Voici un article "d'introduction" très complet à GPG (GNU Privacy Guard), l'équivalent libre du logiciel de chiffrement PGP (Pretty Good Privacy) de Zimmerman.



L'article explique la problématique de la confidentialité, les systèmes à clés publiques et à clés privées, la signature, et les serveurs de clés.

Un court paragraphe est dédié aux interfaces graphiques les plus utilisées.



Vous n'avez plus aucune excuse de ne pas l'utiliser!

Une étude réalisée du 14 au 16 septembre 2002 sur l'ensemble du domaine ".fr", a établi que, sur un échantillon représentatif de 134.149 sites Web, 13.9% des serveurs Web Sécurisés sont vulnérables à la faille de sécurité "OpenSSL SSLv2 Malformed Client Key Remote Buffer Overflow" découverte le 30 juillet 2002.

Celle-ci est particulièrement sérieuse, car elle est actuellement exploitée par le vers Linux.Slapper.Worm.

14000 machines ont déjà été confirmées comme étant infectées.

NdM: laurentn rajoute :
« La faille se situe dans le module OpenSSL d'Apache qui permet les transactions cryptées sur le Web. Le ver reconnaît ses proies en envoyant une requête GET sur le port 80 du serveur pour reconnaître le système Apache. Une fois Apache trouvé, le ver va essayer de se connecter au port 443 du serveur, pour lui envoyer son code. Ce dernier est ensuite compilé avec GCC et les binaires sont exécutés. Le fichier est alors placé dans "/tmp". »

Confidentialité et sécurité dans les professions sensibles.

Les personnes qui passent de Windows à Linux sont souvent motivées par les problèmes de sécurité et de confidentialité , qui sont rarement pris en compte dans les petites entreprises et les professions libérales.

Combien de chefs d'entreprises sont conscients des risques qu'ils prennent lorsqu'ils généralisent l'utilisation de Windows sur leurs machines ?

- Gestion des licences : les organismes en charge de la lutte anti-piratage (APPA, BSA, ADAPI) annoncent périodiquement leur intention d'intensifier leurs contrôles. Si les textes sont respectés à la lettre, plus de 80 % des dirigeants seraient condamnés.

- Confidentialité : les professions sensibles (avocats, experts comptables, notaires, détectives) sont en majorité équipés de Windows, et en particulier du couple Internet explorer + Outlook .Combien d'informations sensibles ont-elles déjà été divulguées à cause des multiples failles de sécurité ?

- Secret professionnel : imaginez que votre médecin dévoile à tous ses correspondants votre maladie à cause d'un document Word indiscret, que votre avocat dévoile à la partie adverse son plan de défense, ....

- Guerre de l'information : les structures qui ne disposent pas de service informatique sont des cibles privilégiées pour des attaquants (voir à ce sujet l'article de la revue MISC N°3.)

Bref, les petites entreprises sont-elles condamnées à ignorer Linux ?

Note du modérateur : comme l'a signalé Niconux, même MS déclare que ses produits ne sont pas conçus pour la sécurité (voir le 3ème lien)

Il y avait un moment que je n'avais pas acheté de numéro de Login, mais je vois que ça n'a pas changé.

Je sais bien qu'on ne transforme pas un utilisateur de base en spécialiste sécurité en quelques pages de magazine, mais là c'est vraiment trop superficiel.

Deux exemples parmi d'autres :

- page 12 « Le principe de la redirection d'IP consiste à recevoir une requête sur un port x sur une carte réseau a sur le port y d'une carte reseau b. » J'ai respecté l'absence de ponctuation, qui ne facilite pas la compréhension :-)

- sur le CD, allez donc voir le fichier mlinux/sent/cur/1024404485.2842_7.gilbou:2,S ... Dans un numéro sur la sécurité on trouve un message personnel (qui parle d'envoi de 20$ dans une enveloppe !) ... Si le modérateur veut classer ça en "Humour", je suis d'accord :-)

Avis personnel : pour quelqu'un qui veut avoir une idée de ce que peut être la sécurisation d'une machine, je veux bien. Mais pour une sécurisation sérieuse, non.

