Root Me permet à chacun de tester et d’améliorer ses connaissances dans le domaine de la sécurité informatique et du hacking. Cette communauté met librement à disposition une plateforme dédiée à l’apprentissage du hack, en publiant notamment des challenges avec leur solution, des articles, mais également des environnements virtuels au travers du "CTF all the day".

Le système de CTF all the day évolue :

• c’est désormais un environnement virtuel qu’il est possible d’attaquer, composé d’une ou plusieurs machines virtuelles
• plus de salles de CTF permettant plus de parties simultanées
• plus de 30 environnements virtuels sont désormais disponible

Le premier challenge a bénéficier de cette évolution est « Bluebox - Pentest », vous vous retrouvez dans la peau d'un pentester attaquant une infrastructure Microsoft Windows Active Directory complète : time to take a revenge ? ,-)

Root-me est un MOOC (Massive Open Online Course) de sécurité informatique. Root Me permet à chacun de tester et d’améliorer ses connaissances dans le domaine de la sécurité informatique et du hacking. Cette communauté met librement à disposition une plateforme dédiée à l’apprentissage du ethical hacking.

Nouveautés et évolution pour Root-Me.org :

• nouveau design ;
• rémunération pour les créateurs de challenge sur une liste pré-établie par le staff ;
• une boutique en ligne en partenariat avec Spreadshirt ;
• la possibilité aux membres de la communauté de cotiser pour l'association et de bénéficier de privilèges supplémentaires ;
• de nombreux environnements virtuels ont été ajout ;
• et bien sur toujours plus de challenges…

Root-Me.pro

Pour répondre aux fortes demandes des entreprises, notamment pour des challenges inter-entreprises et d'autres spécificités, Root-me.pro est né :

• scoreboard dédié ;
• sélection de challenge ;
• support dédié.

La nouvelle version du Guide d’autodéfense numérique vient de paraître ! C’est un ouvrage collectif diffusé gratuitement sur Internet et vendu en librairie. Il traite essentiellement de protection de données privées.

Cet ouvrage est pragmatiquement divisé en deux partie, la première traitant du hors ligne et la deuxième traitant du en ligne.

L’objectif du Guide d’autodéfense numérique est de donner au lecteur une base théorique des outils proposés ainsi que des guides pratiques de mise en œuvre. Les outils présentés sont nombreux et incluent la distribution Tails, les outils de chiffrements et le navigateur Tor. Les débutants devraient s’y retrouver car il n’est pas supposé que le lecteur sache comment fonctionne un terminal, un système d’exploitation ou le protocole HTTP. Les méthodes présentées sont généralement introduites par un paragraphe « Évaluer les risques » pour bien comprendre contre quoi on se défend.

Bien que les bases restent les mêmes, les outils évoluent et l’ouvrage aussi. Il s’agit donc de la cinquième édition numérique et seconde édition papier.

Il est consultable gratuitement sur le site des auteurs. La version papier vient tout juste de sortir en librairie ou peut aussi être commandée directement sur le site des éditions tahin party.

Keycloak est sorti le 24 août dans la version 7.0.

Keycloak est un fournisseur d’identités (Identity Provider ou IdP) moderne, écrit en Java et compatible par défaut avec les protocoles de fédération d’identités SAML v2 et OpenID Connect (OIDC)/OAuth2. Il est sous licence Apache et est porté par Red Hat.

Cinq ans après la précédente, nous avons le plaisir de vous annoncer la sortie de la 6ᵉ édition du guide d’autodéfense numérique, entièrement mis à jour, afin de fournir conseils et recettes adaptées pour s’orienter dans les méandres parfois hostiles de la jungle numérique.

Ce guide d’autodéfense numérique vise à présenter l’« absence d’intimité » du monde numérique et propose des méthodes pour ajuster nos pratiques quotidiennes en conséquence. On y trouve des éléments de compréhension de l’outil informatique et de ses failles, des pistes de réflexion permettant d’élaborer et de mettre en place des « politiques de sécurité » et des outils permettant à quiconque d’apprendre et de répandre des pratiques de protection adaptées à chaque situation.

Passbolt est un gestionnaire de mots de passe open source [N. D. M. : licence libre AGPL v3 pour le code, mais licence non libre CC BY-NC-SA pour leur site Web] conçu pour la coopération. Il permet aux membres d’une équipe de stocker et partager leurs mots de passe de manière sécurisée, et d’être intégré à un écosystème existant par l’intermédiaire de son API et de son client console. Le chiffrement des mots de passe se base sur un standard reconnu : OpenPGP.

Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4.

Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS.

Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe ou à l’identifiant.

Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.0 est sortie le 14 octobre 2016.

