Le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique et ses outils libres, propose un dossier sur les systèmes qui permettent de renforcer la sécurité de la branche 2.6 des noyaux Linux.

Ce dossier francophone, en libre l'accès pour tous, porte sur l'activation de ASLR (Address Space Layout Randomization), de GrSecurity et de PaX ainsi que sur celle de SELinux ; vous y retrouverez les procédures d'installation, de configuration et d'administration de ces mécanismes ainsi que des exemples d'attaques.

Vous pourrez également vous servir de la base d'exploits ExploitTree, basée sur CVS, et de sa plateforme de recherche en Perl afin de tester l'ensemble de ces fonctions de renforcement des noyaux Linux de cette branche.

• Le dossier Kernel Hardening sur Secuobs.com (12 clics)
• Kernel.org le site officiel (1 clic)
• PaX le site officiel (2 clics)
• GrSecurity le site officiel (0 clic)
• SELinux le site officiel (3 clics)
• Le dossier ExploitTree sur Secuobs.com (1 clic)

Il existe actuellement différents CDROM de type Live CD que l'on dit aussi « bootables » et qui sont basés sur les distributions GNU/Linux.

Les Live CD concernant le domaine de la sécurité des systèmes d'informations et de communication sont tout aussi nombreux parmi ceux-ci, ils sont pour la plupart disponibles en téléchargement sur internet et notamment BackTrack2 qui est l'un des plus populaires parmi eux.

Ces Live CD ont été développés pour donner la possibilité à leurs utilisateurs d'y ajouter leurs propres outils et scripts, ils présentent cependant tous un défaut majeur dès lors que l'on souhaite effectuer la mise à jour du système et des outils qui les composent.

Cette opération est soit impossible dans la plupart des cas soit tellement compliquée à réaliser qu'elle n'est pas envisageable pour les utilisateurs lambda ; ils sont alors contraints d'attendre les avancées des développeurs afin de profiter des dernières versions.

Le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique, vous propose un document présentant une méthode originale qui permettra à tout un chacun de réaliser son propre Live CD, orienté sécurité ou pas.

• Le document sur Secuobs.com (27 clics)
• Le script perl d'automatisation sur Secuobs.com (6 clics)
• L'image ISO sécurité sur Secuobs.com (13 clics)
• Le site officiel d'Ubuntu (1 clic)
• Le site français Ubuntu-fr (8 clics)
• Le site de BackTrack (3 clics)

Scapy est un utilitaire Open Source en Python développé par Philippe Biondi, cet outil vous permet de disséquer, de forger, de recevoir et d'émettre des paquets (et des trames) de données pour un grand nombre de protocoles que vous pourrez également décoder : DNS, DHCP, ARP, SNMP, ICMP, IP, TCP, UDP.

L'un des seuls points faibles connu à ce jour, concernant Scapy, est son manque de documentation officielle ou non, notamment francophone, permettant de le destiner à un plus large public que les experts du domaine ; partant de ce constat, le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique, met à disposition de tous un document venant combler une partie de ce manque.

Vous y apprendrez notamment comment installer et configurer Scapy ainsi que les rêgles rudimentaires relatives à son utilisation (commandes basiques et avancées) et à la manipulation de paquets (et de trames) de données dont un exemple de génération de graphiques 2D/3D à partir des résultats d'un traceroute réalisé à l'aide de Scapy.

• Le document sur Secuobs.com (452 clics)
• Le site officiel de Scapy (123 clics)
• Le site officiel de Scapy IPv6 (40 clics)
• Le site officiel de WifiTap (28 clics)

Le fournisseur d'accès vient de choisir l'authentification OpenID pour son portail Orange.fr, devenant ainsi le plus gros site implémentant cette solution d'authentification.

OpenID est l'initiative pour un système d'authentification décentralisé, permettant une identification unique.

Un service d'ores et déjà disponible, comme le souligne Neteco, pour les" 17 millions de clients "internet" et 23 millions de clients "mobile" d'Orange France".

• Openid.net (4 clics)
• OpenID sur Wikipedia (11 clics)
• OpenID sur Wikipedia (3 clics)
• Run your own Identity server (4 clics)
• L'info sur ZDnet (3 clics)
• Service OpenID d'Orange (24 clics)

Le Netfilter Workshop 2007 vient d'ouvrir sa cinquième édition à Karlsruhe, en Allemagne. Ces rencontres ont lieu tous les 2 ans et permettent aux développeurs du projet Netfilter de se rencontrer pour définir les orientations du projet Netfilter, et également d'avancer sur les mises à jour de technologies à venir.

