Les mots de passe des premiers développeurs‐utilisateurs d’UNIX, notamment celui de Ken Thompson

37
14
oct.
2019
Sécurité

En 2014, une ingénieure, Leah Neukirchen, trouve un fichier /etc/passwd archivé avec du vieux code source BSD et décide de déchiffrer les mots de passe des premiers développeurs‐utilisateurs d’UNIX.

Assez facilement, les mots de passe sont trouvés les uns après les autres. Je ne sais quels étaient vos premiers mots de passe, mais, personnellement, j’utilisais le même sur beaucoup de mes comptes et c’était soit des mots de la langue française faciles à taper, soit le nom de ma copine.

Ces tout premiers développeurs‐utilisateurs d’UNIX étaient‐ils plus inventifs ? À vous d’en juger, les voici en deuxième partie.

CryptPad version 3.3 - Nouvelle fonctionnalité "teams"

Posté par . Édité par Ysabeau, ZeroHeure, Benoît Sibaud, Pierre Jarillon et Davy Defaud. Modéré par Xavier Claude. Licence CC by-sa.
Tags :
41
12
oct.
2019
Sécurité

CryptPad, le logiciel libre de collaboration chiffré vient de sortir en version 3.3 avec une nouveauté importante permettant de créer des « équipes » et de partager un drive (partage de fichiers) et un chat chiffré avec un groupe d’utilisateurs. Cette fonctionnalité a été financée par le fonds PET (Privacy and Trust Enhancing Technologies) de NLNet pour la Communauté européenne.
Logo de CryptPad

Le logiciel CryptPad, permet d’éditer en temps réel et de partager des documents chiffrés de bout en bout, les administrateurs du serveur ne pouvant pas lire les contenus partagés.

Sortie de Keycloak 7.0

32
27
août
2019
Sécurité

Keycloak est sorti le 24 août dans la version 7.0.

Keycloak est un fournisseur d’identités (Identity Provider ou IdP) moderne, écrit en Java et compatible par défaut avec les protocoles de fédération d’identités SAML v2 et OpenID Connect (OIDC)/OAuth2. Il est sous licence Apache et est porté par Red Hat.

Un concours pour donner une nouvelle image de la cybersécurité ?

18
7
août
2019
Sécurité

La cybersécurité est un monde parallèle, peuplé de cybermagiciens tapant avec des gants ou des moufles, dans le noir, avec un sweat‐shirt à capuche baissée jusqu’aux yeux, ayant parfois un masque de Guy Fawkes ou des lunettes de soleil, et tapant au mieux des 0 et des 1, au pire du texte vert tendance Matrix. C’est du moins l’imaginaire vendu en général par la presse, spécialisée ou non, mais aussi par les banques d’images.

La société OpenIDEO (en partenariat avec la Hewlett Foundation) a lancé un concours (du 25 juillet au 16 août) pour réinventer ces visuels illustratifs d’articles de presse, pour qu’ils soient moins irréalistes (j’aurais bien dit plus réalistes, mais vu le niveau de fumette…).

Le concours est ouvert à dix‐sept pays : Afrique du Sud, Allemagne, Argentine, Australie, Brésil, Canada (hors Québec), Chine, Colombie, Espagne, États‐Unis d’Amérique, France, Inde, Japon, Mexique, Pays‐Bas, Pérou et Royaume‐Uni.

Les photos sont publiées sous CC By 4.0 (si et seulement si la case est cochée dans le formulaire de participation, en fait). Vingt‐cinq personnes recevront un mentorat par un expert en sécurité informatique, et 500 US$. Jusqu’à cinq gagnants recevront 7 000 US$ chacun. Les documents de participation sont disponibles (notamment) en français.


Note : je ne suis pas lié à OpenIDEO ni payé par eux ni rien ; j’ai juste du temps à tuer dans un train, alors je rédige une dépêche ayant un rapport avec le Libre.

PacketFence version 9 est disponible

Posté par (page perso) . Édité par tankey, Davy Defaud, BAud et ZeroHeure. Modéré par Pierre Jarillon. Licence CC by-sa.
30
26
mai
2019
Sécurité

PacketFence est une solution de conformité réseau (NAC) et de contrôle d’accès aux réseaux, supportée et reconnue. Le logiciel est publié sous licence GPL v2. PacketFence procure une liste impressionnante de fonctionnalités et de gestion d’équipements réseau. PacketFence peut être utilisé pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Logo de PacketFence

Inverse a annoncé le 15 mai 2019 la sortie de la version 9 de PacketFence, puis de sa première mise à jour, v9.0.1 vendredi dernier. Cette dépêche propose de passer en revue la liste des nouveautés de cette version majeure.

