Passbolt est un gestionnaire de mots de passe libre, sous licence AGPLv3, conçu pour l’utilisation en équipe et la collaboration. La version 4.9.0 de passbolt, baptisée B.Y.O.B, vient de sortir. Elle introduit une fonctionnalité très attendue par la communauté : la recherche par dossiers, ainsi que des améliorations majeures de performances.
Pass the SALT 2024 : 21 conférences et 9 ateliers sur la Sécurité et les Logiciels Libres
Pass the SALT est une conférence gratuite se déroulant à Lille sur deux jours et demi début juillet. Elle est dédiée à la Sécurité et aux Logiciels Libres.
Cette 6ᵉ édition se déroulera :
📅 du 3 au 5 juillet 2024
📍 à l’école de Polytech à Lille.
Venez profiter de la présence d’expert·e·s très accessibles dans une ambiance conviviale d’une conférence à taille humaine 🥰
👉 Les inscriptions sont ouvertes et sont gratuites. Le nombre de places disponibles diminue rapidement, ne tardez pas :)
XZ et liblzma: Faille de sécurité volontairement introduite depuis au moins deux mois
Andres Freund, un développeur Postgres, s’est rendu compte dans les derniers jours que xz et liblzma ont été corrompus par l’un des mainteneurs du projet. Le problème a été découvert par chance, pour la seule raison que la performance de sshd s’était dégradée sur sa machine.
L’investigation d’Andres Freund a montré que Jia Tan, co-mainteneur de xz depuis environ un an et demi, a poussé plusieurs commits contenant une porte dérobée extrêmement bien cachée au milieu d’un certain nombre de contributions valables depuis environ deux ans et demi, après avoir gagné la confiance du mainteneur historique, Lasse Collin.
Jia Tan a ensuite fait deux versions de xz, la 5.6.0 et 5.6.1, et les a poussées vers les mainteneurs de différentes distributions, comme Fedora Rawhide, Debian Unstable, Kali Linux ou encore Suse. Les contributions de Jia Tan à divers projets sont maintenant en cours de ré-analyse, car il apparaît qu’il a contribué des changements maintenant louches à d’autres projets, comme oss-fuzz, maintenant considérés comme visant probablement à cacher cette porte dérobée.
La plupart des distributions affectées sont des versions bleeding edge, et sont revenues à une version antérieure de leurs paquets xz.
Les effets de cette porte dérobée ne sont pas complètement analysés, mais les investigations existantes montrent des détournements d’appels très suspects autour des fonctions de validation des secrets d’OpenSSH.
Cet épisode rappelle une nouvelle fois combien tout l’écosystème repose sur la bonne volonté et la bonne foi de contributeur·rice·s volontaires, surchargé·e·s de travail, et peu soutenu·e·s par l’industrie utilisant leur travail.
NdM : le sujet est frais, les analyses en cours, et de nouvelles informations apparaissent encore toutes les heures. Il convient donc de rester prudent, mesuré, et surtout factuel, dans les commentaires. Merci d’avance.
Sortie de passbolt v4.5 : Gestion de l'expiration des mots de passe et autres améliorations
La version 4.5.0 de Passbolt, baptisée « Summer is Ending », vient de sortir. Elle introduit des fonctionnalités clés et des améliorations pour optimiser la gestion des mots de passe et de leurs cycles de vie de manière sécurisée et collaborative.
Pour mémoire, Passbolt est un gestionnaire de mots de passe Opensource, sous licence AGPL, qui se veut orienté «équipe», avec notamment des possibilités de partage de mot de passe à des personnes ou des groupes.
Sortie de passbolt 4.4.0 : gestion TOTP, suspension des utilisateurs
Un mot de passe à usage unique basé sur le temps (TOTP, Time based One Time Password en anglais) est un algorithme permettant de générer un mot de passe à usage unique.
Dans cette nouvelle version 4.4.0, les utilisateurs peuvent maintenant gérer leurs TOTP directement depuis l’extension navigateur, offrant ainsi une facilité d'accès et de gestion sur tous les appareils.
