Une nouvelle version de THC-Hydra vient de voir le jour. Cet outil libre, sous licence GPLv3, né il y a plus d’une dizaine d’années, est utilisé pour auditer les mots de passe des services réseau.

Comme à son habitude depuis la reprise des développements l’année dernière, cette version apporte son lot de corrections et d’ajouts de nouveaux modules, comme le support des protocoles IRC et XMPP.

Mercator est une application Web distribuée sous licence GPL qui permet de gérer la cartographie d'un système d’information comme décrit dans le Guide pour la cartographie du Système d’information de l’ANSSI.

Comme chaque année, le thème "Sécurité" des RMLL vous propose un tour des logiciels libres, des technologies et des concepts de la sécurité informatique. Le thème se déroulera cette année du lundi 7 Juillet au jeudi 10 Juillet 2014 à Montpellier tandis que les RMLL commencent le samedi 5 et s'achèvent le vendredi 11 Juillet.

Vous aurez donc au menu :

• découvrir les défis sécurité auxquels Tor fait face par Lunar ;
• sécuriser sa messagerie instantanée par Koolfy ;
• jouer comme jamais avec la crypto par Ange Albertini ;
• ou mieux connaître votre ennemi aka l'obfuscation par Ninon Eyrolles.

Mais, vous pourrez aussi :

• voyager, sans avoir à aller à BlackHat à Vegas ;-) , au sein de la mémoire du service d'authentification Windows (oui, aux RMLL !) par Benjamin Delpy ;
• jouer avec des clés par Franck Hofmann et Maxime De Roucy, du SSO par Clément Oudot ou des malwares par Xavier Mertens ;
• découvrir le regard d'un aveugle sur la Sécurité par Sébastien Hinderer ;
• ou jongler avec Suricata par Eric Leblond et DNSSEC par Stéphane Bortzmeyer.

Un atelier sur le langage de sécurité réseau Haka est aussi au programme le jeudi matin. Vous en voulez encore ? La suite est à découvrir dans le menu, bande de petits curieux ;-)

Evènement cette année : la tenue aux RMLL du Netfilter Workshop, la rencontre annuelle des développeurs Netfilter avec toute la core team.

Lors du Netfilter Workshop User day le lundi après midi, les développeurs Netfilter vous présenteront donc leurs dernières avancées avec notamment une présentation de Nftables par les deux derniers Netfilter team leaders, Patrick McHardy et Pablo Neira.

Enfin, afin de pouvoir mieux connaître nos conférenciers, nous vous proposons deux entretiens :

• entretien avec Ninon Eyrolles, chercheuse en Sécurité ("Obfuscation, connaissez votre ennemi") ;
• entretien avec Lunar, contributeur au projet Tor ("Défis passés et futurs pour Tor").

C'est Libre, c'est gratuit, c'est sécurisé ;-) Venez !

Kernel Recipes aura lieu le vendredi 21 septembre 2012, de 9h30 à 18h40, au Carrefour Numérique de la Cité des Sciences de La Villette, à Paris.

Kernel Recipes est la première journée de conférences dédiée au noyau Linux. La journée se veut un moment privilégié pour échanger avec ceux qui font le noyau au quotidien, ceux qui l'utilisent dans des projets professionnels ou non.

Une journée de conférences et d'échanges, avec une possibilité pour les participants d'inscrire un projet, une réflexion aux lightning talks (conférences éclair).

Il est prévu de prolonger les discussions durant le déjeuner proposé sur place, ainsi que le soir pour ceux qui se joindront au dîner.

Pour y participer, merci de vous enregistrer.

Harald Welte a publié ce matin sur son blog un rapport sur le déploiement d'OpenBSC lors de Hacking-at-random 2009. Pour rappeler les faits, OpenBSC est un logiciel sous GPL permettant d'utiliser une station GSM Siemens BS11 microBTS, et donc de simuler un véritable réseau GSM (2G pour le moment). Le but est d'avoir un outil pour pouvoir tester la sécurité et le fonctionnement des protocoles de téléphonie mobile.

