Après plus d'un an de développement, PPasskeeper arrive en bêta 2. PPassKeeper est une bibliothèque d'abstraction de stockage de mots de passe accessible en C/C++, ligne de commande et Python. Elle est basée sur un système de greffons et est sous licence LGPL v2.

Sa création part du constat que les applications multi plate-formes sauvegardent le plus souvent des données utilisateur sensibles dans des fichiers textes en clair. Cela peut s'expliquer simplement par le fait que ces applications ne peuvent pas se permettre de programmer la prise en charge de chaque système de stockage de mots de passe disponibles. Pour simplifier le travail des programmeurs multi plate-formes et pour augmenter la liberté des utilisateurs de choisir où stocker leurs données, PPassKeeper a vu le jour.

Des paquets sont disponibles pour Linux (ArchLinux, Fedora et Ubuntu) et pour Windows. Des contributions pour les améliorer ou ajouter la prise en charge de nouvelles distributions seraient les bienvenus.

Avec un temps de développement de bientôt 2 ans, PPassKeeper commence à atteindre une certaine maturité dans son développement. Cette version attend vos commentaires à la fois sur l'API, des idées de greffons, sur la façon dont les greffons peuvent être configurés ou sur toute autre chose qui vous intéresserait.

Mise à jour d'EvalSMSI

EvalSMSI est une application web, sous licence GPL, développée en PHP/MySQL, permettant de réaliser l'évaluation d'un Système de Management de la Sécurité de l'Information (SMSI).

La version 2.3.1 d'EvalSMSI vient d'être publiée. Elle comprend de nombreuses améliorations et correction de bugs. Elle est disponible sous la forme d'un fichier tar.gz ou dans une machine virtuelle Virtualbox 4.0.

S'appuyant sur la méthodologie proposée par les normes de la famille ISO 2700x, cet outil a pour objectif de faciliter les opérations d’audit interne et de suivi des actions liées au management de la sécurité de l’information dans un organisme ou dans un groupement d'organismes.

J'en profite pour remercier les nombreux contributeurs qui m'ont apporté leur soutien, leurs critiques et autres patchs correctifs.


OS fingerprinting en 3D

Inspiré de l'article « Strange Attractors and TCP/IP Sequence Number Analysis » (Michal Zalewski, 2001), GraphicalOSfp est une application développée en python et qui a pour objectifs :

• De collecter les données aléatoires issues de connexions TCP sur des systèmes distants: l'Initial Sequence Number et l'IP ID ;
  
• De sauvegarder ces données dans un fichier ;
  
• De traiter ces données et d'afficher l'attracteur propre à ces données aléatoires dans un environnement 3D.

L'image obtenue offre plusieurs possibilités allant de l'identification d'un OS distant à l'analyse des algorithmes de moteurs aléatoires. L'outil utilise Scapy pour l'envoi et la réception des trames réseau et la bibliothèque openGL de python pour l'affichage 3D.

NdM : GraphicalOSfp est distribué sous la licence GNU GPLv3.


Publication de la version bêta d'OpenEBIOS


Application Web, développée en PHP, OpenEBIOS a pour objectif de faciliter la démarche d'analyse des risques pour un système d'information.

S'appuyant sur la méthode d'Expression des Besoins et Identification des Objectifs de Sécurité (EBIOS) dans sa version 2010, publiée par l'ANSSI en avril dernier, cet outil devrait permettre à terme pour une entité :

• De gérer le dossier de sécurité de ses systèmes d'information durant leur cycle de vie ;
  
• De mettre en œuvre le workflow d'analyse et de validation des risques liés à l'utilisation des ses SI ;
  
• D'éditer les documents issus de cette analyse et notamment les Fiches d'Expression Rationnelle des Objectifs de Sécurité (FEROS).

L'outil est actuellement en version bêta mais les premières étapes de l'analyse des risques y sont fonctionnelles. L'exemple fourni dans le guide EBIOS de l'ANSSI y est implémenté afin de garantir la cohérence avec la méthode.

