LDAP Synchronization Connector (LSC) est un outil de synchronisation de données entre référentiels d'identités (annuaires LDAP, bases de données, API REST, …) disponible sous licence BSD.

Ce logiciel a été créé il y a plus de 20 ans et est déployé dans de très nombreuses organisations qui l'utilisent le plus souvent pour alimenter les comptes et groupes dans leur annuaire d'entreprise depuis leur outil RH, ou bien pour synchroniser les données entre OpenLDAP et Active Directory.

La version 2.2, en préparation depuis plusieurs années, a enfin vu le jour en ce mois d'avril 2025, grâce au travail de la société Worteks et à l'aide du programme NGI Commons de NLnet.

Le CNLL, Union des Entreprises du Logiciel Libre et du Numérique Ouvert, est l’instance représentative de la filière du logiciel libre en France, et inno³ un cabinet de conseil spécialiste des modèles ouverts. Ils proposent le premier guide de conformité au CRA dédié aux acteurs de l’open source, destiné à accompagner sans attendre les acteurs dans la mise en conformité de leurs activités en décryptant les obligations nouvelles et adaptations nécessaires de processus. Il est publié sous licence Creative Commons By-SA 4.0.

LDAP Tool Box Service Desk est une interface Web pour gérer les mots de passe et les statuts des comptes d’un annuaire LDAP standard ou d'un annuaire Active Directory. Il est publié sous licence GPL v3.

Ce logiciel sorti en 2020 a bien évolué depuis : système de hook, audit, notifications par courriel, …

La version 0.6 parue début décembre 2024 apporte une innovation majeure : la compatibilité native avec Active Directory.

Passbolt est un gestionnaire de mots de passe libre, sous licence AGPLv3, conçu pour l’utilisation en équipe et la collaboration. La version 4.9.0 de passbolt, baptisée B.Y.O.B, vient de sortir. Elle introduit une fonctionnalité très attendue par la communauté : la recherche par dossiers, ainsi que des améliorations majeures de performances.

Pass the SALT est une conférence gratuite se déroulant à Lille sur deux jours et demi début juillet. Elle est dédiée à la Sécurité et aux Logiciels Libres.

Cette 6ᵉ édition se déroulera :
📅 du 3 au 5 juillet 2024
📍 à l’école de Polytech à Lille.

Venez profiter de la présence d’expert·e·s très accessibles dans une ambiance conviviale d’une conférence à taille humaine 🥰

👉 Les inscriptions sont ouvertes et sont gratuites. Le nombre de places disponibles diminue rapidement, ne tardez pas :)

Andres Freund, un développeur Postgres, s’est rendu compte dans les derniers jours que xz et liblzma ont été corrompus par l’un des mainteneurs du projet. Le problème a été découvert par chance, pour la seule raison que la performance de sshd s’était dégradée sur sa machine.

L’investigation d’Andres Freund a montré que Jia Tan, co-mainteneur de xz depuis environ un an et demi, a poussé plusieurs commits contenant une porte dérobée extrêmement bien cachée au milieu d’un certain nombre de contributions valables depuis environ deux ans et demi, après avoir gagné la confiance du mainteneur historique, Lasse Collin.

Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.

La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.

Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.

Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.

NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.

La version 4.5.0 de Passbolt, baptisée « Summer is Ending », vient de sortir. Elle introduit des fonctionnalités clés et des améliorations pour optimiser la gestion des mots de passe et de leurs cycles de vie de manière sécurisée et collaborative.

Pour mémoire, Passbolt est un gestionnaire de mots de passe Opensource, sous licence AGPL, qui se veut orienté «équipe», avec notamment des possibilités de partage de mot de passe à des personnes ou des groupes.

Un mot de passe à usage unique basé sur le temps (TOTP, Time based One Time Password en anglais) est un algorithme permettant de générer un mot de passe à usage unique.

Dans cette nouvelle version 4.4.0, les utilisateurs peuvent maintenant gérer leurs TOTP directement depuis l’extension navigateur, offrant ainsi une facilité d'accès et de gestion sur tous les appareils.

Gérer un système de management de la sécurité de l'information (SMSI) est une tâche terriblement chronophage, il faut définir des indicateurs, mesurer, planifier, conserver des preuves, faire des tableaux de bord et communiquer les résultats à la direction. La norme ISO 27001:2022 arrive à grand pas et il est temps de profiter de cette mise à jour de la norme pour mettre de l’ordre dans la gestion des SMSI en arrêtant de faire le suivi des contrôles et de générer des tableaux de bord dans des feuilles de calcul !