Le Règlement général sur la protection des données (RGPD, General Data Protection Regulation — GDPR —, en anglais) entre en vigueur le 25 mai 2018. C’est l’occasion pour la société civile (comme La Quadrature du Net) de pouvoir lancer des actions de groupe. C’est également l’occasion pour les groupes mondiaux amateurs de données d’expatrier hors Union européenne les données personnelles qu’ils voudront exploiter après cette date. Et c’est surtout le moment, pour toutes les entreprises et administrations européennes, de se mettre à l’heure.

La suite de la dépêche présente les nouvelles obligations et compare les deux outils qui aideront à les gérer.

En 2012, j’avais écrit cette dépêche Rapport PDF de l’Hadopi, ou comment (ne pas) masquer une adresse IP qui montrait une erreur de caviardage d’information d’un document au format PDF par l’HADOPI, et qui discutait ensuite des deux mythes autour des fichiers PDF : une prétendue inaltérabilité et le caviardage à la truelle.

L’actualité récente nous permet de revenir une nouvelle fois sur le sujet.

• cela pourrait être à propos de cette discussion surréaliste sur un réseau social bien connu (« (question) vous pensez qu’on peut lire sous le bloc noir de ce document administratif ? (réponse) des fois le caviardage est mal fait (riposte) arrêtez d’aider les administrations ») ;
• mais je pense surtout à la Commission européenne qui a publié une version caviardée du contrat vaccinal avec AstraZeneca, version qui est plus bavarde que prévu. L’info serait accessible « en utilisant simplement la fonction signets d’Acrobat Reader », comme évoqué là ou plus largement dans la presse 1, 2, 3, 4, 5, 6, ou 7), et si le document en ligne a été remplacé, une copie de la première version est toujours en ligne.

Profitons-en pour rappeler que depuis sa version 6.3, LibreOffice offre une fonction de caviardage (voir les annonces dans ce journal et cette dépêche).

OpenSSH est une implémentation complète du protocole SSH (Secure SHell) en version 1.3, 1.5 et 2.0, publiée sous licence BSD modifiée.

Voici un échantillon des changements de la nouvelle version 5.9 :

• sandboxing : une nouvelle option « UsePrivilegeSeparation=sandbox » apparaît dans le sshd_config, afin de limiter les appels système accessibles aux processus enfants (séparation des privilèges, technique très utilisée par les développeurs OpenBSD). Cela permet de réduire la surface d’attaque sur le système hôte. Actuellement, trois back‐ends sont fournis : systrace (OpenBSD uniquement), seatbelt (OS X/Darwin) et rlimit en solution de repli pour les plates‐formes Unix. Le projet OpenSSH encourage les contributeurs à fournir de nouvelles implémentations : Capsicum (intégré dans FreeBSD 9), espaces de noms cgroups, SELinux, etc. ;
• arrêt propre des connexions multiplexées : il est possible de demander au serveur de ne plus accepter de nouvelles sessions sur une connexion multiplexée, tout en conservant les connexions en cours ;
• beaucoup de nouveautés assez complexes ;
• corrections de bogues.

Parmi d'autres mauvaises nouvelles concernant les libertés en général et le numérique en particulier, la dernière lettre de l'organisation EDRi (European Digital Rights) revient sur les compteurs électriques dits intelligents (qui remontent des informations sur votre consommation à votre fournisseur d'électricité).

Lors d'une conférence au congrès 28C3 en décembre dernier, deux chercheurs, Dario Carluccio et Stephan Brinkhaus, ont montré les failles d'un modèle de la société Discovergy, utilisé en Allemagne.

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 3.1 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre, supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, la prise en charge de 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Hier, une porte dérobée (backdoor) a été trouvée dans le paquet PhpMyAdmin qui se trouvait sur le miroir cdnetworks-kr-1 de SourceForge.net. Cette porte dérobée se trouve dans le fichier server_sync.php. Elle autorise l’exécution de code à distance. À noter qu’un autre fichier, js/cross_framing_protection.js, a aussi été modifié. Le paquet modifié, phpMyAdmin-3.5.2.2-all-languages.zip, semble l’avoir été le 22 septembre dernier. 400 personnes l’auraient téléchargé.

Pour le moment, un seul fichier modifié a été détecté, mais il est probable que d’autres paquets présents sur ce miroir aient été modifiés pour inclure des portes dérobées. Il est donc suggéré de vérifier et revérifier la source de vos différents paquets si vous en avez téléchargés depuis SourceForge.net dernièrement. Le miroir incriminé a été retiré de la liste des miroirs disponibles.

NdM : merci à pasBill pasGates pour son journal.

