KeePass, ou apprendre à gérer correctement ses mots de passe

Posté par  . Édité par Ysabeau, Benoît Sibaud, Davy Defaud, Xavier Teyssier, Pierre Jarillon et audionuma. Modéré par patrick_g. Licence CC By‑SA.
52
26
nov.
2020
Sécurité

J’ai découvert KeePass par l’entremise du « store » de mon entreprise, et surtout d’un collègue qui me l’a chaudement conseillé.

Logo de KeyPass

Alors que les entreprises complexifient régulièrement la composition des mots de passe, elles mettent peu en avant la possibilité de les gérer sereinement. D’aucuns s’en sortent par des astuces mnémotechniques, d’autres avec des post‑it, des fichiers, etc. Bref, artisanalement. C’est alors que KeePass peut intervenir…

CrowdSec : la cybersécurité collaborative, open source et gratuite pour Linux

34
10
nov.
2020
Sécurité

CrowdSec est un nouveau projet de sécurité conçu pour protéger les serveurs, services, conteneurs ou machines virtuelles exposés sur Internet. Par certains aspects, c’est un descendant de Fail2Ban, projet né il y a seize ans. Cependant, il propose une approche plus moderne, collaborative et ses propres fondamentaux techniques afin de répondre aux contextes modernes. L’outil est open source (sous licence MIT) et gratuit, disponible pour GNU/Linux (macOS et Windows figurent sur la feuille de route) car notre but est de rendre la sécurité accessible au plus grand nombre.

CrowdSec, écrit en Golang, est un moteur d’automatisation de la sécurité, qui repose à la fois sur le comportement et sur la réputation des adresses IP. Le logiciel détecte localement les comportements, gère les menaces et collabore également au niveau mondial avec son réseau d’utilisateurs en partageant les adresses IP détectées. Ceci permet alors à chacun de les bloquer de manière préventive. L’objectif est de bâtir une immense base de données de réputation IP et d’en garantir un usage gratuit à ceux participant à son enrichissement.

Documentation complète du projet ici.

Authentification et identité numérique en France

Posté par  . Édité par theojouedubanjo, Davy Defaud, Benoît Sibaud, Ysabeau, TintinL et Yves Bourguignon. Modéré par Davy Defaud. Licence CC By‑SA.
Étiquettes :
35
23
août
2020
Sécurité

L’identité numérique est un sujet qui a récemment été mis dans les priorités principales de la France par un groupe d’expert dans une tribune de presse. Quel défi l’État français devra relever pour pouvoir numériser les services publics ?

À un poste frontière, on présente un passeport au douanier. Celui‑ci a plusieurs moyens pour vérifier que le passeport est authentique (créé par l’État français), il vérifie ensuite notre visage. Avec ces informations, il en déduit que l’identité écrite dans le passeport est la vôtre.

L’identité numérique permet de faire toutes les démarches légales en ligne sans devoir se déplacer et de le faire de façon sécurisée.
On peut résumer les défis ainsi : ne pas pouvoir lier un compte Internet Tartempion, en se faisant passer pour M. Macron, pour voir ses fiches de paie, de préférence sans intervention humaine et sans ficher tout le monde.

On identifie une personne avec son nom. Mais il existe des homonymes, on utilise donc le nom complet (tous les prénoms en France), sa date et son lieu de naissance. On identifie ainsi une personne de façon unique. On voit parfois l’ajout de l’adresse actuelle, mais cette information a le mauvais goût de pouvoir changer. Le numéro français INSEE (numéro de Sécurité Sociale) est une donnée unique mais est pourtant peu utilisée directement [N. D. M. : historiquement, la polémique autour de SAFARI sur la généralisation de ce numéro a conduit à la création de la Commission nationale de l’informatique et des libertés (CNIL)].

Cela se complique, quand il faut prouver son identité, « s’authentifier » : auprès de sa banque ou des impôts par exemple.

Il existe trois façons de base de le faire : posséder quelque chose, être quelque chose, ou connaître quelque chose.

À la découverte de l’écosystème Mooltipass

40
2
août
2020
Sécurité

Le projet open source Mooltipass a été lancé il y a maintenant sept ans, avec pour but d’offrir une solution hors ligne de stockage de noms d’utilisateur et mots de passe, de petits fichiers et de clefs SSH. Au contraire des solutions similaires existantes sur ordinateurs et téléphones, le Mooltipass est un élément dédié qui effectue seulement les opérations de sécurité. Composé d’extensions navigateur (Chrome, Firefox et Opera), d’un logiciel de gestion de bases de données multi‑plate‑forme et d’un appareil dédié branché en USB ou Bluetooth, nous vous faisons découvrir le fruit de sept ans de travail de contributeurs non rémunérés.

