? =)

Alors Tinfoil Hat Linux est faite pour vous! Cette distribution se dit sûre, tient sur une seule disquette et pourra s'occuper de vos clefs PGP, du chiffrement et de la signature de vos fichiers.

Pleins d'autres fonctionnalités sont à découvrir sur leur site (compilation statique des binaires, tous les fichiers temporaires sont créés dans un RAMdisk chiffré et détruit à l'extinction de la machine, ...)

Assurément c'est *la* distrib' pour paranoïaques avertis ;)

Après avoir montré l'existence d'une faille de sécurité sur le site de tati.fr, kitetoa se voit poursuivi en justice. Bilan, le TGI de paris condamne avec sursis kitetoa à payer 1000 € pour fraude informatique.

Moralité : si vous découvrez une faille, gardez-vous bien de faire quoi que ce soit. Kitetoa prévient toujours les admins du serveur avant de publier quoi que ce soit sur leur site.

Lu sur Wired News "Beaucoup de matériel réseau et Internet depuis les desktop jusqu'aux systèmes de gestion de traffic ont un trou de sécurité que des hackers pourraient exploiter pour les arrêter ou prendre leur contrôle, d'après un groupe de recherche financé par le gouvernement américain.
Le problème est très sérieux pour les ISPs, qui utilisent des routeurs."

Le problème est lié à SNMP. Tous les patchs ne sont pas prêts.

Note du modérateur : Linux Weekly News revient assez en détail sur le problème.

" Le gros problème avec NFS c'est que cela repose sur le protocole UDP qui est, par nature, non-sécurisé; les transactions circulent en clair sur le réseau. De plus, les utilisateurs et les machines ne peuvent pas être facilement identifiés. Enfin, ce système est très difficile à sécuriser par un firewall.

L'article de Samag fournit une solution à la plupart de ces problèmes pour des serveurs et clients tournant sous Linux.

Ces principes peuvent bien sur être appliqués à n'importe quel serveur UNIX disposant de ssh."

NdR: Traduction de la nouvelle de RootPrompt

Voici un super article sur le site de l'excellent magazine "Samag" des SysAdmins qui présente une approche unique pour améliorer la sécurité de réseaux.

"Exécutez votre firewall dans un état d'exécution stoppé sur votre linux, c'est à dire en runlevel 0 : aucune exécution de processus et aucun disque monté, mais le filtrage de paquets IP est toujours en fonction!"

Cela protège des tentatives d'introduction de vers sur le firewall, puisque le hacker n'a plus d'espace disque pour poser ses
programmes de surveillance et d'intrusion. Mais cela ne protège évidemment pas des attaques de type "denial of service".

L'auteur a entendu une rumeur de cette capacité d'exécution arrétée sur les noyaux Linux 2.0, il est parvenu à obtenir ce fonctionnement aussi bien sur une 2.2. Reste à tester sur un noyau 2.4...

NB : Merci à Alain pour la news

Ce long article technique en anglais, avec de nombreux schémas, prend l'exemple d'un serveur web Linux/Apache et montre l'intérêt des graphiques pour résumer et expliquer les choix de contrôle d'accès.
Il suggère aussi que la conception du contrôle d'accès nécessite des compétences à la fois en matière d'architecture, de fonctions techniques dans les produits, et de méthode en sécurité.

Il y aura une version en français dans quelques semaines.

Le journal de la banque et du commerce sur Internet (Journal of Internet banking and commerce: JIBC) nous présente un bref comparatif des outils de cryptage des messageries.
On y retrouve MOSS, MSP, PGP, PGP/MIME et S/MIME

En conclusion: "Tous les moyens proposés peuvent être utilisés pour sécuriser les messages. [...]" Mais l'auteur s'interroge, car selon lui aucun ne peut être largement déployé à moins de l'adapter à la particularité de la messagerie. Il espère donc de nouvelles propositions plus adaptées.