Deming est un outil Open Source distribué sous licence GPLv3 développé en PHP avec le framework Laravel. Il est conçu pour aider les RSSI à mettre en place et à maintenir un SMSI. Grâce à cette application, les RSSI peuvent facilement planifier et suivre la mise en œuvre des contrôles de sécurité et le cycle d'amélioration continue requis par la norme ISO 27001. L'application est conçue pour être facile à utiliser et à personnaliser, avec une interface utilisateur intuitive.

Kevin Mitnick est mort le 16 juillet 2023. Légende dans le monde de la sécurité informatique. Il est connu pour avoir entre autre popularisé les techniques d'ingénierie sociale, un moyen d'obtenir des accès ou des informations basé non pas sur une exploitation de vulnérabilités techniques, mais sur le comportement humain.

Il fut aussi propulsé sur le devant de la scène médiatique en étant pendant deux ans en fuite, recherché par le FBI. Durant cette cavale il s'attirera le 25 décembre 1994 les foudres de Tsutomu Shimomura, en piratant une des machines de l'expert américano-japonais grâce à une technique d'IP spoofing, jusque-là inutilisée. L'arrestation et l'incarcération furent suivis par le mouvement de soutien « Free Kevin ».

Après sa libération, il a mis à profit ses talents en tant que consultant en sécurité des systèmes d'information et fondé sa propre entreprise, Mitnick Security Consulting. Il a aussi co-écrit un total de quatre ouvrages. Parmi ceux-ci, on retrouve sa biographie, Ghost in the Wires: My Adventures as the World's Most Wanted Hacker, dans laquelle il revient sur ses années de cavale et livre sa version des faits, s'opposant à celle de John Markoff et Tsutomu Shimomura.

Repose en paix, Kevin !

OpenSSL est un des logiciels libres les plus réussis et les plus importants (oui, oui, pas la peine d’avoir des boutons !). Réussi de par sa large utilisation ; important parce que l’infrastructure d’internet en dépend.

Le projet OpenSSL contient une implémentation haute performance d’algorithmes cryptographiques clés, une pile TLS et PKI complète et une boîte à outils en ligne de commande.

Mais il a toujours manqué d’une documentation exhaustive. Et pourtant elle existe : Ivan Ristić a écrit une somme sur le sujet, dont ce petit livre pratique est extrait.

Cinq ans après la précédente, nous avons le plaisir de vous annoncer la sortie de la 6ᵉ édition du guide d’autodéfense numérique, entièrement mis à jour, afin de fournir conseils et recettes adaptées pour s’orienter dans les méandres parfois hostiles de la jungle numérique.

Ce guide d’autodéfense numérique vise à présenter l’« absence d’intimité » du monde numérique et propose des méthodes pour ajuster nos pratiques quotidiennes en conséquence. On y trouve des éléments de compréhension de l’outil informatique et de ses failles, des pistes de réflexion permettant d’élaborer et de mettre en place des « politiques de sécurité » et des outils permettant à quiconque d’apprendre et de répandre des pratiques de protection adaptées à chaque situation.

Depuis quelques années (10/15, mince ça passe vite), j’héberge mes services à la maison au frais dans le garage sur un serveur physique, des VMs et depuis peu des instances cloud. Moi, ma petite famille et un cercle d’amis en sont les seuls utilisateurs. Un peu comme beaucoup de monde ici sans doute.

Un soir, j’installe Grafana/Prometheus pour me former et constate les scans en continu des bots sur tout ce qui est exposé. Bon, je ne suis pas un jeunot, je m’en doutais, mais quand même, ça se bouscule pas mal…

N’étant pas à l’abri de louper une mise à jour de temps en temps, ça ne me plaît pas beaucoup et je cherche comment améliorer tout ça, et voici comment…

Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4, ainsi que leur clef SSH. Des webservices REST sont également disponibles.

Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS. Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe, à une liste de mots ou à un attribut de l’entrée.

Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. Le projet LDAP Tool Box a reçu un OW2 Community Award en 2021, en particulier grâce à la popularité de Self Service Password.

La version 1.5 est sortie le 2 septembre 2022. Les principales nouveautés de cette version sont présentées dans la suite de l’article.

