Journal Bookmark : Don't copy paste me !

Posté par Sam E. (page perso) le 08/04/13 à 14:51. Licence CC by-sa

Tags :

47

8

avr.

2013

Les risques du copier coller depuis le web
http://thejh.net/misc/website-terminal-copy-paste

La nimage qui va bien :) (SFW)

Journal Faille de sécurité critique dans le générateur pseudo-aléatoire de NetBSD 6.0

Posté par patrick_g (page perso) le 25/03/13 à 14:54. Licence CC by-sa

Tags :

33

25

mar.

2013

C'est le syndrome OpenSSH de Debian qui frappe une nouvelle fois.
Du fait d'une parenthèse mal placée dans le code du fichier /src/sys/kern/subr_cprng.c, il s'avère que le générateur pseudo-aléatoire de NetBSD 6.0 est bien moins solide que ce qui était attendu.
C'est une manière polie de dire que sa sortie n'est pas assez aléatoire et qu'il faut d'urgence changer les clés SSH qui ont été générés avec ce noyau !

L'alerte de sécurité : http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2013-003.txt.asc
Un article de h-online : http://www.h-online.com/open/news/item/Weak-keys-in-NetBSD-1829336.html

(...)

Journal Whois le registrar qui a fuité mon email ...

Posté par sifu le 22/03/13 à 20:55. Licence CC by-sa

Tags :

4

22

mar.

2013

Hello tous,

Je tenais à partager avec vous un petit problème que j'ai eu avec mon registrar récemment.

J'ai reçu plusieurs mails m'incitant à acheter un nom de domaine proche du mien (le singulier de mon pluriel).

Voilà, cependant, j'ai été surpris de recevoir ces mails sur une adresse que je n'utilise quasiment pas sur le web et surtout que j'utilise chez le registrar qui gère à ce domaine (aie).

Du coup, je tente un whois sur le domaine en (...)

Journal Essais avec une Yubikey

Posté par Al le 17/03/13 à 17:13. Licence CC by-sa

Tags :

23

17

mar.

2013

Cher journal,

Je viens récemment de commander une Yubikey, une puce cryptographique avec interface USB vendue pour le grand public. Souvent, les puces cryptographiques sont vendues aux professionnels et sont difficiles à utiliser, surtout avec des postes sur lesquels on n'a pas de compte administrateur. D'où l'intérêt d'un produit qui a été conçu pour fonctionner partout.

Capacités techniques

Bien que les spécifications soient publiées, il n'est pas évident de comprendre ce que la puce sait faire à partir du (...)

Jeudi du libre de mars 2013 à Lyon : sécurisez vos communications avec OpenPGP

Posté par Grumpf (page perso) le 06/03/13 à 11:19. Édité par Benoît Sibaud. Modéré par patrick_g. Licence CC by-sa

Tags :

8

6

mar.

2013

De nos jours, le courrier électronique est devenu l'un des principaux moyens de communication à travers le monde. La plupart des gens possèdent au moins une adresse e-mail qu'ils utilisent aussi bien dans le cadre personnel que professionnel.

Des données sensibles transitent ainsi chaque jour sur le réseau par l'intermédiaire de nos boîtes mails, sans que nous ne mettions quoi que ce soit en œuvre afin de sécuriser ces échanges. La plupart des utilisateurs ont toute confiance dans leur messagerie instantanée.
Pourtant, l'e-mail repose sur des protocoles anciens, et il est extrêmement simple de se faire passer pour un autre. Qui n'a jamais reçu de message de la part d'un de ses amis qui contenait en réalité un virus ? De même, il est possible d'intercepter un e-mail avant son arrivée et d'en renvoyer une version légèrement modifiée.

Ce nouveau jeudi du libre sera l'occasion de vous présenter des solutions libres permettant de continuer à utiliser ce moyen de communication indispensable, tout en garantissant la sécurité et la confidentialité de vos échanges.

Vacances scolaires obligent, la conférence n'aura pas lieu le premier mais le second jeudi du mois, soit le 14 mars 2013 à 19h30.

Comme d'habitude, cela se passe à la Maison pour tous, Salle des Rancy, 249 rue Vendôme, 69003 Lyon (Métro Saxe Gambetta).

