Sortie de PacketFence 3.2

Posté par . Édité par Xavier Claude et baud123. Modéré par baud123. Licence CC by-sa
Tags :
30
23
fév.
2012
Sécurité

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 3.1 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre, supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, la prise en charge de 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Logo PacketFence

Vulnérabilité dans sudo

Posté par (page perso) . Édité par Benoît Sibaud, Florent Zara et Lucas Bonnet. Modéré par patrick_g.
Tags :
36
31
jan.
2012
Sécurité

Une vulnérabilité vient d'être trouvée dans l'utilitaire sudo. Pour rappel, la commande sudo permet à l'administrateur système d'accorder à certains utilisateurs (ou groupes d'utilisateurs) la possibilité de lancer une commande en tant qu'administrateur ou un autre utilisateur. Cette vulnérabilité est présente dans la fonction sudo_debug où un appel à getprogname() est effectué. Or le nom de l’exécutable étant contrôlé par l'utilisateur, il est possible d'induire un comportement non voulu.

Les versions concernées sont les versions 1.8.0 à 1.8.3p1. La version 1.8.3p2 corrige la faille. Apprécions la rapidité de la correction : soumise le 24 janvier dernier au mainteneur de sudo (Todd C. Miller, programmeur OpenBSD), celui-ci propose un patch le 27 janvier et une nouvelle version corrigée le 30 janvier. Soit moins d'une semaine entre la découverte et la version corrigée. Il ne reste plus aux distributions qu'à mettre à jour leurs dépôts pour propager cette correction.

NdM : merci à erdnaxeli pour son journal.

Prelude-IDS : le SIEM open-source est de retour en ligne

Posté par . Édité par Benoît Sibaud, Xavier Claude et Florent Zara. Modéré par Xavier Claude. Licence CC by-sa
Tags : aucun
19
30
jan.
2012
Sécurité

Il y a quelques mois on apprenait la liquidation de la société Edenwall (ex INL) qui ayant racheté Prelude-IDS (solution de gestion des événements du système d'information, alias SIEM) en 2009 emportait ce dernier dans sa descente en enfer Edenwall : la descente en enfer et entraînant la fermeture du site.

Bonne nouvelle, Prelude-IDS est de retour. Lisez la suite de la dépêche !

Quand les compteurs électriques font des étincelles

Posté par (page perso) . Édité par Florent Zara et baud123. Modéré par Xavier Teyssier. Licence CC by-sa
30
20
jan.
2012
Sécurité

Parmi d'autres mauvaises nouvelles concernant les libertés en général et le numérique en particulier, la dernière lettre de l'organisation EDRi (European Digital Rights) revient sur les compteurs électriques dits intelligents (qui remontent des informations sur votre consommation à votre fournisseur d'électricité).

Lors d'une conférence au congrès 28C3 en décembre dernier, deux chercheurs, Dario Carluccio et Stephan Brinkhaus, ont montré les failles d'un modèle de la société Discovergy, utilisé en Allemagne.

pof pof p0f la prise d'empreintes réseau passive !

Posté par (page perso) . Édité par Benoît Sibaud. Modéré par Xavier Teyssier. Licence CC by-sa
Tags :
42
17
jan.
2012
Sécurité

P0f est un outil de prise d'empreintes réseau passif, sous licence GNU LGPL. Cela veut dire qu'il analyse les connexions réseaux TCP/IP, même incomplètes, pour essayer d'en faire ressortir certaines caractéristiques (par exemple les flags TCP utilisés ou la taille des paquets) et ainsi en déduire l'identité (l'OS, la version du noyau) des ordinateurs derrière ces connexions.

Mais contrairement à nmap, il fonctionne de manière totalement passive, sans interférer avec les connexions TCP/IP en cours, là où nmap forge des paquets spécifiques. Nmap est donc capable d'identifier beaucoup plus rapidement l'OS derrière une adresse IP en forçant celle-ci à répondre à certaines requêtes très particulières et préparées dans ce but. Cela veut aussi dire que nmap a un comportement agressif, facile à repérer sur un réseau et pouvant mettre à mal certains équipements exotiques. P0f est plus conservateur, ce qui un avantage pour le faire tourner en continu sur un environnement de production.

