Dans le cadre du colloque FRHack, Richard M. Stallman (RMS) animera une conférence en anglais : "Free Software in Ethics and in Practice", lundi 7 septembre à 17h30. Contrairement aux autres conférences du colloque celle-ci sera accessible gratuitement à cette adresse : http://mediatux.com/webtvstream.php

FRHack est un colloque international sur la sécurité informatique et les NTIC en France (au Grand Kursaal de Besançon), programmée du 7 au 11 Septembre 2009.

Bien entendu ce n'est pas de Sébastien Chabal dont il est question ici mais bien de la fonction de hachage SHABAL qui participe à la compétition SHA-3.

Les 14 algorithmes sélectionnés pour participer au second tour de la compétition ont été annoncés avant-hier 24 juillet par le NIST.

Brad Spengler, le mainteneur du projet grsecurity et l'auteur du dernier exploit en date dans le noyau Linux, a accepté de répondre à quelques questions pour LinuxFr.org.

Sous le pseudonyme de "Spender", Brad s'est rendu célèbre en découvrant de nombreuses vulnérabilités du noyau Linux et en prouvant, à l'aide d'exploits, que ces trous de sécurité étaient exploitables. Il est le mainteneur principal du patch externe grsecurity, qui vise à renforcer la sécurité du noyau en ajoutant divers mécanismes qui restreignent l'impact des vulnérabilités ou qui les bloquent complètement. Après la publication de son dernier exploit plusieurs questions lui ont été envoyées par mail (en une seule fois) et il a eu la gentillesse d'y répondre. Qu'il en soit remercié.

Début juillet est sortie la dernière version de LemonLDAP::NG, un logiciel libre de WebSSO et gestion des accès.
Les nouveautés de la version 0.9.4 ont été présentées lors des 10èmes RMLL à Nantes, pendant la journée consacrée à la gestion des identités. Pour ceux qui n'ont pas eu le privilège d'assister à cette conférence, cet article rappelle les principes de fonctionnement du produit et liste les nouvelles fonctionnalités. Les plus intéressés trouveront également dans le Linux Mag de cet été une bonne introduction au logiciel.

Brad Spengler, mainteneur du projet Grsecurity, a publié un exploit local pour le noyau Linux. Seule la version 2.6.30 du noyau est impactée. L'exploit a été publié rapidement car aucune distribution n'utilise cette version pour le moment. Il est capable de contourner les protections AppArmor, SELinux, LSM, et désactive l'audit. La faille concerne les interfaces réseaux virtuelles tun et a été introduite en février dernier. D'abord considérée comme un simple bug, elle a été découverte le 4 juillet, corrigée le lendemain, puis Brad a publié son exploit le 15 juillet.

Brad profite de l'exploit pour dire tout le mal qu'il pense de la gestion de la sécurité dans le noyau Linux (lire notamment tous les commentaires présents dans le fichier exploit.c du tgz). Il reproche notamment la correction silencieuse de failles qui pose problème aux distributions Linux : les mainteneurs ne savent pas quels patchs doivent être backportés dans les branches stables. Il reproche également l'absence d'analyse de l'impact d'un bug en terme de sécurité : certaines failles sont considérées comme non exploitables, alors qu'elles le sont.

La seconde partie de cette dépêche détaille la faille.

Générer des nombres aléatoires avec un ordinateur (déterministe par définition) est un problème complexe. Il est facile d'introduire un biais par une maladresse. On a vu de nombreuses failles au fil des années, un exemple récent étant la faille introduite dans la version Debian d'OpenSSL (mai 2008).

Chaque système d'exploitation propose des périphériques et API différentes, et il existe diverses bibliothèques tierces, pour générer des nombres aléatoires. La bibliothèque Hasard propose une API simple, portable et haut niveau, pour limiter les erreurs d'un développeur, tout en réutilisant les briques existantes (ex: bibliothèques OpenSSL et gcrypt).

La version 0.9.6 supporte Linux, FreeBSD, Mac OS X et Windows, et devrait fonctionner sur n'importe quel système d'exploitation disposant des périphériques /dev/urandom et /dev/random. La bibliothèque Hasard est écrite en C, propose un binding Python, et est distribué sous licence BSD.

