Service de stockage en ligne libre et respectueux de la vie privée en financement participatif

Posté par Sylvain Duchesne . Édité par Nils Ratusznik, Nÿco, Bruno Michel et tuiu pol. Modéré par Nÿco. Licence CC by-sa
15
26
mai
2014
Internet

La jeune société Lupo Libero SASU vient de lancer une campagne de financement participatif pour développer un service de stockage de fichiers en ligne, type Dropbox ou Google Drive, en logiciel libre (licence MIT) et avec un très haut niveau de protection de la vie privée. Il n'y a donc pas encore de code source disponible.

Ce service permettrait dans un premier temps de :

  • stocker des fichiers et répertoires, pour archivage ou pour y accéder à distance ;
  • partager ces données (photos, vidéos, etc.) avec d'autres personnes ;
  • synchroniser son espace en ligne avec un répertoire de son ordinateur.

À la différence de nombreux services concurrents, les fichiers seront chiffrés (= verrouillés) sur l'ordinateur de l'utilisateur, avant d'être envoyés sur les serveurs. Ainsi une personne accédant légitimement (ex : un administrateur) ou non (ex : un pirate) aux serveurs ne pourra y obtenir des informations sur la vie privée des utilisateurs.

La libération et la sécurisation du stockage en ligne grand public est la première étape du projet Lupo Libero. L'objectif n°2 sera probablement de concurrencer Facebook. Et un peu plus loin dans notre feuille de route l'on peut trouver : "révolutionner internet".

Les personnes intéressées trouveront plus d'informations en lisant le (long) texte de présentation de la campagne de financement sur le site Indiegogo (lien ci-dessous). Si vous souhaitez suivre ce projet, il y a une page Twitter et une page Facebook.

Suivi - Tribune Faille dans la tribune

#1355 Posté par (page perso) . État de l'entrée : corrigée Licence CC by-sa
Tags :
7
22
mai
2014

Il y a une petite faille dans la tribune qui permet de poster à peut prêt n'importe quelle balise dans un post à partir du moment où il y a une norloge dedans. Par exemple, le post suivant permet de récupérer un pseudo cookie

00:00:00<form method="post"><input id="input-chauve" name="board[message]" type="hidden" value="plop"><input type="submit" onclick="var coo = ''; for (var i=0; i<20; ++i) { coo+= Math.floor(Math.random() * 10); } document.getElementById('input-chauve').value = 'mon cookie est ' + coo"></form>

C'est valable sur toutes les tribunes (...)

Journal Computrace, une backdoor pour votre plus grand bien

47
20
mai
2014

Bon journal ? En tout cas mauvaise nouvelle.

Il y a de ça quelques mois, la société Kaspersky découvre un logiciel malveillant installé sur au moins 2 millions d'ordinateurs.
Computrace se divise en 3 modules présents dans l'option ROM PCI qui est chargée ensuite par le BIOS de la machine.

Par la suite il est capable :

  • De sécuriser les données d'un parc de postes à distance
  • De déployer toujours à distance des mises à jour, des licences ou de lancer (...)

Journal Les macarons, pour remplacer les cookies

Posté par (page perso) . Licence CC by-sa
20
19
mai
2014

Aujourd'hui, sur le Web, l'authentification de chaque requête HTTP, une fois passée le "login" initial, se fait presque toujours avec un cookie, une série de bits générée par le serveur et qu'un éventuel attaquant ne pourrait pas deviner. Les cookies ont plusieurs limites, notamment parce qu'ils sont tout ou rien. Si je passe un cookie à un tiers (volontairement ou bien parce que la session n'était pas bien protégée), ce tiers a exactement les mêmes droits que moi. Des chercheurs (...)

Journal Des nouvelles de LibreSSL

Posté par . Licence CC by-sa
53
19
mai
2014

Dans une présentation informative et de bon goût, Bob Beck fait le point sur les raisons qui ont poussé les développeurs OpenBSD à débuter le nettoyage complet du code d'OpenSSL sous le nom de LibreSSL:

http://www.openbsd.org/papers/bsdcan14-libressl/

On y apprend, entre autres:

  • Que la goute qui a fait déborder le vase n'était pas Heartbleed mais le remplacement pourri de malloc().
  • Que la fondation OpenSSL est une organisation à but lucratif qui génère des gains de l'ordre du million de dollars par (...)

« Triple poignée de main », faille dans le protocole TLS

55
9
mai
2014
Sécurité

Après les deux failles mettant en cause l’utilisation d’instructions goto (l’une chez Apple, l’autre chez GNUTLS) et la faille Heartbleed, une vulnérabilité a encore été découverte : Triple Handshake («Triple poignée de main»), aussi appelée 3Shake.

Contrairement aux autres failles, celle-ci ne concerne pas l’implémentation mais le protocole. Cela signifie qu’elle touche potentiellement toutes les implémentations et que la correction définitive de cette faille nécessiterait une modification dans le protocole. En pratique, les corrections ont été effectuées en faisant des vérifications supplémentaires ou en éliminant certains algorithmes de chiffrement.
Logo de 3Shake, inspiré de celui de Heartbleed
Logo par @Raed667
Concrètement, cette faille exploite les différents types de poignées de main (handshake, procédure qui permet d’établir les différents paramètres de communication entre deux machines, étape particulièrement importante pour un protocole de sécurité) afin de se faire passer pour une autre machine et d’effectuer une attaque de l’homme du milieu.

La faille est cependant considérée moins grave que Heartbleed, en partie parce qu’elle est compliquée, s’attaque à une configuration assez spécifique et nécessite une position privilégiée entre deux machines.