La version 3.0.0 de p0f vient de sortir. C'est une réécriture complète qui apporte un certain nombre d'améliorations, dont la principale est de pouvoir analyser les charges au niveau applicatif (HTTP par exemple). Une démo est présente sur le site web de p0f : elle montre quelques caractéristiques récoltées par p0f à propos de votre adresse IP.

Le colonel Moutarde, sur la table (de hachage), avec un livre de maths

Posté par . Édité par baud123, Xavier Claude, Benoît Sibaud et patrick_g. Modéré par Malicia. Licence CC by-sa
78
30
déc.
2011
Sécurité

Quand des chercheurs en informatique font de la théorie, certains écoutent, comme les développeurs de Perl. D'autres dorment au fond de la classe : cette fois, le bonnet d'âne est pour PHP, Python, V8 (JavaScript par Google, qui sert par exemple dans node.js), Ruby (sauf CRuby), de nombreux serveurs d'applications en Java, mais aussi ASP.NET. Ils ont dû se réveiller brutalement mercredi, lors d'une présentation d'Alexander Klink et Julian Wälde au Chaos Communication Congress montrant comment saturer très simplement un serveur grâce à une attaque basée sur la complexité algorithmique.

PacketFence  3.1 : un puissant contrôleur d’accès au réseau

Posté par (page perso) . Édité par Nÿco, Malicia et Xavier Claude. Modéré par Malicia. Licence CC by-sa
25
28
déc.
2011
Sécurité

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 3.1 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre, supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, le support pour le 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

PacketFence possède un grand nombre de fonctionnalités. Parmi celles-ci, on retrouve :

  • l'enregistrement des composantes réseau grâce à un puissant portail captif ;
  • le blocage automatique, si souhaité, des appareils indésirables tels les Apple iPod, Sony PlayStation, bornes sans fil et plus encore ;
  • l'enrayement de la propagation de vers et virus informatiques ;
  • le freinage des attaques sur vos serveurs ou diverses composantes réseaux ;
  • la vérification de la conformité des postes présents sur le réseau (logiciels installés, configurations particulières, etc.) ;
  • la gestion simple et efficace des invités se connectant sur votre réseau.

PacketFence est une solution non-intrusive qui fonctionne avec une multitude d'équipements réseaux (filaire ou sans fil) tels ceux de Cisco, Aruba, ExtremeNetworks, Juniper Networks, Nortel, Hewlett-Packard, Meru Networks, Foundry, Enterasys, Accton/Edge-corE/SMC, 3Com, D-Link, Intel, Dell et plus encore.

La version 3.1 de PacketFence apporte plusieurs nouvelles fonctionnalités comme le support du standard « Statement of Health » (SoH) pour effectuer la vérification de la conformité des postes, de nouvelles techniques de détection d'activités malicieuses, le support des changements d'autorisation dynamiques RADIUS (RFC3576/5176) plus rapide et fiable, l'approvisionnement automatique de profils sans fil pour les appareils iPod, iPhone et iPad, de nouveaux graphiques statistiques dans l'interface Web d'administration et plus encore.

NdM : PacketFence est publié sous licence GPLv2.

Sortie de Authentic 2

Posté par . Édité par Benoît Sibaud, Nÿco et Nils Ratusznik. Modéré par Nÿco. Licence CC by-sa
Tags :
14
23
déc.
2011
Sécurité

Entr'ouvert annonce la sortie du logiciel Authentic 2, une plateforme de gestion des identités numériques polyvalente conforme à de multiples standards. Authentic 2 est un logiciel libre publié sous la licence GNU AGPLv3. Il s'agit d'une application Django. Elle est déployée sur le site www.identity-hub.com qui offre le service de fournisseur d'identité, ouvert et libre.

