PacketFence  4.1 : une solution BYOD/NAC dans la cour des grands

Posté par (page perso) . Édité par Nÿco, Nils Ratusznik et ZeroHeure. Modéré par patrick_g. Licence CC by-sa
27
17
déc.
2013
Sécurité

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 4.1 de PacketFence. PacketFence est une solution de conformité réseau (NAC, Network Access Control) entièrement libre (GPL v2), supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, le support pour le [802.1X], l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus — elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

La version 4.1 de PacketFence apporte de nombreuses améliorations comme :

  • la gestion des droits d'accès à l'interface web d'administration ;
  • les profils de portail peuvent maintenant être définis par commutateurs ;
  • l'importation massive d'appareils réseau à partir de l'interface web d'administration ;
  • la propagation immédiate de l'ajout de commutateurs, évitant un redémarrage de RADIUS ;
  • la gestion étendue des durées d'accès réseau et la gestion dynamique des colonnes dans l'interface web d'administration.

Plusieurs améliorations de performance ont été apportées, de même que certains correctifs. PacketFence atteint un nouveau niveau qui fait déjà pâlir ses concurrents commerciaux !

12/12/2013 à Lille : NSA, DCRI, police… comment les États nous surveillent et comment s’en prémunir

Posté par . Édité par Benoît Sibaud et NeoX. Modéré par Nÿco. Licence CC by-sa
14
25
nov.
2013
Sécurité

L’union locale des syndicats CNT de Lille vous invite à découvrir comment sont conçus ces outils de surveillance et quels sont les moyens de s’en prémunir. Des travailleurs de l’informatique du syndicat CNT de l’industrie, du commerce et des services du Nord (CNT-STICS 59) présenteront le fonctionnement des réseaux de communication mondiaux et comment les services secrets les scrutent. Des outils et services présumés résistants aux systèmes de surveillance seront également présentés (Tor, GPG, Riseup…).

Aucune connaissance préalable en informatique n’est nécessaire.

Jeudi 12 décembre 2013 à 19h
à la Maison des syndicats CNT, 32 rue d’Arras, Lille
Entrée gratuite!

NdM : merci à keyes pour son journal.

Décès de Cédric Blancher, chercheur en sécurité informatique

Posté par . Édité par Benoît Sibaud et ZeroHeure. Modéré par Xavier Claude. Licence CC by-sa
Tags :
66
15
nov.
2013
Sécurité

Cédric Blancher est décédé le week-end dernier.

Diplômé de l'ENST (Télécom Bretagne) promotion 2000, chercheur en sécurité informatique chez EADS, contributeur à LinuxFr.org, rédacteur au magazine MISC, conférencier au SSTIC, excellent vulgarisateur des concepts relatifs à la sécurité informatique par le biais de son célèbre blog, créateur de l'injecteur de paquets Wifitap… Il aura marqué de son empreinte le monde de la sécurité informatique.

Cédric est décédé le 10 novembre dernier lors d'un saut en parachute, activité qu'il pratiquait depuis quelques années, avec plus de 200 sauts à son actif et le brevet C.

Cédric Blancher

Si vous avez connu Cédric et souhaitez partager des photos, un hommage, une anecdote, merci de les envoyer à cedric CHEZ crashdump.net l'ensemble sera transmis aux parents de Cédric en fin de semaine.

NdM : de nombreux hommages à Cédric « Sid » Blancher sont apparus en ligne. Liste non exhaustive et sans ordre particulier : Telecom Bretagne, AllianceGeoStrategique.org, n0secure.org, Cidris, Zythom, réactions multiples sur Twitter dont @lealinux et @linuxfrorg, BlueTouff, ozwald.fr, Bruno Kerouanton, Qualys.fr, The Register (en anglais), virushirado.hu (en hongrois), etc. Nous étions nombreux à le connaître. L'équipe du site LinuxFr.org s’associe à la douleur de sa famille.

