Avant-propos : je ne connais pas l'auteur des propos ci-dessous ni son rôle au sein de la communauté. Je sais en revanche que je vais passer mon week-end à reparamétrer un paquet de trucs impactés par cette vulnérabilité sur les serveurs dont je m'occupe et que mon propos est donc justifié.

Je lis sur http://planet-fr.debian.net/ un post de Roland Mas intitulé "Branle-bas SSH/SSL" publié le 15 mai. Ce message, assez clair par ailleurs sur le fait que les conséquences de cette vulnérabilité dépassent largement le cadre de la simple distribution Debian (et dérivées) puisque les clefs et certificats pourris ont pu être copiés un peu partout ailleurs, ce message donc est présenté comme un rectificatif des informations incorrectes ayant pu être publiées ci et là.

Et il présente donc fort à propos l'origine du problème de la façon suivante : "Le cœur du problème : pour des raisons tout-à-fait légitimes, et suite à une mauvaise communication avec les auteurs amont d'OpenSSL, les versions d'OpenSSL (...) utilisaient un générateur de nombres pseudo-aléatoires (...) absolument pas aléatoire."

Soit j'ai mal compris la phrase ci-dessus, soit Roland est en train de nous expliquer qu'une faille de sécurité majeure, impliquant l'un des systèmes de sécurité les plus utilisées au monde (SSH, PKI, VPN), qui risque de mettre gravement en cause la crédibilité du logiciel libre aux yeux de pas mal de monde, et accessoirement qui va me faire perdre mon week-end à mettre à jour les nombreuses machines dont j'ai la charge, cette faille de sécurité donc a été introduite pour des raisons tout à fait légitimes.
Vous verrez, dans 2 jours il va nous sortir qu'en fait "it's not a bug, it's a feature".

J'ai du mal à voir les "raisons légitimes" qui justifieraient qu'un contributeur touche à un composant critique au petit bonheur la chance pour faire plaisir au debuggeur et que personne n'y trouve rien à redire.

[ Répondre ]

Dans ce cas, fail2ban permettrait de limiter les attaques SSH et ne répond qu'à une toute petite partie du problème.
Les attaques sur les VPN ou les PKI etc. ne seraient pas détectées par fail2ban (que j'apprécie beaucoup d'ailleurs).

[ Répondre ]

Tinyurl c'est bien pour des conversations non persistantes (non indexées, non sauvegardées...), faut pas jeter le bébé avec l'eau du bain.

[ Répondre ]

La dernière spec OATH est "time based", donc on ne parle pas du token calculette mais du token sans bouton, avec juste un écran et une horloge interne.

[ Répondre ]

> Si tu veux lancer une discussion sur linuxfr, il faut l'ouvrir !

J'avais justement l'impression d'ouvrir la discussion.
Nos questions sont super ouvertes : "comment on avance ?" plutôt que "on colle le composant XZR86 ou le 2865NF ?".
Les personnes ayant envie de contribuer au projet sont donc invitées à s'inscrire à la ml...

[ Répondre ]

> Ça peut être une solution, utiliser nos mobiles surpuissants pour
> implémenter l'OATH.

Oui et non.

Oui car en effet c'est possible techniquement, comme d'ailleurs on peut le faire sur un PC, un PDA ou tout autre matériel avec suffisamment de puissance de calcul...

Non car tout le principe du token matériel repose sur la nécessité de posséder le bidule : le token doit être suffisamment sécurisé pour qu'on ne puisse pas récupérer la clef secrète de manière triviale (perturbations, démontage...).
Si tu peux installer le logiciel de génération de mot de passes dessus, tu peux très probablement installer un keylogger qui enregistrera les mots de passe, voire te choper un virus ou un trojan qui récupérera la clef secrète et l'enverra ailleurs (clef secrète compromise = n'importe qui peut prévoir les mots de passe à venir). Une solution logicielle sur un outil communiquant ne présente pas du tout le même niveau de sécurité qu'un token physique dédié, machine "autiste" sans possibilité de communication autre que le fait d'afficher les mots de passe générés.

Un PC / PDA / téléphone avec un soft qui tourne dessus s'apparente donc plus à du "quelque-chose que je connais" que "quelque-chose que je possède". Et ce n'est pas vraiment de l'authentification forte, quoi qu'en disent les vendeurs.

La solution serait éventuellement d'avoir une carte matérielle dans le téléphone ou le PC, chargée d'effectuer les calculs, mais même là les possibiltés d'interception sont importantes.
Au final, rien ne vaut le bon vieux token (ou la feuille de papier avec 50 mots de passe à usage unique).

[ Répondre ]

Désolé pour ce long article, j'insiste juste sur un point :
Si vous connaissez des projets similaires, actifs ou morts, si vous connaissez le secteur de l'auth forte, si vous avez un retour d'expérience sur le sujet, si vous pouvez nous mettre en contact avec des fabricants, des éditeurs etc, on est preneur, soit dans les commentaires de la news, soit sur la liste...

[ Répondre ]

Je suis actuellement doctorant en troisième année (...) il me fallait payé (...) l'électronique avait ramenait l'équité (...) Ils ont refusé et mon fait payé 5.60 € (...) pour commencer ma réflection (...) etc etc

Cé inquiétan poure l'univerresitait en effé

[ Répondre ]

le meilleur test de charge serait de passer ton smtp en open relay :-)

[ Répondre ]

Une idée des performances de ce SMTP face aux autres ?
C'est un point important histoire de ne pas se retrouver à la ramasse si le traffic smtp augmente.

