Un ancien collègue est en train de développer une solution en Open Source qui permet le déploiement facile d'une solution de détection d'intrusion (IDS en bon anglais ;o)

Il recherche de l'aide pour faire avancer son projet.

Privacy International vient d'annoncer les gagnants du concours des mesures de sécurité les plus stupides. Il y a eu plus de 5000 participants dans 35 pays.
Comme le commente le Directeur de Privacy International, « Le nombre très élevé de participants (nominations) démontre bien le ridicule de la situation. »

La version 2.0 de l'excellent IDS (Système de Détection d'Intrusions) Snort vient de voir le jour.

Parmis les nouveautés on remarquera en particulier :
- amélioration des performances ;
- audit du code par une société externe au projet ;
- amélioration du chroot().

Après plusieurs mois de gestation, la dernière version de cette distribution firewall/proxy... vient de sortir.
Il s'agit d'une version majeure puisqu'elle est désormais basée sur un noyau 2.4 et utilise iptables, mrtg, FreeSwan, snort 2.0 etc...

Ndm : merci à martial et kbis pour avoir également proposé la news.

D'après une entreprise russe spécialisée dans le domaine de la sécurité, ainsi que plusieurs sites web d'informations, le géant du réseau a été attaqué par un pirate. Celui-ci aurait volé environ 800 Mo de "code source", mais on ne sait pas trop ce que contient ce code.

Selon toutes vraisemblances, le code volé concernerait la version 12.3 de Cisco IOS. Il est donc probable que cet événement concerne quasiment 90% des équipements réseau. Cisco est en "alerte rouge" sur le sujet.

La version 2.1.0 de Nessus est sortie. Nessus est un scanner de vulnérabilités, permettant d'identifier à distance certaines failles présentes sur les machines d'un réseau.
La grande nouveauté de la version 2.1.0 par rapport aux précédentes versions est le "test local", c'est-à-dire la capacité à pouvoir s'identifier sur les machines distantes par SSH et de vérifier que tous les bons patches ont été appliqués.
Les OS supportés pour le moment sont FreeBSD, Red Hat Enterprise Linux, Solaris et MacOS X. Apparemment, le support de SuSE et Debian est en cours de développement.

Je profite de l'ouverture des insrcriptions pour vous donner le lien de la conférence SSTIC, qui se tiendra sur le campus de Supélec a Rennes du 10 au 12 juin. Elle réunira parmi les plus grand experts français en matière de sécurité informatique.

Les thèmes traités :
- Guerre de l'information (Y. Correc, DGA/Celar)
- La sécurité dans les réseaux sans fil ad hoc (Gayraud et al.)
- Les enjeux de sécurité dans l'usage des Technologies de l'Information et des Communications (P. Wolf, DCSSI)
- Des clés et des trappes en cryptographie (E. Wegrzynowski)
- BGP et DNS: attaques sur les protocoles critiques de l'Internet (N. Dubée)
- ...

La conférence est réalisée en partenariat avec le CEA, l'ESAT (l'ecole supérieure et d'application des transmission, Armée de terre), Supélec, Cartel sécurité, SEE et le magazine MISC.

Le SSTIC poursuit donc un double objectif : didactique et prospectif. Les thèmes traités comprendront à la fois les vecteurs de l'informations (systèmes, réseaux, ...) mais aussi l'information elle-même (guerre de l'information, cryptographie, ...).

Le prix de la conf. est de 120 euros pour 3 jours, déjeuners compris.

A bientôt... ;-)

Le problème se situerait dans la manière dont le noyau gère les tables de routage.
Il semble qu'il soit possible, en forgeant des paquets émis par des adresses bien choisies, de paralyser un système Linux (même sans outils GNU) avec seulement 400 paquets par seconde.

Une faille de sécurité locale semble également avoir été detectée. Elle permet à un utilisateur normal d'utiliser tous les ports d'entrées/sorties sans restrictions.

Note : cette faille date du 15 mai.

Les déclarations intéressantes du général Jean-Louis Desvignes (ancien chef du service central de la sécurité des systèmes d'information et actuel commandant de l'Ecole supérieure et d'application des transmissions - l'ESAT, chargée de former les informaticiens de l'armée) lors du 1er Symposium sur la sécurité des technologies de l'information et de la communication (SSTIC) à Rennes.

Il parle de la restriction de la vie privée, des techniques "anti-piratages" (TCPA, Palladium, tatouage de puces), pousse un "Vive les logiciels libres" et dit notamment que "l'administration doit donner l'exemple, et le recours aux logiciels libres "prendrait plus de sens s'il était réellement soutenu à l'échelle de l'Union Européenne"". Enfin il cause de cryptographie et du faux problème de la longueur des clés. Rien que de bonnes idées !

Le Netfilter Workshop 2005 a commencé ce matin à Séville : les discours d'introduction et la présentation du programme se sont terminés juste au moment de l'Eclipse solaire.