Mooltipass Mini BLE

SELKS 6 : mise à jour de la distribution basée sur Suricata

Posté par  (site Web personnel) . Édité par Davy Defaud, Xavier Teyssier et Ysabeau. Modéré par Ysabeau. Licence CC By‑SA.
25
24
juin
2020
Sécurité

SELKS 6 a été publié par Stamus Networks. Cette nouvelle version de la distribution mettant Suricata au cœur de l’analyse réseau orientée sécurité arrive un peu moins d’un an après la version 5.0. Au programme de la version 6, une mise à jour des logiciels intégrés, avec Suricata en version 6.0-git et Elasticsearch en version 7 et une interface Web mise à jour.

Scirius

SELKS est une distribution autonome (live) et installable qui fournit une solution clef en main pour analyser le trafic réseau et détecter les menaces. Le mode de fonctionnement principal est en passif (détection d’intrusion), mais il est également possible de modifier la configuration pour en faire un système de prévention d’intrusion (IPS).

Le code source de SELKS est disponible sous licence GPL v3.

Utilisation d’un TPM pour l’authentification SSH

Posté par  (site Web personnel) . Édité par Davy Defaud, Benoît Sibaud et Ysabeau. Modéré par Ysabeau. Licence CC By‑SA.
Étiquettes :
35
25
mai
2020
Sécurité

Après son « Bien démarrer avec GnuPG », gouttegd nous livre un nouveau journal sur l’utilisation du Trusted Platform Module (TPM) pour s’authentifier auprès d’un serveur SSH. Ce journal a été converti en dépêche et enrichi des premiers commentaires.

Bien démarrer avec GnuPG

Posté par  (site Web personnel) . Édité par Davy Defaud, Benoît Sibaud, patrick_g et Ysabeau. Modéré par Ysabeau. Licence CC By‑SA.
Étiquettes :
58
23
mai
2020
Sécurité

N. D. M. : la dépêche est tirée du journal personnel de l’auteur, complétée des premiers commentaires suscités.

Suite à une diatribe de ma part à l’encontre de la mauvaise qualité de beaucoup de tutoriels consacrés à GnuPG, on m’a suggéré de créer le mien. Alors, without further ado, le voici.

SHA-mbles : une collision à préfixes choisis sur SHA-1

72
23
avr.
2020
Sécurité

Au début de l’année 2020, alors que l’on commençait à entendre parler de quelques cas de pneumonie atypique dans la ville chinoise de Wuhan, deux chercheurs français, Gaëtan Leurent (Inria) et Thomas Peyrin (Nanyang Technological University, Singapour), publiaient la première collision à préfixes choisis sur l’algorithme de condensation cryptographique SHA-1, et démontraient la faisabilité d’une attaque contre la toile de confiance OpenPGP.

L’attaque, dénommée SHA-mbles (« chaos », « désordre »), est de toute beauté et son étude fournit une excellente occasion, en cette période de confinement, de se pencher sur diverses notions comme le format des certifications OpenPGP ou le fonctionnement des algorithmes de condensation.

LDAP Tool Box : création du projet Service Desk

Posté par  (site Web personnel) . Édité par Davy Defaud. Modéré par Ysabeau. Licence CC By‑SA.
Étiquettes :
33
2
avr.
2020
Sécurité

Le projet LDAP Tool Box regroupe de nombreux outils pour l’installation, l’administration et l’utilisation des annuaires LDAP, et en particulier OpenLDAP.

Après Self Service Password, interface de changement de mot de passe, White Pages, permettant de rechercher et afficher les utilisateurs et groupes, voici le dernier né de la famille : Service Desk.

Capture d’écran de Service Desk

Service Desk est une interface Web pour vérifier, débloquer et modifier les mots de passe des comptes d’un annuaire LDAP. Il est publié sous licence GPL v3.

Les mots de passe des premiers développeurs‐utilisateurs d’UNIX, notamment celui de Ken Thompson

38
14
oct.
2019
Sécurité

En 2014, une ingénieure, Leah Neukirchen, trouve un fichier /etc/passwd archivé avec du vieux code source BSD et décide de déchiffrer les mots de passe des premiers développeurs‐utilisateurs d’UNIX.

Assez facilement, les mots de passe sont trouvés les uns après les autres. Je ne sais quels étaient vos premiers mots de passe, mais, personnellement, j’utilisais le même sur beaucoup de mes comptes et c’était soit des mots de la langue française faciles à taper, soit le nom de ma copine.