Deming : gestion de votre système de management de la sécurité de l'information Open Source
Gérer un système de management de la sécurité de l'information (SMSI) est une tâche terriblement chronophage, il faut définir des indicateurs, mesurer, planifier, conserver des preuves, faire des tableaux de bord et communiquer les résultats à la direction. La norme ISO 27001:2022 arrive à grand pas et il est temps de profiter de cette mise à jour de la norme pour mettre de l’ordre dans la gestion des SMSI en arrêtant de faire le suivi des contrôles et de générer des tableaux de bord dans des feuilles de calcul !
Deming est un outil Open Source distribué sous licence GPLv3 développé en PHP avec le framework Laravel. Il est conçu pour aider les RSSI à mettre en place et à maintenir un SMSI. Grâce à cette application, les RSSI peuvent facilement planifier et suivre la mise en œuvre des contrôles de sécurité et le cycle d'amélioration continue requis par la norme ISO 27001. L'application est conçue pour être facile à utiliser et à personnaliser, avec une interface utilisateur intuitive.
Décès de Kevin Mitnick
Kevin Mitnick est mort le 16 juillet 2023. Légende dans le monde de la sécurité informatique. Il est connu pour avoir entre autre popularisé les techniques d'ingénierie sociale, un moyen d'obtenir des accès ou des informations basé non pas sur une exploitation de vulnérabilités techniques, mais sur le comportement humain.
Il fut aussi propulsé sur le devant de la scène médiatique en étant pendant deux ans en fuite, recherché par le FBI. Durant cette cavale il s'attirera le 25 décembre 1994 les foudres de Tsutomu Shimomura, en piratant une des machines de l'expert américano-japonais grâce à une technique d'IP spoofing, jusque-là inutilisée. L'arrestation et l'incarcération furent suivis par le mouvement de soutien « Free Kevin ».
Après sa libération, il a mis à profit ses talents en tant que consultant en sécurité des systèmes d'information et fondé sa propre entreprise, Mitnick Security Consulting. Il a aussi co-écrit un total de quatre ouvrages. Parmi ceux-ci, on retrouve sa biographie, Ghost in the Wires: My Adventures as the World's Most Wanted Hacker, dans laquelle il revient sur ses années de cavale et livre sa version des faits, s'opposant à celle de John Markoff et Tsutomu Shimomura.
Repose en paix, Kevin !
OpenSSL Cookbook est maintenant en libre diffusion (CC By NC)
OpenSSL est un des logiciels libres les plus réussis et les plus importants (oui, oui, pas la peine d’avoir des boutons !). Réussi de par sa large utilisation ; important parce que l’infrastructure d’internet en dépend.
Le projet OpenSSL contient une implémentation haute performance d’algorithmes cryptographiques clés, une pile TLS et PKI complète et une boîte à outils en ligne de commande.
Mais il a toujours manqué d’une documentation exhaustive. Et pourtant elle existe : Ivan Ristić a écrit une somme sur le sujet, dont ce petit livre pratique est extrait.
Parution de la 6ᵉ édition du guide d’autodéfense numérique
Cinq ans après la précédente, nous avons le plaisir de vous annoncer la sortie de la 6ᵉ édition du guide d’autodéfense numérique, entièrement mis à jour, afin de fournir conseils et recettes adaptées pour s’orienter dans les méandres parfois hostiles de la jungle numérique.
Ce guide d’autodéfense numérique vise à présenter l’« absence d’intimité » du monde numérique et propose des méthodes pour ajuster nos pratiques quotidiennes en conséquence. On y trouve des éléments de compréhension de l’outil informatique et de ses failles, des pistes de réflexion permettant d’élaborer et de mettre en place des « politiques de sécurité » et des outils permettant à quiconque d’apprendre et de répandre des pratiques de protection adaptées à chaque situation.
MySafeIP: un tiers de confiance pour votre pare-feu !
Depuis quelques années (10/15, mince ça passe vite), j’héberge mes services à la maison au frais dans le garage sur un serveur physique, des VMs et depuis peu des instances cloud. Moi, ma petite famille et un cercle d’amis en sont les seuls utilisateurs. Un peu comme beaucoup de monde ici sans doute.
