Ma société travaille depuis plusieurs mois sur un projet de WAF, ou pare‐feu applicatif, articulé autour du serveur HTTP et proxy inverse nginx. Après une foule de tests et une épreuve du feu pour le moins tendue, la première version stable de NAXSI, c’est son nom, est disponible au téléchargement en code source et en paquet Debian.

NAXSI est sous licence GPL v2 et s’utilise conjointement avec nginx. Son principal but est de bloquer de manière efficace les attaques classiques de type injection SQL, Cross‐Site Scripting, Cross‐Site Request Forgery, ou encore inclusion de sources tierces locales ou distantes.

Au contraire des WAF déjà connus, NAXSI ne se base pas sur des signatures, mais plutôt sur la détection d’attaques connues en interceptant des caractères et autres chaînes suspectes dans les requêtes HTTP. Tel un système anti‐pourriel, NAXSI affecte un score à la requête et, lorsque ce dernier est trop élevé, le client est redirigé sur une page de type 503.

Malgré ses récents faits d’armes, NAXSI reste un projet jeune, et en tant que tel, nécessite plus de tests. Aussi, n’hésitez pas à lui donner sa chance, vos retours seront grandement appréciés !

L’équipe de développement de l’IDS/IPS Suricata a publié le 10 novembre 2011 la version 1.1 de son moteur de détection/prévention d’intrusions. Il s’agit de la première version de la nouvelle branche stable 1.1. Elle prend la suite de la branche 1.0 sortie en août 2010, et apporte des gains conséquents en termes de performance, stabilité et précision.

Suricata est un système de détection/prévention d’intrusion réseau basé sur des signatures (à l’image de Snort avec qui il partage le langage de signatures). Il est disponible sous licence GPL v2 et a été développé depuis zéro par une fondation à but non lucratif, l’Open Information Security Foundation (OISF). Suricata fonctionne sur les systèmes d’exploitations GNU/Linux, BSD et Windows.

Le Chaos Computer Club (CCC), l’une des organisations de hackers (au sens premier de bidouilleurs curieux) les plus influentes en Europe, viendrait de faire la rétro‐ingénierie d’un cheval de Troie (pour système Windows) utilisé par la police allemande pour « l’interception légale ». À partir d’une copie découverte en utilisation, ils montreraient que ce logiciel espion permet de récupérer des données privées, de surveiller les échanges via diverses applications (Firefox, Skype, MSN Messenger, ICQ et d’autres), de prendre le contrôle de la machine infectée, de se mettre à jour ou d’accroître ses fonctionnalités intrusives.

Le CCC publie une longue analyse détaillée, plus le binaire en question (une « dll » de 360 Kio et un « .sys » de 5 Kio). Ils auraient par ailleurs écrit leur propre interface de contrôle du logiciel espion, montrant les failles des protocoles de communication et de supervision utilisés.

L’antivirus libre ClamAV reconnaît « mfc42ul.dll » comme Trojan.BTroj-1 et « winsys32.sys » comme Trojan.BTroj.

Merci à inico pour son journal sur le sujet qui a conduit à cette dépêche.

L’État‐major interministériel de zone de défense et de sécurité Est (Préfecture de zone de défense et de sécurité Est), la Chambre de commerce et d’industrie (CCI) de la Moselle et le chargé de mission de sécurité économique (CMSE) du haut fonctionnaire de défense et de sécurité (HFDS), ont organisé une matinée de sensibilisation des PME à la sécurité informatique le 4 octobre 2011 à partir de 8 h 30, au Parc des expositions de Metz, lors de la Foire internationale de Metz.

L’Hadopi (la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet) est en charge d’expliquer aux internautes français comment sécuriser leur accès à Internet (à défaut de celui de son prestataire TMG). Elle vient négligemment de diffuser dans son rapport annuel l’adresse IP d’un internaute visé par une de ses « recommandations ».

Une fois le souci révélé (sur Numerama, Twitter, etc.), l’Hadopi a promptement modifié son rapport pour masquer les zones problématiques avec des gros rectangles noirs. Et c’est complètement insuffisant, comme l’a noté PC INPact : l’information litigieuse n’est pas supprimée du document, juste (presque) dissimulée visuellement. Et il est facile d’y avoir accès.

