Qui a dit :
« dans les forces armées, Bill Gates règne aujourd´hui en maître »,
et
« il eut été préférable pour l´armée française d´investir dans le développement de ses propres applications "libres" plutôt que de dépendre de technologies "propriétaires" américaines. »

Je vous le donne en mille : le Général Jean-Louis Devisgnes, ex directeur du SCSSI, à l'occasion du discours de clôture du second salon des technologies de l´information et de la communication organisé par l´École supérieure d´application des transmissions (ESAT).

Deux étudiants au Combridge a trouvé un moyen de voler les clés secrets d'une carte IBM 4758, qui sont utilisés notammenet dans les Distributeurs -Automatique-des-Billets.

D'après eux :

We are able, by a mixture of sleight-of-hand and raw processing power, to persuade an IBM 4758 running IBM's ATM (cash machine) support software called the "Common Cryptographic Architecture" (CCA) to export any and this program's DES and 3DES keys to us. All we need is:

* about 20 minutes uninterrupted access to the device
* one person's ability to use the Combine_Key_Parts permission
* a standard off-the-shelf $995 FPGA evaluation board from Altera
* about two days of "cracking" time

Euh, comment dire, à vos claviers ?

Source : Bugtraq.

Signalant au passage la sortie du linuxfocus de ce mois, vous seriez bien avisés de coller vos mimines dans ce documents ma foi fort complet :

Qu'est-ce que chroot ?
Chroot redéfinit l'univers de fonctionnement d'un programme. Plus précisément, il détermine un nouveau répertoire "ROOT" ou "/" pour un programme ou une session. Schématiquement, tout ce qui est à l'extérieur du répertoire "chrooté" n'existe pas pour un programme ou un shell.

Pourquoi est-ce utile ? Si quelqu'un s'introduit dans votre ordinateur, il ne pourra pas voir la totalité des fichiers de votre système. Le fait de ne pas voir vos fichiers limite les commandes qu'il peut lancer et ne lui donne pas la possibilité d'exploiter des fichiers qui seraient vulnérables. L'inconvénient majeur, c'est que ça n'empêche pas l'analyse des connexions réseau ou autre. Ainsi, vous devrez faire bien d'autres choses qui n'entrent pas vraiment dans le cadre de cet article (...) :

Je vous laisse découvrir le reste :)

Sun vient d'annoncer une faille de sécurité présente dans toutes ses JRE existants. Elle se trouve dans le "Bytecode verifier" et permet à une applette malicieuse de faire un peu tout et n'importe quoi sur votre machine.

Conclusion: tous à vos patchs, ou bien désactivez java au niveau de votre butineur habituel si vous naviguez sur des sites douteux...

Le steghide nouveau est arrivé !

Ce programme de stéganographie, entièrement en GPL, en est maintenant à sa version 0.4.5 !
Mais, point important : il est francisé (grace au programme gettext) ! La francisation est loin d'être totale (messages d'erreur/d'aide pour l'instant), mais avance rapidement.

Voilà donc une bonne raison de tester ce programme... et cacher vos données les plus secrètes dans une gentille photo de votre grand mêre (ça n'est qu'une suggestion ;).

Pour ceux qui ne connaissent pas, un logiciel de stéganographie est, en gros, un programme qui permet de camoufler des données sensibles dans des fichiers anodins (souvent son ou image).

Pas de surprise à Bruxelles : les eurodéputés ont voté en faveur de la rétention de données, à 340 pour et 150 contre, soit une grande majorité. Le principe de «la rétention des données» privées est donc adopté.
Ce vote ouvre la voie à la surveillance générale et exploratoire des communications électroniques.

D'après un mail sur la liste de freebsd-security, le tarball de la dernier version d'openssh portable (openssh-3.4-p1) contient un shell code dans openbsd-compat/bf-test.c, qui sera lancé via Makefile.in si on fait un make.

Vous pouvez comparez avec un miroir :

ftp.openbsd.org (infecté) :
ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz

ftp.lip6.org (non infecté):
ftp://ftp.lip6.fr/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz

Communiqué de presse d'APRIL - APRIL s'associe à la mise en garde de Richard M. Stallman au sujet des projets Palladium et TCPA de Microsoft et d'Intel qui menacent la liberté de chaque utilisateur, notamment la liberté d'utiliser un logiciel libre, en contrôlant tous les ordinateurs.

Le RedHat Advanced Server 2.1 est la première distribution à être certifiée COE. La certification a été réalisée sur un IBM eServer® xSeries® 330 . La certification COE (Common Operating Environment) est nécéssaire pour l'utilisation d'un système d'exploitation par l'armée Américaine dans les domaines critiques : commande, contrôle, communication, etc...

Jusque là, cette dépêche fait de la propagande pour RedHat.
Mais elle fait écho à une dépêche précédente sur le manque de confiance des Américains sur les solutions GNU/Linux et peut les rassurer. Enfin, ce n'est pas si spécifique RedHat que ça. J'ai jeté un coup d'oeil au fichier .spec de construction du noyau et je n'ai rien trouvé de spécifique à cette certification (mais je peux me tromper). Bref, cette certification ne dénature pas GNU/Linux et est à la portée de tous les distributeurs.

NB: le RH SA n'est pas très « accessible ». Il est coûteux et seules les sources sont disponibles en téléchargement.