[ Répondre ]

Cela n'a rien à voir ni avec Linuxfr ni avec le pape.
Cela a voir avec la loi française (que Linuxfr doit respecter) et avec le délit de provocation à la discrimination raciale ou religieuse.

Si tu veux absolument pouvoir souhaiter publiquement la mort de personnes sur ce site (je comprends que cela soit vital pour certains de pouvoir exprimer leur haine en toute liberté - ah non pardon c'est de l'humour), paye un avocat à l'association Linuxfr qui nous apportera une réponse sur la faisabilité de la chose. Dans la négative, fais changer la loi française.
Sinon, arrête de faire l'imbécile.

[ Répondre ]

Synthèse de la news : Un homme politique a profité du système pour s'enrichir personellement.

QUEL SCOOP !!!!!!

[ Répondre ]

Dites en lisant la news vous auriez vu que le lien "faiblesse des contributions" de la news pointe sur un mail ( http://mail.nessus.org/pipermail/nessus/2005-October/msg0004(...) ) de Renaud qui mentionne "A number of companies are _using_ the source code against us, by selling or renting appliances, thus exploiting a loophole in the GPL. So in that regard, we have been fueling our own competition and we want to put an end to that. Nessus3 contains an improved engine, and we don't want our competition to claim to have improved "their" scanner.".

L'auteur a publiquement expliqué la situation à de nombreuses reprises comme par exemple dans http://mail.nessus.org/pipermail/nessus/2005-January/msg0018(...)

We're fed up to do most of the work and let many companies not only profit from our efforts, but also actively fight against us (or me personally
as it happened in the past).
I'm fed up of seeing companies bill their customers for "plugin updates" for a much higher price than $1,200 per year, when all they do simply is to mirror www.nessus.org/nasl/all-2.0.tar.gz and resell it to their users (without any QA on them by the way, I have a funny annecdote about that). And I'm fed up of seeing all these companies take _my_ work, rebrand it, and claim it as being their own technology.

[ Répondre ]

w> Pour un cracker en herbe ça doit être cool.
> Pour un admin soucieux de ses bécanes et qui fait bien son boulot,
> c'est plus discutable.

Amusant, j'ai l'opinion inverse...
Et pour avoir observé Nessus en production sur de, heuu, *gros* parcs, c'est d'ailleurs ce qui se produit.

Pour le cracker qui veut se faire la machine de son voisin, l'intérêt de Nessus est très limité : pas discret pour un sou, les attaques utilisées sont "bourrines" (je vais me faire incendier là) et les patches correctifs sont disponibles. Pour pénétrer sur une machine particulière, mieux vaut utiliser des outils intrusifs web type Nikto (vm666 le connait bien), Whisker ou leurs successeurs, voire faire le travail à la main (on n'a pas encore trouvé -à ma connaissance- le moyen d'automatiser des tests d'intrusion de qualitai et c'est d'ailleurs pour cela que des société vendent -fort cher- ce savoir faire).
Bref Nessus comme outil pour cracker *une* machine bien particulière est inaproprié.

Là ou Nessus et consors sont en revanche super utiles c'est justement pour l'admin soucieux de ses bécanes et qui fait bien son boulot. En complément de ses tâches "actives de sécurisation, le fait de périodiquement lancer des scans Nessus sur toute ou partie de son réseau lui permet d'avoir un suivi, certes imparfait, mais régulier du niveau de risque de son infrastructure. Il existe d'ailleurs 87502 vendeurs de boites noires (Tenable...) ou de services web (Qualys...) qui fonctionnent sur ce principe de suivi à fréquence régulière dans le but de traquer les anomalies (changement brutal du niveau de risque).
On ne travaille donc plus sur une machine particulière mais sur toute l'infrastructure, dans le cadre d'un processus industriel de supervision du niveau de risque.

[ Répondre ]

Michel, on t'a reconnu :-)

[ Répondre ]

Route tous tes mails via le smtp de ton provider sinon pas mal de smtp refuseront tes mails (because ils te prendront pour un zombie relais de spam).

[ Répondre ]

> Lorsque je reçois un mail je voudrais (...)
> lui envoyer un message en HTML lui demandant de
> s'identifier (avec code anti-spam).

Berk, c'est non standard, c'est moche, ça fait du traffic pour rien et ça emm*rde TOUS les expéditeurs légitimes qui vont devoir se plier à tes exigences.

Installe plutôt whitelister et/ou spamassassin histoire de filtrer le bon grain de l'ivraie sans solliciter l'expéditeur.
Les deux logiciels susmentionnés me satisfont pleinement.

[ Répondre ]

> L'excellentissime Fedora 8

Question que je me pose depuis pas mal de temps : tu bosses pour RedHat ou une société partenaire ?

Ne prends pas cette question comme une critique, ce n'en est pas une. Je me suis longtemps posé la même question au sujet du regrett^W Sam_from_ms.

[ Répondre ]

Et je pense aussi que ceux qui ont pertinenté ton commentaire ne sont pas non plus bien au courant.

J'ai pertinenté son commentaire.
Je ne suis peut-être pas bien au courant, mais j'ai des yeux pour voir qu'effectivement, le site LinuxFrench n'est pas mis à jour. Pour un site communautaire, ça la fout mal. Et je rejoins donc n-2 quand il dit que communiquer sur l'importance d'héberger un site non maintenu n'est peut-être pas la chose la plus judicieuse.

Note bien que je ne pense pas manquer de respect à qui que ce soit en disant cela. Je ne doute pas que LinuxFrench ai favorisé plein de choses, notamment la montée d'acteurs engagés du libre.

[ Répondre ]