Enfin, la version en cours est implémentée dans la machine virtuelle (Virtualbox 4.0) fournie avec le logiciel EvalSMSI.

L’État‐major interministériel de zone de défense et de sécurité Est (Préfecture de zone de défense et de sécurité Est), la Chambre de commerce et d’industrie (CCI) de la Moselle et le chargé de mission de sécurité économique (CMSE) du haut fonctionnaire de défense et de sécurité (HFDS), ont organisé une matinée de sensibilisation des PME à la sécurité informatique le 4 octobre 2011 à partir de 8 h 30, au Parc des expositions de Metz, lors de la Foire internationale de Metz.

CAcert est une « autorité de certification communautaire qui émet gratuitement des certificats pour tous ». Elle peut donc fournir des certificats X.509 pour vos serveurs web, vos navigateurs web ou vos logiciels de courriel. Elle peut aussi signer les clés PGP/GPG.

Un rendez-vous est organisé le 20 avril 2015, à 19h00, pour valider vos identités CAcert, à l'hôtel Novotel Les Halles, 8, place Marguerite de Navarre 75001 Paris.

Le réseau de confiance de CAcert repose sur l'attribution de points : plus vous avez de points, plus la confiance dans le fait que vous êtes qui vous prétendez est grande (et plus vous pouvez attribuer de points à d'autres).

Si vous pouvez aussi donner des points, manifestez vous, soit ici ou sur meetup.

NdM : LinuxFr.org utilise un certificat CAcert (cf l'aide 1, 2 et 3), ainsi que GPG.

La version 2 d'OpenVAS, le principal fork de Nessus, vient de sortir un peu plus d’un an après la première version stable.

À mon sens le changement de version ne se justifiait pas, aucune fonctionnalité substantielle n’ayant été ajoutée dans l’intervalle. En effet, OpenVAS utilise encore largement le code originel de Nessus et une partie importante du travail consiste à auditer les sources.

Cette nouvelle version intègre néanmoins pas mal de nouveautés intéressantes :

• Amélioration du client graphique ;
  
• Support partiel d'OVAL (Open Vulnerability Assessment Language). OVAL est un langage -indépendant du projet OpenVAS malgré les similitudes de consonance- de création de tests de vulnérabilités. Un test développé en OVAL est utilisable par tous les outils supportant ce langage, contrairement par exemple à un plugin NASL (Nessus Attack Scripting Language) qui est “propriétaire” Nessus ;
  
• Création du protocole OTP (OpenVAS transfert protocol) en remplacement du protocole originel NVT (Nessus transfert protocol). Ces protocoles sont utilisés pour les communications entre les clients et le serveur ;
  
• Nouveau format d'identifiants pour les tests de vulnérabilités (OID) ;
  
• Support des architectures 64 bits ;
  
• Sans compter pas mal de corrections de bogues.

Bref, le projet avance, lentement, mais il avance :-)

pySHOT est un enregistreur centralisé de session client/serveur pour Windows (utilisant XML-RPC) codée en Python 2.6 et publié sous licence GPL v3.

pySHOT crée des vidéos, les classes, capture les saisies utilisateurs (keylogs), surveille le CPU, la RAM... C'est tout neuf, c'est une pre-release (soyez indulgent sur le packaging, le setup ou le design... tout n'est pas terminé), la documentation est en cours d'écriture mais pour les bricoleurs c'est déjà opérationnel.

Pré-requis : serveur sous Ubuntu 10.10, et client sous Windows 2000 mini. Note : les autres versions d'Ubuntu devraient fonctionner, mais il y a pas mal de réglages à effectuer à la main. La version 0.1 n'enregistre que les sessions Windows (de 2000 à Windows 7), l'enregistrement des sessions Gnome et des terminaux est prévu dans la roadmap.

Équivalent propriétaire et commercial de observeit-sys.com (pour vous donner une idée des fonctions...). Try it ! it's free : https://launchpad.net/pyshot/.