Pour une 3^e année consécutive, nous fêterons virtuellement une année de plus pour les Linux-Meetup au Québec (avec BigBlueButton un logiciel libre de vidéoconférence fonctionnant sous Linux, Proxmox, Debian, KVM, etc.)

Déjà 19 ans de rencontres mensuelles passionnantes, toutes axées sur Linux et/ou logiciels libres avec des gens partageant les mêmes intérêts pour les logiciels libres. Maintenant nos rencontres virtuelles sont disponibles partout à travers le Québec…. et de la francophonie ;-)

L'événement de l'an passé fut un très grand succès, on a eu un nombre record de "sponsors" (19) et on a réussi à attirer 83 Linuxien(ne)s (sur 120 inscriptions Eventbrite).

WireGuard est à la fois un protocole de communication chiffré sur UDP et un logiciel libre l’implémentant, le tout créé par Jason A. Donenfeld, qui vise à remplacer les protocoles ou logiciels comme IPSec ou OpenVPN.

Bien que WireGuard ait été principalement pensé pour Linux et que son implémentation de référence soit celle du noyau Linux, il existe des implémentations sous licence libre pour la majorité des plateformes (Linux, BSD, Windows, Mac, Android, iOS), sous GPLv2 pour le noyau Linux, sous MIT, BSD, APLv2 ou GPL suivant les autres cas.

Pass the SALT est une conférence dédiée aux Logiciels Libres (ou aux protocoles/formats ouverts) et à la Sécurité.

Cette 5ᵉ édition se déroulera à l’école Polytech de Lille du 4 au 6 juillet 2022. Son accès est gratuit (inscription requise). Les interventions sont données en langue anglaise afin de permettre une participation confortable aux conférenciers, conférencières et spectateurs non francophones. Et, enfin, un social event est organisé le 5 juillet au soir.

Passbolt est un gestionnaire de mots de passe libre conçu pour l’utilisation en équipe et la collaboration. La première version du logiciel avait été annoncée ici même sur LinuxFr il y a quelques années.

Depuis son lancement initial en 2016, passbolt a beaucoup évolué : de nombreuses fonctionnalités ont été ajoutées ainsi que le support de nombreux systèmes. Le serveur passbolt peut maintenant être installé sur un large éventail de serveurs Linux (packet debian, ubuntu, centos, redhat…), docker, ou même encore sur Raspberry Pi. Sur le plan de la sécurité, les différents composants de la solution ont été intégralement audités en 2021 par une société indépendante (Cure53).

Passbolt dispose d’un forum communautaire sur lequel les membres peuvent proposer ou voter pour de nouvelles fonctionnalités. La fonctionnalité la plus demandée étant depuis un moment et de loin la disponibilité d’applications mobiles, il devenait important de prioriser ces développements.

Après plus d’un an de travail et beaucoup de sueur, l’équipe passbolt est donc fière d’annoncer la sortie de ses deux applications mobiles iOS et Android, toutes les deux entièrement libres, intégralement auditées, et compatibles avec l’ensemble des éditions du logiciel : communauté, pro et cloud édition.

Avant d’entrer dans les détails, voici une petite vidéo de démonstration (en anglais).

SimpleLogin est à la fois un service d’alias de courriels et une plate‑forme totalement libre (sous licence MIT) que l’on peut auto‑héberger. Il a été présenté en version bêta début 2020 ici-même.

Depuis, le service a ajouté de nouvelles fonctionnalités et est devenu le référent parmi les services de masquage d’adresse mail. Avec l’arrivée de Hide My Email d’Apple, Masked Email d’1Password, Firefox Relay de Mozilla, le besoin de cacher notre adresse mail (ou notre identité numérique) est devenu populaire.

SimpleLogin est un service de masquage d’adresse mail: il permet de créer rapidement un « alias d’e-mail » qui cache notre vraie boîte mail. Les mails envoyés à un alias sont redirigés à notre boîte mail. On peut répondre à un mail comme d’habitude: la réponse sera envoyée de notre alias et notre vraie boîte mail reste cachée. Nous pouvons aussi envoyer des mails à un contact à partir d’un alias: un alias est donc comme une adresse mail « normale ».

Créé en France, 100% open source, disponible sur tous les plates-formes, SimpleLogin est considéré par les experts en vie privée comme la solution la plus avancée aujourd’hui. Il vient aussi de recevoir le prix du « meilleur projet Open Source » lors de l’Open Source Experience organisé à Paris début novembre 2021.

