Journal Whois le registrar qui a fuité mon email ...

Posté par . Licence CC by-sa
4
22
mar.
2013

Hello tous,

Je tenais à partager avec vous un petit problème que j'ai eu avec mon registrar récemment.

J'ai reçu plusieurs mails m'incitant à acheter un nom de domaine proche du mien (le singulier de mon pluriel).

Voilà, cependant, j'ai été surpris de recevoir ces mails sur une adresse que je n'utilise quasiment pas sur le web et surtout que j'utilise chez le registrar qui gère à ce domaine (aie).

Du coup, je tente un whois sur le domaine en (...)

Journal Essais avec une Yubikey

Posté par . Licence CC by-sa
23
17
mar.
2013

Cher journal,

Je viens récemment de commander une Yubikey, une puce cryptographique avec interface USB vendue pour le grand public. Souvent, les puces cryptographiques sont vendues aux professionnels et sont difficiles à utiliser, surtout avec des postes sur lesquels on n'a pas de compte administrateur. D'où l'intérêt d'un produit qui a été conçu pour fonctionner partout.

Capacités techniques

Bien que les spécifications soient publiées, il n'est pas évident de comprendre ce que la puce sait faire à partir du (...)

Jeudi du libre de mars 2013 à Lyon : sécurisez vos communications avec OpenPGP

Posté par (page perso) . Édité par Benoît Sibaud. Modéré par patrick_g. Licence CC by-sa
8
6
mar.
2013
Communauté

De nos jours, le courrier électronique est devenu l'un des principaux moyens de communication à travers le monde. La plupart des gens possèdent au moins une adresse e-mail qu'ils utilisent aussi bien dans le cadre personnel que professionnel.

Des données sensibles transitent ainsi chaque jour sur le réseau par l'intermédiaire de nos boîtes mails, sans que nous ne mettions quoi que ce soit en œuvre afin de sécuriser ces échanges. La plupart des utilisateurs ont toute confiance dans leur messagerie instantanée.
Pourtant, l'e-mail repose sur des protocoles anciens, et il est extrêmement simple de se faire passer pour un autre. Qui n'a jamais reçu de message de la part d'un de ses amis qui contenait en réalité un virus ? De même, il est possible d'intercepter un e-mail avant son arrivée et d'en renvoyer une version légèrement modifiée.

Ce nouveau jeudi du libre sera l'occasion de vous présenter des solutions libres permettant de continuer à utiliser ce moyen de communication indispensable, tout en garantissant la sécurité et la confidentialité de vos échanges.

Vacances scolaires obligent, la conférence n'aura pas lieu le premier mais le second jeudi du mois, soit le 14 mars 2013 à 19h30.

Comme d'habitude, cela se passe à la Maison pour tous, Salle des Rancy, 249 rue Vendôme, 69003 Lyon (Métro Saxe Gambetta).

Journal Faille sur les routeurs Linksys WRT54GL

Posté par . Licence CC by-sa
11
15
jan.
2013

Bonjour,

DefenseCode a découvert une faille dans le firmware d'origine des routeurs Linksys (Cisco), qui permet un accès root à distance. Cette vulnérabilité a été testée sur le WRT54GL, qui est plutôt bien connu ici, mais les autres routeurs Linksys seraient aussi touchés.

La société a prévenu Cisco, qui aurait patché la faille dans leur dernier firmware (4.30.14), mais cette faille serait toujours présente.

DefenseCode publiera les détails de cette faille dans 2 semaines sur leur site et Full Disclosure, (...)

Journal Vulnérabilités sérieuses dans des dizaines d'applis utilisant TLS (ex-SSL)

33
8
déc.
2012

The Most Dangerous Code in the World : Validating SSL Certificates in Non-Browser Software par Martin Georgiev, Subodh Iyengar, Suman Jana, Rishita Anubhai, Dan Boneh et Vitaly Shmatikov

Une excellente étude sur les vulnérabilités des applications utilisant TLS (autrefois nommé SSL), à l’exclusion des navigateurs Web. Des tas d’applications parfois peu connues et discrètes (par exemple pour réaliser la mise à jour des logiciels d’un système) utilisent, comme les navigateurs Web, TLS pour se protéger contre un méchant qui essaierait (...)

Journal Cours gratuits sur la sécurité et l'intrusion web (en Anglais)

Posté par . Licence CC by-sa
17
29
oct.
2012

Bonjour,

J'ai développé un ensemble d'exercices libre sur le thème de l'intrusion d'application web et de la sécurité (audit de système Linux) que quelqu'un ici pourrait être intéressé. J'ai donc pensé que je devrais poster un lien ici. Le tout est uniquement (malheureusement) disponible en Anglais pour le moment.

https://pentesterlab.com/exercises
https://twitter.com/pentesterlab

Louis

Domotique libre, où en sommes‐nous ?

61
8
oct.
2012
Do It Yourself

La domotique, d’après Wikipédia, est l’ensemble des techniques de l’électronique, de physique du bâtiment, d’automatisme, de l’informatique et des télécommunications utilisées dans les bâtiments et permettant de centraliser le contrôle des différents applicatifs de la maison (système de chauffage, volets roulants, porte de garage, portail d’entrée, prises électriques, etc.). La domotique vise à apporter des fonctions de confort (gestion d’énergie, optimisation de l’éclairage et du chauffage), de sécurité (alarme) et de communication (commandes à distance, signaux visuels ou sonores, etc.) que l’on peut retrouver dans les maisons, les hôtels, les lieux publics, etc.