Visiblement, concernant le format PDF (Portable Document Format), créé par Adobe, normalisé ISO 32000-1:2008 (deux ou trois cents pages de spécifications), deux mythes perdurent :

• un PDF ne serait pas modifiable : c’est faux, il existe plusieurs logiciels libres pour faire cela, dont Open/LibreOffice ;
• on pourrait censurer un PDF avec des gros carrés noirs ou en écrivant en blanc sur blanc : quatre exemples dans la seconde partie vous démontreront que non.

Une faille de sécurité dans le protocole SSL 3.0 (et inférieur) et TLS 1.0 a été découverte. Ces protocoles garantissent l’accès chiffré aux serveurs Web. Il n’y a donc plus aucun site Web qui est à l’abri d’une attaque « man in the middle ».

Concrètement, l’attaque consiste à injecter du texte connu dans une page Web (via du JavaScript introduit dans une publicité vérolée, par exemple). Après, il suffit d’écouter la conversion (il faut quand même une session de 30 minutes pour l’exploit actuel) pour découvrir la clef AES. L’exploit permet donc de déchiffrer la page, mais aussi les cookies, et donc de s’identifier sur le site visé.

La faille concerne la version 1.0 de TLS et est corrigée dans la version 1.1, sortie en 2006. En outre, OpenSSL propose un contournement depuis 2004 ; il consiste à injecter des données aléatoires dans la transaction. Malheureusement, les navigateurs utilisent principalement NSS plutôt qu’OpenSSL, et même si sur le serveur on peut forcer l’utilisation de TLS 1.1 ou 1.2, très peu de navigateurs Web les supportent, ce qui freine le déploiement sur les serveurs. Actuellement, seuls IE 9 et Opera en sont capables !

Il faut cependant noter que ces failles sont connues depuis longtemps, c’est ce qui avait mené au correctif dans OpenSSL et à la création de TLS 1.1. Mais c’est la première fois qu’une attaque est publiée, validant ces propositions.

Quelques conseils de navigation :

• utiliser l’extension Firefox noscript ;
• actuellement, là où l’attaque pourra faire le plus de dégât, est sur les webmails ou sur les systèmes de paiement tels que Paypal (ben oui, si quelqu’un pirate ma connexion sur LinuxFr.org, ce ne sera pas très grave, car j’utilise différents mots de passe). Privilégiez donc les clients de messagerie électronique comme mutt ou Thunderbird, en désactivant le HTML.

Merci à Altor pour son aide lors de la rédaction de cette dépêche.

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 3.0 de PacketFence.

PacketFence est une solution de conformité réseau (NAC) entièrement libre, supportée et reconnue. Procurant de nombreuses fonctionnalités, telles un portail captif pour l’enregistrement ou la re‐médiation, une gestion centralisée des réseaux filaires et sans fils, le support pour le 802.1X, l’isolation niveau 2 des composantes problématiques, l’intégration au détecteur d’intrusions Snort et au détecteur de vulnérabilités Nessus.
Elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

OpenSSH est une implémentation complète du protocole SSH (Secure SHell) en version 1.3, 1.5 et 2.0, publiée sous licence BSD modifiée.

Voici un échantillon des changements de la nouvelle version 5.9 :

• sandboxing : une nouvelle option « UsePrivilegeSeparation=sandbox » apparaît dans le sshd_config, afin de limiter les appels système accessibles aux processus enfants (séparation des privilèges, technique très utilisée par les développeurs OpenBSD). Cela permet de réduire la surface d’attaque sur le système hôte. Actuellement, trois back‐ends sont fournis : systrace (OpenBSD uniquement), seatbelt (OS X/Darwin) et rlimit en solution de repli pour les plates‐formes Unix. Le projet OpenSSH encourage les contributeurs à fournir de nouvelles implémentations : Capsicum (intégré dans FreeBSD 9), espaces de noms cgroups, SELinux, etc. ;
• arrêt propre des connexions multiplexées : il est possible de demander au serveur de ne plus accepter de nouvelles sessions sur une connexion multiplexée, tout en conservant les connexions en cours ;
• beaucoup de nouveautés assez complexes ;
• corrections de bogues.

Le code source de la version 2.0 de Vulture est disponible, sous licence GPL v2. Vulture est une solution Web-SSO basée sur une technologie de proxy inverse implémentée sur le socle Apache. Vulture implémente également des fonctionnalités de firewall applicatif.

