tag:linuxfr.org,2005:/sections/s%C3%A9curit%C3%A9LinuxFr.org : les dépêches de Sécurité2024-02-15T13:34:29+01:00/favicon.pngtag:linuxfr.org,2005:News/418872024-02-15T13:34:29+01:002024-02-15T13:34:29+01:00Sortie de passbolt v4.5 : Gestion de l'expiration des mots de passe et autres améliorationsLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>La version 4.5.0 de Passbolt, baptisée « Summer is Ending », vient de sortir. Elle introduit des fonctionnalités clés et des améliorations pour optimiser la gestion des mots de passe et de leurs cycles de vie de manière sécurisée et collaborative. </p>
<p>Pour mémoire, Passbolt est un gestionnaire de mots de passe Opensource, sous licence AGPL, qui se veut orienté «équipe», avec notamment des possibilités de partage de mot de passe à des personnes ou des groupes.</p>
</div><ul><li>lien nᵒ 1 : <a title="https://help.passbolt.com/releases/ce/summer_is_ending" hreflang="en" href="https://linuxfr.org/redirect/113421">Notes de version 4.5.0 (Community Edition)</a></li><li>lien nᵒ 2 : <a title="https://www.passbolt.com" hreflang="en" href="https://linuxfr.org/redirect/113422">Site web</a></li><li>lien nᵒ 3 : <a title="https://www.passbolt.com/blog/passbolts-new-automation-of-shared-passwords-expiry" hreflang="en" href="https://linuxfr.org/redirect/113423">Fonctionnement de l'expiration des mots de passe (article de blog)</a></li></ul><div><h2 id="toc-nouvelles-fonctionnalités">Nouvelles fonctionnalités</h2>
<h3 id="toc-gestion-de-lexpiration-des-mots-de-passe">Gestion de l’expiration des mots de passe</h3>
<p>Cette nouvelle fonctionnalité permet la gestion et le traçage des mots de passes expirés.<br>
Un mot de passe partagé, ayant été consommé par un utilisateur, expire automatiquement quand l’accès de cet utilisateur a été révoqué. Vous pouvez en savoir plus sur l’<a href="https://www.passbolt.com/blog/passbolts-new-automation-of-shared-passwords-expiry">article de blog dédié à ce sujet (en)</a>.</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f64726976652e676f6f676c652e636f6d2f75633f6578706f72743d646f776e6c6f61642669643d3157774746706a62667a2d3836686f75357165625557436f376d5357696d6b7578/uc?export=download&id=1WwGFpjbfz-86hou5qebUWCo7mSWimkux" alt="Animation montrant le fonctionnement de la fonctionnalité d’expiration des mots de passe" title="Source : https://drive.google.com/uc?export=download&id=1WwGFpjbfz-86hou5qebUWCo7mSWimkux"></p>
<h3 id="toc-support-du-russe">Support du Russe</h3>
<p>Suite à une contribution communautaire, passbolt est maintenant disponible en langue Russe, ce qui amène le total des langues supportées à 14. Un énorme merci à notre communauté pour ses contributions de plus en plus fréquentes.</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f64726976652e676f6f676c652e636f6d2f75633f6578706f72743d646f776e6c6f61642669643d3166484e33365a6a57495866595f6654655276696e625a706e536a4576714a375f/uc?export=download&id=1fHN36ZjWIXfY_fTeRvinbZpnSjEvqJ7_" alt="Capture d’écran montrant la langue russe disponible dans passbolt" title="Source : https://drive.google.com/uc?export=download&id=1fHN36ZjWIXfY_fTeRvinbZpnSjEvqJ7_"></p>
<h3 id="toc-intégration-de-microsoft-365-et-outlook-dans-les-paramètres-smtp">Intégration de Microsoft 365 et Outlook dans les paramètres SMTP</h3>
<p>Enfin, les paramètres SMTP ont été améliorés afin de permettre un meilleur support de Microsoft 365 et de Outlook.</p>
<h2 id="toc-en-savoir-plus-sur-la-version-450">En savoir plus sur la version 4.5.0</h2>
<p>Pour en savoir plus et mettre à jour vers passbolt 4.5.0, consultez <a href="https://help.passbolt.com/releases/ce/summer_is_ending">les notes de version (en)</a>.</p>
</div><div><a href="https://linuxfr.org/news/sortie-de-passbolt-v4-5-gestion-de-l-expiration-des-mots-de-passe-et-autres-ameliorations.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/134899/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/sortie-de-passbolt-v4-5-gestion-de-l-expiration-des-mots-de-passe-et-autres-ameliorations#comments">ouvrir dans le navigateur</a>
</p>
Kevin MullerXavier TeyssierYsabeau 🧶 🧦bobble bubblehttps://linuxfr.org/nodes/134899/comments.atomtag:linuxfr.org,2005:News/417592023-11-20T08:53:56+01:002023-11-20T10:50:56+01:00Sortie de passbolt 4.4.0 : gestion TOTP, suspension des utilisateursLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Un mot de passe à usage unique basé sur le temps (TOTP, <em>Time based One Time Password</em> en anglais) est un algorithme permettant de générer un mot de passe à usage unique. </p>
<p>Dans cette nouvelle version 4.4.0, les utilisateurs peuvent maintenant gérer leurs TOTP directement depuis l’extension navigateur, offrant ainsi une facilité d'accès et de gestion sur tous les appareils.</p>
</div><ul><li>lien nᵒ 1 : <a title="https://help.passbolt.com/releases/ce/zombie" hreflang="en" href="https://linuxfr.org/redirect/112960">Notes de version</a></li><li>lien nᵒ 2 : <a title="https://www.passbolt.com/security" hreflang="en" href="https://linuxfr.org/redirect/112961">Sécurité</a></li><li>lien nᵒ 3 : <a title="https://www.passbolt.com" hreflang="en" href="https://linuxfr.org/redirect/112962">Site web</a></li><li>lien nᵒ 4 : <a title="https://github.com/passbolt/" hreflang="en" href="https://linuxfr.org/redirect/112977">Code source</a></li></ul><div><h2 id="toc-nouvelles-fonctionnalités">Nouvelles fonctionnalités</h2>
<h3 id="toc-gestion-des-totp">Gestion des TOTP</h3>
<p>Il est maintenant possible de créer et modifier des TOTP facilement depuis l’interface principale, rendant l’expérience utilisateur multi-appareils puisque la fonctionnalité était déjà disponible sur l’application mobile. Comme les autres types d’identifiants gérés par passbolt, il est également possible de partager les TOTP avec d’autres utilisateurs. Les TOTP peuvent aussi être associés à un identifiant existant.</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f64726976652e676f6f676c652e636f6d2f75633f6578706f72743d646f776e6c6f61642669643d31686c4c6b4e513458586b61307176453263564252566c30726a4754646f4d4f5f/uc?export=download&id=1hlLkNQ4XXka0qvE2cVBRVl0rjGTdoMO_" alt="Impression d'écran du fonctionnement de TOTP sur Passbolt et son application mobile" title="Source : https://drive.google.com/uc?export=download&id=1hlLkNQ4XXka0qvE2cVBRVl0rjGTdoMO_"></p>
<h3 id="toc-suspension-et-activation-des-utilisateurs">Suspension et activation des utilisateurs</h3>
<p>Les administrateurs peuvent maintenant suspendre un compte utilisateur pour couper l’accès à la solution, offrant un contrôle accru sur la gestion des accès. Auparavant, il était uniquement possible de supprimer un utilisateur.</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f64726976652e676f6f676c652e636f6d2f75633f6578706f72743d646f776e6c6f61642669643d314b574571325344575670533051596b6c2d48524f2d634f47743271663654466c/uc?export=download&id=1KWEq2SDWVpS0QYkl-HRO-cOGt2qf6TFl" alt="Impression d'écran de la fonctionnalité de suspension d'utilisateur sur Passbolt" title="Source : https://drive.google.com/uc?export=download&id=1KWEq2SDWVpS0QYkl-HRO-cOGt2qf6TFl"></p>
<h3 id="toc-améliorations-et-correctifs">Améliorations et correctifs</h3>
<p>Diverses améliorations ont été apportées pour renforcer la sécurité et l'expérience utilisateur, y compris des notifications par courriel regroupées pour limiter le nombre de messages lors d'importations massives de mots de passe.</p>
<p><strong>Mise à jour importante pour les administrateurs système</strong>: Utilisez PHP 8.1 ou supérieur pour une meilleure performance et compatibilité avec la dernière version de l'API passbolt.</p>
<h2 id="toc-sécurité">Sécurité</h2>
<p>De nombreux audits de sécurité ont été réalisés ces derniers mois. Les rapports d’audit sont publics et accessibles directement depuis la page <a href="https://www.passbolt.com/security">sécurité</a> de notre site web.</p>
<h2 id="toc-en-savoir-plus-sur-la-version-440">En savoir plus sur la version 4.4.0</h2>
<p>Pour en savoir plus et mettre à jour vers passbolt 4.4.0, consultez les <a href="https://help.passbolt.com/releases/ce/zombie">notes de version</a>.</p>
</div><div><a href="https://linuxfr.org/news/sortie-de-passbolt-4-4-0-gestion-totp-suspension-des-utilisateurs.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/133920/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/sortie-de-passbolt-4-4-0-gestion-totp-suspension-des-utilisateurs#comments">ouvrir dans le navigateur</a>
</p>
kevin mullerBenoît SibaudgUIPierre JarillonXavier Teyssierhttps://linuxfr.org/nodes/133920/comments.atomtag:linuxfr.org,2005:News/416042023-07-25T07:38:57+02:002023-07-25T21:01:38+02:00Deming : gestion de votre système de management de la sécurité de l'information Open SourceLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Gérer un système de management de la sécurité de l'information (<a href="https://fr.wikipedia.org/wiki/Syst%C3%A8me_de_management_de_la_s%C3%A9curit%C3%A9_de_l%27information">SMSI</a>) est une tâche terriblement chronophage, il faut définir des indicateurs, mesurer, planifier, conserver des preuves, faire des tableaux de bord et communiquer les résultats à la direction. La norme <a href="https://fr.wikipedia.org/wiki/ISO/CEI_27001">ISO 27001:2022</a> arrive à grand pas et il est temps de profiter de cette mise à jour de la norme pour mettre de l’ordre dans la gestion des SMSI en arrêtant de faire le suivi des contrôles et de générer des tableaux de bord dans des feuilles de calcul !</p>
<p>Deming est un outil Open Source distribué sous licence GPLv3 développé en PHP avec le framework <a href="https://laravel.com/">Laravel</a>. Il est conçu pour aider les <a href="https://fr.wikipedia.org/wiki/Responsable_de_la_s%C3%A9curit%C3%A9_des_syst%C3%A8mes_d%27information">RSSI</a> à mettre en place et à maintenir un <a href="https://fr.wikipedia.org/wiki/Syst%C3%A8me_de_management_de_la_s%C3%A9curit%C3%A9_de_l%27information">SMSI</a>. Grâce à cette application, les RSSI peuvent facilement planifier et suivre la mise en œuvre des contrôles de sécurité et le cycle d'amélioration continue requis par la norme <a href="https://fr.wikipedia.org/wiki/ISO/CEI_27001">ISO 27001</a>. L'application est conçue pour être facile à utiliser et à personnaliser, avec une interface utilisateur intuitive.</p>
</div><ul><li>lien nᵒ 1 : <a title="https://github.com/dbarzin/deming" hreflang="fr" href="https://linuxfr.org/redirect/112477">La page GitHub du projet </a></li><li>lien nᵒ 2 : <a title="https://dbarzin.github.io/deming/index.fr/" hreflang="fr" href="https://linuxfr.org/redirect/112478">Le manuel utilisateur</a></li><li>lien nᵒ 3 : <a title="https://static.sstic.org/rumps2023/SSTIC_2023-06-08_P12_RUMPS_01.mp4" hreflang="fr" href="https://linuxfr.org/redirect/112479">RUMP lors du SSTIC 2023</a></li></ul><div><p><img src="//img.linuxfr.org/img/68747470733a2f2f6769746875622e636f6d2f646261727a696e2f64656d696e672f7261772f6d61696e2f7075626c69632f73637265656e73686f74732f6d61696e312e706e67/main1.png" alt="écran principal Deming" title="Source : https://github.com/dbarzin/deming/raw/main/public/screenshots/main1.png"></p>
<p>Deming offre des fonctionnalités telles que la gestion des mesures de sécurité, la planification des contrôles, la création des fiches de contrôle, l’enregistrement des preuves, le suivi des plans d’action ainsi que des tableaux de bord et des rapports de pilotage du SMSI pour aider les RSSI à suivre et à maintenir leur programme de sécurité de l'information. Cette gestion des contrôles doit permettre la mise en œuvre d’une sécurité adéquate et proportionnée. Cette approche est conforme aux recommandations de la norme ISO / IEC 27001, chapitre 9 qui traite de l’évaluation des performances.</p>
<p>Un ensemble de mesures de sécurité issues de la norme <a href="https://fr.wikipedia.org/wiki/ISO/CEI_27002">ISO 27002</a> est proposé avec l'outil qui couvre tous les domaines de sécurité de la norme : vérification des droits d'accès, protection contre les logiciels malveillants, gestion des incidents… Ces mesures peuvent être modifiées, complétées ou désactivées selon le domaine d'application du SMSI.</p>
</div><div><a href="https://linuxfr.org/news/deming-gestion-de-votre-systeme-de-management-de-la-securite-de-l-information-open-source.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/132790/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/deming-gestion-de-votre-systeme-de-management-de-la-securite-de-l-information-open-source#comments">ouvrir dans le navigateur</a>
</p>
didierbBenoît Sibaudpalm123BAudArkemYsabeau 🧶 🧦https://linuxfr.org/nodes/132790/comments.atomtag:linuxfr.org,2005:News/416032023-07-21T16:43:44+02:002023-08-18T16:40:43+02:00Décès de Kevin MitnickLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p><a href="https://fr.wikipedia.org/wiki/Kevin%20Mitnick" title="Définition Wikipédia">Kevin Mitnick</a> est mort le 16 juillet 2023. Légende dans le monde de la sécurité informatique. Il est connu pour avoir entre autre popularisé les techniques d'<a href="https://fr.wikipedia.org/wiki/ing%C3%A9nierie%20sociale" title="Définition Wikipédia">ingénierie sociale</a>, un moyen d'obtenir des accès ou des informations basé non pas sur une exploitation de vulnérabilités techniques, mais sur le comportement humain.</p>
<p>Il fut aussi propulsé sur le devant de la scène médiatique en étant pendant deux ans en fuite, recherché par le FBI. Durant cette cavale il s'attirera le 25 décembre 1994 les foudres de <a href="https://fr.wikipedia.org/wiki/Tsutomu%20Shimomura" title="Définition Wikipédia">Tsutomu Shimomura</a>, en piratant une des machines de l'expert américano-japonais grâce à une technique d'<a href="https://fr.wikipedia.org/wiki/IP%20spoofing" title="Définition Wikipédia">IP spoofing</a>, jusque-là inutilisée. L'arrestation et l'incarcération furent suivis par le mouvement de soutien « <em>Free Kevin</em> ».</p>
<p>Après sa libération, il a mis à profit ses talents en tant que consultant en sécurité des systèmes d'information et fondé sa propre entreprise, <em>Mitnick Security Consulting</em>. Il a aussi co-écrit un total de quatre ouvrages. Parmi ceux-ci, on retrouve sa biographie, <a href="https://web.archive.org/web/20111104215522/http://www.hachettebookgroup.com/books_9780316037709.htm"><em>Ghost in the Wires: My Adventures as the World's Most Wanted Hacker</em></a>, dans laquelle il revient sur ses années de cavale et livre sa version des faits, s'opposant à celle de <a href="https://fr.wikipedia.org/wiki/John%20Markoff" title="Définition Wikipédia">John Markoff</a> et Tsutomu Shimomura.</p>
<p>Repose en paix, Kevin !</p>
</div><ul><li>lien nᵒ 1 : <a title="https://linuxfr.org/users/nils--2/journaux/kevin-mitnick-bronsonise" hreflang="fr" href="https://linuxfr.org/redirect/112474">Journal à l’origine de la dépêche</a></li><li>lien nᵒ 2 : <a title="https://www.dignitymemorial.com/obituaries/las-vegas-nv/kevin-mitnick-11371668" hreflang="en" href="https://linuxfr.org/redirect/112475">Source</a></li><li>lien nᵒ 3 : <a title="https://news.slashdot.org/story/23/07/20/031216/kevin-mitnick-hacker-who-once-eluded-authorities-is-dead-at-59" hreflang="en" href="https://linuxfr.org/redirect/112476">Article sur /.</a></li><li>lien nᵒ 4 : <a title="https://en.wikipedia.org/wiki/Kevin_Mitnick" hreflang="en" href="https://linuxfr.org/redirect/112480">Page Wikipedia anglophone de Kevin Mitnick</a></li></ul><div><p><img src="//img.linuxfr.org/img/68747470733a2f2f75706c6f61642e77696b696d656469612e6f72672f77696b6970656469612f636f6d6d6f6e732f7468756d622f642f64352f4b6576696e5f4d69746e69636b5f65785f6861636b65725f795f61686f72615f66616d6f736f5f636f6e73756c746f725f656e5f72656465735f656e5f43616d7075735f50617274795f4d2543332541397869636f5f323031302e6a70672f3235363070782d4b6576696e5f4d69746e69636b5f65785f6861636b65725f795f61686f72615f66616d6f736f5f636f6e73756c746f725f656e5f72656465735f656e5f43616d7075735f50617274795f4d2543332541397869636f5f323031302e6a7067/2560px-Kevin_Mitnick_ex_hacker_y_ahora_famoso_consultor_en_redes_en_Campus_Party_M%C3%A9xico_2010.jpg" alt="Portrait de Kevin Mitnick en 2010" title="Source : https://upload.wikimedia.org/wikipedia/commons/thumb/d/d5/Kevin_Mitnick_ex_hacker_y_ahora_famoso_consultor_en_redes_en_Campus_Party_M%C3%A9xico_2010.jpg/2560px-Kevin_Mitnick_ex_hacker_y_ahora_famoso_consultor_en_redes_en_Campus_Party_M%C3%A9xico_2010.jpg"></p>
<p>Crédit photo : <a href="https://fr.wikipedia.org/wiki/Kevin_Mitnick#/media/Fichier:Kevin_Mitnick_ex_hacker_y_ahora_famoso_consultor_en_redes_en_Campus_Party_M%C3%A9xico_2010.jpg">Campus Party México via Wikipedia</a>.</p>
</div><div><a href="https://linuxfr.org/news/deces-de-kevin-mitnick.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/132787/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/deces-de-kevin-mitnick#comments">ouvrir dans le navigateur</a>
</p>
Nils RatusznikFlorent ZaraBenoît Sibaudhttps://linuxfr.org/nodes/132787/comments.atomtag:linuxfr.org,2005:News/414862023-04-28T14:28:20+02:002023-04-28T14:28:20+02:00OpenSSL Cookbook est maintenant en libre diffusion (CC By NC)Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>OpenSSL est un des logiciels libres les plus réussis et les plus importants (oui, oui, pas la peine d’avoir des boutons !). Réussi de par sa large utilisation ; important parce que l’infrastructure d’internet en dépend.</p>
<p>Le projet OpenSSL contient une implémentation haute performance d’algorithmes cryptographiques clés, une pile TLS et PKI complète et une boîte à outils en ligne de commande.</p>
<p>Mais il a toujours manqué d’une documentation exhaustive. Et pourtant elle existe : Ivan Ristić a écrit une somme sur le sujet, dont ce petit livre pratique est extrait.<br>
<img src="//img.linuxfr.org/img/68747470733a2f2f7777772e6665697374796475636b2e636f6d2f6c6962726172792f6f70656e73736c2d636f6f6b626f6f6b2f6173736574732f696d6167652d6d61696e2d766965772e706e67/image-main-view.png" alt="Couverture d’OpenSSL Cookbook" title="Source : https://www.feistyduck.com/library/openssl-cookbook/assets/image-main-view.png"></p>
</div><ul><li>lien nᵒ 1 : <a title="https://www.feistyduck.com/library/openssl-cookbook/" hreflang="en" href="https://linuxfr.org/redirect/112064">OpenSSL Cookbook. à lire en ligne ou à télécharger </a></li><li>lien nᵒ 2 : <a title="https://www.feistyduck.com/bulletproof-tls-newsletter/issue_100_openssl_cookbook_released_under_cc_by_nc" hreflang="en" href="https://linuxfr.org/redirect/112065">Bullet Proof TLS newsletter </a></li><li>lien nᵒ 3 : <a title="https://www.feistyduck.com/books/bulletproof-tls-and-pki/" hreflang="en" href="https://linuxfr.org/redirect/112066">"Le" livre de référence Bulletproof SSL and PKI</a></li></ul><div><p>Dès que vous vous préoccupez de sécurité, développement Web ou d’administration système, vous êtes confronté à OpenSSL, même à un petit niveau. C’est pourquoi ce livre s’occupe d’aspects pratiques. Il couvre deux manières d’utiliser OpenSSL, en deux chapitres.</p>
<h2 id="toc-ligne-de-commande-openssl">Ligne de commande OpenSSL</h2>
<p>Pour vous aider dans vos scripts de génération de clés et de certificats ou dans la configuration des programmes qui dépendent d’OpenSSL pour la fonctionnalité TLS. Ce chapitre explique aussi comment créer une autorité de certification privée complète. Ça vous sera utile comme développeur, comme enseignant, en auto apprentissage ou pour un réseau local.</p>
<h2 id="toc-tester-tls-avec-openssl">Tester TLS avec OpenSSL</h2>