Les fonctionnalités principales sont :

  • Fournisseur d'identité et de service SAML 2.0
  • Serveur CAS 1.0 et 2.0
  • Fournisseur d'identité et de service OpenID 1.0 et 2.0
  • Support de multiples mécanismes d'authentification standards :
    • Mots de passe classiques
    • Mots de passe à usage unique (OATH et Google-Authenticator)
    • Certificat X509 via SSL/TLS
  • Passerelle de protocoles, par exemple entre OpenID et SAML
  • Support des annuaires LDAP v2 et v3
  • Support du mécanisme d'authentification PAM
  • Gestion des attributs d'identité

NAXSI, un module de filtrage HTTP pour nginx

Posté par (page perso) . Modéré par patrick_g. Licence CC by-sa
34
14
nov.
2011
Sécurité

Ma société travaille depuis plusieurs mois sur un projet de WAF, ou pare‐feu applicatif, articulé autour du serveur HTTP et proxy inverse nginx. Après une foule de tests et une épreuve du feu pour le moins tendue, la première version stable de NAXSI, c’est son nom, est disponible au téléchargement en code source et en paquet Debian.

NAXSI est sous licence GPL v2 et s’utilise conjointement avec nginx. Son principal but est de bloquer de manière efficace les attaques classiques de type injection SQL, Cross‐Site Scripting, Cross‐Site Request Forgery, ou encore inclusion de sources tierces locales ou distantes.

Au contraire des WAF déjà connus, NAXSI ne se base pas sur des signatures, mais plutôt sur la détection d’attaques connues en interceptant des caractères et autres chaînes suspectes dans les requêtes HTTP. Tel un système anti‐pourriel, NAXSI affecte un score à la requête et, lorsque ce dernier est trop élevé, le client est redirigé sur une page de type 503.

Malgré ses récents faits d’armes, NAXSI reste un projet jeune, et en tant que tel, nécessite plus de tests. Aussi, n’hésitez pas à lui donner sa chance, vos retours seront grandement appréciés !

Sortie de Suricata 1.1

Posté par (page perso) . Modéré par Nÿco. Licence CC by-sa
Tags :
29
10
nov.
2011
Sécurité

L’équipe de développement de l’IDS/IPS Suricata a publié le 10 novembre 2011 la version 1.1 de son moteur de détection/prévention d’intrusions. Il s’agit de la première version de la nouvelle branche stable 1.1. Elle prend la suite de la branche 1.0 sortie en août 2010, et apporte des gains conséquents en termes de performance, stabilité et précision.

Suricata est un système de détection/prévention d’intrusion réseau basé sur des signatures (à l’image de Snort avec qui il partage le langage de signatures). Il est disponible sous licence GPL v2 et a été développé depuis zéro par une fondation à but non lucratif, l’Open Information Security Foundation (OISF). Suricata fonctionne sur les systèmes d’exploitations GNU/Linux, BSD et Windows.

Un cheval de Troie gouvernemental analysé par le CCC

Posté par (page perso) . Modéré par Bruno Michel. Licence CC by-sa
64
9
oct.
2011
Sécurité

Le Chaos Computer Club (CCC), l’une des organisations de hackers (au sens premier de bidouilleurs curieux) les plus influentes en Europe, viendrait de faire la rétro‐ingénierie d’un cheval de Troie (pour système Windows) utilisé par la police allemande pour « l’interception légale ». À partir d’une copie découverte en utilisation, ils montreraient que ce logiciel espion permet de récupérer des données privées, de surveiller les échanges via diverses applications (Firefox, Skype, MSN Messenger, ICQ et d’autres), de prendre le contrôle de la machine infectée, de se mettre à jour ou d’accroître ses fonctionnalités intrusives.

Le CCC publie une longue analyse détaillée, plus le binaire en question (une « dll » de 360 Kio et un « .sys » de 5 Kio). Ils auraient par ailleurs écrit leur propre interface de contrôle du logiciel espion, montrant les failles des protocoles de communication et de supervision utilisés.