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 1.8.3 de PacketFence, sous licence GPLv2.

Créé en 2004, PacketFence est un logiciel libre de contrôle d'accès réseau ("NAC").
Contrairement aux alternatives propriétaires, PacketFence possède toutes les fonctionnalités d'un NAC telles :

• L'enregistrement des composantes réseau ;
  
• La détection d'activités illicites (avec Snort) ;
  
• La détection proactive de vulnérabilités (avec Nessus) ;
  
• L'isolation des composantes réseau problématiques ;
  
• La capture d'empreintes DHCP ;
  
• Ainsi qu'un puissant portail captif.

PacketFence peut être utilisé pour la sécurisation d'un réseau filaire ou sans fil et possède plusieurs mécanismes pour la gestion des accès réseau (usurpation ARP, DHCP/DNS, changement dynamique de VLAN et 802.1X).

Par ailleurs, la solution peut être utilisée pour la sécurisation de très grands réseaux hétérogènes grâce à sa prise en charge de nombreux modèles de commutateurs (Cisco, Nortel, HP, etc.).

Des paquets pour Red Hat Enterprise Linux (ou CentOS) sont disponibles sur le site officiel du projet ainsi qu'une version préconfigurée dans une image de type VMWare.

La conférence Eurocrypt 2009 qui s'est achevé le 20 avril dernier nous a donné de nouvelles attaques sur la fonction de hachage SHA-1. Trouver une collision ne nécessite maintenant plus que 2^52 opérations, soit quelques semaines de calcul sur un PC standard (voir ce document pdf d'annonce de la nouvelle attaque).

Un plan de migration pour la bien connue distribution GNU/Linux Debian a été proposé, soit une migration de l'ensemble des clefs PGP et GPG de son infrastructure (développeurs compris) vers des clefs plus robustes. Beaucoup de ses clefs font en effet appel aux mécanismes RSA ou DSA, avec des clefs de 1024 bits, ainsi qu'à la fonction de hachage SHA-1, à l'exception notable de la clef primaire de la distribution stable actuelle, Lenny, qui fait 4096 bits (RSA).

Les clefs migreraient donc toutes vers l'algorithme RSA, taille 2048 bits, ainsi que vers les fonctions de hachage de la famille SHA-2 (SHA-224, SHA-256, SHA-384 et SHA-512). Tout l'enjeu de cette migration est de ne pas casser le Web of Trust (chaîne de confiance) déjà existant mais de le faire migrer en douceur.

Plus de détails dans la suite de la dépêche.

OCS Inventory NG (Open Computer and Software Inventory Next Generation) est une solution d'inventaire automatisé de parc informatique et de télédistribution, libre (GNU GPLv2), multiplateforme (Microsoft Windows, Linux, *BSD, Sun Solaris, IBM AIX, HP-UX, Mac OS X) et modulaire. Elle permet de centraliser les informations concernant les périphériques d'un parc et de déployer des logiciels ou des scripts sur des ordinateurs, tout en optimisant l'utilisation de la bande passante du réseau (5 Ko pour un inventaire complet d'un ordinateur fonctionnant avec le système d'exploitation Microsoft Windows). L'administration s'effectue via une interface web.

Utilisé conjointement à un logiciel de gestion de parc comme l'outil open source GLPI, vous disposerez d'une solution puissante d'inventaire et gestion de parc avec mises à jour automatique des configurations, outil de gestion des licences logicielles, outil de help desk et bien plus encore.

Cette solution d'inventaire a été récompensée, dans la catégorie sécurité, aux trophées du Libre 2006.

Patrick Mac Hardy, chef du projet Netfilter, travaille depuis l'été 2008 à une ré-écriture d'iptables sous un nouveau nom : nftables. Or, depuis le 18 mars dernier, nftables est officiellement disponible en version alpha. C'est le moment d'en refaire le tour.

NdM : Un grand merci à switcher pour son journal dont est tiré la dépêche.

