WireGuard, protocole de communication chiffré sur UDP et logiciel libre

Posté par  . Édité par Cyrille Pontvieux, Anonyme, Benoît Sibaud, benja, volts, SaintGermain, Yves Bourguignon, tisaac, GG, palm123, Pierre Tramo, gregober, azerttyu et Voisin. Modéré par Nils Ratusznik. Licence CC By‑SA.
Étiquettes :
50
22
août
2022
Sécurité

WireGuard est à la fois un protocole de communication chiffré sur UDP et un logiciel libre l’implémentant, le tout créé par Jason A. Donenfeld, qui vise à remplacer les protocoles ou logiciels comme IPSec ou OpenVPN.

Bien que WireGuard ait été principalement pensé pour Linux et que son implémentation de référence soit celle du noyau Linux, il existe des implémentations sous licence libre pour la majorité des plateformes (Linux, BSD, Windows, Mac, Android, iOS), sous GPLv2 pour le noyau Linux, sous MIT, BSD, APLv2 ou GPL suivant les autres cas.

Journal Qui traite des autorités SSL WoSign, Startcom et du peu de professionnalisme qui a causé leur perte

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
50
27
sept.
2016

Chers lectrices, lecteurs, auditrices et auditeurs pour les éventuel(le)s aveugles et autres malvoyant(e)s qui utilisent un lecteur d’écran,



Je souhaite aujourd’hui vous parler de ce que vient d’annoncer Mozilla (en anglais et avec JavaScript, cookies et tout le bataclan, disponible ici en PDF ou en PNG pour les réfractaires à l’overkill) au sujet de Starcom et WoSign.

Pour ceux qui ignoreraient l’identité de ces deux organismes, Startcom est une autorité de certification SSL (…)

Journal Compositeurs Wayland - Pourquoi et comment gérer les clients privilégiés?

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
50
19
fév.
2014

Après de multiples heures de discussion sur la liste de diffusion de Wayland et avec des amis ayant la même formation que moi en sécurité système, j'ai décidé de compiler en un article un maximum d'observations et de propositions sur comment gérer les problèmes de sécurité que posent certaines fonctionnalités classiques des serveurs graphiques. Le focus a bien évidement été mis particulièrement sur Wayland car il est actuellement en développement et que c'est le meilleur moment pour influencer l'élaboration des (…)

Journal SSL ...

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
50
24
mar.
2011

Chaque fois qu'on parle de sécurité sur le Web, voir sur Internet, SSL est très souvent la réponse. Ce protocole permet de sécurisé les communications avec des algorithmes de chiffrement évolués que je ne peux contester, je n'en ai pas les connaissances.

Par contre ce que je peux contester, c'est l'architecture basée sur un tiers de confiance. En effet, le SSL repose sur une entité en qui on doit la pleine et entière confiance afin de transmettre nos messages (…)

Journal Le domaine linux.org détourné

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
50
9
déc.
2018

Vendredi 7 décembre, vers 0430 UTC, les serveurs de noms faisant autorité pour linux.org (à ne pas confondre avec linuxfr.org) ont été modifiés. Les nouveaux serveurs indiquaient comme adresse IP pour linux.org un serveur Web pirate (208.91.197.27, le serveur Web habituel étant chez Cloudflare, en 104.27.166.219 et 104.27.167.219). Apparemment (je n'ai pas pu le voir), le contenu comprenait diverses insultes contre Linux ("G3T 0WNED L1NUX N3RDZ") et Linus Torvalds, certaines reliées aux nouvelles conditions de participation à Linux.

Le service (…)

Journal Allez, il fallait bien que ça arrive

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
50
9
avr.
2021

Bonjour 'Nal,

J'ai les boules, un peu les glandes, et les… ouais tu vois le genre.

Il y a chez moi un petit Eee PC qui nous sert de NAS et rend quelques autres menus services : il fait tourner Apt Cacher, Transmission, stocke quelques dépôts Git pour divers petits trucs perso, et surtout un partage NFS où nous mettons les trucs à partager (le KeyPass, les photos, quelques documents, etc.)