L’antivirus libre ClamAV reconnaît « mfc42ul.dll » comme Trojan.BTroj-1 et « winsys32.sys » comme Trojan.BTroj.

Merci à inico pour son journal sur le sujet qui a conduit à cette dépêche.

Petit déjeuner Sécurité des systèmes d’information à Metz

Posté par . Modéré par Lucas Bonnet. Licence CC by-sa
Tags : aucun
9
8
oct.
2011
Sécurité

L’État‐major interministériel de zone de défense et de sécurité Est (Préfecture de zone de défense et de sécurité Est), la Chambre de commerce et d’industrie (CCI) de la Moselle et le chargé de mission de sécurité économique (CMSE) du haut fonctionnaire de défense et de sécurité (HFDS), ont organisé une matinée de sensibilisation des PME à la sécurité informatique le 4 octobre 2011 à partir de 8 h 30, au Parc des expositions de Metz, lors de la Foire internationale de Metz.

Rapport PDF de l’Hadopi, ou comment (ne pas) masquer une adresse IP

Posté par (page perso) . Modéré par baud123. Licence CC by-sa
Tags : aucun
34
1
oct.
2011
Sécurité

L’Hadopi (la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet) est en charge d’expliquer aux internautes français comment sécuriser leur accès à Internet (à défaut de celui de son prestataire TMG). Elle vient négligemment de diffuser dans son rapport annuel l’adresse IP d’un internaute visé par une de ses « recommandations ».

Une fois le souci révélé (sur Numerama, Twitter, etc.), l’Hadopi a promptement modifié son rapport pour masquer les zones problématiques avec des gros rectangles noirs. Et c’est complètement insuffisant, comme l’a noté PC INPact : l’information litigieuse n’est pas supprimée du document, juste (presque) dissimulée visuellement. Et il est facile d’y avoir accès.

Visiblement, concernant le format PDF (Portable Document Format), créé par Adobe, normalisé ISO 32000-1:2008 (deux ou trois cents pages de spécifications), deux mythes perdurent :

  • un PDF ne serait pas modifiable : c’est faux, il existe plusieurs logiciels libres pour faire cela, dont Open/LibreOffice ;
  • on pourrait censurer un PDF avec des gros carrés noirs ou en écrivant en blanc sur blanc : quatre exemples dans la seconde partie vous démontreront que non.

Faille dans SSL 3.0 et TLS 1.0

Posté par (page perso) . Modéré par patrick_g. Licence CC by-sa
49
25
sept.
2011
Sécurité

Une faille de sécurité dans le protocole SSL 3.0 (et inférieur) et TLS 1.0 a été découverte. Ces protocoles garantissent l’accès chiffré aux serveurs Web. Il n’y a donc plus aucun site Web qui est à l’abri d’une attaque « man in the middle ».

Concrètement, l’attaque consiste à injecter du texte connu dans une page Web (via du JavaScript introduit dans une publicité vérolée, par exemple). Après, il suffit d’écouter la conversion (il faut quand même une session de 30 minutes pour l’exploit actuel) pour découvrir la clef AES. L’exploit permet donc de déchiffrer la page, mais aussi les cookies, et donc de s’identifier sur le site visé.

La faille concerne la version 1.0 de TLS et est corrigée dans la version 1.1, sortie en 2006. En outre, OpenSSL propose un contournement depuis 2004 ; il consiste à injecter des données aléatoires dans la transaction. Malheureusement, les navigateurs utilisent principalement NSS plutôt qu’OpenSSL, et même si sur le serveur on peut forcer l’utilisation de TLS 1.1 ou 1.2, très peu de navigateurs Web les supportent, ce qui freine le déploiement sur les serveurs. Actuellement, seuls IE 9 et Opera en sont capables !

Il faut cependant noter que ces failles sont connues depuis longtemps, c’est ce qui avait mené au correctif dans OpenSSL et à la création de TLS 1.1. Mais c’est la première fois qu’une attaque est publiée, validant ces propositions.

