Le 9 mars 2018, l’ENSEEIHT de Toulouse accueillera la seconde édition de la Toulouse Hacking Convention.

Il s’agit d’une journée de conférences tournant autour de la sécurité, suivie par une soirée/nuit de capture du drapeau (Capture The Flag ou CtF) constituée d’épreuves dans de multiples domaines (cryptographie, ingénierie inverse, exploitation de vulnérabilités, failles Web…). Le tout dans une ambiance conviviale et avec des membres de la communauté du Libre. :)

Il s’agit de la seconde édition, la première ayant été un franc succès puisque nous avons accueilli autour de 150 participants aux conférences, et 80 participants au CTF.

Les conférences de l’année dernière allaient de la rétro‐ingénierie de puces en regardant leurs transistors, à la désobfuscation automatique de code, en passant par un jeu de rôle de sensibilisation à la sécurité informatique. Les vidéos sont d’ailleurs disponibles sur YouTube.

Inscrivez‐vous rapidement, les inscriptions vont fermer d’ici peu !

Le programme de cette année n’est, à ce jour, pas finalisé ; mais il sera annoncé sous peu. Vous pouvez déjà trouver une première version sur le site.

En 2019, désœuvré dans un train (c’était une autre époque où l’on pouvait se déplacer de plus de dix kilomètres), j’avais écrit une dépêche sur un concours visant à montrer que la cybersécurité n’était pas un monde parallèle, peuplé de cybermagiciens tapant avec des gants ou des moufles, dans le noir, avec un sweat‐shirt à capuche baissée jusqu’aux yeux, ayant parfois un masque de Guy Fawkes ou des lunettes de soleil, et tapant au mieux des 0 et des 1, au pire du texte vert tendance Matrix. Et pour une raison qui sera évoquée plus loin, je me suis rappelé de cette dépêche et je me suis dit qu’un suivi des résultats deux ans plus tard pourrait être intéressant.

La société OpenIDEO et la Hewlett Foundation avaient lancé un concours des images (potentiellement sous licence libre). Deux ans après, la page du concours existe encore, celle de la sélection chez eux n’existe plus (mais archive.org s’en rappelle), ainsi que du PDF de présentation des résultats. De son côté la Hewlett Foundation a toujours en ligne son challenge et l'annonce des résultats. On peut aussi citer cet article techspot qui couvre les résultats. Et surtout au final les résultats sont publiés sur cybervisuals.org/, sous licence CC By 4.0.

Et la raison qui m’a rappelé cette dépêche : le concours #DoWeLookLikeHackers vu sur certains réseaux, et la vidéo montrant toutes les photos envoyées et agrégées en une vidéo. Cf Twitter et Youtube, ou Nitter et Invidious pour admirer le résultat (vidéo par Rhiz Guendouz d’Aresaphrodite pour NorthSec et GoSecure pour le concours #DoWeLookLikeHackers​). Ni la vidéo ni la musique ne semblent sous une licence libre (il aurait fallu les autorisations d’un paquet de gens).

Pass the SALT est une conférence dédiée aux Logiciels Libres (ou aux protocoles/formats ouverts) et à la Sécurité.

Cette 5ᵉ édition se déroulera à l’école Polytech de Lille du 4 au 6 juillet 2022. Son accès est gratuit (inscription requise). Les interventions sont données en langue anglaise afin de permettre une participation confortable aux conférenciers, conférencières et spectateurs non francophones. Et, enfin, un social event est organisé le 5 juillet au soir.

Pour une 3^e année consécutive, nous fêterons virtuellement une année de plus pour les Linux-Meetup au Québec (avec BigBlueButton un logiciel libre de vidéoconférence fonctionnant sous Linux, Proxmox, Debian, KVM, etc.)

Déjà 19 ans de rencontres mensuelles passionnantes, toutes axées sur Linux et/ou logiciels libres avec des gens partageant les mêmes intérêts pour les logiciels libres. Maintenant nos rencontres virtuelles sont disponibles partout à travers le Québec…. et de la francophonie ;-)

L'événement de l'an passé fut un très grand succès, on a eu un nombre record de "sponsors" (19) et on a réussi à attirer 83 Linuxien(ne)s (sur 120 inscriptions Eventbrite).