Le Printemps de l’Innovation Open Source revient pour une cinquième édition

Posté par . Édité par Florent Zara, Davy Defaud, Nÿco, Ysabeau et ZeroHeure. Modéré par Nÿco. Licence CC by-sa.
13
21
mai
2019
Sécurité

Le Printemps de l’Innovation Open Source, dit OSIS, intègre plusieurs rendez‐vous en région parisienne pour mettre en valeur l’excellence scientifique et technologique du Libre. Il a vocation à montrer le travail des équipes de chercheurs, mais aussi la R & D des PME en logiciel libre. C’est fait en présentant des innovations sur les thèmes porteurs actuels (Internet des objets, informatique en nuage, qualité), dont le succès et la visibilité se veulent mondiaux.

Bannière OSIS 2019

Le Hub Open Source du Pôle Systematic (anciennement GTLL) et l’Irill, à l’initiative de cette série de conférences thématiques, vous donnent trois rendez‐vous détaillés ci‐dessous, en plus de l’OW2con’19 qui s’intègre naturellement à ce printemps de l’innovation.

Pass  the SALT 2019 : le programme est en ligne et la billetterie arrive !

Posté par (page perso) . Édité par Pierre Jarillon, Davy Defaud, palm123, Xavier Claude et ZeroHeure. Modéré par Pierre Jarillon. Licence CC by-sa.
Tags :
16
3
mai
2019
Sécurité

La seconde édition de Pass the SALT, conférence dédiée à la sécurité et aux logiciels libres (ou aux protocoles et formats ouverts), a publié son programme !

La billetterie (gratuite) sera ouverte autour de la mi‐mai.

Pass the SALT se déroule à l’école Polytech de Lille du 1er au 3 juillet 2019. Son accès est gratuit. Les interventions se font en anglais afin de permettre la venue la plus confortable possible aux conférenciers et participants non francophones (le Benelux et l’Allemagne ne sont pas loin !).

Parution d’OpenSSH 8.0

Posté par (page perso) . Édité par ZeroHeure, Davy Defaud, Nÿco, Vroum, palm123, M5oul et Florent Zara. Modéré par ZeroHeure. Licence CC by-sa.
70
24
avr.
2019
Sécurité

OpenSSH 8.0 est disponible depuis le 17 avril 2019. Ce projet, démarré par des développeurs d’OpenBSD, vise à proposer une alternative libre, sécurisée et moderne à des logiciels d’administration distante comme telnet et rlogin. Le but est d’ailleurs atteint, puisque ces deux derniers logiciels ont été relégués au rang d’antiquités depuis bien des années maintenant.

Logo d’OpenSSH

Vous trouverez en deuxième partie de cet article une sélection des changements apportés, reprenant grandement les notes de version.

Sortie de Wireshark 3.0.0

Posté par (page perso) . Édité par Davy Defaud, ZeroHeure et palm123. Modéré par Xavier Teyssier. Licence CC by-sa.
Tags :
56
10
mar.
2019
Sécurité

Le 28 février 2019 est parue la version 3.0.0 de Wireshark, un logiciel libre d’analyse de paquets réseau (depuis plus de 20 ans). C’est un outil précieux pour apprendre, comprendre, analyser et déboguer des problèmes réseau ou protocolaires.

Logo

Pass the SALT 2019 : sécurité et logiciels libres reviennent à Lille

Posté par (page perso) . Édité par Davy Defaud, ZeroHeure, Nÿco et Benoît Sibaud. Modéré par ZeroHeure. Licence CC by-sa.
Tags :
16
6
fév.
2019
Sécurité

Après une première édition réussie en juillet dernier, Pass the SALT, conférence dédiée à la sécurité et aux logiciels libres, revient à l’école Polytech Lille du 1er au 3 juillet 2019.

Son accès est gratuit et les conférences seront données en langue anglaise afin de permettre la participation la plus ouverte et accessible possible aux conférenciers et conférencières étrangers.

Pass the SALT a pour but de favoriser l’exposition et la coopération autour des logiciels libres dans le domaine de la sécurité. En 2018, elle a accueilli vingt‐huit interventions et cinq ateliers. Ces interventions ont couvert neuf thématiques différentes comme le reverse, la sécurité réseau, la réponse à incident, l’offensif ou la sécurité Web.