Le programme de la 4ème LDAPCon à Paris est en ligne

Posté par (page perso) . Édité par Benoît Sibaud, NeoX et tuiu pol. Modéré par Xavier Claude. Licence CC by-sa
Tags : aucun
8
13
nov.
2013
Sécurité

La 4ème LDAPCon qui aura lieu la semaine prochaine (18 et 19 novembre 2013) en France, salle du MAS à Paris, vient de publier son programme définitif. Le protocole Lightweight Directory Access Protocol (LDAP) est à l'origine destiné à l'interrogation et la modification des services d'annuaire.

On aura donc la chance d'avoir une présentation des dernières nouveautés des logiciels suivants :

  • OpenLDAP : serveur LDAP, en C
  • OpenDJ : serveur LDAP, en Java
  • ApacheDS : serveur LDAP et Studio, en Java
  • LSC : outil de synchronisation entre annuaires et bases de données ou fichiers, en Java
  • Spring LDAP : API java d'accès aux annuaires LDAP
  • LinID : interface de gestion des données LDAP, en Java
  • FreeIPA : outil de gestion des accès et des identités (LDAP, Kerberos, DNS, NTP)
  • FusionDirectory : interface de gestion des données LDAP, en PHP
  • eSCIMo : outil de provisionning SCIM, en Java
  • Fortress : gestion des accès à base de rôles RBAC, en Java

La plupart des contributeurs de ces logiciels seront présents, c'est donc une occasion unique pour les rencontrer.

Il reste encore des places, il vous ne vous reste que quelques jours pour réserver la vôtre !

NdM : les frais d'inscription s'élèvent à 250 € (50 € pour les étudiants) pour les deux jours.

L’IETF se lance dans la lutte contre l’espionnage

Posté par (page perso) . Édité par Davy Defaud et Florent Zara. Modéré par patrick_g. Licence CC by-sa
Tags : aucun
39
12
nov.
2013
Sécurité

Des tas de gens et d’organisations ont été secoués par les révélations du héros Edward Snowden concernant l’ampleur de l’espionnage réalisé par la NSA (et, certainement, par bien d’autres organisations). Bien sûr, les experts en sécurité savaient depuis longtemps, mais ils avaient le plus grand mal à se faire entendre ; les dirigeants et les utilisateurs préféraient se moquer de ces experts, en les qualifiant de paranoïaques. Les révélations de Snowden ont montré que les paranoïaques ne l’étaient en fait pas assez, et que l’ampleur de l’espionnage dépassait les pires prévisions.

Logo IETF

Cela a nécessité des changements de direction à pas mal d’endroits. Par exemple, l’IETF, l’organisation qui établit les normes techniques de l’Internet. Traditionnellement, elle se préoccupait peu de vie privée, parfois considérée comme « un problème politique, ce n’est pas pour nous ». Cela a changé dans les dernières années mais les révélations Snowden ont mené à une brusque accélération. À la réunion de l’IETF à Vancouver, du 3 au 8 novembre, on a donc beaucoup parlé de vie privée. Tous les groupes de travail avaient consacré du temps à un examen de leurs protocoles, sous l’angle de la protection de la vie privée. Et la plénière technique du 6 novembre, avec Bruce Schneier en invité vedette, avait été entièrement consacrée à cette question. La décision la plus spectaculaire a été l’accord très large de l’IETF (par le biais du fameux « hum », l’IETF n’ayant pas de procédures de vote) pour se lancer à fond dans cette voie.

NdM : merci à Stéphane Bortzmeyer pour son journal.

Brebis, le vérificateur automatisé de sauvegarde

Posté par (page perso) . Édité par Florent Zara et Ontologia. Modéré par Florent Zara. Licence CC by-sa
13
12
nov.
2013
Sécurité

Brebis est un vérificateur automatisé de sauvegarde. Le but de cet outil est de détecter les corruptions, pertes, modifications accidentelles ou intentionnelles des données des archives que nous utilisons habituellement pour nos sauvegardes. Le but de cette vérification est de s'assurer que les archives conservées seront exploitables le jour où vous en aurez besoin. Brebis ne créé donc pas d'archive, il les vérifie.