OCS Inventory NG (Open Computer and Software Inventory Next Generation) est une solution d'inventaire automatisé de parc informatique et de télédistribution, libre (GNU GPLv2), multiplateforme (Microsoft Windows, Linux, *BSD, Sun Solaris, IBM AIX, HP-UX, Mac OS X) et modulaire. Elle permet de centraliser les informations concernant les périphériques d'un parc et de déployer des logiciels ou des scripts sur des ordinateurs, tout en optimisant l'utilisation de la bande passante du réseau (5 Ko pour un inventaire complet d'un ordinateur fonctionnant avec le système d'exploitation Microsoft Windows). L'administration s'effectue via une interface web.

Utilisé conjointement à un logiciel de gestion de parc comme l'outil open source GLPI, vous disposerez d'une solution puissante d'inventaire et gestion de parc avec mises à jour automatique des configurations, outil de gestion des licences logicielles, outil de help desk et bien plus encore.

Cette solution d'inventaire a été récompensée, dans la catégorie sécurité, aux trophées du Libre 2006.

Après près d'un an de développement et de mise au point. Le logiciel EvalSMSI est disponible au téléchargement.

EvalSMSI est une application WEB, sous licence GPL, développée en PHP/MySQL, permettant de réaliser l'évaluation d'un Système de Management de la Sécurité de l'Information (SMSI).

S'appuyant sur la méthodologie proposée par la norme ISO 27001, cet outil a pour objectif de faciliter les opérations d’audit interne et de suivi des actions liées au management de la sécurité de l’information dans un organisme ou dans un groupement d'organismes.

Ses principales fonctionnalités sont :

• la réalisation d'évaluations internes à partir d'un questionnaire,
  
• la génération de graphes radars pour les résultats,
  
• la gestion d'un tableau de bord pour les évaluateurs,
  
• le suivi des évaluations sur plusieurs années,
  
• la génération automatique de rapports...

Après plus d'un an de développement, PPasskeeper arrive en bêta 2. PPassKeeper est une bibliothèque d'abstraction de stockage de mots de passe accessible en C/C++, ligne de commande et Python. Elle est basée sur un système de greffons et est sous licence LGPL v2.

Sa création part du constat que les applications multi plate-formes sauvegardent le plus souvent des données utilisateur sensibles dans des fichiers textes en clair. Cela peut s'expliquer simplement par le fait que ces applications ne peuvent pas se permettre de programmer la prise en charge de chaque système de stockage de mots de passe disponibles. Pour simplifier le travail des programmeurs multi plate-formes et pour augmenter la liberté des utilisateurs de choisir où stocker leurs données, PPassKeeper a vu le jour.

Des paquets sont disponibles pour Linux (ArchLinux, Fedora et Ubuntu) et pour Windows. Des contributions pour les améliorer ou ajouter la prise en charge de nouvelles distributions seraient les bienvenus.

Avec un temps de développement de bientôt 2 ans, PPassKeeper commence à atteindre une certaine maturité dans son développement. Cette version attend vos commentaires à la fois sur l'API, des idées de greffons, sur la façon dont les greffons peuvent être configurés ou sur toute autre chose qui vous intéresserait.

Mise à jour d'EvalSMSI

EvalSMSI est une application web, sous licence GPL, développée en PHP/MySQL, permettant de réaliser l'évaluation d'un Système de Management de la Sécurité de l'Information (SMSI).

La version 2.3.1 d'EvalSMSI vient d'être publiée. Elle comprend de nombreuses améliorations et correction de bugs. Elle est disponible sous la forme d'un fichier tar.gz ou dans une machine virtuelle Virtualbox 4.0.

S'appuyant sur la méthodologie proposée par les normes de la famille ISO 2700x, cet outil a pour objectif de faciliter les opérations d’audit interne et de suivi des actions liées au management de la sécurité de l’information dans un organisme ou dans un groupement d'organismes.