Annonce sur le site de l'ALDIL (47 clics)
OpenPGP sur Wikipédia (94 clics)
Plan d'accès (16 clics)

Journal Faille sur les routeurs Linksys WRT54GL

Posté par xenom le 15/01/13 à 09:53. Licence CC by-sa

Tags :

11

15

jan.

2013

Bonjour,

DefenseCode a découvert une faille dans le firmware d'origine des routeurs Linksys (Cisco), qui permet un accès root à distance. Cette vulnérabilité a été testée sur le WRT54GL, qui est plutôt bien connu ici, mais les autres routeurs Linksys seraient aussi touchés.

La société a prévenu Cisco, qui aurait patché la faille dans leur dernier firmware (4.30.14), mais cette faille serait toujours présente.

DefenseCode publiera les détails de cette faille dans 2 semaines sur leur site et Full Disclosure, (...)

Journal Vulnérabilités sérieuses dans des dizaines d'applis utilisant TLS (ex-SSL)

Posté par Stephane Bortzmeyer (page perso) le 08/12/12 à 21:58. Licence CC by-sa

Tags :

33

8

déc.

2012

The Most Dangerous Code in the World : Validating SSL Certificates in Non-Browser Software par Martin Georgiev, Subodh Iyengar, Suman Jana, Rishita Anubhai, Dan Boneh et Vitaly Shmatikov

Une excellente étude sur les vulnérabilités des applications utilisant TLS (autrefois nommé SSL), à l’exclusion des navigateurs Web. Des tas d’applications parfois peu connues et discrètes (par exemple pour réaliser la mise à jour des logiciels d’un système) utilisent, comme les navigateurs Web, TLS pour se protéger contre un méchant qui essaierait (...)

Journal Nouveau rootkit – Ils l'avaient prédit : "la fin du monde arrive" !

Posté par antistress (page perso) le 21/11/12 à 17:07. Licence CC by-sa

-1

21

nov.

2012

Journal Cours gratuits sur la sécurité et l'intrusion web (en Anglais)

Posté par snyff le 29/10/12 à 08:58. Licence CC by-sa

Tags :

17

29

oct.

2012

Bonjour,

J'ai développé un ensemble d'exercices libre sur le thème de l'intrusion d'application web et de la sécurité (audit de système Linux) que quelqu'un ici pourrait être intéressé. J'ai donc pensé que je devrais poster un lien ici. Le tout est uniquement (malheureusement) disponible en Anglais pour le moment.

https://pentesterlab.com/exercises
https://twitter.com/pentesterlab

Louis

Domotique libre, où en sommes‐nous ?

Posté par RbN le 08/10/12 à 09:53. Édité par Davy Defaud, kYc0o, baud123, detail_pratique, Raoul Hecky, Benoît, patrick_g, Epy, Olivier Esver, Pierre Jarillon et jihele. Modéré par Xavier Claude. Licence CC by-sa

Tags :

61

8

oct.

2012

La domotique, d’après Wikipédia, est l’ensemble des techniques de l’électronique, de physique du bâtiment, d’automatisme, de l’informatique et des télécommunications utilisées dans les bâtiments et permettant de centraliser le contrôle des différents applicatifs de la maison (système de chauffage, volets roulants, porte de garage, portail d’entrée, prises électriques, etc.). La domotique vise à apporter des fonctions de confort (gestion d’énergie, optimisation de l’éclairage et du chauffage), de sécurité (alarme) et de communication (commandes à distance, signaux visuels ou sonores, etc.) que l’on peut retrouver dans les maisons, les hôtels, les lieux publics, etc.

La domotique est également très proche de la gestion technique du bâtiment (GTB) et de la gestion technique centralisée (GTC), cet ensemble de techniques est régulièrement mis en avant pour atteindre les buts de ville intelligente et de réseau de distribution d’électricité « intelligent », et est perçu comme un moyen incontournable pour atteindre une meilleure efficacité énergétique.

Les plus curieux quant aux possibilités offertes se référeront au très bon article de Wikipédia : Domotique.

Cette dépêche est une introduction à la pratique de la domotique avec des logiciels libres pour un public ayant de bonnes connaissances en informatique et réseau. La première partie contient un résumé des protocoles couramment utilisés dans le domaine, et permettra au lecteur de prendre connaissance des principes sous‐jacents et de l’empilement protocolaire mis en œuvre. La seconde partie traite des logiciels libres qui peuvent être utilisés pour contrôler une installation domotique. Elle traite également des briques logicielles libres permettant de réaliser une telle application pour un développeur.

