Je profite de l'ouverture des insrcriptions pour vous donner le lien de la conférence SSTIC, qui se tiendra sur le campus de Supélec a Rennes du 10 au 12 juin. Elle réunira parmi les plus grand experts français en matière de sécurité informatique.

Les thèmes traités :
- Guerre de l'information (Y. Correc, DGA/Celar)
- La sécurité dans les réseaux sans fil ad hoc (Gayraud et al.)
- Les enjeux de sécurité dans l'usage des Technologies de l'Information et des Communications (P. Wolf, DCSSI)
- Des clés et des trappes en cryptographie (E. Wegrzynowski)
- BGP et DNS: attaques sur les protocoles critiques de l'Internet (N. Dubée)
- ...

La conférence est réalisée en partenariat avec le CEA, l'ESAT (l'ecole supérieure et d'application des transmission, Armée de terre), Supélec, Cartel sécurité, SEE et le magazine MISC.

Le SSTIC poursuit donc un double objectif : didactique et prospectif. Les thèmes traités comprendront à la fois les vecteurs de l'informations (systèmes, réseaux, ...) mais aussi l'information elle-même (guerre de l'information, cryptographie, ...).

Le prix de la conf. est de 120 euros pour 3 jours, déjeuners compris.

A bientôt... ;-)

• Le site (www.sstic.org) (29 clics)
• Le programme (9 clics)
• Les bios des invités (6 clics)

Après plusieurs mois de gestation, la dernière version de cette distribution firewall/proxy... vient de sortir.
Il s'agit d'une version majeure puisqu'elle est désormais basée sur un noyau 2.4 et utilise iptables, mrtg, FreeSwan, snort 2.0 etc...

Ndm : merci à martial et kbis pour avoir également proposé la news.

• Le site d'IPCop (1 clic)
• La version française (2 clics)
• Un site dédié à IPCop (1 clic)

La version 2.0 de l'excellent IDS (Système de Détection d'Intrusions) Snort vient de voir le jour.

Parmis les nouveautés on remarquera en particulier :
- amélioration des performances ;
- audit du code par une société externe au projet ;
- amélioration du chroot().

• Snort (0 clic)

La stéganographie est l’art de cacher des données dans d’autres données. Cacher un texte dans une image, une image dans un fichier musical, une image dans une autre image, bref les possibilités sont nombreuses et l’équipe de développement de SynAckLabs ouvre de nouveaux horizons aux applications stéganographiques. En effet, celle-ci développe StegTunnel, un outil permettant de transmettre des données cachées dans les champs IPID et Numéros de séquence utilisés lors de connexions TCP.

• Article sur isecurelabs.com (15 clics)
• Télécharger StegTunnel (11 clics)

Un ancien collègue est en train de développer une solution en Open Source qui permet le déploiement facile d'une solution de détection d'intrusion (IDS en bon anglais ;o)

Il recherche de l'aide pour faire avancer son projet.

• Open source IDS (4 clics)

Privacy International vient d'annoncer les gagnants du concours des mesures de sécurité les plus stupides. Il y a eu plus de 5000 participants dans 35 pays.
Comme le commente le Directeur de Privacy International, « Le nombre très élevé de participants (nominations) démontre bien le ridicule de la situation. »

• Article dans The register (2 clics)
• Le site du concours (1 clic)

Ce n'est pas vraiment un scoop puisque l'info date du 1er avril, mais c'est une info que je n'ai pas encore vu sur linuxfr.org ... En effet, la nouvelle version de OpenSSH (3.6.1) daté du premier avril (ce n'est pas un poisson ...ou alors c'est un "fugu" ) est en ligne.

• Le site officiel du projet OpenSSH (2 clics)
• La « release note » de la version 3.6.1 (1 clic)
• Le site de OpenSSL (1 clic)
• Le texte de la "timing attack" contre les clefs RSA (0 clic)

Un trou de sécurité a été detecté dans le programme "Seti@Home" (programme permettant d'analyser des signaux radio de manière a trouver une forme de vie intelligente).

• La nouvelle version (0 clic)
• Résumé du trou (0 clic)
• Seti@Home (0 clic)

Il semble que le dernier post « mes meilleures adresses » ait été apprécié, c'est pourquoi je propose de remettre le couvert. Restons encore une fois dans la sécurité (ça sera la dernière), et intéressons nous à la pratique.

Connaissez-vous des documents plus ou moins précis sur l'art de structurer son réseau, de configurer les machines et de gérer les utilisateurs (ben oui, il faut bien s'occuper de leur dispenser quelques notions) ? Existe t'il des documentations sur l'art de programmer sans trou, notamment avec les langages de scripts Web ? [...]