La 4ème LDAPCon qui aura lieu la semaine prochaine (18 et 19 novembre 2013) en France, salle du MAS à Paris, vient de publier son programme définitif. Le protocole Lightweight Directory Access Protocol (LDAP) est à l'origine destiné à l'interrogation et la modification des services d'annuaire.

On aura donc la chance d'avoir une présentation des dernières nouveautés des logiciels suivants :

• OpenLDAP : serveur LDAP, en C
• OpenDJ : serveur LDAP, en Java
• ApacheDS : serveur LDAP et Studio, en Java
• LSC : outil de synchronisation entre annuaires et bases de données ou fichiers, en Java
• Spring LDAP : API java d'accès aux annuaires LDAP
• LinID : interface de gestion des données LDAP, en Java
• FreeIPA : outil de gestion des accès et des identités (LDAP, Kerberos, DNS, NTP)
• FusionDirectory : interface de gestion des données LDAP, en PHP
• eSCIMo : outil de provisionning SCIM, en Java
• Fortress : gestion des accès à base de rôles RBAC, en Java

La plupart des contributeurs de ces logiciels seront présents, c'est donc une occasion unique pour les rencontrer.

Il reste encore des places, il vous ne vous reste que quelques jours pour réserver la vôtre !

NdM : les frais d'inscription s'élèvent à 250 € (50 € pour les étudiants) pour les deux jours.

No Limit Secu est un podcast (ou bala(do)diffusion) indépendant, animé par des personnes passionnées qui sont parties prenantes dans le domaine de la cybersécurité à des rôles et dans entreprises diverses.

Le podcast est publié à fréquence hebdomadaire, sur son site web, généralement le dimanche. Une nouvelle thématique est abordée chaque semaine, en présence d'un invité lié de près ou de loin à cette thématique.

L'épisode de cette semaine porte sur la fondation OWASP. L'invité est Sébastien Gioria, qui dirige la division française de l'OWASP.

APITUX vous invite au petit déjeuner organisé par Libertis, le réseau opérationnel des sociétés de services en logiciels libres, le vendredi 18 décembre 2009 de 9h à 10h30 chez XSALTO, rue Pasteur, à Digne-les-Bains.

Autour d'un café, pour échanger sur le thème la sécurité des données grâce au logiciel libre.

Avec les interventions de :

• Jean-Christophe Becquet (APITUX) : utiliser des formats ouverts pour garantir la pérennité des données
  
• Renaud Zigmann (XSALTO) : sécuriser son réseau et ses données avec des logiciels libres

Depuis 2001, les Assises de la Sécurité et des Systèmes d’Information réunissent un millier de professionnels : 600 DI, DSI, RSSI, Risk managers et experts sont présents, soit la quasi-totalité des décisionnaires grands comptes stratégiques des secteurs publics et privés.

Le Lauréat 2010 est le logiciel Digital Forensics Framework développé par la société ArxSys spécialisée dans l'informatique légale.

L'article bien documenté de l'AFUL insiste particulièrement sur le fait que c'est la première fois en près de dix ans qu'un logiciel libre est primé par cette institution. Cela montre non seulement que les logiciels libres sont performants (nous le savions déjà !) mais aussi que leur crédibilité a atteint les milieux d'affaires privés et publics.

NdM : on peut traduire le nom du logiciel par « ensemble d'outils numériques pour la criminalistique », donc l'étude après-coup des fichiers après erreur ou plantage, la recherche et l'analyse d'éléments de preuves.

Le lundi 21 mai au soir, à Paris, se tiendra une conférence organisée par Parinux, expliquant les principes de base de la cryptographie et leur application dans les systèmes SSL et PGP. Cette conférence sera suivie par une signing-party PGP et CAcert.

• Contenu : explications sur la cryptographie, SSL et PGP puis signing-party
• Lieu : EPN la Bourdonnais, 105 avenue de la Bourdonnais, 75007 Paris
• Date : 2012-05-21 18:45+02:00
• Durée : 02:15

Pour le déroulement de la signing-party, il est demandé de :

1. générer un paire de clefs si vous n'en avez pas déjà une ;
2. envoyer votre clef publique et vous inscrire ;
3. imprimer quelques exemplaires de votre empreinte de clef ;
4. imprimer la liste des participants qui vous sera envoyée ;
5. venir munis de tout cela ainsi qu'un stylo et d'une (ou plusieurs) pièce d'identité.