Nouvautés

Les principaux changements par rapport à la version 1.99 sont :

• le passage à Django pour l’interface d’administration ;
• le passage à SQLite3 ;
• le découpage du code Perl suivant l’API Apache, ce qui améliore la lisibilité du code ;
• le passage à ModSecurity 2.6.1 :
  • Support du moteur de détection par scoring ;
  • Embryon de gestion des politiques depuis l’interface ;
  • Mise à jour des règles ModSecurity.org depuis l’interface.

Il s’agit encore d’une version beta, quelques bugs subsistent, mais l’essentiel pour commencer à tester est là… avis aux amateurs ! Pour récupérer le code : svn checkout http://vulture.googlecode.com/svn/trunk/ vulture-read-only

C'est l'histoire d'une personne qui reçoit un gros document papier, contenant une clé USB en forme de clé de porte (voir la photo en seconde partie de la dépêche). On se dit que la clé USB doit contenir la version numérique du document papier, et on branche négligemment l'objet sur son ordinateur.

Une fois branchée sous Windows, la clé ouvre la fenêtre Exécuter avec le raccourci clavier [Touche windows+R], tape une adresse HTTP de site web et confirme la demande. On se retrouve avec un navigateur (disons Internet Explorer par défaut sous Windows) qui ouvre un site distant inconnu. En l'occurrence la clé pointe vers le site du vendeur de ce gadget (l'adresse était en erreur la première fois que je l'ai branchée…), qui lui-même pointe vers le site désiré par l'acheteur de cet objet promotionnel.

L'Electronic Frontier Foundation (EFF), qui défend la liberté d'expression sur Internet, a publié hier un article concernant l'attaque Man-in-the-middle contre les utilisateurs de Google en Iran, qui a eu lieu en douce pendant deux mois.

Une nouvelle fois, la vulnérabilité des systèmes de chiffrement sur le web basés sur des autorités de certification est mis en lumière : encore une fois l'attaquant a obtenu un certificat frauduleux d'une autorité (cette fois-ci DigiNotar). L'attaque a été détectée via le navigateur Google Chrome car celui-ci embarque en dur des vérifications pour les certificats de Google.

Pour mémoire je vous rappelle les deux entrées dans l'aide du site LinuxFr.org concernant le certificat SSL/TLS de LinuxFr.org et alertes dans les navigateurs et la réponse à la question Pourquoi ne prenez pas un certificat SSL/TLS gratuit ou payant de chez Machin qui est par défaut dans un navigateur ? Ce dernier lien comporte notamment des pointeurs vers des affaires précédentes autour des certificats SSL/TLS et des autorités de confiance (Comodo, Microsoft et Tunisie, Defcon 2010, CCC 2010, Verisign 2003/2004).

L'outil WinAdminPassword permet de générer des mots de passe en fonction d'une clef secrète et du numéro de série de l'ordinateur sur lequel il est lancé.

Son objectif principal est de déployer des mots de passe différents pour les comptes d'administration, et cela sur tous les systèmes de son parc informatique (Microsoft Windows, Linux, BSD, POSIX…).

Les mots de passe générés contiennent quatre types de caractères (majuscules, minuscules, chiffres et caractères spéciaux) et ne sont pas sauvegardés dans une base de données (Les seules informations à enregistrer dans votre gestionnaire ou base de mots de passe sont les clefs secrètes de génération des mots de passe).

Licence : GPLv3
Version courante : 1.5
Systèmes testés : Debian 6, Ubuntu 11.04, CentOS 5, RHEL 5, Fedora 15, OpenSuze 11.4, Mandriva Linux 2010.2, Microsoft Windows XP and Microsoft Windows 7 (x86 and x64)

Le 8 juillet dernier, à la veille de l'ouverture des RMLL, est sortie une nouvelle version majeure de LemonLDAP::NG.

LemonLDAP::NG est un logiciel de Web-SSO destiné à protéger des applications Web. Pour les utilisateurs, cela permet de ne s'authentifier qu'une seule fois (Single Sign-On) et pour les administrateurs du WebSSO cela permet de contrôler de manière centralisée les droits d'accès aux applications. LemonLDAP::NG supporte désormais de nombreux protocoles d'authentification et de fédération d'identités comme CAS, OpenID ou SAML 2.0.

L'association GOALL (Groupe d'organismes acteurs du Libre en Lorraine) propose de rédiger et de diffuser sous licence libre un document avec des conseils généraux pour mettre en place une politique de sécurité informatique. Ce document est destiné aux responsables d'entreprise.

NdM.: cette dépêche a été réécrite en avril 2021 suite à la suppression du compte de son auteur principal.

Le logiciel libre GPG (« Gnu Privacy Guard ») permet la transmission de messages électroniques signés et chiffrés, garantissant ainsi leurs authenticité, intégrité et confidentialité (Wikipédia). Il permet donc de sécuriser un contenu numérique lorsqu'il est stocké ou échangé.

Détaillons les éléments de la sécurisation des communications numériques :

• le contrôle d'intégrité : vérification de l'absence d'altération du contenu (conforme à l'original) ;
• l'authentification : s'assurer de l'identité de l'auteur ;
• le chiffrement : le message est illisible pour des yeux indiscrets.

GPG est la version libre (au sens de logiciel libre) du logiciel PGP (« Pretty Good Privacy »).

Une nouvelle version de THC-Hydra vient de voir le jour. Cet outil libre, sous licence GPLv3, né il y a plus d’une dizaine d’années, est utilisé pour auditer les mots de passe des services réseau.

Comme à son habitude depuis la reprise des développements l’année dernière, cette version apporte son lot de corrections et d’ajouts de nouveaux modules, comme le support des protocoles IRC et XMPP.

Le projet Capsicum, lancé l'année dernière, tente d’adapter le modèle de sécurité par capacités (« capabilities ») aux systèmes UNIX. En deux mots, il s’agit de permettre aux applications de faire tourner certaines parties de leur code dans des « sandboxes » (bacs à sable) aux droits très restreints, gérés finement, avec la possibilité de recevoir ou de déléguer dynamiquement une partie de ces droits.

C’est une approche de la sécurité qui mise sur la flexibilité et l’intégration directe dans les applications (au contraire de politiques externes décidées par l’administrateur système, comme avec SELinux) pour respecter le Principle of Least Authority, qui recommande qu’un bout de programme donné fonctionne avec seulement les droits dont il a besoin pour accomplir sa tâche. Ainsi, les conséquences d’une faille sont réduites et les vecteurs d’attaque diminuent énormément. Par exemple, je ne veux pas que le logiciel qui lit mes fichiers PDF ait le droit de lire le contenu de mon répertoire personnel et d’envoyer des e-mails.

Capsicum introduit de nouveaux appels et objets système, qui demandent une (relativement petite) modification du noyau, ainsi qu’une bibliothèque logicielle en espace utilisateur pour utiliser ces nouveaux appels système. FreeBSD a déjà fait les modifications nécessaires, et les chercheurs ont pu facilement convertir plusieurs applications au modèle Capsicum : tcpdump, dhclient, gzip et, avec l’aide d’un développeur Google, le navigateur Web chromium.

Capsicum peut ainsi renforcer considérablement la sécurité des applications UNIX classiques, sans demander de les recoder entièrement. Reste à voir si les développeurs du monde du Libre seront convaincus par ces approches compartimentées, et prêts à les prendre en compte lors de la conception de leurs logiciels.

La version 4 du scanner de vulnérabilités libre OpenVAS vient de sortir! OpenVAS (pour "Open source Vulnerability Assessment Scanner") est une plateforme de gestion des vulnérabilités (vulnerability management). Les changements introduits dans cette version en font la plus importante de l'histoire du projet.

Présentation

À l'origine était Nessus, scanner de vulnérabilités. En 2005, l'auteur décida de quitter les chemins du libre et de continuer le développement sous forme d'un logiciel privateur. La communauté créa un fork à partir de la dernière version libre. Initialement appelé GNessUs, le projet fut renommé OpenVAS.

Il est maintenant la pierre angulaire de l'activité de plusieurs sociétés, sur trois continents. Ces sociétés développent activement le logiciel et ont construit tout un modèle économique autour de lui.

OpenVAS est constitué de plusieurs modules:

• Le scanner, qui va lancer des tests de vulnérabilités (plus de 20000 actuellement, mis à jour quotidiennement) contre les cibles. Il peut s'agir de tests non-authentifiés, comme un scan de ports ou une injection SQL sur une application web, mais également de tests locaux. OpenVAS peut se connecter en SSH et SMB aux hôtes du réseau, et effectuer toute une batterie de tests (étude des logiciels installés, versions, système d'exploitation etc).