Logo Pass the salt 2019

L’appel à soumissions est ouvert jusqu’au 31 mars 2019. Le site pour déposer votre proposition d’intervention (présentation de 35 min, 20 min ou atelier) est ici : https://cfp.pass-the-salt.org/.

N’hésitez pas à soumettre, la relecture des soumissions est bienveillante et nous sommes disponibles pour donner conseils et avis. :-)

Et si vous êtes une entreprise, vous pouvez soutenir l’événement en le sponsorisant. Merci par avance !

Toulouse Hacking Convention : 8 mars 2019

Posté par (page perso) . Édité par BAud, Davy Defaud et tankey. Modéré par ZeroHeure. Licence CC by-sa.
11
1
fév.
2019
Sécurité

Le 8 mars 2019, l’ENSEEIHT de Toulouse accueillera la troisième édition de la Toulouse Hacking Convention. Il s’agit d’une journée de conférences tournant autour de la sécurité, dans une ambiance conviviale et avec des membres de la communauté du Libre. :)

Il s’agit de la troisième édition, les deux précédentes ont été un franc succès avec autour de cent‐cinquante participants. Contrairement aux années passées, il n’y aura en revanche pas de CTF cette année (manque de bénévoles motivés). Cette année, nous accueillerons exclusivement des conférenciers francophones. Les sujets iront de la modification de micrologiciel de clavier à la sécurité informatique pour les ONG et les journalistes. Le programme complet est disponible sur le site Web.

Les vidéos des conférences de l’année dernière sont disponibles sur YouTube (nous n’avons pas encore de PeerTube…)

Inscrivez‐vous rapidement, les inscriptions vont fermer d’ici peu !

En janvier 2019, l’Union européenne ouvre la chasse aux failles dans les logiciels libres

Posté par . Édité par Pierre Jarillon et Davy Defaud. Modéré par patrick_g. Licence CC by-sa.
43
24
jan.
2019
Sécurité

EU-FOSSA,ou European Union Free and Open Source Software Auditing, est un projet initié par les eurodéputés Max Anderson et Julia Reda — après la découverte de la faille de sécurité Heartbleed et porté par la Commission européenne depuis 2015. En 2017, le projet a été reconduit pour trois ans sous le nom de EU-FOSSA 2 et, après un premier Bug Bounty en novembre 2017, une prime pour la détection de failles de sécurité pour le lecteur média libre VLC, la Commission a annoncé en janvier 2019 quinze nouvelles primes pour des logiciels libres utilisés par les institutions européennes.

Julia Reda explique fort bien les fondements et les buts de cette action européenne…

🎦 Présentation de ShinobiCCTV Community Edition 👁️

19
31
déc.
2018
Sécurité

ShinobiCCTV Community Edition est un serveur de vidéo‐surveillance multi‐plate‐forme, dont les finitions se situent quelque part entre ZoneMinder et Kerberos.io.
Voyons ensemble ses particularités, ses avantages et inconvénients.

Tableau de bord de Shinobi 2017

Sortie de LemonLDAP::NG 2.0

Posté par (page perso) . Édité par yadd, ZeroHeure, tankey, Xavier Teyssier, paucur, Davy Defaud et M5oul. Modéré par Xavier Teyssier. Licence CC by-sa.
34
6
déc.
2018
Sécurité

LemonLDAP::NG est un logiciel libre d’authentification unique pour applications Web (WebSSO), de contrôle d’accès et de fédération d’identités, écrit en Perl et publié sous licence GPL. Cette nouvelle version majeure apporte de grands changements au logiciel comme le prise en charge de Node.js, des seconds facteurs d’authentification (OTP, U2F, Yubikey…), un mécanisme de greffons, la protection de micro‐services et bien d’autres qui seront développés dans la suite de cet article.
logo LemonLDAP::NG

PacketFence version 8.2 est disponible

Posté par (page perso) . Édité par tankey, Davy Defaud et Benoît Sibaud. Modéré par tankey. Licence CC by-sa.
21
12
nov.
2018
Sécurité

Inverse annonce la sortie de la version 8.2 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. Procurant une liste impressionnante de fonctionnalités, telles un portail captif pour l’enregistrement ou la remédiation, une gestion centralisée des réseaux filaires et sans fil, le prise en charge du 802.1X, l’isolation niveau 2 des composantes identifiées comme problématiques, l’intégration aux détecteurs d’intrusions tels Snort et Suricata, la reconnaissance d’appareils avec Fingerbank et plus encore.