La première présentation a été réalisée par Patrick McHardy où il détaille version noyau par version noyau les avancées de Netfilter.

L'évènement se déroule du 11 au 14 septembre. Tout comme en 2005, un compte rendu est proposé par INL, sponsor de l'évènement. Le site est mis à jour en temps réel en suivant les différentes présentations des intervenants.

NdM Le projet Netfilter vise à fournir des solutions de firewall sous GNU/Linux via notamment l'outil iptables.

• Résumé en français et en temps réel du Netfilter Workshop (2 clics)
• Netfilter Workshop résumé (1 clic)
• Site officiel de l'atelier Netfilter (1 clic)
• Netfilter (1 clic)
• INL (1 clic)

Développée avec la Mairie de Paris et l’INSERM, la solution OpenTrust-PAM (Portal Access Manager) d’IDEALX est désormais libre au téléchargement sous licence GPL.

OpenTrust PAM permet à un utilisateur de n'avoir à s'identifier qu'une seule fois pour accéder à toutes ses applications distantes. C'est donc un « reverse-proxy », assurant le SSO (Single Sign On), qui interagit avec les systèmes d’authentification des applications mises à disposition, grâce aux protocoles Web.

Mise en ½uvre pour la première fois à l’Inserm en 2004, la solution a été mise en production à la Mairie de Paris dans le cadre de la création d’un portail « Partenaires », destiné à multiplier les services fournis aux différentes entités liées à la ville.

Publié depuis aujourd’hui sous licence Open Source (GPL), le logiciel OpenTrust-PAM pourra ainsi être utilisé et s’enrichir par l’apport de nouvelles contributions.

• OpenTrust PAM (73 clics)
• Opentrust (33 clics)
• IDEALX (75 clics)
• Témoignage Mairie de Paris (11 clics)

Skype utilise de nombreuses méthodes d'obscurcissement du code et du trafic réseau (jusque là rien de nouveau pour du logiciel propriétaire).

Le principal problème c'est qu'il permet de contourner toutes les mesures de sécurité réseau (peu de solution hormis interdire l'installation de Skype voire l'accès à internet). Le protocole a un comportement tellement atypique et si difficilement remarquable que les HIDS, IDS et pare-feux ont du mal à le bloquer. Il passe par des ports standards (80, etc.)
Skype fournit une API (interface de programmation) qui, détournée par une personne mal intentionnée, permettrait d'interfacer n'importe quel autre programme avec le réseau Skype (botnet ou autre attaque à base de cheval de Troie par exemple). Skype a par ailleurs reconnu qu'un greffon collectait des informations sur les machines des utilisateurs (identifiant unique de la carte mère en lisant le BIOS).

NdM : l'utilisation et la participation au développement de solutions de VoIP libres telles que Wengophone, Ekiga ou Asterisk permettent de s'affranchir d'une partie de ces problèmes (voire de bénéficier de la vidéo).

• Magazine MISC dossier très détaillé sur Skype (88 clics)
• Etude Skype par les auteurs de l'article MISC présenté au "BlackHat" (PDF) (25 clics)
• Article Téléphonie/Skype banni des facs par la sécurité nationale (38 clics)
• Article les botnets Skype sont à nos portes (20 clics)
• Page récapitulant les outils de surveillance (21 clics)
• Article Skype recueillait des informations (36 clics)

La branche 1.2 de Nuface, l'interface web de gestion de pare-feu, est désormais stable. Écrit pour NuFW, mais utilisable sur un pare-feu "standard" Netfilter, Nuface utilise une modélisation XML de haut niveau pour représenter les objets réseaux, les utilisateurs, les protocoles... et permet d'agglomérer ces objets en ACL.

Les nouveautés et innovations de la branche 1.2 sont :

• Support du filtrage de contenu, avec gestion de règles Layer7
  
• Enrichissement du modèle de données, et gestion affinée de l'ordre des ACL, en tenant compte de la topologie du réseau
  
• Nombreuses améliorations de l'ergonomie de l'interface
  
• Génération de règles au format iptables-restore pour de meilleures performances au chargement.

• Homepage de Nuface (7 clics)
• Site de démonstration (8 clics)
• Téléchargement (1 clic)
• Homepage du projet Nulog (5 clics)
• NuFW (6 clics)
• EdenWall : appliance intégrant Nuface (3 clics)

Le cryptologue allemand Jean-Pierre Seifert (universités d'Haïfa et d'Innsbruck) aurait rendu possible l'exécution d'attaques basées sur la menace de type '"analyse de prédiction de branche" (BPA).

