Journal Content Security Policy 1.0 intégré à Firefox

Posté par  . Licence CC By‑SA.
Étiquettes :
25
13
juin
2013
Ce journal a été promu en dépêche : Content Security Policy 1.0 intégré à Firefox.

Depuis le 30 mai Content Security Policy (CSP) 1.0 est supporté par Firefox, dans le canal Aurora (version pre-beta de firefox) .

Content Security Policy ?

CSP est un mécanisme de sécurité dont le but est de protéger l'utilisateur contre les failles XSS en permettant aux sites web de restreindre l'origine des scripts.
CSP a été crée par la fondation Mozilla, et les premières implémentations ont été intégrés à Firefox 4.
Depuis le 15 novembre 2012, c'est même une recommandation candidate (…)

Certificat SSL/TLS pour serveur web, HTTPS et problèmes associés

Posté par  (site web personnel) . Édité par Bruno Michel. Modéré par Nils Ratusznik. Licence CC By‑SA.
Étiquettes :
37
6
juin
2013
LinuxFr.org

Les serveurs utilisent des certificats TLS (ex SSL) pour permettre des échanges chiffrés avec les navigateurs (éviter les écoutes, les modifications, protéger la vie privée, sécuriser des échanges financiers, permettre de vérifier que le serveur est le bon, etc.). Et donc soit on auto-certifie son propre certificat, soit on passe par une autorité de certification (ou une chaîne d'autorités).

Côté client, les autorités acceptées sont gérées soit par le navigateur (Firefox, Chrome, Opéra, un navigateur basé sur java…) et c'est alors spécifique au navigateur , soit le navigateur délègue ça au système (rekonq, konqueror, iceweasel…) et c'est alors spécifique au système.

LinuxFr.org utilise un même certificat sur les différents domaines gérés, dont les serveurs de production et de test, le serveur cache des images, ainsi que le gestionnaire de listes de diffusion. Ce certificat doit être mis à jour sous peu (le 7 juin). Et comme à chaque mise à jour, les mêmes questions vont revenir, c'est donc l'occasion de faire le point sur le sujet (dans la seconde partie de la dépêche).

Journal Attaque sur les serveurs d'hébergement

Posté par  . Licence CC By‑SA.
Étiquettes :
13
25
mai
2013

En début de semaine, un serveur au Luxembourg (94.242.237.122) a essayé à 3 reprises de casser le mot de passe administrateur du site Wordpress de l'association GOALL. je l'ai signalé à l'hébergeur du serveur (root.lu) qui a étrangement fermé le ticket sans répondre. Sur WOT, cet hébergeur est mal noté car il met ses serveurs à disposition de spammeurs russes et il distribue des malwares (voir https://www.mywot.com/en/scorecard/root.lu). Je doute donc qu'il fasse quoi que ce soit.
Cerise sur le (…)

Hacking : sécurité avec les logiciels libres, petit déjeuner

Posté par  (site web personnel) . Édité par Nÿco. Modéré par Pierre Jarillon. Licence CC By‑SA.
Étiquettes :
5
22
mai
2013
Sécurité

Ce petit-déjeuner, ouvert à tous, sera l'occasion d'aborder les problématiques liées au hacking du point de vue de la sécurité. Nous ferons un tour rapide des différentes solutions existantes dans le domaine du logiciel libre. Nous finirons avec une table-ronde/discussions sur ce sujet avec mise en perspective sur la base de situations "terrain".

Intervenants :

  • 8h30 - 9h30h: Julien Cayssol - Consultant Sécurité - Certilience
  • 9h30-10h: Table ronde interactive avec un responsable production

Quand : le 28 juin 2013
Horaires : 8h30 à 10h30
Nombre de place : 35
Lieu : 105 rue La Fayette 75010 Paris

Root exploit sur les noyaux linux 2.6.38 à 3.8.8

Posté par  . Édité par Nÿco, rootix et Benoît Sibaud. Modéré par patrick_g. Licence CC By‑SA.
Étiquettes :
44
17
mai
2013
Noyau

Un nouveau root exploit est apparu mardi et concerne les noyaux Linux de 2.6.38 à 3.8.8 ayant CONFIG_PERF_EVENTS activé.

