Journal 2 vulnérabilités découvertes dans LZ0 et LZ4

21
30
juin
2014

Les vulnérabilités découvertes pour LZ0 et pour LZ4 viennent d'un code datant de 1999.

En résumé, elles provoquent un dépassement du tas d'entier non-signé, ce qui conduit à une corruption locale de la mémoire.

Ce bogue n'est pas super pratique à utiliser, car il faut lancer la fonction incriminée avec assez de données pour dépasser la limite d'un entier non signé, ce qui dépend donc de l'architecture.

En pratique, cela signifie qu'une architecture 64 bits est plutôt à l'abri.

Le (...)

Thème "Sécurité" RMLL 2014 : vous n'aurez pas Tor de reprendre du Kiwi à (nf)table(s) !

Posté par (page perso) . Édité par Nils Ratusznik, Xavier Teyssier, Xavier Claude et palm123. Modéré par ZeroHeure. Licence CC by-sa
27
24
juin
2014
RMLL/LSM

Comme chaque année, le thème "Sécurité" des RMLL vous propose un tour des logiciels libres, des technologies et des concepts de la sécurité informatique. Le thème se déroulera cette année du lundi 7 Juillet au jeudi 10 Juillet 2014 à Montpellier tandis que les RMLL commencent le samedi 5 et s'achèvent le vendredi 11 Juillet.

Vous aurez donc au menu :

Mais, vous pourrez aussi :

Un atelier sur le langage de sécurité réseau Haka est aussi au programme le jeudi matin. Vous en voulez encore ? La suite est à découvrir dans le menu, bande de petits curieux ;-)

Evènement cette année : la tenue aux RMLL du Netfilter Workshop, la rencontre annuelle des développeurs Netfilter avec toute la core team.

Lors du Netfilter Workshop User day le lundi après midi, les développeurs Netfilter vous présenteront donc leurs dernières avancées avec notamment une présentation de Nftables par les deux derniers Netfilter team leaders, Patrick McHardy et Pablo Neira.

Enfin, afin de pouvoir mieux connaître nos conférenciers, nous vous proposons deux entretiens :

C'est Libre, c'est gratuit, c'est sécurisé ;-) Venez !

Un prototype de Lupo Libero

Posté par . Édité par Nÿco, Benoît Sibaud, Xavier Claude, ZeroHeure, palm123 et Xavier Teyssier. Modéré par Nÿco. Licence CC by-sa
19
24
juin
2014
Internet

Un prototype de Lupo Libero est disponible ! Pour rappel, Lupo est un futur service de stockage de fichiers sur internet, actuellement en campagne de financement participatif.

lupolibero

Voici les principales différences entre Lupo et ce qui existe déjà :

  • toute la partie logicielle est sous licence libre MIT ;
  • les fichiers (ainsi que leurs métadonnées) sont chiffrés (= verrouillés) de bout-en-bout (ou "côté client") : ils sont chiffrés avant d'être envoyés sur Internet, de sorte qu'ils ne peuvent être utilisés/lus sans le mot de passe de l'utilisateur ;
  • le chiffrement n'est pas optionnel ;
  • il est possible et simple de partager un seul fichier alors qu'ils sont tous chiffrés (très peu de services le permettent) ; aucun mot de passe additionnel n'est nécessaire pour chaque partage.

Résumé de l’affaire TrueCrypt

Posté par (page perso) . Édité par Nÿco, BAud, eggman, Benoît Sibaud, palm123, glennie et Nils Ratusznik. Modéré par Nÿco. Licence CC by-sa
44
20
juin
2014
Sécurité

TrueCrypt est un logiciel de chiffrement de disques, multiplateforme, sous licence non-libre (cf annexe en seconde partie), mais dont le code source est accessible. Ses développeurs sont anonymes.

TrueCrypt

Depuis le 28 mai dernier, le site web officiel TrueCrypt.org redirige vers le sous-domaine de Sourceforge dédié au projet et affiche en rouge un message inquiétant :

ATTENTION : Utiliser TrueCrypt n’est pas sûr car il pourrait contenir des problèmes de sécurité non-corrigés

Cette page explique également aux utilisateurs comment migrer leurs données vers un autre outil de chiffrement… qui n'est autre que BitLocker de Microsoft !