<p>Deuxième usage, les tests de sécurité du serveur. Bien que parfois chronophage, ce type de test de bas niveau ne peut être évité lorsque vous souhaitez savoir exactement ce qui se passe.</p>
<hr>
<p>Les deux chapitres sont extraits de <em>Bulletproof TLS et PKI</em>, fameux et copieux livre de référence sur le sujet. </p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f7777772e6665697374796475636b2e636f6d2f696d61676573322f62756c6c657470726f6f662d746c732d616e642d706b692d3265642e706e67/bulletproof-tls-and-pki-2ed.png" alt="couverture de Bulletproof SSL and PKI" title="Source : https://www.feistyduck.com/images2/bulletproof-tls-and-pki-2ed.png"></p>
<p>Les chapitres OpenSSL sont publiés en livre séparé pour combler le vide : il manque une documentation de qualité et facilement disponible. Comme c’est souvent le cas pour les projets complexes et de longue durée, la documentation OpenSSL que vous pouvez trouver sur Internet est souvent erronée, obsolète et dispersée.</p>
<p>D’ailleurs pour vous tenir au courant sur ce sujet d’importance, Ivan Ristić publie régulièrement <a href="https://www.feistyduck.com/bulletproof-tls-newsletter/issue_100_openssl_cookbook_released_under_cc_by_nc">une lettre d’actualités passionnante et bien documentée</a>. Et c’est pour célébrer la centième lettre qu’il a décidé de passer à une licence plus permissive (le livre était déjà gratuit).</p>
<p>La nouvelle license d’OpenSSL Cookbook (<a href="https://creativecommons.org/licenses/by-nc/3.0/fr/">Creative Commons Attribution-NonCommercial</a>) fête, comme un cadeau, les 10 ans de la première édition. C’est aussi un encouragement pour tous ceux qui voudraient s’en inspirer pour écrire de la documentation et… à tous les traducteurs !</p>
<p>Il y a 10 ans donc, l’auteur s’était engagé à garder ce livre à jour et à l’amender de vos remarques. Vous êtes donc invités, lecteurs, à lui faire autant de retours que possible sur les défauts rencontrés.</p>
<p>(cet article est très librement adapté de la préface).</p>
</div><div><a href="https://linuxfr.org/news/openssl-cookbook-est-maintenant-en-libre-diffusion-cc-by-nc.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/131078/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/openssl-cookbook-est-maintenant-en-libre-diffusion-cc-by-nc#comments">ouvrir dans le navigateur</a>
</p>
orfenorBenoît SibaudgUINÿcoXavier Teyssierhttps://linuxfr.org/nodes/131078/comments.atomtag:linuxfr.org,2005:News/413562023-01-16T16:02:12+01:002023-01-16T16:02:12+01:00Parution de la 6ᵉ édition du guide d’autodéfense numériqueLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Cinq ans après la précédente, nous avons le plaisir de vous annoncer la sortie de la 6ᵉ édition du <em>guide d’autodéfense numérique</em>, entièrement mis à jour, afin de fournir conseils et recettes adaptées pour s’orienter dans les méandres parfois hostiles de la jungle numérique.</p>
<p>Ce <em>guide d’autodéfense numérique</em> vise à présenter l’« absence d’intimité » du monde numérique et propose des méthodes pour ajuster nos pratiques quotidiennes en conséquence. On y trouve des éléments de compréhension de l’outil informatique et de ses failles, des pistes de réflexion permettant d’élaborer et de mettre en place des « politiques de sécurité » et des outils permettant à quiconque d’apprendre et de répandre des pratiques de protection adaptées à chaque situation.</p>
</div><ul><li>lien nᵒ 1 : <a title="https://guide.boum.org/" hreflang="fr" href="https://linuxfr.org/redirect/111605">Téléchargement du guide</a></li><li>lien nᵒ 2 : <a title="https://tahin-party.org/autodefense-numerique.html" hreflang="fr" href="https://linuxfr.org/redirect/111606">Fiche de la version papier sur le site des éditions Tahin Party</a></li></ul><div><p>Cette réédition augmentée contient toujours deux tomes (regroupés en un seul ouvrage), et documente en particulier les dernières versions de <a href="https://www.debian.org/">Debian</a> et de <a href="https://tails.boum.org/">Tails</a>. Elle inclut aussi de nombreuses actualisations sur les pratiques de surveillance numérique, sur les lois que nous subissons et sur les outils que nous utilisons, ainsi qu’un nouveau chapitre sur la réduction des risques appliquée au numérique.</p>
<p>La nouvelle édition du <em>guide d’autodéfense numérique</em> est d’ores et déjà accessible en version numérique, en ligne et aux formats PDF et EPUB à l’adresse <a href="https://guide.boum.org/">https://guide.boum.org/</a>, et sa version papier, publiée par les éditions <a href="https://tahin-party.org/">Tahin Party</a>, sera disponible en librairie à partir du 27 janvier 2023.</p>
<p><strong>Afin de diminuer les traces que nous laissons et les risques que nous prenons dans nos usages des ordinateurs, des logiciels et d’Internet, apprenons, appliquons et diffusons des pratiques d’autodéfense numérique !</strong></p>
<p>L’équipe du <em>guide d’autodéfense numérique</em>.</p>
</div><div><a href="https://linuxfr.org/news/parution-de-la-6-edition-du-guide-d-autodefense-numerique.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/130001/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/parution-de-la-6-edition-du-guide-d-autodefense-numerique#comments">ouvrir dans le navigateur</a>
</p>
gau_denumYsabeau 🧶 🧦https://linuxfr.org/nodes/130001/comments.atomtag:linuxfr.org,2005:News/413342023-01-11T23:47:04+01:002023-01-11T23:47:04+01:00MySafeIP: un tiers de confiance pour votre pare-feu !Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Depuis quelques années (10/15, mince ça passe vite), j’héberge mes services à la maison au frais dans le garage sur un serveur physique, des VMs et depuis peu des instances cloud. Moi, ma petite famille et un cercle d’amis en sont les seuls utilisateurs. Un peu comme beaucoup de monde ici sans doute.</p>
<p>Un soir, j’installe Grafana/Prometheus pour me former et constate les scans en continu des bots sur tout ce qui est exposé. Bon, je ne suis pas un jeunot, je m’en doutais, mais quand même, ça se bouscule pas mal…</p>
<p>N’étant pas à l’abri de louper une mise à jour de temps en temps, ça ne me plaît pas beaucoup et je cherche comment améliorer tout ça, et voici comment…</p>
</div><ul><li>lien nᵒ 1 : <a title="https://github.com/yvguim/mysafeip" hreflang="en" href="https://linuxfr.org/redirect/111519">Le dépôt du projet</a></li><li>lien nᵒ 2 : <a title="https://github.com/yvguim/mysafeip-compose" hreflang="en" href="https://linuxfr.org/redirect/111520">Le dépôt docker-compose</a></li><li>lien nᵒ 3 : <a title="https://github.com/yvguim/mysafeip-client" hreflang="en" href="https://linuxfr.org/redirect/111521">Le dépôt du client</a></li><li>lien nᵒ 4 : <a title="https://fosstodon.org/@MeAndMyKeyboard" hreflang="en" href="https://linuxfr.org/redirect/111522">Pour me suivre sur fosstodon:</a></li><li>lien nᵒ 5 : <a title="https://linuxfr.org/news/le-pare-feu-dopenofficeorg-existe" hreflang="fr" href="https://linuxfr.org/redirect/111523">Le pare feu openoffice existe</a></li></ul><div><h4 id="toc-les-pistes">Les pistes</h4>
<p><strong>Jour 1</strong> : la solution VPN ! C’est cool, ça protège des virus selon le VPN du Nord ou OpenOffice en son temps. Ah non, la ministre pensait que c’était un pare-feu… (cf lien 5)<br>
Et oui, c’est bien, mais il faut gérer les authentifications, installer les clients, croiser le regard de ses proches (« Mais pourquoi 😢 »). La nuit passe, il faut trouver autre chose.</p>
<p><strong>Jour 2</strong> : le bastion ssh, les proxies socks. C’est marrant, tout terrain et ça fonctionne. Mais bon on va garder ça pour soi au travail. Ce serait un remake en pire du jour un… Next !</p>
<p><strong>Jour 3</strong> : port-knocking ! On toque à la porte d’un serveur avec la bonne séquence udp ou tcp et il ouvre des règles de pare-feu. C’est propre, il y a des clients disponibles sur quasiment tous les appareils. C’est presque idéal, mais ça reste quand même technique, très, trop…</p>
<p><strong>Jour 4</strong> : 😰 pas grand-chose de neuf.</p>
<p><strong>Jour 5</strong> : je me rappelle mes quelques mois à développer un premier projet opensource 🤔. Si ça n’existe pas, on le code et on le partage ! C’était le bon temps ! Go, on se retrousse les manches.</p>
<h4 id="toc-on-code">On code !</h4>
<p><strong>Mois 1</strong> : maquette sous django, base de données mariadb et installation conteneurisée. Ça fait le boulot, mais ce n’est pas superléger. J’ai l’impression d’enfoncer un clou avec une masse.</p>
<p><strong>Mois 2</strong> : ça fait le boulot et c’est quand même bien pratique. Mes instances nextcloud et bitwarden par exemple sont accessibles via des liens « tiers » que je donne à mes proches. Quand ils vont dessus, leurs ip clientes sont lues et le pare-feu les autorise directement. Ils sont redirigés quelques secondes après et utilisent tout ce qu’ils connaissent normalement sans nouveau passage par MySafeIP.<br>
C’est aussi la première fois que j'ai si peu d’état d’âme à avoir des données personnelles en ligne.<br>
Les bots eux se cassent les dents, je jubile 😏.</p>
<p><strong>Mois 3</strong> : le partager en l’état ? Il faudrait faire plus léger. Découverte de Fastapi, bootstrap. On ressort clavier/souris. Fastapi est bluffant dans un autre registre que Django 🤩. Le potentiel est là et la documentation est pléthorique pour un projet aussi jeune. C’est très, très motivant et j’ai quelques idées pour la suite :).</p>
<h3 id="toc-mysafeip-en-bref">MySafeIP en bref</h3>
<p>Après cette longue introduction, mais qui résume bien le besoin et les contraintes de ce genre d'outil, voici en bref ce qu'est MySafeIP.</p>
<p>MySafeIp est une application opensource (Apache-2.0) servant de tiers de confiance pour tenir à jour dynamiquement des IPs de confiance :</p>
<ul>
<li>soit déclarées manuellement après authentification ;</li>
<li>soit automatiquement via des liens à la manière d’un raccourcisseur d’url mais dont la redirection permet la lecture de l’IP cliente et son autorisation.</li>
</ul>
<p>L’ensemble est basé sur les framework Fastapi (backend) et Bootstrap/jinja (UI). L’interface d’administration web est compatible pc/smartphone.</p>
<h4 id="toc-Ça-sinstalle-facilement">Ça s’installe facilement :</h4>
<p>L’installation est conteneurisée côté serveur et un petit module python est disponible pour assurer la récupération des IPs côté pare-feu. Je fournis aussi le script permettant de régler à minima iptables en se basant sur ipset 🥳.</p>
<p>En bref, cela s’installe en 5 minutes via docker-compose (oui, c’est un peu vendeur, disons 15 minutes en comptant le client 😜) et ajoute un filtrage fin en entrée de tous vos services sans effaroucher pour autant vos utilisateurs.</p>
<p>Côté authentification, login/mot de passe et deux facteurs (TOTP) pour l’administration web, Tokens pour le module client (gérables depuis l’application).</p>
<p>Vous pouvez enfin autoriser ou non l’enregistrement d’utilisateurs qui voudraient s’en servir pour leurs propres services. Il est, de plus, disponible en français et anglais.</p>
<p>Vous savez presque tout, j’espère qu’il vous rendra autant service qu’à moi.</p>
<p>Je le considère en version Alpha le temps de m’atteler à la réorganisation des routes et l’ajout des tests unitaires. Il fonctionne cependant « out of the box » et vous donnera déjà un bon aperçu de son utilité.</p>
<p>Et, avant que vous ne vous précipitiez sur les captures d’écran : très mais alors très bonne année à tout le monde !</p>
<h3 id="toc-quelques-captures-décran">Quelques captures d’écran :</h3>
<p><strong>L’accueil :</strong><br>
<img src="//img.linuxfr.org/img/68747470733a2f2f7261772e67697468756275736572636f6e74656e742e636f6d2f79766775696d2f6d797361666569702f6d61696e2f646f63732f636170302e706e67/cap0.png" alt="Page d’accueil" title="Source : https://raw.githubusercontent.com/yvguim/mysafeip/main/docs/cap0.png"></p>
<p><strong>La déclaration d’ip :</strong><br>
<img src="//img.linuxfr.org/img/68747470733a2f2f7261772e67697468756275736572636f6e74656e742e636f6d2f79766775696d2f6d797361666569702f6d61696e2f646f63732f636170312e706e67/cap1.png" alt="Page d’accueil" title="Source : https://raw.githubusercontent.com/yvguim/mysafeip/main/docs/cap1.png"></p>
<p><strong>Un exemple de lien instantané :</strong><br>
<img src="//img.linuxfr.org/img/68747470733a2f2f7261772e67697468756275736572636f6e74656e742e636f6d2f79766775696d2f6d797361666569702f6d61696e2f646f63732f636170322e706e67/cap2.png" alt="Page d’accueil" title="Source : https://raw.githubusercontent.com/yvguim/mysafeip/main/docs/cap2.png"></p>
<p>Je suis vivement intéressé par vos retours !</p>
</div><div><a href="https://linuxfr.org/news/mysafeip-un-tiers-de-confiance-pour-votre-pare-feu.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/129814/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/mysafeip-un-tiers-de-confiance-pour-votre-pare-feu#comments">ouvrir dans le navigateur</a>
</p>
MeAndMyKeyboardPierre JarillonYsabeau 🧶 🧦https://linuxfr.org/nodes/129814/comments.atomtag:linuxfr.org,2005:News/411872022-09-15T18:40:35+02:002022-09-15T18:40:35+02:00Sortie de LDAP Tool Box Self Service Password 1.5Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Le logiciel <a href="https://github.com/ltb-project/self-service-password/"><em>Self Service Password</em></a> est développé au sein du projet <a href="https://ltb-project.org/">LDAP Tool Box</a>. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire <a href="https://fr.wikipedia.org/wiki/LDAP" title="Définition Wikipédia">LDAP</a>, y compris Active Directory ou Samba 4, ainsi que leur clef SSH. Des webservices REST sont également disponibles.</p>
<p>Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS. Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe, à une liste de mots ou à un attribut de l’entrée.</p>
<p>Le logiciel <em>Self Service Password</em> est écrit en <a href="https://fr.wikipedia.org/wiki/PHP" title="Définition Wikipédia">PHP</a> et est sous <a href="https://fr.wikipedia.org/wiki/licence%20publique%20g%C3%A9n%C3%A9rale%20GNU" title="Définition Wikipédia">licence publique générale GNU</a>. Le projet LDAP Tool Box a reçu un <a href="https://www.ow2con.org/view/2021/Awards_Results">OW2 Community Award en 2021</a>, en particulier grâce à la popularité de Self Service Password.</p>
<p>La version 1.5 est sortie le 2 septembre 2022. Les principales nouveautés de cette version sont présentées dans la suite de l’article.</p>
</div><ul><li>lien nᵒ 1 : <a title="https://linuxfr.org/news/sortie-de-ldap-tool-box-self-service-password-1-4" hreflang="fr" href="https://linuxfr.org/redirect/111025">Dépêche sur la sortie de la version 1.4</a></li><li>lien nᵒ 2 : <a title="https://projects.ow2.org/view/ldaptoolbox/ltb-self-service-password-1-5-0-released/" hreflang="en" href="https://linuxfr.org/redirect/111026">Annonce sur le site du consortium OW2</a></li><li>lien nᵒ 3 : <a title="https://ltb-project.org/" hreflang="en" href="https://linuxfr.org/redirect/111027">Site web du projet LDAP Tool Box</a></li><li>lien nᵒ 4 : <a title="https://self-service-password.readthedocs.io/en/latest/" hreflang="en" href="https://linuxfr.org/redirect/111028">Documentation de Self Service Password</a></li><li>lien nᵒ 5 : <a title="https://github.com/ltb-project/self-service-password/" hreflang="en" href="https://linuxfr.org/redirect/111029">Code source</a></li><li>lien nᵒ 6 : <a title="https://www.worteks.com/opensource/conferences/2021-04-22-afup-lyon/" hreflang="fr" href="https://linuxfr.org/redirect/111030">Présentation de Self Service Password à l'AFUP Lyon</a></li></ul><div><h3 id="toc-support-de-argon2">Support de Argon2</h3>
<p><a href="https://fr.wikipedia.org/wiki/Argon2">Argon2</a> est un mécanisme de hachage disponible dans les annuaires récents, en particulier OpenLDAP. Self Service Password peut se charger d’encoder le mot de passe avec Argon2 avant de le soumettre à l’annuaire. Bien entendu il est toujours possible de laisser cette opération à l’annuaire qui encodera le mot de passe transmis en clair, ce qui lui permettra d’effectuer des vérifications supplémentaires de son côté.</p>
<h3 id="toc-gestion-des-attributs-multiples">Gestion des attributs multiples</h3>
<p>Dans les organisations les plus importantes, les informations comme le mail ou le numéro de mobile peuvent être stockées dans des attributs LDAP différents. Par exemple un mail principal, un mail secondaire, un mail professionnel, un mail personnel…</p>
<p>Le logiciel Self Service Password peut désormais parcourir une liste d’attributs et récupérera le mail ou le mobile dans le premier attribut où une valeur sera présente.</p>
<h3 id="toc-utilisation-de-lapi-sms-signal">Utilisation de l’API SMS Signal</h3>
<p>Une des méthodes de réinitialisation de mot de passe s’appuie sur l’envoi d’un code par SMS. Pour cela il faut appeler une API.</p>
<p>Des connecteurs pour LinkMobility, Twilio et OVH existaient déjà. Dans cette nouvelle version, <a href="https://self-service-password.readthedocs.io/en/latest/sms_api.html#signal">un connecteur pour Signal</a> a fait son apparition, utilisant la commande <code>signal-cli</code>.</p>
</div><div><a href="https://linuxfr.org/news/sortie-de-ldap-tool-box-self-service-password-1-5.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/128747/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/sortie-de-ldap-tool-box-self-service-password-1-5#comments">ouvrir dans le navigateur</a>
</p>
KPTNYsabeau 🧶 🧦https://linuxfr.org/nodes/128747/comments.atomtag:linuxfr.org,2005:News/411882022-09-15T11:48:04+02:002022-09-15T11:48:04+02:00Célébrons les 19 ans des Linux-Meetup au QuébecLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Pour une 3<sup>e</sup> année consécutive, nous fêterons virtuellement une année de plus pour les Linux-Meetup au Québec (avec BigBlueButton un logiciel libre de vidéoconférence fonctionnant sous Linux, Proxmox, Debian, KVM, etc.)</p>
<p>Déjà 19 ans de rencontres mensuelles passionnantes, toutes axées sur Linux et/ou logiciels libres avec des gens partageant les mêmes intérêts pour les logiciels libres. Maintenant nos rencontres virtuelles sont disponibles partout à travers le Québec…. et de la francophonie ;-)</p>
<p><img src="https://linuxfr.org/images/historique/images_perdues/celebrons-les-19-ans-des-linux-meetup-au-quebec-affiche.jpg" alt="Affiche promo du 19e" title="Source https://img.evbuc.com/https%3A%2F%2Fcdn.evbuc.com%2Fimages%2F353528009%2F17086287605%2F1%2Foriginal.20220913-162907?w=800&auto=format%2Ccompress&q=75&sharp=10&rect=0%2C0%2C2160%2C1080&s=62c98eb2814f3f34fb94feb88398dc82"></p>
<p>L'événement de l'an passé fut un très grand succès, on a eu un nombre record de "sponsors" (19) et on a réussi à attirer 83 Linuxien(ne)s (sur 120 inscriptions Eventbrite).</p>
</div><ul><li>lien nᵒ 1 : <a title="https://19-ans-de-linux-meetup-au-quebec.eventbrite.ca/?aff=lfr1" hreflang="fr" href="https://linuxfr.org/redirect/111031">Pour plus d'informations et inscriptions</a></li></ul><div><p>Cette année, nous essayons toujours d'innover afin d'attirer le plus de Linuxien(ne)s en organisant une nouvelle chasse au trésor informatique virtuelle améliorée (en anglais CTF: Capture The Flag) spécialement conçue pour nos Linux-Meetup. Plusieurs groupes de 5 personnes seront créés afin de gagner la compétition. L'objectif est de s'amuser et d'apprendre Linux encore plus (afin de se sensibiliser à la sécurité sous Linux/web,etc.).</p>
