LemonLDAP::NG est un logiciel libre d'authentification unique (SSO), contrôle d'accès et fédération d'identités. La version 1.9.0 a été publiée le 2 mars 2016.
LemonLDAP::NG est écrit en Perl et publié sous licence GPL. Cette nouvelle version majeure apporte de grands changements au logiciel comme le support OpenID Connect, une nouvelle interface d'administration et la compatibilité Nginx.
Let’s Encrypt est une autorité de certification fournissant gratuitement des certificats de type X.509 pour TLS. Dans le dernier journal où il était question de Let’s Encrypt, des commentateurs ont demandé des retours d’expérience :
On est sur LinuxFr.org, moi je t’aurais surtout demandé « Comment ? ». J’ai l’intention de m’y mettre aussi, mais je n’ai pas encore franchi le pas et j’aimerais avoir des retours d’expérience.
En effet, y a largement matière à s’étendre sur l’utilisation de Let’s Encrypt. Cette dépêche est donc un ensemble pas forcément cohérent de réflexions sur des points divers et variés (sans aucune prétention à l’exhaustivité), agrémentées d’un peu de « retours d’expérience » et de conseils (qui valent ce qu’ils valent).
Convention : « Let’s Encrypt » (en deux mots) désignera l’autorité de certification délivrant des certificats par l’intermédiaire du protocole ACME (« Automatic Certificate Management Environment »), tandis que « Letsencrypt » (en un seul mot) désignera le client ACME officiel.
Inverse a annoncé le 17 février 2016 la sortie de la version 5.7 de PacketFence, une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. PacketFence dispose de nombreuses fonctionnalités, comme un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaires et sans fil, la prise en charge du 802.1X, l'isolation niveau 2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus. Cette solution peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.
La version 5.7 de PacketFence apporte de nombreuses améliorations telles un nouveau mécanisme d'isolation d'appareils basé sur le protocole DNS, la possibilité d'utiliser le protocole SAML pour l'authentification des utilisateurs sur le portail captif, une visibilité complète des appareils connectés au réseau à tout moment donné et la possibilité d'effectuer une vérification en temps réel de tous les fichiers téléchargés et d'isoler les appareils ayant téléchargés des fichiers infectés par des virus informatiques.
Inverse a annoncé le 13 janvier 2016 la sortie de la version 5.6 de PacketFence, une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. PacketFence dispose de nombreuses fonctionnalités, comme un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, la prise en charge du 802.1X, l'isolation niveau 2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus. Cette solution peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.
La version 5.6 de PacketFence apporte de nombreuses améliorations telles qu'un module d'audit RADIUS permettant la traçabilité des événements sur le réseau, le regroupement des commutateurs pour leur appliquer une configuration commune, ou encore les filtres DHCP permettant d'effecteur des actions basées sur les empreintes numériques d'un appareil.
Derrière ce titre trompeur laissant penser à de super nouvelles fraîches spectaculaires et en 140 caractères ou moins, il s'agit en fait du troisième épisode d'une série de dépêches commencée en 2012 (et plutôt pas mal mise en pause en 2012 aussi). Bref l'idée est de refaire un petit point sur le sujet/la problématique du vote électronique.
Dans la seconde partie de la dépêche, il sera notamment question de diverses actualités sur des scrutins électroniques, institutionnels ou non, par ordinateurs de vote ou par Internet, en France ou à l'étranger.
LemonLDAP::NG est un logiciel libre d'authentification unique (SSO), contrôle d'accès et fédération d'identités. La version 1.4.6 a été publiée le 9 octobre dernier, et vient consolider la branche 1.4 du logiciel en attendant la sortie de la version 2.0 prévue pour le début de l'année 2016.
LemonLDAP::NG est écrit en Perl et publié sous licence GPL. Cette version contient des correctifs importants et quelques nouvelles fonctionnalités.
Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box : il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP (y compris Active Directory).
Outre le changement de mot de passe simple, l'interface propose de réinitialiser son mot de passe en cas de perte, soit par l'envoi d'un courriel, soit par la réponse à des questions, soit par l'envoi d'un SMS.
Le logiciel Self Service Password est écrit en PHP et est sous licence GPL. La version 0.9 est sortie le 8 septembre 2015.
ProtonMail, service de messagerie web initié en 2013 qui s'annonce sécurisé et respectueux de la vie privée, a refait parler de lui cet été avec pas moins de trois annonces coup sur coup :
Détails dans la suite de la dépêche.
Suite aux différentes révélations récentes, en particulier celles d'Edward Snowden, la confidentialité des communications électroniques gagne en importance, et ce n'est pas trop tôt. Mais si la prise de conscience se fait doucement, il manque encore cruellement de solutions techniques, en particulier pour les courriels. Il existe certes PGP, GPG et d'autres, mais malgré leur présence depuis de nombreuses années, leur utilisation reste très confidentielle (c'est le cas de le dire).
Le plus gros problème est que ces outils sont peu conviviaux et peu pratiques. D'autres le sont plus, mais c'est typiquement la sécurité qui en pâtit, avec par exemple le stockage des clefs privées sur le serveur, ou des applications closed-source et/ou exécutées côté serveur.
Whiteout est une solution innovante en réponse à ce problème.
No Limit Secu est un podcast (ou bala(do)diffusion) indépendant, animé par des personnes passionnées qui sont parties prenantes dans le domaine de la cybersécurité à des rôles et dans entreprises diverses. No Limit Secu a été présenté précédemment dans ces colonnes.
Dans cet épisode, il sera question de GostCrypt : un logiciel libre de chiffrement, sous licence GPL V3. Il sera présenté par Eric Filiol, qui est à l'initiative de ce projet.
Nous profitons également de cette dépêche pour vous indiquer que si vous êtes impliqués dans le développement d'un logiciel libre dédié à la sécurité, nous serons ravis de vous recevoir pour que vous puissiez présenter votre projet à nos auditeurs.
Après l'article sur comment retrouver l'origine d'une attaque, nous allons voir aujourd'hui comment accueillir comme il se doit sur votre serveur un envoi de spam. Pour changer, on partira du principe que l'on est sur une Debian avec un postfix. Notre serveur s'appelle exemple.octopuce.fr, et notre site de référence installé sur ce serveur s'appelle exemple.com.
On partira aussi du principe que l'on n'aime pas beaucoup le spam… voire même qu'on lui mettrait bien un bon coup de clavier en pleine poire.
Les Crypto-Party (ou chiffro-fêtes) consistent en l'organisation d'ateliers gratuits à destination de tous, pour découvrir, comprendre et utiliser les principes de base de la cryptographie et de la protection de sa vie privée sur les réseaux (web, chat, email).
Mardi 23 juin 2015, c'est cryptoparty toute la soirée / nuit au L@Bx. Entrée libre et gratuite. Amenez à manger, à boire et sac de couchage pour les plus courageux.
Tous les détails en seconde partie.
Vous l'attendiez, elle est enfin arrivée, la nouvelle version de radare2, la 0.9.9, nom de code "Almost there"!
Radare est un framework complet d'analyse et de désassemblage de binaires. Plutôt que de vous inviter à lire chaque commit, voici un résumé des nouveautés dans la seconde partie.
NdM : gouttegd livre régulièrement des journaux traitant d'OpenPGP. Il vient de réaliser une petit tour d'horizon de quelques brèves à ce propos.
Au sommaire :
Bonne lecture !
L'association étudiante MiNET, fournisseur d'accès internet sur les campus des écoles Télécom SudParis et Télécom École de Management, organise jeudi 16 avril 2015 à Évry un après-midi de conférences autour de la cybersécurité et de la protection des données personnelles.
Depuis que Edward Snowden a révélé en juin 2013 les agissements de la NSA, le grand public a ouvert les yeux sur l'enjeu majeur qu'est la cybersécurité. En effet nous confions de plus en plus de données à différents acteurs du web. Pourtant l'accumulation récente de fuites montrent que nos données sont vulnérables : le piratage de photos personnelles de célébrités sur icloud, l'arrêt des services live de Microsoft et Sony à Noël…
Durant cet après-midi nos six conférenciers (liste en seconde partie de la dépêche) aborderont un large spectre de problématiques liées à la cybersécurité. Le but est de proposer une ouverture sur des domaines bien spécifiques (méthode de triage en forensic, cyberterrorisme, threat intelligence, etc…) tout en posant la problématique de ce que nous, en tant qu'individus, faisons de nos données privées.`
Qui a accès à nos données ? Comment ? Qu'en font-ils ?
Nous allons voir dans cet article comment remonter une attaque suite au piratage d'un site avec les logs d'Apache. On partira du principe que Apache est déjà configuré pour mettre ses logs dans /var/log/apache2 et dans les fichiers access.log et error.log.
Cette semaine, l'épisode de No Limit Secu est dédié à la criminalistique (forensic) et au logiciel libre DFF (Digital Forensics Framework, boîte à outil de criminalistique numérique, licence GPL).
Dans cet épisode, nous abordons les points suivants :
DFF est un cadriciel qui peut être utilisé à la fois par des professionnels et non-experts afin de recueillir et de révéler des preuves numériques en préservant les systèmes et les données.
Un épisode sur NAXSI un WAF — parefeu applicatif pour le web — open-source avec Thibault Koechlin et Sébastien Plot : quoi de mieux comme occasion pour porter à votre connaissance l'existence d'un podcast (ou bala(do)diffusion) dédié à la cybersécurité ?
No Limit Secu est un podcast indépendant, animé par des personnes passionnées qui sont parties prenantes dans le domaine de la cybersécurité à des rôles et dans entreprises diverses.