Journal La loose des mots de passe sur les sites webs

Posté par . Licence CC by-sa
22
19
juin
2014

Bonjour Nal,

Plein de sites webs permettent de s'inscrire via un login et un mot de passe. Les mots de passe, on le sait, c'est la loose absolue. Entre la très grande majorité des gens qui continuent de mettre 123456 ou password comme mot de passe et les formulaires webs qui imposent un minimum de 23 caractères dont au moins une majuscule, une minuscule, un nombre, un caractère spécial, deux emojis et une résistance au dictionnaire, on ne sait pas (...)

Journal le canard, l'armée et les chinois

19
11
juin
2014

Bonsoir,

ceci est un journal bookmark, oui mais un bookmark papier. Pas de lien, vu la tronche parfaitement assumée du site du canard enchaîné ¹ et surtout parce que le canard ça se lit sur papier et puis que cette presse papier là a bien besoin de lecteurs

Dans un article paru aujourd'hui, le canard titre « Des espions chinois dans les ordinateurs de nos armées ? » et décrit la passation d'un marché entre l'armée et IBM juste avant que celui-ci ne (...)

Nouvelle faille importante dans GnuTLS

Posté par (page perso) . Édité par Nÿco, BAud, eggman et Frédéric Massot. Modéré par ZeroHeure. Licence CC by-sa
40
6
juin
2014
Sécurité

GnuTLS est une bibliothèque libre qui, au même titre que OpenSSL, permet d’établir une connexion chiffrée sur Internet via le protocole SSL/TLS.

GnuTLS

Une faille de sécurité qui permet de faire planter GnuTLS et, dans certaines conditions, lui faire exécuter du code arbitraire a été découverte.

Concrètement, lors d’une poignée de main, l’envoi d’un identifiant de session extrêmement long par le serveur provoque un dépassement de tampon. Pour résumer, on veut enregistrer en mémoire l’identifiant de session qui est plus grand que l’espace prévu à cet effet, l’excédent est écrit à côté et, en particulier, sur le programme en mémoire. En choisissant bien l’identifiant de session, on peut donc altérer le fonctionnement du logiciel en cours d’exécution à son avantage.

Journal OpenSSL : une nouvelle faille découverte permet une attaque de l'homme du milieu

Posté par . Licence CC by-sa
36
6
juin
2014

Malheureusement, après Heartbleed, OpenSSL est à nouveau touchée par une faille qui relève purement de l'implémentation : l'attaque par injection de "ChangeCipherSpec", a.k.a CVE-2014-0224.

Elle permet à un attaquant actif - qui peut écouter et modifier les trames réseaux à la volée - d'avoir un contrôle total et transparent sur la connexion chiffrée.

Rappel sur TLS

Lorsque deux machines se mettent en relation avec le protocole TLS, il y a toujours une phase d'initialisation, le Handshake. Dans (...)

Les journaux LinuxFr.org les mieux notés du mois de mai 2014

Posté par (page perso) . Édité par Nÿco. Modéré par ZeroHeure. Licence CC by-sa
12
2
juin
2014
LinuxFr.org

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Logo

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Voici un florilège d'une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois de mai passé.

Rendez-vous sécurité PHP / Web le 5 juin chez Mozilla Paris

Posté par . Édité par Nils Ratusznik, Florent Zara et Benoît Sibaud. Modéré par Benoît Sibaud. Licence CC by-sa
7
28
mai
2014
PHP

L’antenne AFUP (Association Française des Utilisateurs de PHP) de Paris donne rendez-vous à tous les développeurs et développeuses le 5 juin 2014 à partir de 18h30 dans les locaux de Mozilla, 16 bis boulevard Montmartre, à Paris. Le thème abordé sera « la sécurité web ».

Comme toujours le rendez-vous est gratuit et ouvert à tous, n’hésitez donc pas en parler autour de vous, et comme toujours… le nombre de places est limité. Alors n'hésitez pas à vous inscrire à partir de la page de l'événement !