NdM : merci à Carl Chenet pour son journal.

Sortie de Wapiti 2.3.0

42
12
nov.
2013
Sécurité

Une nouvelle version du scanneur de vulnérabilités web Wapiti est disponible.

logo wapiti

Wapiti est un logiciel libre sous licence GNU GPL v2 permettant d'auditer la sécurité des applications web. Il est développé en Python et s'utilise en ligne de commande. Cette version est principalement une refonte du logiciel et la grande majorité des changements s'est faite « sous le capot » pour prendre en charge des fonctionnalités manquantes comme les nouveaux éléments du HTML 5 et les liens générés par du JavaScript.

Sortie de LemonLDAP::NG 1.3

Posté par . Édité par ZeroHeure, Xavier Claude, Benoît Sibaud et palm123. Modéré par ZeroHeure. Licence CC by-sa
Tags : aucun
17
3
nov.
2013
Sécurité

La version 1.3 de LemonLDAP::NG vient de sortir. Outre les quelques corrections de bogues, cette nouvelle version apporte son lot de nouveautés parmi lesquelles :

  • configuration de l'utilisation d'un annuaire AD plus aisée : un module AD hérite du module LDAP ;
  • nouveaux supports d'authentification externes : Mozilla Persona (BrowserID), WebID, Facebook, Google.

Le programme de Google pour améliorer la sécurité des logiciels libres

Posté par (page perso) . Édité par ZeroHeure, Christophe Guilloux et NeoX. Modéré par NeoX. Licence CC by-sa
Tags : aucun
51
11
oct.
2013
Sécurité

Le 9 octobre dernier Google a annoncé un nouveau programme visant à améliorer la sécurité de plusieurs projets de logiciel libre.

Depuis plusieurs années la firme de Mountain View maintient un "Vulnerability Reward Program" qui a pour objet de payer les programmeurs trouvant des bugs de sécurité dans les applications Google. La dernière annonce étend ce programme à plusieurs projets libres qui forment le soubassement technique d'internet (key third-party software critical to the health of the entire Internet).

Plus de détails dans la suite de la dépêche.

Signing party aux 15 ans du Crans

Posté par (page perso) . Édité par Benoît Sibaud et palm123. Modéré par Benoît Sibaud. Licence CC by-sa
13
1
oct.
2013
Sécurité

L'association CRANS, qui gère le réseau informatique des étudiants de Normale Sup' Cachan, fête ses 15 ans cette année. À cette occasion, un événement de promotion du logiciel libre, avec conférences et ateliers est organisé le week-end des 19 et 20 octobre.

Cet événement comprendra une signing party PGP et une séance d'accréditation CAcert, le dimanche 20 octobre à 16h30.

Key signing party PGP

Pour les utilisateurs du système de chiffrement et de signature OpenPGP, vous aurez donc l'occasion de faire signer votre clef et de signer les clefs de plein de gens, de façon à construire votre toile de confiance.

Accréditation CAcert

Si vous êtes utilisateur de l'autorité de certification CAcert, ce sera également une occasion pour obtenir ou fournir des accréditations.

Vie Privée en 2013 : Pourquoi. Quand. Comment. - une conférence de Werner Koch traduite en français

Posté par . Édité par palm123. Modéré par ZeroHeure. Licence CC by-sa
22
11
août
2013
Sécurité

Werner Koch, auteur de GnuPG, a récemment donné une conférence aux RMLL intitulée Privacy 2013 : Why. When. How.

