Revue de presse de l'April pour la semaine 13 de l'année 2014

16
1
avr.
2014
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Forum général.général Firefox et "désactivation temporaire de la liste anti-malware"

Posté par . Licence CC by-sa
6
28
mar.
2014

Bonjour à tous,

J'ai eu quelque chose que je n'avais encore jamais vu avec Firefox, je vous explique.

J'utilise Firefox 28.0 sous Archlinux avec différents profils : Perso, Gmail …
J'ai voulu aujourd'hui créer un nouveau profil "Web" dans le but de pouvoir naviguer sur tous les sites avec une sécurité maximale, pour cela le profil à 2 extensions : Noscript et WOT.

J'étais donc sur l'onglet "Modules complémentaires", catégorie Extensions, lorsque je clique sur "Préférences" de l'extension Noscript. Je (...)

Full disclosure, c'est fini

Posté par (page perso) . Édité par Benoît Sibaud, Nils Ratusznik, palm123 et tuiu pol. Modéré par Nils Ratusznik. Licence CC by-sa
48
20
mar.
2014
Sécurité

John Cartwright a annoncé la fermeture de la liste de diffusion Full disclosure. Cette liste était destinée à la publication de failles de sécurité et à la discussion sur ce sujet. Dans son message de fermeture, John Cartwright annonce qu'il en a marre des membres de la « communauté » qui demandent la modération d'anciens messages et pense que ça devient de plus en plus difficile de maintenir un forum ouvert dans le climat légal actuel.

La liste a été créée le 9 juillet 2002 par Len Rose, et était administrée par John Cartwright. Elle était sponsorisée par Secunia, une boîte de sécurité elle aussi créée en 2002.

Wikipédia cite trois failles 0 day révélées initialement sur cette liste concernant Microsoft Windows Help and Support Center en 2010, Apache HTTP Server en 2011 et la base de données Oracle en 2012. Une petite recherche sur LinuxFr.org en signale aussi une sur FreeBSD en 2009, parmi diverses autres failles évoquées touchant des logiciels libres ou non.

Éternelle question autour du « full disclosure », de la divulgation publique opposée à la sécurité par l'obscurité ? 2002, procès Kitetoa, 2004, procès Guillermito « C'est le procès du full-disclosure », 2004, adoption de la loi sur la confiance dans l'économie numérique en France « Quel avenir pour le full-disclosure en France ? » Etc., etc.

Revue de presse de l'April pour la semaine 11 de l'année 2014

24
18
mar.
2014
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Journal La transparence, arme absolue de la surveillance informatique ?

Posté par . Licence CC by-sa
9
9
mar.
2014

Bookmark d'une video qui m'a interpellée.

En résumé: la transparence est très utile à la surveillance, car les statistiques sont plus précises lorsqu'elles disposent de plus de données. Or les statistiques sont très utiles pour la prédiction.

C'est très bien expliqué à partir du modèle de prédiction de la météo: les données à priori les plus insignifiantes sont parfois les plus pertinentes en tant que marqueurs des comportements et des évolutions des groupes.

La vidéo (29 min): Fabrice Epelboin et (...)

Journal Annonce : Manux 0.0.4

52
21
fév.
2014

Bonjour tout le monde!

Je voudrais profiter de ce journal pour vous annoncer que mon projet personnel, Manux, vient de passer en version 0.0.4.

Pour rappel, Manux est un petit système d'exploitation nativement binairement compatible avec Linux, mais conçu pour encaisser les exploits jour zéro. Son noyau a été entièrement écrit par mes soins, sans reprendre la moindre ligne de Linux (ou de qui que ce soit d'autre), et tant son architecture noyau que son architecture de l'espace utilisateur (...)

Journal Tout le monde a bien activé TLS sur ses serveurs SMTP ?

33
20
fév.
2014

Parce que cela va être obligatoire en France, a annoncé le premier ministre aujourd'hui (dans un premier temps, uniquement pour les services de l'État et pour les FAI). Donc, pour aider les bons français à suivre ces excellentes directives, je suggère de mettre dans les commentaires des liens vers les meilleurs tutoriels sur la configuration et le test (toujours oublié, le test) de TLS sur Postfix, exim, etc.