Cette année l'association GOALL aide à l'organisation des Journées FedeRez à SUPELEC à Metz. FedeRez est une fédération d'associations de réseaux informatiques étudiants. Tous les ans, les étudiants des associations membres se retrouvent pour échanger lors des Journées FedeRez, assister à des conférences et participer à divers ateliers. En plus des nombreux étudiants et jeunes diplômés constituant le public habituel de l'événement, beaucoup de professionnels sont invités.

L'édition 2015 aura pour thème la sécurité des systèmes d'information :

• vendredi 6 mars après-midi : conférences et table ronde
• samedi 7 mars matin : conférences
• samedi 7 mars après-midi : conférences et ateliers
• dimanche matin 8 mars : conférences et Assemblée Générale Ordinaire des associations membres du réseau Federez

Numerama nous apprend que le WPA-TKIP servant à sécuriser des réseaux Wi-Fi aurait été partiellement cassé par deux chercheurs.

Cette méthode pourrait être utilisée pour briser le chiffrement en un quart d'heure à peine. Cette technique ne repose pas sur une attaque « brute force » comme il est de coutume, mais sur de solides algorithmes mathématiques ainsi que sur une faille du système de chiffrement. Ce système de chiffrement était réputé comme quasiment impossible à « casser » sans posséder de matériel très performant : les deux chercheurs semblent avoir prouvé le contraire.

L'article de Numerama rappelle à juste titre aux législateurs (NdR : de la loi "Création et Internet" entre autres) :
[...] qu'aucune protection quelle qu'elle soit ne peut garantir la sécurité des données sur un ordinateur ou sur un réseau. La loi Création et Internet, qui veut faire supporter de fait aux abonnés une obligation de résultat dans la protection de leur accès à Internet, est en cela redoutable. S'il n'est pas possible techniquement de prouver que l'on a fait l'objet d'une attaque, cette obligation de sécurisation doit être refusée puisqu'elle est incompatible avec les droits de la défense [...].

Les deux chercheurs présenteront leur méthode lors du PacSec à Tokyo, le semaine prochaine.

NdM : il ne s'agit pour l'instant que d'une annonce, même si d'après les commentaires du journal de fleny68 sur le même sujet, des ajouts ont été faits à un outil d'attaque des clés Wi-Fi pour exploiter une faille, dont l'ampleur et la méthode utilisée restent à décrire plus précisément.

Ce petit-déjeuner, ouvert à tous, sera l'occasion d'aborder les problématiques liées au hacking du point de vue de la sécurité. Nous ferons un tour rapide des différentes solutions existantes dans le domaine du logiciel libre. Nous finirons avec une table-ronde/discussions sur ce sujet avec mise en perspective sur la base de situations "terrain".

Intervenants :

• 8h30 - 9h30h: Julien Cayssol - Consultant Sécurité - Certilience
• 9h30-10h: Table ronde interactive avec un responsable production

Quand : le 28 juin 2013
Horaires : 8h30 à 10h30
Nombre de place : 35
Lieu : 105 rue La Fayette 75010 Paris

Hacker Space Brussels (HSB) vous invite a une nuit de hacking autour d'OpenWRT ce samedi 7 Février. OpenWRT est la meilleure distribution Linux pour l'embarqué. De nombreux développeurs d'OpenWRT seront présents au FOSDEM et cette nuit de hacking sera l'occasion de tester la dernière version RC2 :

Date
Début : Samedi soir 7 Février @ 18:00
Fin : Dimanche 8 Février @ 12:00

Objectifs

• Présentation des nouvelles fonctionnalités de la RC2 ;
  
• Test de la RC2 sur des routeurs Asus WL-HDD, foneras, etc. ;
  
• Dégustation de bières belges.
  

