Telle est la conclusion d'un analyste du Gartner Group lors d'un symposium à Cannes. Win2K ne serait en effet pas assez sécurisé pour l'utilisation d'un serveur Web. Cet analyste recommande d'attendre la fin de l'année prochaine avant de l'utiliser.

On note également que Solaris et HP-UX sont suffisamment sur pour être déployés sur la toile et que Linux sera la solution la plus sûre dans les 5 ans à venir.

Bonjour, j'ai récemment lut sur ce site une information comme quoi notre site aurait été "piraté".
Puis-je vous faire remarquer que le site de Digital Network est depuis plusieurs mois (Je viens de vérifier, cela fait 4 mois) http://www.securite-reseaux.net
Le site www.digital-network.org, ne sert que pour les développeurs qui veulent tester différentes choses. Il n'y a absoluement rien sur ce site.
D'ailleurs pour ceux qui ont vu la base, la seule chose qu'ils ont trouvé, sont des morceaux d'une base destinée (il y a 3 mois !!) à une office de Tourisme.
Voilà, pour ceux qui voudrait jouer aux "pseudos" crackers, un serveur sera disponible d'ici quelques mois à cet effet.
cordialement,
Digital Network

Note du modérateur: Même si un site ne sert qu'à des développeurs internes, est-il raisonnable de laisser les droits d'admin pour tout le monde ? Chacun a sa vision de "sécurité" apparemment...

De nouvelles photos des "gourous" (Bindview Razor, Security Focus, l0pht, atstake, NMRC, etc).

La société Tripwire vient de publier les sources de son outil Tripwire comme elle l'avait annoncé il y a plusieurs mois. Je rappelle que Tripwire est un outil pour vérifier l'intégrité de parties sensibles de son système de fichiers (/usr/bin, /sbin, /etc par exemple) et est très utile pour cette tache (même si on trouve des équivalents Open-Source depuis un moment).

Sur LinuxSecurity, on trouve une interview de Vincent Rijmen, l'un des deux concepteurs de l'algorithme de chiffrement Rijndael, qui a été élu comme nouveau standard de chiffrement symétrique (AES, Advanced Encryption Standard), en remplacant du vieillissant DES (Data Encryption Standard). L'interview traite de diverses choses, notamment du processus très ouvert de conception et d'analyse de l'algorithme.

Transfert.net a interviewé deux traducteurs français de la version Windows de PGP qui se prononcent contre le nationalisme en matière de sécurité informatique. C'est un peu pointu comme discussion, mais grosso modo ils soulignent que le nationalisme informatique n'a plus de sens à l'heure de l'open source.

Une machine Enigma (machine de cryptage mécanique utilisée par les nazis pendant la 2ème guerre mondiale) avait été volée à Bletchley Park (site où Turing et des chercheurs anglais ont cassé Enigma en 1940) en Avril. Une demande de rançon pour la restitution de la machine avait fait suite à ce vol.

La machine vient d'être restituée (en fait envoyée à un journaliste de la BBC) de manière énigmatique. Bonne nouvelle, car il ne reste plus que peu d'exemplaires d'Enigma encore en état de fonctionner (une douzaine si mes infos sont bonnes).

En 1997, le gouvernement américain lançait un appel aux chercheurs du monde entier pour qu'ils développent un algorithme cryptographique (autrement dit une méthode de codage secret), destiné à remplacer un standard universel, le DES, une méthode de codage en vigueur depuis 1977. Au bout d'une véritable course qui a duré trois ans et que le gouvernement qualifie "d'olympiades de la cryptographie", c'est une équipe de deux chercheurs belges (Joan Daemen de chez Proton World, et Vincent Rijmen de la Katholiek Universiteit Leuven) qui a remporté la "médaille d'or" de cette épreuve marathon.

Décidément...
Le site web de l'APRIL vient de publier un article de Lol Zimmerli sur OpenSSH, une implémentation libre de SSH développé par l'équipe de OpenBSD. A lire !
Quoi ? T'utilises pas encore OpenSSH ?! :-)

Je ne saurais trop conseiller la lecture de l'oeuvre intégrale de Neal Stephenson.
Son style, ses références, son érudition scientifique, et son humour "sont fait pour nous les geeks" :-) :

* Zodiac, un eco-thriller qui est devenu le bouquin de chevet de nombreux eco-activistes Américains.

