Qu’est‐ce POODLE ?

POODLE signifie Padding Oracle On Downgraded Legacy. Il s’agit d’une vulnérabilité permettant via une attaque de l’« homme du milieu » (MIM, Man In the Middle), en se plaçant entre le navigateur Web et le serveur Web, de déchiffrer les informations chiffrées.

POODLE affecte les anciennes normes de chiffrement, notamment Secure Socket Layer (SSL) version 3.0. Il n’affecte pas le mécanisme de chiffrement plus récent, et standardisé, appelé Transport Layer Security (TLS).

Recommandations

Pour atténuer cette vulnérabilité, désactivez SSL 3.0 en forçant l’utilisation de TLS, tout en vérifiant la compatibilité des navigateurs clients devant y avoir accès.

Plusieurs bulletins de sécurité ont annoncé la vulnérabilité :

• alerte CERT : http://cert.ssi.gouv.fr/site/CERTFR-2014-ALE-007/ ;
• alerte NVD : https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566.

SELKS est une distribution liv_e et installable qui fournit un système de détection d’intrusion (_Intrusion Detection System, abrévié IDS) Suricata prêt à l’emploi. Elle intègre Scirius, une interface Web de gestion des règles de l’IDS, et le trio Elasticsearch, Logstash et Kibana (ou "ELK"). L’interface Kibana permet d’analyser les alertes et les événements remontés par l’IDS.

Le projet SELKS a été initié pour fournir un moyen de tester rapidement les capacités de l’IDS Suricata dans le domaine de la détection d’intrusion réseau et dans le domaine de la surveillance réseau. En mode live, il est ainsi possible de passer de l’amorçage du système à l’analyse du trafic réseau dans Kibana en 30 secondes.

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

• [Slate.fr] Shellshock, la nouvelle faille qui inquiète Internet, est-elle pire qu'Heartbleed? Difficile de le savoir
• [Next INpact] La ministre de l’Éducation veut que les enfants soient initiés au code
• [Next INpact] Fleur Pellerin consacre la Hadopi en enterrant son transfert au CSA
• [ZDNet] Pratique: le guide du logiciel libre pour les TPE-PME
• [Framablog] Enercoop: libérer les énergies
• [WSJ.com] Hard Times for Software Patents
• [France Culture] Nous et nos données
• [Marianne] Traité transatlantique: le gouvernement demande enfin la transparence!

« ShellShock », une faille dans l'usage du shell Bash, est sous les projecteurs depuis quelques jours. Le terme est un jeu de mot entre la stupeur propre à l'obusite des combattants de la première guerre mondiale et l'interface système shell. Nous vous proposons des explications sur cet évènement particulier, son périmètre, les conditions de son exploitation, les surfaces d'attaques, et les solutions proposées, déjà mises en œuvre ou à venir. Enfin, une revue de presse sera dressée, cette faille s'étant transformée en évènement.

Quatre ans après la parution du premier tome du Guide d'autodéfense numérique, le second tome, dédié aux enjeux liés de l'utilisation des réseaux et d'Internet est enfin terminé. Cet ouvrage vise à présenter l’« absence d’intimité » du monde numérique et propose des méthodes pour ajuster ses pratiques quotidiennes en conséquence. Les deux volumes sont d’ores et déjà disponibles en consultation et en version imprimable à l’adresse http://guide.boum.org/.

ConFoo est à la recherche de professionnels du web avec une connaissance approfondie du développement avec PHP, Python, Ruby, Java, DotNet, HTML5, Databases, Cloud et le dévelopement mobile souhaitant partager leurs connaissances et expériences lors du prochain ConFoo. Soumettez vos propositions entre le 25 août et le 22 septembre.

• ConFoo 2015 se déroulera du 18 au 20 février à Montréal, à l’Hôtel Hilton Bonaventure.
• Nous prenons grand soin de nos conférenciers en couvrant la majorité des dépenses incluant le déplacement, l’hébergement, le lunch, le billet complet de la conférence, etc.
• Les présentations sont d’une durée de 35min + 10min de questions et peuvent être tant en français qu'en anglais.
• ConFoo est un environnement ouvert où tout le monde est invité à soumettre. Vous êtes qualifié et amical? Joignez-vous à nous!

Si vous voulez simplement assister à la conférence, nous avons un rabais de 290$ en vigueur jusqu’au 13 octobre.

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

• [atlantico] Docteurs Folamour? Ce que à quoi pourraient aboutir les biologistes qui piratent l’ADN
• [Next INpact] Projet de loi numérique: le CNNum présente les thèmes de sa concertation
• [Rue89] Surprise! La France dans le top 5 mondial des e-gouvernements
• [Rue89] Firefox OS veut bousculer Android et iOS? C’est tout ce qu’on souhaite
• [ToulÉco] La mairie de Toulouse économise 1 million d'euros en passant au logiciel libre
• [Libération.fr] Les cryptoparties, sans laisser d’adresse

hupstream est fier de vous annoncer la 3^e édition de Kernel Recipes, les 25 et 26 septembre 2014.

Cette nouvelle édition s’annonce pleine de promesses. Cette année nous vous proposons des conférenciers venus des États‐Unis, d’Europe et de France : Greg Kroah‐Hartman, Hans Peter Anvin, Jean Delvare, Willy Tarreau, Borislav Petkov, Martin Peres, Maxime Ripard, Julien Grall, Eric Leblond, Samir Bellabes et Hans Verkuil.

Nombre d’entre eux interviendront pour la première fois en France.

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

• [01net.] Black Hat 2014: peut-on encore sauver le cyberespace de ses innombrables failles?
• [Next INpact] 687 000 euros de logiciels libres pour le ministère de l’Agriculture en 2013
• [Silicon.fr] Skype lâche les utilisateurs de Mac PowerPC
• [Developpez.com] Open source: nouvelle migration en Europe, Turin en Italie adopte Ubuntu et OpenOffice
• [ouest-france.fr] À Vannes, on sécurise la voiture de demain
• [Next INpact] Un début de détente dans la guerre acharnée entre Apple et Samsung
• [Numerama] Ne dites plus "crowdsourcing" mais "production participative"
• [Les Echos] Chine: après Microsoft, Pékin bannit les logiciels Symantec et Kaspersky de son administration

ProtonMail est un service de messagerie web sécurisé créé en 2013 par Jason Stockman, Andy Yen et Wei Sun au CERN, situé à côté de Genève en Suisse. À l'opposé de nombreuses messageries web existantes (gmail.com, outlook.com…), ProtonMail chiffre les courriels avant qu'ils ne soient envoyés au serveur. ProtonMail est actuellement en version bêta.

Depuis le 17 juin, une campagne de financement participative a été lancée par l'équipe de développeur dans le but d'atteindre 100 000$. Deux semaines plus tard, le projet avait déjà reçu 200 000$. La prochaine étape est d'atteindre 500 000$ afin que des applications pour iOS et Android soient développées. La campagne se termine le 31 juillet. ProtonMail accepte les paiements par carte bleue, paypal (voir plus bas) et bitcoin.