Quelques conseils de navigation :

  • utiliser l’extension Firefox noscript ;
  • actuellement, là où l’attaque pourra faire le plus de dégât, est sur les webmails ou sur les systèmes de paiement tels que Paypal (ben oui, si quelqu’un pirate ma connexion sur LinuxFr.org, ce ne sera pas très grave, car j’utilise différents mots de passe). Privilégiez donc les clients de messagerie électronique comme mutt ou Thunderbird, en désactivant le HTML.

Merci à Altor pour son aide lors de la rédaction de cette dépêche.

PacketFence 3.0 — Un puissant contrôleur d’accès au réseau

Posté par (page perso) . Modéré par patrick_g.
34
22
sept.
2011
Sécurité

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 3.0 de PacketFence.

PacketFence est une solution de conformité réseau (NAC) entièrement libre, supportée et reconnue. Procurant de nombreuses fonctionnalités, telles un portail captif pour l’enregistrement ou la re‐médiation, une gestion centralisée des réseaux filaires et sans fils, le support pour le 802.1X, l’isolation niveau 2 des composantes problématiques, l’intégration au détecteur d’intrusions Snort et au détecteur de vulnérabilités Nessus.
Elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

OpenSSH 5.9 est disponible

Posté par (page perso) . Modéré par patrick_g. Licence CC by-sa
30
19
sept.
2011
Sécurité

OpenSSH est une implémentation complète du protocole SSH (Secure SHell) en version 1.3, 1.5 et 2.0, publiée sous licence BSD modifiée.

Voici un échantillon des changements de la nouvelle version 5.9 :

  • sandboxing : une nouvelle option « UsePrivilegeSeparation=sandbox » apparaît dans le sshd_config, afin de limiter les appels système accessibles aux processus enfants (séparation des privilèges, technique très utilisée par les développeurs OpenBSD). Cela permet de réduire la surface d’attaque sur le système hôte. Actuellement, trois back‐ends sont fournis : systrace (OpenBSD uniquement), seatbelt (OS X/Darwin) et rlimit en solution de repli pour les plates‐formes Unix. Le projet OpenSSH encourage les contributeurs à fournir de nouvelles implémentations : Capsicum (intégré dans FreeBSD 9), espaces de noms cgroups, SELinux, etc. ;
  • arrêt propre des connexions multiplexées : il est possible de demander au serveur de ne plus accepter de nouvelles sessions sur une connexion multiplexée, tout en conservant les connexions en cours ;
  • beaucoup de nouveautés assez complexes ;
  • corrections de bogues.

Vulture 2.0 beta disponible

Posté par (page perso) . Modéré par patrick_g.
16
2
sept.
2011
Sécurité

Le code source de la version 2.0 de Vulture est disponible, sous licence GPL v2. Vulture est une solution Web-SSO basée sur une technologie de proxy inverse implémentée sur le socle Apache. Vulture implémente également des fonctionnalités de firewall applicatif.

Nouvautés

Les principaux changements par rapport à la version 1.99 sont :

  • le passage à Django pour l’interface d’administration ;
  • le passage à SQLite3 ;
  • le découpage du code Perl suivant l’API Apache, ce qui améliore la lisibilité du code ;
  • le passage à ModSecurity 2.6.1 :
    • Support du moteur de détection par scoring ;
    • Embryon de gestion des politiques depuis l’interface ;
    • Mise à jour des règles ModSecurity.org depuis l’interface.

Il s’agit encore d’une version beta, quelques bugs subsistent, mais l’essentiel pour commencer à tester est là… avis aux amateurs ! Pour récupérer le code : svn checkout http://vulture.googlecode.com/svn/trunk/ vulture-read-only

Clé web USB et sécurité

79
31
août
2011
Sécurité

C'est l'histoire d'une personne qui reçoit un gros document papier, contenant une clé USB en forme de clé de porte (voir la photo en seconde partie de la dépêche). On se dit que la clé USB doit contenir la version numérique du document papier, et on branche négligemment l'objet sur son ordinateur.

Une fois branchée sous Windows, la clé ouvre la fenêtre Exécuter avec le raccourci clavier [Touche windows+R], tape une adresse HTTP de site web et confirme la demande. On se retrouve avec un navigateur (disons Internet Explorer par défaut sous Windows) qui ouvre un site distant inconnu. En l'occurrence la clé pointe vers le site du vendeur de ce gadget (l'adresse était en erreur la première fois que je l'ai branchée...), qui lui-même pointe vers le site désiré par l'acheteur de cet objet promotionnel.

Nouveau cas de certificat SSL frauduleux (contre Google.com en Iran, autorité DigiNotar)

Posté par (page perso) . Modéré par Christophe Guilloux. Licence CC by-sa
24
30
août
2011
Sécurité

L'Electronic Frontier Foundation (EFF), qui défend la liberté d'expression sur Internet, a publié hier un article concernant l'attaque Man-in-the-middle contre les utilisateurs de Google en Iran, qui a eu lieu en douce pendant deux mois.

Une nouvelle fois, la vulnérabilité des systèmes de chiffrement sur le web basés sur des autorités de certification est mis en lumière : encore une fois l'attaquant a obtenu un certificat frauduleux d'une autorité (cette fois-ci DigiNotar). L'attaque a été détectée via le navigateur Google Chrome car celui-ci embarque en dur des vérifications pour les certificats de Google.

Pour mémoire je vous rappelle les deux entrées dans l'aide du site LinuxFr.org concernant le certificat SSL/TLS de LinuxFr.org et alertes dans les navigateurs et la réponse à la question Pourquoi ne prenez pas un certificat SSL/TLS gratuit ou payant de chez Machin qui est par défaut dans un navigateur ? Ce dernier lien comporte notamment des pointeurs vers des affaires précédentes autour des certificats SSL/TLS et des autorités de confiance (Comodo, Microsoft et Tunisie, Defcon 2010, CCC 2010, Verisign 2003/2004).

WinAdminPassword : Déployer des mots de passe uniques sur les systèmes GNU Linux / Microsoft Windows

Posté par . Modéré par baud123. Licence CC by-sa
21
14
août
2011
Sécurité

L'outil WinAdminPassword permet de générer des mots de passe en fonction d'une clef secrète et du numéro de série de l'ordinateur sur lequel il est lancé.

Son objectif principal est de déployer des mots de passe différents pour les comptes d'administration, et cela sur tous les systèmes de son parc informatique (Microsoft Windows, Linux, BSD, POSIX...).

Les mots de passe générés contiennent quatre types de caractères (majuscules, minuscules, chiffres et caractères spéciaux) et ne sont pas sauvegardés dans une base de données (Les seules informations à enregistrer dans votre gestionnaire ou base de mots de passe sont les clefs secrètes de génération des mots de passe).

Licence : GPLv3
Version courante : 1.5
Systèmes testés : Debian 6, Ubuntu 11.04, CentOS 5, RHEL 5, Fedora 15, OpenSuze 11.4, Mandriva Linux 2010.2, Microsoft Windows XP and Microsoft Windows 7 (x86 and x64)

Sortie de LemonLDAP::NG 1.1

Posté par (page perso) . Modéré par Christophe Guilloux. Licence CC by-sa
24
20
juil.
2011
Sécurité

Le 8 juillet dernier, à la veille de l'ouverture des RMLL, est sortie une nouvelle version majeure de LemonLDAP::NG.

LemonLDAP::NG est un logiciel de Web-SSO destiné à protéger des applications Web. Pour les utilisateurs, cela permet de ne s'authentifier qu'une seule fois (Single Sign-On) et pour les administrateurs du WebSSO cela permet de contrôler de manière centralisée les droits d'accès aux applications. LemonLDAP::NG supporte désormais de nombreux protocoles d'authentification et de fédération d'identités comme CAS, OpenID ou SAML 2.0.