PacketFence peut être utilisé pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Bien qu’étant une version « mineure », cette version 8.2 est une mise à jour importante, qui apporte de nombreux ajouts et de nombreuses améliorations, listés dans la suite de cette dépêche.

Logo de PacketFence

OpenSSH 7.9

Posté par (page perso) . Édité par Davy Defaud, Benoît Sibaud, palm123 et theojouedubanjo. Modéré par ZeroHeure. Licence CC by-sa.
62
25
oct.
2018
Sécurité

OpenSSH 7.9 est disponible depuis le 19 octobre 2018. Ce projet, démarré par des développeurs d’OpenBSD, vise à proposer une alternative libre, sécurisée et moderne à des logiciels d’administration distante comme telnet et rlogin. Le but est d’ailleurs atteint, puisque ces deux derniers logiciels ont été relégués au rang d’antiquités depuis bien des années maintenant.

Logo d’OpenSSH

Vous trouverez en deuxième partie de cet article une sélection des changements apportés, reprenant grandement les notes de version.

mat2 0.4.0

Posté par (page perso) . Édité par Nils Ratusznik, palm123, ZeroHeure, Davy Defaud et tankey. Modéré par ZeroHeure. Licence CC by-sa.
72
11
oct.
2018
Sécurité

mat2 est la nouvelle itération du défunt MAT, une suite logicielle pour nettoyer les métadonnées d’une multitude de formats de fichiers.

La récente sortie de la version 0.4.0 (3 octobre 2018) est l’occasion de faire découvrir ce projet, en deuxième partie de dépêche.

Logo de mat2

Snuffleupagus version 0.3.0 Dentalium elephantinum

Posté par (page perso) . Édité par Nils Ratusznik, k3y, LucieS, Davy Defaud, BAud et Benoît Sibaud. Modéré par tankey. Licence CC by-sa.
43
21
juil.
2018
Sécurité

Snuffleupagus est un module pour PHP (version 7.0 et supérieures) qui a pour but d’augmenter drastiquement la difficulté des attaques contre les sites Web. Cela s’obtient, entre autres, via la désactivation de fonctions et de classes, et en fournissant un système de correctifs virtuels, permettant à l’administrateur de corriger des vulnérabilités spécifiques sans modifier le code PHP.

La version 0.3.0, disponible depuis le 18 juillet 2018, est un excellent prétexte pour parler de ce projet sur LinuxFr.org, avec des détails juteux en deuxième partie de dépêche.

PiaLab version 1.2, l'accompagnement dans le RGPD

24
18
juil.
2018
Sécurité

Dans le cadre du RGPD, la CNIL fournit un outil open source nommé PIA pour faciliter et accompagner la conduite d’une analyse d’impact relative à la protection des données. En simplifiant beaucoup, ces analyses d’impact sont à réaliser lorsque l’on exécute des traitements sur des données à caractère personnel afin d’évaluer les risques que ces traitements peuvent provoquer.

PiaLab, un projet issu d’une divergence (« fork ») du code source de PIA de la CNIL, revisité au point qu’il finit par ne ressembler à son parent que visuellement, est sorti en version 1.2. Après une première version 1.0 sortie il y a un mois, la divergence avec PIA de la CNIL se fait maintenant largement ressentir : l’infrastructure (back‐end) est sous Symfony 4, la partie frontale (« front‐end ») a fait l’objet d’une migration sous Angular 5.2 et réécrit à 75 %, des tests automatisés ont été ajoutés… Le projet n’attend plus que de voir la CNIL fusionner le code de PiaLab dans PIA… Qui sait ?

PiaLab en version 1.2 (et en particulier par rapport à PIA), c’est une gestion de profils utilisateurs (DPD, responsable de traitement, etc.), une implémentation des flux de travaux (« workflow ») PIA / ISO 29134, l’utilisation de modèles de traitement pour faciliter le démarrage de la mise en conformité, l’intégration de fonctionnalités spécifiques multi‐structures ou de DPD externalisés‐mutualisés, la cartographie des traitements et leur organisation par catégorie d’activités de traitement.

En bref, si PiaLab atteint son but, il deviendra l’outil indispensable de votre DPD, dès que vous en mesurerez les potentiels. Structuration de la mise en conformité alignée sur les recommandations CNIL, robustesse, souplesse, évolutions régulières, couverture fonctionnelle qui avance par secteur en allant au fond de chaque question, une feuille de route lisible… Pour le vérifier, une seule solution : essayez PiaLab !