• Le manager, qui est un serveur réseau servant d'interface entre le(s) client(s) et le(s) scanner(s).

• L'administrateur est un logiciel permettant de gérer simplement les différents comptes utilisateurs.

• Greenbone Security Assistant (GSA): une interface web permettant de se connecter au manager et planifier des scans, observer
  les résultats, l'évolution des menaces sur le réseau… GSA se lance comme un daemon et est donc ensuite accessible par un simple browser.

• Greenbone Security Desktop (GSD): une application indépendante, en Qt, permettant également de se connecter au manager mais sans avoir à lancer GSA.

• OpenVAS CLI est un client en ligne de commande.

La nouvelle version de Nmap Security Scanner vient tout juste de sortir ! Nmap (The Network Mapper) est à l'origine un scanner de ports. C'est aujourd'hui une plate-forme complète de découverte et de cartographie réseau, avec une suite d'outils associés. L'ensemble de la suite est distribuée sous licence GPLv2 et fonctionne sur un grand nombre de systèmes d'exploitation (GNU/Linux, *BSD, OS X, Solaris, IOS, Amiga...).

Mise à jour d'EvalSMSI

EvalSMSI est une application web, sous licence GPL, développée en PHP/MySQL, permettant de réaliser l'évaluation d'un Système de Management de la Sécurité de l'Information (SMSI).

La version 2.3.1 d'EvalSMSI vient d'être publiée. Elle comprend de nombreuses améliorations et correction de bugs. Elle est disponible sous la forme d'un fichier tar.gz ou dans une machine virtuelle Virtualbox 4.0.

S'appuyant sur la méthodologie proposée par les normes de la famille ISO 2700x, cet outil a pour objectif de faciliter les opérations d’audit interne et de suivi des actions liées au management de la sécurité de l’information dans un organisme ou dans un groupement d'organismes.

J'en profite pour remercier les nombreux contributeurs qui m'ont apporté leur soutien, leurs critiques et autres patchs correctifs.


OS fingerprinting en 3D

Inspiré de l'article « Strange Attractors and TCP/IP Sequence Number Analysis » (Michal Zalewski, 2001), GraphicalOSfp est une application développée en python et qui a pour objectifs :

• De collecter les données aléatoires issues de connexions TCP sur des systèmes distants: l'Initial Sequence Number et l'IP ID ;
  
• De sauvegarder ces données dans un fichier ;
  
• De traiter ces données et d'afficher l'attracteur propre à ces données aléatoires dans un environnement 3D.

L'image obtenue offre plusieurs possibilités allant de l'identification d'un OS distant à l'analyse des algorithmes de moteurs aléatoires. L'outil utilise Scapy pour l'envoi et la réception des trames réseau et la bibliothèque openGL de python pour l'affichage 3D.

NdM : GraphicalOSfp est distribué sous la licence GNU GPLv3.


Publication de la version bêta d'OpenEBIOS


Application Web, développée en PHP, OpenEBIOS a pour objectif de faciliter la démarche d'analyse des risques pour un système d'information.

S'appuyant sur la méthode d'Expression des Besoins et Identification des Objectifs de Sécurité (EBIOS) dans sa version 2010, publiée par l'ANSSI en avril dernier, cet outil devrait permettre à terme pour une entité :

• De gérer le dossier de sécurité de ses systèmes d'information durant leur cycle de vie ;
  
• De mettre en œuvre le workflow d'analyse et de validation des risques liés à l'utilisation des ses SI ;
  
• D'éditer les documents issus de cette analyse et notamment les Fiches d'Expression Rationnelle des Objectifs de Sécurité (FEROS).

L'outil est actuellement en version bêta mais les premières étapes de l'analyse des risques y sont fonctionnelles. L'exemple fourni dans le guide EBIOS de l'ANSSI y est implémenté afin de garantir la cohérence avec la méthode.

Enfin, la version en cours est implémentée dans la machine virtuelle (Virtualbox 4.0) fournie avec le logiciel EvalSMSI.