Cet atelier devrait permettre de définir les orientations du projet Netfilter, et également d'avancer sur les mises à jour de technologies à venir.

Sponsor de l'évènement, INL a mis en place un site qui permet de suivre les activités de l'atelier en temps réel.

Le Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC) qui s'est déroulé début Juin à Rennes fût cette année encore un succès avec près de 400 participants.

Nous sommes heureux d'annoncer la mise en ligne des actes de cette édition ainsi que de différents comptes-rendus.

Les sujets présentés sont variés : virus sous OpenOffice.org, fonctionnalités de ptrace, étude de Skype, sécurité ADSL, contournement d'IDS, outil de détection de tunnels, contournement de securelevel, faiblesses d'IPv6 et d'IPsec, RFID, RPC et BitLocker, etc.

Sujet d'actualité il y a quelque temps sur linuxfr, TCPA ( https://www.trustedcomputinggroup.org/about/ ) est aujourd'hui assez peu présent dans les sujets de discussion abordés sur ce site, et même ailleurs. Cela n'empêche pas cette initiative de se développer, voire de croître d'une manière surprenante si l'on regarde les modèles d'ordinateurs équipés de puces TPM commercialisés dernièrement par les constructeurs.

M'intéressant aux machines sorties récemment, j'ai parcouru les sites de différents constructeurs afin de voir quels sont les modèles disposant de telles puces, pour voir l'ampleur de la diffusion de cette technologie. Je me suis uniquement dirigé vers les ordinateurs portables, qui représentent pour moi aujourd'hui le marché le plus large et intéressant. Cela m'a permis de me rendre compte que c'est surtout avec la nouvelle plateforme Core Duo d'Intel que ces puces se mettent à envahir les étals virtuels des marchands.

[Cet article est issu du journal de benoar.]

Devant la popularité sans cesse croissante des "pots de miel" ou honeypots, Lance Spitzner de tracking-hackers.com se pose la question de leur légalité vis à vis de la législation aux Etats Unis.

Le problèmes des honeypots c'est qu'ils touchent à 3 points gérés par le législateur:
- l'incitation au crime
- la vie privée
- la responsabilité

Chacun de ces points est présenté et analysé.

Comme le précise l'auteur, ces réflexions lui appartiennent et ne tiennent pas lieu de vérité absolue.

NdR : N'étant pas expert en droit français je me demande si ces questions ne sont pas aussi pertinentes de ce côté-ci de l'Atlantique?

Le Gartner Group a publié un article expliquant que les IDS n'avaient, selon eux, que peu d'utilité. Les analystes ont indiqué qu'il était préférable de dépenser le budget leur étant affecté pour acheter de nouveaux pare-feux (firewall) analysant les couches supérieures des trames réseaux.

Les expériences des lecteurs de Linuxfr sur les IDS et les pare-feux applicatifs sont les bienvenues.

La Guilde (Groupement des Utilisateurs Linux du Dauphiné) organise une conférence Linux sur le Firewall et la sécurité d'un réseau personnel.

Cela se passe à l'ENSIMAG, sur le campus de campus de Saint Martin d'Hères (à coté de Grenoble, 38), le mercredi 2 juillet à 20h00.

L'entrée est libre, venez nombreux !

Un article sur Securityfocus nous explique comment des tests sont réalisés grâce à IPtables, pour ralentir la propagation des vers.
Attention il s'agit d'une méthode expérimentale, à ne pas utiliser sur des systèmes en production.
Le principe est d'accepter les connexions TCP, sur les ports non utilisés (les cibles potentielles d'un vers), de les garder actives un certain temps, mais sans répondre. L'effet produit est que le ver doit attendre la fin de son délai d'attente de réponse (« connection timeout »), pour déconnecter.
Bien sûr entre temps, la machine ne répond pas à d'éventuelles demandes de déconnexion du ver.
L'article indique que le patch du noyau devrait être disponible par défaut dans la distribution Gentoo.

NdM: Le serveur de netfilter ne répond pas, auraient-ils par erreur fait un iptables -A INPUT -p tcp -m tcp --dport 80 -j TARPIT ? :-)

La première version publique de NuFW vient de sortir. NuFW est un ensemble de démons permettant de réaliser un filtrage des paquets au niveau utilisateur.
Cette version propose :
- un démon relai à implanter sur le firewall
- un client pour linux et TCP
- un démon réalisant la synthèse des deux précédents et utilisant une base LDAP pour le stockage.

Le Symposium sur la Sécurité des Technologies de l'Information et des Communications est une conférence francophone traitant de la sécurité de l'information. Ce thème comprend à la fois les vecteurs d'information (comme les systèmes informatiques ou les réseaux) et l'information elle-même (cryptographie ou guerre de l'information).

La cinquième édition se déroulera à Rennes du 30 mai au 1er Juin 2007.