NdM: ceci engage son auteur

Vu sur fr.comp.securite :

« Nessus 1.2 vient de sortir, il inclut une tonne de nouvelles
fonctionnalités (scans différentiels, support de SSL, évasion d'IDS,
meilleur support de SMB, ...) et un magnifique client Win32 nommé
NessusWX. »

Nessus est un célèbre détecteur de failles distantes, avec une interface conviviale, et une large bibliothèque à jour de failles.

Les services Keyserver sont de nouveaux opérationnels en France et aux Etats-unis.


Ces serveurs web sont gratuits et ils stockent des clés publiques PGP ( 1642656 clés enregistrées).

Il vous permet de trouver une clé lorsque vous desirez envoyer un message sécurisé à une personne (signé ou crypté) ou d'ajouter votre propre clé publique PGP pour quelle soit disponible pour les utilisateurs d'Internet.

F. Raynal (pappy) écrit « MISC, le magazine sur la sécurité informatique, est en danger. Il pourrait très bien ne plus paraître. C'est pourquoi nous faisons appel à vous. Pour résumer, si vous voulez un MISC 4, vous devez achetez MISC 3 ! »

Note du Modérateur : visiblement un mouvement de soutien est en train de se mettre en place. Il serait dommage qu'un magazine de cette qualité vienne à disparaître (ils sont trop rares dans ce domaine : la sécurité).

nmap est un outil indispensable à qui veut rapidement scanner son réseau, identifier les machines présentes, leurs ports ouverts, leurs OS. C'est après un extraordinaire bon de Nmap 2.54BETA37 à 2.99RC1 pour enfin finir sur 3.0 que Fyodor a annoncé la sortie de la dernière version de nmap, par un : "Woohoo !"

La 3.0 reconnait près de 700 variantes de systèmes d'exploitation. Elle a été portée sous divers OS dont... Windows, ce qui est nouveau. Je vais pouvoir dire à mes collègues de boulot préférant le SE de Redmond qu'ils peuvent désormais utiliser nmap sous leur SE favori.

L'administrateur réseau avisé qui ne l'aurait pas encore devrait y jeter un coup d'oeil. L'essayer, c'est l'adopter.

Suite à ses déboires avec la société NAI (décision d'arrêter son développement et sa commercialisation), le célèbre outil de cryptographie Pretty Good Privacy vient de trouver une suite à son histoire (déjà riche de rebondissements).

En effet, la société PGP a vu le jour en juin 2002 et vient d'annoncer toutes une série de bonnes nouvelles :
- la société vient d'obtenir 14 millions de $ de 2 fonds d'investissements US
- ils viennent de racheter tous les outils PGP à NAI :

* PGP Mail, PGP File, PGP Disk, & PGP Admin software products for Windows and Macintosh
* PGP Corporate Desktop for Macintosh
* PGP Keyserver for Windows and Solaris
* PGP Wireless for PalmOS and WinCE/PocketPC
* PGP SDK encryption software development kit

- la sortie de PGP 8.0 pour Windows et Mac OS X est prévue en novembre 2002 (il supportera enfin Windows XP)
- toutes les licences sont transférées de NAI à PGP
- les serveurs de clés PGP Keyservers sont réactivés et le mirroring va être mis en place avec les serveurs de clés libres
- un "board" technique est crée avec comme premiers membres Bruce Schneier (expert en sécurité et cryptographie) et Philip Zimmermann (créateur de PGP)

Pour les utilisateurs de l'open-source, les bonnes nouvelles sont à trouver dans une lettre du CTO et dans la FAQ :
- les sources de PGP vont être ouvertes au public
- PGP 8.0 aura une version Linux.

Une faille de sécurité a été découverte par la société eEye Digital Security : elle permet à un méchant d'exécuter à distance du code malicieux sur votre machine.

Comment ? En modifiant l'en-tête d'un fichier swf avec un éditeur hexa, on peut tromper le lecteur en lui envoyant plus de frames que nécessaire. A partir de là il est possible d'écraser un pointeur sur une fonction pour appeler le code malicieux stocké dans la pile. Cette vulnérabilité est exploitable tant sous Windows que sous Unix.

Macromedia a été informé, affirme avoir bouché le trou, et conseille de télécharger la version 6.0.47, disponible uniquement pour windows. Cependant en observant la date de mise à jour de cette version 6, on s'aperçoit qu'elle correspond au 6 août, la vulnérabilité ayant été divulguée le 8 août. Mais alors qu'en est-il de Linux ? Coïncidence une dépêche passée sur linuxfr même faisait état d'une nouvelle version (5.0.50) dont on ne savait rien à propos des changements qu'elle introduisait... Cette dernière étant sortie le 9 août, on peut imaginer qu'elle corrige ce problème, mais il n'y a aucune confirmation sur le site de Macromedia...

Note du modérateur : je rajoute une annonce sur freshmeat concernant cette faille. Il semblerait que la faille touche la Gentoo.

Firewall Builder consiste en un GUI orienté objet et en un ensemble de compilateurs de "polices" pour diverses plateformes de firewall.

Dans Firewall Builder, une "police" de firewall est un est un ensemble de règles; chacune consituée d'objet abstraits qui représentent les éléments du réseau réel ainsi que les services (hôtes, routeurs, firewalls, réseaux, protocoles).
Firewall Builder aide l'administrateur à maintenir une base de données d'objets et permet l'édition de "polices" par simple "drag-and-drop".
L'ensemble des objets et des préférences sont stockées au format XML.

Ce logiciel supporte des compilateurs de "police" pour les firewall libre: iptables, ipfilter et OpenBSD PF.

A découvrir pour tous ceux à qui mettre les mains dans les fichiers de config rebute :) (L'un n'empechant pas l'autre d'ailleurs)

NdR: La traduction libre de "policy" en police n'est pas des plus heureuses. Mais je n'arrive pas à trouver mieux :(

SecurityFocus nous gratifie d'un article qui lève le voile sur les techniques et la science du chiffrement.

Au menu:
- Un petit historique
- Les applications qui en sont faites
- Le fonctionnement
- Les outils
- Et une bonne dose de liens...

Idéal pour qui veut (faire) découvrir les principes de base du chiffrement et ses utilisations.

Tout le monde sait à quoi sert les nombres premiers : factoriser.
Et à quoi peut bien servir de factoriser ? A casser du chiffre (je sais ça sert pas qu'à ça, mais bon).

Or une équipe indienne annonce avoir trouver une méthode infaillible pour dire si un nombre est premier ou non. L'avantage est que les chances d'erreur sont de 0%, par contre il semble que l'algo qui en découle rende la recherche un peu plus lente. Ce qu'ils cherchent les trois gars d'la bas, c'est rendre plus rapide leur algo ... Si ça vous interresse ou que vous êtes une bête en math.... suivez les liens.

Dijkstra est mort, mais la relève est là !

Je vous conseille le document qui pourrait être compris dès la seconde ..... semaine de lecture.

N.B. : un nombre premier c'est un nombre uniquement divisible par 1 ou par lui même (ex: 1, 2, 3, 5, 7, 11, 13, 17, 19, etc...)

NdM: l'interet et la nouveauté de leur algorithme sont qu'il est en temps polynomial !

Qui l'eut cru ? La FSFE France avait déposé en mai un dossier de demande d'autorisation de fourniture en vue de l'utilisation générale et d'importation et exportation pour GnuPG 1.0.7 et la DCSSI (ex-SCSSI) vient de l'accepter ! Le dossier OpenSSL également déposé en même temps est aussi accepté :-) Et ce pour import, export, utilisation et fourniture (jusqu'en 2007).

Note du modérateur : merci à foxy pour la même info

L'équipe de développeurs de Prelude vient de sortir la version 0.8 de Prelude Hybrid IDS. Cet IDS est hybride puisqu'il combine les approches host-based et network-based, et distribué puisqu'il peut être répartis sur plusieurs machines. Prelude Hybrid IDS est stable, modulaire, et rapide.

Prelude est distribué selon les termes de la GPLv2 et est composé de:

- libprelude, elle permet de developper des sondes prelude tres rapidement.
- prelude-manager qui gere les alertes emises pas les capteurs et qui est capable de relayer les informations vers d'autres managers pour la replication et le failover
- prelude-nids, necessaire pour observer le reseau et les attaques
- prelude-lml qui permet de detecter les attaques via l'analyse de logs
- la libsafe, les dernieres versions peuvent utiliser la bibliothèque Prelude, les transformant automatiquement en sonde prelude
- prelude-php-frontend qui est un frontend assurant l'analyse de logs (avec l'appui de Mysql ou Postgre Sql) tres simplement.

A noter que Prelude a fait l'objet de conférences aux LSM 2001 et 2002, et d'un article dans MISC 3.

Ross Anderson, chef du laboratoire d'informatique de l'université de Cambridge avance la théorie selon laquelle les logiciels propriétaires n'auraient pas plus de failles de sécurité que les logiciels « open source ».

En effet, le chercheur considère qu'un programme au code source ouvert est un programme dans lequels les bogues sont faciles à trouver ; à l'inverse, ils sont plus difficiles à détecter si le code est fermé.

En calculant, dans les deux cas, le temps moyen que mettra le programme à se planter, Anderson affirme que dans l'absolu les deux types de programmes présentent le même taux de sécurité.
Car l'atout du code ouvert - trouver plus facilement les bogues - constitue également un atout pour tous ceux qui veulent lancer des attaques.

Update: Frédéric Raynal ajoute un lien vers une traduction de la conclusion du-dit article. A lire si tout n'est pas clair pour vous...

Des failles de sécurité dans openssl 0.9.6d ou inférieur ou 0.9.7-beta2 ou inférieur ont été découvertes par A.L. Digital Ltd et The Bunker lors d'un audit de securité. Pas moins de 4 vulnerabilités sont exploitables.

La revue scientifique « Pour la science » vient de sortir un superbe numéro hors-série (juillet-octobre 2002 - n°36) consacré à la cryptographie actuelle, avec ses concepts et les thèmes d'avenir.
Le niveau mathématique est assez élévé (terminale S ou +), mais le contenu est passionnant. A noter, un article sur AES par leurs auteurs (Daemen & Rijmen).

Un nouveau systême d'exploitation orienté sécurité a vu le jour,
dénommé MicroBSD il serait un fork d'OpenBSD (Cf leur FAQ).
Cet OS apporte tout ce qu'OpenBSD n'implémente pas (ACL, TPE, détection d'intrusion dans l'install par défaut,etc..).

A noter:
pas encore d'accès aux sources, et beaucoup de choses ont l'air loin d'être avancées...
Il reste qu'au niveau cryptage il va falloir sérieusement se battre contre les lois (En prime: une clé de cryptage de 1024 bits serait cassable)

Symantec, la société bien connue pour avoir crée les norton utilities en tout genre vient d'annoncer le rachat de securityfocus pour 75 millions de dollars. Rappelons nous que securityfocus hébèrge la (trop) fameuse liste de diffusion bugtraq.
Un post passé sur bugtraq explique le pourquoi de ce rachat (symantec a bien compris la valeur intrinseque de securityfocus), et les changements qui vont avoir lieu (relativement flou). A quand une ml avec antivirus incorporé?

La société StrongHoldNet vient de faire une étude sur la sécurité des serveurs français utilisant Apache (tous systèmes d'exploitations confondus).

Il en ressort la chose suivante:
- 20.5 % d'entre eux (dont linuxfr.org fait partie :-) utilisent une version non vulnérable d'Apache (>= 1.3.26 or >= 2.0.39),
- 23.2 % d'entre eux utilisent une version antérieure patchée,
- 56.3 % d'entre eux sont vulnérables (soit 23 % du total des serveurs
web français).

Pour le moment, des exploits ont été publiés seulement pour OpenBSD, NetBSD et FreeBSD (d'ailleurs le vers "Scalper" exploite justement la vulnérabilité sous FreeBSD); pas encore d'exploit largement diffusé pour Linux, mais GOBBLES (auteur de l'exploit pour les *BSD) prétend que c'est possible.

