Journal 8 mois de prison pour avoir exploité une faille de sécurité

Posté par . Licence CC by-sa
33
18
fév.
2012

Glenn Mangham, un brillant étudiant britannique de 26 ans, qui avait réussi à utiliser en avril 2011 certaines failles de facebook pour passer dans une partie interne du site, et en copier des informations confidentielles, a été condamné à 8 mois de prison.

Je n'ai pas réussi à trouver s'il s'agit de 8 mois de prison ferme, ou avec sursis.

Quoi qu'il en soit, celui que son avocat décrit comme « hacker éthique » (il n'a pas tiré profit de (...)

Deux extensions originales pour Firefox

Posté par (page perso) . Édité par Nÿco, Lucas Bonnet et baud123. Modéré par baud123. Licence CC by-sa
Tags :
40
15
fév.
2012
Mozilla

Développé par la fondation Mozilla, le navigateur web Firefox est connu pour avoir un vaste écosystème d'extensions. Récemment deux nouvelles extensions originales et intéressantes sont apparues et elles méritent qu'on s'y intéresse d'un peu plus près.

Sortie de Qubes Bêta 3

Posté par . Édité par Nÿco, baud123, Benoît Sibaud et NeoX. Modéré par Xavier Teyssier. Licence CC by-sa
Tags :
26
9
fév.
2012
Virtualisation

Qubes sort en version Bêta 3, annoncée sur le blog de Joanna Rutkowska. Qubes O.S. est un système d'exploitation Open Source étudié pour fournir une sécurité renforcée sur un poste utilisateur par l'isolation en machines virtuelles.

État d'insécurité chez PHP

Posté par (page perso) . Édité par Lucas Bonnet et Bruno Michel. Modéré par Bruno Michel. Licence CC by-sa
44
4
fév.
2012
PHP

Il y a quelques mois était publiée la version 5.3.7 de PHP, sans s'assurer que certains bugs critiques, comme celui de la fonction crypt(), avaient été corrigés.

Cela avait conduit a une sortie précipitée de PHP 5.3.8 contenant les correctifs nécessaires avec une alerte pour la version 5.3.7 .

Beaucoup ont alors espéré que les développeurs de PHP allaient changer de méthodes de travail.

Le 10 janvier sortait la version 5.3.9 de PHP qui contenait, entre autres, un correctif pour une vieille faille de sécurité qui permettait de fabriquer facilement des collisions dans une hashtable conduisant à un déni de service (faille déjà mentionnée ici-même).

Le hic fut que le correctif introduisait une nouvelle faille de sécurité qui, pour éviter de permettre de faire des collisions, permettait une exécution arbitraire de code.

Le 2 février fut publié la version 5.3.10, qui corrige la faille introduite par le correctif précédent.

Vulnérabilité dans sudo

Posté par (page perso) . Édité par Benoît Sibaud, Florent Zara et Lucas Bonnet. Modéré par patrick_g.
Tags :
36
31
jan.
2012
Sécurité

Une vulnérabilité vient d'être trouvée dans l'utilitaire sudo. Pour rappel, la commande sudo permet à l'administrateur système d'accorder à certains utilisateurs (ou groupes d'utilisateurs) la possibilité de lancer une commande en tant qu'administrateur ou un autre utilisateur. Cette vulnérabilité est présente dans la fonction sudo_debug où un appel à getprogname() est effectué. Or le nom de l’exécutable étant contrôlé par l'utilisateur, il est possible d'induire un comportement non voulu.

Les versions concernées sont les versions 1.8.0 à 1.8.3p1. La version 1.8.3p2 corrige la faille. Apprécions la rapidité de la correction : soumise le 24 janvier dernier au mainteneur de sudo (Todd C. Miller, programmeur OpenBSD), celui-ci propose un patch le 27 janvier et une nouvelle version corrigée le 30 janvier. Soit moins d'une semaine entre la découverte et la version corrigée. Il ne reste plus aux distributions qu'à mettre à jour leurs dépôts pour propager cette correction.

NdM : merci à erdnaxeli pour son journal.

Quelques aspects de la sécurité qui n'ont rien a voir avec le « Sandboxing »

Posté par (page perso) . Édité par Xavier Claude et Lucas Bonnet. Modéré par Xavier Claude.
55
22
jan.
2012
Mozilla

Ceci est une traduction de mon entrée de blog récente. Quelques remarques avant de commencer :

  • Mon biais : je travaille chez Mozilla Corporation sur WebGL ;
  • le titre original de mon entrée de blog était trop long pour la limite de longueur de titres. Il ne s'agit pas seulement de « Sandboxing » ;
  • la traduction est parfois un peu libre, un peu différente de l'original.

