Le pirate connu Adrian Lamo, a réussis à pénétrer les systèmes du New-York Times. Banal vous me direz mais il avait sous la main la liste de tous les contributeurs du New-York Times incluant les anciens présidents, etc. Il a même pris le soin de se rajouter à la liste en tant que "Hacker" professionel ;)

Un gros bravo à ce monsieur puisqu'il n'a pas propagé la nouvelle, il a préféré se rendre au New-York Times afin de démontrer sa découverte. Ceux-ci ont apprécié le geste et l'auraient même engagé afin de colmater la faille.

Les logiciels occupent une position privilégiée dans notre monde en ce qui concerne leurs défauts : si votre chaîne HiFi explose lorsque vous écoutez un album de Celine Dion, vous pouvez poursuivre le fabriquant et éventuellement obtenir des dommages et intérêts. Or cette cause ne s'applique pas aux éditeurs de logiciels qui, dans la plupart des cas, ne peuvent pas être poursuivis pour malfaçon grâce aux clauses de décharge contenues dans l'accord de licence que l'utilisateur doit accepter pour installer le produit.

Mais les choses vont peut-être changer et certains commencent à se poser des questions sur le statut des logiciels, produit ou service ?
Si cela est une bonne chose pour le consommateur, qu'en est-il des logiciels libres, pourrez-vous un jour être attaqués pour avoir laissé le code d'un de vos Hello World ayant fait exploser le nouveau Windows de M. DURAND ?

Note du modérateur : sur le même sujet, une dépêche de Boursorama proposée par modr12 (les deux dépêches étant issues de Reuters à la base)

La Commission des Lois de l'Assemblée Nationale a adopté un certain nombre d'amendements pour « renforcer » le projet de loi Sarkozy (qui sera examiné le 14 lanvier).

Parmi les amendements proposés, on trouve des éléments pour autoriser les perquisitions informatiques et l'accès aux données des opérateurs téléphoniques et élargir les inscriptions obligatoires dans le fichier des personnes recherchées, de même que le champ du fichier des empreintes génétiques..

Microsoft a l'intention de réaliser une démonstration publique visant à mettre en évidence les lacunes sécuritaires de Linux, le but étant de démontrer à ses clients potentiels que Linux n'est qu'une vulgaire passoire.

Son argumentation reposera principalement sur des rapports d'analystes concernant les vulnérabilités de sécurité de Linux, ainsi que les délais de release des patchs et correctifs.

La 4ème édition du Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC) se déroulera du 31 mai au 2 juin 2006 à Rennes.

SSTIC est devenu en l'espace de quelques années la conférence de référence en sécurité informatique en France. Elle est organisée par des volontaires membres de l'association STIC et ne poursuit aucun objectif commercial. Le symposium se déroule sur le site de l'ESAT à Rennes.

Cette année le thème de la conférence porte sur les limites de la sécurité. Ce sujet sera exploré sous différents axes:
- les limites de la technologie (limites des produits, mythes, failles et preuves)
- les limites du périmètre (dissolution, mobilité et aspects télécom)
- au-delà des technologies (les facteurs non-technologiques)
- au-delà des limites (que faire une fois que l'incident s'est produit)

L'appel à contribution est ouvert et la date limite de soumission est le vendredi 6 janvier 2006.

N'hésitez pas à contacter le Comité de Programme si nécessaire:
cp@security-labs.org

Les archives (présentations et publications) des éditions précédentes sont également disponibles.

Il existe depuis peu un concurrent français aux géants Verisign, Thawte et Baltimore. Le petit nouveau s'appelle Certinomis, et propose, comme ses concurrents, des certificats X509 pour sécuriser les échanges de données via HTTP, mais aussi pour identifier les personnes qui se connectent à un site Web.
C'est d'autant plus intéressant que contrairement à ces derniers, Certinomis n'offre pas un outil simplement "technique", mais aussi une assurance juridique (puisque la signature électronique a maintenant une valeur juridique en France). Certinomis propose de télécharger gratuitement un certificat personnel de test, d'une validité de 3 mois.
Note du modérateur : Certinomis est une filiale commune de La Poste et de la Sagem

Juste pour signaler que le patch openwall pour le noyau 2.2.18 est sorti. Comme d'habitude :
- la pile est non exécutable, ce qui limite les risques de buffer overflows ;
- des restrictions sur les liens dans /tmp (cool avec les récents problèmes de csh et bash) et les FIFOs
- limitations sur le /proc
- protection des file descriptors 0, 1, 2 pour les programmes SUID/SGID
...