On y parle de chiffrement, de surveillance, de Tor, d'Edward Snowden, de Google, de Cloud, bref un très bon état de l'art sur le sujet. Le discours est relativement accessible et gagne à être connu d'un plus large public. La dernière partie de la conférence donne des recommandations pour l'utilisation quotidienne d'Internet.

Les groupes Transcriptions et TradGNU de l'April ont travaillé conjointement à une version française.
Une transcription anglaise est en cours de finalisation. De l'aide pour une version en sous-titrage serait également bienvenue.
Sur le même thème, on pourra lire une interview de Jérémie Zimmermann, de la Quadrature du Net.

LDAPCon 2013 : la quatrième conférence internationale sur LDAP aura lieu en France

Posté par (page perso) . Édité par Davy Defaud, Benoît Sibaud, Nils Ratusznik et Nÿco. Modéré par Benoît Sibaud. Licence CC by-sa
Tags :
11
18
juil.
2013
Sécurité

La LDAPCon est une conférence internationale sur LDAP et les sujets relatifs à la gestion des identités (approvisionnement, autorisation, fédération, etc.). Elle a lieu tous les deux ans dans différents pays, et cette année c’est en France, les 18 et 19 novembre prochains (salle du Mas, 10/18 rue des terres au curé, 75013 Paris).

LDAPCon

L’appel à conférences est ouvert jusqu’au 8 septembre, tous les sujets gravitant autour des annuaires LDAP et de la gestion des identités sont les bienvenus. Attention toutefois, les conférences seront en anglais.

Le nombre d’entrées pour la conférence étant limité, il est conseillé de réserver rapidement sa place. Un tarif spécial est proposé jusqu’au 15 septembre. Si vous êtes étudiant, c’est encore moins cher.

Atelier la cryptographie et les certificats SSL - X 509

Posté par . Édité par Benoît Sibaud et NeoX. Modéré par Nÿco. Licence CC by-sa
14
6
juin
2013
Sécurité

Dans le cadre de ses formations mensuelles, l'association StarinuX organise l'atelier : la cryptographie et les certificats SSL - X 509 , donc le but est d'illustrer la théorie par la pratique, même sur des exemples très simples.

Quand : le samedi 22 juin 2013 de 9h30 à 18h

Lieu : Hôtel IBIS Paris-la-Défense (Métro ligne 1, Pont de Neuilly ou Esplanade de la Défense ou gare SNCF La Défense).
Endroit très agréable, luxe, salle bien équipée avec toutes les commodités, 10 heures + goûter offerts.

Programme : voir la seconde partie de la dépêche

L'animatrice : Audrey Dahan, est spécialisée dans la cryptographie, les certificats et le protocole SSL.

Wireshark 1.10

Posté par . Édité par Pierre Jarillon, Xavier Claude, Benoît Sibaud et Nÿco. Modéré par Benoît Sibaud. Licence CC by-sa
Tags :
42
6
juin
2013
Sécurité

Comme tous les ans, une nouvelle version de Wireshark est disponible ! Wireshark est l'analyseur de protocole de réseau le plus populaire du monde ! Il est multi-plate-forme (notamment GNU/Linux, *BSD, Mac OS X et Windows).

Wireshark

Hacking : sécurité avec les logiciels libres, petit déjeuner

Posté par (page perso) . Édité par Nÿco. Modéré par Pierre Jarillon. Licence CC by-sa
5
22
mai
2013
Sécurité

Ce petit-déjeuner, ouvert à tous, sera l'occasion d'aborder les problématiques liées au hacking du point de vue de la sécurité. Nous ferons un tour rapide des différentes solutions existantes dans le domaine du logiciel libre. Nous finirons avec une table-ronde/discussions sur ce sujet avec mise en perspective sur la base de situations "terrain".