Depuis un petit moment maintenant, il existe un serveur mandataire (« proxy ») d'accès au moteur de recherche Google. Les raisons de son existence sont expliquées en détails sur le site (cf les liens) mais cela peut se résumer à "Peut-on faire confiance à Google?" (notez l'absence de "encore"). Selon ce site, non, pour beaucoup de raisons, dont la plus pertinente est l'enregistrement pour une durée éternelle des enregistrements de session et de l'utilisation de ces données à des fins commerciales.
Espérant faire prendre conscience aux internautes de l'importance de l'existence de tels proxies et tablant sur l'émergence d'autres proxies de ce type, le site n'a pas adapté sa capacité à la demande toujours croissante de connexion. Il est donc victime de son succès mais a réussi, il faut l'espérer, à faire prendre conscience que la recherche d'information sur la toile ne doit pas tomber aux mains d'une seule et unique entreprise aux méthodes de classements douteuses.

Ndm : Reste que personne ne peut prouver que le proxy en question n'enregistre pas les recherches effectuées avec les données personnelles de l'internaute

Une vulnérabilité critique a été identifiée dans le noyau Linux, elle pourrait être exploitée par un attaquant local afin d'obtenir les privilèges "root". Ce problème de type "integer overflow" résulte d'une erreur présente au niveau de la fonction ip_setsockopt() combinée à l'option MCAST_MSFILTER (fichier net/ipv4/ip_sockglue.c) qui ne calcule pas correctement l'espace mémoire noyau (IP_MSFILTER_SIZE), ce qui pourrait permettre à un utilisateur local l'augmentation de ses privilèges.

NdM : a été proposé par jaune également.
NdM2 : les noyaux 2.4.26 et 2.6.4, déjà disponibles, ne sont pas concernés.

PaX est un projet visant à apporter à Linux des moyens de prévenir et/ou de minimiser l'impact des failles donnant accès à l'espace d'adressage d'une tâche, comme les dépassements de tampon (buffer overflow), les format string attacks, etc. Il est une partie importante de grsecurity, qui fournit un ensemble d'améliorations liées à la sécurité pour Linux (protection renforcée des chroot , RBAC, etc.).

Le projet a annoncé le 4 mars la présence d'une faille majeure dans le code même de PaX, permettant d'obtenir à un utilisateur simple de gagner des droits plus importants sur le système, voire des droits administrateurs. Cette faille est exploitable localement, mais une exploitation à distance semble peu probable.

Une version mise à jour du patch est bien sûr disponible sur le site de PaX, ainsi que la version 2.1.2 de grsecurity qui inclut le correctif. Dans l'urgence,

# echo "0 0" > /proc/sys/vm/pagetable_cache

...permet d'éviter le principal vecteur d'exploitation potentiel.

Les auteurs de PaX ont par ailleurs déclaré qu'au vu de la gravité de la faille et pour d'autres raisons, le développement de celui-ci serait arrêté au 1er avril 2005. Brad Spengler, un des auteurs de grsecurity, s'est cependant porté volontaire pour reprendre le flambeau.

NdM : merci à mmenal pour avoir contribué à la news.

Le 2 décembre 2004, Nate Nielsen rapporte un plantage de Xorg lorsque Firefox affiche une très longue URL dans la barre d'adresse. Quatre mois plus tard un bug similaire est détecté dans Eclipse. Le bug concerne l'affichage de très longues lignes de texte avec le pilote propriétaire Nvidia. La solution est d'utiliser le pilote libre nv qui n'a pas ce bug.

Face à l'absence de réaction de Nvidia, un exploit exploitant ce dépassement de tampon offrant un shell en root est publié sur Rapid7. Il est possible d'exploiter la faille à distance à l'aide d'un client X distant. La faille a en fait été corrigée dans la version 9625 du pilote Linux sortie le 21 septembre 2006, mais la série 9xxx des pilotes Linux est encore en phase béta.

Cette faille relance bien sûr le débat pour ou contre les pilotes propriétaires (BLOBs). Pour le cas de Nvidia, il est difficile de trancher car refuser le pilote officiel implique de se priver d'accélération matérielle. Plutôt que de brasser l'air avec un débat sans fin, il serait plus judicieux de contribuer au projet Nouveau qui vise justement à écrire un pilote libre offrant l'accélération matérielle. D'ailleurs, l'écriture d'un pilote a été entamée il y a peu mais il est encore loin d'être utilisable.

NdM : Merci également à Pascal Terjan d'avoir proposé une dépêche sur le même sujet.
Mise à jour : la version 9626 du pilote (stable) corrige la faille.

Jeudi dernier s'est déroulée à Soissons la deuxième édition des Trophées du Libre. Six projets libres ont été récompensés, dans chacune des catégories : Sécurité, Structures Publiques et Collectivités, Éducatif, Gestion d’entreprise, Multimédia, Prix Spécial PHP. Un nombre important de projets (plus de 150) avaient fait acte de candidature, ce qui témoigne de l'importance de l'événement.

Pour mémoire, les Trophées du Libre sont un concours international de Logiciel Libre, avec plusieurs prix sur différents thèmes.

Le jury était présidé cette année par David Axmark (co-fondateur de MySQL), et les prix ont été remis aux gagnants en présence de Renaud Dutreil, Ministre de la Fonction Publique et de la Réforme de l’État.

Lors de la distribution des prix, le jury a insisté sur le caractère innovant et mature des projets gagnants.

En regardant Soir 3 hier soir, je suis tombé en ouverture du journal sur deux reportages plus qu'intéressants.
Le premier concernait Echelon, le réseau militaire d'espionnage américain bien connu pour ses dérives vers l'espionnage industriel, ceci à l'occasion de la sortie d'un rapport de l'Assemblé Nationale. Bref, un classique.
Le second reportage est beaucoup plus inquiétant, il concernait l'existence de backdoors ds le célèbre programme de cryptage PGP. Ces backdoors permettraient aux Américains de lire en clair les textes cryptés avec ce logiciel.

Note du modérateur: ces inquiétudes concernant le logiciel PGP avaient déjà été évoquées et sont réelles. Utilisez GnuPG ! :)