D'autre part, comme ici on est chez les Français râleurs, je n'ai pas à prendre autant de pincettes que dans mon blog agrégé sur Planet Mozilla. Donc soyons clairs, ce texte se veut un coup de gueule. Il y a des soi-disant experts en sécurité qui prétendent que Firefox est vulnérable parce qu'il lui manque telle ou telle fonctionnalité présente chez tel concurrent. Sans vouloir nier l'utilité de ces fonctionnalités, j'ai pensé qu'il était temps de remettre les pendules à l'heure : la sécurité des navigateurs est un sujet trop vaste pour qu'une ou deux techniques en particulier puissent faire une grande différence au total, et ces « experts » et autres journalistes se ridiculisent en répétant, sans distance critique, le marketing d'une entreprise… avec laquelle je ne tiens pas à me brouiller, car si je critique son marketing, j'ai souvent eu à travailler avec ses ingénieurs dans les comités de standards, et ça se passe très bien.

Au fil de mon blog, j'ai largement dévié sur un autre sujet qui me tient à cœur : la sécurité de WebGL, qui a elle aussi été victime d'une campagne de dénigrement de la part, cette fois-ci, d'un autre concurrent, qui lui n'a vraiment pas fait dans la dentelle alors qu'ils avaient eux-mêmes une technologie avec les mêmes « failles ».

Sur ce, la traduction de ce blog se trouve en seconde partie

NdM : merci à Benoit Jacob pour son journal.

Journal Quelques aspects de la securite qui n'ont rien a voir avec le "Sandboxing"

24
22
jan.
2012

Sommaire

Ceci est une traduction de mon entree de blog recente. Quelques remarques avant de commencer:
- mon biais: je travaille chez Mozilla Corporation sur WebGL.
- desole pour (...)

Journal SEAndroid, une version d'Android basée sur SELinux

Posté par (page perso) .
13
17
jan.
2012

SEAndroid est une version d'Android basée sur SELinux, et développée par la NSA, pour combler des lacunes de sécurité du système original.

C'est en gros pour limiter les actions d'applications malveillantes ou boguées et surtout en limiter les dégâts.

Le système est évidemment open source (enfin comme d'hab en fonction des drivers des méchants constructeurs qui ne font que du proprio !) et basé sur la version AOSP d'Android.

La page sur le wiki officiel pour plus d'informations :
http://selinuxproject.org/page/SEAndroid

(...)

Sandboxing fin dans le noyau linux : la saga des filtres seccomp

Posté par . Édité par Xavier Claude, Manuel Menal, Benoît Sibaud et baud123. Modéré par Sylvain Rampacek. Licence CC by-sa
77
15
jan.
2012
Noyau

Les développeurs de Google sont toujours à la recherche de solutions permettant d'améliorer la sécurité du navigateur web Google Chrome (ou son implémentation libre Chromium), ou de leur projet ChromeOS. Dans la dépêche à ce sujet, je vous avais raconté leur participation au projet Capsicum, qui apporte une gestion très fine des privilèges d'un processus, maintenant intégré dans FreeBSD.

Bien que les techniques mises en place par Capsicum soient pensées pour tous les systèmes inspirés d'UNIX, il n'y a pas grand espoir aujourd'hui qu'un port Linux soit accepté par les développeurs noyau ; Capsicum est un projet externe qu'il faudrait d'abord intégrer, ré-exprimer en terme des fonctionnalités existantes dans le noyau ; et les mainteneurs sont notoirement mécontents de la multiplication des solutions de sécurité (les Linux Security Modules en particulier) et ne verraient pas d'un bon œil l'apparition d'un nouveau candidat. Les développeurs Chromium utilisent sous Linux le primitif système de sandboxing seccomp, bien qu'il soit beaucoup moins flexible que Capsicum et donc nettement plus pénible et difficile à utiliser.

Depuis 2009, les développeurs Chrome essaient d'étendre les capacités de seccomp pour mieux répondre à leurs besoins. Les changements se sont révélés beaucoup plus difficiles à faire accepter que prévu : la situation a semblé bloquée à de nombreuses reprises et n'a pas évolué pendant de nombreux mois. Après plusieurs tentatives infructueuses, Will Drewry vient de proposer une nouvelle approche qui pourrait obtenir l'approbation des développeurs noyau ; mais rien n'est encore gagné…

Journal Netzob : outil de rétro-conception de protocoles de communication

23
13
jan.
2012

Un petit journal pour vous annoncer la sortie d'un outil libre de rétro-ingénierie de protocoles de communication : Netzob* !

