Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 1.8.3 de PacketFence, sous licence GPLv2.

Créé en 2004, PacketFence est un logiciel libre de contrôle d'accès réseau ("NAC").
Contrairement aux alternatives propriétaires, PacketFence possède toutes les fonctionnalités d'un NAC telles :

• L'enregistrement des composantes réseau ;
  
• La détection d'activités illicites (avec Snort) ;
  
• La détection proactive de vulnérabilités (avec Nessus) ;
  
• L'isolation des composantes réseau problématiques ;
  
• La capture d'empreintes DHCP ;
  
• Ainsi qu'un puissant portail captif.

PacketFence peut être utilisé pour la sécurisation d'un réseau filaire ou sans fil et possède plusieurs mécanismes pour la gestion des accès réseau (usurpation ARP, DHCP/DNS, changement dynamique de VLAN et 802.1X).

Par ailleurs, la solution peut être utilisée pour la sécurisation de très grands réseaux hétérogènes grâce à sa prise en charge de nombreux modèles de commutateurs (Cisco, Nortel, HP, etc.).

Des paquets pour Red Hat Enterprise Linux (ou CentOS) sont disponibles sur le site officiel du projet ainsi qu'une version préconfigurée dans une image de type VMWare.

Brebis est un vérificateur automatisé de sauvegarde. Le but de cet outil est de détecter les corruptions, pertes, modifications accidentelles ou intentionnelles des données des archives que nous utilisons habituellement pour nos sauvegardes. Le but de cette vérification est de s'assurer que les archives conservées seront exploitables le jour où vous en aurez besoin. Brebis ne créé donc pas d'archive, il les vérifie.

NdM : merci à Carl Chenet pour son journal.

L'association CRANS, qui gère le réseau informatique des étudiants de Normale Sup' Cachan, fête ses 15 ans cette année. À cette occasion, un événement de promotion du logiciel libre, avec conférences et ateliers est organisé le week-end des 19 et 20 octobre.

Cet événement comprendra une signing party PGP et une séance d'accréditation CAcert, le dimanche 20 octobre à 16h30.

Key signing party PGP

Pour les utilisateurs du système de chiffrement et de signature OpenPGP, vous aurez donc l'occasion de faire signer votre clef et de signer les clefs de plein de gens, de façon à construire votre toile de confiance.

Accréditation CAcert

Si vous êtes utilisateur de l'autorité de certification CAcert, ce sera également une occasion pour obtenir ou fournir des accréditations.

No Limit Secu est un podcast (ou bala(do)diffusion) indépendant, animé par des personnes passionnées qui sont parties prenantes dans le domaine de la cybersécurité à des rôles et dans entreprises diverses. No Limit Secu a été présenté précédemment dans ces colonnes.

Dans cet épisode, il sera question de GostCrypt : un logiciel libre de chiffrement, sous licence GPL V3. Il sera présenté par Eric Filiol, qui est à l'initiative de ce projet.

Nous profitons également de cette dépêche pour vous indiquer que si vous êtes impliqués dans le développement d'un logiciel libre dédié à la sécurité, nous serons ravis de vous recevoir pour que vous puissiez présenter votre projet à nos auditeurs.

Le Printemps de l’Innovation Open Source, dit OSIS, intègre plusieurs rendez‐vous en région parisienne pour mettre en valeur l’excellence scientifique et technologique du Libre. Il a vocation à montrer le travail des équipes de chercheurs, mais aussi la R & D des PME en logiciel libre. C’est fait en présentant des innovations sur les thèmes porteurs actuels (Internet des objets, informatique en nuage, qualité), dont le succès et la visibilité se veulent mondiaux.

Le Hub Open Source du Pôle Systematic (anciennement GTLL) et l’Irill, à l’initiative de cette série de conférences thématiques, vous donnent trois rendez‐vous détaillés ci‐dessous, en plus de l’OW2con’19 qui s’intègre naturellement à ce printemps de l’innovation.