Sortie de LDAP Tool Box Self Service Password 1.3

Posté par (page perso) . Édité par Davy Defaud et tankey. Modéré par ZeroHeure. Licence CC by-sa.
22
12
juil.
2018
Sécurité

Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4, ainsi que leur clef SSH.

Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS. Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe ou à l’identifiant.

Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.3 est sortie le 10 juillet 2018.

La suite de l’article présente les changements majeurs de cette version.

Gnuk, NeuG, FST-01 : entre cryptographie et matériel libre

Posté par (page perso) . Édité par ZeroHeure, Benoît Sibaud, palm123 et Davy Defaud. Modéré par ZeroHeure. Licence CC by-sa.
50
30
juin
2018
Sécurité

Depuis quelques années, la Free Software Initiative of Japan (FSIJ, association de promotion des logiciels libres au Japon) travaille sur un ensemble de projets à la croisée des chemins entre cryptographie, informatique embarquée et matériel libre.

Ces projets sont l’œuvre de Niibe Yutaka (Gniibe ou g新部), qui, entre autres casquettes, est président de la FSIJ, coordinateur des traductions japonaises du projet GNU, développeur Debian et contributeur à GnuPG (où il travaille notamment sur la cryptographie à courbes elliptiques et la gestion des cartes à puce — deux aspects qui sont directement liés aux projets dont il va être question dans cette dépêche).

Votre serviteur avait déjà très brièvement évoqué l’existence de deux de ces projets (Gnuk et le FST-01) dans une dépêche précédente consacrée à la carte OpenPGP (dont la lecture est recommandée avant de poursuivre), mais sans donner aucun détail, ce que la présente dépêche va corriger.

Faille Lazy FPU state restore

62
21
juin
2018
Sécurité

Intel est de nouveau confronté à la découverte d’une faille, le Lazy FPU State Restore flaw.
Cette fois, seule la famille des Intel Core serait concernée.

Pass the SALT 2018 : programme et billetterie

Posté par (page perso) . Édité par ZeroHeure, Davy Defaud, palm123 et Nils Ratusznik. Modéré par ZeroHeure. Licence CC by-sa.
17
9
mai
2018
Sécurité

Pass the SALT (Security And Libre Talks) est une conférence gratuite dédiée à la sécurité et aux logiciels libres se déroulant à Lille du 2 au 4 juillet 2018. La billetterie sera ouverte le 16 mai à 10 h, 200 places (orateurs et organisateurs compris), toutes gratuites, seront disponibles.
Logo Pass the SALT
Son programme est désormais en ligne : 28 présentations pour en apprendre plus sur huit thématiques sécurité : sécurité des distributions, rétro‐ingénierie et bas niveau, sécurité réseau, sécurité Web, gestion d’accès et identité, blue team (équipe sécurité défensive), code et administration sécurisé, sécurité de l’Internet des objets et red team (équipe sécurité offensive). Cinq ateliers pour mettre les mains dans les octets de FreeIPA, Suricata et Scirius, Bro, AIL et Faup. Nous détaillons les différentes thématiques et quelques unes des présentations dans la suite de la dépêche.

RGPD et logiciels libres pour accompagner les mises en conformité

Posté par (page perso) . Édité par ZeroHeure, Davy Defaud, Nils Ratusznik et Benoît Sibaud. Modéré par Nÿco. Licence CC by-sa.
31
1
mai
2018
Sécurité

Le Règlement général sur la protection des données (RGPD, General Data Protection Regulation — GDPR —, en anglais) entre en vigueur le 25 mai 2018. C’est l’occasion pour la société civile (comme La Quadrature du Net) de pouvoir lancer des actions de groupe. C’est également l’occasion pour les groupes mondiaux amateurs de données d’expatrier hors Union européenne les données personnelles qu’ils voudront exploiter après cette date. Et c’est surtout le moment, pour toutes les entreprises et administrations européennes, de se mettre à l’heure.

La suite de la dépêche présente les nouvelles obligations et compare les deux outils qui aideront à les gérer.

PacketFence version 8 est disponible

20
30
avr.
2018
Sécurité

Inverse annonce la sortie de la version 8 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l’enregistrement ou la remédiation, une gestion centralisée des réseaux filaires et sans fil, la prise en charge du 802.1X, l’isolation niveau 2 des composantes problématiques, l’intégration aux détecteurs d’intrusions tels Snort et Suricata, la reconnaissance d’appareils avec Fingerbank et plus encore. PacketFence peut être utilisé pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.