<p>La rencontre virtuelle aura lieu samedi le 24 septembre 2022 de 14:30 à minuit (heure de France) ou de 8:30 à 18:00 (heure du Québec).</p>
<p>Note: Nos conférences virtuelles utilisent 100% de logiciels libres avec BigBlueButton sous Linux et sont hébergées au Québec chez OVHcloud (sur des serveurs de la compagnie Services-Conseils Linux inc.).</p>
<p>J’espère vous y voir en grand nombre afin que l’on atteigne une assistance record cette année ;-)</p>
<p>Martial Bigras<br>
Organisateur des Linux-Meetup au Québec depuis 2003 (19 ans)</p>
</div><div><a href="https://linuxfr.org/news/celebrons-les-19-ans-des-linux-meetup-au-quebec.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/128748/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/celebrons-les-19-ans-des-linux-meetup-au-quebec#comments">ouvrir dans le navigateur</a>
</p>
MartialBigBenoît Sibaudhttps://linuxfr.org/nodes/128748/comments.atomtag:linuxfr.org,2005:News/405612022-08-22T07:36:49+02:002022-08-23T11:21:57+02:00WireGuard, protocole de communication chiffré sur UDP et logiciel libreLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p><a href="https://fr.wikipedia.org/wiki/WireGuard" title="Définition Wikipédia">WireGuard</a> est à la fois un protocole de communication chiffré sur <a href="https://fr.wikipedia.org/wiki/User_Datagram_Protocol">UDP</a> et un logiciel libre l’implémentant, le tout créé par Jason A. Donenfeld, qui vise à remplacer les protocoles ou logiciels comme <a href="https://fr.wikipedia.org/wiki/IPsec">IPSec</a> ou <a href="https://fr.wikipedia.org/wiki/OpenVPN">OpenVPN</a>.</p>
<p>Bien que WireGuard ait été principalement pensé pour Linux et que son implémentation de référence soit celle du noyau Linux, il existe des implémentations sous licence libre pour la majorité des plateformes (Linux, BSD, Windows, Mac, Android, iOS), sous GPLv2 pour le noyau Linux, sous MIT, BSD, APLv2 ou GPL suivant les autres cas.</p>
</div><ul></ul><div><h2 class="sommaire">Sommaire</h2>
<ul class="toc">
<li><a href="#toc-introduction">Introduction</a></li>
<li>
<a href="#toc-disponibilit%C3%A9">Disponibilité</a><ul>
<li>
<a href="#toc-linux">Linux</a><ul>
<li><a href="#toc-debian">Debian</a></li>
<li><a href="#toc-android">Android</a></li>
</ul>
</li>
<li><a href="#toc-freebsd-netbsd-et-openbsd">FreeBSD, NetBSD et OpenBSD</a></li>
<li><a href="#toc-windows">Windows</a></li>
<li><a href="#toc-macos-et-ios">MacOS et iOS</a></li>
</ul>
</li>
<li>
<a href="#toc-tutoriel-installer-wireguard-sur-debianubuntu">Tutoriel : Installer Wireguard sur Debian/Ubuntu</a><ul>
<li>
<ul>
<li><a href="#toc-installation-de-wireguard">Installation de WireGuard</a></li>
<li>
<a href="#toc-installation-du-serveur-dns-unbound">Installation du serveur DNS </a><a href="https://nlnetlabs.nl/projects/unbound/about/">Unbound</a>
</li>
<li><a href="#toc-protection-du-serveur-avec-ufw">Protection du serveur avec UFW</a></li>
<li><a href="#toc-test-de-wireguard">Test de WireGuard</a></li>
</ul>
</li>
</ul>
</li>
</ul>
<h2 id="toc-introduction">Introduction</h2>
<p>WireGuard se veut plus simple qu’IPSec à la fois pour les développeurs et pour les utilisateurs. Il ne propose notamment qu’une seule suite d’algorithmes cryptographiques (considérés comme les plus sûrs et les plus performants à l’heure actuelle) et ne laisse aucun choix de configuration.</p>
<p>Bien que le protocole ne soit pas normalisé sous forme d’une RFC comme peuvent l’être d’autres protocoles d’internet (IPSec par exemple), il est décrit dans <a href="https://www.wireguard.com/papers/wireguard.pdf">un « papier blanc » écrit par son créateur</a>.</p>
<h2 id="toc-disponibilité">Disponibilité</h2>
<h3 id="toc-linux">Linux</h3>
<p>WireGuard est disponible nativement dans le noyau Linux depuis la version 5.6 et est disponible comme un module externe pour les noyaux 3.10 et ultérieur (en utilisant le support dynamique de chargements de modules <a href="https://en.wikipedia.org/wiki/Dynamic_Kernel_Module_Support">DKMS</a>).</p>
<p><code>NetworkManager</code> gère WireGuard par défaut <a href="https://www.phoronix.com/scan.php?page=news_item&px=NetworkManager-1.16-Released">depuis la version 1.16</a>, cependant il n’existe pas d’interface graphique pour gérer ce type de connexions. Pour ajouter une interface graphique de configuration, il existe le greffon <a href="https://github.com/max-moser/network-manager-wireguard">network-manager-wireguard</a> (semblable aux greffons pour <code>OpenVPN</code> ou <code>OpenConnect</code>).</p>
<h4 id="toc-debian">Debian</h4>
<p>Avec Debian 11 (Bullseye), WireGuard est intégré au noyau 5.10 et vous n’avez rien à faire si ce n’est installer les outils en ligne de commande fournis par le paquet <a href="https://packages.debian.org/bullseye/wireguard">wireguard</a> et ses dépendances.</p>
<p>Sur Debian 10 (Buster), WireGuard s’installe depuis les backports (aussi avec le paquet <a href="https://packages.debian.org/buster-backports/wireguard"><code>wireguard</code></a>), mais l’installation utilise DKMS et peut nécessiter des actions manuelles si vous avez SecureBoot activé :</p>
<ul>
<li>soit <a href="https://wiki.debian.org/SecureBoot#MOK_-_Machine_Owner_Key">signer le module avec une clef que vous aurez préalablement ajoutée au trousseau UEFI</a> ;</li>
<li>soit <a href="https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=931440">désactiver Secure Boot</a> (en dernier recours).</li>
</ul>
<p>Ensuite il faudra peut-être remplacer <code>resolvconf</code> par <code>openresolv</code> à cause <a href="https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=939904">du bogue 939904</a>.</p>
<h4 id="toc-android">Android</h4>
<p>Une application est disponible soit sur <a href="https://play.google.com/store/apps/details?id=com.wireguard.android">Play Store</a>, soit sur <a href="https://f-droid.org/en/packages/com.wireguard.android/">F-droid</a>.</p>
<p>Petite astuce, il est possible de générer un QR code depuis le serveur : <code>qrencode -t ansiutf8 < fichier_de.conf</code></p>
<h3 id="toc-freebsd-netbsd-et-openbsd">FreeBSD, NetBSD et OpenBSD</h3>
<p>WireGuard est intégré au noyau d’OpenBSD depuis la <a href="https://www.openbsd.org/68.html">version 6.8</a>. NetBSD propose WireGuard dans le noyau de sa <a href="https://mail-index.netbsd.org/current-users/2020/08/20/msg039393.html">branche de développement</a>, la future version 10. Quant à FreeBSD, le support de WireGuard <a href="https://lwn.net/Articles/850098/">fut retiré</a> de son noyau juste avant la sortie de la version 13. Pour pallier ce manque, le mécanisme des ports propose une nouvelle <a href="https://www.freshports.org/net/wireguard-kmod/">implémentation en espace noyau</a>, ainsi que l’implémentation de référence qui fonctionne <a href="https://www.freshports.org/net/wireguard-go/">en mode utilisateur</a>.</p>
<h3 id="toc-windows">Windows</h3>
<p>Wireguard est disponible pour Windows soit sous la forme <a href="https://git.zx2c4.com/wireguard-windows/about/">d’un module en espace utilisateur</a> (recommandée), soit sous la forme d’un module noyau expérimental : <a href="https://git.zx2c4.com/wireguard-nt/about/"><code>WireguardNT</code></a>.</p>
<h3 id="toc-macos-et-ios">MacOS et iOS</h3>
<p>Des applications sont disponibles sur l'App Store pour <a href="https://itunes.apple.com/us/app/wireguard/id1451685025?ls=1&mt=12">macOS</a> et <a href="https://itunes.apple.com/us/app/wireguard/id1441195209?ls=1&mt=8">iOS</a>.</p>
<h2 id="toc-tutoriel-installer-wireguard-sur-debianubuntu">Tutoriel : Installer Wireguard sur Debian/Ubuntu</h2>
<p>Tutoriel assez complet pour installer WireGuard sur Debian et Ubuntu 20.04 avec :</p>
<ul>
<li>tunnel/NAT</li>
<li>IPv6</li>
<li>serveur DNS (pour éviter les fuites DNS)</li>
</ul>
<p>Si vous installez le <a href="https://fr.wikipedia.org/wiki/Unbound">résolveur DNS validateur, cache, récursif unbound</a>, il faut penser à désinstaller <code>bind9</code> avant sinon vous aurez un conflit sur le port <code>53</code>.</p>
<h4 id="toc-installation-de-wireguard">Installation de WireGuard</h4>
<p>Le serveur utilisé est un VPS avec une installation Ubuntu server 20.04 toute fraîche.</p>
<pre><code class="sh">apt install wireguard</code></pre>
<p>Activation de l'ip_forward pour les deux piles IP</p>
<pre><code class="shell">sed -i <span class="s1">'s/^#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/'</span> /etc/sysctl.conf
sed -i <span class="s1">'s/^#net.ipv6.conf.all.forwarding=1/net.ipv6.conf.all.forwarding=1/'</span> /etc/sysctl.conf</code></pre>
<p>Prise en compte immédiate</p>
<pre><code class="shell">sysctl -p</code></pre>
<p>La configuration se fait dans <code>/etc/wireguard/</code>. Le serveur a besoin d’un fichier de configuration nommé par exemple <code>wg0.conf</code>. Ici <code>wg0</code> sera le nom de l’interface réseau de WireGuard.<br>
Pour l’exemple, nous utiliserons ici les plages d’adresses privées suivantes : <code>10.26.174.0/24, fd42:42:42::/64</code>.<br>
Le serveur écoutera sur le port <code>51955</code>.</p>
<p>Nous allons également devoir générer des paires de clefs (privées et publiques) pour le serveur (A) et pour l’exemple les deux premiers clients (B et C). Pour cela, Wirguard fournit tous les outils nécessaires.</p>
<pre><code class="shell"><span class="nb">umask</span> <span class="m">077</span><span class="p">;</span> wg genkey <span class="p">|</span> tee peer_A.key <span class="p">|</span> wg pubkey > peer_A.pub
<span class="nb">umask</span> <span class="m">077</span><span class="p">;</span> wg genkey <span class="p">|</span> tee peer_B.key <span class="p">|</span> wg pubkey > peer_B.pub
<span class="nb">umask</span> <span class="m">077</span><span class="p">;</span> wg genkey <span class="p">|</span> tee peer_C.key <span class="p">|</span> wg pubkey > peer_C.pub</code></pre>
<p>Dans la foulée, on va également générer des clefs pré-partagées histoire d’ajouter un petit niveau de sécurité.</p>
<pre><code class="shell"><span class="nb">umask</span> <span class="m">077</span><span class="p">;</span> wg genpsk > peer_A-peer_B.psk
<span class="nb">umask</span> <span class="m">077</span><span class="p">;</span> wg genpsk > peer_A-peer_C.psk</code></pre>
<p>WireGuard a la capacité de lancer des commandes à son lancement (PostUp) et à sa fermeture (PostDown). Nous allons nous en servir pour lancer les commandes Iptables nécessaires à son fonctionnement. Dans cet exemple, l’interface réseau du VPS sur lequel ont été menés les tests est <code>ens3</code>.</p>
<p>Le fichier de configuration <code>/etc/wireguard/wg0.conf</code></p>
<pre><code class="ini"><span class="k">[Interface]</span>
<span class="na">Address</span> <span class="o">=</span> <span class="s">10.26.174.1/24, fd42:42:42::1/64</span>
<span class="na">ListenPort</span> <span class="o">=</span> <span class="s">51955</span>
<span class="na">PostUp</span> <span class="o">=</span> <span class="s">iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE; ip6tables -A FORWARD -i %i -j ACCEPT; ip6tables -t nat -A POSTROUTING -o ens3 -j MASQUERADE</span>
<span class="na">PostDown</span> <span class="o">=</span> <span class="s">iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE; ip6tables -D FORWARD -i %i -j ACCEPT; ip6tables -t nat -D POSTROUTING -o ens3 -j MASQUERADE </span>
<span class="na">PrivateKey</span> <span class="o">=</span> <span class="s">C...contenu_de_peer_A.key...=</span>
<span class="na">DNS</span> <span class="o">=</span> <span class="s">10.26.174.1, fd42:42:42::1</span>
<span class="k">[Peer]</span>
<span class="na">PublicKey</span> <span class="o">=</span> <span class="s">K...contenu_de_peer_B.pub...=</span>
<span class="na">PresharedKey</span> <span class="o">=</span> <span class="s">k...contenu_de_peer_A-peer_B.psk...= </span>
<span class="na">AllowedIPs</span> <span class="o">=</span> <span class="s">10.26.174.2/32, fd42:42:42::2/128</span>
<span class="k">[Peer]</span>
<span class="na">PublicKey</span> <span class="o">=</span> <span class="s">r...contenu_de_peer_C.pub...=</span>
<span class="na">PresharedKey</span> <span class="o">=</span> <span class="s">j...contenu_de_peer_A-peer_C.psk...=</span>
<span class="na">AllowedIPs</span> <span class="o">=</span> <span class="s">10.26.174.3/32, fd42:42:42::3/128</span></code></pre>
<h4 id="toc-installation-du-serveur-dns-unbound">Installation du serveur DNS <a href="https://nlnetlabs.nl/projects/unbound/about/">Unbound</a>
</h4>
<blockquote>
<p>Si vous ne comptez pas utiliser <code>unbound</code>, et donc sauter cette étape, vous allez avoir une erreur au lancement de WireGuard. <code>openresolv</code> est la solution. Installez ce paquet et passez à l’étape suivante.</p>
</blockquote>
<pre><code class="shell">apt install unbound unbound-host resolvconf</code></pre>
<p>Le fichier de configuration qui va bien : <code>/etc/unbound/unbound.conf.d/dns-cx11.conf</code>. </p>
<pre><code class="awk"><span class="nx">server</span><span class="err">:</span>
<span class="nx">num</span><span class="o">-</span><span class="nx">threads</span><span class="err">:</span> <span class="mi">4</span>
<span class="c1"># enable logs</span>
<span class="nx">verbosity</span><span class="err">:</span> <span class="mi">0</span> <span class="c1"># no verbosity, only errors</span>
<span class="c1"># Répondre aux requêtes DNS sur toutes les interfaces</span>
<span class="nx">interface</span><span class="err">:</span> <span class="mf">0.0</span><span class="p">.</span><span class="mf">0.0</span> <span class="c1"># 0.0.0.0 unbound sur plusieurs interfaces</span>
<span class="nx">interface</span><span class="err">:</span> <span class="err">::</span><span class="mi">0</span>
<span class="nx">max</span><span class="o">-</span><span class="nx">udp</span><span class="o">-</span><span class="nx">size</span><span class="err">:</span> <span class="mi">3072</span>
<span class="c1"># IPs authorised to access the DNS Server</span>
<span class="nx">access</span><span class="o">-</span><span class="nx">control</span><span class="err">:</span> <span class="mf">0.0</span><span class="p">.</span><span class="mf">0.0</span><span class="o">/</span><span class="mi">0</span> <span class="nx">refuse</span>
<span class="nx">access</span><span class="o">-</span><span class="nx">control</span><span class="err">:</span> <span class="mf">127.0</span><span class="p">.</span><span class="mf">0.0</span><span class="o">/</span><span class="mi">8</span> <span class="nx">allow</span>
<span class="nx">access</span><span class="o">-</span><span class="nx">control</span><span class="err">:</span> <span class="mf">10.26</span><span class="p">.</span><span class="mf">174.0</span><span class="o">/</span><span class="mi">24</span> <span class="nx">allow</span>
<span class="nx">access</span><span class="o">-</span><span class="nx">control</span><span class="err">:</span> <span class="err">::</span><span class="mi">0</span><span class="o">/</span><span class="mi">0</span> <span class="nx">refuse</span>
<span class="nx">access</span><span class="o">-</span><span class="nx">control</span><span class="err">:</span> <span class="err">::</span><span class="mi">1</span> <span class="nx">allow</span>
<span class="nx">access</span><span class="o">-</span><span class="nx">control</span><span class="err">:</span> <span class="nx">fe80</span><span class="err">::</span><span class="o">/</span><span class="mi">10</span> <span class="nx">allow</span>
<span class="nx">access</span><span class="o">-</span><span class="nx">control</span><span class="err">:</span> <span class="nx">fd42</span><span class="err">:</span><span class="mi">42</span><span class="err">:</span><span class="mi">42</span><span class="err">::</span><span class="o">/</span><span class="mi">64</span> <span class="nx">allow</span>
<span class="c1">#hide DNS Server info</span>
<span class="nx">hide</span><span class="o">-</span><span class="nx">identity</span><span class="err">:</span> <span class="nx">yes</span>
<span class="nx">hide</span><span class="o">-</span><span class="nx">version</span><span class="err">:</span> <span class="nx">yes</span>
<span class="c1"># limit DNS fraud and use DNSSEC</span>
<span class="nx">harden</span><span class="o">-</span><span class="nx">glue</span><span class="err">:</span> <span class="nx">yes</span>
<span class="nx">harden</span><span class="o">-</span><span class="nx">dnssec</span><span class="o">-</span><span class="nx">stripped</span><span class="err">:</span> <span class="nx">yes</span>
<span class="nx">harden</span><span class="o">-</span><span class="nx">referral</span><span class="o">-</span><span class="nx">path</span><span class="err">:</span> <span class="nx">yes</span>
<span class="c1"># add an unwanted reply threshold to clean the cache and avoid, when possible, DNS poisoning</span>
<span class="nx">unwanted</span><span class="o">-</span><span class="nx">reply</span><span class="o">-</span><span class="nx">threshold</span><span class="err">:</span> <span class="mi">10000000</span>
<span class="c1"># have the validator print validation failures to the log</span>
<span class="nx">val</span><span class="o">-</span><span class="kr">log</span><span class="o">-</span><span class="nx">level</span><span class="err">:</span> <span class="mi">1</span>
<span class="c1"># minimum lifetime of cache entries in seconds</span>
<span class="nx">cache</span><span class="o">-</span><span class="nx">min</span><span class="o">-</span><span class="nx">ttl</span><span class="err">:</span> <span class="mi">1800</span>
<span class="c1"># maximum lifetime of cached entries in seconds</span>
<span class="nx">cache</span><span class="o">-</span><span class="nx">max</span><span class="o">-</span><span class="nx">ttl</span><span class="err">:</span> <span class="mi">14400</span>
<span class="nx">prefetch</span><span class="err">:</span> <span class="nx">yes</span>
<span class="nx">qname</span><span class="o">-</span><span class="nx">minimisation</span><span class="err">:</span> <span class="nx">yes</span>
<span class="nx">prefetch</span><span class="o">-</span><span class="nx">key</span><span class="err">:</span> <span class="nx">yes</span>
<span class="c1">#include: /etc/unbound/unbound.conf.d/adslist.txt </span></code></pre>
<p>Droits :</p>
<pre><code class="shell">chown -R unbound:unbound /var/lib/unbound</code></pre>
<p>Pour vérifier si le fichier de configuration est valide</p>
<pre><code class="shell">unbound-checkconf /etc/unbound/unbound.conf.d/dns-cx11.conf</code></pre>
<p>La réponse attendue :</p>
<blockquote>
<p>unbound-checkconf: no errors in /etc/unbound/unbound.conf.d/dns-cx11.conf</p>
</blockquote>
<p>Désactiver <code>systemd-resolved</code> (si utilisé)</p>
<pre><code class="shell">systemctl stop systemd-resolved
systemctl disable systemd-resolved</code></pre>
<p>Activation d’unbound`</p>
<pre><code class="shell">systemctl <span class="nb">enable</span> unbound-resolvconf
systemctl <span class="nb">enable</span> unbound</code></pre>
<p>Il est conseillé de redémarrer le serveur</p>
<h4 id="toc-protection-du-serveur-avec-ufw">Protection du serveur avec UFW</h4>
<pre><code class="shell">apt install ufw</code></pre>
<p>On va modifier une stratégie par défaut d’UFW dans <code>/etc/default/ufw</code> pour permettre un bon fonctionnement de WireGuard : <code>DEFAULT_FORWARD_POLICY="DROP"</code> devient <code>DEFAULT_FORWARD_POLICY="ACCEPT"</code></p>
<p>On va également ouvrir le port d'écoute du serveur VPN (51955).</p>