Dans le cadre du colloque FRHack, Richard M. Stallman (RMS) animera une conférence en anglais : "Free Software in Ethics and in Practice", lundi 7 septembre à 17h30. Contrairement aux autres conférences du colloque celle-ci sera accessible gratuitement à cette adresse : http://mediatux.com/webtvstream.php

FRHack est un colloque international sur la sécurité informatique et les NTIC en France (au Grand Kursaal de Besançon), programmée du 7 au 11 Septembre 2009.

D'après un communiqué de la FFII daté du 10 novembre, le Conseil des Ministres de l'Union Européenne a refusé la demande de la FFII déposée la semaine dernière de divulguer les documents secrets utilisés dans la négociation de l'ACTA (ou Traité commercial anti-contrefaçon), au prétexte que la publication de ces documents affaiblirait la position de l'Union Européenne dans la négociation et affecterait les relations entre les parties en présence.

Sous la traditionnelle excuse de sécurité, l'ACTA prévoit de nombreuses mesures disparates susceptibles de nuire à la vie privée des citoyens, et le fait même que la discussion reste secrète démontre un évident mépris de la démocratie, et la FFII dans sa réponse s'interroge sur le prix à partir duquel une négociation devient plus importante que la démocratie.

Des centaines d'associations à travers le monde telles que EFF (son dossier ACTA), Act Up et Médecins Sans frontières entre autres ont également dénoncé ce dysfonctionnement démocratique de l'ACTA.

NdM : merci aussi à Éric Cousin pour sa proposition de dépêche sur le même sujet.

Qu'est ce qu'une chiffrofête ? Le terme de cryptoparty (contraction de crypto - chiffrement et party - fête) est souvent francisé en cryptopartie mais nous utilisons le terme de chiffrofête (contraction de chiffrement et fête) qui se veut une traduction moins connotée de ce terme. L'autre appellation que nous utilisons pour ce même type d'évènement étant le Café vie privée.

Les outils techniques qui permettent de conserver un peu de vie privée sur un réseau Internet où nous sommes constamment espionnés et surveillés (par les publicitaires, les réseaux sociaux, les gouvernements…) ne doivent pas être l’apanage d’une petite poignée de gens plus habiles que les autres avec l’informatique. Chacun est en droit de s'approprier, à la hauteur de son niveau de compréhension, de ses besoins, de ses envies, ses différents outils.

Les chiffrofêtes sont donc des événements dédiés à l’apprentissage de la sécurité des communications en environnement numérique (Internet, mais également téléphoniques (SMS)). Le maitre mot étant la pédagogie.

La prochaine Chiffrofête aura donc lieu à Numa Paris, au 39, rue du Caire (Paris 2e) le 29 mars 2014.

Le concours vous permettant de gagner trois exemplaires du livre Hacking, sécurité et tests d'intrusion avec Metasploit (édité par Pearson) s'est terminé le 18 mai dernier et nous avons nos trois gagnants qui vont chacun recevoir un exemplaire du livre :

• ckyl qui a écrit OpenJDK JEP 180: HashMap, collisions & attaques par la complexité avec une note de 82 (au 18 mai)
• sinma qui a écrit « Triple poignée de main », faille dans le protocole TLS avec une note de 54 (toujours au 18 mai)
• Krunch car son commentaire sous la dépêche d'annonce du concours a atteint, ex-exæquo, le meilleur score (de 7) au 18 mai dernier (Rappel : les modérateurs sont hors concours !)
• Loïc Blot qui a écrit OpenBSD 5.5 : nous ne voulons pas retourner dans le passé ! avec une note de 48 (toujours au 18 mai)

Ils vont être contactés sous peu. Merci à tous ceux qui ont participé, consciemment ou non (:-), à ce concours. Voici la liste des contributions taguées comme participantes. N'oubliez pas que vous pouvez gagner tous les mois des livres et des abonnements, juste en contribuant au site !