De multiples failles de sécurité ont été identifiées et comblées dans ntp (le logiciel de ntp.org, pas le protocole NTP en général) ces derniers jours. Il s'agit de plusieurs failles avec notamment :

• deux dépassements de mémoire tampon qui peuvent permettre un déni de service ou l'exécution de code avec les privilèges du processus ntpd lancé ;
• d'une faiblesse dans la génération des clés, il est donc conseillé de recréer ces dernières après la mise à jour dans certains cas.

Elles ne sont pas forcément exploitables ou d'une grande dangerosité en dehors d'une d'utilisation avancée / serveur ntpd, mais il est préférable d'être prévenu :)

Cette faille a été identifiée et nommée CVE-2014-9295. Elle concerne toutes les versions de ntp jusqu'à la 4.2.7 et la version corrective 4.2.8 est parue le 18 décembre 2014.

NdM : il existe d'autres logiciels libres pouvant servir pour la synchronisation NTP, comme openntpd (non vulnérable) issu d'OpenBSD, Ntimed (client uniquement) sponsorisé par la Linux Foundation, chrony, etc.

PacketFence est une solution de conformité réseau (NAC) et de contrôle d’accès aux réseaux, supportée et reconnue. Le logiciel est publié sous licence GPL v2. PacketFence procure une liste impressionnante de fonctionnalités et de gestion d’équipements réseau. PacketFence peut être utilisé pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Inverse a annoncé le 15 mai 2019 la sortie de la version 9 de PacketFence, puis de sa première mise à jour, v9.0.1 vendredi dernier. Cette dépêche propose de passer en revue la liste des nouveautés de cette version majeure.

Décidément, ça bouge chez EdenWall Technologies (anciennement INL) ! Deux semaines après la sortie d'une nouvelle version majeure de NuFW, l'éditeur nous gratifie d'un pare-feu complet et modulaire, NuFirewall, géré via une interface graphique conviviale. Il est composé de différentes briques :

• Administration système (réseau, DNS, annuaire d'utilisateurs...) ;
  
• Création de règles de filtrage Netfilter et NuFW ;
  
• Analyse graphique des logs ;
  
• Parefeu identifiant ;
  
• Gestion des certificats (PKI).
  

La seconde partie de la dépêche détaille les différentes briques.

L’équipe de développement de l’IDS/IPS Suricata a publié le 10 novembre 2011 la version 1.1 de son moteur de détection/prévention d’intrusions. Il s’agit de la première version de la nouvelle branche stable 1.1. Elle prend la suite de la branche 1.0 sortie en août 2010, et apporte des gains conséquents en termes de performance, stabilité et précision.

Suricata est un système de détection/prévention d’intrusion réseau basé sur des signatures (à l’image de Snort avec qui il partage le langage de signatures). Il est disponible sous licence GPL v2 et a été développé depuis zéro par une fondation à but non lucratif, l’Open Information Security Foundation (OISF). Suricata fonctionne sur les systèmes d’exploitations GNU/Linux, BSD et Windows.

Un hackathon contre la surveillance ! C'est le thème de la soirée organisée mercredi 19 décembre à Paris autour du tout nouveau site paris.sous-surveillance.net. Au menu, le développement de nouvelles applications ou l'amélioration de l'existante, à partir du code du site et de son apli mobile, ou des données récupérées par ce projet de cartographie participative de la vidéo-surveillance.

Le projet sous-surveillance propose le déploiement facile et rapide de sites locaux à toute personne intéressée. Il est développé à partir de Spip 3 et de Leaflet qui affiche les cartes de manière légère (fond de carte Mapquest basé sur les données d'OSM).

Depuis septembre, une dizaine de villes ont rejoint le projet initié à Lyon, dont Marseille, Toulouse, Rennes, Nice ou le Luxembourg. Le projet a l'ambition de répertorier toutes les caméras publiques comme privées filmant la voie publique. Il présente également, de manière schématique, le champ de vision des caméras (en activant la couche "zones surveillées"). Parallèlement à la cartographie, une veille documentaire est proposée sur tous les sites. L'objectif est à la fois de réintroduire un débat sur la vidéo-surveillance et de sensibiliser largement sur la question.

Le code du site ainsi que celui de l'appli mobile sont libres et disponibles via Git. Le mercredi 19 décembre, à 19h, après la présentation du projet et l'intervention de Jean-Marc Manach, vous êtes invités à proposer vos idées, améliorations et poser vos questions ou à nous rencontrer pour participer à Paris sous surveillance.

Amnesty International, en partenariat avec Privacy International, Digitale Gesellschaft et Electronic Frontier Foundation, a annoncé le 20 novembre la publication du logiciel Detekt. Ce logiciel libre (GPL v3) a pour but de détecter des logiciels espions (spywares) sur un système d’exploitation Windows. Il cible notamment l’espionnage gouvernemental des journalistes et des militants. Detekt est développé par le chercheur en sécurité Claudio Guarnieri.