Tapez la commande suivante pour savoir si vous êtes impacté :
zgrep CONFIG_PERF_EVENTS /proc/config.gz

Si zgrep répond cette ligne, vous êtes impacté.
CONFIG_PERF_EVENTS=y

Le patch existe depuis plusieurs semaines mais n'a pas été forcement intégré dans toutes les distributions - cherchez le code CVE-2013-2094 dans les derniers security advisory.

La Debian Wheezy a été patchée ce matin (je mets le lien vers le mail de la liste de diffusion « security » car je ne trouve pas l'annonce de sécurité debian sur le site).

Pour ceux qui ne peuvent pas patcher immédiatement leur noyau, il faut suivre le lien vers l'outil de suivi de bug de redhat qui propose plusieurs solutions temporaires plus ou moins efficaces.

Journal Sécurité des mots de passe

Posté par  . Licence CC By‑SA.
Étiquettes :
14
10
mai
2013

Je ne sais pas s'ils se sont donné le mot, mais j'ai l'impression que tous mes flux se sont mis à parler de la sécurité des mots de passe. Ça a commencé avec developpez.com qui explique que les mots de passes sont trop simples et sont donc facilement crackables, puis ce fut autour de blogzinet de proposer une extension qui vérifie notre mauvaise utilisation des mots de passe, intel de nous dire combien mes mots de passe sont (…)

Journal Linux/Cdorked.A : nouvelle backdoor Apache discrète.

Posté par  . Licence CC By‑SA.
Étiquettes :
36
2
mai
2013
Ce journal a été promu en dépêche : Linux/Cdorked.A : nouvelle porte dérobée discrète sur un Apache httpd modifié.

Une nouvelle backdoor Apache, nommée Linux/Cdorked.A a été détectée par ESET et Sucuri.
L’intérêt de cette backdoor est qu'elle est très évoluée et se dissimule très bien, rendant difficile sa découverte.
Seul le fichier binaire httpd (le démon Apache) est modifié, et toutes les informations du malware sont stockés en mémoire partagée. La configuration du malware et ses ordres sont envoyés par des requêtes HTTP GET obscurcies, mais surtout non-loguées par Apache.

Ce malware redirige les utilisateurs vers des sites (…)

Forum Linux.général Sécurisation des ports USB via filtrage des périphériques

Posté par  . Licence CC By‑SA.
Étiquettes :
1
22
avr.
2013

Bonjour à tous,

Je suis actuellement à la recherche de méthodes, techniques ou procédures permettant de limiter l'utilisation des périphériques USB sous un environnement Linux.

Mon objectif étant :
- de n'autoriser que les périphériques USB désirés par l'administrateur
- de faciliter la mise en place de ce système et de le rendre compatible sur une multitude de distribution
- d'empêcher Mme Michu de connecter smartphone/disque externe ou autres sur mon Intranet…

Je vous remercie par avance pour vos éventuelles (…)

Journal Faille de sécurité critique dans le générateur pseudo-aléatoire de NetBSD 6.0

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
33
25
mar.
2013

C'est le syndrome OpenSSH de Debian qui frappe une nouvelle fois.
Du fait d'une parenthèse mal placée dans le code du fichier /src/sys/kern/subr_cprng.c, il s'avère que le générateur pseudo-aléatoire de NetBSD 6.0 est bien moins solide que ce qui était attendu.
C'est une manière polie de dire que sa sortie n'est pas assez aléatoire et qu'il faut d'urgence changer les clés SSH qui ont été générés avec ce noyau !

L'alerte de sécurité : http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2013-003.txt.asc
Un article de h-online : http://www.h-online.com/open/news/item/Weak-keys-in-NetBSD-1829336.html

(…)

Journal Whois le registrar qui a fuité mon email ...

Posté par  . Licence CC By‑SA.
Étiquettes :
4
22
mar.
2013

Hello tous,

Je tenais à partager avec vous un petit problème que j'ai eu avec mon registrar récemment.