<pre><code class="shell">ufw allow <span class="m">51955</span>/udp
ufw allow in on wg0 to any</code></pre>
<p>Histoire de conserver l’accès SSH :</p>
<pre><code class="shell">ufw allow ssh</code></pre>
<p>S’il vous arrive d’avoir deux mains gauches et dix pouces, relisez vos règles avant d’activer UFW.</p>
<pre><code class="shell">ufw <span class="nb">enable</span></code></pre>
<p>Pour voir les règles prises en compte :</p>
<pre><code class="shell">ufw status</code></pre>
<h4 id="toc-test-de-wireguard">Test de WireGuard</h4>
<p>Lancement du serveur VPN :</p>
<pre><code class="shell">wg-quick up wg0</code></pre>
<p>Si tout se passe bien on peut admirer le résultat :</p>
<pre><code class="shell">wg show</code></pre>
<p>(<code>wg</code> donne le même résultat)</p>
<p>Pour l’arrêter :</p>
<pre><code class="shell">wg-quick down wg0</code></pre>
<p>Mise en service et activation du service au démarrage du serveur :</p>
<pre><code class="shell">systemctl <span class="nb">enable</span> wg-quick@wg0</code></pre>
<p>Redémarrage et tadaaa !</p>
</div><div><a href="https://linuxfr.org/news/wireguard-protocole-de-communication-chiffre-sur-udp-et-logiciel-libre.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/124828/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/wireguard-protocole-de-communication-chiffre-sur-udp-et-logiciel-libre#comments">ouvrir dans le navigateur</a>
</p>
carb0nCyrille PontvieuxAnonymeBenoît SibaudbenjavoltsSaintGermainYves Bourguignontisaacpalm123GGgregoberVoisinPierre Tramoazerttyuhttps://linuxfr.org/nodes/124828/comments.atomtag:linuxfr.org,2005:News/410452022-06-01T19:59:37+02:002022-06-01T19:59:37+02:00Pass the SALT 2022 : programme et réservation des places (gratuites !) sont en ligneLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Pass the SALT est une conférence dédiée aux Logiciels Libres (ou aux protocoles/formats ouverts) et à la Sécurité.</p>
<p>Cette 5ᵉ édition se déroulera à l’école Polytech de Lille du <strong>4 au 6 juillet 2022</strong>. Son <strong>accès est gratuit (inscription requise)</strong>. Les interventions sont données en <strong>langue anglaise</strong> afin de permettre une participation confortable aux conférenciers, conférencières et spectateurs non francophones. Et, enfin, un social event est organisé le 5 juillet au soir.</p>
</div><ul><li>lien nᵒ 1 : <a title="https://cfp.pass-the-salt.org/pts2022/schedule/#" hreflang="en" href="https://linuxfr.org/redirect/110552">Le programme</a></li><li>lien nᵒ 2 : <a title="https://pretix.eu/passthesalt/2022/" hreflang="en" href="https://linuxfr.org/redirect/110553">Le site de réservation</a></li><li>lien nᵒ 3 : <a title="https://2022.pass-the-salt.org/" hreflang="en" href="https://linuxfr.org/redirect/110554">Le site de l'édition 2022</a></li><li>lien nᵒ 4 : <a title="https://www.pass-the-salt.org/" hreflang="en" href="https://linuxfr.org/redirect/110555">Les archives des années précédentes</a></li></ul><div><p><img src="//img.linuxfr.org/img/68747470733a2f2f61726368697665732e706173732d7468652d73616c742e6f72672f5061737325323074686525323053414c542f323031392f70686f746f732f50686f746f73505453323031392d6362726f6361732f32303139303730315f3135313030372e6a7067/20190701_151007.jpg" alt="édition 2019" title="Source : https://archives.pass-the-salt.org/Pass%20the%20SALT/2019/photos/PhotosPTS2019-cbrocas/20190701_151007.jpg"></p>
<p>Cette année, il y aura <strong>26 conférences et 5 ateliers</strong>. Les conférences sont regroupées en <strong>7 sessions</strong> (reverse, pentest, réseaux, blueteam, système, matériel, communications sécurisées).</p>
<p>L’objectif est que vous puissiez apprendre et pratiquer pendant ces deux jours et demi de conférences et ateliers auprès d’experts reconnus en Sécurité.</p>
<p>Ces derniers apprécient tout particulièrement l’<strong>ambiance décontractée</strong> de la conférence et sont en retour très accessibles pour le public participant! En plus de l’atmosphère, <strong>le niveau de la conférence est aussi reconnu par ces experts</strong> comme ici, par Orange Tsaï :</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f323031392e706173732d7468652d73616c742e6f72672f696d672f6f72616e67652e706e67/orange.png" alt="thanks Orange" title="Source : https://2019.pass-the-salt.org/img/orange.png"></p>
<p>Il ne vous reste plus qu’à :</p>
<ul>
<li>consulter le programme ;</li>
<li>
<strong>vous inscrire gratuitement</strong> ;</li>
<li>et être parmi nous début juillet à Lille !</li>
</ul>
<p>À très bientôt !</p>
</div><div><a href="https://linuxfr.org/news/pass-the-salt-2022-programme-et-reservation-des-places-gratuites-sont-en-ligne.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/127883/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/pass-the-salt-2022-programme-et-reservation-des-places-gratuites-sont-en-ligne#comments">ouvrir dans le navigateur</a>
</p>
christophe brocasYsabeau 🧶 🧦Xavier Teyssierhttps://linuxfr.org/nodes/127883/comments.atomtag:linuxfr.org,2005:News/408542022-01-26T00:29:40+01:002022-01-26T00:29:40+01:00Passbolt, le gestionnaire de mots de passe pour équipe, lance ses applications mobilesLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Passbolt est un gestionnaire de mots de passe libre conçu pour l’utilisation en équipe et la collaboration. La première version du logiciel avait été annoncée <a href="//linuxfr.org/news/passbolt-un-nouveau-gestionnaire-de-mots-de-passe-pour-les-equipes">ici même</a> sur LinuxFr il y a quelques années.</p>
<p>Depuis son lancement initial en 2016, passbolt a beaucoup évolué : de nombreuses fonctionnalités <a href="https://passbolt.com/roadmap">ont été ajoutées</a> ainsi que le support de nombreux systèmes. Le serveur passbolt peut maintenant être installé sur <a href="https://help.passbolt.com/hosting/install">un large éventail de serveurs Linux</a> (packet debian, ubuntu, centos, redhat…), docker, ou même encore <a href="https://help.passbolt.com/hosting/install/ce/raspberry.html">sur Raspberry Pi</a>. Sur le plan de la sécurité, les différents composants de la solution ont été intégralement audités en 2021 par une société indépendante (Cure53).</p>
<p>Passbolt dispose d’un forum communautaire sur lequel les membres peuvent proposer ou voter pour de nouvelles fonctionnalités. La fonctionnalité la plus demandée étant depuis un moment et de loin la disponibilité d’applications mobiles, il devenait important de prioriser ces développements. </p>
<p>Après plus d’un an de travail et beaucoup de sueur, l’équipe passbolt est donc fière d’annoncer la sortie de ses deux applications mobiles iOS et Android, toutes les deux entièrement libres, intégralement auditées, et compatibles avec l’ensemble des éditions du logiciel : communauté, pro et cloud édition. </p>
<p>Avant d’entrer dans les détails, voici <a href="https://youtu.be/GETFLtDAcxM">une petite vidéo de démonstration</a> (en anglais).</p>
</div><ul><li>lien nᵒ 1 : <a title="https://www.passbolt.com" hreflang="en" href="https://linuxfr.org/redirect/109817">Site web</a></li><li>lien nᵒ 2 : <a title="https://blog.passbolt.com" hreflang="en" href="https://linuxfr.org/redirect/109818">Blog</a></li><li>lien nᵒ 3 : <a title="https://community.passbolt.com" hreflang="en" href="https://linuxfr.org/redirect/109819">Forum communautaire</a></li></ul><div><h2 class="sommaire">Sommaire</h2>
<ul class="toc">
<li><a href="#toc-des-applications-natives-pour-une-meilleure-compatibilit%C3%A9-et-davantage-de-s%C3%A9curit%C3%A9">Des applications natives, pour une meilleure compatibilité et davantage de sécurité</a></li>
<li><a href="#toc-la-gestion-du-transfert-de-clefs-openpgp">La gestion du transfert de clefs OpenPGP</a></li>
<li><a href="#toc-connexion-sans-mot-de-passe">Connexion sans mot de passe</a></li>
<li><a href="#toc-les-op%C3%A9rations-support%C3%A9es">Les opérations supportées</a></li>
<li><a href="#toc-avantages-li%C3%A9es-%C3%A0-larchitecture-granulaire">Avantages liées à l’architecture granulaire</a></li>
<li><a href="#toc-les-prochaines-%C3%A9tapes">Les prochaines étapes</a></li>
<li><a href="#toc-partagez-vos-feedbacks">Partagez vos feedbacks</a></li>
</ul>
<h2 id="toc-des-applications-natives-pour-une-meilleure-compatibilité-et-davantage-de-sécurité">Des applications natives, pour une meilleure compatibilité et davantage de sécurité</h2>
<p>La première difficulté en amont du développement fût d’établir le cahier des charges et de décider de quelle manière construire ces applications. Le marché disposant à l’heure actuelle d’un grand nombre d’options, il peut être facile de s’y perdre. </p>
<p>Certaines technologies hybrides (React Nativ, Flutter, Iconic, etc… ) peuvent s’avérer tentantes tant du point de vue facilité de développement que réutilisation de la base de code pour plusieurs plateformes. Étant une petite équipe de développeurs à Passbolt, c’est donc naturellement la première option qui a été explorée. Cependant, les nombreuses contraintes liées aux aspects sécuritaires du logiciel et aux besoins d’accès aux couches les plus proches du système (stockage sécurisé, gestion du trousseau de clefs systèmes) nous ont poussé à renoncer à cette option hybride assez rapidement.</p>
<p>Finalement, et malgré les dures implications de ce choix, l’équipe a donc opté pour un développement intégralement natif. C’est en conséquence deux applications complètement différentes, l’une pour iOS, l’autre pour Android, avec des expériences utilisateurs distinctes, qui ont été développées pendant plus de douze mois. L’effort fût coûteux, mais le résultat en vaut largement la chandelle en termes de possibilités logiciels offertes.</p>
<p>Le code source des deux applications, ainsi que les instructions de compilation sont disponibles ici :</p>
<ul>
<li><a href="https://github.com/passbolt/mobile-passbolt-ios">Application iOS sur Github</a></li>
<li><a href="https://github.com/passbolt/mobile-passbolt-android">Application Android sur Github</a></li>
</ul>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f64726976652e676f6f676c652e636f6d2f75633f69643d3136703367795a6135675350344b6e4633535a5451517a58507848646151377331/uc?id=16p3gyZa5gSP4KnF3SZTQQzXPxHdaQ7s1" alt="Ecrans représentatifs de l'application mobile" title="Source : https://drive.google.com/uc?id=16p3gyZa5gSP4KnF3SZTQQzXPxHdaQ7s1"></p>
<h2 id="toc-la-gestion-du-transfert-de-clefs-openpgp">La gestion du transfert de clefs OpenPGP</h2>
<p>Passbolt étant basé sur OpenPGP pour la partie chiffrement, et chaque utilisateur disposant de sa propre clef privée qui comme son nom l’indique n’est pas transmise au serveur, la première difficulté consistait à permettre le transfert de cette clef entre le navigateur et le mobile.</p>
<p>Après avoir étudié la possibilité d’effectuer le transfert de la clef par certaines méthodes exotiques telles que NFC ou fréquences sonores, nous avons finalement retenu la méthode plus traditionnelle, mais éprouvée du code QR. “La plupart des clefs OpenPGP sont trop grosses pour être contenues dans un code QR” me direz-vous. Vous avez tout à fait raison. C’est la raison pour laquelle le transfert s’effectue au travers du scan de plusieurs codes QR à tour de rôle, s’enchaînant automatiquement sans intervention de l’utilisateur. Cela se déroule en quelques secondes au plus, <a href="https://youtu.be/3PYsqNuSj5c">jugez par vous-mêmes</a>.</p>
<h2 id="toc-connexion-sans-mot-de-passe">Connexion sans mot de passe</h2>
<p>De manière plutôt surprenante pour un gestionnaire de mots de passe, la connexion à Passbolt depuis l’application mobile peut se faire sans…. mot de passe. Ceci grâce à la biométrie. </p>
<p>D’un point de vue technique, le stockage sécurisé de l’appareil est utilisé pour stocker la phrase secrète permettant de chiffrer la clef OpenPGP. La phrase secrète est donc débloquée par l'utilisateur en utilisant sa biométrie, laquelle est ensuite utilisée pour déchiffrer la clef OpenPGP, se connecter et accéder aux mots de passe contenus dans passbolt.</p>
<h2 id="toc-les-opérations-supportées">Les opérations supportées</h2>
<p>Cette première version des applications mobiles supporte les opérations de base du logiciel telles que la création, la lecture, la mise à jour et la suppression de mots de passe. Il est également possible d’accéder aux données méta d’un mot de passe. Enfin, il est possible d’utiliser l’application pour remplir automatiquement les identifiants sur tout site web ou application connu de passbolt.</p>
<h2 id="toc-avantages-liées-à-larchitecture-granulaire">Avantages liées à l’architecture granulaire</h2>
<p>Sur passbolt, chaque mot de passe a sa propre entrée en base de données et sa propre granularité en termes de permissions d’accès au moment d’un éventuel partage sécurisé. Cela a de nombreux avantages par rapport à des solutions de type vault où l'entièreté du vault est partagé avec d’autres utilisateurs posant donc des contraintes de bande passante, d’écritures concurrentielles et de révocations de clefs.</p>
<p>Dans le cas précis des applications mobiles, cela permet de garantir qu’un utilisateur aura toujours accès à la dernière version version d’un secret partagé et que les logs d’accès maintiennent leur intégrité.</p>
<p>Pour en savoir plus sur le modèle de sécurité, n’hésitez pas à consulter le <a href="https://help.passbolt.com/assets/files/Security%20White%20Paper%20-%20Passbolt%20Pro%20Edition.pdf">livre blanc du modèle de sécurité</a> (en anglais).</p>
<h2 id="toc-les-prochaines-étapes">Les prochaines étapes</h2>
<p>Malgré la sortie de cette première version pour les applications mobiles, la feuille de route reste relativement ambitieuse. Les prochaines évolutions incluront entre autres la possibilité de partager un mot de passe depuis l’application mobile ou encore la possibilité d’effectuer des opérations passbolt sur desktop intégralement grâce à la biométrie (connexion, déblocage d’un mot de passe, recouvrement d’un compte).</p>
<h2 id="toc-partagez-vos-feedbacks">Partagez vos feedbacks</h2>
<p>L’équipe derrière passbolt étant en majeure partie francophone, n’hésitez pas à partager vos retours directement dans les commentaires ci-dessous. LinuxFR étant à l’origine de la toute première publication lors de la sortie initiale de passbolt, il y a maintenant presque cinq ans déjà, c’est avec beaucoup de plaisir que nous répondrons à vos questions, messages ou critiques.</p>
</div><div><a href="https://linuxfr.org/news/passbolt-le-gestionnaire-de-mots-de-passe-pour-equipe-lance-ses-applications-mobiles.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/126696/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/passbolt-le-gestionnaire-de-mots-de-passe-pour-equipe-lance-ses-applications-mobiles#comments">ouvrir dans le navigateur</a>
</p>
kevin mullerXavier TeyssierPierre JarillonYsabeau 🧶 🧦claudexpalm123https://linuxfr.org/nodes/126696/comments.atomtag:linuxfr.org,2005:News/407662021-11-29T10:38:54+01:002021-11-29T10:38:54+01:00SimpleLogin 2.0: recevoir et envoyer des mails de manière anonyme. Protéger nos boites mails.Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>SimpleLogin est à la fois un service d’alias de courriels et une plate‑forme totalement libre (sous licence MIT) que l’on peut auto‑héberger. Il a été présenté en version bêta début 2020 <a href="//linuxfr.org/news/simplelogin-un-outil-open-source-pour-proteger-nos-adresses-de-courriel#fnref1">ici-même</a>.</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f73696d706c656c6f67696e2e696f2f6c6f676f2e737667/logo.svg" alt="Simple Login Logo" title="Source : https://simplelogin.io/logo.svg"></p>
<p>Depuis, le service a ajouté de nouvelles fonctionnalités et est devenu le référent parmi les services de masquage d’adresse mail. Avec l’arrivée de Hide My Email d’Apple, Masked Email d’1Password, Firefox Relay de Mozilla, le besoin de cacher notre adresse mail (ou notre identité numérique) est devenu populaire.</p>
<p>SimpleLogin est un service de masquage d’adresse mail: il permet de créer rapidement un « alias d’e-mail » qui cache notre vraie boîte mail. Les mails envoyés à un alias sont redirigés à notre boîte mail. On peut répondre à un mail comme d’habitude: la réponse sera envoyée de notre alias et notre vraie boîte mail reste cachée. Nous pouvons aussi envoyer des mails à un contact à partir d’un alias: un alias est donc comme une adresse mail « normale ».</p>
<p>Créé en France, 100% open source, disponible sur tous les plates-formes, SimpleLogin est considéré par les experts en vie privée comme la solution la plus avancée aujourd’hui. Il vient aussi de recevoir le prix du « meilleur projet Open Source » lors de l’<em>Open Source Experience</em> organisé à Paris début novembre 2021.</p>
</div><ul><li>lien nᵒ 1 : <a title="https://simplelogin.io/fr/" hreflang="fr" href="https://linuxfr.org/redirect/109463">Page d'accueil du site SimpleLogin</a></li><li>lien nᵒ 2 : <a title="https://simplelogin.io/fr/pricing/" hreflang="fr" href="https://linuxfr.org/redirect/109464">Offres SimpleLogin</a></li><li>lien nᵒ 3 : <a title="https://simplelogin.io/blog/" hreflang="en" href="https://linuxfr.org/redirect/109465">Blog SimpleLogin</a></li><li>lien nᵒ 4 : <a title="https://simplelogin.io/docs/" hreflang="en" href="https://linuxfr.org/redirect/109466">Documentation SimpleLogin</a></li><li>lien nᵒ 5 : <a title="https://www.youtube.com/watch?v=-tKJ7aG43Uw" hreflang="fr" href="https://linuxfr.org/redirect/109467">Open Source Experience : remise des prix des Acteurs du Libre</a></li><li>lien nᵒ 6 : <a title="https://www.libreavous.org/121-emission-en-direct-du-salon-open-source-experience" hreflang="fr" href="https://linuxfr.org/redirect/109468">Entretien sur "Libre à vous"</a></li><li>lien nᵒ 7 : <a title="https://linuxfr.org/news/simplelogin-un-outil-open-source-pour-proteger-nos-adresses-de-courriel#fnref1" hreflang="fr" href="https://linuxfr.org/redirect/109480">LinuxFr.org : SimpleLogin, un outil open source pour protéger nos adresses de courriel</a></li></ul><div><p>Quelques nouvelles fonctionnalités notables dans SimpleLogin :</p>
<ul>
<li>Vous pouvez ajouter vos propres noms de domaines dans SimpleLogin. Vous pouvez aussi utiliser SimpleLogin comme une solution pour gérer des mails « business ».</li>
<li>Si vous n’avez pas de nom de domaine, vous pouvez en réclamer des sous-domaines de SimpleLogin. </li>
<li>L'encryption PGP est maintenant prise en charge. Pratique si votre boîte mail supporte PGP (ProtonMail, GPGTools, Thunderbird, Mailvelope, etc). </li>
<li>Intégration avec <a href="https://haveibeenpwned.com">https://haveibeenpwned.com</a> qui nous alerte si un de nos alias est apparu dans une fuite de données.</li>
<li>L’amélioration d’extension navigateur (Chrome/Brave, Firefox, Edge) et des apps iOS, Android.</li>
</ul>
<p>Disponible en version gratuite (jusqu’à 15 alias) ou Premium ($30/an), SimpleLogin vise à développer les services similaires pour numéros de téléphone et cartes bancaires.</p>
</div><div><a href="https://linuxfr.org/news/simplelogin-2-0-recevoir-et-envoyer-des-mails-de-maniere-anonyme-proteger-nos-boites-mails.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/126074/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/simplelogin-2-0-recevoir-et-envoyer-des-mails-de-maniere-anonyme-proteger-nos-boites-mails#comments">ouvrir dans le navigateur</a>
</p>
sonFlorent Zarapalm123bobble bubblehttps://linuxfr.org/nodes/126074/comments.atomtag:linuxfr.org,2005:News/407492021-11-12T14:35:57+01:002021-11-12T14:35:57+01:00DynFi Firewall, le premier parefeu Open Source françaisLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>DynFi™ Firewall est un pare-feu unique qui permet aux entreprises et institutions de protéger efficacement leurs réseaux tout en offrant une visibilité complète sur son <a href="https://github.com/DynFi">code source</a>. </p>
<p>DynFi Firewall dispose d’une interface intégralement traduite en français et dans onze autres langues.<br>
C'est un fork du projet <a href="https://opnsense.org/">OPNsense</a>, dont l'intégralité des mécanismes de compilation a été modernisé et migré sous <a href="https://www.freebsd.org/releases/13.0R/announce/">FreeBSD 13</a> et <a href="https://www.freebsd.org/cgi/man.cgi?poudriere">poudriere</a>. </p>
</div><ul><li>lien nᵒ 1 : <a title="https://dynfi.com/telecharger/dynfi-firewall/" hreflang="fr" href="https://linuxfr.org/redirect/109406">Téléchargement de DynFi Firewall</a></li><li>lien nᵒ 2 : <a title="https://shop.dynfi.com/category/appliances-dynfi-firewall/1/" hreflang="fr" href="https://linuxfr.org/redirect/109407">Pare-feux Dynfi Firewall</a></li><li>lien nᵒ 3 : <a title="https://github.com/DynFi" hreflang="fr" href="https://linuxfr.org/redirect/109408">Code source de DynFi Firewall</a></li><li>lien nᵒ 4 : <a title="https://dynfi.com/dynfi-firewall/" hreflang="fr" href="https://linuxfr.org/redirect/109409">Informations sur DynFi Firewall</a></li><li>lien nᵒ 5 : <a title="https://dynfi.com/dynfi-manager/" hreflang="fr" href="https://linuxfr.org/redirect/109410">Gestionnaire centralisé DynFi Manager</a></li></ul><div><h2 id="toc-origine-du-projet">Origine du projet</h2>
<p>DynFi Firewall est un fork de <a href="http://opnsense.org">OPNsense</a>, qui a revisité tous les mécanismes de compilation grâce à l'utilisation de <a href="https://www.freebsd.org/cgi/man.cgi?poudriere">poudriere</a> et d'une base FreeBSD 13. <br>
<a href="https://github.com/DynFi">L’accès au code source du pare-feu</a> nous distingue de la plupart de nos concurrents, c’est un point essentiel qui permet de garantir l’absence de portes dérobées ou de logiciel malveillant sur nos pare-feu. Cette stratégie de transparence favorise l’adoption généralisée du pare-feu par les utilisateurs qui peuvent <a href="https://dynfi.com/telecharger/dynfi-firewall/">le télécharger et l’installer gratuitement</a>.<br>
Dans la ligné de nos prédécesseurs, nous avons publié notre <strong>code source sous licence BSD</strong> deux clauses. </p>
<h2 id="toc-un-mécanisme-de-compilation-original-et-moderne">Un mécanisme de compilation original et moderne</h2>
<p>Pour les experts, nous proposons aussi <a href="https://dynfi.com/articles/compiler-dynfi-firewall/">un article qui détaille comment compiler le code source du pare-feu</a> afin d'obtenir votre propre image d'installation de DynFi Firewall. <br>
« <em>Nous sommes très fiers de la mise au point de ce nouveau pare-feu qui offre une alternative aux firewalls Open Source Américain leader pfSense®, il permettra aux entreprises de protéger efficacement leurs réseaux tout en réalisant un grand pas vers la souveraineté numérique française et européenne. Trois années de travail avec une équipe de quatre ingénieurs ont été nécessaires pour parvenir à ce résultat !</em> » , @gregober, le boss de DynFi.</p>
<h2 id="toc-des-fonctionnalités-au-rendez-vous">Des fonctionnalités au rendez-vous</h2>
<p>Issu de la lignée des firewalls dérivés de FreeBSD tels que <a href="https://pfsense.org">pfSense®</a>, <a href="https://opnsense.com">OPNsense®</a>, mais aussi Stormshield®, DynFi Firewall peut être installé sur n’importe quelle appliance i386 ou amd64.</p>
<h2 id="toc-une-documentation-originale-en-français">Une documentation originale en français</h2>
<p>Pendant le premier confinement, les équipes de DynFi ont travaillé à la publication de la <a href="https://dynfi.com/documentations/dynfi-firewall/">première documentation en français sur les pare-feu Open Source</a>. C'est un travail de traduction et de compilation important qui n'est pas complet et pour lequel la communauté Open Source est la bienvenue pour apporter son support!</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f64796e66692e636f6d2f696d672f6466662d73637265656e73686f742e706e67/dff-screenshot.png" alt="Capture d'écran DynFi Firewall" title="Source : https://dynfi.com/img/dff-screenshot.png"></p>
<p>Disponible gratuitement, DynFi Firewall se <a href="https://dynfi.com/telecharger/dynfi-firewall/">télécharge à partir d’une image disque</a> (retour série ou VGA) et s’installe sur la plupart des appliances du marché ou de façon virtualisée. Il est compatible avec le gestionnaire centralisé DynFi Manager qui simplifie la vie des administrateurs en permettant une gestion en nombre des pare-feux.</p>
<h2 id="toc-de-nombreuses-fonctionnalités">De nombreuses fonctionnalités</h2>
<p>DynFi Firewall propose <a href="https://dynfi.com/produits-dynfi/firewall/fonctionnalites-dynfi-firewall/">de très nombreuses fonctionnalités de filtrage</a> réseau :</p>
<ul>
<li>Firewall à gestion d’état</li>
<li>Détection et Prévention des intrusions </li>
<li>VPN: IPSec / Open VPN</li>
<li>Proxy</li>
<li>Reverse Proxy </li>
<li>Multi-WAN</li>
<li>Déploiement en cluster </li>
<li>Anti-virus</li>
<li>Traffic shaper</li>
<li>Support d’IPv6</li>
<li>Intégration à DynFi Manager</li>
</ul>
<h2 id="toc-un-catalogue-dappliances">Un catalogue d'appliances</h2>
<p>Pour financer le projet, la société DynFi propose un <a href="https://shop.dynfi.com/category/dynfi-firewall-appliances/1/">catalogue d'appliances</a> avec DynFi Firewall pré-installé. cela répond aux besoins des PME, ETI ou des Grands Groupes et permet d’accélérer le déploiement de politique de cybersécurité unifiée dans l’entreprise.<br>
DynFi® Firewall a été développé par la société DynFi depuis trois ans avec le soutien de la BPI, de <a href="https://www.recia.fr/">RECIA</a> (Région Centre Interactive) et de <a href="https://systematic-paris-region.org/">Systematic Paris Région</a>.</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f64796e66692e636f6d2f696d672f64796e66692d6669726577616c6c2e706e67/dynfi-firewall.png" alt="Capture d'écran de DynFi Firewall" title="Source : https://dynfi.com/img/dynfi-firewall.png"></p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f64796e66692e636f6d2f696d672f6466662d73637265656e73686f742e706e67/dff-screenshot.png" alt="Capture d'écran DynFi Firewall" title="Source : https://dynfi.com/img/dff-screenshot.png"></p>
</div><div><a href="https://linuxfr.org/news/dynfi-firewall-le-premier-parefeu-open-source-francais.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/125923/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/dynfi-firewall-le-premier-parefeu-open-source-francais#comments">ouvrir dans le navigateur</a>
</p>
gregoberNils RatusznikBenoît Sibaudtisaachttps://linuxfr.org/nodes/125923/comments.atomtag:linuxfr.org,2005:News/404742021-10-30T13:01:02+02:002021-10-30T17:00:55+02:00Sortie de la version 1.0.0 de ageLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>La version 1.0.0 de <a href="https://github.com/FiloSottile/age">Age</a> est <a href="https://github.com/FiloSottile/age/releases/tag/v1.0.0">sortie le 6 septembre 2021</a> après environ 2 ans de développement.</p>
<p>Age est à la fois un format de fichier (age-encryption.org/v1), dont <a href="https://age-encryption.org/v1">la spécification</a> (lien vers Google Documents) se veut très simple, et un outil en ligne commande sous licence BSD 3 clauses, dont le but est de chiffrer des fichiers.</p>
</div><ul><li>lien nᵒ 1 : <a title="https://github.com/FiloSottile/age" hreflang="en" href="https://linuxfr.org/redirect/108479">Dépôt du projet sur GitHub</a></li><li>lien nᵒ 2 : <a title="https://github.com/str4d/rage" hreflang="en" href="https://linuxfr.org/redirect/108480">Dépôt de rage sur GitHub</a></li><li>lien nᵒ 3 : <a title="https://age-encryption.org/v1" hreflang="en" href="https://linuxfr.org/redirect/109327">Specification (lien Google Documents)</a></li></ul><div><h2 id="toc-description">Description</h2>
<p>Age a été crée par <a href="https://filippo.io/">Filippo Valsorda</a> (qui travaille sur la cryptographie et la sécurité dans Go) dans le but de proposer une alternative à OpenPGP/GPG pour échanger des fichiers chiffrés.</p>
<p>Les griefs contre OpenPGP et GPG <a href="https://latacora.micro.blog/2019/07/16/the-pgp-problem.html">sont légions</a> et Filippo souhaitait définir un format de fichier et créer une interface utilisateur qui soit beaucoup plus simple à comprendre et à utiliser (de la même manière que les développeurs de WireGuard souhaitaient ne pas reproduire ce qui se fait avec IPSec).</p>
<p>D’un point de vu cryptographique, Age utilise des clefs <a href="https://fr.wikipedia.org/X25519">X25519</a> et peut soit générer des clefs qui lui sont spécifiques (via <code>age-keygen</code>), soit utiliser des clefs SSH.</p>
<p>Exemple d’utilisation :</p>
<pre><code>$ age-keygen
# created: 2021-05-11T14:30:10-04:00
# public key: age1p7n6yyke4q02m2uzy2f5v9w0znelxm72gktm038k5t0t7z72cs5qsnhvaw
AGE-SECRET-KEY-1FXDQJDV9YX0DPYV2PGDT3W2HLG6LNAK8NA53PRS6GMRWHVQHCEWSTS9VJ
$ echo 'Hello world!' | age -a -r age1p7n6yyke4q02m2uzy2f5v9w0znelxm72gktm038k5t0t7z72cs5qsnhvaw
-----BEGIN AGE ENCRYPTED FILE-----
YWdlLWVuY3J5cHRpb24ub3JnL3YxCi0+IFgyNTUxOSBrSXZadVlhdko5aGVjU25w
K3BlTlF5YUVMclN6L2NvUjBjeGYrWTM1NXl3ClA0eHB3T2NwZ3dMNTJPS0tVUHhJ
bGUyV2NGSndPdEM4Rlh1MkFBYU1VdzAKLS0tIEk4WG91SE13LzhvSEQxdlFwLzh0
ZnFGdFYvVGQxcHd1K0NVZGFZOEJhemsK5IVbACUVOEO+8UnCtG6UedxKAlnGbBfI
6J91FdVTORX7RmsczeD3Uouqq4xi
-----END AGE ENCRYPTED FILE-----
</code></pre>
<h2 id="toc-disponibilité">Disponibilité</h2>
<p>Age est écrit en Go et des binaires pré-compilés sont disponibles avec chaque nouvelle version sur GitHub. Il est également disponible pour les distributions Linux majeures (Debian, Ubuntu, ArchLinux, Fedora, Nix) ainsi que Windows, MacOS, OpenBSD et FreeBSD.</p>
<p>Voir <a href="https://github.com/FiloSottile/age#installation">la documentation sur l’installation</a> pour plus de détails.</p>
<h2 id="toc-autres-implémentations">Autres implémentations</h2>
<h3 id="toc-rage">rage</h3>
<p>Rage est une implémentation en Rust, sous licences Apache 2.0 et MIT, qui propose des fonctionnalités en plus par rapport à l’implémentation de référence, comme, par exemple, la possibilité de monter une archive TAR chiffrée.</p>
<h3 id="toc-sops">SOPS</h3>
<p><a href="https://github.com/mozilla/sops">L’outil de gestion de secrets SOPS</a> de Mozilla gère le chiffrement via age depuis la <a href="https://github.com/mozilla/sops/releases/tag/v3.7.0">version 3.7.0</a>. Il utilise l’implémentation de référence sous forme de bibliothèque.</p>
<h2 id="toc-critique">Critique</h2>
<p>Neil Madden a <a href="https://neilmadden.blog/2019/12/30/a-few-comments-on-age/">émis plusieurs critiques sur son blog</a>, notamment concernant des défaillances dans le chiffrement authentifié et <a href="https://fr.wikipedia.org/wiki/Not_invented_here">le syndrome NIH</a> de l’auteur.</p>
<p>Filippo Valsorda y a répondu sur <a href="https://groups.google.com/g/age-dev/c/r-gwwcN3L-0/m/EhEvUbG5AwAJ">la liste de diffusion du projet</a>.</p>
</div><div><a href="https://linuxfr.org/news/sortie-de-la-version-1-0-0-de-age.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/124246/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/sortie-de-la-version-1-0-0-de-age#comments">ouvrir dans le navigateur</a>
</p>
bobble bubblepalm123Benoît SibaudNils RatusznikBAudcontra-shtedhttps://linuxfr.org/nodes/124246/comments.atomtag:linuxfr.org,2005:News/406252021-08-24T06:09:46+02:002021-09-11T11:41:26+02:00Sortie de CrowdSec 1.1.x : quelles sont les nouveautés ?Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>L’équipe de CrowdSec annonce <a href="https://github.com/crowdsecurity/crowdsec/releases/tag/v1.1.1">la sortie de la version 1.1.x</a>, la dernière version de sa solution de cybersécurité gratuite et open-source (MIT) conçue pour protéger les serveurs, services, conteneurs ou machines virtuelles Linux exposés sur Internet. Quoi de nouveau ? Des nouveaux paquets et dépôts, ainsi que des améliorations de l’agent CrowdSec lui-même. </p>
</div><ul><li>lien nᵒ 1 : <a title="https://github.com/crowdsecurity/crowdsec/releases/tag/v1.1.1" hreflang="en" href="https://linuxfr.org/redirect/109028">Téléchargement de la dernière version de CrowdSec</a></li><li>lien nᵒ 2 : <a title="https://crowdsec.net/" hreflang="en" href="https://linuxfr.org/redirect/109029">Le site de CrowdSec</a></li><li>lien nᵒ 3 : <a title="https://linuxfr.org/news/crowdsec-la-cybersecurite-collaborative-open-source-et-gratuite-pour-linux" hreflang="fr" href="https://linuxfr.org/redirect/109030">CrowdSec : la cybersécurité collaborative, open source et gratuite pour Linux</a></li></ul><div><h2 id="toc-nouveaux-paquets-et-dépôts">Nouveaux paquets et dépôts</h2>
<p>Dans le cadre de cette version, CrowdSec a transféré ses services vers Package Cloud, une distribution de paquets rapide, fiable et sécurisée hébergée dans le cloud. Cette migration a permis à CrowdSec de distribuer <a href="https://packagecloud.io/crowdsec/crowdsec">davantage de paquets à ses utilisateurs</a>. Outre les paquets existants pour Debian et Ubuntu, notamment Bionic, Bullseye, Buster, Focal, Stretch, Focal pour x86-64 et arm, CrowdSec propose désormais des paquets pour Red Hat Enterprise Linux (RHEL), CentOS et Amazon Linux. L’équipe encourage les utilisateurs et les utilisatrices à mettre à jour les URL des dépôts dès que possible. L’ancien dépôt ne sera plus mis à jour et sera mis hors service sous peu.</p>
<p>CrowdSec a également ajouté la prise en charge des paquets RPM et Debian pour :</p>
<ul>
<li>
<a href="https://github.com/crowdsecurity/cs-firewall-bouncer">son firewall bouncer</a>, qui récupère les nouvelles et les anciennes décisions à partir d’une API CrowdSec et les ajoute à une liste de blocage utilisée par les pare-feux pris en charge</li>
<li>
<a href="https://github.com/crowdsecurity/cs-custom-bouncer">son custom bouncer</a>, qui récupère les nouvelles et les décisions expirées ou supprimées à partir d’une API locale CrowdSec et les transmet comme arguments à un script utilisateur personnalisé.</li>
</ul>
<p>Diverses améliorations ont également été apportées à l’agent CrowdSec, l’une des plus notables étant une refonte du processus d’acquisition des données pour ajouter la prise en charge des sources CloudWatch. CrowdSec peut maintenant agir comme un serveur syslog, ce qui devrait permettre l’ajout de beaucoup plus de sources de données dans les prochaines versions.</p>
<h2 id="toc-comment-démarrer">Comment démarrer</h2>
<p>Avec la sortie de la version 1.1.x, l’installation et utilisation de CrowdSec est grandement facilitée. Pour installer CrowdSec sur Ubuntu ou Debian, ajoutez les dépôts :</p>
<pre><code class="bash">curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh <span class="p">|</span> sudo bash</code></pre>
<p>Puis installez :</p>
<pre><code class="bash">sudo apt-get install crowdsec -y</code></pre>
<p>Sur un système CentOS ou Red Hat Enterprise Linux (RHEL), ajoutez-les <br>
dépôts :</p>
<pre><code class="bash">curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.rpm.sh <span class="p">|</span> sudo bash</code></pre>
<p>Puis installez :</p>
<pre><code class="bash">sudo dnf install crowdsec</code></pre>
<p>Si vous installez de nouveaux services après cela, vous pouvez mettre à jour CrowdSec pour installer les collections requises en utilisant :</p>
<pre><code class="bash">/usr/share/crowdsec/wizard.sh -c</code></pre>
<p>Les capacités de détection de CrowdSec fournissent une visibilité sur les menaces ciblant votre système. Cependant, la dissuasion des attaques nécessite une stratégie de sécurité intelligente et proactive, et c’est là que les bouncers entrent en jeu ! </p>
<p>Les bouncers fonctionnent en interrogeant l’API de CrowdSec pour savoir quand bloquer une IP. Ils peuvent être téléchargés directement depuis le Hub CrowdSec.</p>
<p>Pour installer le Cs-firewall-bouncer dans un dépôt Ubuntu ou Debian, utilisez :</p>
<pre><code class="bash">sudo apt install crowdsec-firewall-bouncer-nftables crowdsec-firewall-bouncer</code></pre>
<p>Si vous utilisez CentOS ou RHEL :</p>
<pre><code class="bash">sudo dnf install crowdsec-firewall-bouncer-nftables</code></pre>
<p>Un tutoriel plus exhaustif de cette nouvelle version peut être consulté sur le site web de CrowdSec (en anglais) <a href="https://crowdsec.net/tutorial-crowdsec-v1-1/">en cliquant ici</a>.</p>
<h2 id="toc-larrivée-de-la-console">L’arrivée de la console</h2>
<p>Enfin, la toute nouvelle console CrowdSec, qui est maintenant en version bêta privée, fournit une interface web facile à utiliser pour inspecter plusieurs agents CrowdSec répartis sur différents réseaux. <a href="https://app.crowdsec.net/">Vous pouvez créer un compte et trouver les instructions pour inscrire l’agent CrowdSec ici.</a></p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f69322e77702e636f6d2f63726f77647365632e6e65742f77702d636f6e74656e742f75706c6f6164732f323032312f30372f43726f77645365632d636f6e736f6c652e706e673f726573697a653d313032342532433635352673736c3d31/CrowdSec-console.png?resize=1024%2C655&ssl=1" alt="La Console CrowdSec" title="Source : https://i2.wp.com/crowdsec.net/wp-content/uploads/2021/07/CrowdSec-console.png?resize=1024%2C655&ssl=1"></p>
<p>Les membres de l’équipe sont preneurs de vos retours. N’hésitez pas à les contacter via leur <a href="https://discourse.crowdsec.net/">Discourse</a> ou <a href="https://gitter.im/crowdsec-project/community">Gitter</a>. Pour télécharger cette nouvelle version, vous la trouverez sur <a href="https://github.com/crowdsecurity/crowdsec/releases/tag/v1.1.1">le dépôt GitHub de CrowdSec</a>.</p>
</div><div><a href="https://linuxfr.org/news/sortie-de-crowdsec-1-1-x-quelles-sont-les-nouveautes.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/125204/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/sortie-de-crowdsec-1-1-x-quelles-sont-les-nouveautes#comments">ouvrir dans le navigateur</a>
</p>
CrowdSecYsabeau 🧶 🧦Benoît Sibaudpalm123https://linuxfr.org/nodes/125204/comments.atomtag:linuxfr.org,2005:News/405272021-06-17T18:18:28+02:002021-06-17T18:18:28+02:00Le netmask et la plume : une conférence unique le 30 juin 2021Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Le netmask et la plume est une conférence en libre accès sur l’histoire et l’évolution de la cybersécurité par quatre journalistes experts du domaine. Elle aura lieu le mercredi 30 juin 2021 à 14 h, en ligne.</p>
<p>Face à la médiatisation croissante de la cybersécurité et la course à l’information sensationnelle et instantanée, la webconférence Le Netmask et la Plume est l’occasion de mettre en lumière les acteurs du secteur qui agissent dans l’ombre, sur le long terme, pour informer, sensibiliser, éduquer et communiquer. Cet événement représente une opportunité unique d’en apprendre plus sur des sujets dont ils sont devenus des experts. </p>
<p>Au programme, une plongée dans le monde de la cybersécurité à travers l’intervention de quatre journalistes français reconnus qui partageront leur vision, leur approche et leur travail durant 4 interventions : </p>
<ul>
<li><p><em>Je suis un mensonge qui dit toujours la vérité</em> par Marc Olanie, journaliste scientifique et technologique et radioamateur, propose de décoder les débuts épiques de la sécurité informatique en France à travers de nombreuses anecdotes sur les pionniers. </p></li>
<li><p><em>From Privacy to Surveillance : it's complicated</em> par Jean-Marc Manach, data journaliste d’investigation et formateur, reviendra sur le degré et le niveau de sensibilisation aux questions de surveillance et de vie privée. Il sera également question de l’explosion exponentielle de la mésinformation et des fake news à ce sujet.</p></li>
<li><p><em>Hacker le parlement, comment ça marche ?</em> par Marc Rees, rédacteur de Next INpact spécialisé dans les questions juridiques liées aux technologies de l’information et de la communication questionnera les contraintes juridiques désormais prépondérantes dans le paysage sécuritaire IT actuel. </p></li>
<li><p><em>Dans l’œil de la menace</em> par Valery Marchive, co-fondateur du MagIT et spécialisé depuis quelques années sur les questions de rançongiciels, décryptera les tactiques, techniques et procédures des cybercriminels afin d’augmenter la prise de conscience de la menace à travers une approche statistique.</p></li>
</ul>
</div><ul><li>lien nᵒ 1 : <a title="https://lenetmasketlaplume.org/" hreflang="fr" href="https://linuxfr.org/redirect/108697">Le netmask et la plume</a></li></ul><div><p><img src="//img.linuxfr.org/img/68747470733a2f2f6c656e65746d61736b65746c61706c756d652e6f72672f696d672f6c6f676f2e706e67/logo.png" alt="Logo" title="Source : https://lenetmasketlaplume.org/img/logo.png"></p>
<p>Présentation des quatre intervenants</p>
<p><strong>Marc Olanie</strong>, <a href="https://twitter.com/marcolanie">@marcolanie</a><br>
Journaliste scientifique et technologique. Aujourd’hui indépendant, il a longtemps prêté sa plume à CNIS.Mag, publication à destination des professionnels de la sécurité informatique. Il a aussi contribué au podcast francophone NoLimitSecu dédié à la cybersécurité. Au croisement de la vulgarisation technologique, d’une grande connaissance de l’histoire et de la politique, Marc est un poète qui porte un attachement profond aux valeurs humaines. Radio-amateur depuis l’invention du transistor, il éclaire actuellement les consciences à l’Electrolab.</p>
<p><strong>Jean-Marc Manach</strong>, <a href="https://twitter.com/manhack">@manhack</a><br>
(data)journaliste et formateur #OSINT & fact-checking. Journaliste d’investigation, il enquête sur internet, notamment sur les services de renseignement, les systèmes de surveillance, les questions de sécurité informatique et de protection de la vie privée, les hackers… Il a notamment travaillé avec WikiLeaks et pour OWNI.fr, pour le Canard Enchaîné, Arrêts sur images, Le Monde, InternetActu et Transfert.net. Auteur prolixe aimant jouer avec les formats, Jean-Marc a co-écrit deux documentaires (« Une contre-histoire de l’Internet » pour Arte et le « Business de la peur » pour Cash Investigation), écrit deux livres (« La vie privée, un problème de vieux cons ? » et « Au pays de Candy, enquête sur les marchands d’armes de surveillance numérique ») ainsi qu’une BD (« Grandes oreilles et bras cassés »).</p>
<p><strong>Marc Rees</strong>, <a href="https://twitter.com/reesmarc">@reesmarc</a><br>
Rédacteur en chef de Next INpact, est un journaliste qui traite principalement des questions juridiques liées aux technologies de l’information et de la communication. Ses analyses couvrent la LCEN, les enjeux de la surveillance, des données personnelles, du droit d’auteur… Lecteur inconditionnel du Journal officiel, adepte du jeu de mots et de l’à-propos sous forme de question, le travail méticuleux de Marc est devenu une référence pour tous les professionnels du domaine.</p>
<p><strong>Valéry Marchive</strong>, <a href="https://twitter.com/ValeryMarchive">@ValeryMarchive</a><br>
Spécialiste du Mac et du monde Apple. Journaliste, formateur, il a fait partie des co-fondateurs du MagIT, dont il dirige aujourd’hui la rédaction. Son travail dans la presse informatique et généraliste est caractérisé par le souci de décrypter les technologies. Auteur de nombreux livres, il s’est spécialisé depuis quelques années sur les questions de rançongiciel et est aujourd’hui l’une des références en la matière. Accessoirement, il s’est récemment fait soigner contre le protozoaire Toxoplasma gondii et par conséquent a décidé d’adopter un chien.</p>
<p>Mentionnons aussi les trois organisateurs : Marie Fernet (<a href="https://twitter.com/MarieFernet">@MarieFernet</a>), Jean-Philippe Gaulier (<a href="https://twitter.com/jpgaulier">@jpgaulier</a>) et Rayna Stamboliskya (<a href="https://twitter.com/MaliciaRogue">@MaliciaRogue</a>), ainsi que les sponsors Cyberzen, Onechocolate et l’association OSSIR.</p>
</div><div><a href="https://linuxfr.org/news/le-netmask-et-la-plume-une-conference-unique-le-30-juin-2021.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/124627/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/le-netmask-et-la-plume-une-conference-unique-le-30-juin-2021#comments">ouvrir dans le navigateur</a>
</p>
jpgaulierBenoît SibaudYsabeau 🧶 🧦https://linuxfr.org/nodes/124627/comments.atomtag:linuxfr.org,2005:News/404852021-05-24T12:18:39+02:002021-05-24T12:18:39+02:00Comment configurer une installation CrowdSec multiserveurLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Pour rappel, CrowdSec est un outil open source de cybersécurité collaborative conçu pour protéger les serveurs, services, conteneurs ou machines virtuelles exposés sur Internet. Un article plus exhaustif <a href="//linuxfr.org/news/crowdsec-la-cybersecurite-collaborative-open-source-et-gratuite-pour-linux">peut être consulté ici</a>. </p>
<p>Il y a quelques mois, nous avons ajouté quelques fonctionnalités intéressantes à la solution lors de la sortie de la version 1.0.x. L’une d’entre elles est la capacité de l’agent CrowdSec à agir comme une API HTTP REST pour collecter les signaux d’autres agents CrowdSec. Ainsi, il est de la responsabilité de cet agent spécial de stocker et de partager les signaux collectés. Nous appellerons cet agent spécial le serveur LAPI à partir de maintenant.</p>
<p>Une autre caractéristique intéressante est que la remédiation des attaques n’a plus lieu sur le même serveur que la détection, mais est réalisée à l’aide de bouncers. Ces derniers s’appuient sur l’API HTTP REST servie par le serveur LAPI.</p>
</div><ul><li>lien nᵒ 1 : <a title="https://crowdsec.net/" hreflang="en" href="https://linuxfr.org/redirect/108544">Le site de CrowdSec</a></li><li>lien nᵒ 2 : <a title="https://github.com/CrowdSecurity/crowdsec" hreflang="en" href="https://linuxfr.org/redirect/108545">Dépôt GitHub</a></li><li>lien nᵒ 3 : <a title="https://discourse.crowdsec.net/" hreflang="en" href="https://linuxfr.org/redirect/108546">Forum Discourse</a></li><li>lien nᵒ 4 : <a title="https://gitter.im/crowdsec-project/community" hreflang="en" href="https://linuxfr.org/redirect/108547">Channel Gitter</a></li><li>lien nᵒ 5 : <a title="https://linuxfr.org/news/crowdsec-la-cybersecurite-collaborative-open-source-et-gratuite-pour-linux" hreflang="fr" href="https://linuxfr.org/redirect/108548">Dépêche : La cybersécurité collaborative, open source et gratuite pour Linux</a></li><li>lien nᵒ 6 : <a title="https://linuxfr.org/news/sortie-de-crowdsec-1-0-tutoriel-d-utilisation" hreflang="fr" href="https://linuxfr.org/redirect/108590">Dépêche : Sortie de CrowdSec 1.0 : tutoriel d’utilisation </a></li></ul><div><h2 class="sommaire">Sommaire</h2>
<ul class="toc">
<li><a href="#toc-objectifs">Objectifs</a></li>
<li><a href="#toc-ce-quil-vous-faut-avant-de-commencer">Ce qu’il vous faut avant de commencer</a></li>
<li><a href="#toc-%C3%89tape-1--installation-de-crowdsec">Étape 1 : installation de CrowdSec</a></li>
<li><a href="#toc-%C3%89tape-2-facultative--changez-le-backend-de-la-base-de-donn%C3%A9es-pour-postgresql-sur-le-serveur-1">Étape 2 (facultative) : Changez le backend de la base de données pour postgresql sur le serveur-1.</a></li>
<li><a href="#toc-%C3%89tape-3--faire-en-sorte-que-le-serveur-2-et-le-serveur-3-rapportent-au-serveur-lapi">Étape 3 : Faire en sorte que le serveur-2 et le serveur-3 rapportent au serveur LAPI</a></li>
<li><a href="#toc-%C3%89tape-4--mettre-en-place-des-mesures-de-rem%C3%A9diation">Étape 4 : mettre en place des mesures de remédiation</a></li>
<li><a href="#toc-conclusion-et-perspectives">Conclusion et perspectives</a></li>
</ul>
<h2 id="toc-objectifs">Objectifs</h2>
<p>Dans cet article, nous allons décrire comment déployer CrowdSec dans une configuration multiserveur avec un serveur partageant le signal.</p>
<p>Le serveur-2 et le serveur-3 sont destinés à héberger des services. <a href="https://hub.crowdsec.net/">Vous pouvez jeter un coup d’œil sur le Hub de CrowdSec</a> pour savoir quels services CrowdSec peut vous aider à sécuriser. Enfin, le serveur-1 est destiné à héberger les services locaux suivants :</p>
<ul>
<li>l’API locale nécessaire aux bouncers ;</li>
<li>la base de données alimentée par les trois agents CrowdSec locaux et le service de liste de blocage en ligne de CrowdSec. Comme le serveur-1 sert l’API locale, nous l’appellerons le serveur LAPI.</li>
</ul>
<p>Nous avons choisi d’utiliser un backend PostgreSQL pour la base de données CrowdSec afin de permettre une haute disponibilité. Ce sujet sera abordé dans de futurs articles. Si vous êtes d’accord avec l’absence de haute disponibilité, vous pouvez sauter l’étape 2.</p>
<p>En outre, ce post couvrira la remédiation des attaques pour les services hébergés sur le serveur-2 et le serveur-3 en utilisant les bouncers CrowdSec.</p>
<h2 id="toc-ce-quil-vous-faut-avant-de-commencer">Ce qu’il vous faut avant de commencer</h2>
<ul>
<li>Deux serveurs Ubuntu 20.04 préinstallés, connectés à Internet et hébergeant des services. À partir de maintenant, nous désignerons ces serveurs par serveur-2 et serveur-3</li>
<li>Un serveur Ubuntu 20.04 préinstallé non connecté à Internet. À partir de maintenant, nous désignerons ce serveur par server-1. Supposons que l’adresse IP du serveur-1 soit 10.0.0.1. (l’absence de connexion Internet sur ce serveur n’est pas une exigence stricte).</li>
<li>Un réseau local reliant les trois serveurs</li>
</ul>
<h2 id="toc-Étape-1--installation-de-crowdsec">Étape 1 : installation de CrowdSec</h2>
<p>Installons CrowdSec sur chaque serveur, <a href="https://docs.crowdsec.net/Crowdsec/v1/getting_started/installation/#install-using-crowdsec-repository">en suivant le guide d’installation</a>.</p>
<pre><code class="bash">wget -qO - https://s3-eu-west-1.amazonaws.com/crowdsec.debian.pragmatic/crowdsec.asc <span class="p">|</span>sudo apt-key add - <span class="o">&&</span> <span class="nb">echo</span> <span class="s2">"deb https://s3-eu-west-1.amazonaws.com/crowdsec.debian.pragmatic/</span><span class="k">$(</span>lsb_release -cs<span class="k">)</span><span class="s2"> </span><span class="k">$(</span>lsb_release -cs<span class="k">)</span><span class="s2"> main"</span> <span class="p">|</span> sudo tee /etc/apt/sources.list.d/crowdsec.list > /dev/null
sudo apt update
sudo apt install crowdsec</code></pre>
<p>Nous avons maintenant trois installations CrowdSec standard en cours d’exécution.</p>
<p><strong>NdM :</strong> histoire de sécuriser un peu la chaîne d’approvisionnement (parce que là, on va valider les signatures des paquets en utilisant la même source que les paquets), on peut vérifier que l’adresse pointée est bien celle de la documentation, aussi présente dans le code source de la documentation (<code>crowdsec/docs/v1.X/docs/getting_started/installation.md</code>) sur GitHub. Debian ou FreeBSD se basent sur les sources GitHub et ne semblent pas référencer cette clé du coup, donc pas de possibilité de vérifier via leurs sites). À tout hasard, la clé au moment de la modération de la dépêche :</p>
<pre><code>pub rsa3072/0xF275830D0D012898 2021-02-04 [SC] [expire : 2023-02-04]
76BB08A3995DD598484A0CE6F275830D0D012898
uid [ inconnue] Crowdsec Debian Archive <support@crowdsec.net>
sub rsa3072/0xF611332974D75C7B 2021-02-04 [E] [expire : 2023-02-04]
</code></pre>
<h2 id="toc-Étape-2-facultative--changez-le-backend-de-la-base-de-données-pour-postgresql-sur-le-serveur-1">Étape 2 (facultative) : Changez le backend de la base de données pour postgresql sur le serveur-1.</h2>
<pre><code class="bash">sudo apt install postgresql</code></pre>
<p>Tout d’abord, nous devons nous connecter à la base de données en tant qu’utilisateur postgres.</p>
<pre><code class="bash">sudo -i -u postgres
psql</code></pre>
<p>Grâce à la documentation Postgresql Crowdsec, nous pouvons maintenant initialiser la base de données.</p>
<pre><code class="sql"><span class="n">postgres</span><span class="o">=#</span> <span class="k">CREATE</span> <span class="k">DATABASE</span> <span class="n">crowdsec</span><span class="p">;</span>
<span class="k">CREATE</span> <span class="k">DATABASE</span>
<span class="n">postgres</span><span class="o">=#</span> <span class="k">CREATE</span> <span class="k">USER</span> <span class="n">crowdsec</span> <span class="k">WITH</span> <span class="n">PASSWORD</span> <span class="s1">'CREATE USER crowdsec WITH PASSWORD '</span><span class="o"><</span><span class="n">password</span><span class="o">></span><span class="s1">';</span>
<span class="s1">postgres=# CREATE USER crowdsec WITH PASSWORD '</span><span class="o"><</span><span class="n">password</span><span class="o">></span><span class="err">'</span><span class="p">;</span>
<span class="k">CREATE</span> <span class="k">ROLE</span>
<span class="n">postgres</span><span class="o">=#</span> <span class="k">GRANT</span> <span class="k">ALL</span> <span class="k">PRIVILEGES</span> <span class="k">ON</span> <span class="k">DATABASE</span> <span class="n">crowdsec</span> <span class="k">TO</span> <span class="n">crowdsec</span><span class="p">;</span>
<span class="k">GRANT</span></code></pre>
<p>Maintenant, faisons en sorte que CrowdSec connaisse ce nouveau backend de base de données. Pour cela, nous devons mettre à jour la section db_config du fichier /etc/crowdsec/config.yaml.</p>
<pre><code> db_config:
log_level: info
type: postgres
user: crowdsec
password: "<password>"
db_name: crowdsec
host: 127.0.0.1
port: 5432
</code></pre>
<p>Après avoir réenregistré la machine locale dans la base de données, nous sommes en mesure de redémarrer CrowdSec :</p>
<pre><code class="bash">sudo cscli machines add -a
sudo systemctl restart crowdsec</code></pre>
<h2 id="toc-Étape-3--faire-en-sorte-que-le-serveur-2-et-le-serveur-3-rapportent-au-serveur-lapi">Étape 3 : Faire en sorte que le serveur-2 et le serveur-3 rapportent au serveur LAPI</h2>
<p>Tout d’abord, nous devons configurer CrowdSec sur le serveur-1 pour accepter les connexions du serveur-2 et du serveur-3. Assurez-vous que votre pare-feu autorise les connexions du serveur-2 et du serveur-3 sur le port 8080 du serveur-1.</p>
<p>Configurons le serveur API du côté du serveur-1. Pour cela, nous devons modifier les fichiers /etc/crowdsec/config.yaml et /etc/crowdsec/local_api_credentials.yaml.</p>
<p>Pour /etc/crowdsec/config.yaml, c’est maintenant la section API qui doit être modifiée. Il s’agit seulement de mettre à jour l’IP d’écoute de localhost à l’IP locale :</p>
<pre><code> api:
client:
insecure_skip_verify: false
credentials_path: /etc/crowdsec/local_api_credentials.yaml
server:
log_level: info
listen_uri: 10.0.0.1:8080
profiles_path: /etc/crowdsec/profiles.yaml
online_client: # Crowdsec API credentials (to push signals and receive bad IPs)
credentials_path: /etc/crowdsec/online_api_credentials.yaml
</code></pre>
<p>Pour /etc/crowdsec/local_api_credentials.yaml nous devons seulement changer l’adresse IP configurée en conséquence :</p>
<pre><code> url: http://10.0.0.1:8080/
login: <login>
password: <password>
</code></pre>
<p>Et nous pouvons redémarrer CrowdSec :</p>
<pre><code class="bash">sudo systemctl restart crowdsec</code></pre>
<p>Maintenant nous allons configurer les connexions sur le serveur-2 et le serveur-3.<br>
Tout d’abord, nous nous enregistrons auprès du serveur lapi sur le serveur-2 et le serveur-3 :</p>
<pre><code class="bash">sudo cscli lapi register -u http://10.0.0.1:8080</code></pre>
<p>Par défaut, le serveur api local est actif sur chaque installation d’agent CrowdSec. Dans cette configuration, nous voulons le désactiver sur le serveur-2 et le serveur-3. Pour ce faire, nous devons modifier le fichier de service systemd de l’agent CrowdSec.</p>
<pre><code class="bash">sudo cp /lib/systemd/system/crowdsec.service /etc/systemd/system/crowdsec.service</code></pre>
<p>Maintenant, éditez etc/systemd/system/crowdsec.service et ajoutez le paramètre <code>-no-api</code> à l’invocation de l’agent CrowdSec sur le serveur-2 et le serveur-3.</p>
<pre><code> [Unit]
Description=Crowdsec agent
After=syslog.target network.target remote-fs.target nss-lookup.target
[Service]
Type=notify
Environment=LC_ALL=C LANG=C
PIDFile=/var/run/crowdsec.pid
ExecStartPre=/usr/bin/crowdsec -c /etc/crowdsec/config.yaml -t
ExecStart=/usr/bin/crowdsec -c /etc/crowdsec/config.yaml -no-api
#ExecStartPost=/bin/sleep 0.1
ExecReload=/bin/kill -HUP $MAINPID
[Install]
WantedBy=multi-user.target
</code></pre>
<p>Nous pouvons maintenant constater les changements et redémarrer CrowdSec une fois de plus.</p>
<pre><code class="bash">sudo systemctl daemon-reload
sudo systemctl restart crowdsec</code></pre>
<p>La dernière chose à faire est d’autoriser les connexions du serveur-2 et du serveur-3 sur le serveur-1.</p>
<pre><code class="bash">sudo cscli machines list</code></pre>
<pre><code> NAME IP ADDRESS LAST UPDATE STATUS VERSION
--------------------------------------------------------------------------------------------------------------------------------------------------------------------
dc6f34b3a4994700a2e333df43728701D0iARTSQ6dxiwyMR 10.0.0.1 2021-04-13T12:16:11Z ✔️ v1.0.9-4-debian-pragmatic-a8b16a66b110ebe03bb330cda2600226a3a862d7
9f3602d1c9244f02b0d6fd2e92933e75zLVg8zSRkyANxHbC 10.0.0.3 2021-04-13T12:24:12Z 🚫
ac86209e6f9c4d7d8de43e2ea31fe28ebvde0vWDr46Mpd3L 10.0.0.2 2021-04-13T12:22:28Z 🚫
--------------------------------------------------------------------------------------------------------------------------------------------------------------------
</code></pre>
<p>Dans cette sortie, nous pouvons voir deux machines qui ne sont pas encore validées. Validons-les dès maintenant.</p>
<pre><code class="bash">sudo cscli machines validate 9f3602d1c9244f02b0d6fd2e92933e75zLVg8zSRkyANxHbC
sudo cscli machines validate ac86209e6f9c4d7d8de43e2ea31fe28ebvde0vWDr46Mpd3L</code></pre>
<p>Le serveur-2 et le serveur-3 sont maintenant autorisés à pousser les données vers l’agent CrowdSec du serveur-1. Il peut être nécessaire de redémarrer CrowdSec sur le serveur-2 et le serveur-3.</p>
<pre><code class="bash">sudo systemctl restart crowdsec</code></pre>
<p>Sur le serveur-1, la commande sudo cscli machines list devrait maintenant montrer trois machines validées.</p>
<h2 id="toc-Étape-4--mettre-en-place-des-mesures-de-remédiation">Étape 4 : mettre en place des mesures de remédiation</h2>
<p>Nous voulons maintenant installer nos mesures de remédiation sur nos serveurs connectés à Internet. Tout d’abord, nous devons générer deux jetons API pour le serveur-2 et le serveur-3 sur le serveur-1.</p>
<pre><code class="bash">sudo cscli bouncers add server-2
Api key <span class="k">for</span> <span class="s1">'server-2'</span>:
02954e85c72cf442a4dee357f0ca5a7c
Please keep this key since you will not be able to retrive it!
sudo cscli bouncers add server-3
Api key <span class="k">for</span> <span class="s1">'server-3'</span>:
3b1030ce0840c343eecd387ac5a3a614
Please keep this key since you will not be able to retrieve it!</code></pre>
<p>Pour le moment, il n’y a pas de paquet disponible pour le bouncer firewall. Ceci est en haut de notre feuille de route. Donc sur le serveur 2 et le serveur 3 :</p>
<pre><code class="bash">wget https://github.com/crowdsecurity/cs-firewall-bouncer/releases/download/v0.0.10/cs-firewall-bouncer.tgz
tar zxvf cs-firewall-bouncer.tgz
<span class="nb">cd</span> cs-firewall-bouncer-v0.0.10/
sudo ./install.sh</code></pre>
<p>Il est maintenant temps d’utiliser le token généré au début de cette étape. <br>
api_key et api_url doivent être mis à jour dans /etc/crowdsec/cs-firewall-bouncer/cs-firewall-bouncer.yaml :</p>
<pre><code class="bash"> mode: iptables
piddir: /var/run/
update_frequency: 10s
daemonize: <span class="nb">true</span>
log_mode: file
log_dir: /var/log/
log_level: info
api_url: http://10.0.0.1:8080/
api_key: 02954e85c72cf442a4dee357f0ca5a7c
disable_ipv6: <span class="nb">false</span>
<span class="c1">#if present, insert rule in those chains</span>
iptables_chains:
- INPUT
<span class="c1"># - FORWARD</span>
<span class="c1"># - DOCKER-USER</span></code></pre>
<p>Nous pouvons maintenant redémarrer le bouncer firewall.</p>
<pre><code class="bash">sudo systemctl restart cs-firewall-bouncer</code></pre>
<h2 id="toc-conclusion-et-perspectives">Conclusion et perspectives</h2>
<p>Nous avons décrit comment configurer une installation multi-serveurs de CrowdSec. La surcharge en ressources sur les serveurs 2 et 3 est assez limitée, car la plupart des tâches sont déportées sur le serveur 1. Cela permet d’augmenter l’installation de seulement :</p>
<ul>
<li>L’enregistrement et validation de l’agent CrowdSec sur le serveur LAPI</li>
<li>L’ajout et validation de nouveaux bouncers. Il est important de noter que les bouncers et agents CrowdSec ne doivent pas être installés sur le même serveur. Par conséquent, l’agent CrowdSec doit être installé là où les journaux sont générés, mais la remédiation peut être déportée là où elle est utile.</li>
</ul>
<p><em>Quelques mises en garde :</em> </p>
<ul>
<li>Les communications entre les agents se font par HTTP en clair. Ceci est acceptable sur un réseau local, mais pas possible sur Internet. CrowdSec permet l’utilisation de HTTPS pour ces communications, un prochain billet couvrira ce sujet.</li>
<li>La surveillance ou l’alerte n’est pas non plus couverte dans cet article. CrowdSec permet une surveillance très puissante grâce au scraper Prometheus. Un article couvrira également ce sujet.</li>
<li>La base de données CrowdSec n’est pas hautement disponible. En outre, l’agent CrowdSec sur le serveur-1 est un point de défaillance unique.</li>
</ul>
<p>Maintenant vous vous demandez peut-être : comment construire une installation CrowdSec multi-machine hautement disponible ? Restez à l’écoute de notre prochain article.</p>
<p>L’équipe CrowdSec est toujours heureuse de recevoir des commentaires sur la solution et son utilisation. Si vous souhaitez les rencontrer et discuter avec eux, voici quelques liens utiles. </p>
<ul>
<li><a href="https://crowdsec.net/">le site CrowdSec</a></li>
<li><a href="https://github.com/CrowdSecurity/crowdsec">le repo GitHub</a></li>
<li><a href="https://discourse.crowdsec.net/">le forum Discourse</a></li>
<li><a href="https://gitter.im/crowdsec-project/community">le channel Gitter</a></li>
</ul>
</div><div><a href="https://linuxfr.org/news/comment-configurer-une-installation-crowdsec-multiserveur.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/124312/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/comment-configurer-une-installation-crowdsec-multiserveur#comments">ouvrir dans le navigateur</a>
</p>
CrowdSecYsabeau 🧶 🧦Benoît SibaudNeoXJulien Jorgepalm123Pierre Jarillonclaudexhttps://linuxfr.org/nodes/124312/comments.atomtag:linuxfr.org,2005:News/404892021-05-20T13:04:41+02:002021-05-20T13:04:41+02:00Sortie de LDAP Tool Box Service Desk 0.4Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p><a href="https://ltb-project.org/">LDAP Tool Box</a> Service Desk est une interface Web pour vérifier, débloquer et modifier les mots de passe des comptes d’un annuaire LDAP. Il est publié sous licence GPL v3.</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f7261772e67697468756275736572636f6e74656e742e636f6d2f6c74622d70726f6a6563742f736572766963652d6465736b2f6d61737465722f6c74625f73645f73637265656e73686f742e6a7067/ltb_sd_screenshot.jpg" alt="Titre de l'image" title="Source : https://raw.githubusercontent.com/ltb-project/service-desk/master/ltb_sd_screenshot.jpg"></p>
<p>La version 0.4 est sortie le 17 mai, les nouvelles fonctionnalités sont présentées dans la suite de la dépêche.</p>
</div><ul><li>lien nᵒ 1 : <a title="https://linuxfr.org/news/ldap-tool-box-creation-du-projet-service-desk" hreflang="fr" href="https://linuxfr.org/redirect/108553">Précédente dépêche sur l'annonce de la création du logiciel Service Desk</a></li><li>lien nᵒ 2 : <a title="https://projects.ow2.org/view/ldaptoolbox/ltb-service-desk-0-4-released/" hreflang="en" href="https://linuxfr.org/redirect/108554">Annonce sur le site OW2</a></li><li>lien nᵒ 3 : <a title="https://service-desk.readthedocs.io/en/v0.4/" hreflang="en" href="https://linuxfr.org/redirect/108555">Documentation</a></li><li>lien nᵒ 4 : <a title="https://ltb-project.org/download#service_desk" hreflang="en" href="https://linuxfr.org/redirect/108556">Téléchargement</a></li><li>lien nᵒ 5 : <a title="https://github.com/ltb-project/service-desk/" hreflang="en" href="https://linuxfr.org/redirect/108557">Projet sur Github</a></li></ul><div><h3 id="toc-expiration-du-mot-de-passe">Expiration du mot de passe</h3>
<p>La date d'expiration du mot de passe n'est pas directement indiquée dans l'entrée de l'utilisateur, il faut la calculer en tenant compte de la date de dernier changement de mot de passe et de la durée de vie maximale du mot de passe, qui peut varier en fonction de la politique des mots de passe associée à chaque compte.</p>
<p>La date résultante est affichée dans le statut du compte lors de l'affichage d'une entrée.</p>
<h3 id="toc-multi-tenants">Multi tenants</h3>
<p>Via l’envoi d’un en-tête HTTP, on peut désormais charger une configuration différente pour le logiciel. Cela permet de n’installer le logiciel qu’une seule fois mais de l’utiliser pour des annuaires/populations différentes.</p>
<h3 id="toc-image-officielle-docker">Image officielle Docker</h3>
<p>Une image Docker officielle est désormais fournie et disponible sur <a href="https://hub.docker.com/r/ltbproject/service-desk">Docker Hub</a>.</p>
<h3 id="toc-tableaux-de-bord">Tableaux de bord</h3>
<p>C'est la grande nouveauté de cette version ! Plusieurs tableaux de bord ont été ajoutés afin d'avoir une vue des comptes de l'annuaire en fonction des différents statuts :</p>
<ul>
<li>Compte bloqué : compte actuellement bloqué (temporairement ou indéfiniment). Il est possible de débloquer le compte directement depuis cette page ;</li>
<li>Compte dont le mot de passe sera bientôt expiré : on calcule la date d'expiration du mot de passe et on affiche les comptes qui expireront dans un certain nombre de jours (cette valeur est configurable) ;</li>
<li>Compte dont le mot de passe est expiré : on calcule la date d'expiration du mot de passe et on affiche les comptes qui sont expirés ;</li>
<li>Compte inactif : on regarde la date de dernière authentification et on affiche les comptes qui ne se sont jamais connectés ou bien que ne se sont pas connectés depuis un certain nombre de jours (cette valeur est configurable).</li>
</ul>
<p>Ces tableaux de bord nécessitent souvent de remonter toutes les entrées de l'annuaire et peuvent donc prendre du temps à s'afficher, en fonction de la volumétrie de l'annuaire.</p>
<p>Chaque tableau de bord peut être activé ou désactivé par configuration.</p>
</div><div><a href="https://linuxfr.org/news/sortie-de-ldap-tool-box-service-desk-0-4.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/124325/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/sortie-de-ldap-tool-box-service-desk-0-4#comments">ouvrir dans le navigateur</a>
</p>
KPTNXavier Teyssierhttps://linuxfr.org/nodes/124325/comments.atomtag:linuxfr.org,2005:News/404482021-05-13T20:20:24+02:002021-05-13T20:20:24+02:00Sortie de LDAP Tool Box Self Service Password 1.4Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Le logiciel <a href="https://github.com/ltb-project/self-service-password/"><em>Self Service Password</em></a> est développé au sein du projet <a href="https://ltb-project.org/wiki/">LDAP Tool Box</a>. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire <a href="https://fr.wikipedia.org/wiki/LDAP" title="Définition Wikipédia">LDAP</a>, y compris Active Directory ou Samba 4, ainsi que leur clef SSH.</p>
<p>Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS. Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe, à une liste de mots ou à un attribut de l’entrée. </p>
<p>Le logiciel <em>Self Service Password</em> est écrit en <a href="https://fr.wikipedia.org/wiki/PHP" title="Définition Wikipédia">PHP</a> et est sous <a href="https://fr.wikipedia.org/wiki/licence%20publique%20g%C3%A9n%C3%A9rale%20GNU" title="Définition Wikipédia">licence publique générale GNU</a>. La version 1.4 est sortie le 20 avril 2021. Les nouveautés de cette version sont présentées dans la suite de l’article.</p>
</div><ul><li>lien nᵒ 1 : <a title="https://linuxfr.org/news/sortie-de-ldap-tool-box-self-service-password-1-3" hreflang="fr" href="https://linuxfr.org/redirect/108367">Dépêche sur la sortie de la version 1.3</a></li><li>lien nᵒ 2 : <a title="https://self-service-password.readthedocs.io/" hreflang="en" href="https://linuxfr.org/redirect/108476">Documentation</a></li><li>lien nᵒ 3 : <a title="https://github.com/ltb-project/self-service-password/" hreflang="en" href="https://linuxfr.org/redirect/108477">Dépôt git</a></li><li>lien nᵒ 4 : <a title="https://hub.docker.com/r/ltbproject/self-service-password" hreflang="en" href="https://linuxfr.org/redirect/108478">Page sur DockerHub</a></li></ul><div><h3 id="toc-framework-smarty">Framework Smarty</h3>
<p>Mieux vaut tard que jamais, un framework de présentation est désormais utilisé pour séparer le code métier de l’affichage. Comme pour les autres produits développés au sein du projet LTB (White Pages et Service Desk), c’est le framework <a href="https://www.smarty.net/">Smarty</a> qui a été choisi.</p>
<h3 id="toc-prehook">Prehook</h3>
<p>Les précédentes versions possédaient déjà un mécanisme de posthook : un script peut être exécuté après la modification du mot de passe pour par exemple le transmettre à d’autres référentiels. L’équivalent a été ajouté en prehook, qui permet d’appeler un script avant le changement du mot de passe. Cela est utile pour implémenter ses propres contrôles de qualité du mot de passe.</p>
<h3 id="toc-api-rest">API REST</h3>
<p>Il est désormais possible d’interagir avec le logiciel via une <a href="https://self-service-password.readthedocs.io/en/v1.4/webservices.html">API REST</a>. Celle-ci dispose de trois méthodes :</p>
<ul>
<li>Vérification de la qualité du mot de passe</li>
<li>Changement de mot de passe avec vérification de l’ancien mot de passe</li>
<li>Changement de mot de passe sans vérification de l’ancien mot de passe</li>
</ul>
<p>Ceci permet de définir sa politique des mots de passe dans Self Service Password et de l’utiliser depuis d’autres logiciels.</p>
<h3 id="toc-questionsréponses">Questions/Réponses</h3>
<p>Il était déjà possible d’enregistrer une réponse à une question de sécurité pour pouvoir réinitialiser ensuite son mot de passe. Ce mécanisme a été enrichi pour permettre d’exiger plusieurs questions/réponses pour réinitialiser le mot de passe.</p>
<h3 id="toc-multi-tenants">Multi tenants</h3>
<p>Via l’envoi d’un en-tête HTTP, on peut désormais charger une configuration différente pour le logiciel. Cela permet de n’installer le logiciel qu’une seule fois mais de l’utiliser pour des annuaires/populations différentes.</p>
<h3 id="toc-image-officielle-docker">Image officielle Docker</h3>
<p>Une image Docker officielle est désormais fournie et disponible sur <a href="https://hub.docker.com/r/ltbproject/self-service-password">Docker Hub</a>.</p>
<h3 id="toc-usages-avancés-du-protocole-ldap">Usages avancés du protocole LDAP</h3>
<p>On garde le meilleur pour la fin ! Les récentes évolutions du langage PHP et surtout de php-ldap permettent désormais d’utiliser quelques extensions du protocole LDAP :</p>
<ul>
<li>Opération étendue de changement de mot de passe</li>
<li>Contrôle étendu ppolicy (password policy)</li>
</ul>
<p>L’utilisation du contrôle ppolicy améliore la remontée d’erreur lorsque le mot de passe est refusé par l’annuaire. On sait désormais si l’annuaire rejette le mot de passe parce qu’il est trop court, trop récent, trop faible ou déjà présent dans l’historique. Cela permet de reposer en partie sur la politique des mots de passe de l’annuaire.</p>
</div><div><a href="https://linuxfr.org/news/sortie-de-ldap-tool-box-self-service-password-1-4.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/124099/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/sortie-de-ldap-tool-box-self-service-password-1-4#comments">ouvrir dans le navigateur</a>
</p>
KPTNBenoît Sibaudhttps://linuxfr.org/nodes/124099/comments.atomtag:linuxfr.org,2005:News/404752021-05-12T18:29:21+02:002021-05-12T18:29:21+02:00Mercator - La cartographie du système d’information Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Mercator est une application Web distribuée sous licence GPL qui permet de gérer la cartographie d'un système d’information comme décrit dans le Guide pour la cartographie du Système d’information de l’ANSSI.</p>
</div><ul><li>lien nᵒ 1 : <a title="https://github.com/dbarzin/mercator" hreflang="fr" href="https://linuxfr.org/redirect/108481">GitHub</a></li><li>lien nᵒ 2 : <a title="https://www.ssi.gouv.fr/guide/cartographie-du-systeme-dinformation/" hreflang="fr" href="https://linuxfr.org/redirect/108482">Guide pour la cartographie du Système d’information</a></li></ul><div><p>La cartographie du Système d’Information permet d’avoir une vue globale de l’ensemble des éléments qui constituent le système d’information afin d’obtenir une meilleure lisibilité, et donc un meilleur contrôle. </p>
<p>L’élaboration d’une cartographie participe à la protection, à la défense et à la résilience du système d’information. C’est un outil indispensable à la maitrise de son système d’information (SI) et est une obligation pour les Opérateurs d’importance vitale (OIV) et qui s’intègre dans une démarche globale de gestion des risques. </p>
<h3 id="toc-fonctions-majeures">Fonctions majeures</h3>
<ul>
<li>Gestion des vues (écosystème, système d’information, administration, logique, applications, et physique) ;</li>
<li>Génération du rapport d'Architecture du Système d'Information ;</li>
<li>Dessin des schémas de cartographie ;</li>
<li>Calcul des niveaux de conformité ;</li>
<li>Extraction en Excel, CSV, PDF … de toutes les listes ;</li>
<li>Multi utilisateurs avec gestion de rôles ;</li>
<li>Multilingue.</li>
</ul>
<h3 id="toc-technologies-">Technologies </h3>
<ul>
<li>PHP, Javascript, Laravel ;</li>
<li>Base de données supportées : MySQL, Postgres, SQLite, SQL Server ;</li>
<li>Graphviz ;</li>
<li>ChartJS.</li>
</ul>
</div><div><a href="https://linuxfr.org/news/mercator-la-cartographie-du-systeme-d-information.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/124248/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/mercator-la-cartographie-du-systeme-d-information#comments">ouvrir dans le navigateur</a>
</p>
didierbXavier Teyssierhttps://linuxfr.org/nodes/124248/comments.atomtag:linuxfr.org,2005:News/404612021-05-07T13:36:24+02:002021-05-07T13:36:24+02:00Webinaire Cyber & Open Source du Pôle Systematic le 11 mai 2021Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Les Hubs Open Source et Cyber & Security du <a href="https://systematic-paris-region.org/">Pôle Systematic</a> vous invitent à un webinaire sur la <strong>sécurité des logiciels Open Source</strong> le mardi 11 mai de 14h à 16h30.</p>
<p>Cet événement fait suite à <a href="//linuxfr.org/news/enquete-sur-la-securite-des-logiciels-open-source">l’enquête</a> organisée fin 2020 sur les pratiques et besoins relatifs à la sécurité des logiciels Open Source, qui avait recueilli plus de 120 réponses (dont de nombreuses parmi les lecteurs de LinuxFr.org) </p>
<p>Après une restitution des résultats de l’enquête, une table ronde permettra de confronter les opinions d’experts -utilisateur, intégrateur, régulateur, offreur- sur les points clés émergeant de l’enquête. Les participants pourront poser à cette occasion toutes leurs questions aux intervenants (La Poste, ANSSI, SafeRiver, LinkbyNet).</p>
<p>Enfin, nous accueillerons David Wheeler de la Fondation Linux pour une keynote en anglais "Securing the Development & Supply Chain of Open Source Software".</p>
<p>Nous avons le plaisir d’offrir à tous les lecteurs LinuxFr.org des invitations pour cet événement en ligne.<br>
<em><strong>Code de gratuité</strong> à saisir sur la <a href="https://www.weezevent.com/cyber4opensource">plateforme d’inscription</a> weezevent</em> : <strong>LinuxFr</strong></p>
</div><ul><li>lien nᵒ 1 : <a title="https://systematic-paris-region.org/evenement/cyber-4-open-source/" hreflang="fr" href="https://linuxfr.org/redirect/108412">Programme complet Cyber & Open Source</a></li><li>lien nᵒ 2 : <a title="https://www.weezevent.com/cyber4opensource" hreflang="fr" href="https://linuxfr.org/redirect/108413">Inscriptions</a></li><li>lien nᵒ 3 : <a title="https://systematic-paris-region.org/hubs-enjeux/hub-open-source/" hreflang="fr" href="https://linuxfr.org/redirect/108414">Hub Open Source Systematic</a></li></ul><div></div><div><a href="https://linuxfr.org/news/webinaire-cyber-open-source-du-pole-systematic-le-11-mai-2021.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/124161/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/webinaire-cyber-open-source-du-pole-systematic-le-11-mai-2021#comments">ouvrir dans le navigateur</a>
</p>
Blazy FlorenceBenoît SibaudtedYsabeau 🧶 🧦https://linuxfr.org/nodes/124161/comments.atomtag:linuxfr.org,2005:News/404492021-04-29T18:27:41+02:002021-04-29T18:27:41+02:00bunkerized-nginx - Sécurisez facilement et sans tracas vos services webLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><h2 id="toc-cest-quoi-bunkerized-nginx">C’est quoi bunkerized-nginx ?</h2>
<p>C’est un outil qui va vous éviter de devoir suivre les bonnes pratiques de sécurité à chaque fois que vous avez besoin d’un serveur web ou d’un reverse proxy en frontal de vos services web. Bunkerized-nginx se présente sous la forme d’une image Docker et va s’occuper des paramètres et configurations pour vous. Le but final est d’atteindre une sécurité « par défaut » sans (trop) d’action de votre part.</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f6769746875622e636f6d2f62756e6b65726974792f62756e6b6572697a65642d6e67696e782f626c6f622f6d61737465722f6c6f676f2e706e673f7261773d74727565/logo.png?raw=true" alt="bunkerized-nginx" title="Source : https://github.com/bunkerity/bunkerized-nginx/blob/master/logo.png?raw=true"></p>
</div><ul><li>lien nᵒ 1 : <a title="https://github.com/bunkerity/bunkerized-nginx/" hreflang="en" href="https://linuxfr.org/redirect/108368">Projet GitHub</a></li><li>lien nᵒ 2 : <a title="https://demo-nginx.bunkerity.com" hreflang="en" href="https://linuxfr.org/redirect/108369">Demo en ligne</a></li><li>lien nᵒ 3 : <a title="https://github.com/bunkerity/bunkerized-nginx/blob/master/README.md" hreflang="en" href="https://linuxfr.org/redirect/108370">Documentation</a></li><li>lien nᵒ 4 : <a title="https://github.com/bunkerity/bunkerized-nginx/tree/master/examples" hreflang="en" href="https://linuxfr.org/redirect/108371">Exemples</a></li></ul><div><h2 class="sommaire">Sommaire</h2>
<ul class="toc">
<li>
<a href="#toc-comment-%C3%A7a-fonctionne">Comment ça fonctionne ?</a><ul>
<li><a href="#toc-en-lien-avec-php">En lien avec PHP</a></li>
<li><a href="#toc-https-avec-lets-encrypt-automatique">HTTPS avec Let's Encrypt automatique</a></li>
<li><a href="#toc-en-tant-que-reverse-proxy">En tant que reverse proxy</a></li>
<li><a href="#toc-multisite">Multisite</a></li>
</ul>
</li>
<li><a href="#toc-aller-plus-loin">Aller plus loin</a></li>
</ul>
<p>Liste non exhaustive des fonctionnalités :</p>
<ul>
<li>support du HTTPS et Let's Encrypt automatique ;</li>
<li>bonnes pratiques de sécurité web : entêtes HTTP, éviter les fuites d’info, durcissement de TLS… ;</li>
<li>ModSecurity intégré avec les règles OWASP Core Rule Set ;</li>
<li>bannissement des comportements « suspects » avec fail2ban ;</li>
<li>détection de robots avec des « challenges » (cookie, JavaScript, CAPTCHA…) ;</li>
<li>blocage des nœuds de sortie TOR, des « mauvais » User-Agent, des pays de votre choix… ;</li>
<li>blocage des IPs connues comme malveillantes via des listes noires externes (DNSBL, CrowdSec…) ;</li>
<li>prévention des attaques par bruteforce en limitant les requêtes ;</li>
<li>détection des fichiers « mauvais » avec ClamAV à l’upload;</li>
<li>facile à configurer avec des variables d’environnement ou une interface web ;</li>
<li>configuration automatique possible via des « labels » ;</li>
<li>support de Docker Swarm.</li>
</ul>
<p>L’outil permet de duper facilement les outils automatisés comme vous pouvez le voir <a href="https://github.com/bunkerity/bunkerized-nginx/blob/master/demo.gif">ici</a>.</p>
<p>Il y a une démo en ligne ici : <a href="https://demo-nginx.bunkerity.com">demo bunkerized-nginx</a>. N’hésitez pas à faire des tests de sécurité dessus.</p>
<h2 id="toc-comment-ça-fonctionne">Comment ça fonctionne ?</h2>
<h3 id="toc-en-lien-avec-php">En lien avec PHP</h3>
<pre><code class="shell">docker network create mynet
docker run --network mynet <span class="se">\</span>
-p <span class="m">80</span>:8080 <span class="se">\</span>
-v /path/to/web/files:/www:ro <span class="se">\</span>
-e <span class="nv">REMOTE_PHP</span><span class="o">=</span>myphp <span class="se">\</span>
-e <span class="nv">REMOTE_PHP_PATH</span><span class="o">=</span>/app <span class="se">\</span>
bunkerity/bunkerized-nginx
docker run --network mynet <span class="se">\</span>
--name myphp <span class="se">\</span>
-v /path/to/web/files:/app <span class="se">\</span>
php:fpm</code></pre>
<p>Les fichiers web sont stockés dans le dossier /www à l’intérieur du conteneur. Veuillez noter que bunkerized-nginx ne tourne pas en root (pour des raisons évidentes de sécurité) mais avec un utilisateur non privilégié ayant comme UID 101 et comme GID 101. Il faut donc mettre les droits sur /path/to/web/files en conséquence.</p>
<p>La variable d’environnement <code>REMOTE_PHP</code> permet de définir l’adresse d’une instance PHP-FPM qui va exécuter les fichiers PHP. Tandis que la variable <code>REMOTE_PHP_PATH</code> permet de définir le chemin utilisé par l’instance PHP-FPM pour chercher les fichiers.</p>
<h3 id="toc-https-avec-lets-encrypt-automatique">HTTPS avec Let's Encrypt automatique</h3>
<pre><code class="shell">docker run -p <span class="m">80</span>:8080 <span class="se">\</span>
-p <span class="m">443</span>:8443 <span class="se">\</span>
-v /path/to/web/files:/www:ro <span class="se">\</span>
-v /where/to/save/certificates:/etc/letsencrypt <span class="se">\</span>
-e <span class="nv">SERVER_NAME</span><span class="o">=</span>www.yourdomain.com <span class="se">\</span>
-e <span class="nv">AUTO_LETS_ENCRYPT</span><span class="o">=</span>yes <span class="se">\</span>
-e <span class="nv">REDIRECT_HTTP_TO_HTTPS</span><span class="o">=</span>yes <span class="se">\</span>
bunkerity/bunkerized-nginx</code></pre>
<p>Les certificats sont stockés dans le répertoire /etc/letsencrypt à l’intérieur du conteneur. Il est conseillé de les stocker en local pour pouvoir les réutiliser en cas de redémarrage du conteneur. Veuillez noter que bunkerized-nginx ne tourne pas en root (pour des raisons évidentes de sécurité) mais avec un utilisateur non privilégié ayant comme UID 101 et comme GID 101. Il faut donc mettre les droits sur /where/to/save/certificates en conséquence.</p>
<p>Si vous ne voulez pas que bunkerized-nginx écoute en HTTP, vous pouvez rajouter la variable d’environnement <code>LISTEN_HTTP=no</code> (seulement du HTTPS par exemple). Par contre, Let's Encrypt a besoin du port 80 pour résoudre les challenges, il faut donc garder la redirection.</p>
<p>Ici nous avons 3 variables d’environnement :<br>
- <code>SERVER_NAME</code> : il s’agit du FQDN de votre service (qui doit pointer vers l’adresse IP de votre serveur pour que Let's Encrypt fonctionne)<br>
- <code>AUTO_LETS_ENCRYPT</code> : active la création et le renouvellement automatique de certificats via Let's Encrypt<br>
- <code>REDIRECT_HTTP_TO_HTTPS</code> : active la redirection HTTP vers HTTPS</p>
<h3 id="toc-en-tant-que-reverse-proxy">En tant que reverse proxy</h3>
<pre><code class="shell">docker run -p <span class="m">80</span>:8080 <span class="se">\</span>
-e <span class="nv">USE_REVERSE_PROXY</span><span class="o">=</span>yes <span class="se">\</span>
-e <span class="nv">REVERSE_PROXY_URL</span><span class="o">=</span>/ <span class="se">\</span>
-e <span class="nv">REVERSE_PROXY_HOST</span><span class="o">=</span>http://myserver:8080 <span class="se">\</span>
bunkerity/bunkerized-nginx</code></pre>
<p>Il s’agit d’un cas assez simple où il n’y a qu’une seule application derrière le reverse proxy. Si vous en avez plus d’une, vous pouvez utiliser plusieurs fois les variables d’environnement REVERSE_PROXY_URL/REVERSE_PROXY_HOST en rajoutant un nombre à la fin comme ceci :</p>
<pre><code class="shell">docker run -p <span class="m">80</span>:8080 <span class="se">\</span>
-e <span class="nv">USE_REVERSE_PROXY</span><span class="o">=</span>yes <span class="se">\</span>
-e <span class="nv">REVERSE_PROXY_URL_1</span><span class="o">=</span>/app1/ <span class="se">\</span>
-e <span class="nv">REVERSE_PROXY_HOST_1</span><span class="o">=</span>http://myapp1:3000/ <span class="se">\</span>
-e <span class="nv">REVERSE_PROXY_URL_2</span><span class="o">=</span>/app2/ <span class="se">\</span>
-e <span class="nv">REVERSE_PROXY_HOST_2</span><span class="o">=</span>http://myapp2:3000/ <span class="se">\</span>
bunkerity/bunkerized-nginx</code></pre>
<h3 id="toc-multisite">Multisite</h3>
<p>Par défaut, bunkerized-nginx va seulement créer une seule configuration « serveur » (un seul bloc « server » sera créé dans la configuration nginx). En mettant la variable d’environnement <code>MULTISITE</code> avec la valeur <code>yes</code>, une configuration « serveur » sera créée pour chaque hôte présent dans la variable d’environnement <code>SERVER_NAME</code>. De plus, vous pouvez définir des configurations différentes pour chaque service en préfixant les variables par le FQDN comme ceci :</p>
<pre><code class="shell">docker run -p <span class="m">80</span>:8080 <span class="se">\</span>
-p <span class="m">443</span>:8443 <span class="se">\</span>
-v /where/to/save/certificates:/etc/letsencrypt <span class="se">\</span>
-e <span class="nv">SERVER_NAME</span><span class="o">=</span>app1.domain.com app2.domain.com <span class="se">\</span>
-e <span class="nv">MULTISITE</span><span class="o">=</span>yes <span class="se">\</span>
-e <span class="nv">AUTO_LETS_ENCRYPT</span><span class="o">=</span>yes <span class="se">\</span>
-e <span class="nv">REDIRECT_HTTP_TO_HTTPS</span><span class="o">=</span>yes <span class="se">\</span>
-e <span class="nv">USE_REVERSE_PROXY</span><span class="o">=</span>yes <span class="se">\</span>
-e app1.domain.com_REVERSE_PROXY_URL<span class="o">=</span>/ <span class="se">\</span>
-e app1.domain.com_REVERSE_PROXY_HOST<span class="o">=</span>http://myapp1:8000 <span class="se">\</span>
-e app2.domain.com_REVERSE_PROXY_URL<span class="o">=</span>/ <span class="se">\</span>
-e app2.domain.com_REVERSE_PROXY_HOST<span class="o">=</span>http://myapp2:8000 <span class="se">\</span>
bunkerity/bunkerized-nginx</code></pre>
<p><code>USE_REVERSE_PROXY</code> est donc appliquée « globalement » pour chaque serveur. Par contre les variables d’environnement <code>app1.domain.com_*</code> et <code>app2.domain.com_*</code> sont seulement appliquées pour app1.domain.com et app2.domain.com respectivement.</p>
<p>Quand bunkerized-nginx doit lire des fichiers et que <code>MULTISITE</code> a pour valeur <code>yes</code>, le répertoire /www contiendra un sous-dossier par service et chaque sous-dossier aura pour nom le FQDN correspondant dans la variable <code>SERVER_NAME</code>. Prenons cet exemple :</p>
<pre><code class="shell">docker run -p <span class="m">80</span>:8080 <span class="se">\</span>
-p <span class="m">443</span>:8443 <span class="se">\</span>
-v /where/to/save/certificates:/etc/letsencrypt <span class="se">\</span>
-v /where/are/web/files:/www:ro <span class="se">\</span>
-e <span class="nv">SERVER_NAME</span><span class="o">=</span>app1.domain.com app2.domain.com <span class="se">\</span>
-e <span class="nv">MULTISITE</span><span class="o">=</span>yes <span class="se">\</span>
-e <span class="nv">AUTO_LETS_ENCRYPT</span><span class="o">=</span>yes <span class="se">\</span>
-e <span class="nv">REDIRECT_HTTP_TO_HTTPS</span><span class="o">=</span>yes <span class="se">\</span>
-e app1.domain.com_REMOTE_PHP<span class="o">=</span>php1 <span class="se">\</span>
-e app1.domain.com_REMOTE_PHP_PATH<span class="o">=</span>/app <span class="se">\</span>
-e app2.domain.com_REMOTE_PHP<span class="o">=</span>php2 <span class="se">\</span>
-e app2.domain.com_REMOTE_PHP_PATH<span class="o">=</span>/app <span class="se">\</span>
bunkerity/bunkerized-nginx</code></pre>
<p>Dans ce cas, le répertoire /where/are/web/files devra avoir une structure comme celle-ci :</p>
<pre><code class="shell">/where/are/web/files
├── app1.domain.com
│ └── index.php
│ └── ...
└── app2.domain.com
└── index.php
└── ...</code></pre>
<h2 id="toc-aller-plus-loin">Aller plus loin</h2>
<p>Bunkerized-nginx permet de faire bien plus que ce soit la <a href="https://github.com/bunkerity/bunkerized-nginx#automatic-configuration">configuration automatique avec des labels</a>, <a href="https://github.com/bunkerity/bunkerized-nginx#swarm-mode">l’intégration dans un environnement Docker Swarm</a> ou même l’utilisation d’une <a href="https://github.com/bunkerity/bunkerized-nginx#web-ui">interface web pour configurer les services</a>. Tout est expliqué dans le README du <a href="https://github.com/bunkerity/bunkerized-nginx">projet GitHub</a>.</p>
<p>Veuillez noter qu’énormément d’éléments de sécurité sont activés avec des valeurs par défaut. Mais vous pouvez tout configurer comme bon vous semble. Pour plus d’informations vous pouvez consulter la <a href="https://github.com/bunkerity/bunkerized-nginx#list-of-environment-variables">liste des variables d’environnement</a>.</p>
<p>Il y a aussi des exemples concrets accompagnés de fichiers docker-compose.yml prêts à l’emploi dans le <a href="https://github.com/bunkerity/bunkerized-nginx/tree/master/examples">dossier examples</a> sur GitHub.</p>
</div><div><a href="https://linuxfr.org/news/bunkerized-nginx-securisez-facilement-et-sans-tracas-vos-services-web.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/124110/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/bunkerized-nginx-securisez-facilement-et-sans-tracas-vos-services-web#comments">ouvrir dans le navigateur</a>
</p>
Florian PitanceJulien JorgeYsabeau 🧶 🧦palm123devnewton 🍺https://linuxfr.org/nodes/124110/comments.atomtag:linuxfr.org,2005:News/404432021-04-27T19:02:51+02:002021-04-28T10:25:15+02:00Du tracteur logiciel non réparable au risque pour la sécurité alimentaire américaine ?Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Le blogueur, journaliste et auteur de science-fiction canado-britannique Cory Doctorow <a href="https://pluralistic.net/2021/04/23/reputation-laundry/#deere-john">revient</a> sur le cas du fabricant états-unien de matériel agricole John Deere qui interdit <a href="https://web.archive.org/web/20150428173001/https://www.theglobeandmail.com/technology/how-digital-rights-management-keeps-value-in-hands-of-the-manufacturer/article24130876/">depuis au moins 2015</a> aux fermiers de réparer leurs propres tracteurs, via la législation sur le copyright (le tracteur est considéré comme un logiciel, loué, avec des parties matérielles, et le DMCA s’appliquerait).</p>
<p>Cette histoire avait été évoquée dans un <a href="//linuxfr.org/users/scoubidou--2/journaux/le-veritable-interet-du-logiciel-libre">journal de 2017 sur les « fermiers américains sont obligés de pirater leurs propres tracteurs pour pouvoir les réparer » </a> et dans une <a href="//linuxfr.org/news/l-enjeu-de-la-bataille-du-libre-la-reappropriation-des-savoir-faire">dépêche de 2019 sur « L’enjeu de la bataille du Libre : la réappropriation des savoir‐faire »</a>, film documentaire qui aborde aussi le sujet.</p>
</div><ul><li>lien nᵒ 1 : <a title="https://pluralistic.net/2021/04/23/reputation-laundry/#deere-john" hreflang="en" href="https://linuxfr.org/redirect/108338">Article de Cory Doctorow revenant sur le cas John Deere</a></li></ul><div><p>Cory Doctorow rappelle que John Deere arguait que les agriculteurs n’étaient pas compétents pour réparer, ce qui avait conduit le petit fils d’un ingénieur de John Deere à expliquer que son grand-père aurait défendu le droit de réparer, que John Deere n’inventait pas ce que les fermiers utilisent, que c’était l’inverse, que les fermiers inventaient et que John Deere le commercialisait.</p>
<p>Mais derrière l’attaque contre le droit de réparer, il y a une seconde entourloupe : John Deere collecte via les engins agricoles des données au centimètre près sur la densité du sol et l’humidité, et les revend aux agriculteurs. Et il compte miner ses données via de l’intelligence économique pour plus de profit.</p>
<p>D’où le commentaire de C. Doctorow : « la prochaine fois que quelqu’un dit <em>Si vous ne payez pas le produit, vous êtes le produit.</em>, rappelez-vous de John Deere et des fermiers. Les fermiers dépensent des centaines de milliers de dollars en tracteurs et ils sont encore le produit ».</p>
<p>Et il y a plus : John Deere (et d’autres acteurs voulant interdire le droit de réparer comme des constructeurs automobiles) a argué que le verrouillage permettait de protéger les fermiers des cyberattaques. Sauf que cela n’a pas résisté à une analyse rapide qui a permis de <a href="https://sick.codes/leaky-john-deere-apis-serious-food-supply-chain-vulnerabilities-discovered-by-sick-codes-kevin-kenney-willie-cade/">montrer des failles</a> dans le site et les API (avec extraction possible des données, et les failles trouvées sont considérées comme triviales). Du coup la question du risque pour la sécurité alimentaire américaine arrive sur la table, si on peut facilement interférer avec ces engins agricoles.</p>
</div><div><a href="https://linuxfr.org/news/du-tracteur-logiciel-non-reparable-au-risque-pour-la-securite-alimentaire-americaine.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/124084/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/du-tracteur-logiciel-non-reparable-au-risque-pour-la-securite-alimentaire-americaine#comments">ouvrir dans le navigateur</a>
</p>
Benoît Sibaudpalm123Pierre JarillonYsabeau 🧶 🧦https://linuxfr.org/nodes/124084/comments.atomtag:linuxfr.org,2005:News/404442021-04-27T13:17:28+02:002021-04-27T13:17:28+02:00Dan Kaminsky (1979-2021)Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p><a href="https://fr.wikipedia.org/wiki/Dan_Kaminsky">Dan Kaminsky</a> était un chercheur en sécurité informatique, qui a travaillé pour Avaya, Cisco et IOActive (sa <a href="https://dankaminsky.com/bio/">biographie sur son blog</a>). Il est décédé le 23 avril 2021.</p>
<p>Wikipédia rappelle ses travaux comme le <em>snooping du cache DNS, qui lui a permis de démontrer que le Sony Rootkit avait infecté au moins 568 200 ordinateurs</em> (…) <em>Il a participé à l’élaboration du standard du W3C, Do Not Track.</em> Des contenus précédents sur LinuxFr.org <a href="//linuxfr.org/tags/dan_kaminsky/public">évoquent</a> ses travaux sur la corruption/pollution de cache DNS. Et pour celles et ceux qui auraient oublié / découvriraient le <em>Sony BMG Rootkit</em> voir <a href="//linuxfr.org/users/gart/journaux/sony-rootkit-et-wow">1</a>, <a href="//linuxfr.org/news/du-code-de-vlc-dans-le-rootkit-de-sony">2</a>, <a href="//linuxfr.org/users/jigso/journaux/sony-la-suite">3</a>, <a href="//linuxfr.org/news/big-brother-awards-2005">4</a> ou <a href="//linuxfr.org/news/resultats-des-septiemes-big-brother-awards-france">5</a>.</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f75706c6f61642e77696b696d656469612e6f72672f77696b6970656469612f636f6d6d6f6e732f322f32352f44616e5f4b616d696e736b795f63726f707065642e6a7067/Dan_Kaminsky_cropped.jpg" alt="Dan Kaminsky - par Dave Bullock & Emdee, CC By 2.0" title="Source : https://upload.wikimedia.org/wikipedia/commons/2/25/Dan_Kaminsky_cropped.jpg"><br>
(<a href="https://commons.wikimedia.org/wiki/File:Dan_Kaminsky_cropped.jpg">source</a> par Dave Bullock & Emdee, CC By 2.0)</p>
<p>Ses travaux sur les DNS ont permis d’améliorer les logiciels libres gérant le DNS (à noter que le sujet de l’empoisonnement DNS <a href="https://www.nextinpact.com/lebrief/44629/lempoisonnement-cache-dns-est-retour">est revenu</a> en novembre 2020 sur la table). Il a aussi permis d’ajouter une détection du <a href="https://fr.wikipedia.org/wiki/Conficker">ver Conficker</a> dans le logiciel <a href="https://en.wikipedia.org/wiki/Nmap">Nmap</a>. Il a présenté le <a href="https://www.forbes.com/sites/andygreenberg/2011/08/03/researcher-releases-n00ter-a-tool-for-catching-net-neutrality-cheats/">logiciel libre n00ter</a> (voir <a href="https://dankaminsky.com/2011/08/05/bo2k11/">son article de blog de 2011</a> pour la présentation du logiciel, ou la vidéo de sa <a href="https://archive.org/details/brucon2011video/brucon2011-dan-kaminski.avi">présentation à BruCon2011</a>) pour détecter des atteintes à la neutralité du net.</p>
</div><ul><li>lien nᵒ 1 : <a title="https://www.theregister.com/2021/04/25/dan_kaminsky_obituary/" hreflang="en" href="https://linuxfr.org/redirect/108339">The Register: Computer security world in mourning over death of Dan Kaminsky, aged 42</a></li><li>lien nᵒ 2 : <a title="https://www.linuxjournal.com/content/understanding-kaminskys-dns-bug" hreflang="en" href="https://linuxfr.org/redirect/108340">Linux Journal 2008: Understanding Kaminsky's DNS Bug</a></li><li>lien nᵒ 3 : <a title="https://www.zdnet.com/article/prominent-security-expert-dan-kaminsky-passes-away-at-42/" hreflang="en" href="https://linuxfr.org/redirect/108341">Prominent security expert Dan Kaminsky passes away at 42</a></li><li>lien nᵒ 4 : <a title="https://itwire.com/security/well-known-researcher-kaminsky-dies-of-diabetes-complications.html" hreflang="en" href="https://linuxfr.org/redirect/108342">IT Wire: Well-known researcher Kaminsky dies of diabetes complications </a></li><li>lien nᵒ 5 : <a title="https://securityboulevard.com/2021/04/take-a-moment-hug-your-friends-family-rip-dan-kaminsky/" hreflang="en" href="https://linuxfr.org/redirect/108343">Security Boulevard: Take a Moment to Hug Your Friends & Family: RIP Dan Kaminsky </a></li><li>lien nᵒ 6 : <a title="https://heavy.com/news/dan-kaminsky-cause-of-death/" hreflang="en" href="https://linuxfr.org/redirect/108345">Heavy.com: Dan Kaminsky’s Sudden Death Wasn’t Related to COVID-19 Vaccine: Family</a></li><li>lien nᵒ 7 : <a title="https://www.wired.com/2008/11/ff-kaminsky/" hreflang="en" href="https://linuxfr.org/redirect/108346">Wired (2008): Secret Geek A-Team Hacks Back, Defends Worldwide Web</a></li></ul><div></div><div><a href="https://linuxfr.org/news/dan-kaminsky-1979-2021.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/124088/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/dan-kaminsky-1979-2021#comments">ouvrir dans le navigateur</a>
</p>
Benoît SibaudYsabeau 🧶 🧦voltshttps://linuxfr.org/nodes/124088/comments.atom