Intervenants :

  • 8h30 - 9h30h: Julien Cayssol - Consultant Sécurité - Certilience
  • 9h30-10h: Table ronde interactive avec un responsable production

Quand : le 28 juin 2013
Horaires : 8h30 à 10h30
Nombre de place : 35
Lieu : 105 rue La Fayette 75010 Paris

PacketFence  4.0 : un NAC open-source dans la cour des grands

Posté par . Édité par Nÿco, Xavier Claude et Benoît Sibaud. Modéré par Benoît Sibaud. Licence CC by-sa
Tags :
24
9
mai
2013
Sécurité

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 4.0 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre, supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, le support pour le 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

La version 4.0 de PacketFence apporte une toute nouvelle interface web d'administration - rapide, moderne et efficace. On y trouve aussi une attribution dynamique des rôles en fonction des sources d'authentification, une gestion des profils de portail à partir du web, de puissants outils de recherche de noeuds et d'utilisateurs, ainsi qu'une propagation immédiate des changements de configuration - aucun redémarrage requis !

Plusieurs améliorations de performance ont été apportées, de même que certains correctifs. PacketFence atteint un nouveau niveau qui fera pâlir ses concurrents commerciaux !

NdM : PacketFence est sous licence GPL 2

Linux/Cdorked.A : nouvelle porte dérobée discrète sur un Apache httpd modifié

Posté par . Édité par Nÿco, Benoît Sibaud et Florent Zara. Modéré par Benoît Sibaud. Licence CC by-sa
Tags : aucun
26
3
mai
2013
Sécurité

Une nouvelle porte dérobée (« backdoor ») utilisant un Apache httpd modifié, nommée Linux/Cdorked.A, a été détectée par ESET et Sucuri. L’intérêt de cette porte dérobée est qu'elle est très évoluée et se dissimule très bien, rendant difficile sa découverte. Seul le fichier binaire httpd (le démon Apache) est modifié, et toutes les informations du logiciel malveillant (« malware ») sont stockées en mémoire partagée. La configuration du logiciel malveillant et ses ordres sont envoyés par des requêtes HTTP GET rendues peu lisibles, mais surtout non-journalisées par Apache.

Ce logiciel malveillant redirige les utilisateurs vers des sites malveillants utilisant le paquet d'exploitation Blackhole, pour infecter le client. Après redirection, un cookie est enregistré sur le poste, pour ne plus rediriger l'utilisateur lors des prochaines visites. Ce cookie est aussi installé si la page demandée par l'utilisateur ressemble à une page d'administration (si l'URL contient des mots comme admin, webmaster, support) pour ne pas rediriger un potentiel administrateur du site afin de ne pas l'alerter.

NdM : merci à xenom pour son journal.

Sortie de OpenWrt « Attitude Adjustment »

Posté par . Édité par Benoît Sibaud, Christophe Guilloux et Xavier Claude. Modéré par Florent Zara. Licence CC by-sa
25
26
avr.
2013
Sécurité

La dernière version d'OpenWrt vient de sortir, et s'appelle « Attitude Adjustment ». Elle est numérotée 12.09, qui correspond à la date du gel des fonctionnalités, mais vient bien juste de sortir ce 25 avril 2013, un an et demi après la précédente « Backfire » 10.03.1.

Rappelons qu'OpenWrt est une distribution Linux destinée à l'embarqué, en particulier les routeurs, de par sa petite taille et les fonctions qu'elle intègre. Cette nouvelle version apporte son lot de nouveautés, comme la gestion de nouveaux matériels, une nouvelle implémentation du système de configuration du réseau, une tripotée de nouveaux paquets (3500, soit 500 de plus que la dernière version) ainsi que bien sûr des corrections de bugs. Détail dans la suite de la dépêche.

Infection par rootkit « SSHd Spam » sur des serveurs RHEL/CentOS

Posté par . Édité par Benoît Sibaud, Nils Ratusznik, apkwa, gilles renault et Xavier Teyssier. Modéré par Nÿco. Licence CC by-sa
Tags : aucun
42
23
fév.
2013
Sécurité

Lundi 18 février a été le jour de la découverte de ce rootkit ayant apparemment infecté un certain nombre de serveurs sous RHEL/CentOS. Des rumeurs font également état de serveurs touchés sous Debian.