Histoire d'avoir un peu de crédit dans les dîners (…)

Journal Les performances d'un noyau avec le patch PaX

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
49
25
août
2012

PaX est un patch externe applicable sur le noyau Linux et qui vise à protéger les zones mémoires contre diverses attaques.
Une présentation intéressante, "20 years of PaX", a été donnée à la conférence SSTIC de cet été. Et un commentaire de cette présentation est disponible ici.

J'ai toujours été curieux de savoir quel pouvait être le coût en performances de PaX quand il est appliqué au noyau Linux. Le dernier document intéressant datait de 2005 (donc (…)

OpenSSL Cookbook est maintenant en libre diffusion (CC By NC)

Posté par  . Édité par Benoît Sibaud, gUI, Xavier Teyssier et Nÿco. Modéré par Nÿco. Licence CC By‑SA.
Étiquettes :
49
28
avr.
2023
Sécurité

OpenSSL est un des logiciels libres les plus réussis et les plus importants (oui, oui, pas la peine d’avoir des boutons !). Réussi de par sa large utilisation ; important parce que l’infrastructure d’internet en dépend.

Le projet OpenSSL contient une implémentation haute performance d’algorithmes cryptographiques clés, une pile TLS et PKI complète et une boîte à outils en ligne de commande.

Mais il a toujours manqué d’une documentation exhaustive. Et pourtant elle existe : Ivan Ristić a écrit une somme sur le sujet, dont ce petit livre pratique est extrait.
Couverture d’OpenSSL Cookbook

Sortie d'OpenBSD 5.1 « Bug Busters »

Posté par  . Édité par Nils Ratusznik, Benoît Sibaud, Nÿco, claudex, Florent Zara et patrick_g. Modéré par patrick_g. Licence CC By‑SA.
Étiquettes :
49
2
mai
2012
OpenBSD

Comme tous les six mois, une nouvelle version d'OpenBSD est sortie. La version 5.1 est sortie le 1er mai, permettant aux personnes ne voulant pas défiler de pouvoir mettre à jour leur serveur. La chanson accompagnant la version 5.1 est « Bug Busters ».

La liste des changements est assez longue, vous en trouverez une liste réduite en deuxième partie de dépêche.

Full disclosure, c'est fini

Posté par  . Édité par Benoît Sibaud, palm123, Nils Ratusznik et tuiu pol. Modéré par Nils Ratusznik. Licence CC By‑SA.
Étiquettes :
48
20
mar.
2014
Sécurité

John Cartwright a annoncé la fermeture de la liste de diffusion Full disclosure. Cette liste était destinée à la publication de failles de sécurité et à la discussion sur ce sujet. Dans son message de fermeture, John Cartwright annonce qu'il en a marre des membres de la « communauté » qui demandent la modération d'anciens messages et pense que ça devient de plus en plus difficile de maintenir un forum ouvert dans le climat légal actuel.

La liste a été créée le 9 juillet 2002 par Len Rose, et était administrée par John Cartwright. Elle était sponsorisée par Secunia, une boîte de sécurité elle aussi créée en 2002.

Wikipédia cite trois failles 0 day révélées initialement sur cette liste concernant Microsoft Windows Help and Support Center en 2010, Apache HTTP Server en 2011 et la base de données Oracle en 2012. Une petite recherche sur LinuxFr.org en signale aussi une sur FreeBSD en 2009, parmi diverses autres failles évoquées touchant des logiciels libres ou non.

Éternelle question autour du « full disclosure », de la divulgation publique opposée à la sécurité par l'obscurité ? 2002, procès Kitetoa, 2004, procès Guillermito « C'est le procès du full-disclosure », 2004, adoption de la loi sur la confiance dans l'économie numérique en France « Quel avenir pour le full-disclosure en France ? » Etc., etc.