Nous avons publié l'appel à contribution et comme les années précédentes, toutes les soumissions seront examinées avec intérêt, qu'elles soient techniques, académiques, juridiques, organisationnelles, etc.

Double information tournant autour de l'authentification forte. Consultez la deuxième partie de la depêche pour en savoir plus.
Tout d'abord, le consortium OATH a publié les spécifications de deux algorithmes permettant de concevoir des tokens matériels :

• Une première spécification publiée courant 2004 concerne les générateurs de mots de passe en mode asynchrone : à chaque appui sur un bouton du token, un nouveau mot de passe est généré ;
• Une deuxième spécification, publiée il y a quelques jours à peine (d'où cette dépêche) traite d'un mode de génération de mots de passe à usage unique dépendant du temps, où chaque mot de passe possède une durée de vie de quelques secondes.

Ces deux documents permettent d'imaginer des tokens matériels d'authentification forte libres. Pas gratuits, ça non, mais ouverts, ce qui serait déjà un grand pas en avant.

Et justement, le projet OpenToken vise à concevoir des tokens ouverts, ainsi que les outils logiciels associés, en se basant sur la dernière spécification OATH afin de garantir un fonctionnement transparent. Pour l'instant le projet est en cours de lancement et les objectifs sont ambitieux, n'hésitez donc pas à vous abonner à la liste de diffusion opentoken-devel pour contribuer.

Si le concept vous intéresse, ces informations sont présentées plus en détails dans la suite de la dépêche...

OpenSSH est un célèbre serveur prenant en charge les protocoles SSH version 1.3, 1.5 et 2.0.
Il vient juste de sortir une nouvelle version, la 3.7. La mise à jour est recommandée puisqu'un bug potentiellement exploitable au niveau de la sécurité a été corrigé.

NdM : La page en français n'est pas encore à jour.

Olivier HOUTE nous informe :
Faille dans sendmail (exploitable en local).
Une nouvelle faille de sécurité vient d'être trouvée
dans Sendmail (y compris le 8.12.9). Le site Sendmail n'est pas encore à jour, mais le patch est déjà disponible.

Samuel DUBUS nous apprend l'existence d'...
Une vulnérabilité dans la nouvelle version de OpenSSH !

Alors que la nouvelle version de OpenSSH vient à peine de sortir il y a deux jours, une vulnérabilité permettrant un déni de service sur le démon OpenSSH vient d'etre découverte. Cette vulnérabilité est exploitable sur toutes les versions d'OpenSSH jusqu'à la version 3.7. Une nouvelle version est déjà disponible sur le site de OpenSSH : la 3.7.1.

Alors, pour ceux qui ne sont pas à jour ... direction le site de téléchargement d'OpenSSH.

Martin Roesch, l'auteur de Snort, s'est fendu d'un démenti officiel afin de calmer les esprits depuis qu'un groupe de pirates affirme avoir pénétré le réseau de Sourcefire et placé une porte dérobée dans Snort.

Certains se demandaient si la suite Sentry qui se compose de logcheck et de portsentry allait totalement disparaitre depuis le rachat de Psionic (la société qui l'avait développée) par Cisco.

Logcheck comme son nom l'indique sert à verifier les logs et portsentry permet de détecter les scans de ports et d'y réagir directement.

Après plusieurs mois d'absence, cette suite a fait sa réapparition sur le site de sourceforge avec en plus une modification de la licence:

- GPL pour logcheck
- CPL pour portsentry

Pour les accros de la sécurité, ce petit kit très léger puisqu'il ne pèse que quelques Ko, founit un moyen très efficace de se défendre contre le nombre croissant d'analyses de failles faites par les pirates toujours plus nombreux. En plus de détecter un scan, portsentry va «logger» l'attaquant, éventuellement le bloquer et même si le coeur vous en dit lui renvoyer une bandeau de mise en garde.

Dans le cadre de la refonte de son architecture d'annuaires LDAP, la Direction Générale de la Comptabilité Publique (Ministère des Finances) a récemment publié ses travaux concernant l'adaptation d'Apache en reverse proxy. Cet équipement permettra de réaliser le Single-Sign On pour de nombreuses applications métier du Trésor Public. Ce projet se situe dans un environnement technique exclusivement composé de Logiciels Libre (Linux, OpenLDAP, MySQL, Perl ...) et est actuellement utilisé en production après avoir subi une série de tests de performances très concluants.

Un article sur SecurityFocus.org fait suite à la présentation de la technique des TARPITS (cf : lien vers l'ancienne dépêche).

Cette fois, c'est l'utilisation de deux type de honeypots différents, dont le démon honeyd, qui est détaillée, dans le cadre de la lutte contre les vers.
Le but étant de : piéger le ver pour l'étudier, ralentir sa propagation, déclencher des alarmes, prendre différentes mesures de protection, et même le contrer en désinfectant le système source de l'attaque.

En fin d'article, on a droit à un exemple de désinfection de Blaster.