Security Remote Password est une alternative en Open Source à
l'authentification classique sur le réseau.
La version à télécharger sur le site inclut un FTP et un Telnet sécurisés.

NdM. : cette dépêche a été initialement publiée le 08/12/1999 à 09h29, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

La Lyonnaise des Eaux avait un serveur Web Netscape très mal configuré.
Alors, ils l'ont viré et remplacé par un Apache.

NdM. : cette dépêche a été initialement publiée le 14/12/1999 à 18h33, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Un site très bien documenté sur "l'affaire Humpich" ou comment vous faire poursuivre en justice lorsque vous dévoilez les faiblesses d'un système ... Encore une victoire pour la politique par l'obscurantisme ... Reste à savoir comment se proteger des banques à present. Ca ne vous indigne pas vous ? PS: Vous croyez qu'ils vont refermer altern.org ? NdM. : cette dépêche a été initialement publiée le 01/02/2000 à 00h45, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Javascript serait une faille de sécurité, bref on apprend rien mais on
peut avoir plus de détails sur le lien qui suit.

NdM. : cette dépêche a été initialement publiée le 06/02/2000 à 23h52, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Je viens de recevoir un mail m'informant du fait que la cnil a autorisé l'Agence de Protection du Logiciel à consulter les fichiers des providers internet. Les abonnnés pourrait même, au travers de plugs in téléchargeables, être controllé en direct. Actuellement seuls AOL, Wanadoo et Compuserve ont communique les fichiers abonnés. Note du modérateur: cette rumeur avait déjà été démentie l'année dernière, voir leur communiqué de presse. NdM. : cette dépêche a été initialement publiée le 10/02/2000 à 10h28, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

PaX est un projet visant à apporter à Linux des moyens de prévenir et/ou de minimiser l'impact des failles donnant accès à l'espace d'adressage d'une tâche, comme les dépassements de tampon (buffer overflow), les format string attacks, etc. Il est une partie importante de grsecurity, qui fournit un ensemble d'améliorations liées à la sécurité pour Linux (protection renforcée des chroot , RBAC, etc.).

Le projet a annoncé le 4 mars la présence d'une faille majeure dans le code même de PaX, permettant d'obtenir à un utilisateur simple de gagner des droits plus importants sur le système, voire des droits administrateurs. Cette faille est exploitable localement, mais une exploitation à distance semble peu probable.

Une version mise à jour du patch est bien sûr disponible sur le site de PaX, ainsi que la version 2.1.2 de grsecurity qui inclut le correctif. Dans l'urgence,

# echo "0 0" > /proc/sys/vm/pagetable_cache

...permet d'éviter le principal vecteur d'exploitation potentiel.

Les auteurs de PaX ont par ailleurs déclaré qu'au vu de la gravité de la faille et pour d'autres raisons, le développement de celui-ci serait arrêté au 1er avril 2005. Brad Spengler, un des auteurs de grsecurity, s'est cependant porté volontaire pour reprendre le flambeau.

NdM : merci à mmenal pour avoir contribué à la news.

T.Rex est un firewall open source annoncé aujourd'hui par Freemont
Avenue Software. Le firewall est disponible sous licence LPL, une copie de
la licence QPL.

NdM. : cette dépêche a été initialement publiée le 11/02/2000 à 14h48, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

La France a décidé de réagir après la confirmation de l'existence
d'ECHELON (réseau informatisé international d'espionnage au profit des
américains, anglais et australiens qui captent toutes les conversations
téléphoniques, informatiques ….). Cette réaction est due à l'échec d'un
gros contrat d'AIRBUS au profit de BOEING (l'autre géant de Seattle).

NdM. : cette dépêche a été initialement publiée le 11/02/2000 à 11h09, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Des petits malins ont mis les derniers soft d'attaques utilisés pour paralyser Yahoo, CNN sur PackerStorm. Note du modérateur: est-ce exact ? NdM. : cette dépêche a été initialement publiée le 14/02/2000 à 17h20, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Une petite doc excellente du MIT sur l'utilisation de SSH est
disponible en ligne.
Il explique le tunnelling X11 ou ftp, bref à voir.

NdM. : cette dépêche a été initialement publiée le 16/02/2000 à 15h36, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Linux PAM, le système d'authentification pour Linux, est sorti avec en version 0.79.

Elle apporte, en plus de la correction de nombreux bugs, le support des limitations du noyau 2.6 dans le module pam_limits, ainsi qu'un support expérimental du système de détection d'intrusions Prelude IDS, qui permet à Linux PAM d'agir comme une sonde pour rapporter des alertes à Prelude à chaque fois qu'un utilisateur est appelé à s'authentifier.

Des chercheurs anglais ont découvert une grave faille de sécurité dans les protocole IPSec, utilisés pour le cryptage des paquets dans les réseaux VPN.

Cette faille concerne les tunnels IPSec ESP (Encapsulating Security Payload) et certaines configurations utilisant AH (Authentification Header), et permet à l'attaquant de récupérer en clair le contenu d'un paquet qui ne lui est pas destiné par un message d'erreur ICMP. Elle est considérée comme grave, et cible potentiellement un grand nombre de réseaux d'entreprise.