J'ai reçu plusieurs mails m'incitant à acheter un nom de domaine proche du mien (le singulier de mon pluriel).

Voilà, cependant, j'ai été surpris de recevoir ces mails sur une adresse que je n'utilise quasiment pas sur le web et surtout que j'utilise chez le registrar qui gère à ce domaine (aie).

Du coup, je tente un whois sur le domaine en (…)

Journal Essais avec une Yubikey

Posté par  . Licence CC By‑SA.
Étiquettes :
23
17
mar.
2013

Cher journal,

Je viens récemment de commander une Yubikey, une puce cryptographique avec interface USB vendue pour le grand public. Souvent, les puces cryptographiques sont vendues aux professionnels et sont difficiles à utiliser, surtout avec des postes sur lesquels on n'a pas de compte administrateur. D'où l'intérêt d'un produit qui a été conçu pour fonctionner partout.

Capacités techniques

Bien que les spécifications soient publiées, il n'est pas évident de comprendre ce que la puce sait faire à partir du (…)

Jeudi du libre de mars 2013 à Lyon : sécurisez vos communications avec OpenPGP

Posté par  (site web personnel) . Édité par Benoît Sibaud. Modéré par patrick_g. Licence CC By‑SA.
Étiquettes :
8
6
mar.
2013
Communauté

De nos jours, le courrier électronique est devenu l'un des principaux moyens de communication à travers le monde. La plupart des gens possèdent au moins une adresse e-mail qu'ils utilisent aussi bien dans le cadre personnel que professionnel.

Des données sensibles transitent ainsi chaque jour sur le réseau par l'intermédiaire de nos boîtes mails, sans que nous ne mettions quoi que ce soit en œuvre afin de sécuriser ces échanges. La plupart des utilisateurs ont toute confiance dans leur messagerie instantanée.
Pourtant, l'e-mail repose sur des protocoles anciens, et il est extrêmement simple de se faire passer pour un autre. Qui n'a jamais reçu de message de la part d'un de ses amis qui contenait en réalité un virus ? De même, il est possible d'intercepter un e-mail avant son arrivée et d'en renvoyer une version légèrement modifiée.

Ce nouveau jeudi du libre sera l'occasion de vous présenter des solutions libres permettant de continuer à utiliser ce moyen de communication indispensable, tout en garantissant la sécurité et la confidentialité de vos échanges.

Vacances scolaires obligent, la conférence n'aura pas lieu le premier mais le second jeudi du mois, soit le 14 mars 2013 à 19h30.

Comme d'habitude, cela se passe à la Maison pour tous, Salle des Rancy, 249 rue Vendôme, 69003 Lyon (Métro Saxe Gambetta).

Journal Faille sur les routeurs Linksys WRT54GL

Posté par  . Licence CC By‑SA.
Étiquettes :
11
15
jan.
2013

Bonjour,

DefenseCode a découvert une faille dans le firmware d'origine des routeurs Linksys (Cisco), qui permet un accès root à distance. Cette vulnérabilité a été testée sur le WRT54GL, qui est plutôt bien connu ici, mais les autres routeurs Linksys seraient aussi touchés.

La société a prévenu Cisco, qui aurait patché la faille dans leur dernier firmware (4.30.14), mais cette faille serait toujours présente.

DefenseCode publiera les détails de cette faille dans 2 semaines sur leur site et Full Disclosure, (…)

Journal Vulnérabilités sérieuses dans des dizaines d'applis utilisant TLS (ex-SSL)

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
33
8
déc.
2012

The Most Dangerous Code in the World : Validating SSL Certificates in Non-Browser Software par Martin Georgiev, Subodh Iyengar, Suman Jana, Rishita Anubhai, Dan Boneh et Vitaly Shmatikov

Une excellente étude sur les vulnérabilités des applications utilisant TLS (autrefois nommé SSL), à l’exclusion des navigateurs Web. Des tas d’applications parfois peu connues et discrètes (par exemple pour réaliser la mise à jour des logiciels d’un système) utilisent, comme les navigateurs Web, TLS pour se protéger contre un méchant qui essaierait (…)