Injection SQL sur toutes les versions de Ruby on Rails

Posté par (page perso) . Édité par Bruno Michel, Benoît Sibaud, baud123 et Christophe Guilloux. Modéré par patrick_g. Licence CC by-sa
Tags :
25
3
jan.
2013
Sécurité
   
Les développeurs de Ruby on Rails (aka RoR, un framwork de développement web open source populaire et basé sur Ruby) viennent d'émettre une alerte concernant une faille de sécurité de type injection SQL touchant toutes les versions de Ruby on Rails. Selon l'annonce, la faille se situe dans l'interface de requêtage d'ActiveRecord et plus précisément dans la manière dont les dynamic finders extraient les options des paramètres de méthodes. Un paramètre peut être utilisé en tant que scope et en manipulant ce dernier, il devient possible d'injecter du SQL. Des appels tels que Post.find_by_id(params[:id]) sont vulnérables. Nous vous laissons consulter l'annonce pour plus de détails. Logo RoR

Les mainteneurs ont sorti des nouvelles versions hier – 3.2.10, 3.1.9 and 3.0.18 – corrigeant le problème et il est fortement recommandé de mettre à jour dès que possible. Pour ceux qui ne peuvent se permettre une mise à jour, des patches sont aussi disponibles pour les branches supportées (3.1.x et 3.2.x), mais aussi des branches plus anciennes et non supportées officiellement (3.0 et 2.3). Dans ce dernier cas, il faut vraiement mettre à jour car les correctifs de sécurité ne sont pas garantis à l'avenir.

LinuxFr.org, qui, rappelons-le, est basé sur RoR, est déjà passé en 3.2.10 !

Hackons la videosurveillance

Posté par . Édité par Florent Zara et tuiu pol. Modéré par Florent Zara. Licence CC by-sa
Tags : aucun
29
13
déc.
2012
Sécurité

Un hackathon contre la surveillance ! C'est le thème de la soirée organisée mercredi 19 décembre à Paris autour du tout nouveau site paris.sous-surveillance.net. Au menu, le développement de nouvelles applications ou l'amélioration de l'existante, à partir du code du site et de son apli mobile, ou des données récupérées par ce projet de cartographie participative de la vidéo-surveillance.

Le projet sous-surveillance propose le déploiement facile et rapide de sites locaux à toute personne intéressée. Il est développé à partir de Spip 3 et de Leaflet qui affiche les cartes de manière légère (fond de carte Mapquest basé sur les données d'OSM).

Depuis septembre, une dizaine de villes ont rejoint le projet initié à Lyon, dont Marseille, Toulouse, Rennes, Nice ou le Luxembourg. Le projet a l'ambition de répertorier toutes les caméras publiques comme privées filmant la voie publique. Il présente également, de manière schématique, le champ de vision des caméras (en activant la couche "zones surveillées"). Parallèlement à la cartographie, une veille documentaire est proposée sur tous les sites. L'objectif est à la fois de réintroduire un débat sur la vidéo-surveillance et de sensibiliser largement sur la question.

Le code du site ainsi que celui de l'appli mobile sont libres et disponibles via Git. Le mercredi 19 décembre, à 19h, après la présentation du projet et l'intervention de Jean-Marc Manach, vous êtes invités à proposer vos idées, améliorations et poser vos questions ou à nous rencontrer pour participer à Paris sous surveillance.

Soirée conférence : Sécurité et réseaux informatiques est-ce possible ? (6 décembre à Hérouville)

Posté par (page perso) . Édité par Benoît Sibaud. Modéré par Xavier Claude.
Tags : aucun
11
1
déc.
2012
Sécurité

Téïcée vous invite le jeudi 6 décembre 2012 à 18h00 à une soirée-conférence.