• La précédente édition (DLFP) (2 clics)

On retrouve sur net-security.org la présentation d'un livre (en anglais) contenant des ressources et des méthodologies requises pour commencer vos propres audits de sécurité. N'espérez pas devenir un guru de la sécurité après avoir lu ce livre, mais si vous êtes intéressé par les audits de sécurité il fournira une introduction à certains des meilleurs outils de sécurité à ce propos. A noter que le premier chapitre du livre intitulé "Basic Windows 2000/Windows 2000 Server Installation and Configuration" est en libre téléchargement (au format pdf) sur le site.

• Net-Security (12 clics)

La nouvelle version de Timo's RescueCD Set est sortie.

Pour mémoire il, ne s'agit pas seulement d'un énième cd bootable, (bien qu'une ISO prête à graver soit disponible) mais plutôt d'un outil permettant de se confectionner son propre cd.

Selon l'auteur, le projet s'oriente de plus en plus vers un "Debian on cd"

• Timo rescue cd (2 clics)

ZDNet invite les admins web à mettre jour leur bind.

Décidément, chez ZDNet, le ridicule ne tue pas : je viens de lire un article (voir lien) où l'auteur confond joyeusement serveurs DNS et web : à tel point que je me suis demandé si la news ne devait pas être plutôt classé en rubrique "humour", vu qu'elle est certainement déjà passée ici.

• ZDNet : «Serveurs web: mise à jour importante du logiciel d'aiguillage Bind» (1 clic)

Ca y est, après deux longues années de réflexion, l'IETF (Internet Engeneering Task Force) a enfin résolu de manière définitive tous les problèmes de sécurité des réseaux.

La sécurité ne rimera pas avec crypto, ni avec parano. Un mécanisme simple va être ajouté dans IPv4 (il semblerait qu'il y ait un consensus pour porter le système dans IPv6) ce qui permettra de rendre totalement transparente cette couche sécurisée. La RFC n'est pas très longue, espérons qu'elle aura autant de succès que les précédentes.

Mise à jour : les dépêches IETF datées 1er avril sont des poissons d'avril. Voir par exemple la liste de DMOZ

• La RFC 3514 (8 clics)
• l'IETF (0 clic)
• IPv4 (0 clic)
• une autre RFC très utile (2 clics)

Communiqué de Tuxfamily repris par LinuxFrench et LinuxFr :

« Bonjour, cette nuit nous avons du faire face à un évènement inimaginable : les serveurs TuxFamily ont été volé. La porte de la baie contenant les machines a été fracturée. Les responsables de la salle machine n'ont fait aucun commentaire. Nous allons porter plainte dans la journée.

Quoiqu'il en soit, grâce au prêt d'une OpenBrick par notre partenaire Lost Oasis, TuxFamily continue de fonctionner. Malheureusement, nous n'avons pu que restorer des backups du vendredi 13 janvier 2003. De plus, pour assurer un service de qualité sur une plateforme réduite, nous avons décidé de ne remettre en ligne que les services des membres de l'association TuxFamily à jour de leur cotisation. Nous n'avons pas encore décidé si l'hébergement gratuit va perdurer dans sa forme actuelle.

Si votre site ne fonctionne pas, nous vous engageons à envoyer au plus vite votre chèque d'adhésion à l'adresse http://tuxfamily.org/?action=assoc. »

Mise à jour : c'était évidemment le poisson d'avril de Tux Family

• Article LinuxFrench (0 clic)
• Contacter les admins TuxFamily (0 clic)
• Tuxfamily (0 clic)

Une nouvelle faille de sécurité vient d'être mise à jour dans Sendmail, versions 8.12.8 et précédentes. Il n'est pas impossible que cette faille puisse mener à un accès root distant. Elle serait aussi plus facilement exploitable sur les systèmes petit boutistes. Seuls les systèmes dont le type char est signé sont vulnérables tels quels.
Bien sûr une version corrigée de Sendmail est d'ores et déjà disponible

• Site de Sendmail (0 clic)
• Alerte (0 clic)
• Page de téléchargement de la version corrigée (2 clics)

Récemment des alertes non-publiées/non-publiques ont été postées sur des listes de diffusion. Ce n'est pas la première fois que cela arrive, mais la tendance étant quand même à l'augmentation de la fréquence de ce genre d'incidents..

Une présentation (lors d'Eurosec 2003) sur le sujet soulève également quelques questions intéressantes sur le sujet (full-disclosure vs vendor only, quand patcher, etc).

• Le cycle de vie d'une vulnérabilité (0 clic)
• Hacker says he leaked info on Unix flaw (0 clic)
• Leaked (2 clics)

Comme indiqué sur la page du projet, le "Challenge-SecuriTech est un concours organisé par un groupe de 7 étudiants de l'école d'ingénieurs E.S.I.E.A. dans le cadre d'un projet scolaire."
Il est ouvert à tous et comporte trois parties:
- cryptographie/stéganographie
- réseau
- analyse et recherche de failles
Le challenge aura lieu du 28 avril au 20 mai 2003 et une conférence aura lieu le 21 mai.