Hacker Space Brussels (HSB) vous invite a une nuit de hacking autour d'OpenWRT ce samedi 7 Février. OpenWRT est la meilleure distribution Linux pour l'embarqué. De nombreux développeurs d'OpenWRT seront présents au FOSDEM et cette nuit de hacking sera l'occasion de tester la dernière version RC2 :

Date
Début : Samedi soir 7 Février @ 18:00
Fin : Dimanche 8 Février @ 12:00

Objectifs

• Présentation des nouvelles fonctionnalités de la RC2 ;
  
• Test de la RC2 sur des routeurs Asus WL-HDD, foneras, etc. ;
  
• Dégustation de bières belges.
  

Nous fournissons

• Un frigo plein de bières ;
  
• Espace, électricité, internet ;
  
• Rafraîchissements et snacks.
  

Adresse
HackerSpace Brussels
Void*Pointer
Av princesse elisabeth 46
1030 Bruxelles

Transport

• Le tram 23 part de l'ULB et arrive a notre porte (arrêt 'prinses elisabeth').
  
• Le bus de nuit Noctis s'arrête à 'verboekhoven', qui est à 100m à pied.
  

Inscription
L'espace étant limité, nous vous demandons de vous inscrire en avance en effectuant les deux actions suivantes :

1. Envoyez un email à zoobab at gmail.com
   
ET

2. Enregistrez-vous sur Doodle
   

Contact
Benjamin Henrion +32-484-566109

LemonLDAP::NG est un logiciel de Web-SSO, développé par Xavier Guimard et destiné à protéger des applications Web. Pour les utilisateurs, cela permet de ne s'authentifier qu'une seule fois, et pour les administrateurs du WebSSO cela permet de contrôler de manière centralisée les droits d'accès aux applications.

LemonLDAP::NG est une réécriture de la version initiale LemonLDAP, qui n'est aujourd'hui plus maintenue. Eric German, leader historique de la communauté, est à présent impliqué sur un nouveau projet, LemonID, que nous vous invitons à découvrir.

Cette version est normalement la dernière avant la 1.0 qui se concentrera sur la refonte de la configuration (utilisation de XML, exhaustivité des paramètres de configuration dans la console d'administration Web, etc.). Elle apporte toutefois un lot conséquent de corrections et d'améliorations, telles qu'un menu des applications autorisées, un explorateur de session, et des paquetages pour les systèmes basés sur Debian et RedHat.

Cette version est également importante en terme de sécurité car elle corrige quelques failles de Cross Site Scripting (XSS) et ajoute un contrôle plus fort sur les URL de redirection.

La version 2 d'OpenVAS, le principal fork de Nessus, vient de sortir un peu plus d’un an après la première version stable.

À mon sens le changement de version ne se justifiait pas, aucune fonctionnalité substantielle n’ayant été ajoutée dans l’intervalle. En effet, OpenVAS utilise encore largement le code originel de Nessus et une partie importante du travail consiste à auditer les sources.

Cette nouvelle version intègre néanmoins pas mal de nouveautés intéressantes :

• Amélioration du client graphique ;
  
• Support partiel d'OVAL (Open Vulnerability Assessment Language). OVAL est un langage -indépendant du projet OpenVAS malgré les similitudes de consonance- de création de tests de vulnérabilités. Un test développé en OVAL est utilisable par tous les outils supportant ce langage, contrairement par exemple à un plugin NASL (Nessus Attack Scripting Language) qui est “propriétaire” Nessus ;
  
• Création du protocole OTP (OpenVAS transfert protocol) en remplacement du protocole originel NVT (Nessus transfert protocol). Ces protocoles sont utilisés pour les communications entre les clients et le serveur ;
  
• Nouveau format d'identifiants pour les tests de vulnérabilités (OID) ;
  
• Support des architectures 64 bits ;
  
• Sans compter pas mal de corrections de bogues.

Bref, le projet avance, lentement, mais il avance :-)

Que vous soyez développeur ou simple utilisateur, la sauvegarde de données sensibles telles que les mots de passe est source de soucis.
En tant qu'utilisateur, on aime avoir le choix. C'est d'autant plus vrai en sécurité où chacun a ses propres exigences et sa propre topologie.
En tant que développeur, stockages variés et plus sécurisés riment avec moins de portabilité.