Un soir, j’installe Grafana/Prometheus pour me former et constate les scans en continu des bots sur tout ce qui est exposé. Bon, je ne suis pas un jeunot, je m’en doutais, mais quand même, ça se bouscule pas mal…
N’étant pas à l’abri de louper une mise à jour de temps en temps, ça ne me plaît pas beaucoup et je cherche comment améliorer tout ça, et voici comment…
Sortie de LDAP Tool Box Self Service Password 1.5
Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4, ainsi que leur clef SSH. Des webservices REST sont également disponibles.
Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS. Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe, à une liste de mots ou à un attribut de l’entrée.
Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. Le projet LDAP Tool Box a reçu un OW2 Community Award en 2021, en particulier grâce à la popularité de Self Service Password.
La version 1.5 est sortie le 2 septembre 2022. Les principales nouveautés de cette version sont présentées dans la suite de l’article.
Célébrons les 19 ans des Linux-Meetup au Québec
Pour une 3e année consécutive, nous fêterons virtuellement une année de plus pour les Linux-Meetup au Québec (avec BigBlueButton un logiciel libre de vidéoconférence fonctionnant sous Linux, Proxmox, Debian, KVM, etc.)
Déjà 19 ans de rencontres mensuelles passionnantes, toutes axées sur Linux et/ou logiciels libres avec des gens partageant les mêmes intérêts pour les logiciels libres. Maintenant nos rencontres virtuelles sont disponibles partout à travers le Québec…. et de la francophonie ;-)
L'événement de l'an passé fut un très grand succès, on a eu un nombre record de "sponsors" (19) et on a réussi à attirer 83 Linuxien(ne)s (sur 120 inscriptions Eventbrite).
WireGuard, protocole de communication chiffré sur UDP et logiciel libre
WireGuard est à la fois un protocole de communication chiffré sur UDP et un logiciel libre l’implémentant, le tout créé par Jason A. Donenfeld, qui vise à remplacer les protocoles ou logiciels comme IPSec ou OpenVPN.
Bien que WireGuard ait été principalement pensé pour Linux et que son implémentation de référence soit celle du noyau Linux, il existe des implémentations sous licence libre pour la majorité des plateformes (Linux, BSD, Windows, Mac, Android, iOS), sous GPLv2 pour le noyau Linux, sous MIT, BSD, APLv2 ou GPL suivant les autres cas.
Pass the SALT 2022 : programme et réservation des places (gratuites !) sont en ligne
Pass the SALT est une conférence dédiée aux Logiciels Libres (ou aux protocoles/formats ouverts) et à la Sécurité.
Cette 5ᵉ édition se déroulera à l’école Polytech de Lille du 4 au 6 juillet 2022. Son accès est gratuit (inscription requise). Les interventions sont données en langue anglaise afin de permettre une participation confortable aux conférenciers, conférencières et spectateurs non francophones. Et, enfin, un social event est organisé le 5 juillet au soir.
Passbolt, le gestionnaire de mots de passe pour équipe, lance ses applications mobiles
Passbolt est un gestionnaire de mots de passe libre conçu pour l’utilisation en équipe et la collaboration. La première version du logiciel avait été annoncée ici même sur LinuxFr il y a quelques années.
Depuis son lancement initial en 2016, passbolt a beaucoup évolué : de nombreuses fonctionnalités ont été ajoutées ainsi que le support de nombreux systèmes. Le serveur passbolt peut maintenant être installé sur un large éventail de serveurs Linux (packet debian, ubuntu, centos, redhat…), docker, ou même encore sur Raspberry Pi. Sur le plan de la sécurité, les différents composants de la solution ont été intégralement audités en 2021 par une société indépendante (Cure53).
Passbolt dispose d’un forum communautaire sur lequel les membres peuvent proposer ou voter pour de nouvelles fonctionnalités. La fonctionnalité la plus demandée étant depuis un moment et de loin la disponibilité d’applications mobiles, il devenait important de prioriser ces développements.