Des solutions sont d'ors et déjà disponibles, mais elles imposent la modification de la configuration du VPN.

Deux liens vers des documentations sur apache, ainsi que tripwire. Bref
de la lecture pour ce soir.

NdM. : cette dépêche a été initialement publiée le 29/02/2000 à 19h50, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

TripWire Inc., spécialiste de la sécurité, décide de passer dans le monde du logiciel libre. Cette décision devrait permettre de développer la sécurité sous Linux (notamment pour la lutte contre les attaques DDoS). NdM. : cette dépêche a été initialement publiée le 01/03/2000 à 04h27, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Le Challenge SecuriTech est un concours de sécurité informatique en ligne, gratuit et ouvert à tous.

À partir du samedi 11 juin 2005 à 00h00, plus de 15 épreuves de sécurité vous seront proposées. Vous aurez alors 3 semaines pour les résoudre. Elles couvriront de nombreux aspects de la sécurité tels que les failles web et applicatives, l'analyse réseau, le reverse engineering, la cryptanalyse, la stéganographie, le forensics, etc. Chaque épreuve résolue vous apportera un certain nombre de points, permettant d'effectuer un classement. De nombreux lots récompenseront les meilleurs.

Deux nouveautés viendront agrémenter cette troisième édition : tout d'abord l'intégration des challenges au sein d'un scénario, ensuite l'orientation des niveaux, plus proches de vraies problématiques de sécurité.

Venez tester, améliorer et comparer vos connaissances en sécurité avec plus de 2500 autres participants !

Les inscriptions sont ouvertes sur http://www.challenge-securitech.com/

Le challenge « SecuriTech » est organisé par le Mastère Spécialisé « Sécurité de l’Information et des Systèmes » de l’ESIEA, formation BAC+6 accréditée par la commission des Grandes Ecoles.

Le jeudi 2 juin, le Cetic organise un groupe de discussion sur l'utilisation des critères communs en sécurité.

La certification Common Criteria (ou CC) est une norme mondialement reconnue (ISO-IEC 15408) pour l’évaluation de la sécurité des produits et des systèmes informatiques.

Eric Gheur, de Galaxia, fera une introduction aux Common Criteria. Jean-François Molderez, du Cetic, présentera l’utilisation et la modélisation des concepts Common Criteria en vue d’une meilleure maitrise du processus de certification.

Enfin, Yann Droneaud, de Mandriva, présentera les rapports entre Linux et les Common Criteria. Il abordera la signification des certifications EAL3 de SuSE et Red Hat Linux ainsi que le développement en cours d'un système à base de noyau Linux et visant la certification EAL5.

INTRINsec annonce deux outils open source pour la sécurité : VultureNG et Owl.

VultureNG est une solution de proxy inverse basée sur Apache et mod_perl intégrant la gestion de l'authentification et sa propagation sur les applications (SSO) sans modifications. Vous pouvez également vous en servir localement vers des sites distants pour profiter de l'authentification unique et accéder à vos différents comptes (webmail, banque, linuxfr, intranet, etc.) directement.

VultureNG est dans les contribs de Mandriva et l'arbre Portage de Gentoo, et des RPMs pour d'autres distributions sont disponibles sur le site.

Pour sa part, Owl est un outil de gestion de bande passante. Il permet d'utiliser simultanément plusieurs connexions Internet. Owl assure également l'optimisation de la bande passante en s'appuyant sur le shaper HTB.init (NdM : HTB="Hierachical Token Bucket").

Une interface d'administration permet de configurer le tout et de consulter les graphiques des statistiques d'utilisation par connexion et par protocole.

Le site Secuobs.com, notamment sponsor du concours de sécurité Challenge-Securitech qui se déroule en ce moment même et cela jusqu'au 1 juillet, met à votre disposition un dossier spécial sur la conférence de sécurité CanSecWest 2005 qui a eu lieu à Vancouver au début du mois de mai.

Au programme vous trouverez notamment un article sur la présentation par Philippe Biondi de l'utilitaire Scapy dont il est le créateur et qui s'impose progressivement comme le couteau suisse de la manipulations de paquets (IP, ARP).

Vous trouverez également dans ce dossier un article sur la présentation de HD Moore et SpoonM à propos de la sortie de la version 2.4 de l'environnement de travail Metasploit qui permet entre autre de tester des exploits (code permettant d'exploiter une faille) sur vos propres serveurs.

A voir également parmi les autres articles de ce dossier :

- le système métrique d'évaluation de la criticité des failles CVSS (Common Vulnerability scoring system) basé sur les propos de Mike Schiffman (Packetfactory),

- une réflexion menée par Brian Martins & Jake Kouns (Opensource Vulnerabilities DataBase - OSVDB) sur la qualité du service offert aujourd'hui par les VDB et son rapport à la vitesse de diffusion.