Dans une note confidentielle, le chercheur met en avant qu'il a réussi à récupérer une clé de chiffrement de 512 bits en quelques millisecondes.

Il s'agit d'un véritable bouleversement dans le milieu de la cryptographie. En effet la parade habituelle consiste à allonger la longueur de la clé de chiffrement. La technique découverte par Jean-Pierre Seifert consiste à analyser le comportement du processeur lui-même afin de déduire statistiquement la clé de chiffrement.

La seule parade pour l'instant consisterait à désactiver le processus de prédiction du processeur mais selon le chercheur "Une telle mesure ralentirait par quatre le microprocesseur (...)".

Les résultats des travaux de Jean-Pierre Seifert sont attendus lors de la prochaine conférence RSA, début 2007

NdM : Cette attaque implique la présence d'un logiciel espion sur la machine effectuant les opérations cryptographiques et dans ce cas il existe souvent d'autres moyens pour obtenir la clé.
De plus, cette attaque ne marchera pas si les opérations cryptographiques sont effectuées sur un matériel distinct du processeur, par exemple un token cryptographique. L'impact est donc surtout pour le grand public et en particulier les échanges sur internet sécurisés par SSL.

• L'article du Monde (15 clics)
• L'abstract de l'article scientifique (6 clics)
• L'article scientifique au format pdf (6 clics)

Le Symposium sur la Sécurité des Technologies de l'Information et des Communications est une conférence francophone traitant de la sécurité de l'information. Ce thème comprend à la fois les vecteurs d'information (comme les systèmes informatiques ou les réseaux) et l'information elle-même (cryptographie ou guerre de l'information).

La cinquième édition se déroulera à Rennes du 30 mai au 1er Juin 2007.

Nous avons publié l'appel à contribution et comme les années précédentes, toutes les soumissions seront examinées avec intérêt, qu'elles soient techniques, académiques, juridiques, organisationnelles, etc.

• SSTIC (1 clic)
• Actes 2003-2006 (1 clic)
• Revue de presse (1 clic)
• Appel à proposition (1 clic)

Le 2 décembre 2004, Nate Nielsen rapporte un plantage de Xorg lorsque Firefox affiche une très longue URL dans la barre d'adresse. Quatre mois plus tard un bug similaire est détecté dans Eclipse. Le bug concerne l'affichage de très longues lignes de texte avec le pilote propriétaire Nvidia. La solution est d'utiliser le pilote libre nv qui n'a pas ce bug.

Face à l'absence de réaction de Nvidia, un exploit exploitant ce dépassement de tampon offrant un shell en root est publié sur Rapid7. Il est possible d'exploiter la faille à distance à l'aide d'un client X distant. La faille a en fait été corrigée dans la version 9625 du pilote Linux sortie le 21 septembre 2006, mais la série 9xxx des pilotes Linux est encore en phase béta.

Cette faille relance bien sûr le débat pour ou contre les pilotes propriétaires (BLOBs). Pour le cas de Nvidia, il est difficile de trancher car refuser le pilote officiel implique de se priver d'accélération matérielle. Plutôt que de brasser l'air avec un débat sans fin, il serait plus judicieux de contribuer au projet Nouveau qui vise justement à écrire un pilote libre offrant l'accélération matérielle. D'ailleurs, l'écriture d'un pilote a été entamée il y a peu mais il est encore loin d'être utilisable.

NdM : Merci également à Pascal Terjan d'avoir proposé une dépêche sur le même sujet.
Mise à jour : la version 9626 du pilote (stable) corrige la faille.

• Lien vers l'exploit (1 clic)
• Bug Xorg ouvert en décembre 2004 (1 clic)
• Rapport de bug Eclipse ouvert en mars 2005 (0 clic)
• Projet Nouveau (0 clic)

Les liaisons WiFi sont fréquemment protégées par un algorithme de chiffrement, le WEP. Il utilise une technique de chiffrement faible, mais il apparaît aujourd'hui nettement insuffisant : une équipe de chercheurs a réussi à casser des clefs en quelques secondes (là où plusieurs minutes étaient nécessaires auparavant). L'algorithme est disponible, avec le code utilisé pour la démonstration.
En parcourant l'archive des sources (aircrack.c dans l'archive), il semblerait que cet exploit soit un dérivé d'aircrack utilisant une autre méthode attaque. Il s'appuie sur la fragmentation des paquets et l'utilisation des en-têtes LLC/SNAP.