Merci à VivaLinux pour la nouvelle

Pour ceux qui ne connaissent pas, je voulais vous signaler la sortie d'une nouvelle distribution Linux sécurisée et dédiée aux passerelles et firewalls. Bien qu'étant très jeune, cette distribution nommée IPCop, est néanmoins très intéressante car elle est la seule à proposer certaines fonctionnalités.
Etant similaire en de nombreux points à la distribution Smoothwall, elle intègre également le support du système de fichiers EXT3 et de l'ADSL en PPtP. De plus, elle permet de mettre en place très facilement des VPN (Réseaux privés virtuels) entre sites distants par le biais d'une interface de configuration web.
Cette distribution est déjà très avancée puisque le leader du projet n'est autre que Mark Wormgoor, un ancien développeur de Smoothwall qui a eu quelques divergences de point de vue avec Richard Morell qui supervise le développement de Smoothwall. Il semble avoir compris les problèmes rencontrés par certains utilisateurs français de Smoothwall au niveau de l'adaptation PPtP, que l'équipe de smoothwall refuse de prendre en compte.
A découvrir vite ... ;-)

Selon un récente étude de Riptech (Cabinet de conseil en sécurité), la France fait partie du peloton de tête des pays à l'origine du plus grand nombre d'attaques informatiques dans le monde.
Que ce soit en volume total ou par rapport à son nombre d'internautes.

Notre passé de pirates, de corsaires et de flibustiers ressortirait-il? ;)

NdR: je précise que pirates et corsaires sont deux choses différentes. Les corsaires agissaient pour le compte du roi, les pirates pour leur propre compte...

Le Chicago Tribune propose un article conseillant d'utiliser un firewall et de préférence sur Linux, ceci afin d'empêcher les intrusions.
Il conseille l'utilisation d'une sonde de détection etc..
Pronant qu'un vieux PC et 2 cartes réseau font l'affaire.
Il précise le fait que certaines distributions proposent par défaut l'option "Nothing is allowed in by default -- providing the safest option.".

Ca y est, Microsoft vous permet de lancer des programmes sur les ordinateurs clients sans leur consentement! IE 5.5 et 6 sont concernés et ça risque de faire trés mal.

Extrait :
"Vous pensiez que l'on ne pouvait pas scanner une machine sans faire apparaitre son IP ? Dans ce cas cet article va vous faire froid dans le dos ..."

Cédric Foll ajoute : Les méthodes proposées sont: proxy SOCKS et HTTP. On pourrait aussi citer le FTP Bounce qui n'est plus trop au goût du jour (parce qu'il ne marche plus beaucoup ;-)). Ces techniques de scan sont plus furtives que celles par spoofing. En effet c'est, avec nmap, toujours la même addresse IP qui apparaît même si ce n'est pas la votre. Aussi certains IDS actifs vont blocker le scan, les passifs vont logger l'évenement.
Enfin, je joins un artcle de phrack (très théorique) qui met en lumière des améliorations possibles pour les IDS afin de logger ce genre d'attaques (et autres attaques très furtives).

Note du Modérateur: C'est un peu ancien mais intéressant ; attention l'archive est en fait un .tar.gz et non un simple .tar

Sous Windows les clients ssh ne sont pas légions... et pas gratuits,.. Heureusement : Une nouvelle version du client ssh libre est sortie, en bêta, la 0.52. Malgré son nom, je l'ai trouvé stable et utilisable.
Ca nous donne un client ssh et telnet sous Windows en licence proche de la BSD, composé de plusieurs binaires, similaires aux binaires Unix (scp, sftp, agent...).
Il peut même être combiné à une interface graphique de transfert de fichiers, secure Xplorer en version 0.12 (largement utilisable, elle aussi, malgré sa dénomination numérique).

Une alternative plus qu'intéressante !

L'on ne présente plus le fameux Packet Storm, une des réference des sites traitant de la sécurité informatique. Il y a quelque jour, dnsi.info à mis en place un miroir de ce site et cherche activement des traducteurs comme nous l'indique le responsable de ce projet :

"Bon, j'ai été chargé de m'occuper de la version française de packetstorm.
J'ai besoin d'un coup de main de gens sérieux pour effectuer la trad.

Les "pas sérieux" en quête de gloire s'abstenir. Toute intégration au projet sera soigneusement vérifiée.

merci d'avance aux futurs contributeurs =)

Demain soir(dimanche), sur France 2, a 22h40, sera diffuse une reportage sur Echelon, avec une reflexion sur le droit a la vie privee dans cette aube du XXI siecle.