Nous fournissons

• Un frigo plein de bières ;
  
• Espace, électricité, internet ;
  
• Rafraîchissements et snacks.
  

Adresse
HackerSpace Brussels
Void*Pointer
Av princesse elisabeth 46
1030 Bruxelles

Transport

• Le tram 23 part de l'ULB et arrive a notre porte (arrêt 'prinses elisabeth').
  
• Le bus de nuit Noctis s'arrête à 'verboekhoven', qui est à 100m à pied.
  

Inscription
L'espace étant limité, nous vous demandons de vous inscrire en avance en effectuant les deux actions suivantes :

1. Envoyez un email à zoobab at gmail.com
   
ET

2. Enregistrez-vous sur Doodle
   

Contact
Benjamin Henrion +32-484-566109

Hack.lu est une convention/conférence où les spécialistes peuvent discuter sur la sécurité informatique, les aspects de la vie privée, les technologies de l’information et son implication dans la société. Le but de cette convention est de réaliser des liens entre les différents acteurs du monde de la sécurité informatique.

Les sujets abordés pendant cette édition sont d’actualité, à la pointe de ce qui se fait actuellement. Entre autres :

• New advances in Office Malware analysis ;
  
• PDF- Penetration Document Format ;
  
• Some Tricks For Defeating SSL In Practice ;
  
• etc.
  

Cette convention est le lieu idéal pour créer des liens avec des interlocuteurs spécialistes de la sécurité, se tenir au courant des dernières bonnes pratiques dans le domaine, ainsi que de s’informer sur le matériel disponible.

Comme l'année passée, celle-ci se tiendra à Luxembourg-Ville à l'Alvisse Parc Hotel. Les dates retenues sont du 28 au 30 octobre. Réservez votre entrée dès maintenant afin de pouvoir bénéficier du tarif réduit (entre 100 et 500€ selon votre statut (étudiant ou non) et la date de la réservation).

DynFi™ Firewall est un pare-feu unique qui permet aux entreprises et institutions de protéger efficacement leurs réseaux tout en offrant une visibilité complète sur son code source.

DynFi Firewall dispose d’une interface intégralement traduite en français et dans onze autres langues.
C'est un fork du projet OPNsense, dont l'intégralité des mécanismes de compilation a été modernisé et migré sous FreeBSD 13 et poudriere.

Comprendre et bien utiliser le fichier hosts, quel que soit votre système d'exploitation.

Le fichier hosts ?
Presque un gros mot pour la plupart des utilisateurs lambda, mais qui a le mérite d'être facile à comprendre et puissant dans son utilisation.

Dans cet article, il n'y aura pas grand-chose de très technique.

Hack.lu est une convention et un espace de discussion sur la sécurité informatique, la vie privée, les technologies de l'information et ses implications dans la société. Le but de la convention est de créer une passerelle entre les différents acteurs du domaine de la sécurité informatique.

L'événement a lieu du 22 au 24 octobre, au Luxembourg.

Dans ce qui va suivre, j'essaierai de vous présenter une technique que j'utilise pour accéder à mes serveurs via des points de montage sshfs (basé sur fuse) encapsulé dans des tunnels SSH.

Dans ce qui va suivre, je ferai des références à un ensemble de produits. Je vais en faire ici une rapide présentation :

• openssh (que je ne présenterai pas)
  
• fuse : module noyau permettant de manipuler des points de montage en tant qu'utilisateur lambda
  
• tsocks : bibliothèque permettant l'encapsulation des requêtes réseaux d'un programme.
  
• afuse : utilitaire permettant de se servir de fuse pour faire des automounts.
  

La version 6.9 de TestDisk et PhotoRec, logiciels de récupération de données multi-plateformes sous licence GPL, vient de sortir.

Cette version apporte de nombreuse améliorations dont le support EFI GPT (MacBook, MacPro, Itanium...), une meilleure identification des disques sous Linux (présence du modèle), la récupération des partitions chiffrées LUKS, Mac HFSX, Linux Raid md 1.0/1.1/1.2 (en plus de 0.9), la possibilité de copier des fichiers depuis une partition FAT retrouvée (déjà possible pour NTFS), la récupération de fichiers depuis l'espace libre d'une partition ext2/ext3...