DynFi™ Firewall est un pare-feu unique qui permet aux entreprises et institutions de protéger efficacement leurs réseaux tout en offrant une visibilité complète sur son code source.

DynFi Firewall dispose d’une interface intégralement traduite en français et dans onze autres langues.
C'est un fork du projet OPNsense, dont l'intégralité des mécanismes de compilation a été modernisé et migré sous FreeBSD 13 et poudriere.

La version 1.0.0 de Age est sortie le 6 septembre 2021 après environ 2 ans de développement.

Age est à la fois un format de fichier (age-encryption.org/v1), dont la spécification (lien vers Google Documents) se veut très simple, et un outil en ligne commande sous licence BSD 3 clauses, dont le but est de chiffrer des fichiers.

L’équipe de CrowdSec annonce la sortie de la version 1.1.x, la dernière version de sa solution de cybersécurité gratuite et open-source (MIT) conçue pour protéger les serveurs, services, conteneurs ou machines virtuelles Linux exposés sur Internet. Quoi de nouveau ? Des nouveaux paquets et dépôts, ainsi que des améliorations de l’agent CrowdSec lui-même.

Le netmask et la plume est une conférence en libre accès sur l’histoire et l’évolution de la cybersécurité par quatre journalistes experts du domaine. Elle aura lieu le mercredi 30 juin 2021 à 14 h, en ligne.

Face à la médiatisation croissante de la cybersécurité et la course à l’information sensationnelle et instantanée, la webconférence Le Netmask et la Plume est l’occasion de mettre en lumière les acteurs du secteur qui agissent dans l’ombre, sur le long terme, pour informer, sensibiliser, éduquer et communiquer. Cet événement représente une opportunité unique d’en apprendre plus sur des sujets dont ils sont devenus des experts.

Au programme, une plongée dans le monde de la cybersécurité à travers l’intervention de quatre journalistes français reconnus qui partageront leur vision, leur approche et leur travail durant 4 interventions :

• Je suis un mensonge qui dit toujours la vérité par Marc Olanie, journaliste scientifique et technologique et radioamateur, propose de décoder les débuts épiques de la sécurité informatique en France à travers de nombreuses anecdotes sur les pionniers.

• From Privacy to Surveillance : it's complicated par Jean-Marc Manach, data journaliste d’investigation et formateur, reviendra sur le degré et le niveau de sensibilisation aux questions de surveillance et de vie privée. Il sera également question de l’explosion exponentielle de la mésinformation et des fake news à ce sujet.

• Hacker le parlement, comment ça marche ? par Marc Rees, rédacteur de Next INpact spécialisé dans les questions juridiques liées aux technologies de l’information et de la communication questionnera les contraintes juridiques désormais prépondérantes dans le paysage sécuritaire IT actuel.

• Dans l’œil de la menace par Valery Marchive, co-fondateur du MagIT et spécialisé depuis quelques années sur les questions de rançongiciels, décryptera les tactiques, techniques et procédures des cybercriminels afin d’augmenter la prise de conscience de la menace à travers une approche statistique.

Pour rappel, CrowdSec est un outil open source de cybersécurité collaborative conçu pour protéger les serveurs, services, conteneurs ou machines virtuelles exposés sur Internet. Un article plus exhaustif peut être consulté ici.

Il y a quelques mois, nous avons ajouté quelques fonctionnalités intéressantes à la solution lors de la sortie de la version 1.0.x. L’une d’entre elles est la capacité de l’agent CrowdSec à agir comme une API HTTP REST pour collecter les signaux d’autres agents CrowdSec. Ainsi, il est de la responsabilité de cet agent spécial de stocker et de partager les signaux collectés. Nous appellerons cet agent spécial le serveur LAPI à partir de maintenant.

Une autre caractéristique intéressante est que la remédiation des attaques n’a plus lieu sur le même serveur que la détection, mais est réalisée à l’aide de bouncers. Ces derniers s’appuient sur l’API HTTP REST servie par le serveur LAPI.

LDAP Tool Box Service Desk est une interface Web pour vérifier, débloquer et modifier les mots de passe des comptes d’un annuaire LDAP. Il est publié sous licence GPL v3.

La version 0.4 est sortie le 17 mai, les nouvelles fonctionnalités sont présentées dans la suite de la dépêche.