Note du modérateur: la news n'est pas longue mais peut intéresser beaucoup d'entre nous (titre original: "Les Documents du dimanche" Echelon, le pouvoir secret).

Le SANS propose une documentation contenant une foule de conseils pour sécuriser son site/serveur web.

Ces conseils sont plus théoriques que réellement techniques et relèvent bien souvent du bon sens. La partie relative aux liens contient un grand nombre de pointeurs qui permettrons de développer certains points précis.

C'est un bon point de départ pour ceux qui débutent dans le domaine et parfois de bons rappels pour ceux qui y sont familiers. ;)

Une première factorisation en nombres premiers a été réalisée par l'université de Stanford et IBM. Bon, ce n'est pas encore utilisable pour cracker les cryptages actuels, mais cela montre bien que c'est réalisable.

En d'autres termes, les beaux jours de la cryptologie traditionnelle commencent à être comptés.

Après quelques annonces catastrophes sur le développement des virus Linux dans un futur proche, un dossier d'interêt de la revue login sur le même sujet, voici enfin le tour des solutions anti-virus Open-Source (GNU vaincra!!!) :

Un projet lancé il y a quelques semaines sur dnsi.info:

Bon suite à une petite réflexion sur la liste, ainsi qu'aux nombreux messages private que j'ai reçu, on lance officiellement un projet de création d'antivirus libre, sous license GPL.
Aucune caratéristique précise n'a été établie. En vrac voici les idées que j'en ai : moteur "intelligent" (analyse de comportement viral, etc...), analyse de signatures (classique), language de script/intéraction système, permettant de créer ses propres règles génériques, par ex ou autre action à entreprendre.

Projet dors-et-déjà mis en concurrence ( >=> ) comme le prouve cette news de LinuxSecurity :
OpenAntivirus est une plate-forme pour des personnes intéressées par la recherche anti-virus, la sécurité réseaux, la sécurité des communications inter-ordinateurs, le développement de solutions à divers problèmes de sécurité ainsi que le développement de nouvelles technologie en sécurité. (...)

A vos clavier!!!

LinuxSecurity décrit un trou de sécurité dans le loop device encrypté de Linux.

A cause de cela, un attaquant peut modifier le contenu du device encrypté sans être détecté.

Un texte est proposé pour rêgler ce problème en autentifiant le device.

NdR: C'est aussi un bon moyen de mettre le nez dans le cryptage, des pointeurs intéressants sont donnés.

Signalant au passage la sortie du linuxfocus de ce mois, vous seriez bien avisés de coller vos mimines dans ce documents ma foi fort complet :

Qu'est-ce que chroot ?
Chroot redéfinit l'univers de fonctionnement d'un programme. Plus précisément, il détermine un nouveau répertoire "ROOT" ou "/" pour un programme ou une session. Schématiquement, tout ce qui est à l'extérieur du répertoire "chrooté" n'existe pas pour un programme ou un shell.

Pourquoi est-ce utile ? Si quelqu'un s'introduit dans votre ordinateur, il ne pourra pas voir la totalité des fichiers de votre système. Le fait de ne pas voir vos fichiers limite les commandes qu'il peut lancer et ne lui donne pas la possibilité d'exploiter des fichiers qui seraient vulnérables. L'inconvénient majeur, c'est que ça n'empêche pas l'analyse des connexions réseau ou autre. Ainsi, vous devrez faire bien d'autres choses qui n'entrent pas vraiment dans le cadre de cet article (...) :

Je vous laisse découvrir le reste :)

Deux nouvelles versions de mutt (une dans chaque série : 1.2 et 1.3) sont sorties avec la nouvelle année. Elle corrigent un important trou de sécu et méritent qu'on s'en occupe sur le champ.
Une nouvelle version est dispo pour Debian (potato) depuis le 2 janvier ...

Une version mineure d'OpenSSL est disponible depuis le 21 décembre, avec principalement des corrections et l'intégration du support de Broadcom, SureWare et quelques autres.