Pour essayer de concilier les deux mondes, la bibliothèque "PPasskeeper" voit le jour.

La version 0.9 venant tout juste de sortir (version que je considère comme étant la bêta 1), n'hésitez pas à l'essayer via son utilitaire de gestion de mot de passe graphique ou en ligne de commande.
Je n'ai pu tester la bibliothèque que sous Linux et Windows (XP et Vista), de plus, la liste des modules est assez courte (KWallet, registre Windows et fenêtres de demande de mot de passe en GTK, Win32 ou Qt).

D'après un communiqué de la FFII daté du 10 novembre, le Conseil des Ministres de l'Union Européenne a refusé la demande de la FFII déposée la semaine dernière de divulguer les documents secrets utilisés dans la négociation de l'ACTA (ou Traité commercial anti-contrefaçon), au prétexte que la publication de ces documents affaiblirait la position de l'Union Européenne dans la négociation et affecterait les relations entre les parties en présence.

Sous la traditionnelle excuse de sécurité, l'ACTA prévoit de nombreuses mesures disparates susceptibles de nuire à la vie privée des citoyens, et le fait même que la discussion reste secrète démontre un évident mépris de la démocratie, et la FFII dans sa réponse s'interroge sur le prix à partir duquel une négociation devient plus importante que la démocratie.

Des centaines d'associations à travers le monde telles que EFF (son dossier ACTA), Act Up et Médecins Sans frontières entre autres ont également dénoncé ce dysfonctionnement démocratique de l'ACTA.

NdM : merci aussi à Éric Cousin pour sa proposition de dépêche sur le même sujet.

Numerama nous apprend que le WPA-TKIP servant à sécuriser des réseaux Wi-Fi aurait été partiellement cassé par deux chercheurs.

Cette méthode pourrait être utilisée pour briser le chiffrement en un quart d'heure à peine. Cette technique ne repose pas sur une attaque « brute force » comme il est de coutume, mais sur de solides algorithmes mathématiques ainsi que sur une faille du système de chiffrement. Ce système de chiffrement était réputé comme quasiment impossible à « casser » sans posséder de matériel très performant : les deux chercheurs semblent avoir prouvé le contraire.

L'article de Numerama rappelle à juste titre aux législateurs (NdR : de la loi "Création et Internet" entre autres) :
[...] qu'aucune protection quelle qu'elle soit ne peut garantir la sécurité des données sur un ordinateur ou sur un réseau. La loi Création et Internet, qui veut faire supporter de fait aux abonnés une obligation de résultat dans la protection de leur accès à Internet, est en cela redoutable. S'il n'est pas possible techniquement de prouver que l'on a fait l'objet d'une attaque, cette obligation de sécurisation doit être refusée puisqu'elle est incompatible avec les droits de la défense [...].

Les deux chercheurs présenteront leur méthode lors du PacSec à Tokyo, le semaine prochaine.

NdM : il ne s'agit pour l'instant que d'une annonce, même si d'après les commentaires du journal de fleny68 sur le même sujet, des ajouts ont été faits à un outil d'attaque des clés Wi-Fi pour exploiter une faille, dont l'ampleur et la méthode utilisée restent à décrire plus précisément.

La dernière version du « firmware » (microcode) pour le routeur D-link DIR-655 introduirait une nouvelle « fonctionnalité » : le détournement de trafic à des fins de sécurité (sic). Lorsqu'un internaute se promène sur le web, le routeur prendrait l'initiative de l'envoyer sur un site commercial pour lui vendre des produits commercialisés par D-Link (abonnement à une fonctionnalité de sécurité baptisée SecureSpot).

Cette fonctionnalité serait désactivable, mais activée par défaut. Cela semble douteux pour dire le moindre (les mots interception et détournement de communication privée viennent à mon esprit). Par ailleurs, d'un point de vue éducation et sécurité, prétendre améliorer la sécurité en faisant du détournement de trafic semble un peu antinomique.
Ce n'est pas une nouveauté sur le principe, la société Belkin l'avait appris à ses dépens en 2003.

Et la partie « amusante », D-Link publie son (ou une partie de son) code sous GPL...