[Note du modérateur : ce patch est utilisé pour augmenter la sécurité du noyau]

Une nouvelle vulnérabilité a été découverte le 09 juin 2004 concernant tous les noyaux 2.4.x et 2.6.x (détails des noyaux non vulnérables dans l'annonce en anglais).

Cette faille nécessite un accès local à la machine et peut s'exécuter par la compilation d'un simple programme en C. Le bug a été également reporté dans le bugzilla de GCC (versions affectées 2.96, 3.0, 3.1, 3.2, 3.3 et 3.3.2).

Le patch concerne un simple changement de ligne sur la fonction clear_fpu() changeant l'appel asm volatile de ("fwait") vers ("fnclex ; fwait").

Le lien comporte un patch pour 2.4.x, 2.6.x et le test permettant de tester votre système, il est recommandé de synchroniser les systèmes de fichiers avant de tenter l'exploit.

Bon je sais que c'est pas un scoop puisque vous lisez vous aussi bugtraq tous les jours ...
Mais cette faille me paraît d'importance puisqu'elle touche les daemon ntp livrés avec nos distributions linux et bsd... mais aussi celles de certains unix proprietaires (sun...).
L'exploit livré sur bugtraq ne concerne que linux et bsd sur x86, mais quelqu'un de pas trop c.n pourra le porter sur sun, linux pour alpha...
De plus on peut craindre que l'accès public aux serveurs NTP sur internet ne soit coupé pendant un certain temps... voir peut-être coupé tout simplement.

Note du modérateur : heureusement qu'un patch est sorti le jour même... donc si les admins font leur boulot, pas de risque que les accès aux serveurs soient coupés :-)

Il y a des histoires qui sont faites pour durer, Code Red et consors en font partie : on nous raconte des choses formidables sur IIS ici. Je sais que cela va encore en désoler plus d'un, mais j'ai trouvé ce titre tellement accrocheur que je n'ai pu y résister.
Bon évidemment, c'est encore un piège à trolls (don't feed the troll), mais ça fait un peu rire pour ceux qui sont au boulot et vont pouvoir commencer leur journée dans la bonne humeur :)

Note : notez aussi la photo du gars, il a l'air tellement sérieux qu'il m'a donné envie d'acheter IIS et Windows.

Le Phrack #58 est enfin sortie au sommaire plein de truc intéressant, comme l'interception de fonctions, le patching au vol du noyau par /dev/kmem, etc.

Les présentations de CSW/core02 sont en ligne :
- Immunix
- Owl GNU/Linux
- honeyd et pots de miel
- Outils taranis, radiate, etc.

Ainsi que des photos !

Note du modérateur : la CanSecWest Core02 est une convention sur la sécurité informatique qui s'est déroulée du 1er au 3 mai à Vancouver (Canada)

Après OpenSSH, il y a quelques temps, c'est au tour du serveur FTP de Sendmail d'être compromis. L'intrus a déposé des sources de la version 8.12.6 contenant un cheval de Troie qui s'exécute pendant la compilation, se connecte sur le port 6667 d'une machine fixe et ouvre un shell... Le même qu'OpenSSH quoi ! L'intrusion date du 28/09/2002, et pour le moment sendmail.org a fermé l'accès ftp.
Ceux qui auront pris le soin de vérifier la signature GPG/PGP l'auront remarqué...

Une analyse assez intéressante des conséquences de la relaxe en appel de Kitetoa.

On y apprend notamment (l'auteur ayant mené une contre-enquête) que l'intrusion n'a "pas été rendus possibles par l'utilisation des fonctionnalités habituelles d'un navigateur, mais par l'utilisation d'un outil spécifique et non documenté intégré à Netscape Navigator qui permettait la détection et l'administration à distance des serveurs de la marque".
C'est à dire que Kitetoa ajoutait "/quelquechose" à la fin de l'url, laissant penser que l'url existait, alors qu'avec n'importe quel autre navigateur on aurait eu une erreur 404.

Un nouveau programme a été lancé pour améliorer la découverte des failles de sécurité dans le projet Mozilla.

Suivant le principe des "bounty hunters", ces chasseurs de primes qui chassaient des animaux en échange de récompenses, le nouveau programme propose à la communauté des primes pour la traque des bugs critiques au niveau de la sécurité des logiciels du projet.