Le programme :

  • 1er temps fort : conférence du Lieutenant-Colonel Eric Filiol, Directeur du Laboration de cryptologie et de virologie opérationnelle.

  • 2ème temps fort : table-ronde Témoignages de chefs d'entreprises

  • Un cocktail dînatoire suivra cette rencontre !

Le lieu : IRTS Basse-Normandie
11, rue Guyon de Guercheville - 14200 Hérouville Saint-Clair

NdM : les logiciels libres ne sont pas explicitement mentionnés, mais vu leur importance dans le domaine de la sécurité, ils feront sûrement partie de la soirée.

Petites actus sur le vote électronique (par ordinateurs de vote ou par Internet) (2)

Posté par (page perso) . Édité par baud123 et Florent Zara. Modéré par patrick_g. Licence CC by-sa
36
14
nov.
2012
Sécurité

Enfin débarrassés du battage médiatique autour des dernières élections, vous pensiez pouvoir chasser de votre esprit la problématique du vote électronique jusqu'à la prochaine fois ? Cette petite sélection d'actualités sur le sujet permet de revenir sur divers articles autour du vote électronique (par ordinateurs de vote ou par Internet).

Dans la seconde partie de la dépêche, il sera notamment question de votes modifiés, de patchs de la dernière minute, de mauvais design, de conflit d'intérêt, de vote par courriel/fax, de contentieux électoral et des questions écrites parlementaires et sénatoriales.

Keccak remporte la mise et devient SHA-3

Posté par (page perso) . Édité par Davy Defaud, Nÿco, Florent Zara et Benoît Sibaud. Modéré par baud123. Licence CC by-sa
Tags : aucun
74
3
oct.
2012
Sécurité

En 2007, le NIST (National Institute of Standards and Technology) a lancé une compétition internationale pour choisir une fonction de hachage de nouvelle génération.

Les attaques sur SHA-1 avaient généré une certaine inquiétude et les experts pensaient que la famille SHA-2 (SHA-256, SHA-384, SHA-512) serait menacée à plus ou moins longue échéance. Cela a donc conduit à l’organisation d’une compétition SHA-3 sur le modèle de celle ayant conduit à la sélection de l’algorithme de chiffrement AES.

Plus de 64 propositions ont été reçues et soumises, au fil des années, aux tentatives de cassages de la communauté cryptographique mondiale. Cette longue compétition vient enfin de s’achever puisque le NIST a désigné Keccak comme l’algorithme gagnant. Ce dernier devient donc officiellement SHA-3.

Plus de détails dans la suite de la dépêche.

Un miroir SourceForge a été compromis

Posté par . Édité par Florent Zara, Benoît Sibaud, Davy Defaud et Manuel Menal. Modéré par Florent Zara.
Tags : aucun
30
26
sept.
2012
Sécurité

Hier, une porte dérobée (backdoor) a été trouvée dans le paquet PhpMyAdmin qui se trouvait sur le miroir cdnetworks-kr-1 de SourceForge.net. Cette porte dérobée se trouve dans le fichier server_sync.php. Elle autorise l’exécution de code à distance. À noter qu’un autre fichier, js/cross_framing_protection.js, a aussi été modifié. Le paquet modifié, phpMyAdmin-3.5.2.2-all-languages.zip, semble l’avoir été le 22 septembre dernier. 400 personnes l’auraient téléchargé.

Logo sourceforge

Pour le moment, un seul fichier modifié a été détecté, mais il est probable que d’autres paquets présents sur ce miroir aient été modifiés pour inclure des portes dérobées. Il est donc suggéré de vérifier et revérifier la source de vos différents paquets si vous en avez téléchargés depuis SourceForge.net dernièrement. Le miroir incriminé a été retiré de la liste des miroirs disponibles.

NdM : merci à pasBill pasGates pour son journal.