Kernel Recipes 4e édition, à Paris du 30 septembre au 2 octobre 2015, réservez vos dates !

21
23
juin
2015
Noyau

Pour cette 4ème édition, et à la demande des participants, 3 jours de conférences sur le noyau Linux au coeur de Paris : mercredi 30 septembre, jeudi 1er et vendredi 2 octobre. Le format a été conservé : une seule salle, une audience d'une centaine de personnes, ce qui laisse la part belle aux interactions entre participants et avec les intervenants.

Cette année encore, nous vous avons concocté un programme de conférences qui balaie les actualités et les fondamentaux du projet kernel.org : organisation du projet, aller plus loin dans les sous-systèmes, virtualisation, développement, embarqué…

Journal OpenPGP, enlarge your privacy

Posté par . Licence CC by-sa
22
21
juin
2015

Il y a quelques mois, gouttegd nous faisait un cours magistral sur l'usage d'OpenPGP sur les cartes à puce et récidivait sur le sujet de la gestion des clés.

Ce comportement inadmissible mérite que l'on s'y intéresse de plus près. J'ai donc décidé de me lancer dans l'aventure et de générer moi aussi ma clé PGP. J'espère donc ici apporter un complément aux excellents articles pondus par gouttegd en expliquant comment j'ai posé les premières pierres de (...)

Journal Les solutions cryptographiques aujourd'hui : le simple et le compliqué

Posté par (page perso) . Licence CC by-sa
12
12
juin
2015

Bonjour Nal,

C'est vendredi, alors c'est un bon jour !

La cryptographie, c'est compliqué, et sa mise en œuvre est un champs de mines. C'est bien beau tout ça, mais on est en droit d'en attendre quoi aujourd'hui ?

Je vous propose de voir ce qui est simple et ce qui ne l'est pas, d'un point de vu centré sur l'utilisateur.

Chat entre deux personnes (anonyme)

C'est un terrain connu, et l'idée même est déjà utilisée par les réseaux informatiques. OTR est (...)

Journal Voilà comment inciter 25% des internautes à chiffrer leurs mails

17
10
juin
2015

Titre racoleur assumé.

J’étais en train de répondre au journal qui traite de comment on pourrait obtenir une solution de chiffrement accessible à tous quand je me suis dit qu’un journal serait peut-être plus approprié pour mettre en avant ma réflexion sur le sujet.

La question est intéressante, donc prenons le temps d’y réfléchir.

Réflexion

Le chiffrement, qu’il soit symétrique ou asymétrique nécessite des clés de chiffrements.

La possession de ces clés assure la confidentialité, l’intégrité et parfois l’authentification des (...)

Forum général.général [SSL/TLS] Devenir sa propre autorité de certification intermédiaire ?

Posté par . Licence CC by-sa
1
9
juin
2015

Bonjour,

Est-ce qu'il est possible de devenir sa propre autorité de certification intermédiaire ?

Je m'explique. J'ai un certificat wildcard pour *.domaine.tld, et j'aimerais savoir si avec la clé de celui-ci il serait possible de signer des CSR pour pour les sous-domaine de domaine.tld et d'inclure le certificat du wildcard dans la chaîne de certificats.

L'objectif étant de pouvoir isoler la clé privé de mon wildcard sur une machine hors-ligne, et de pouvoir ainsi générer et révoquer des certificats au (...)

Journal Sécurité et accéléromètres de téléphones

Posté par (page perso) . Licence CC by-sa
31
8
juin
2015

Salut,

Un petit journal pour vous parler de problèmes de sécurité liés à la présence d'accéléromètres sur les téléphones.

L'avantage d'une telle attaque, c'est que l'utilisation des accéléromètres passe inaperçu pour l'utilisateur, et qu'il n'y a pas besoin de permissions spéciales sur Google Play, ce qui n'est pas le cas de l'utilisation du GPS ou des caméras frontales et arrières (pour, par exemple, reconstruire une vue tridimensionnelle de l'endroit où vit l'utilisateur, et récupérer des numéros de carte de crédit (...)

Sortie de radare2 0.9.9 - Almost there

57
8
juin
2015
Sécurité

Vous l'attendiez, elle est enfin arrivée, la nouvelle version de radare2, la 0.9.9, nom de code "Almost there"!
Radare est un framework complet d'analyse et de désassemblage de binaires. Plutôt que de vous inviter à lire chaque commit, voici un résumé des nouveautés dans la seconde partie.