Ceci est susceptible d'intéresser les développeurs et utilisateurs de logiciels libres qui souhaiteraient se rendre aux États-Unis (et d'autres pays en train de mettre en place la même législation). Le Département états-unien de la sécurité intérieure (DHS) a publié un texte autorisant les douaniers à saisir n'importe quel appareil électronique (portables, mobiles, disques durs portables, smartphones, CD, DVD, tous supports numériques, etc.) au nom de la sécurité, pour permettre la « découverte d'informations relatives au terrorisme, aux trafics de stupéfiants ou à l'immigration illégale. » Cela comprend donc une éventuelle confiscation et analyse du contenu (avec traduction et/ou tentative de déchiffrement si nécessaire). Les mesures sont déjà en vigueur et selon « IDG News Service, plusieurs voyageurs ont rapporté s'être faits saisir leur ordinateur portable sans que leur bien leur soit restitué par la suite. »

Ce texte fait partie de l'Anti-Counterfeiting Trade Agreement (ACTA, littéralement « Traité commercial anti-contrefaçon ») , entre les États-Unis, l'Union européenne, le Japon, la Suisse, l'Australie, le Canada et la Nouvelle Zélande (voir les détails sur le blog de Laurent Guerby). Vous aurez noté que l'ACTA concerne plus la contrefaçon que la (traditionnelle excuse de la) sécurité nationale...

L'EFF (Electronic Frontier Foundation) craint que « les ordinateurs [ne] renferment des informations familiales, médicales, financières, qui pourraient facilement être copiées et se retrouver dans les bases de données gouvernementales ».

On pourrait bien entendu évoquer des solutions techniques (le déni plausible, apprendre par coeur sa clé SSH et télécharger ses données une fois sur place, etc.), mais c'est bien l'adoption d'une telle législation et ses conséquences qui devraient faire réfléchir, et pas les hypothétiques et tortueux contournements techniques possibles.

Cet intéressant article décrit parfaitement l'administration du logiciel de connexion sécurisé OpenSSH. Il aborde, en premier lieu, les raisons techniques de la nécessité du cryptage des connexions sur internet avant de rentrer dans les méandres de sa configuration... (source mynews.free.fr)

Un article sur iptables avec un script de configuration "dynamique"

Vu sur linuxsecurity.com

Note du modérateur : script clair et détaillé, qui peut en inspirer plus d'un pour s'écrire ses propres scripts...

Le projet SILC (Secure Internet Live Conferencing) a pour but de fournir un système autonome de conversation (chat) sécurisé. Ainsi, et grâce à SILC, deux individus pourront discuter en toute confidentialité. L'infrastructure cryptographique de SILC permet de fournir les services "PKI" standard de confidentialité, authentification, intégrité, et de non-répudiation.

Le protocole SILC a été conçu pour NE permettre QUE des échanges cryptés. Tous les messages sont systématiquement cryptés et authentifiés en utilisant des clés de session, des clés de canaux (channels), ou des clés de message privé. Il est impossible d'échanger des messages en clair sur le réseau SILC. En plus d'un format de clés spécifique à SILC, les formats SSH2, OpenPGP et X.509 sont supportés. Enfin SILC utilise SFTP pour le transfert de fichiers sécurisé.

Pour ne pas dépayser des utilisateurs, la plupart des commandes IRC sont présentes dans le protocole SILC. Les utilisateurs peuvent négocier entre eux des clés pour discuter en toute tranquilité. Et pour en finir avec les guerres de pseudo (nickname wars), SILC permet à plusieurs utilisateurs d'avoir le même pseudo ! La distinction se fait par WHOIS.

Des packages prêts à installer existent pour:
- *BSD (OpenBSD, NetBSD, FreeBSD)
- Debian
- Distributions Linux basées sur RPM
- Windows