Hack.lu est une convention et un espace de discussion sur la sécurité informatique, la vie privée, les technologies de l'information et ses implications dans la société. Le but de la convention est de créer une passerelle entre les différents acteurs du domaine de la sécurité informatique.

L'événement a lieu du 22 au 24 octobre, au Luxembourg.

La convention Netfilter qui rassemble les développeurs de la couche pare-feu de Linux aura lieu cette année à Paris. Cet événement international débutera par une journée de conférences ouvertes aux utilisateurs. Le lieu et le programme de cette journée sont maintenant établis.
Elle se déroulera le 29 septembre à l'école d'ingénieur ESIEA, Paris 5ème.

Des développeurs de Netfilter et des utilisateurs avancés présenteront leur vision et leur utilisation du filtrage IP sous Linux. Les conférences seront variées allant de la présentation de l'utilisation intensive de Netfilter/iptables chez un ISP danois à l'exposé sur le successeur d'iptables par Patrick McHardy, actuel leader du projet, en passant par une présentation de ses derniers travaux par David Miller, mainteneur de la couche réseau de Linux.

La journée est libre et gratuite. Une inscription est souhaitée pour des aspects logistiques.

Ceci est susceptible d'intéresser les développeurs et utilisateurs de logiciels libres qui souhaiteraient se rendre aux États-Unis (et d'autres pays en train de mettre en place la même législation). Le Département états-unien de la sécurité intérieure (DHS) a publié un texte autorisant les douaniers à saisir n'importe quel appareil électronique (portables, mobiles, disques durs portables, smartphones, CD, DVD, tous supports numériques, etc.) au nom de la sécurité, pour permettre la « découverte d'informations relatives au terrorisme, aux trafics de stupéfiants ou à l'immigration illégale. » Cela comprend donc une éventuelle confiscation et analyse du contenu (avec traduction et/ou tentative de déchiffrement si nécessaire). Les mesures sont déjà en vigueur et selon « IDG News Service, plusieurs voyageurs ont rapporté s'être faits saisir leur ordinateur portable sans que leur bien leur soit restitué par la suite. »

Ce texte fait partie de l'Anti-Counterfeiting Trade Agreement (ACTA, littéralement « Traité commercial anti-contrefaçon ») , entre les États-Unis, l'Union européenne, le Japon, la Suisse, l'Australie, le Canada et la Nouvelle Zélande (voir les détails sur le blog de Laurent Guerby). Vous aurez noté que l'ACTA concerne plus la contrefaçon que la (traditionnelle excuse de la) sécurité nationale...

L'EFF (Electronic Frontier Foundation) craint que « les ordinateurs [ne] renferment des informations familiales, médicales, financières, qui pourraient facilement être copiées et se retrouver dans les bases de données gouvernementales ».

On pourrait bien entendu évoquer des solutions techniques (le déni plausible, apprendre par coeur sa clé SSH et télécharger ses données une fois sur place, etc.), mais c'est bien l'adoption d'une telle législation et ses conséquences qui devraient faire réfléchir, et pas les hypothétiques et tortueux contournements techniques possibles.

Picviz vient de sortir. Il s'agit d'un programme libre publié sous licence GPLv3 permettant de tracer des graphes sur des axes parallèles, permettant ainsi de voir N-dimensions sur une surface en 2D.

Ce programme trouve plus particulièrement des applications dans le data mining, la détection de collision dans le contrôle aérien et dans la sécurité informatique, ce pourquoi Picviz a principalement été écrit.

Picviz cherche à répondre à la problématique de recherche d'une aiguille dans une botte de foin, où le nombre de données devient trop important pour être compris et analysé par des recherches de motifs connus... surtout si l'on ne sait pas ce que l'on cherche.

Grâce à un langage simple, fortement inspiré de Graphviz, il est aisé d'automatiser la création de graphes et de trouver des éléments remarquables (des convergences, divergences, des éléments éloignés par rapport aux autres, etc.).