• Challenge Securitech (8 clics)

Ce matin, j'ai entendu une publicité d'IBM annoncant que le ThinkPad R40 dispose d'une puce de sécurité. Intrigué mais quasiment sûr de mon coup, je suis allé sur le site d'IBM pour me rendre compte que les derniers ThinkPad d'IBM possède bien une puce compatible TCPA v2.0. Le début de la démocratisation de la technologie TCPA pour le grand public, quoi !

• La sécurité par IBM (5 clics)
• IBM Research : TCPA (1 clic)

Un faille de sécurité vient d'être découverte dans Sendmail. Celle-ci peut donner un accès root à une personne non autorisée. Il n'y a pas d'exploit connu à l'heure actuelle, mais chacun est très fortement encouragé à patcher son système ou à passer à la dernière version, dans les plus brefs délais.

NdM: Encore un buffer overflow dans Sendmail. La protection contre l'exécution de la pile semble être inefficace ici. Pas encore d'infos sur l'efficacité de StackGuard/ProPolice vis à vis de cette faille (en fait, il n'y a pas encore d'exploit pour tester si ProPolice fonctionne ou pas dans ce cas). RedHat et OpenBSD semblent être les premiers à avoir livré des patchs pour leurs systèmes respectifs.

N'hésitez pas à poster en commentaire les URIs vers les patchs de votre système/distribution favorite !

• La dernière version de Sendmail (1 clic)
• Annonce sur le site d'ISS (1 clic)
• Liste des correctifs pour Red Hat (1 clic)
• Correctif pour OpenBSD (0 clic)

Programmé par un agent de L'United States Air Force Office of Special Investigations, md5deep est similaire au programme md5sum du paquet GNU Coreutils. Il lui ajoute trois fonctionnalités, précieuses dans le cadre de la vérification d'un système informatique :
- récursivité, par le biai d'un flag -r ;
- calcul du temps nécessaire à l'opération de contrôle (utile avec de gros systèmes de données) ;
- comparaison entre deux fichiers (pour vérifier que les diverses manipulations sur le "patient" n'ont pas endommagé ou corrompu les données, précieux éléments de preuve).

• Le site officiel (9 clics)
• Téléchargez md5deep (5 clics)
• RFC1321: The MD5 Message-Digest Algorithm (1 clic)
• GNU Coreutils (1 clic)
• E-Evidence.info (0 clic)
• Honeynet Project (3 clics)

La version 2.0 de Nessus vient de sortir.
Une grande partie du code a été reécrit pour améliorer la vitesse du démon nessusd.
Quelques autres nouveautés sont le support des ID de Bugtraq dans les plugins et un nouveau scanner de port.

• Nessus 2.0 (4 clics)
• L'annonce sur Bugtraq (0 clic)
• Nessus.org (0 clic)

Dans le monde des admins système, il y a ceux qui ont déja connu un crash disque ou une fausse manip du comptable qui efface tout l'exercice fiscal juste avant la clôture, puis se sont aperçus avec horreur qu'il n'y avait pas de sauvegarde récente...

• Flexbackup (2 clics)
• Arkeia (2 clics)

Suite à l'affaire Humpich (oui, ça date déjà...) qui avait in fine mis au jour la position juge-et-partie du GIE Carte Bancaire, le gouvernement Jospin avait alors mis en oeuvre deux réformes. En toute discrétion... La première était la réforme du SCSSI, transmuté en DCSSI. La seconde était la création d'un Observatoire de la sécurité des cartes de paiement. Or ses membres viennent d'être nommés...

• le J.O. (4 clics)
• la news (1 clic)
• le site du DCSSI (4 clics)

Le 29 janvier 2003, le groupe de travail Article 29 représentant les autorités de l'UE chargées de la protection des données, a publié un document sur les systèmes d'authentification en ligne.

Au regard de la directive 95/46 CE portant sur le traitement des données personnelles, ce document présente les observations du groupe de travail sur le système .NET Passport et sur le projet Liberty Alliance ainsi que les lignes directrices générales pour tout système d'authentification en ligne présent ou futur.

Le rapport contient un tableau comparé des possibilités offertes à l'utilisateur en matière de protection de données personnelles par les technologies suivantes : Mozilla Password Manager, authentification par proxy, Microsoft Passport, Liberty Alliance.

• Communiqué de presse (2 clics)
• Le document de travail (0 clic)
• Ancienne dépèche UE/Passport (0 clic)

L'auteur de ce superbe outil de firewall qu'est Shorewall a mis en ligne mes traductions des 3 guides d'installations.
Le premier couvre l'installation et la configuration de Shorewall sur un PC seul.
Le deuxième concerne la mise en place et la configuration pour un serveur/routeur.
Et le troisième se consacre à la configuration d'un serveur/routeur possédant aussi une DMZ.

Je souhaite que vous trouviez ces guides utiles :)

• 1 carte (12 clics)
• 2 cartes (4 clics)
• 3 cartes (7 clics)
• Shorewall (0 clic)