Ces tout premiers développeurs‐utilisateurs d’UNIX étaient‐ils plus inventifs ? À vous d’en juger, les voici en deuxième partie.

CryptPad version 3.3 — nouvelle fonctionnalité « teams »

Posté par  . Édité par Ysabeau, ZeroHeure, Benoît Sibaud, Davy Defaud et Pierre Jarillon. Modéré par Xavier Claude. Licence CC By‑SA.
Étiquettes :
49
12
oct.
2019
Sécurité

CryptPad, le logiciel libre de collaboration chiffré vient de sortir en version 3.3 avec une nouveauté importante permettant de créer des « équipes » et de partager un drive (partage de fichiers) et un chat chiffré avec un groupe d’utilisateurs. Cette fonctionnalité a été financée par le fonds PET (Privacy and Trust Enhancing Technologies) de NLNet pour la Communauté européenne.
Logo de CryptPad

Le logiciel CryptPad, permet d’éditer en temps réel et de partager des documents chiffrés de bout en bout, les administrateurs du serveur ne pouvant pas lire les contenus partagés.

Sortie de Keycloak 7.0

32
27
août
2019
Sécurité

Keycloak est sorti le 24 août dans la version 7.0.

Keycloak est un fournisseur d’identités (Identity Provider ou IdP) moderne, écrit en Java et compatible par défaut avec les protocoles de fédération d’identités SAML v2 et OpenID Connect (OIDC)/OAuth2. Il est sous licence Apache et est porté par Red Hat.

Un concours pour donner une nouvelle image de la cybersécurité ?

Posté par  (site Web personnel) . Édité par Davy Defaud et Ysabeau. Modéré par Nils Ratusznik. Licence CC By‑SA.
18
7
août
2019
Sécurité

La cybersécurité est un monde parallèle, peuplé de cybermagiciens tapant avec des gants ou des moufles, dans le noir, avec un sweat‐shirt à capuche baissée jusqu’aux yeux, ayant parfois un masque de Guy Fawkes ou des lunettes de soleil, et tapant au mieux des 0 et des 1, au pire du texte vert tendance Matrix. C’est du moins l’imaginaire vendu en général par la presse, spécialisée ou non, mais aussi par les banques d’images.

La société OpenIDEO (en partenariat avec la Hewlett Foundation) a lancé un concours (du 25 juillet au 16 août) pour réinventer ces visuels illustratifs d’articles de presse, pour qu’ils soient moins irréalistes (j’aurais bien dit plus réalistes, mais vu le niveau de fumette…).

Le concours est ouvert à dix‐sept pays : Afrique du Sud, Allemagne, Argentine, Australie, Brésil, Canada (hors Québec), Chine, Colombie, Espagne, États‐Unis d’Amérique, France, Inde, Japon, Mexique, Pays‐Bas, Pérou et Royaume‐Uni.

Les photos sont publiées sous CC By 4.0 (si et seulement si la case est cochée dans le formulaire de participation, en fait). Vingt‐cinq personnes recevront un mentorat par un expert en sécurité informatique, et 500 US$. Jusqu’à cinq gagnants recevront 7 000 US$ chacun. Les documents de participation sont disponibles (notamment) en français.


Note : je ne suis pas lié à OpenIDEO ni payé par eux ni rien ; j’ai juste du temps à tuer dans un train, alors je rédige une dépêche ayant un rapport avec le Libre.

PacketFence version 9 est disponible

Posté par  (site Web personnel) . Édité par bubar, Davy Defaud, BAud et ZeroHeure. Modéré par Pierre Jarillon. Licence CC By‑SA.
30
26
mai
2019
Sécurité

PacketFence est une solution de conformité réseau (NAC) et de contrôle d’accès aux réseaux, supportée et reconnue. Le logiciel est publié sous licence GPL v2. PacketFence procure une liste impressionnante de fonctionnalités et de gestion d’équipements réseau. PacketFence peut être utilisé pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Logo de PacketFence

Inverse a annoncé le 15 mai 2019 la sortie de la version 9 de PacketFence, puis de sa première mise à jour, v9.0.1 vendredi dernier. Cette dépêche propose de passer en revue la liste des nouveautés de cette version majeure.

Le Printemps de l’Innovation Open Source revient pour une cinquième édition

Posté par  . Édité par Florent Zara, Davy Defaud, Nÿco, Ysabeau et ZeroHeure. Modéré par Nÿco. Licence CC By‑SA.
13
21
mai
2019
Sécurité

Le Printemps de l’Innovation Open Source, dit OSIS, intègre plusieurs rendez‐vous en région parisienne pour mettre en valeur l’excellence scientifique et technologique du Libre. Il a vocation à montrer le travail des équipes de chercheurs, mais aussi la R & D des PME en logiciel libre. C’est fait en présentant des innovations sur les thèmes porteurs actuels (Internet des objets, informatique en nuage, qualité), dont le succès et la visibilité se veulent mondiaux.