Inverse annonce la sortie de la version 6 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. Procurant une liste impressionnante de fonctionnalités, telles qu’un portail captif pour l’enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, le prise en charge du 802.1X, l’isolation niveau 2 des composantes problématiques, l’intégration au détecteur d’intrusions Snort et au détecteur de vulnérabilités Nessus — elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

La version 6 de PacketFence apporte de nombreuses améliorations telles une refonte complète du portail captif, la prise en charge de CentOS/RHEL 7 et Debian 8, FreeRADIUS 3 ainsi qu’un lot important d’optimisations de la performance de la solution.

Haka est un framework/langage basé sur Lua et destiné à appliquer des règles sur du trafic réseau en temps réel. Il permet aussi bien de faire un pare-feu classique, filtrant « bêtement » sur les ports, qu'un pare-feu applicatif. Il utilise la notion de dissecteur qui, une fois la grammaire du langage décrite, permet de définir différents événements qui pourront être utilisés dans les règles définies.

Il faut noter que ce n'est que le tout début du langage, il manque encore certaines fonctionnalités critiques.

Haka est sous licence MPL 2.

Si vous vous intéressez un tant soit peu aux mécanismes de sécurisation d'un système GNU/Linux, il ne vous aura pas échappé qu'un nombre croissant de barrières contre les malveillances est maintenant proposé pour empêcher l'exécution de code dangereux.

De la méthode de protection NX (pour No eXecute), à l'ASLR (Address Space Layout Randomization) remplissant aléatoirement des zones mémoire ou variables liées aux processus, en passant par les "Stack canaries" destinés à empêcher les dépassement de tampon, nombre de protections standard existent.

Mais comment savoir si ces protections additionnelles, activées la plupart du temps sans l'aval de l'utilisateur final, sont réellement effectives ou si leur mise en œuvre est plutôt aléatoire au sein du système ?

C'est dans cet esprit que Tobias Klein (de TRAPKIT.de) a écrit le script checksec.sh, avoir en quelques commandes l'état de protection/d'activation sur processus et exécutables (ou processus en cours), librairies liées ou exécutables d'un dossier.

Les commandes disponibles
checksec.sh --proc
checksec.sh --proc-all
checksec.sh --proc-libs
checksec.sh --file
checksec.sh --dir

Le script checksec.sh est intéressant pour apprécier le niveau de solidité d'une distribution par défaut, peut-être raison pour laquelle la distribution Tin Hat l'a adopté récemment et intégré au système .

Monkeysphere est un projet permettant d'utiliser la « toile de confiance » OpenPGP pour de nouveaux usages, comme l'identification dans les protocoles SSH et HTTPS.

Sur SSH (avec OpenSSH), Monkeysphere permet d'utiliser des clefs OpenPGP pour identifier aussi bien les clients que les serveurs. On peut ainsi récupérer, valider et tenir à jour :

• Les clefs publiques de serveur (known_hosts) ;
  
• Les autorisations de connexion par clef personnelle.

Par rapport au système natif d'OpenSSH, cela permet de bénéficier des fonctionnalités de mise à jour, d'ajout de nouvelles clefs ou sous-clefs et de révocation du système OpenPGP.

Sur HTTPS avec n'importe quel serveur et avec le navigateur Firefox au moyen d'une extension, Monkeysphere permet d'utiliser OpenPGP comme moyen alternatif d'identification du serveur par son certificat SSL. Cela permet d'introduire un modèle de sécurité qui répond aux inconvénients de la centralisation qu'encourage le modèle SSL, tels que la concentration de pouvoir et les vérifications faibles.

LemonLDAP::NG est un logiciel libre de SSO, de gestion des accès et de fédération des identités. Il est publié sous licence GPL. Il est développé par la Gendarmerie Nationale et la société Linagora.

Il implémente de nombreux protocoles standards, tels que Central Authentication Service, OpenID et SAML.

La version 1.4 est sortie fin juin. Cette dépêche présente les principales nouveautés de cette version.

Suite aux différentes révélations récentes, en particulier celles d'Edward Snowden, la confidentialité des communications électroniques gagne en importance, et ce n'est pas trop tôt. Mais si la prise de conscience se fait doucement, il manque encore cruellement de solutions techniques, en particulier pour les courriels. Il existe certes PGP, GPG et d'autres, mais malgré leur présence depuis de nombreuses années, leur utilisation reste très confidentielle (c'est le cas de le dire).

Le plus gros problème est que ces outils sont peu conviviaux et peu pratiques. D'autres le sont plus, mais c'est typiquement la sécurité qui en pâtit, avec par exemple le stockage des clefs privées sur le serveur, ou des applications closed-source et/ou exécutées côté serveur.

Whiteout est une solution innovante en réponse à ce problème.