La domotique est également très proche de la gestion technique du bâtiment (GTB) et de la gestion technique centralisée (GTC), cet ensemble de techniques est régulièrement mis en avant pour atteindre les buts de ville intelligente et de réseau de distribution d’électricité « intelligent », et est perçu comme un moyen incontournable pour atteindre une meilleure efficacité énergétique.

Les plus curieux quant aux possibilités offertes se référeront au très bon article de Wikipédia : Domotique.

Cette dépêche est une introduction à la pratique de la domotique avec des logiciels libres pour un public ayant de bonnes connaissances en informatique et réseau. La première partie contient un résumé des protocoles couramment utilisés dans le domaine, et permettra au lecteur de prendre connaissance des principes sous‐jacents et de l’empilement protocolaire mis en œuvre. La seconde partie traite des logiciels libres qui peuvent être utilisés pour contrôler une installation domotique. Elle traite également des briques logicielles libres permettant de réaliser une telle application pour un développeur.

N.D.A. : Merci à baud123, Benoît, detail_pratique, Epy, jihele, kYc0o, Olivier Esver, patrick_g et Raoul Hecky pour leur participation à la rédaction de cette dépêche.

Journal Un article sur la conception sécurisée des serveurs graphiques (X, Wayland)

Posté par .
26
28
sept.
2012

Dans la lignée de mon journal sur le sandboxing dans Chrome et surtout le troll sur le modèle de sécurité de l'Apple Store, je pense que les lecteurs et lectrices de LinuxFR qui aiment les questions de conception sécurisée des applications seront intéressé-e-s par cet article de Linux Weekly News:

XDC2012: Graphics Stack Security

Martin Peres and Timothée Ravier's session on day one of XDC2012 looked at security in the graphics stack. They considered user expectations around security in (...)

Journal Un miroir SourceForge a été compromis

Posté par .
Tags :
32
26
sept.
2012

http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php

Une backdoor a été trouvée dans le package PhpMyAdmin qui se trouvait sur le miroir cdnetworks-kr-1 de SourceForge.net.

Il est probable que d'autres packages présents sur ce miroir ait été modifiés pour inclure des backdoors, je vous suggères donc de vérifier et revérifier la source de vos différents packages si vous avez téléchargé des packages de SourceForge dernièrement.

NdM : journal promu en dépêche.

Journal Un article sur le sandboxing de Chrome sous Linux

Posté par .
21
8
sept.
2012

En ce moment, le principe de moindre privilège pour sécuriser les applications UNIX, c'est un peu mon dada. J'en ai parlé dans une dépêche sur Capsicum, qui est un modèle de sécurité très riche et très intéressant mais pas encore porté sous Linux (il est maintenant disponible dans FreeBSD par contre), une dépêche sur seccomp-filter, une autre technologie pour Linux beaucoup plus bas niveau mais (secrètement) reliée, et indirectement dans le troll sur le modèle de sécurité de (...)

Journal Java ça pue c'est trop libre.

Posté par (page perso) . Licence CC by-sa
45
28
août
2012

Finalement j'ai l'impression que c'était inéluctable, que ça devait arriver un jour ou l'autre…

public void init()
{
   try
      {
       disableSecurity();

Alors là évidemment quand ça commence comme ça…

Bon, pour ceusses qui l'ignorent encore ou ont toujours leur plugin Java d'activé dans leur navigateur, il y a un 0Day qui circule depuis au moins 2 jours:
http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
http://eromang.zataz.com/2012/08/27/java-7-applet-rce-0day-gondvv-cve-2012-4681-metasploit-demo/

A priori Linux serait également impacté, mais je n'ai pas pu le vérifier : je n'ai pas le JRE (...)

Kernel Recipes 2012

Posté par (page perso) . Édité par Benoît Sibaud et Nÿco. Modéré par Nÿco. Licence CC by-sa
26
24
août
2012
Noyau

Kernel Recipes aura lieu le vendredi 21 septembre 2012, de 9h30 à 18h40, au Carrefour Numérique de la Cité des Sciences de La Villette, à Paris.

Kernel Recipes est la première journée de conférences dédiée au noyau Linux. La journée se veut un moment privilégié pour échanger avec ceux qui font le noyau au quotidien, ceux qui l'utilisent dans des projets professionnels ou non.

Une journée de conférences et d'échanges, avec une possibilité pour les participants d'inscrire un projet, une réflexion aux lightning talks (conférences éclair).

Il est prévu de prolonger les discussions durant le déjeuner proposé sur place, ainsi que le soir pour ceux qui se joindront au dîner.

Pour y participer, merci de vous enregistrer.

Journal Jouer avec la sécurité web

Posté par (page perso) . Licence CC by-sa
28
23
août
2012

Stripe organise un challenge autour de la sécurité des applications web. Le but du jeu est de capturer un drapeau (12 chiffres) en passant 9 niveaux (numérotés de 0 à 8). Pour passer un niveau, il faut réussir à récupérer le mot de passe d'une petite application web.

Les premiers niveaux sont faciles d'accès avec des attaques tout ce qu'il y a de plus classique comme des injections SQL et des XSS. Le dernier niveau est, par contre, bien plus (...)

Journal Des firmwares, des backdoors et du libre

Posté par (page perso) .
22
8
août
2012

Certains d'entre vous ont sans doute entendu parler ou vue la présentation de Rakshasa, c'est la POC d'une superbe backdoor qui fait froid dans le dos : cela permettrais d'infecter les bios de cartes mères, de cartes réseaux, en gros pas mal de composants ayant un firmware non libre (ou ayant un firmware libre, mais dans ce cas nous pourrions le recompiler et le reflasher).
C'est développé avec du libre (coreboot, SeaBIOS, iPXE…) mais ne (...)