* SnowCrash (Le samouraï Virtuel) : remet au gout du jour le cyberpunk avec un bonne dose d'humour. Il contient au moins une idée originale par page.

* Diamond Age (L'age du Diamant) : pour moi le premier bouquin à donner une vision complète des futures technologies Nanotechs et crytographiques.

* Cryptonomicon : un pavé de 900 pages se déroulant sur trois générations, entre la 2ème guerre mondiale et la création d'un dat-heaven de nos jours. Le tout tournant bien entendu autour de la cryptographie (on y parle aussi de Finux...). Attention c'est le premier tome d'une trilogie.

Multimedium (vu sur nospoon) a publié un article intéressant sur la sécurité de deux systèmes en vigueur: L'open source et le logiciel propriétaire.
Plusieurs dizaines de problèmes de sécurité sont corrigés tous les jours dans plusieurs logiciels open-source mais plusieurs autres apparaissent très régulièrement. Trop régulièrement! (Freshmeat, Bugtaq et confrères).
Ce qui met vraiment la puce à l'oreille et qui blesse aussi, c'est de savoir que même OpenBSD peut etre vulnérable. PGP, qui a subi moults audits nous a gratifié récemment d'une belle faille de sécurité. Les deux systèmes étaient deux ténors de la sécurité.
Nous pouvons aussi faire le compte de tous les problèmes de sécurité dans les logiciels propriétaires. Windows NT est un système *très* répandu et pourtant le nombre de failles ne me parait pas grandir de manière journalière.
Mon propos ne se veut pas insultant. Loin de la. Mais comment ne pas penser qu'un système fermé, si bien programmé et en connaissance de cause, peut etre plus sécurisé. La discussion est ouverte. Trolleurs en tout genre s'abstenir

Sur Upside Today, un bref article explique l'attitude adoptée par les développeurs OpenBSD vis à vis des vulnerabilités de type 'format strings'. Rappelons que ce type d'attaque est due à une mauvaise utilisation de fonctions prenant un nombre variable d'arguments, tels printf(3). Avec de telles fonctions, une chaine de format bien choisie sans paramètre supplementaire permet de lire ou écrire dans des zones non prévues.

A noter que ce type de vulnerabilité a été découverte assez récemment et a été reportée dans de *nombreux* logiciels libres, tous systèmes confondus.

Vous désirez connecter un réseau local à l'Internet et vous ne savez pas comment vous y prendre, ou alors vous aimeriez aborder OpenBSD et le situer par rapport à Linux dans un même contexte d'utilisation mais vous ne savez pas dans quel livre regarder, celà tombe bien nous avons lu un livre qui pourrait bien répondre à vos attentes.

Extrait :
De nos jours il est de plus en plus fréquent aussi bien à la maison ou au sein des petites entreprises que le ou les réseaux locaux soient connectés à l'Internet ; or peu d'ouvrages présentent de façon pratique une telle connexion. "Building Linux and OpenBSD firewalls", comme son titre l'indique montre de façon pratique comment réaliser une telle connexion sous ces 2 systèmes d'exploitation. "

L'essentiel est dans le titre.
Ce patch permet :
- de rendre la pile non exécutable
- de limiter l'accés à /proc
- restrictions des liens et des FIFO dans /tmp
- ...

Il existe depuis peu un concurrent français aux géants Verisign, Thawte et Baltimore. Le petit nouveau s'appelle Certinomis, et propose, comme ses concurrents, des certificats X509 pour sécuriser les échanges de données via HTTP, mais aussi pour identifier les personnes qui se connectent à un site Web.
C'est d'autant plus intéressant que contrairement à ces derniers, Certinomis n'offre pas un outil simplement "technique", mais aussi une assurance juridique (puisque la signature électronique a maintenant une valeur juridique en France). Certinomis propose de télécharger gratuitement un certificat personnel de test, d'une validité de 3 mois.
Note du modérateur : Certinomis est une filiale commune de La Poste et de la Sagem

Bon, je sais que l'info est sur /. mais comme tout le monde ne le lit pas forcément et que le sujet intéresse nombre d'entre nous: RootPrompt a fait une série d'articles intéressants sur la manière de sécuriser Linux pour le connecter à un réseau hostile (genre Internet) sans craindre les script kiddies. Et pour les amateurs de Debian (il y en a pas mal aussi par ici je crois ;-), une section spéciale qui vous explique comment "cacher" votre ordinateur favori pour éviter les scans.
Très bien fait, en partculier pour celui qui n'est pas un expert en sécurité, mais en anglais malheureusement.