J'en profite pour remercier les nombreux contributeurs qui m'ont apporté leur soutien, leurs critiques et autres patchs correctifs.


OS fingerprinting en 3D

Inspiré de l'article « Strange Attractors and TCP/IP Sequence Number Analysis » (Michal Zalewski, 2001), GraphicalOSfp est une application développée en python et qui a pour objectifs :

• De collecter les données aléatoires issues de connexions TCP sur des systèmes distants: l'Initial Sequence Number et l'IP ID ;
  
• De sauvegarder ces données dans un fichier ;
  
• De traiter ces données et d'afficher l'attracteur propre à ces données aléatoires dans un environnement 3D.

L'image obtenue offre plusieurs possibilités allant de l'identification d'un OS distant à l'analyse des algorithmes de moteurs aléatoires. L'outil utilise Scapy pour l'envoi et la réception des trames réseau et la bibliothèque openGL de python pour l'affichage 3D.

NdM : GraphicalOSfp est distribué sous la licence GNU GPLv3.


Publication de la version bêta d'OpenEBIOS


Application Web, développée en PHP, OpenEBIOS a pour objectif de faciliter la démarche d'analyse des risques pour un système d'information.

S'appuyant sur la méthode d'Expression des Besoins et Identification des Objectifs de Sécurité (EBIOS) dans sa version 2010, publiée par l'ANSSI en avril dernier, cet outil devrait permettre à terme pour une entité :

• De gérer le dossier de sécurité de ses systèmes d'information durant leur cycle de vie ;
  
• De mettre en œuvre le workflow d'analyse et de validation des risques liés à l'utilisation des ses SI ;
  
• D'éditer les documents issus de cette analyse et notamment les Fiches d'Expression Rationnelle des Objectifs de Sécurité (FEROS).

L'outil est actuellement en version bêta mais les premières étapes de l'analyse des risques y sont fonctionnelles. L'exemple fourni dans le guide EBIOS de l'ANSSI y est implémenté afin de garantir la cohérence avec la méthode.

Enfin, la version en cours est implémentée dans la machine virtuelle (Virtualbox 4.0) fournie avec le logiciel EvalSMSI.

L’État‐major interministériel de zone de défense et de sécurité Est (Préfecture de zone de défense et de sécurité Est), la Chambre de commerce et d’industrie (CCI) de la Moselle et le chargé de mission de sécurité économique (CMSE) du haut fonctionnaire de défense et de sécurité (HFDS), ont organisé une matinée de sensibilisation des PME à la sécurité informatique le 4 octobre 2011 à partir de 8 h 30, au Parc des expositions de Metz, lors de la Foire internationale de Metz.

CAcert est une « autorité de certification communautaire qui émet gratuitement des certificats pour tous ». Elle peut donc fournir des certificats X.509 pour vos serveurs web, vos navigateurs web ou vos logiciels de courriel. Elle peut aussi signer les clés PGP/GPG.

Un rendez-vous est organisé le 20 avril 2015, à 19h00, pour valider vos identités CAcert, à l'hôtel Novotel Les Halles, 8, place Marguerite de Navarre 75001 Paris.

Le réseau de confiance de CAcert repose sur l'attribution de points : plus vous avez de points, plus la confiance dans le fait que vous êtes qui vous prétendez est grande (et plus vous pouvez attribuer de points à d'autres).

Si vous pouvez aussi donner des points, manifestez vous, soit ici ou sur meetup.

NdM : LinuxFr.org utilise un certificat CAcert (cf l'aide 1, 2 et 3), ainsi que GPG.

La version 2 d'OpenVAS, le principal fork de Nessus, vient de sortir un peu plus d’un an après la première version stable.

À mon sens le changement de version ne se justifiait pas, aucune fonctionnalité substantielle n’ayant été ajoutée dans l’intervalle. En effet, OpenVAS utilise encore largement le code originel de Nessus et une partie importante du travail consiste à auditer les sources.