Plusieurs cas d'usages sont visés à travers cet outil :

  • le développement d'une implémentation libre d'un protocole de communication propriétaire (ou non documenté) ;
  • l'analyse de sécurité (fuzzing "intelligent", avec compréhension du protocole) sur des implémentations de protocoles propriétaires ;
  • la simulation de trafic réaliste de protocoles de communication propriétaires dans le but de tester des produits tiers (pare-feux, IDS, (...)

Journal Vol de smartphone et données personnelles

Posté par .
20
11
jan.
2012

Bonjour,

Je me suis fait voler mon smartphone. Jusque là, rien d'extraordinaire. J'ai naturellement bloqué la ligne et changé tous mes mots de passe, mais il semble que le voleur ait eu accès aux mails, soit parce qu'ils étaient stockés sur la carte SD, soit parce qu'il a réussi à accéder à la mémoire interne du téléphone. En effet, "quelqu'un" a tenté de remettre à zéro un de mes mots de passe, et j'ai reçu une demande de confirmation par (...)

Fin du support de sécurité pour Debian Lenny le 6 février 2012

Posté par (page perso) . Édité par Benoît Sibaud, Nÿco, Xavier Claude et patrick_g. Modéré par Xavier Claude. Licence CC by-sa
36
4
jan.
2012
Debian

L’équipe de sécurité Debian nous a fait un petit rappel sur leur liste de diffusion au sujet de la fin du support de sécurité pour Debian Lenny, qui se terminera précisément le 6 février 2012.

Après cette date butoir, plus aucune mise à jour de sécurité ou autre correction de bug critique ne sera livrée, c'est dans la logique de fonctionnement du projet Debian.

Voici une traduction de leur annonce datant du 06 décembre 2011 :

Ceci est une notice liée au support de la sécurité sur Debian GNU/Linux 5.0 (nom de code « Lenny ») qui se terminera dans 2 mois.
Le projet Debian a sorti Debian GNU/Linux alias « Squeeze » le 6 Février 2011.
Les utilisateurs et distributeurs ont eu 1 an pour mettre à jour leur version.
Donc, le support lié à la sécurité pour l'ancienne version stable 5.0 se terminera dès le 6 février 2012 comme précédemment annoncé.
Les mises à jours de sécurité pour l’ancienne version stable continuent d’être disponibles sur security.debian.org

Pensez à mettre à jour votre Debian si ce n'est pas déjà fait, ainsi que vos fichiers sources.list.

Journal wps cassé

Posté par . Licence CC by-sa
30
31
déc.
2011

A cause de certains problème de la norme wps (http://fr.wikipedia.org/wiki/Wi-Fi_Protected_Setup) implémenté dans un grand nombre de routeur, il est possible de deviner assez rapidement (quelques heures) la clef wpa/wpa2 généré.

En effet à l'origine le ses (wps proprio broadcom) (http://wifinetnews.com/archives/2005/01/under_the_hood_with_broadcom_secureeasysetup.html) nécessitait un bouton physique pour démarrer la phase d’auto-configuration de la clef wpa/wpa2.

Mais dans la version standardisé wps, il est obligatoire d'avoir une méthode (PIN) de configuration qui ne repose plus sur une action physique, (...)

Le colonel Moutarde, sur la table (de hachage), avec un livre de maths

Posté par (page perso) . Édité par baud123, Xavier Claude, Benoît Sibaud et patrick_g. Modéré par Malicia. Licence CC by-sa
79
30
déc.
2011
Sécurité

Quand des chercheurs en informatique font de la théorie, certains écoutent, comme les développeurs de Perl. D'autres dorment au fond de la classe : cette fois, le bonnet d'âne est pour PHP, Python, V8 (JavaScript par Google, qui sert par exemple dans node.js), Ruby (sauf CRuby), de nombreux serveurs d'applications en Java, mais aussi ASP.NET. Ils ont dû se réveiller brutalement mercredi, lors d'une présentation d'Alexander Klink et Julian Wälde au Chaos Communication Congress montrant comment saturer très simplement un serveur grâce à une attaque basée sur la complexité algorithmique.