Après plus d’un an de travail et beaucoup de sueur, l’équipe passbolt est donc fière d’annoncer la sortie de ses deux applications mobiles iOS et Android, toutes les deux entièrement libres, intégralement auditées, et compatibles avec l’ensemble des éditions du logiciel : communauté, pro et cloud édition.
Avant d’entrer dans les détails, voici une petite vidéo de démonstration (en anglais).
SimpleLogin 2.0: recevoir et envoyer des mails de manière anonyme. Protéger nos boites mails.
SimpleLogin est à la fois un service d’alias de courriels et une plate‑forme totalement libre (sous licence MIT) que l’on peut auto‑héberger. Il a été présenté en version bêta début 2020 ici-même.
Depuis, le service a ajouté de nouvelles fonctionnalités et est devenu le référent parmi les services de masquage d’adresse mail. Avec l’arrivée de Hide My Email d’Apple, Masked Email d’1Password, Firefox Relay de Mozilla, le besoin de cacher notre adresse mail (ou notre identité numérique) est devenu populaire.
SimpleLogin est un service de masquage d’adresse mail: il permet de créer rapidement un « alias d’e-mail » qui cache notre vraie boîte mail. Les mails envoyés à un alias sont redirigés à notre boîte mail. On peut répondre à un mail comme d’habitude: la réponse sera envoyée de notre alias et notre vraie boîte mail reste cachée. Nous pouvons aussi envoyer des mails à un contact à partir d’un alias: un alias est donc comme une adresse mail « normale ».
Créé en France, 100% open source, disponible sur tous les plates-formes, SimpleLogin est considéré par les experts en vie privée comme la solution la plus avancée aujourd’hui. Il vient aussi de recevoir le prix du « meilleur projet Open Source » lors de l’Open Source Experience organisé à Paris début novembre 2021.
DynFi Firewall, le premier parefeu Open Source français
DynFi™ Firewall est un pare-feu unique qui permet aux entreprises et institutions de protéger efficacement leurs réseaux tout en offrant une visibilité complète sur son code source.
DynFi Firewall dispose d’une interface intégralement traduite en français et dans onze autres langues.
C'est un fork du projet OPNsense, dont l'intégralité des mécanismes de compilation a été modernisé et migré sous FreeBSD 13 et poudriere.
Sortie de la version 1.0.0 de age
La version 1.0.0 de Age est sortie le 6 septembre 2021 après environ 2 ans de développement.
Age est à la fois un format de fichier (age-encryption.org/v1), dont la spécification (lien vers Google Documents) se veut très simple, et un outil en ligne commande sous licence BSD 3 clauses, dont le but est de chiffrer des fichiers.
Sortie de CrowdSec 1.1.x : quelles sont les nouveautés ?
L’équipe de CrowdSec annonce la sortie de la version 1.1.x, la dernière version de sa solution de cybersécurité gratuite et open-source (MIT) conçue pour protéger les serveurs, services, conteneurs ou machines virtuelles Linux exposés sur Internet. Quoi de nouveau ? Des nouveaux paquets et dépôts, ainsi que des améliorations de l’agent CrowdSec lui-même.
Le netmask et la plume : une conférence unique le 30 juin 2021
Le netmask et la plume est une conférence en libre accès sur l’histoire et l’évolution de la cybersécurité par quatre journalistes experts du domaine. Elle aura lieu le mercredi 30 juin 2021 à 14 h, en ligne.
Face à la médiatisation croissante de la cybersécurité et la course à l’information sensationnelle et instantanée, la webconférence Le Netmask et la Plume est l’occasion de mettre en lumière les acteurs du secteur qui agissent dans l’ombre, sur le long terme, pour informer, sensibiliser, éduquer et communiquer. Cet événement représente une opportunité unique d’en apprendre plus sur des sujets dont ils sont devenus des experts.
Au programme, une plongée dans le monde de la cybersécurité à travers l’intervention de quatre journalistes français reconnus qui partageront leur vision, leur approche et leur travail durant 4 interventions :
Je suis un mensonge qui dit toujours la vérité par Marc Olanie, journaliste scientifique et technologique et radioamateur, propose de décoder les débuts épiques de la sécurité informatique en France à travers de nombreuses anecdotes sur les pionniers.