L'exploit ne tourne pour le moment que sur une machine FreeBSD munie d'une carte atheros et d'une carte prism2, mais le code source étant disponible, ces limitations logicielles et matérielles risquent de sauter.

Le WEP est donc devenu définitivement inutile après près de 7 années de service, dont 3 alors qu'existait une alternative garantissant un meilleur chiffrement, le WPA.

• La nouvelle sur PC-Inpact (6 clics)
• La nouvelle sur Canard Wifi (5 clics)
• [tar.gz] les sources de l'exploit (1 clic)
• [PDF] le rapport d'un chercheur (5 clics)

Le Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC) qui s'est déroulé début Juin à Rennes fût cette année encore un succès avec près de 400 participants.

Nous sommes heureux d'annoncer la mise en ligne des actes de cette édition ainsi que de différents comptes-rendus.

Les sujets présentés sont variés : virus sous OpenOffice.org, fonctionnalités de ptrace, étude de Skype, sécurité ADSL, contournement d'IDS, outil de détection de tunnels, contournement de securelevel, faiblesses d'IPv6 et d'IPsec, RFID, RPC et BitLocker, etc.

• Actes et présentations (4 clics)
• Revue de presse (articles, comptes-rendus et photos) (5 clics)

L'actualité de la fondation Mozilla est toujours foisonnante, voici un résumé condensé des évènements principaux de ces dernières semaines et qui n'ont pas fait l'objet d'une publication dans linuxfr.

Le 23 avril 2006,

• sortie des versions 1.5.0.2 et 1.0.8 du client de courrier électronique Mozilla Thunderbird. Ces versions sont des mises à jour de sécurité pour les deux branches en cours de Thunderbird.
  Pour d'avantage d'informations, se reporter aux informations des versions disponibles : ici pour la 1.5.0.2 et là pour la 1.0.8)

  Il est important de noter que la version 1.0.8 est la dernière de la série 1.0.x, les utilisateurs sont donc invités à passer à Thunderbird 1.5.0.2.

• Sortie de la version 1.7.13 de la suite Mozilla. Cette version est également essentiellement une version de correction pour des raisons de sécurités (voir les informations de la suite version).

  Comme pour Thunderbird 1.0.8, Mozilla 1.7.13 est la dernière version de Mozilla. Les utilisateurs sont invités à utiliser les applications Firefox/Thunderbird/Sunbird/Nvu ou la suite Seamonkey.

Le 25 avril 2006, sortie de la suite Seamonkey 1.0.1. Il s'agit de la première version, de correction de la suite remplaçant Mozilla. Pour d'avantage d'information, se reporter aux informations de la version.

Les utilisateurs des versions précédentes de la suite Seamonkey, de Netscape ou de la suite Mozilla sont invités à utiliser cette version.

Le 02 mai 2006, sortie précipitée de Mozilla Firefox 1.5.0.3. Cette mise à jour corrige une faille de déni de service publiquement divulguée.
Les corrections de bogues précédemment programmées pour Mozilla Firefox 1.5.0.3 ont été déplacées vers la version 1.5.0.4.

Le 11 mai 2006, sortie de la version 1.0.1 du kit de personnalisation du client (ou CCK) de Mozilla Firefox.
Le CCK de Firefox permet à tout le monde de créer une extension qui personnalise le navigateur pour une installation ou un déploiement.

Cette version, sortie rapidement (3 jours après la 1.0), corrige quelques bogues et notamment le 337267 qui rendait le produit inutilisable. Pour d'avantage de détails, vous pouvez vous référer aux informations de la version et à la page des addons de Firefox.

L'équipe de Sunbird a également annoncé la disponibilité de la version 0.3 (alpha2) du projet de calendrier.

Le 12 mai 2006, sortie de Camino 1.0.1.
Cette version corrige des failles de sécurité, notamment celles qui ont été corrigées dans la version 1.8.0.3 du moteur Gecko, mais apporte également quelques fonctionnalités comme l'amélioration du ad-blocking ou la possibilité d'ouvrir des fichier SVG locaux (se référer aux informations sur la version pour d'avantage de détails).

On rappelle, au passage, que Camino est un navigateur internet pour Mac OS X basé sur le moteur Mozilla Gecko.

• L'information sur Mozillazine-fr.org (1 clic)
• La page des vulnérabilités corrigées (1 clic)
• Mozilla (1 clic)
• Firefox (1 clic)
• Thunderbird (1 clic)
• Camino (0 clic)