Quoi de neuf côté LinuxFr.org

82
4
juin
2015
LinuxFr.org

La dernière dépêche de cette catégorie LinuxFr.org qui ne soit pas une dépêche récurrente type « Les meilleurs journaux du mois » ou « Les prix du mois » ou « Les statistiques de l'année » remonte à mai 2014 pour une mise à jour du serveur. Voici donc, à l'aube de l'été, quelques actualités de type « en coulisses ».

Journal Un journaliste suspecté de terrorisme par Skynet ou les limites des recoupements des méta-données

15
13
mai
2015

Skynet est un autre des nombreux programmes de la National Security Agency qui utilise les méta-données des communications et la localisation pour identifier les terroristes.

Ahmad Muaffaq Zaidan est un journaliste qui a voyagé au Pakistan et en Afghanistan et rencontré des hauts dirigeants d'Al-Qaida y compris Ben Laden.

En analysant une base de données de 55 millions relevés téléphoniques, son nom est ressorti comme terroriste et membre d'Al-Qaida et de la fraternité musulmane.

Mais c'est un journaliste qui ne (...)

épisode de No Limit Secu dédié à l'OWASP

Posté par . Édité par Nils Ratusznik. Modéré par Pierre Jarillon. Licence CC by-sa
7
5
mai
2015
Sécurité

No Limit Secu est un podcast (ou bala(do)diffusion) indépendant, animé par des personnes passionnées qui sont parties prenantes dans le domaine de la cybersécurité à des rôles et dans entreprises diverses.

Le podcast est publié à fréquence hebdomadaire, sur son site web, généralement le dimanche. Une nouvelle thématique est abordée chaque semaine, en présence d'un invité lié de près ou de loin à cette thématique.

L'épisode de cette semaine porte sur la fondation OWASP. L'invité est Sébastien Gioria, qui dirige la division française de l'OWASP.

Logos de la fondation OWASP et du podcast No Limit Secu

Journal ulimits: appliquer des limitations de ressources sans PAM

Posté par (page perso) . Licence CC by-sa
28
4
mai
2015

Je présente ici un petit outil sans prétention de mon cru, ulimits, qui permet d’appliquer des limitations de ressources aux utilisateurs de systèmes dépourvus de PAM.

Les limitations de ressources

Les « limitations de ressources » (resource limits) sont un mécanisme permettant d’empêcher un utilisateur de faire un usage abusif des ressources d’une machine. Il est ainsi possible d’empêcher un utilisateur de créer trop de processus, de créer des fichiers trop gros, de poser trop de verrous, de consommer (...)

Remonter une attaque et trouver la faille avec les logs d'Apache2

58
4
mai
2015
Sécurité

Nous allons voir dans cet article comment remonter une attaque suite au piratage d'un site avec les logs d'Apache. On partira du principe que Apache est déjà configuré pour mettre ses logs dans /var/log/apache2 et dans les fichiers access.log et error.log.

OpenBSD 5.7 « Blues Brothers »

52
1
mai
2015
OpenBSD

Le premier mai, OpenBSD est de sortie, comme chaque année.

OpenBSD est un système d'exploitation orienté sécurité et réseau, dont les principaux avantages sont la stabilité, grâce aux audits sur le code source, mais également l'ensemble très large de fonctionnalités réseau qu’il fournit.

Le changement majeur de cette version est dans la continuité du fork d’OpenSSL, LibreSSL (cf. Bob Beck, LibreSSL - The first 30 days and the Future, BSDcan 2014 ; Ted Unangst, LibreSSL: More Than 30 Days Later, EuroBSDCon 2014). En effet, neuf jours après la sortie d'OpenBSD 5.6, la vulnérabilité POODLE a pointé son nez. Adieu SSL 3, SSH 1 et MD5 !

Ont contribué à cette dépêche (par ordre de dispersion) : BAud, karchnu, Loïc Blot, Xavier Teyssier, palm123, zurvan, Cédric Krier, Rolinh, Xavier Claude, Ellendhel, Dareg, Nÿco, Stéphane Aulery. Aucune moule n'a été blessée durant la rédaction.

OpenBSD

Journal Quelques nouvelles concernant la sécurité

Posté par (page perso) . Licence CC by-sa
Tags :
20
28
avr.
2015

Bon journal !

Tout d'abord, dans le monde d'Apple, la CIA a financé un groupe de recherche sur plusieurs années visant à passer outre les mesures de sécurités mises en place par l'entreprise. L'idée primaire étant d'essayer de récupérer les clé secrètes sur chaque appareil. Par exemple, une version d'XCode frauduleuse permettrait à tout développeur d'application d'ajouter une partie malveillante à son logiciel qui sera ensuite distribué sur l'Apple Store, et tout le reste (même si la manière de distribuer cette (...)