Forum général.général Documents sur la sécurité informatique

Posté par (page perso) . Licence CC by-sa
4
27
mai
2014

Bonjour à tous,

J'ai 2 collaborateurs qui doivent se déplacer à l'étranger (Moyen-Orient) et je voudrais leur faire un petit brief avant de partir, sur le concept/la notion de sécurité informatique en déplacement.

Je crois me souvenir qu'un organisme d'état propose ce genre de documents/supports, mais voilà je ne me souviens plus trop duquel ou comment récupérer ce genre de ressources.

Si une bonne âme avait quelques infos là-dessus (URL, sites, documents …), merci d'avance.

Service de stockage en ligne libre et respectueux de la vie privée en financement participatif

Posté par Sylvain Duchesne . Édité par Nils Ratusznik, Nÿco, tuiu pol et Bruno Michel. Modéré par Nÿco. Licence CC by-sa
15
26
mai
2014
Internet

La jeune société Lupo Libero SASU vient de lancer une campagne de financement participatif pour développer un service de stockage de fichiers en ligne, type Dropbox ou Google Drive, en logiciel libre (licence MIT) et avec un très haut niveau de protection de la vie privée. Il n'y a donc pas encore de code source disponible.

Ce service permettrait dans un premier temps de :

  • stocker des fichiers et répertoires, pour archivage ou pour y accéder à distance ;
  • partager ces données (photos, vidéos, etc.) avec d'autres personnes ;
  • synchroniser son espace en ligne avec un répertoire de son ordinateur.

À la différence de nombreux services concurrents, les fichiers seront chiffrés (= verrouillés) sur l'ordinateur de l'utilisateur, avant d'être envoyés sur les serveurs. Ainsi une personne accédant légitimement (ex : un administrateur) ou non (ex : un pirate) aux serveurs ne pourra y obtenir des informations sur la vie privée des utilisateurs.

La libération et la sécurisation du stockage en ligne grand public est la première étape du projet Lupo Libero. L'objectif n°2 sera probablement de concurrencer Facebook. Et un peu plus loin dans notre feuille de route l'on peut trouver : "révolutionner internet".

Les personnes intéressées trouveront plus d'informations en lisant le (long) texte de présentation de la campagne de financement sur le site Indiegogo (lien ci-dessous). Si vous souhaitez suivre ce projet, il y a une page Twitter et une page Facebook.

Suivi - Tribune Faille dans la tribune

#1355 Posté par (page perso) . État de l'entrée : corrigée Licence CC by-sa
Tags :
7
22
mai
2014

Il y a une petite faille dans la tribune qui permet de poster à peut prêt n'importe quelle balise dans un post à partir du moment où il y a une norloge dedans. Par exemple, le post suivant permet de récupérer un pseudo cookie

00:00:00<form method="post"><input id="input-chauve" name="board[message]" type="hidden" value="plop"><input type="submit" onclick="var coo = ''; for (var i=0; i<20; ++i) { coo+= Math.floor(Math.random() * 10); } document.getElementById('input-chauve').value = 'mon cookie est ' + coo"></form>

C'est valable sur toutes les tribunes (...)

Journal Computrace, une backdoor pour votre plus grand bien

47
20
mai
2014

Bon journal ? En tout cas mauvaise nouvelle.

Il y a de ça quelques mois, la société Kaspersky découvre un logiciel malveillant installé sur au moins 2 millions d'ordinateurs.
Computrace se divise en 3 modules présents dans l'option ROM PCI qui est chargée ensuite par le BIOS de la machine.

Par la suite il est capable :

  • De sécuriser les données d'un parc de postes à distance
  • De déployer toujours à distance des mises à jour, des licences ou de lancer (...)

Journal Les macarons, pour remplacer les cookies

Posté par (page perso) . Licence CC by-sa
20
19
mai
2014

Aujourd'hui, sur le Web, l'authentification de chaque requête HTTP, une fois passée le "login" initial, se fait presque toujours avec un cookie, une série de bits générée par le serveur et qu'un éventuel attaquant ne pourrait pas deviner. Les cookies ont plusieurs limites, notamment parce qu'ils sont tout ou rien. Si je passe un cookie à un tiers (volontairement ou bien parce que la session n'était pas bien protégée), ce tiers a exactement les mêmes droits que moi. Des chercheurs (...)