L'équipe du podcast prend beaucoup de plaisir à réaliser ces épisodes et souhaite partager cela avec la communauté LinuxFr.org. Dans la mesure du possible, un nouvel épisode est publié chaque semaine. C'est donc aussi l'occasion de vous proposer de contribuer à un épisode si vous souhaitez aborder une problématique ou traiter d'un sujet dans lequel vous êtes impliqué(e) (bien entendu, dans le domaine de la cybersécurité). Pour cela, vous pouvez contacter l'équipe via Twitter : @nolimitsecu.
CAcert est une « autorité de certification communautaire qui émet gratuitement des certificats pour tous ». Elle peut donc fournir des certificats X.509 pour vos serveurs web, vos navigateurs web ou vos logiciels de courriel. Elle peut aussi signer les clés PGP/GPG.
Un rendez-vous est organisé le 20 avril 2015, à 19h00, pour valider vos identités CAcert, à l'hôtel Novotel Les Halles, 8, place Marguerite de Navarre 75001 Paris.
Le réseau de confiance de CAcert repose sur l'attribution de points : plus vous avez de points, plus la confiance dans le fait que vous êtes qui vous prétendez est grande (et plus vous pouvez attribuer de points à d'autres).
Si vous pouvez aussi donner des points, manifestez vous, soit ici ou sur meetup.
NdM : LinuxFr.org utilise un certificat CAcert (cf l'aide 1, 2 et 3), ainsi que GPG.
Vous avez peut-être entendu parler des nouvelles bornes installées dans les abris-bus à Paris permettant de recharger un téléphone ou tout autre appareil se rechargeant par l'USB. Bon, ça n'a rien d'ingénieux et ça se fait depuis plus d'une décennie.
Et si ça posait un risque pour vos données ? Et de manière générale si se brancher sur l'USB n'était pas anodin ?
NdM: l'article original de matlink a été enrichi en modération.
Il s'est passé quelque chose d'assez extraordinaire ces derniers jours pour GnuPG, alors j'aimerais en parler pour que tout le monde soit au courant.
Ok vous vous dites « qu'est-ce que c’est encore cette dépêche ? » (vous n’auriez pas tort) mais sous ce titre il est vrai aguicheur, je vais vous parler d’un article que j’ai lu récemment.
Article très sérieux où il n’est pas question du tout nouveau logiciel open source, mais plutôt de paquet de chips, de cyberespionnage, de plante et de ronronnement d’ordinateur…
La suite de la dépêche a pour but de montrer que la sécurité informatique est un domaine vaste et complexe qui parfois est complètement indépendant de la bonne volonté des informaticiens…
La 19 février 2015, le ministère français de la défense a mis en ligne (sur Youtube) une cybervidéo pour nous parler de la cyberdéfense afin d'arrêter les cybermenaces des cyberméchants. Cette vidéo a notamment été reprise dans Les liens idiots du dimanche de NextINpact sous le titre « Cyberdéfense : la drôle de publicité de l'armée ». Le titre officiel « La cyberdéfense : le combat numérique au cœur des opérations » est plus vendeur.
Le « nouveau terrain d'affrontement » est l'occasion de parler de « propagande djihadiste, des pirates cagoulés qui tapent au hasard sur des claviers, les Anonymous, Stuxnet, etc. avant d'enchainer sur des avions de chasse, sous-marins, hélicoptères et autres artilleries lourdes. »
Évoquons un peu (dans la seconde partie de la dépêche) cette vidéo, avant de faire un petit résumé des épisodes précédents dans l'armée française.
Voici la suite des « études » des leaks (fuites) de Snowden menées pour NSA-Observer. Dans cet article, nous allons revenir sur les révélations du Spiegel datant de fin décembre lors du 31c3 (Chaos Computer Congress) et du 17 janvier 2015 portant sur les moyens offensifs de la NSA ainsi que d'autres agences concernant la cryptographie.
La conférence « Reconstructing narratives » de Laura Poitras et Jacob Appelbaum présentant ces documents est visible ci-dessous (mais aussi sur le site du CCC) :
BULLRUN est un « programme » de la NSA exploitant différents moyens pour accéder à du contenu chiffré. Le New York Times avait abordé le sujet fin 2013 dans son article « Secret Documents Reveal N.S.A. Campaign Against Encryption » mais sans aucun détail (comme The Guardian ou encore propublica).
Cette année l'association GOALL aide à l'organisation des Journées FedeRez à SUPELEC à Metz. FedeRez est une fédération d'associations de réseaux informatiques étudiants. Tous les ans, les étudiants des associations membres se retrouvent pour échanger lors des Journées FedeRez, assister à des conférences et participer à divers ateliers. En plus des nombreux étudiants et jeunes diplômés constituant le public habituel de l'événement, beaucoup de professionnels sont invités.
L'édition 2015 aura pour thème la sécurité des systèmes d'information :