PacketFence v4.2 maintenant disponible

25
8
mai
2014
Sécurité

Inverse annonce la sortie de la version 4.2 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. Procurant une grande liste de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaires et sans fil, le support pour le 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Logo PacketFence

La version 4.2 de PacketFence apporte de nombreuses améliorations comme l'isolation de type hotspot, un nouveau portail captif s'adaptant plus facilement à des scénarios personnalisés complexes, plusieurs fonctionnalités pour les opérateurs cellulaires (WRIX, inline layer 3, page de statut pour prolonger l'accès réseau, etc.), un nouvel agent pour la configuration des appareils Android, la prise en charge de nouveaux équipements d'Enterasys, Huawei et Juniper Networks, une meilleure intégration Eduroam et plusieurs améliorations au niveau de la performance.

Journal Seccomp, une sandbox intégrée au noyau Linux…

44
4
mai
2014

Problématique

Utilisez-vous pour vos développements professionnels ou privés une solution d'intégration continue à la Jenkins ? Un tel logiciel permet d'accélérer le développement du code en le testant plus régulièrement, en le soumettant automatiquement à des tests unitaires.

Mais que se passe-t-il si un vilain© soumet du code dangereux pour votre système d'intégration continue ? Si votre logiciel d'intégration continue se contente de compiler du code, vous pensez qu'il est protégé ? Quid d'une faille dans votre compilateur, ou d'un problème à l'exécution (...)

Forum Linux.debian/ubuntu Mis à jour automatique VPS Debian, faille de sécurité ?

Posté par . Licence CC by-sa
0
29
avr.
2014

Bonjour,

Suite à quelques commentaires postés dans les forums j'essaye en ce moment le principe de VPS avec Iniz :

Je suis donc parti sur une VM Debian Wheezy et j'ai regardé un peu comment cela se passait.

Pas de gros soucis, c'est en gros comme une Debian que l'on installe soi-même sauf que :

  1. il y des limitations sur iptable à cause de la virtualisation: Issues with Ubuntu's UFW on OpenVZ VPS
  2. les droits d'exécution ont été (...)

Concours sécurité sur LinuxFr.org : 3 livres à gagner !

35
28
avr.
2014
Sécurité

La sécurité et la vie privée sont des sujets de plus en plus récurrents et sensibles, maintenant aussi aux yeux de la presse généraliste et du grand public depuis les informations fournies par Edward Snowden. Le flot continu de révélations ne calmera pas la situation de sitôt. Mais il n'y a pas que E.Snowden qui fait l'actualité en sécurité informatique, c'est aussi la faille Heartbleed dans OpenSSL et son impressionnante taxonomie, la fin de la liste Full Disclosure, etc. l'actualité sur le sujet ne manque pas. Si tout n'est pas parfait chez LinuxFr.org, nous tâchons de montrer l'exemple. Pour vous inciter à partager encore plus sur le sujet, nous vous proposons de gagner un des trois exemplaires du livre Hacking, sécurité et tests d'intrusion avec Metasploit (édité par Pearson), en espérant aussi que cela vous sensibilisera et vous permettra de monter en compétence sur ces sujets essentiels.

Hacking, sécurité et tests d'intrusion avec Metasploit

Bonne chance !

Journal Full Disclosure, le retour

Posté par (page perso) . Licence CC by-sa
Tags :
10
23
avr.
2014

Il y a peu, Xavier nous apprenait que Full Disclosure, c'est fini.

Pourtant, devant les mouvements générés par cette annonce, une part de la communauté s'est organisé, et Full Disclosure a un nouveau départ.

Fyodor reprend donc le flambeau de John Cartwright pour colporter les idéaux d'une sécurité transparente, jusque dans la publication des nouvelles failles.

Longue vie à Full Disclosure, et n'hésitez-pas à vous inscrire si vous l'étiez sur l'ancienne.

Journal Qualité du logiciel : le logiciel libre est bien meilleur que le propriétaire !

Posté par . Licence CC by-sa
34
17
avr.
2014

Le rapport 2013 de Coverity est sorti

http://www.ciol.com/ciol/features/213112/coverity-scan-report-source-software-quality-outpaces-proprietary-code

Coverity propose un service de vérification de code par analyse statique. Depuis 2008, ils testent à grande échelle des logiciels libres et comparent les statistiques à leur large base de clientèle reposant sur du logiciel propriétaire. Il s'agit majoritairement de programmes C/C++.

Régulièrement, la qualité du logiciel libre est mise en avant et surpasse celle du logiciel propriétaire, selon leur métrique de nombre de problèmes trouvés par coverity par 1000 lignes de (...)

Journal journal bookmark : vers un fork d'OpenSSL ?

55
15
avr.
2014

Bonjour Nal,

je t'écris pour te faire part d'un possible fork d'OpenSSL par les développeurs d'OpenBSD qui ont démarré depuis quelques jours un nettoyage complet.

Entre autres :

  • suppression des fonctionnalités heartbeat qui ont conduit au bug de la semaine dernière;
  • suppression de beaucoup de code cryptographique en trop;
  • suppression de wrappers autour de fonctions standard, en particulier pour malloc qui entravait des techniques de mitigation d'exploit

et autres nettoyages divers (cf premier lien), ce qui vu de loin (...)

Journal Heartbleed : petit best of des journalistes

70
11
avr.
2014

Aaah, pas facile d'écrire un article sur un sujet aussi technique que le récent bug sur OpenSSL, baptisé Heartbleed, quand on est journaliste généraliste. Forcément, ça donne des erreurs et approximations dans l'article final, ce qui ne manque pas de nous font osciller entre le rire gras et le désespoir, nous, techniciens. Petit tour d'horizon du best of des journalistes sur Heartbleed.

Avant de commencer, notons que je passerai sur les trop nombreuses occurrences de l'adjectif crypté et ses variantes (...)