Moralité : Mettez tous vos Apache à jour avant que l'exploit pour Linux soit connu. Un vers "Nimda-like" qui infecte des miliers de machines sous Linux serait du plus mauvais effet pour la réputation du système...

vsFTPd (Very Secure FTP Daemon) est un logiciel serveur FTP où l'accent a été mis sur la sécurité et sur la rapidité. Sa configuration est simplissime (au détriment de la flexibilité, mais ce n'est pas du tout gênant dans une utilisation standard). Parmi les sites « de référence » cités par son auteur, on trouve ftp.redhat.com, ftp.gnu.org et ftp.debian.org (joli palmarès).

HSC vient de publier un didacticiel qui vous guide pas à pas dans l'installation et la mise en place de ce logiciel, une bonne occasion de laisser enfin tomber votre wu-ftpd buggé jusqu'à la moëlle. Mon opinion personnelle est que ce logiciel tire honorablement son épingle du jeu, et son code source (en C) reste très lisible, comme quoi il n'est pas nécessaire de faire compliqué pour faire efficace... Ah oui, accessoirement, c'est sans doute le seul serveur FTP à vous répondre avec humour lorsque vous lui envoyez des commandes (essayez de passer en mode ASCII pour voir :-)

Bref, à essayer. Bonne découverte !

Philippe Zimmermann nous apprend sur NewsForge qu'il préfèrerait voir PGP (pretty good privacy) passer sous une licence Open Source plutot que de voir son "bébé" dépérir ainsi...

En effet, Zimmermann avait vendu les droits sur PGP en 1997 mais depuis plusieurs mois déjà, Network Associates, à qui ils appartiennent maintenant, ne maintient plus la suite de programmes de crypto et ne le propose même plus à la vente (à part la version E-Business Serveur qui ne comprend qu'une infine partie de PGP).

Zimmermann dit même qu'il racheterait PGP à Network Associates si il en avait les moyens !

C'est peu être dommage pour PGP mais on peu se rattrapper sur GPG (Gnu Privacy Guard) qui lui est bel est bien libre (et maintenu correctement ! ;-)
Et après ca on osera dire que les logiciels libres n'ont pas un modèle de développement pérenne !

La grande nouvelle est la mise à disposition de l'exploit de Gobbles, qui après s'etre illustré avec son exploit pour Apache remet ca avec OpenSSH.
L'avantage reste que maintenant on peut tester tous nos petits Linux et vérifier s'ils sont ou non vulnérables. J'ai donc pu confirmer que les packages ssh de Debian avant mise à jour n'etaient pas vulnérable ;-)
(par contre l'exploit marche tout à fait sur un OpenBSD 3.1 fraichement installé mais pas sur un 3.1-current).

Sinon l'équipe de OpenSSH a releasé juste avant l'exploit une mise à jour de l'advisory et explique notamment dedans pourquoi ils ont annoncé la faille de cette façon (en donnant le moins de détails possible, en faisant croire que toutes les versions de OpenSSH étaient vulnérables, etc. ...).

MISC est une revue consacrée à la sécurité
informatique, pour tous les systèmes. Dans ce numéro, vous
trouverez :

• Champ libre : cross site scripting et protocoles textuels, Chernobyl, le partage de secret, la guerre de l'information.
  



• Dossier : la détection d'intrusion
  
  
  
  • principes algorithmiques
  
  
  • problèmes des IDS actuels/li>
    
  • contourner les IDS
  
  
  • Prelude-IDS : un IDS hybride open-source
  
  
  
  



• Programmation : les fonctions strn*
  



• Système : classes d'authentification physique, sécuriser Irix
  



• Réseau : jouer avec le protocole ARP, protection de l'infrastructure en réseau IP (protocoles de routage et MPLS)
  



• Science : PGP, comment éviter les mauvaises surprises ?

Enfin, nous avons rencontré quelques problèmes de PAO dans ce numéro, veuillez nous excuser.