Pour la cinquième années, ACISSI organise le Salon Informatique de Maubeuge, qui grandit et change de nom, pour devenir les RSSIL, Rencontres des Solutions de Sécurité et d'Informatique Libre.
En 2009, les RSSIL ont eu l'immense plaisir d'accueillir pas moins de 2000 visiteurs, 36 exposants, 300 concurrents pour les challenges.
Alors, en 2010, la recette reste la même, mais les quantités augmentent, comme pour un gâteau que l'on veut partager avec plus de monde.
Au programme :

• La partie exposition, avec cette année pas moins de 60 stands disponibles pour des présentations et des démonstration afférentes au Libre. Comme pour les éditions précédentes, des LUGs et des association vous présenterons, vous expliquerons et vous aiderons dans l'utilisation de nombreux logiciels Libres !
  
• Les conférences sur divers sujets du Libre, de l'économie du Logiciel Libre aux lois liberticides, en passant par la présentation des outils par les développeurs eux-même !
  
• Le challenge de sécurité Hacknowledge, avec la participation de membres de divers projets (dont BackTrack 4) pour la création des épreuves ;
  
• Le challenge des IUT de France, et ses trois épreuves (Applicative - Web - Sécurité) ;
  
• La nuit de Jeux en réseau (LAN) ;
  
• Et tant d'autres animations ...

Le logiciel libre, la sécurité, les challengers, les visiteurs, les exposants et les conférenciers de haut vol... tous les ingrédients d'un rendez-vous à ne surtout pas manquer !

Où ça ?

À l'Espace Sculfort
Rue Jean-Jaurès / N39
59600 MAUBEUGE

Quelques dates :

• Date limite de soumission : 10 Avril 2010 ;
  
• Déroulement des conférences : 4 & 5 Juin 2010.
  

Pour plus d'infos, rendez-vous sur le site officiel rssil.org.

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 1.9.0 de PacketFence. Ce dernier est une solution de conformité réseau (NAC) entièrement libre, supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, le support pour le 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

PacketFence possède un grand nombre de fonctionnalités. Parmi celles-ci, on retrouve :

• L'enregistrement des composantes réseau grâce à un puissant portail captif ;
  
• Le blocage automatique, si souhaité, des appareils indésirables ;
  
• L'enrayement de la propagation de vers et virus informatiques ;
  
• Le freinage des attaques sur vos serveurs ou diverses composantes réseaux ;
  
• La vérification de la conformité des postes présents sur le réseau (logiciels installés, configurations particulières, etc.).

PacketFence est une solution non-intrusive qui fonctionne avec une multitude d'équipements réseaux (filaire ou sans fil) tels ceux de Cisco, Aruba, Nortel, Hewlett-Packard, Enterasys, Accton/Edge-corE/SMC, 3Com, D-Link, Intel, Dell et plus encore.

PacketFence supporte dorénavant les contrôleurs sans fil WiSM, la série 1800 ISR, ainsi que les commutateurs 3750 et 4500 de Cisco. Le commutateur Foundry FastIron 4802 est dorénavant supporté avec téléphonie IP et les commutateurs HP ProCurve 3400cl, SMC8824M et SMC8848M sont maintenant supportés. De nouvelles fonctionnalités telles la catégorisation de composantes réseau pour l'assignation dynamique de VLAN ainsi que la prise en charge du matériel flottant ont été ajoutées. Des paquets pour Red Hat Enterprise Linux (ou CentOS) sont disponibles sur le site officiel du projet ainsi qu'une version pré-configurée dans une image de type VMWare.

Self Service Password est une interface web très simple permettant à un utilisateur de changer son mot de passe dans un annuaire LDAP. Cet annuaire peut être Active Directory ou un annuaire LDAP conforme au standard.

Le logiciel est en PHP, sous licence GPL.

Cette nouvelle version apporte les nouveautés suivantes :

• Réinitialisation par question/réponse
  
• Réinitialisation par jeton envoyé par mail
  
• Contrôle des caractères spéciaux dans le mot de passe
  
• Possibilité d'interdire certains caractères dans le mot de passe

L'interface est désormais traduite en 5 langues : anglais, français, allemand, espagnol et brésilien.

La documentation a également été entièrement réécrite.

Téïcée vous invite le jeudi 6 décembre 2012 à 18h00 à une soirée-conférence.

Le programme :

• 1er temps fort : conférence du Lieutenant-Colonel Eric Filiol, Directeur du Laboration de cryptologie et de virologie opérationnelle.