From Privacy to Surveillance : it's complicated par Jean-Marc Manach, data journaliste d’investigation et formateur, reviendra sur le degré et le niveau de sensibilisation aux questions de surveillance et de vie privée. Il sera également question de l’explosion exponentielle de la mésinformation et des fake news à ce sujet.
Hacker le parlement, comment ça marche ? par Marc Rees, rédacteur de Next INpact spécialisé dans les questions juridiques liées aux technologies de l’information et de la communication questionnera les contraintes juridiques désormais prépondérantes dans le paysage sécuritaire IT actuel.
Dans l’œil de la menace par Valery Marchive, co-fondateur du MagIT et spécialisé depuis quelques années sur les questions de rançongiciels, décryptera les tactiques, techniques et procédures des cybercriminels afin d’augmenter la prise de conscience de la menace à travers une approche statistique.
Comment configurer une installation CrowdSec multiserveur
Pour rappel, CrowdSec est un outil open source de cybersécurité collaborative conçu pour protéger les serveurs, services, conteneurs ou machines virtuelles exposés sur Internet. Un article plus exhaustif peut être consulté ici.
Il y a quelques mois, nous avons ajouté quelques fonctionnalités intéressantes à la solution lors de la sortie de la version 1.0.x. L’une d’entre elles est la capacité de l’agent CrowdSec à agir comme une API HTTP REST pour collecter les signaux d’autres agents CrowdSec. Ainsi, il est de la responsabilité de cet agent spécial de stocker et de partager les signaux collectés. Nous appellerons cet agent spécial le serveur LAPI à partir de maintenant.
Une autre caractéristique intéressante est que la remédiation des attaques n’a plus lieu sur le même serveur que la détection, mais est réalisée à l’aide de bouncers. Ces derniers s’appuient sur l’API HTTP REST servie par le serveur LAPI.
Sortie de LDAP Tool Box Service Desk 0.4
LDAP Tool Box Service Desk est une interface Web pour vérifier, débloquer et modifier les mots de passe des comptes d’un annuaire LDAP. Il est publié sous licence GPL v3.
La version 0.4 est sortie le 17 mai, les nouvelles fonctionnalités sont présentées dans la suite de la dépêche.
Sortie de LDAP Tool Box Self Service Password 1.4
Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4, ainsi que leur clef SSH.
Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS. Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe, à une liste de mots ou à un attribut de l’entrée.
Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.4 est sortie le 20 avril 2021. Les nouveautés de cette version sont présentées dans la suite de l’article.
Mercator - La cartographie du système d’information
Mercator est une application Web distribuée sous licence GPL qui permet de gérer la cartographie d'un système d’information comme décrit dans le Guide pour la cartographie du Système d’information de l’ANSSI.
Webinaire Cyber & Open Source du Pôle Systematic le 11 mai 2021
Les Hubs Open Source et Cyber & Security du Pôle Systematic vous invitent à un webinaire sur la sécurité des logiciels Open Source le mardi 11 mai de 14h à 16h30.
Cet événement fait suite à l’enquête organisée fin 2020 sur les pratiques et besoins relatifs à la sécurité des logiciels Open Source, qui avait recueilli plus de 120 réponses (dont de nombreuses parmi les lecteurs de LinuxFr.org)
Après une restitution des résultats de l’enquête, une table ronde permettra de confronter les opinions d’experts -utilisateur, intégrateur, régulateur, offreur- sur les points clés émergeant de l’enquête. Les participants pourront poser à cette occasion toutes leurs questions aux intervenants (La Poste, ANSSI, SafeRiver, LinkbyNet).
Enfin, nous accueillerons David Wheeler de la Fondation Linux pour une keynote en anglais "Securing the Development & Supply Chain of Open Source Software".
Nous avons le plaisir d’offrir à tous les lecteurs LinuxFr.org des invitations pour cet événement en ligne.
Code de gratuité à saisir sur la plateforme d’inscription weezevent : LinuxFr