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 2.0.0 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre, supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, le support pour le 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

pySHOT est un enregistreur centralisé de session client/serveur pour Windows (utilisant XML-RPC) codée en Python 2.6 et publié sous licence GPL v3.

pySHOT crée des vidéos, les classes, capture les saisies utilisateurs (keylogs), surveille le CPU, la RAM... C'est tout neuf, c'est une pre-release (soyez indulgent sur le packaging, le setup ou le design... tout n'est pas terminé), la documentation est en cours d'écriture mais pour les bricoleurs c'est déjà opérationnel.

Pré-requis : serveur sous Ubuntu 10.10, et client sous Windows 2000 mini. Note : les autres versions d'Ubuntu devraient fonctionner, mais il y a pas mal de réglages à effectuer à la main. La version 0.1 n'enregistre que les sessions Windows (de 2000 à Windows 7), l'enregistrement des sessions Gnome et des terminaux est prévu dans la roadmap.

Équivalent propriétaire et commercial de observeit-sys.com (pour vous donner une idée des fonctions...). Try it ! it's free : https://launchpad.net/pyshot/.

Monkeysphere est un projet permettant d'utiliser la « toile de confiance » OpenPGP pour de nouveaux usages, comme l'identification dans les protocoles SSH et HTTPS.

Sur SSH (avec OpenSSH), Monkeysphere permet d'utiliser des clefs OpenPGP pour identifier aussi bien les clients que les serveurs. On peut ainsi récupérer, valider et tenir à jour :

• Les clefs publiques de serveur (known_hosts) ;
  
• Les autorisations de connexion par clef personnelle.

Par rapport au système natif d'OpenSSH, cela permet de bénéficier des fonctionnalités de mise à jour, d'ajout de nouvelles clefs ou sous-clefs et de révocation du système OpenPGP.

Sur HTTPS avec n'importe quel serveur et avec le navigateur Firefox au moyen d'une extension, Monkeysphere permet d'utiliser OpenPGP comme moyen alternatif d'identification du serveur par son certificat SSL. Cela permet d'introduire un modèle de sécurité qui répond aux inconvénients de la centralisation qu'encourage le modèle SSL, tels que la concentration de pouvoir et les vérifications faibles.

Cette dépêche est tirée du journal de booga.

La version 0.3 du cadriciel d'espionnage/gestion de témoin de connexion evercookie est sortie.
L'auteur, Samy Kamkar, décrit son logiciel comme étant « conçu pour rendre des données persistantes et juste ça, persistantes. En stockant ces données dans divers endroits auquel un navigateur peut accéder, si une des données était perdue (par exemple en effaçant les cookies), les données peuvent être néanmoins récupérées et réutilisées. »

Le code source est disponible. L'auteur parle en anglais d'« open source », semble-t-il dans le sens « code source ouvert » (pas spécialement libre suivant les 4 libertés donc). Il est très court (et dépourvu de licence explicite d'ailleurs, seules celles de SWFObject (MIT) et JQuery (MIT/GPL) sont précisées dans le dépôt des sources Git).

booga explique que le logiciel « est capable d’utiliser jusqu’à 10 méthodes différentes pour stocker dans le navigateur de vos visiteurs un identifiant unique, du classique, mais néanmoins délicieux cookie, à la moderne, mais lente webdatabase, en passant par le sympathique LSO.

Le cadriciel est capable de détecter lorsque l’un des mouchards a été effacé, et de le recréer. »

Ce dernier mois, quelques outils liés à l'analyse du trafic réseau ont bien évolué. Regardons cela d'un peu plus près.

À tout seigneur tout honneur, commençons par le plus connu : Wireshark. Cet analyseur de protocole, certainement le plus complet, vient de paraître dans une nouvelle version stable, plus d'un an après la précédente. Dans le changelog, quelques nouveautés, quelques corrections de bogues, et bien sûr, plein de nouveaux protocoles.

Après avoir parlé du vénérable, évoquons le tout dernier : Ostinato. Cet outil permet de modifier du trafic réseau, avant de le rejouer. Projet récent, mais actif, la dernière version est sortie début août.

Et puisque l'on parle de rejeu, profitons de cette dépêche pour mentionner que la suite d'outils tcpreplay, permettant de capturer et rejouer du trafic réseau, vient de modifier sa licence : auparavant sous licence BSD, le code est maintenant sous licence GPLv3.