Cette nouvelle version intègre néanmoins pas mal de nouveautés intéressantes :

• Amélioration du client graphique ;
  
• Support partiel d'OVAL (Open Vulnerability Assessment Language). OVAL est un langage -indépendant du projet OpenVAS malgré les similitudes de consonance- de création de tests de vulnérabilités. Un test développé en OVAL est utilisable par tous les outils supportant ce langage, contrairement par exemple à un plugin NASL (Nessus Attack Scripting Language) qui est “propriétaire” Nessus ;
  
• Création du protocole OTP (OpenVAS transfert protocol) en remplacement du protocole originel NVT (Nessus transfert protocol). Ces protocoles sont utilisés pour les communications entre les clients et le serveur ;
  
• Nouveau format d'identifiants pour les tests de vulnérabilités (OID) ;
  
• Support des architectures 64 bits ;
  
• Sans compter pas mal de corrections de bogues.

Bref, le projet avance, lentement, mais il avance :-)

pySHOT est un enregistreur centralisé de session client/serveur pour Windows (utilisant XML-RPC) codée en Python 2.6 et publié sous licence GPL v3.

pySHOT crée des vidéos, les classes, capture les saisies utilisateurs (keylogs), surveille le CPU, la RAM... C'est tout neuf, c'est une pre-release (soyez indulgent sur le packaging, le setup ou le design... tout n'est pas terminé), la documentation est en cours d'écriture mais pour les bricoleurs c'est déjà opérationnel.

Pré-requis : serveur sous Ubuntu 10.10, et client sous Windows 2000 mini. Note : les autres versions d'Ubuntu devraient fonctionner, mais il y a pas mal de réglages à effectuer à la main. La version 0.1 n'enregistre que les sessions Windows (de 2000 à Windows 7), l'enregistrement des sessions Gnome et des terminaux est prévu dans la roadmap.

Équivalent propriétaire et commercial de observeit-sys.com (pour vous donner une idée des fonctions...). Try it ! it's free : https://launchpad.net/pyshot/.

La 4ème LDAPCon qui aura lieu la semaine prochaine (18 et 19 novembre 2013) en France, salle du MAS à Paris, vient de publier son programme définitif. Le protocole Lightweight Directory Access Protocol (LDAP) est à l'origine destiné à l'interrogation et la modification des services d'annuaire.

On aura donc la chance d'avoir une présentation des dernières nouveautés des logiciels suivants :

• OpenLDAP : serveur LDAP, en C
• OpenDJ : serveur LDAP, en Java
• ApacheDS : serveur LDAP et Studio, en Java
• LSC : outil de synchronisation entre annuaires et bases de données ou fichiers, en Java
• Spring LDAP : API java d'accès aux annuaires LDAP
• LinID : interface de gestion des données LDAP, en Java
• FreeIPA : outil de gestion des accès et des identités (LDAP, Kerberos, DNS, NTP)
• FusionDirectory : interface de gestion des données LDAP, en PHP
• eSCIMo : outil de provisionning SCIM, en Java
• Fortress : gestion des accès à base de rôles RBAC, en Java

La plupart des contributeurs de ces logiciels seront présents, c'est donc une occasion unique pour les rencontrer.

Il reste encore des places, il vous ne vous reste que quelques jours pour réserver la vôtre !

NdM : les frais d'inscription s'élèvent à 250 € (50 € pour les étudiants) pour les deux jours.

No Limit Secu est un podcast (ou bala(do)diffusion) indépendant, animé par des personnes passionnées qui sont parties prenantes dans le domaine de la cybersécurité à des rôles et dans entreprises diverses.

Le podcast est publié à fréquence hebdomadaire, sur son site web, généralement le dimanche. Une nouvelle thématique est abordée chaque semaine, en présence d'un invité lié de près ou de loin à cette thématique.

L'épisode de cette semaine porte sur la fondation OWASP. L'invité est Sébastien Gioria, qui dirige la division française de l'OWASP.

APITUX vous invite au petit déjeuner organisé par Libertis, le réseau opérationnel des sociétés de services en logiciels libres, le vendredi 18 décembre 2009 de 9h à 10h30 chez XSALTO, rue Pasteur, à Digne-les-Bains.