Bannière OSIS 2019

Le Hub Open Source du Pôle Systematic (anciennement GTLL) et l’Irill, à l’initiative de cette série de conférences thématiques, vous donnent trois rendez‐vous détaillés ci‐dessous, en plus de l’OW2con’19 qui s’intègre naturellement à ce printemps de l’innovation.

Pass  the SALT 2019 : le programme est en ligne et la billetterie arrive !

Posté par  (site Web personnel) . Édité par Pierre Jarillon, Davy Defaud, palm123, Xavier Claude et ZeroHeure. Modéré par Pierre Jarillon. Licence CC By‑SA.
Étiquettes :
16
3
mai
2019
Sécurité

La seconde édition de Pass the SALT, conférence dédiée à la sécurité et aux logiciels libres (ou aux protocoles et formats ouverts), a publié son programme !

La billetterie (gratuite) sera ouverte autour de la mi‐mai.

Pass the SALT se déroule à l’école Polytech de Lille du 1er au 3 juillet 2019. Son accès est gratuit. Les interventions se font en anglais afin de permettre la venue la plus confortable possible aux conférenciers et participants non francophones (le Benelux et l’Allemagne ne sont pas loin !).

Parution d’OpenSSH 8.0

Posté par  (site Web personnel) . Édité par ZeroHeure, Davy Defaud, Nÿco, Vroum, palm123, M5oul et Florent Zara. Modéré par ZeroHeure. Licence CC By‑SA.
71
24
avr.
2019
Sécurité

OpenSSH 8.0 est disponible depuis le 17 avril 2019. Ce projet, démarré par des développeurs d’OpenBSD, vise à proposer une alternative libre, sécurisée et moderne à des logiciels d’administration distante comme telnet et rlogin. Le but est d’ailleurs atteint, puisque ces deux derniers logiciels ont été relégués au rang d’antiquités depuis bien des années maintenant.

Logo d’OpenSSH

Vous trouverez en deuxième partie de cet article une sélection des changements apportés, reprenant grandement les notes de version.

Sortie de Wireshark 3.0.0

Posté par  (site Web personnel) . Édité par Davy Defaud, ZeroHeure et palm123. Modéré par Xavier Teyssier. Licence CC By‑SA.
Étiquettes :
56
10
mar.
2019
Sécurité

Le 28 février 2019 est parue la version 3.0.0 de Wireshark, un logiciel libre d’analyse de paquets réseau (depuis plus de 20 ans). C’est un outil précieux pour apprendre, comprendre, analyser et déboguer des problèmes réseau ou protocolaires.

Logo

Pass the SALT 2019 : sécurité et logiciels libres reviennent à Lille

Posté par  (site Web personnel) . Édité par Davy Defaud, ZeroHeure, Nÿco et Benoît Sibaud. Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
16
6
fév.
2019
Sécurité

Après une première édition réussie en juillet dernier, Pass the SALT, conférence dédiée à la sécurité et aux logiciels libres, revient à l’école Polytech Lille du 1er au 3 juillet 2019.

Son accès est gratuit et les conférences seront données en langue anglaise afin de permettre la participation la plus ouverte et accessible possible aux conférenciers et conférencières étrangers.

Pass the SALT a pour but de favoriser l’exposition et la coopération autour des logiciels libres dans le domaine de la sécurité. En 2018, elle a accueilli vingt‐huit interventions et cinq ateliers. Ces interventions ont couvert neuf thématiques différentes comme le reverse, la sécurité réseau, la réponse à incident, l’offensif ou la sécurité Web.

Logo Pass the salt 2019

L’appel à soumissions est ouvert jusqu’au 31 mars 2019. Le site pour déposer votre proposition d’intervention (présentation de 35 min, 20 min ou atelier) est ici : https://cfp.pass-the-salt.org/.

N’hésitez pas à soumettre, la relecture des soumissions est bienveillante et nous sommes disponibles pour donner conseils et avis. :-)

Et si vous êtes une entreprise, vous pouvez soutenir l’événement en le sponsorisant. Merci par avance !