• 2ème temps fort : table-ronde Témoignages de chefs d'entreprises

• Un cocktail dînatoire suivra cette rencontre !

Le lieu : IRTS Basse-Normandie
11, rue Guyon de Guercheville - 14200 Hérouville Saint-Clair

NdM : les logiciels libres ne sont pas explicitement mentionnés, mais vu leur importance dans le domaine de la sécurité, ils feront sûrement partie de la soirée.

La LDAPCon est une conférence internationale sur LDAP et les sujets relatifs à la gestion des identités (approvisionnement, autorisation, fédération, etc.). Elle a lieu tous les deux ans dans différents pays, et cette année c’est en France, les 18 et 19 novembre prochains (salle du Mas, 10/18 rue des terres au curé, 75013 Paris).

L’appel à conférences est ouvert jusqu’au 8 septembre, tous les sujets gravitant autour des annuaires LDAP et de la gestion des identités sont les bienvenus. Attention toutefois, les conférences seront en anglais.

Le nombre d’entrées pour la conférence étant limité, il est conseillé de réserver rapidement sa place. Un tarif spécial est proposé jusqu’au 15 septembre. Si vous êtes étudiant, c’est encore moins cher.

Les Crypto-Party (ou chiffro-fêtes) consistent en l'organisation d'ateliers gratuits à destination de tous, pour découvrir, comprendre et utiliser les principes de base de la cryptographie et de la protection de sa vie privée sur les réseaux (web, chat, email).

Programme

Mardi 23 juin 2015, c'est cryptoparty toute la soirée / nuit au L@Bx. Entrée libre et gratuite. Amenez à manger, à boire et sac de couchage pour les plus courageux.

Tous les détails en seconde partie.

Le 8 mars 2019, l’ENSEEIHT de Toulouse accueillera la troisième édition de la Toulouse Hacking Convention. Il s’agit d’une journée de conférences tournant autour de la sécurité, dans une ambiance conviviale et avec des membres de la communauté du Libre. :)

Il s’agit de la troisième édition, les deux précédentes ont été un franc succès avec autour de cent‐cinquante participants. Contrairement aux années passées, il n’y aura en revanche pas de CTF cette année (manque de bénévoles motivés). Cette année, nous accueillerons exclusivement des conférenciers francophones. Les sujets iront de la modification de micrologiciel de clavier à la sécurité informatique pour les ONG et les journalistes. Le programme complet est disponible sur le site Web.

Les vidéos des conférences de l’année dernière sont disponibles sur YouTube (nous n’avons pas encore de PeerTube…)

Inscrivez‐vous rapidement, les inscriptions vont fermer d’ici peu !

Les Hubs Open Source et Cyber & Security du Pôle Systematic vous invitent à un webinaire sur la sécurité des logiciels Open Source le mardi 11 mai de 14h à 16h30.

Cet événement fait suite à l’enquête organisée fin 2020 sur les pratiques et besoins relatifs à la sécurité des logiciels Open Source, qui avait recueilli plus de 120 réponses (dont de nombreuses parmi les lecteurs de LinuxFr.org)

Après une restitution des résultats de l’enquête, une table ronde permettra de confronter les opinions d’experts -utilisateur, intégrateur, régulateur, offreur- sur les points clés émergeant de l’enquête. Les participants pourront poser à cette occasion toutes leurs questions aux intervenants (La Poste, ANSSI, SafeRiver, LinkbyNet).

Enfin, nous accueillerons David Wheeler de la Fondation Linux pour une keynote en anglais "Securing the Development & Supply Chain of Open Source Software".

Nous avons le plaisir d’offrir à tous les lecteurs LinuxFr.org des invitations pour cet événement en ligne.
Code de gratuité à saisir sur la plateforme d’inscription weezevent : LinuxFr

LemonLDAP::NG est un logiciel de Web-SSO, développé par Xavier Guimard et destiné à protéger des applications Web. Pour les utilisateurs, cela permet de ne s'authentifier qu'une seule fois, et pour les administrateurs du WebSSO cela permet de contrôler de manière centralisée les droits d'accès aux applications.