Autour d'un café, pour échanger sur le thème la sécurité des données grâce au logiciel libre.

Avec les interventions de :

• Jean-Christophe Becquet (APITUX) : utiliser des formats ouverts pour garantir la pérennité des données
  
• Renaud Zigmann (XSALTO) : sécuriser son réseau et ses données avec des logiciels libres

Depuis 2001, les Assises de la Sécurité et des Systèmes d’Information réunissent un millier de professionnels : 600 DI, DSI, RSSI, Risk managers et experts sont présents, soit la quasi-totalité des décisionnaires grands comptes stratégiques des secteurs publics et privés.

Le Lauréat 2010 est le logiciel Digital Forensics Framework développé par la société ArxSys spécialisée dans l'informatique légale.

L'article bien documenté de l'AFUL insiste particulièrement sur le fait que c'est la première fois en près de dix ans qu'un logiciel libre est primé par cette institution. Cela montre non seulement que les logiciels libres sont performants (nous le savions déjà !) mais aussi que leur crédibilité a atteint les milieux d'affaires privés et publics.

NdM : on peut traduire le nom du logiciel par « ensemble d'outils numériques pour la criminalistique », donc l'étude après-coup des fichiers après erreur ou plantage, la recherche et l'analyse d'éléments de preuves.

Le lundi 21 mai au soir, à Paris, se tiendra une conférence organisée par Parinux, expliquant les principes de base de la cryptographie et leur application dans les systèmes SSL et PGP. Cette conférence sera suivie par une signing-party PGP et CAcert.

• Contenu : explications sur la cryptographie, SSL et PGP puis signing-party
• Lieu : EPN la Bourdonnais, 105 avenue de la Bourdonnais, 75007 Paris
• Date : 2012-05-21 18:45+02:00
• Durée : 02:15

Pour le déroulement de la signing-party, il est demandé de :

1. générer un paire de clefs si vous n'en avez pas déjà une ;
2. envoyer votre clef publique et vous inscrire ;
3. imprimer quelques exemplaires de votre empreinte de clef ;
4. imprimer la liste des participants qui vous sera envoyée ;
5. venir munis de tout cela ainsi qu'un stylo et d'une (ou plusieurs) pièce d'identité.

Cette année l'association GOALL aide à l'organisation des Journées FedeRez à SUPELEC à Metz. FedeRez est une fédération d'associations de réseaux informatiques étudiants. Tous les ans, les étudiants des associations membres se retrouvent pour échanger lors des Journées FedeRez, assister à des conférences et participer à divers ateliers. En plus des nombreux étudiants et jeunes diplômés constituant le public habituel de l'événement, beaucoup de professionnels sont invités.

L'édition 2015 aura pour thème la sécurité des systèmes d'information :

• vendredi 6 mars après-midi : conférences et table ronde
• samedi 7 mars matin : conférences
• samedi 7 mars après-midi : conférences et ateliers
• dimanche matin 8 mars : conférences et Assemblée Générale Ordinaire des associations membres du réseau Federez

Numerama nous apprend que le WPA-TKIP servant à sécuriser des réseaux Wi-Fi aurait été partiellement cassé par deux chercheurs.

Cette méthode pourrait être utilisée pour briser le chiffrement en un quart d'heure à peine. Cette technique ne repose pas sur une attaque « brute force » comme il est de coutume, mais sur de solides algorithmes mathématiques ainsi que sur une faille du système de chiffrement. Ce système de chiffrement était réputé comme quasiment impossible à « casser » sans posséder de matériel très performant : les deux chercheurs semblent avoir prouvé le contraire.

L'article de Numerama rappelle à juste titre aux législateurs (NdR : de la loi "Création et Internet" entre autres) :
[...] qu'aucune protection quelle qu'elle soit ne peut garantir la sécurité des données sur un ordinateur ou sur un réseau. La loi Création et Internet, qui veut faire supporter de fait aux abonnés une obligation de résultat dans la protection de leur accès à Internet, est en cela redoutable. S'il n'est pas possible techniquement de prouver que l'on a fait l'objet d'une attaque, cette obligation de sécurisation doit être refusée puisqu'elle est incompatible avec les droits de la défense [...].