Merci de ne mettre que des tutoriels récents (en deux coups de (...)

Journal Compositeurs Wayland - Pourquoi et comment gérer les clients privilégiés?

50
19
fév.
2014

Après de multiples heures de discussion sur la liste de diffusion de Wayland et avec des amis ayant la même formation que moi en sécurité système, j'ai décidé de compiler en un article un maximum d'observations et de propositions sur comment gérer les problèmes de sécurité que posent certaines fonctionnalités classiques des serveurs graphiques. Le focus a bien évidement été mis particulièrement sur Wayland car il est actuellement en développement et que c'est le meilleur moment pour influencer l'élaboration des (...)

Journal L'Internet en feu (merci à Jules Verne)

Posté par (page perso) . Licence CC by-sa
27
13
fév.
2014

Peut-être pour faire de la publicité au prochain numéro de MISC qui est consacré aux attaques par déni de service (DoS), l'Internet vit en ce moment au rythme des nombreuses attaques par réflexion+amplification utilisant le protocole NTP. Ces attaques ont atteint des nouveaux sommets (des victimes signalent du 350, voire du 400 Gb/s mais rappelez-vous qu'il n'y a pas d'enquêtes indépendantes sur les attaques DoS).

Le principe de l'attaque est connu depuis longtemps, il est le même que pour (...)

Journal Toi aussi, amuses toi avec le FireWire

Posté par . Licence CC by-sa
44
26
jan.
2014

Bonjour Nal,

Les problèmes liés au FireWire sont connus et identifiés depuis longtemps. Voir par exemple cet excellent papier datant de 2008, de Uwe Hermann, développeur Debian, à ce sujet. En gros, à partir du moment où tu as un accès physique à la machine, tu peux :

  • lire et écrire arbitrairement dans la RAM ;
  • Avoir accès à un disque chiffré sans en connaître la clef ;
  • et plein de trucs visiblement très rigolos

Alors, chez Nal, pourquoi je (...)

Journal L'art de stocker des mots de passe

Posté par . Licence CC by-sa
83
17
jan.
2014

Bonjour à tous,

Je vous propose un enième article sur un sujet bien connu : comment sécuriser des mots de passe dans une base de données. Et au passage, comment éviter de se taper la honte si votre BDD est leakée.

Après une longue réflexion, j'ai décidé de présenter ce journal sous forme de niveaux. Deux négatifs (-2 et -1) qui correspondent à des solutions (trop) souvent mises en place mais pas sécurisées du tout.
Puis, un niveau 0 qui (...)

Forum Linux.général Checksum de la partition /boot

Posté par . Licence CC by-sa
Tags :
2
1
jan.
2014

Bonjour à tous,

J'ai actuellement Fedora et Archlinux installés en dual boot, les deux avec un chiffrement intégral ( tout sauf /boot ).
Or si un système est compromis, il pourrait alors modifier la partition /boot de l'autre système, en remplaçant par exemple le noyau ou l'initramfs par des équivalents vérolés (Evil Maid Attack), afin d'intercepter la passphrase du volume luks pour ensuite le déchiffrer et accéder aux données de l'autre système.

Quelle protection contre ça ?
On peut (...)

Prelude IDS 1.1.0

25
30
déc.
2013
Sécurité

Prelude est un logiciel SIEM qui permet de superviser la sécurité des systèmes d'information. Prelude collecte, normalise, trie, agrège, corrèle et affiche tous les événements de sécurité indépendamment des types d'équipements ou système surveillés.

Prelude IDS

Au-delà de sa capacité de traitement de tout type de journaux d’événements (journaux système, syslog, fichiers plats, etc.), Prelude est nativement compatible avec de nombreuses sondes anti-intrusion open-source (snort, suricata, ossec, samhain, etc.) grâce à l'utilisation du format IDMEF (RFC 4765).

Revue de presse de l'April pour la semaine 51 de l'année 2013

Posté par (page perso) . Édité par Benoît Sibaud. Modéré par Benoît Sibaud. Licence CC by-sa
18
24
déc.
2013
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire