Vandyke Technologies viennent d'annoncer que la dernière version de SecureCRT, un logiciel de connexion ssh pour Windows, marche avec OpenSSH v1 et v2. Il existe aussi des logiciels de ce type en libre, mais celui-çi est souvent utilisé et bien pratique tout de meme. NdM. : cette dépêche a été initialement publiée le 05/07/2000 à 13h02, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Un bug permetant à n'importe quel utilisateur de faire planter votre
BitchX depuis IRC en utilisant la commande INVITE a été découvert, un patch
est disponible depuis quelques jours. Après m'être fait planter le mien
quelques fois je dois dire que je l'ai apprecié :)

NdM. : cette dépêche a été initialement publiée le 07/07/2000 à 10h23, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Un ENORME trou de sécu a été découvert dans Outlook, permettant à un
méchant virus de s'éxecuter dès que outlook place le mail dans Inbox.

L'utilisateur n'a même plus besoin de lire le mail pour être affecté, ça
laisse présager le pire…

Microsoft devrait mettre à disposition un patch aujourd'hui.

NdM. : cette dépêche a été initialement publiée le 19/07/2000 à 18h36, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Dans Libération ce matin nous avons droit à 2 articles concernant les
libertés et le Net : le premier sur le système Carnivore et le second sur
"Big browser". Bref, bonne lecture.

NdM. : cette dépêche a été initialement publiée le 22/07/2000 à 04h47, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

La Debian 2.2 (i.e. Potato) a été testée sur Security Portal. Il en ressort qu'elle n'est pas si mal mais que de (trop) nombreux problèmes de sécurité persistent (des options d'installation par défaut aux versions de démons trouées). Du boulot en perspective pour ceux qui maintiennent les paquets. NdM. : cette dépêche a été initialement publiée le 30/08/2000 à 13h41, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Un journaliste de RootPrompt (Noel) s'intéresse à la logique de
sécurité OpenBSD et la compare aux distributions Linux.

NdM. : cette dépêche a été initialement publiée le 31/08/2000 à 12h20, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Une interview sympa de V Venema ( auteur de Postfix, tcpwrapper, SATAN
….)
Ca cause de sécurité, IPV6 et de l'avenir de Postfix.
C'est du mois d'avril mais c'est sympa.

NdM. : cette dépêche a été initialement publiée le 31/08/2000 à 11h27, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Solar Designer vient d'annoncer la disponibilité (encore en test) de
tous les patchs sécurité pour les noyaux 2.2.x
Cela inclus les nouvelles fonctions suivantes:
- Stack sécurisé empêchant la plupart des buffer overflow
- Restriction des liens dans /tmp
- Restriction d'acces à /proc
- Modification de la gestion des descripteurs 0,1 et 2
- Sécurisation de la mémoire partagée (SHM)
- …

NdM. : cette dépêche a été initialement publiée le 31/08/1999 à 23h08, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

La version 128 bits de SSF est en téléchargement depuis le 16 septembre
1999.
SSF est entièrement compatible avec le SSH standard (version 1.5 du
protocole) avec lequel il intéragit en toute transparence.
Je rappelle que SSF est une adaptation de la suite publique "SSH Unix",
destinée à l'usage sur le territoire français en conformité avec la
législation française concernant la cryptologie.

NdM. : cette dépêche a été initialement publiée le 20/09/1999 à 00h44, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Ah, le charme des PC multimedias avec micro et webcam qui tournent sous
Windows NTM ! Il semblerait que les militaires US les apprécient beaucoup
eux aussi, la preuve ils ont démontré que dans certaines conditions à
l'aide d'un cheval de Troie on peut les utiliser pour monitorer leur
environement immédiat.
Ce sont les plombiers du Canard ( mini watergate à la francaise datant d'il
y a quelques années deja :-) qui doivent se dire que décidement
l'informatique sous Windows NTM c'est le meilleur des mondes.

NdM. : cette dépêche a été initialement publiée le 23/09/1999 à 09h20, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Le concours organisé par PcWeek consistait à mettre un Linux (RH
standard) et un NT sur le réseau et attendre que quelqu'un hack l'une des
deux machines.
C'est le Linux qui s'est fait hacker. Le trou de sécurité vient d'un CGI
propriétaire installé par PCWeek ! Sympa. Sachant que PcWeek est très
orienté Microsoft, on peut se poser quelques questions.

Message du hacker:
I suppose it's not Linux who should get blamed but the company that sells
CGI scripts with improper security checks. This applies to Unix, NT or
whatever other operating system you are running.
The problem here, IMHO, is that the CGIs used were not open source. I'm
sure that if they had been open source somebody out there will have done a
security audit on them and patched the holes.
Not that I don't agree with you as how this will be published, but just my
2 pennies.

NdM. : cette dépêche a été initialement publiée le 24/09/1999 à 17h49, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Trois trous de sécurité ont été decouverts dans les serveurs ftp
wu-ftpd (versions inferieurs à la 2.6.0) et beroftpd (toutes versions), qui
peuvent permettre aux utilisateurs d'exécuter du code avec les droits root.

Tous les OS utilisant ces serveurs sont donc vulnérables (en particulier la
slackware 4.0 et current, certaines versions de freebsd, sco unixware 2.x,
7.x et openserver 5.x), la mise à jour vers wu-ftpd 2.6.0 (même pour les
utilisateurs de beroftpd qui lui ne sera plus mis a jour) est fortement
conseillée.

NdM. : cette dépêche a été initialement publiée le 23/10/1999 à 17h44, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Une implémentation libre de SSH est enfin disponible. Cette version de
SSH sera disponible en standart avec OpenBSD 2.6.
Cette version est compatible avec les protocoles SSH 1.3 et 1.5.
OpenSSH est basé sur une version libre de SSH de Tatu Ylonen, avec des
modifications majeures (tout le code propriétaire a été retiré!)

Bref, vous n'avez plus de raisons de ne pas l'utiliser !

NdM. : cette dépêche a été initialement publiée le 26/10/1999 à 10h53, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Notre confrère LMI a mis sur son site un rapport de Franck Leprevost
rapporteur à la commission européenne concernant ce que l'on peut englober
sous le terme générique d'Intelligence électronique.
Bien entendu il y figure une forme de disclaimer.h comme quoi ce rapport ne
représente pas nécessairement les vues du parlement européen.
Au menu, Echelon, un certain numéro d'identification, la crypto …

Ce document est en format RTF mais il se lit très bien avec vi (il faut
simplement ne pas se laisser distraire par les instructions de formatage.

Bonne lecture et bonnes réflexions à tous.

NdM. : cette dépêche a été initialement publiée le 26/11/1999 à 21h33, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Dernièrement on a beaucoup parlé des attaques distribuées, en effet
l'informatique répartie intéresse tout le monde ces derniers temps.
Nos confrères de Packet Storm ont ouvert une section sur ce sujet.

Note du modérateur: J'ai longtemps hésité avant de faire passer cette news,
on ne donne pas cette url pour que des petits crackers en herbe s'amusent à
faire n'importe quoi mais pour permettre de se prémunir contre ces
attaques.

NdM. : cette dépêche a été initialement publiée le 11/12/1999 à 12h04, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Des ingénieurs de la firme Reliable Software Technologies (RST) ont
découvert qu'un défaut de Netscape permet d'accéder au mot de passe des
serveurs de messagerie.
Cela serait possible depuis une simple page Web à l'aide d'un script qui
lit le contenu du fichier de préférences de l'utilisateur !
Pire, Netscape a expliqué que le mode de protection du mot de passe avait
été conçu pour permettre aux experts de retrouver un mot de passe oublié
par l'internaute, si c'est pas du Kro$oft like ça ?
La seule protection est de désactiver l'enregistrement du mot de passe par
défaut.

(merci Martin Vernet et Philippe Rafortho pour l'info.)

NdM. : cette dépêche a été initialement publiée le 17/12/1999 à 11h21, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Vu dans internet-actu de ce jour:

Le 13 décembre, Progressive Systems met à disposition en téléchargement
gratuit une version "lite" de son pare-feu "Phoenix Adaptive Firewall",
dédiée à l'usage personnel et limitée à deux utilisateurs. Ce "firewall"
est le premier, selon Progressive Systems, a avoir reçu la certification de
l'International Computer Security Association (ISCA), organisme qui
s'occupe de logiciels de sécurisation des données.
Rappelons qu'un "firewall" est un système de protection des réseaux locaux
reliés à Internet, qui s'occupe devérifier les entrées-sorties de données
pour prévenir les attaques extérieures.

NdM. : cette dépêche a été initialement publiée le 23/12/1999 à 21h27, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Est-ce que l'Open Source résoud plus rapidement les problèmes de
sécurité que les logiciels commerciaux ?
Une petite étude de SecurityPortail est assez bien montée sur ce sujet.
Au menu, comparaison sur l'année précédente, des RedHat (OpenSource), Sun
(plutôt vague…) et Microsoft (Fermé).
Dans l'ensemble, c'est pas mal révélateur, surtout quand on décortique les
bugs en question ;)

Le titre original de l'étude reporte le polémique "Linux vs Microsoft …"
, mais nous savons tous que les enjeux sont bien plus clairs : l'OpenSource
contre le Fermé (et la polémique Raz le bol).

Merci à Security Portail.

NdM. : cette dépêche a été initialement publiée le 17/01/2000 à 00h24, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Info ou Intox…
Un expert russe met en garde les utilisateurs de Linux qu'un afflux
important de virus venant de chine viserait notre système favori…
L'expert de Kaspersky a déclaré qu' : "il est plus facile de développer un
virus pour Linux parce qu'il est en Open Source… " . Bien que certains
proto virus existe déjà, Kaspersky détiendrait le premier virus fonctionnel
est destructreur qu'il garde sous clef…
Jason Clifford déclare qu'il n'y a aucune crainte à avoir… "quel imbécile
pourrait compiler sur sa machine un virus juste pour voir les effets qu'il
peut avoir […] de plus sur un système avec 1000 utilisateurs, si un
utilisateur devaient compiler un virus il n'endommagerait ses propres
fichiers…".
Source: ZDNet UK

NdM. : cette dépêche a été initialement publiée le 25/01/2000 à 16h19, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

SSF est une adaptation de la suite publique "SSH Unix", destinée à
l'usage sur le territoire français en conformité avec la législation
française concernant la cryptologie.
SSF-128 est un produit dont la taille de l'espace de clé est limitée à
2^128, et dont l'usage est libre (les utilisateurs n'ont aucune démarche à
effectuer).
Il a fait l'objet de la déclaration n° 9908271 auprès du SCSSI.

NdM. : cette dépêche a été initialement publiée le 17/02/2000 à 10h01, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Le groupement des cartes bancaires a reconnu vendredi qu'une de ses
clés de cryptage a été publiée le week-end dernier sur Internet.

"Cette clé permettrait de fabriquer une fausse carte, qui pourrait être
utilisée dans des automates de paiement" a admis le porte-parole du GIE.

Note du modérateur: Merci l'anonyme pour le lien. Il a rajouté "Vous croyez
que Serge c'est vengé ?  ;)"

NdM. : cette dépêche a été initialement publiée le 10/03/2000 à 20h20, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Une boite propose un implant que l'on greffe sous la peau et qui permet
de tracer un humain.
Un peu comme dans Matrix, sauf que ca existe réellement, et c'est déjà
utilisé pour les animaux.

Autant suivre les mouvements migratoires de Rex le chien qui fait bip bip
dans les faubourgs me fait marrer, autant une boite qui annonce qu'elle
permettra de signer numériquement les transactions sur Internet par un
émetteur greffé sous la peau qui permettra à plusieurs réseaux de
surveillance de suivre un être humain à la trace sur toute la planète me
fait un peu froid dans le dos…
Si ces gens sont pris au sérieux, les conséquences me semblent graves.
Je prédis pour bientôt la mode des gilets en côte de maille pour faire cage
de faraday !

Vous avez dit "no spoon" ?

NdM. : cette dépêche a été initialement publiée le 19/04/2000 à 23h10, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Un produit commercial de caddie électronique, "Dansie shopping cart" à
base de cgi, comporte 2 routines non documentées et dont le code est
(faiblement) dissimulé, qui envoient un mail à l'auteur du produit et
permettent un accès à un fichier de configuration avec un mot de passe "en
dur".
S'il est probable que l'intention de départ était la protection contre le
vol et non le piratage organisé, une telle implémentation introduit chez
les utilisateurs de ce produit une vulnérabilité particulièrement grave,
donnant à tous les mêmes privilège que les cgi exécutés sur le serveur.
Un tel code est une erreur de design de débutant.
Le Logiciel Libre, de par la nature de son développement se prémunit très
efficacement contre ce type de cheval de Troyes et/ou de vulnérabilité.
Cette affaire montre encore une fois, si cela était nécessaire, voici
confirmée l'importance de préférer des logiciels libres pour toutes les
applications critiques, et particulièrement pour les outils de sécurité
informatique.

NdM. : cette dépêche a été initialement publiée le 19/04/2000 à 00h47, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

La faille est connue depuis le 22 mars mais Wanadoo ne fait rien.
Pourtant, la solution est simple : il suffirait d'ajouter un mot de passe
pour contrôler l'accès au courrier. Mais le problème est commercial. Les
clients pourraient être effrayés par l'obligation d'utiliser un nouveau mot
de passe !

L'article sur les mots de passe posté hier était très bien, mais très
théorique !
Chez les FAI, la sécurité passe souvent au second plan après la fiabilité,
la simplicité et la variété des services offerts (J'ai travaillé chez un
FAI ;-) ). Pour beaucoup de clients, il s'agit d'une contrainte dont ils ne
voient pas toujours l'utilité.

NdM. : cette dépêche a été initialement publiée le 28/04/2000 à 05h43, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

À la télé, ils ont dit que le site de la CNIL pouvait démontrer que
notre ordinateur était très vulnérable.
J'y suis allé pour voir.
Voilà le résultat :

Saviez vous que l'adresse IP de votre machine est : 195.36.162.19 et que
votre adresse DNS est : ppp-162-19.villette.club-internet.fr

Nous pouvons voir que votre ordinateur utilise :
comme système d'exploitation.
Votre navigateur a comme nom de code : Konqueror/1.1.2
mais c'est en fait : .

Pour accéder à cette page, vous avez cliqué sur un lien situé à l'adresse
suivante :
Lien local à votre machine (saisie directe de l'URL, bookmark, fichier
local …)

Cette page montre comment le serveur peut exploiter les variables
d'environnement de votre navigateur.

Cette démonstration n'a peut être pas fonctionné. Dans ce cas, découvrez
pourquoi .

On dirait que je l'ai quelque peu troublé :-)

NdM. : cette dépêche a été initialement publiée le 02/05/2000 à 23h22, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).