- et finalement une synthèse des conférences de Maximillian Dornseif (LDDS) & David Maynor (ISS) sur les failles qui émergent de l'accès à la mémoire centrale via DMA (Direct Memory Access) par les périphériques de type USB/PCMCIA/Firewire de plus en plus nombreux, supportés et usités par les utilisateurs de système libre (cf. Open Host Controller Interface - OHCI).

Voici Nuface, une interface web intuitive pour administrer les pare-feux EdenWall/NufW. Cet outil de haut niveau d'abstraction permet également d'administrer des pare-feux Netfilter non authentifiants.

La philosophie de l'outil est de définir et de manipuler des objets de haut niveau (tels que des protocoles, des ressources et des sujets), et de les combiner pour créer aisément des listes d'accès (ACLs). Ces ACLs sont alors interprétées par l'outil et déclinées en règles Netfilter. Pour ce qui concerne les pare-feux EdenWall/NuFW, Nuface met également à jour les listes d'accès dans l'annuaire LDAP pour satisfaire à la politique de sécurité choisie.

Les récents déboires de Fortinet avec la licence GPL ont poussé de nombreuses personnes à s'interroger sur la manière dont les autres éditeurs travaillent avec les composants open source.

Heureusement, certaines entreprises (trop peu nombreuses ?) jouent le jeu de l'open source et n'hésitent pas, tant que possible, à partager le fruit de leurs développements. C'est notamment le cas de la société Arkoon Network Security, décrit à travers une récente interview donnée au portail Vulnerabilite.com, qui base un tiers de ses développements sur des composants open source et qui contribue en parallèle aux projets « Freeswan/Openswan », « Linux Kernel », « BusyBox » et « jftpgw ».

Le collectif GPL-Violations.org, à l'origine de la plainte contre Fortinet, a le mérite d'avoir provoqué une réelle prise de conscience des entreprises et à l'heure qu'il est, il est fort probable que de nombreuses sociétés travaillent discrètement pour mettre en conformité leurs solutions avec les licences open source.

La reconnaissance de l'open source est en marche. Il est simplement dommage qu'elle ait dû passer par des voies juridiques pour se faire entendre.

Whoppix, le Live-CD spécialisé dans les tests d'intrusion, nous a quitté à sa version 2.7.1 final. Son auteur a annoncé ce week-end la mort du Live-CD basé sur Knoppix au profit d'un nouveau, basé sur SLAX (le Live-CD de Slackware) et baptisé logiquement WHAX (en majuscules, s'il vous plaît).

NFWS2005, le Netfilter Workshop aura lieu cette année du 3 au 8 octobre à Séville.

Cet événement comportera :
- L'atelier des développeurs avec un programme impressionnant : support IPv6, support de nouveaux protocoles (VoIP, H.323, PPTP), support de la Haute Disponibilité...
- Une conférence des utilisateurs : outils d'aide au déploiement, projets tiers (avec notamment une présentation de NuFW, le pare-feu authentifiant), et bien sûr quelques mots sur les violations récentes de la GPL par des fabricants de boîtes noires.
- Et deux jours supplémentaires de codage intensif.

Événement incontournable pour ceux qui s'intéressent de près au filtrage IP sous Linux, l'atelier Netfilter est avant tout un lieu de rencontre et de partage, qui permettra aux développeurs, comme les années précédentes, de faire connaissance avec les "nouveaux" et de définir les développements à venir.

Secuobs.com propose un tutoriel sur un ensemble de logiciels libres (Tor, Privoxy, Switchproxy) permettant d'assurer le respect de votre privée. Cet anonymat peut être assuré pour l'ensemble des applications reposant sur le protocole TCP (Transport Control Protocol) sous GNU/Linux.

Vous y trouverez également des informations sur la conférence tenue par Roger Dingledine (mainteneur du projet Tor) lors du Woodstock numérique What The Hack qui a réuni plus de 3000 participants (hackers et geeks) en juillet dernier près de Eindhoven aux Pays-Bas.

Ce tutoriel fait parti d'un dossier sur ce rassemblement, vous y trouverez notamment un article sur la pétition commune de XS4ALL et l'EDRI contre la rétention des données de connexion.

L'acceptation du projet de directive se joue en ce moment même au parlement européen, votre soutien est plus que le bienvenu.

Privacy is not a crime...

Roland Moreno, l'inventeur de la carte à puce, a annoncé lundi qu'il
offrait un million de francs à qui réussirait à violer une carte à puce
existante tout en reconnaissant qu'on peut fabriquer de fausses cartes
bancaires utilisables dans certains terminaux de paiement.
(source AFP)

NdM. : cette dépêche a été initialement publiée le 13/03/2000 à 19h08, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Nouveau site pour Openca.org ! OpenCa est une PKI en open source,
offrant tout les services attendus pour l'administration, l'enregistrement,
la gestion des certificats, et l'autorité de certification, le tout depuis
un navigateur web. Produit indispensable pour les administrateur sécurité.

NdM. : cette dépêche a été initialement publiée le 16/03/2000 à 16h53, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).