PGP, le logiciel de cryptage bien connu, a été racheté en 1997 par Network Associates (ex- McAfee Associates), et depuis ce temps il semble que le programme antique sous MS-DOS Unix s'est transformé peu à peu en une grosse windozerie. Des utilisateurs français qui n'ont pas digéré les derniers bugs (2 bugs en 3 mois, faut dire, dont un dans la version 5.0 Linux) en ont eu marre et tapent du poing sur la table. Ils déconseillent la nouvelle version 7.0 et conseillent GnuPG (GnuPG 1.0.3 vient de sortir avec l'algo RSA dont le brevet tombait ce mois-ci dans le domaine public).

Tout est dans le titre.
Il faut tout de même précisé qu'il existe des correctifs que les administrateurs réseaux connaissent sûrement...

Note du modérateur: Encore un article pour l'internaute moyen qui va lui faire prendre peur :)

Voilà, une adresse qui peut intéresser ceux qui sont effrayés à l'idée de configurer leur firewall eux-même.
Le site propose la création automatique d'un script firewall en fonction de vos paramètres. Une fois le fichier édité, un copier-coller dans un fichier, et voilà.

Europe Online propose un accès Internet par satellite. Seulement il s'avère que les transmissions ne sont pas du tout sécurisées et il est ainsi tout à fait possible d'espionner ce que consultent les autres utilisateurs (plusieurs milliers).

D'autre part le logiciel utilisé pour recevoir des fichiers offline, Fazzt, n'est pas plus sécurisé.

J'en profite également pour dénoncer les pratiques scandaleuse d'Europe Online et de son revendeur français Easynet (débit en constante baisse, surf impossible,...)

D'après Linux Weekly News, un bug de l'utilitaire /bin/su permettrait à n'importe quel utilisateur d'obtenir un shell root sans avoir à saisir de mot de passe. Il est recommandé de désactiver su sur les machines ayant des utilisateurs locaux, en attendant un correctif.

Un petit article, trouvé sur securityfocus, qui explique ce que sont les attributs sous ext2fs et ce que l'on peut en faire dans la pratique.

Ce matin à la Défense, un séminaire sécurité organisé par ISS, RSA, Lucent et d'autres. Quelques démos de piratage, assez basique et anciennes. Toutefois intéressant car reproductible par n importe qui.
J ai posé quelques questions, et en résumé il y a une relative humilité de la part des prestataires. Malgré cela, ISS a mis en avant X-Force, en prétendant qu'ils allaient plus vite que les Hackers.
Enfin, pour ce qui est des produits, tout est closed source, ce qui pour moi n'est pas un gage de confiance. De plus on amuse la galerie avec les démos, mais que dans les discussions, il semble que vraies solutions intégrées ou l'on considere toute la chaine de l'information ne sont pas légion.

Bon je sais que c'est pas un scoop puisque vous lisez vous aussi bugtraq tous les jours ...
Mais cette faille me paraît d'importance puisqu'elle touche les daemon ntp livrés avec nos distributions linux et bsd... mais aussi celles de certains unix proprietaires (sun...).
L'exploit livré sur bugtraq ne concerne que linux et bsd sur x86, mais quelqu'un de pas trop c.n pourra le porter sur sun, linux pour alpha...
De plus on peut craindre que l'accès public aux serveurs NTP sur internet ne soit coupé pendant un certain temps... voir peut-être coupé tout simplement.

Note du modérateur : heureusement qu'un patch est sorti le jour même... donc si les admins font leur boulot, pas de risque que les accès aux serveurs soient coupés :-)

CanSecWest/core01 (28-30 mars à Vancouver BC) fut un véritable succès !

Note du modérateur: bon ca fait un peu cours comme news, mais allez jeter un oeil aux photos, c'est amusant.