Conseils pour la mise en place d'une politique de sécurité informatique dans les PME/PMI

Posté par . Modéré par Mouns. Licence CC by-sa
16
26
juin
2011
Sécurité

L'association GOALL (Groupe d'organismes acteurs du Libre en Lorraine) propose de rédiger et de diffuser sous licence libre un document avec des conseils généraux pour mettre en place une politique de sécurité informatique. Ce document est destiné aux responsables d'entreprise.

GPG - les concepts en clair et pédagogiquement

Posté par . Modéré par baud123. Licence CC by-sa
52
18
avr.
2011
Sécurité

Le printemps est propice à l'adoption de nouvelles pratiques. GPG est un outil libre de mise en œuvre la sécurisation de contenu numérique, stocké ou échangé. L'objet de cette dépêche est de proposer une synthèse, un parcours pédagogique, sur les principes de cet outil, pour en comprendre l'esprit et pouvoir l'utiliser en comprenant les enjeux techniques.

Concernant la sécurisation des communications numériques, on distingue :

  • le contrôle d'intégrité : il s'agit de vérifier qu'un contenu n'est pas altéré (on dit qu'il est conforme à l'original) ;
  • l'authentification : il s'agit de s'assurer de l'identité de l'auteur ;
  • le chiffrement : il s'agit de brouiller le message pour des yeux indiscrets.

GPG (« Gnu Privacy Guard ») permet de réaliser ces trois fonctions. GPG est la version libre (au sens de logiciel libre) du logiciel PGP (« Pretty Good Privacy »).

THC-Hydra disponible en version 6.2

Posté par . Modéré par tuiu pol. Licence CC by-sa
27
10
avr.
2011
Sécurité

Une nouvelle version de THC-Hydra vient de voir le jour. Cet outil libre, sous licence GPLv3, né il y a plus d’une dizaine d’années, est utilisé pour auditer les mots de passe des services réseau.

Comme à son habitude depuis la reprise des développements l’année dernière, cette version apporte son lot de corrections et d’ajouts de nouveaux modules, comme le support des protocoles IRC et XMPP.

Capsicum, une séparation fine des privilèges pour UNIX

Posté par . Modéré par tuiu pol. Licence CC by-sa
94
21
mar.
2011
Sécurité

Le projet Capsicum, lancé l'année dernière, tente d’adapter le modèle de sécurité par capacités (« capabilities ») aux systèmes UNIX. En deux mots, il s’agit de permettre aux applications de faire tourner certaines parties de leur code dans des « sandboxes » (bacs à sable) aux droits très restreints, gérés finement, avec la possibilité de recevoir ou de déléguer dynamiquement une partie de ces droits.

C’est une approche de la sécurité qui mise sur la flexibilité et l’intégration directe dans les applications (au contraire de politiques externes décidées par l’administrateur système, comme avec SELinux) pour respecter le Principle of Least Authority, qui recommande qu’un bout de programme donné fonctionne avec seulement les droits dont il a besoin pour accomplir sa tâche. Ainsi, les conséquences d’une faille sont réduites et les vecteurs d’attaque diminuent énormément. Par exemple, je ne veux pas que le logiciel qui lit mes fichiers PDF ait le droit de lire le contenu de mon répertoire personnel et d’envoyer des e-mails.

Capsicum introduit de nouveaux appels et objets système, qui demandent une (relativement petite) modification du noyau, ainsi qu’une bibliothèque logicielle en espace utilisateur pour utiliser ces nouveaux appels système. FreeBSD a déjà fait les modifications nécessaires, et les chercheurs ont pu facilement convertir plusieurs applications au modèle Capsicum : tcpdump, dhclient, gzip et, avec l’aide d’un développeur Google, le navigateur Web chromium.

Capsicum peut ainsi renforcer considérablement la sécurité des applications UNIX classiques, sans demander de les recoder entièrement. Reste à voir si les développeurs du monde du Libre seront convaincus par ces approches compartimentées, et prêts à les prendre en compte lors de la conception de leurs logiciels.