N.D.A. : Merci à baud123, Benoît, detail_pratique, Epy, jihele, kYc0o, Olivier Esver, patrick_g et Raoul Hecky pour leur participation à la rédaction de cette dépêche.

Le wiki francophone de la domotique (2111 clics)

Journal Un article sur la conception sécurisée des serveurs graphiques (X, Wayland)

Posté par gasche le 28/09/12 à 19:51.

Tags :

26

28

sept.

2012

Dans la lignée de mon journal sur le sandboxing dans Chrome et surtout le troll sur le modèle de sécurité de l'Apple Store, je pense que les lecteurs et lectrices de LinuxFR qui aiment les questions de conception sécurisée des applications seront intéressé-e-s par cet article de Linux Weekly News:

XDC2012: Graphics Stack Security

Martin Peres and Timothée Ravier's session on day one of XDC2012 looked at security in the graphics stack. They considered user expectations around security in (...)

Journal Un miroir SourceForge a été compromis

Posté par pasBill pasGates le 26/09/12 à 02:09.

Tags :

32

26

sept.

2012

http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php

Une backdoor a été trouvée dans le package PhpMyAdmin qui se trouvait sur le miroir cdnetworks-kr-1 de SourceForge.net.

Il est probable que d'autres packages présents sur ce miroir ait été modifiés pour inclure des backdoors, je vous suggères donc de vérifier et revérifier la source de vos différents packages si vous avez téléchargé des packages de SourceForge dernièrement.

NdM : journal promu en dépêche.

Journal Un article sur le sandboxing de Chrome sous Linux

Posté par gasche le 08/09/12 à 00:15.

Tags :

21

8

sept.

2012

En ce moment, le principe de moindre privilège pour sécuriser les applications UNIX, c'est un peu mon dada. J'en ai parlé dans une dépêche sur Capsicum, qui est un modèle de sécurité très riche et très intéressant mais pas encore porté sous Linux (il est maintenant disponible dans FreeBSD par contre), une dépêche sur seccomp-filter, une autre technologie pour Linux beaucoup plus bas niveau mais (secrètement) reliée, et indirectement dans le troll sur le modèle de sécurité de (...)

Journal Java ça pue c'est trop libre.

Posté par Raoul Volfoni (page perso) le 28/08/12 à 13:40. Licence CC by-sa

Tags :

45

28

août

2012

Finalement j'ai l'impression que c'était inéluctable, que ça devait arriver un jour ou l'autre…

public void init()
{
   try
      {
       disableSecurity();

Alors là évidemment quand ça commence comme ça…

Bon, pour ceusses qui l'ignorent encore ou ont toujours leur plugin Java d'activé dans leur navigateur, il y a un 0Day qui circule depuis au moins 2 jours:
http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
http://eromang.zataz.com/2012/08/27/java-7-applet-rce-0day-gondvv-cve-2012-4681-metasploit-demo/

A priori Linux serait également impacté, mais je n'ai pas pu le vérifier : je n'ai pas le JRE (...)

Kernel Recipes 2012

Posté par Anne (page perso) le 24/08/12 à 11:04. Édité par Benoît Sibaud et Nÿco. Modéré par Nÿco. Licence CC by-sa

Tags :

26

24

août

2012

Kernel Recipes aura lieu le vendredi 21 septembre 2012, de 9h30 à 18h40, au Carrefour Numérique de la Cité des Sciences de La Villette, à Paris.

Kernel Recipes est la première journée de conférences dédiée au noyau Linux. La journée se veut un moment privilégié pour échanger avec ceux qui font le noyau au quotidien, ceux qui l'utilisent dans des projets professionnels ou non.

Une journée de conférences et d'échanges, avec une possibilité pour les participants d'inscrire un projet, une réflexion aux lightning talks (conférences éclair).

Il est prévu de prolonger les discussions durant le déjeuner proposé sur place, ainsi que le soir pour ceux qui se joindront au dîner.

Pour y participer, merci de vous enregistrer.

Le site de l'événement (349 clics)
Les intervenants (227 clics)
S'inscrire (36 clics)
Carrefour Numérique de La Villette (36 clics)
hupstream, sponsor et organisateur (52 clics)

Tous les contenus taggés avec sécurité

Capacités techniques