LemonLDAP::NG est une réécriture de la version initiale LemonLDAP, qui n'est aujourd'hui plus maintenue. Eric German, leader historique de la communauté, est à présent impliqué sur un nouveau projet, LemonID, que nous vous invitons à découvrir.

Cette version est normalement la dernière avant la 1.0 qui se concentrera sur la refonte de la configuration (utilisation de XML, exhaustivité des paramètres de configuration dans la console d'administration Web, etc.). Elle apporte toutefois un lot conséquent de corrections et d'améliorations, telles qu'un menu des applications autorisées, un explorateur de session, et des paquetages pour les systèmes basés sur Debian et RedHat.

Cette version est également importante en terme de sécurité car elle corrige quelques failles de Cross Site Scripting (XSS) et ajoute un contrôle plus fort sur les URL de redirection.

L'association étudiante MiNET, fournisseur d'accès internet sur les campus des écoles Télécom SudParis et Télécom École de Management, organise jeudi 16 avril 2015 à Évry un après-midi de conférences autour de la cybersécurité et de la protection des données personnelles.

Depuis que Edward Snowden a révélé en juin 2013 les agissements de la NSA, le grand public a ouvert les yeux sur l'enjeu majeur qu'est la cybersécurité. En effet nous confions de plus en plus de données à différents acteurs du web. Pourtant l'accumulation récente de fuites montrent que nos données sont vulnérables : le piratage de photos personnelles de célébrités sur icloud, l'arrêt des services live de Microsoft et Sony à Noël…

Durant cet après-midi nos six conférenciers (liste en seconde partie de la dépêche) aborderont un large spectre de problématiques liées à la cybersécurité. Le but est de proposer une ouverture sur des domaines bien spécifiques (méthode de triage en forensic, cyberterrorisme, threat intelligence, etc…) tout en posant la problématique de ce que nous, en tant qu'individus, faisons de nos données privées.`

Qui a accès à nos données ? Comment ? Qu'en font-ils ?

Le 9 mars 2018, l’ENSEEIHT de Toulouse accueillera la seconde édition de la Toulouse Hacking Convention.

Il s’agit d’une journée de conférences tournant autour de la sécurité, suivie par une soirée/nuit de capture du drapeau (Capture The Flag ou CtF) constituée d’épreuves dans de multiples domaines (cryptographie, ingénierie inverse, exploitation de vulnérabilités, failles Web…). Le tout dans une ambiance conviviale et avec des membres de la communauté du Libre. :)

Il s’agit de la seconde édition, la première ayant été un franc succès puisque nous avons accueilli autour de 150 participants aux conférences, et 80 participants au CTF.

Les conférences de l’année dernière allaient de la rétro‐ingénierie de puces en regardant leurs transistors, à la désobfuscation automatique de code, en passant par un jeu de rôle de sensibilisation à la sécurité informatique. Les vidéos sont d’ailleurs disponibles sur YouTube.

Inscrivez‐vous rapidement, les inscriptions vont fermer d’ici peu !

Le programme de cette année n’est, à ce jour, pas finalisé ; mais il sera annoncé sous peu. Vous pouvez déjà trouver une première version sur le site.

En 2019, désœuvré dans un train (c’était une autre époque où l’on pouvait se déplacer de plus de dix kilomètres), j’avais écrit une dépêche sur un concours visant à montrer que la cybersécurité n’était pas un monde parallèle, peuplé de cybermagiciens tapant avec des gants ou des moufles, dans le noir, avec un sweat‐shirt à capuche baissée jusqu’aux yeux, ayant parfois un masque de Guy Fawkes ou des lunettes de soleil, et tapant au mieux des 0 et des 1, au pire du texte vert tendance Matrix. Et pour une raison qui sera évoquée plus loin, je me suis rappelé de cette dépêche et je me suis dit qu’un suivi des résultats deux ans plus tard pourrait être intéressant.