L'utilisation des fréquences étant soumise à autorisation, une demande a été formulée et accordée afin de valider le système avec une charge suffisante et un jeu de terminaux mobiles diversifié. Une expérimentation similaire pour le système OpenBTS (similaire à OpenBSC, mais basé sur GnuRadio et USRP) avait été réalisée lors des festivals Burning Man 2008 et 2009 au Nevada.

Le rapport d'Harald est relativement précis sur le système mis en place et les conditions de tests, mais le point le plus important est la fin du rapport, où il explique qu'ils ont cherché à vérifier si certains smartphones implémentent RRLP, Radio Resource LCS (Location) Protocol. Le protocole permet à un opérateur de demander la localisation d'un terminal sans authentification aucune, ce dernier utilisant les signaux GPS pour connaître sa position (s'il y a un récepteur, bien sûr). Sur le marché, les téléphones équipés d'un récepteur GPS sont assez nombreux, notamment la gamme basé sur Android de HTC, l'iPhone et les téléphones Nokia N95 ou équivalents. Le rapport ne précise pas beaucoup plus d'informations à ce sujet, car la fonctionnalité n'a été testée que le dernier jour, mais il semble qu'un certain nombre de ces appareils suivent à la lettre les spécifications, permettant une localisation GPS sans que cela soit signalé à l'utilisateur.

On se souvient du scandale du Palm pré découvert par Joey Hess, Palm ayant ajouté un logiciel dans webOS envoyant via internet les coordonnées GPS ainsi que le temps d'utilisation de chaque application sur le téléphone.

Encore plus récemment, c'est l'iPhone qui a fait parler de lui suite à la découverte d'une application récoltant les numéros de téléphones des utilisateurs afin d'alimenter une base de client. La boite à l'origine de MogoRoad, le logiciel en question, a dû retirer son logiciel de l'AppStore, mais il semble que d'autres applications du même tonneau existent encore.

Cette nouvelle découverte jette une fois de plus le discrédit sur le respect de la vie privé par le monde de la téléphonie mobile.

LemonLDAP::NG est un logiciel libre d'authentification unique (SSO), contrôle d'accès et fédération d'identités. La version 1.9.0 a été publiée le 2 mars 2016.

LemonLDAP::NG est écrit en Perl et publié sous licence GPL. Cette nouvelle version majeure apporte de grands changements au logiciel comme le support OpenID Connect, une nouvelle interface d'administration et la compatibilité Nginx.

Suite à la dépêche Comparatif : GrapheneOS vs LineageOS, je souhaitais faire part d’un retour d’expérience sur l’utilisation de GrapheneOS sur un téléphone Android Pixel 7a. Ce commentaire est repris ici sous forme de dépêche.

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

• [Developpez.com] Jerry Do-It-Together une solution ingénieuse pour reprendre la main sur la technologie
• [@Sekurigi] La culture des hackers dans le monde de la politique
• [01net.] Intel embarque-t-il une porte dérobée dans toutes ses puces?
• [ouest-france.fr] Une école du logiciel libre à Nantes
• [L'OBS] Furieux de l’arrivée du «méchant Microsoft», ils fuient LinkedIn
• [ZDNet] Des données libérées pour plus de citoyenneté?
• [Next INpact] Mozilla crée le fonds «SOS» pour renforcer la sécurité de l'open source

La version 1.5.0 de Passbolt, incluant la très attendue fonctionnalité « groupes », est sortie le 23 mai 2017. Passbolt est un gestionnaire de mots de passe conçu pour les équipes, sous licence libre AGPL. Cette sortie inclut également des améliorations du code et la mise en place d’un outil de diagnostic du statut de l’instance accessible depuis la console.

Qubes sort en version Bêta 3, annoncée sur le blog de Joanna Rutkowska. Qubes O.S. est un système d'exploitation Open Source étudié pour fournir une sécurité renforcée sur un poste utilisateur par l'isolation en machines virtuelles.