Revue de presse de l'April pour la semaine 42 de l'année 2015

Posté par (page perso) . Édité par Benoît Sibaud. Modéré par Yvan Munoz. Licence CC by-sa
30
20
oct.
2015
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Root Me : nouvelle version du "CTF all the day"

Posté par (page perso) . Édité par Xavier Claude. Modéré par ZeroHeure. Licence CC by-sa
32
15
oct.
2015
Sécurité

Root Me permet à chacun de tester et d’améliorer ses connaissances dans le domaine de la sécurité informatique et du hacking. Cette communauté met librement à disposition une plateforme dédiée à l’apprentissage du hack, en publiant notamment des challenges avec leur solution, des articles, mais également des environnements virtuels au travers du "CTF all the day".

Le système de CTF all the day évolue :

  • c’est désormais un environnement virtuel qu’il est possible d’attaquer, composé d’une ou plusieurs machines virtuelles
  • plus de salles de CTF permettant plus de parties simultanées
  • plus de 30 environnements virtuels sont désormais disponible

Le premier challenge a bénéficier de cette évolution est « Bluebox - Pentest », vous vous retrouvez dans la peau d'un pentester attaquant une infrastructure Microsoft Windows Active Directory complète : time to take a revenge ? ,-)

Sortie de LemonLDAP::NG 1.4.6

Posté par (page perso) . Édité par Yvan Munoz, ZeroHeure et palm123. Modéré par ZeroHeure. Licence CC by-sa
21
13
oct.
2015
Sécurité

LemonLDAP::NG est un logiciel libre d'authentification unique (SSO), contrôle d'accès et fédération d'identités. La version 1.4.6 a été publiée le 9 octobre dernier, et vient consolider la branche 1.4 du logiciel en attendant la sortie de la version 2.0 prévue pour le début de l'année 2016.

Logo LL::NG

LemonLDAP::NG est écrit en Perl et publié sous licence GPL. Cette version contient des correctifs importants et quelques nouvelles fonctionnalités.

Journal Chiffrement de SMTP, une obligation?

Posté par . Licence CC by-sa
21
12
oct.
2015

Bonjour,

Notre cher gouvernement français souhaite passer entre les différents FAI français et le groupe La Poste une charte pour que les flux de courriels entre eux soit chiffrés.
http://www.nextinpact.com/news/96749-une-charte-avec-fai-francais-pour-chiffrement-emails.htm
Bref qu'ils ajoutent un S au SMTP. Les techniciens espéreront juste que cela n'utilise pas SSL mais plutôt TLS.

Avant d'entrer dans le sujet, un petit rappel rapide. Le courriel est une carte postale que tout intervenant dans le réseau peut lire: FAI, DSLAM, routeur, etc. Dans un courriel, il (...)

Caliopen, une messagerie web multi-protocole sécurisante

23
7
oct.
2015
Internet

Caliopen est une solution logicielle en ligne, dédiée à la création d'une messagerie multi protocole avec une indication sur la sureté de chacun des systèmes utilisés.

Le but est de proposer les messageries les plus sécurisées possible, selon le contact, et de faire abandonner progressivement les protocoles à problèmes.

Cela permet de ne pas casser les habitudes des utilisateurs, en leur proposant l'accès à toutes leurs messageries. C'est l'inverse de la création d'un nouveau protocole qui n'est supporté par personne.

Ce n'est pas l'auto-hébergement qui est visé, mais des structures plus grosses, qui pourraient gérer de quelques centaines à quelques dizaines de milliers d'utilisateurs. Cela permet de centraliser des fonctions comme la gestion du spam.

PmaControl, sécurité, bonnes pratiques - Paris, jeudi 17 septembre 2015

Posté par . Édité par Xavier Claude, Xavier Teyssier et Benoît Sibaud. Modéré par Xavier Claude. Licence CC by-sa
6
11
sept.
2015
Base de données

LeMug.fr (MySQL/MariaDB User Group France) organise un Meetup le 17 septembre à partir de 18h30 dans les locaux de Dailymotion, situé à Paris au 140 boulevard Malesherbes. Le thème abordé sera « PmaControl, sécurité, bonnes pratiques » (PmaControl est un ensemble d'outils de supervision et d'administration de MySQL/MariaDB).

Cet événement est ouvert à l'ensemble des développeurs et développeuses de tous les langages (C, PHP, Python, Java, Perl, Ruby, etc…). Ainsi, vous pourrez rencontrer la communauté de MySQL, MariaDB, Percona.

Comme toujours le rendez-vous est gratuit et ouvert à tous, n’hésitez donc pas en parler autour de vous, et comme toujours… le nombre de places est limité. Alors n'hésitez pas à vous inscrire à partir de la page de l'événement !

Journal Google est ton ami, Chrome son confident

Posté par (page perso) . Licence CC by-sa
23
20
août
2015

Bonjour les gens,

je viens de découvrir avec étonnement que si on enregistre ses mots de passe avec le navigateur Chrome sans utiliser de phrase secrète, et que l'on ouvre une session Google pour y enregistrer ses mots de passe, ceux ci sont enregistrés "en clair" chez Google !

https://support.google.com/chrome/answer/1181035?p=settings_encryption&rd=1

If you set a passphrase, you can use Google's cloud to store and sync your data without letting Google read it.

Si vous n'utilisez pas de phrase secrète, vos mots de (...)

Podcast No Limit Secu : épisode sur GostCrypt

Posté par . Édité par Nils Ratusznik et Benoît Sibaud. Modéré par Yvan Munoz. Licence CC by-sa
13
19
août
2015
Sécurité

No Limit Secu est un podcast (ou bala(do)diffusion) indépendant, animé par des personnes passionnées qui sont parties prenantes dans le domaine de la cybersécurité à des rôles et dans entreprises diverses. No Limit Secu a été présenté précédemment dans ces colonnes.

Dans cet épisode, il sera question de GostCrypt : un logiciel libre de chiffrement, sous licence GPL V3. Il sera présenté par Eric Filiol, qui est à l'initiative de ce projet.

Logo

Nous profitons également de cette dépêche pour vous indiquer que si vous êtes impliqués dans le développement d'un logiciel libre dédié à la sécurité, nous serons ravis de vous recevoir pour que vous puissiez présenter votre projet à nos auditeurs.

Journal Le code source client web de ProtonMail est disponible

Posté par . Licence CC by-sa
21
17
août
2015

Pour rappel, ProtonMail se veut être un service de messagerie web sécurisé.

Il y a u peu plus d'un an, une campagne de financement participatif a permis de récolter plus de 500000 dollars pour ce projet. Depuis, plusieurs annonces avaient été faites concernant leur volonté de publier le code source du front-end sous licence libre.

C'est maintenant effectif avec la sortie de la version 2.0 annoncée le 13 août 2015. Le code est disponible sur GitHub sous licence MIT (...)

Journal Faille critique sous Firefox: faut-il changer ses mots de passe?

Posté par . Licence CC by-sa
21
7
août
2015

Une faille critique a été repéré par un utilisateur (Cody Crews ?): certaines publicités de sites web slaves essayaient d’exploiter une vulnérabilité dans le lecteur PDF intégré de Firefox. Donne javascript serait injecté pour accéder à certains fichiers.

On Linux the exploit goes after the usual global configuration files like /etc/passwd, and then in all the user directories it can access it looks for .bash_history, .mysql_history, .pgsql_history, .ssh configuration files and keys, configuration files for remina (...)

Journal Stagefright, une faille Android qui va faire mal ?

Posté par . Licence CC by-sa
28
28
juil.
2015

C'est marrant de voir comment toute faille découverte doit avoir son petit nom maintenant. C'est à celui qui aura la plus grosse le plus de succès.

Il n'empêche que celle-ci à l'air pas mal. La société Zimperium a annoncée sur son blog la découverte d'une faille qui toucherait 95% des mobiles Android. Celle-ci permettrait d'exécuter du code à distance uniquement avec un numéro de téléphone, le votre, et un MMS.

La faille se situerait dans la bibliothèque de lecture (...)

Journal Internet Explorer : 4 failles 0 day publiées

Posté par . Licence CC by-sa
22
23
juil.
2015

Petit journal bookmark d'importance pour ceux travaillant dans des environnements avec des machines sous >indows et donc équipées d'Internet Explorer.

Après 120 jours sans correction de la part de Microsoft, le Zero Day Initiative publie 4 failles 0 day. Elle peuvent permettre l'exécution de code à distance avec les droits de l'utilisateur local.

Ils conseillent aussi de ne pas utiliser ce navigateur tant que les corrections ne sont pas disponibles.

Source :
http://www.zone-numerique.com/quatre-failles-zero-day-ne-seraient-toujours-pas-corrigees-au-sein-dinternet-explorer.html

Journal Tame et OpenBSD

Posté par (page perso) . Licence CC by-sa
66
20
juil.
2015

Juste un petit journal pour vous signaler un post intéressant de Theo de Raadt (leader d'OpenBSD) sur la liste "Tech".
Dans ce post il présente tame, un outil sur lequel il travaille depuis un certain temps et qui vise à réduire les droits d'un programme afin de diminuer la surface d'attaque.

Theo commence par évoquer très brièvement les alternatives et pourquoi, selon lui, elles ne conviennent pas.

  • Capsicum nécessite de réécrire profondément le programme qui sera protégé.
  • D'autres approches (...)

Journal [HackingTeam] Oui, il est possible de se rendre davantage ridicule qu'avec le nom de sa société ...

108
8
juil.
2015

Cher journal,
Je sais que le hacking a mauvaise réputation (et beaucoup trop de définition qui s’entremêle) mais aujourd'hui j'aimerai te faire pars de la compromission d'une entreprise italienne qui (au yeux de la population) le mérite. Cette société a pour nom "Hacking Team", et même si un tel nom ne fait pas vraiment sérieux ils n'ont rien de trois gus dans un garage.

Les faits en deux mots.

Tout débute fin du WE (5 juillet 2015) par un tweet (...)

Kernel Recipes 4e édition, à Paris du 30 septembre au 2 octobre 2015, réservez vos dates !

21
23
juin
2015
Noyau

Pour cette 4ème édition, et à la demande des participants, 3 jours de conférences sur le noyau Linux au coeur de Paris : mercredi 30 septembre, jeudi 1er et vendredi 2 octobre. Le format a été conservé : une seule salle, une audience d'une centaine de personnes, ce qui laisse la part belle aux interactions entre participants et avec les intervenants.

Cette année encore, nous vous avons concocté un programme de conférences qui balaie les actualités et les fondamentaux du projet kernel.org : organisation du projet, aller plus loin dans les sous-systèmes, virtualisation, développement, embarqué…