Toulouse Hacking Convention : 8 mars 2019

Posté par  (site Web personnel) . Édité par BAud, Davy Defaud et bubar. Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
11
1
fév.
2019
Sécurité

Le 8 mars 2019, l’ENSEEIHT de Toulouse accueillera la troisième édition de la Toulouse Hacking Convention. Il s’agit d’une journée de conférences tournant autour de la sécurité, dans une ambiance conviviale et avec des membres de la communauté du Libre. :)

Il s’agit de la troisième édition, les deux précédentes ont été un franc succès avec autour de cent‐cinquante participants. Contrairement aux années passées, il n’y aura en revanche pas de CTF cette année (manque de bénévoles motivés). Cette année, nous accueillerons exclusivement des conférenciers francophones. Les sujets iront de la modification de micrologiciel de clavier à la sécurité informatique pour les ONG et les journalistes. Le programme complet est disponible sur le site Web.

Les vidéos des conférences de l’année dernière sont disponibles sur YouTube (nous n’avons pas encore de PeerTube…)

Inscrivez‐vous rapidement, les inscriptions vont fermer d’ici peu !

En janvier 2019, l’Union européenne ouvre la chasse aux failles dans les logiciels libres

Posté par  . Édité par Pierre Jarillon et Davy Defaud. Modéré par patrick_g. Licence CC By‑SA.
43
24
jan.
2019
Sécurité

EU-FOSSA,ou European Union Free and Open Source Software Auditing, est un projet initié par les eurodéputés Max Anderson et Julia Reda — après la découverte de la faille de sécurité Heartbleed et porté par la Commission européenne depuis 2015. En 2017, le projet a été reconduit pour trois ans sous le nom de EU-FOSSA 2 et, après un premier Bug Bounty en novembre 2017, une prime pour la détection de failles de sécurité pour le lecteur média libre VLC, la Commission a annoncé en janvier 2019 quinze nouvelles primes pour des logiciels libres utilisés par les institutions européennes.

Julia Reda explique fort bien les fondements et les buts de cette action européenne…

🎦 Présentation de ShinobiCCTV Community Edition 👁️

19
31
déc.
2018
Sécurité

ShinobiCCTV Community Edition est un serveur de vidéo‐surveillance multi‐plate‐forme, dont les finitions se situent quelque part entre ZoneMinder et Kerberos.io.
Voyons ensemble ses particularités, ses avantages et inconvénients.

Tableau de bord de Shinobi 2017

Sortie de LemonLDAP::NG 2.0

Posté par  (site Web personnel) . Édité par yadd, ZeroHeure, bubar, Xavier Teyssier, paucur, Davy Defaud et M5oul. Modéré par Xavier Teyssier. Licence CC By‑SA.
Étiquettes :
34
6
déc.
2018
Sécurité

LemonLDAP::NG est un logiciel libre d’authentification unique pour applications Web (WebSSO), de contrôle d’accès et de fédération d’identités, écrit en Perl et publié sous licence GPL. Cette nouvelle version majeure apporte de grands changements au logiciel comme le prise en charge de Node.js, des seconds facteurs d’authentification (OTP, U2F, Yubikey…), un mécanisme de greffons, la protection de micro‐services et bien d’autres qui seront développés dans la suite de cet article.
logo LemonLDAP::NG

PacketFence version 8.2 est disponible

Posté par  (site Web personnel) . Édité par bubar, Davy Defaud et Benoît Sibaud. Modéré par bubar. Licence CC By‑SA.
21
12
nov.
2018
Sécurité

Inverse annonce la sortie de la version 8.2 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. Procurant une liste impressionnante de fonctionnalités, telles un portail captif pour l’enregistrement ou la remédiation, une gestion centralisée des réseaux filaires et sans fil, le prise en charge du 802.1X, l’isolation niveau 2 des composantes identifiées comme problématiques, l’intégration aux détecteurs d’intrusions tels Snort et Suricata, la reconnaissance d’appareils avec Fingerbank et plus encore.

PacketFence peut être utilisé pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Bien qu’étant une version « mineure », cette version 8.2 est une mise à jour importante, qui apporte de nombreux ajouts et de nombreuses améliorations, listés dans la suite de cette dépêche.

Logo de PacketFence

OpenSSH 7.9

Posté par  (site Web personnel) . Édité par Davy Defaud, Benoît Sibaud, palm123 et theojouedubanjo. Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
62
25
oct.
2018
Sécurité

OpenSSH 7.9 est disponible depuis le 19 octobre 2018. Ce projet, démarré par des développeurs d’OpenBSD, vise à proposer une alternative libre, sécurisée et moderne à des logiciels d’administration distante comme telnet et rlogin. Le but est d’ailleurs atteint, puisque ces deux derniers logiciels ont été relégués au rang d’antiquités depuis bien des années maintenant.

Logo d’OpenSSH

Vous trouverez en deuxième partie de cet article une sélection des changements apportés, reprenant grandement les notes de version.