La société OpenIDEO et la Hewlett Foundation avaient lancé un concours des images (potentiellement sous licence libre). Deux ans après, la page du concours existe encore, celle de la sélection chez eux n’existe plus (mais archive.org s’en rappelle), ainsi que du PDF de présentation des résultats. De son côté la Hewlett Foundation a toujours en ligne son challenge et l'annonce des résultats. On peut aussi citer cet article techspot qui couvre les résultats. Et surtout au final les résultats sont publiés sur cybervisuals.org/, sous licence CC By 4.0.

Et la raison qui m’a rappelé cette dépêche : le concours #DoWeLookLikeHackers vu sur certains réseaux, et la vidéo montrant toutes les photos envoyées et agrégées en une vidéo. Cf Twitter et Youtube, ou Nitter et Invidious pour admirer le résultat (vidéo par Rhiz Guendouz d’Aresaphrodite pour NorthSec et GoSecure pour le concours #DoWeLookLikeHackers​). Ni la vidéo ni la musique ne semblent sous une licence libre (il aurait fallu les autorisations d’un paquet de gens).

Pass the SALT est une conférence dédiée aux Logiciels Libres (ou aux protocoles/formats ouverts) et à la Sécurité.

Cette 5ᵉ édition se déroulera à l’école Polytech de Lille du 4 au 6 juillet 2022. Son accès est gratuit (inscription requise). Les interventions sont données en langue anglaise afin de permettre une participation confortable aux conférenciers, conférencières et spectateurs non francophones. Et, enfin, un social event est organisé le 5 juillet au soir.

Pour une 3^e année consécutive, nous fêterons virtuellement une année de plus pour les Linux-Meetup au Québec (avec BigBlueButton un logiciel libre de vidéoconférence fonctionnant sous Linux, Proxmox, Debian, KVM, etc.)

Déjà 19 ans de rencontres mensuelles passionnantes, toutes axées sur Linux et/ou logiciels libres avec des gens partageant les mêmes intérêts pour les logiciels libres. Maintenant nos rencontres virtuelles sont disponibles partout à travers le Québec…. et de la francophonie ;-)

L'événement de l'an passé fut un très grand succès, on a eu un nombre record de "sponsors" (19) et on a réussi à attirer 83 Linuxien(ne)s (sur 120 inscriptions Eventbrite).

OCS Inventory NG (Open Computer and Software Inventory Next Generation) est une solution d'inventaire automatisé de parc informatique et de télédistribution, libre (GNU GPLv2), multiplateforme (Microsoft Windows, Linux, *BSD, Sun Solaris, IBM AIX, HP-UX, Mac OS X) et modulaire. Elle permet de centraliser les informations concernant les périphériques d'un parc et de déployer des logiciels ou des scripts sur des ordinateurs, tout en optimisant l'utilisation de la bande passante du réseau (5 Ko pour un inventaire complet d'un ordinateur fonctionnant avec le système d'exploitation Microsoft Windows). L'administration s'effectue via une interface web.

Utilisé conjointement à un logiciel de gestion de parc comme l'outil open source GLPI, vous disposerez d'une solution puissante d'inventaire et gestion de parc avec mises à jour automatique des configurations, outil de gestion des licences logicielles, outil de help desk et bien plus encore.

Cette solution d'inventaire a été récompensée, dans la catégorie sécurité, aux trophées du Libre 2006.

Après près d'un an de développement et de mise au point. Le logiciel EvalSMSI est disponible au téléchargement.

EvalSMSI est une application WEB, sous licence GPL, développée en PHP/MySQL, permettant de réaliser l'évaluation d'un Système de Management de la Sécurité de l'Information (SMSI).

S'appuyant sur la méthodologie proposée par la norme ISO 27001, cet outil a pour objectif de faciliter les opérations d’audit interne et de suivi des actions liées au management de la sécurité de l’information dans un organisme ou dans un groupement d'organismes.

Ses principales fonctionnalités sont :

• la réalisation d'évaluations internes à partir d'un questionnaire,
  
• la génération de graphes radars pour les résultats,
  
• la gestion d'un tableau de bord pour les évaluateurs,
  
• le suivi des évaluations sur plusieurs années,
  
• la génération automatique de rapports...