Un peu plus de sécurité sous Linux

Posté par  (site web personnel) . Édité par Benoît Sibaud, palm123, bubar🦥, Xavier Teyssier et NeoX. Modéré par tuiu pol. Licence CC By‑SA.
Étiquettes :
48
5
mar.
2015
Debian

Un problème qui revient souvent lorsqu'on débute sous (GNU/)Linux concerne la sécurité de sa machine, que ce soit un serveur ou un ordinateur de bureau. Faut il installer un antivirus ? un firewall ? et les malwares ? les mises à jour ? Des sauvegardes ? Mais mon ordi va bien non ?

Certain-e-s d'entre vous ont sans aucun doute des configurations intéressantes et/ou exotiques, n'hésitez pas à les partager, tous le monde en sortira gagnant.

Et donc, au programme de cet article (testé sur Debian Wheezy) :

  • Mises à jour : cron-apt et checkrestart
  • Sécurité
    • virus : clamav,
    • malwares maldet,
    • rootkits rkhunter, chkrootkit, lynis
    • vérification de l'intégrité des paquets : debsums
  • nettoyage : deborphan, …
  • backups

Wapiti 3.0.0 : Nouvelle version du scanneur de vulnérabilités Web

Posté par  . Édité par Benoît Sibaud, palm123, bubar🦥 et Davy Defaud. Modéré par bubar🦥. Licence CC By‑SA.
Étiquettes :
48
14
jan.
2018
Sécurité

Wapiti est un scanneur de vulnérabilités Web publié sous licence GNU GPL v2.

Il permet de détecter la présence de failles courantes (injection SQL, XSS, inclusion de fichier, exécution de code ou de commande, etc.) sur les sites Internet et les applications Web via différents modules d’attaque. L’exploitation des failles remontées n’est pas gérée par le logiciel, l’utilisateur doit donc procéder à l’exploitation lui‐même ou s’en remettre à un logiciel spécifique (comme sqlmap pour les failles SQL).

Wapiti génère des rapports de vulnérabilités dans différents formats (HTML, texte, JSON, XML). C’est un outil en ligne de commande qui a peu de dépendances et s’installe facilement.

Journal Avant c'est trop cher, après c'est trop tard

Posté par  . Licence CC By‑SA.
Étiquettes :
48
7
avr.
2016

Vu que cette petite phrase semble parler à beaucoup de monde cela peut-être l'occasion d'en profiter pour partager ses expériences autour de cette thématique.

Pour ma part c'était principalement dans le domaine de la sécurité informatique.

Visite chez des prospects et proposition de test d'intrusion, audit de sécurité et mise en place d'une politique de sécurité.
Tu sens que le prospect te considère comme un gros parasite qui ne rêve que de lui piquer son pognon et de mettre des (…)

Le pare-feu d'OpenOffice.org existe !

Posté par  (site web personnel, Mastodon) . Modéré par baud123.
Étiquettes :
47
17
juin
2010
Humour
Vous pensiez madame Albanel, l'ancienne ministre de la culture, à côté de ses pompes lorsqu'elle a parlé du pare-feu d'OpenOffice.org en pleine Assemblée Nationale lors des débats hadopiens ? Détrompez-vous, elle était juste un peu en avance sur son temps. Mis au défi, Pollux, bien connu dans le domaine de la sécurité informatique et du libre, vient d'implémenter la fonction dans la célèbre suite bureautique. Le tout n'est pas un simple petit bidouillage ou une blague potache à l'aide d'une macro, mais une véritable petite architecture basée sur :
  • OpenOffice.org (forcément !) ;
  • nfqueue et python pour amener les paquets en espace utilisateur (l'auteur ne se voyait pas porter OOo en espace noyau) ;
  • python-uno pour manipuler OOo ;
La communication entre la partie filtrante et la console d'admin se fait en XML-RPC avec pyUNOserver.

D'une simplicité déconcertante, il suffit juste de lister les ports à autoriser et OOo va les filtrer, Pollux en a de plus fait un outil daycidors-compliant en remontant graphiquement le nombre de paquets rejetés et acceptés, le tout mis à jour en temps réel ! Tous les détails sur son blog ! À proposer d'urgence à Orange pour remplacer leur console de téléchargement, car au vu des performances (~10 paquets par seconde), cela vous fera passer l'envie de faire du P2P !