L’équipe de sécurité Debian nous a fait un petit rappel sur leur liste de diffusion au sujet de la fin du support de sécurité pour Debian Lenny, qui se terminera précisément le 6 février 2012.

Après cette date butoir, plus aucune mise à jour de sécurité ou autre correction de bug critique ne sera livrée, c'est dans la logique de fonctionnement du projet Debian.

Voici une traduction de leur annonce datant du 06 décembre 2011 :

Ceci est une notice liée au support de la sécurité sur Debian GNU/Linux 5.0 (nom de code « Lenny ») qui se terminera dans 2 mois.
Le projet Debian a sorti Debian GNU/Linux alias « Squeeze » le 6 Février 2011.
Les utilisateurs et distributeurs ont eu 1 an pour mettre à jour leur version.
Donc, le support lié à la sécurité pour l'ancienne version stable 5.0 se terminera dès le 6 février 2012 comme précédemment annoncé.
Les mises à jours de sécurité pour l’ancienne version stable continuent d’être disponibles sur security.debian.org

Pensez à mettre à jour votre Debian si ce n'est pas déjà fait, ainsi que vos fichiers sources.list.

L’Hadopi (la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet) est en charge d’expliquer aux internautes français comment sécuriser leur accès à Internet (à défaut de celui de son prestataire TMG). Elle vient négligemment de diffuser dans son rapport annuel l’adresse IP d’un internaute visé par une de ses « recommandations ».

Une fois le souci révélé (sur Numerama, Twitter, etc.), l’Hadopi a promptement modifié son rapport pour masquer les zones problématiques avec des gros rectangles noirs. Et c’est complètement insuffisant, comme l’a noté PC INPact : l’information litigieuse n’est pas supprimée du document, juste (presque) dissimulée visuellement. Et il est facile d’y avoir accès.

Visiblement, concernant le format PDF (Portable Document Format), créé par Adobe, normalisé ISO 32000-1:2008 (deux ou trois cents pages de spécifications), deux mythes perdurent :

• un PDF ne serait pas modifiable : c’est faux, il existe plusieurs logiciels libres pour faire cela, dont Open/LibreOffice ;
• on pourrait censurer un PDF avec des gros carrés noirs ou en écrivant en blanc sur blanc : quatre exemples dans la seconde partie vous démontreront que non.

Les porte-monnaie sont déjà vidés et les dindes attendent patiemment leur sort funeste à côté de ce qui reste de leurs cousins canards/oies. Les images d'un gros monsieur en rouge, avec une barbe digne du geek qui se respecte, se multiplient de façon inquiétante. Bref, Noël est là.

Et comme tous les ans, pile après vient le CCC. Il s'agit de l'évènement organisé par le hackerclub éponyme et qui se nomme Chaos Communication Congress (le 28ème cette année, d'où son nom 28C3). Vous en avez certainement déjà entendu parler, étant donné que des dépêches passent ici-même tous les ans. Alors, vu que je suis très impatiente d'y être, voici un aperçu du programme.

NdM : le CCC met en place des flux audio et vidéo des conférences, et a posteriori les vidéos (par exemple celles de l'année dernière).

Ma société travaille depuis plusieurs mois sur un projet de WAF, ou pare‐feu applicatif, articulé autour du serveur HTTP et proxy inverse nginx. Après une foule de tests et une épreuve du feu pour le moins tendue, la première version stable de NAXSI, c’est son nom, est disponible au téléchargement en code source et en paquet Debian.

NAXSI est sous licence GPL v2 et s’utilise conjointement avec nginx. Son principal but est de bloquer de manière efficace les attaques classiques de type injection SQL, Cross‐Site Scripting, Cross‐Site Request Forgery, ou encore inclusion de sources tierces locales ou distantes.

Au contraire des WAF déjà connus, NAXSI ne se base pas sur des signatures, mais plutôt sur la détection d’attaques connues en interceptant des caractères et autres chaînes suspectes dans les requêtes HTTP. Tel un système anti‐pourriel, NAXSI affecte un score à la requête et, lorsque ce dernier est trop élevé, le client est redirigé sur une page de type 503.

Malgré ses récents faits d’armes, NAXSI reste un projet jeune, et en tant que tel, nécessite plus de tests. Aussi, n’hésitez pas à lui donner sa chance, vos retours seront grandement appréciés !

Dans un e-mail envoyé à ses membres, la Linux Foundation dit ceci :

We are writing you because you have an account on Linux.com, LinuxFoundation.org, or one of the subdomains associated with these domains.

Nous vous écrivons parce que vous avez un compte sur Linux.com, LinuxFoundation.org ou un des sous-domaine associés.

Après les serveurs de kernel.org, c'est au tour de l'infrastructure de la fondation Linux d'être compromise.

Linux Foundation infrastructure including LinuxFoundation.org, Linux.com, and their subdomains are down for maintenance due to a security breach that was discovered on September 8, 2011.

L'infrastructure de la Linux Foundaction, incluant LinuxFoundation.org, Linux.com et ses sous-domaines est hors-service pour maintenance à cause d'une faille de sécurité qui a été découverte le 8 septembre 2011.

Les domaines linuxfoundation.org et linux.com ainsi que leurs sous-domaines sont donc coupés du monde afin de déterminer la source du problème découvert le 8 septembre 2011. La brèche à sûrement été ouverte suite aux récents événements survenues sur les serveurs de kernel.org.

Les principaux sites représentant le noyau Linux étant hors service, celui-ci n'a donc plus de vitrine sur Internet et de nombreuses questions surgissent. Est-ce une faille du noyau ou d'un des nombreux logiciels libres que nous utilisons ? Est-ce une erreur humaine ? Si accès au compte administrateur root il y a, comment ? Gageons que la source du problème sera rapidement découverte et explicitée.

Pour l'heure, la fondation Linux s'occupe à la réinstallation de ses serveurs et conseille de changer les mots de passe et clés SSH qui étaient utilisés sur leur site.

You should consider the passwords and SSH keys that you have used on these sites compromised. If you have reused these passwords on other sites, please change them immediately.

Vous devez considérer vos mots de passe et vos clefs SSH utilisés sur ces sites comme compromis. Si vous avez utilisé ces mots de passe sur d'autres sites, veuillez les changer immédiatement.

N. D. M. : LinuxFr.org n'est lié ni à kernel.org ni à la Linux Foundation mais nous relayons les informations qui nous parviennent :)

Le Chaos Computer Club (CCC), l’une des organisations de hackers (au sens premier de bidouilleurs curieux) les plus influentes en Europe, viendrait de faire la rétro‐ingénierie d’un cheval de Troie (pour système Windows) utilisé par la police allemande pour « l’interception légale ». À partir d’une copie découverte en utilisation, ils montreraient que ce logiciel espion permet de récupérer des données privées, de surveiller les échanges via diverses applications (Firefox, Skype, MSN Messenger, ICQ et d’autres), de prendre le contrôle de la machine infectée, de se mettre à jour ou d’accroître ses fonctionnalités intrusives.

Le CCC publie une longue analyse détaillée, plus le binaire en question (une « dll » de 360 Kio et un « .sys » de 5 Kio). Ils auraient par ailleurs écrit leur propre interface de contrôle du logiciel espion, montrant les failles des protocoles de communication et de supervision utilisés.

L’antivirus libre ClamAV reconnaît « mfc42ul.dll » comme Trojan.BTroj-1 et « winsys32.sys » comme Trojan.BTroj.

Merci à inico pour son journal sur le sujet qui a conduit à cette dépêche.