Le Monde.fr vient de publier une enquête sur des amendements déposés au Parlement Européen, dans le cadre de l'examen des directives du Paquet Télécom. Des représentants du film et du disque (SACD, GESAC) y confirment l'analyse publiée par le collectif Quadrature du Net.
Leurs amendements visent à abaisser le niveau de protection de la vie privée, à évacuer l'autorité judiciaire et à imposer aux internautes des mouchards les dénonçant s'ils suspectent une atteinte à un droit d'auteur. Pascal Rogard, directeur général de la SACD explique ainsi que « la protection de la vie privée porte atteinte à d'autres libertés », tandis que sa représentante à Bruxelles précise qu'« il faut passer par un juge pour associer une adresse IP [qui identifie un ordinateur sur les réseaux] à un individu », ce qui empêche la mise en oeuvre de la riposte graduée.
Les propos de la représentante du GESAC sont encore plus clairs : « Je ne vois pas un grand problème à mettre l'Internet sous surveillance ; on doit pouvoir soit filtrer, soit disposer d'une sorte d'alarme qui indiquerait que telle adresse IP fait quelque chose d'illicite. »

Après les éditions 2005 à Séville et 2007 à Karlsruhe, la convention Netfilter se déroule cette année à Paris, du 29 septembre au 3 octobre 2008. La convention Netfilter est l'événement annuel mondial de rencontre de tous les développeurs Netfilter, et l'occasion pour les auteurs et contributeurs du projet de travailler sur les prochaines orientations.

Cette année, la convention se déroulera en deux étapes :

• Une journée Utilisateurs, ouverte au public. L'appel à soumission est d'ores et déjà publié sur le site officiel de l'événement, les soumissions seront particulièrement appréciées si elles correspondent à des utilisations intensives ou originales de Netfilter ;
  
• Quatre journées Développeurs (l'atelier), auxquelles participent les membres de l'équipe de développement officielle (la core team) ainsi que quelques invités. Les personnes intéressées peuvent répondre à l'appel à participation qui a été lancé.
  

En qualité d'organisateur de l'événement cette année, INL profite de cette annonce pour réaliser l'appel à sponsors pour l'événement. Les entreprises sponsors retenues par la core team disposeront d'une visibilité sur le site web de la convention Netfilter et lors de la journée Utilisateurs.

À l'occasion de la sortie de la 1.0rc1, voici l'annonce d'un nouveau logiciel libre d'alimentation d'annuaire LDAP : le LSC (ou Ldap Synchronization Connector).

Il s'agit d'un logiciel écrit en Java pour alimenter un annuaire LDAP à partir d'une base de données, d'un autre annuaire LDAP ou d'un fichier CSV. Il vise à simplifier au maximum les tâches automatisables (via de la génération de code, de fichiers de propriétés...) pour ne plus à avoir qu'à écrire la partie "intelligente" : les règles, les filtrages de valeurs...

NdM : LSC est publié sous licence AGPLv3.

Netfilter est un pare-feu à état. Il permet donc de garder l'état d'une connexion afin de n'accepter que celles qui sont liées à, par exemple, une connexion sortante.

Il est parfois difficile de tuer facilement une connexion existante sur un pare-feu en production, d'où l'idée de Wolfotrack, qui reprend la version GPL du jeu Wolfenstein 3D (NdM : FPS du siècle dernier) pour lier chaque personnage à une connexion de Netfilter. Ainsi, pour tuer une connexion il suffit simplement de tuer le personnage qui lui est associé.

Avec Netfilter, la table de suivi de connexion s'appelle le "connection tracking", et peut être facilement interrogée avec la commande conntrack -E. C'est ce qui est utilisé par des applications telles que pyctd. Les sources de Wolfenstein 3D étant disponibles et faciles à hacker, et hop, il devenait simple d'avoir un outil utilisant Netfilter enfin user-friendly !

Pourquoi Wolfenstein 3D et pas Doom me diriez-vous ? Tout simplement parce qu'avec des armes comme le BFG9000, cela s'avérait trop dangereux.

NdM : Dans la lignée de psdoom pour abattre vos processus et autres zombies (basé sur Doom) ou l3dgeworld l'outil réseau pour surveiller le trafic malicieux (basé sur Open Arena), nul doute que ces outils 3D vont permettre aux administrateurs système et réseau de se défouler.