Les deux chercheurs présenteront leur méthode lors du PacSec à Tokyo, le semaine prochaine.

NdM : il ne s'agit pour l'instant que d'une annonce, même si d'après les commentaires du journal de fleny68 sur le même sujet, des ajouts ont été faits à un outil d'attaque des clés Wi-Fi pour exploiter une faille, dont l'ampleur et la méthode utilisée restent à décrire plus précisément.

Ce petit-déjeuner, ouvert à tous, sera l'occasion d'aborder les problématiques liées au hacking du point de vue de la sécurité. Nous ferons un tour rapide des différentes solutions existantes dans le domaine du logiciel libre. Nous finirons avec une table-ronde/discussions sur ce sujet avec mise en perspective sur la base de situations "terrain".

Intervenants :

• 8h30 - 9h30h: Julien Cayssol - Consultant Sécurité - Certilience
• 9h30-10h: Table ronde interactive avec un responsable production

Quand : le 28 juin 2013
Horaires : 8h30 à 10h30
Nombre de place : 35
Lieu : 105 rue La Fayette 75010 Paris

Hacker Space Brussels (HSB) vous invite a une nuit de hacking autour d'OpenWRT ce samedi 7 Février. OpenWRT est la meilleure distribution Linux pour l'embarqué. De nombreux développeurs d'OpenWRT seront présents au FOSDEM et cette nuit de hacking sera l'occasion de tester la dernière version RC2 :

Date
Début : Samedi soir 7 Février @ 18:00
Fin : Dimanche 8 Février @ 12:00

Objectifs

• Présentation des nouvelles fonctionnalités de la RC2 ;
  
• Test de la RC2 sur des routeurs Asus WL-HDD, foneras, etc. ;
  
• Dégustation de bières belges.
  

Nous fournissons

• Un frigo plein de bières ;
  
• Espace, électricité, internet ;
  
• Rafraîchissements et snacks.
  

Adresse
HackerSpace Brussels
Void*Pointer
Av princesse elisabeth 46
1030 Bruxelles

Transport

• Le tram 23 part de l'ULB et arrive a notre porte (arrêt 'prinses elisabeth').
  
• Le bus de nuit Noctis s'arrête à 'verboekhoven', qui est à 100m à pied.
  

Inscription
L'espace étant limité, nous vous demandons de vous inscrire en avance en effectuant les deux actions suivantes :

1. Envoyez un email à zoobab at gmail.com
   
ET

2. Enregistrez-vous sur Doodle
   

Contact
Benjamin Henrion +32-484-566109

Hack.lu est une convention/conférence où les spécialistes peuvent discuter sur la sécurité informatique, les aspects de la vie privée, les technologies de l’information et son implication dans la société. Le but de cette convention est de réaliser des liens entre les différents acteurs du monde de la sécurité informatique.

Les sujets abordés pendant cette édition sont d’actualité, à la pointe de ce qui se fait actuellement. Entre autres :

• New advances in Office Malware analysis ;
  
• PDF- Penetration Document Format ;
  
• Some Tricks For Defeating SSL In Practice ;
  
• etc.
  

Cette convention est le lieu idéal pour créer des liens avec des interlocuteurs spécialistes de la sécurité, se tenir au courant des dernières bonnes pratiques dans le domaine, ainsi que de s’informer sur le matériel disponible.

Comme l'année passée, celle-ci se tiendra à Luxembourg-Ville à l'Alvisse Parc Hotel. Les dates retenues sont du 28 au 30 octobre. Réservez votre entrée dès maintenant afin de pouvoir bénéficier du tarif réduit (entre 100 et 500€ selon votre statut (étudiant ou non) et la date de la réservation).

DynFi™ Firewall est un pare-feu unique qui permet aux entreprises et institutions de protéger efficacement leurs réseaux tout en offrant une visibilité complète sur son code source.

DynFi Firewall dispose d’une interface intégralement traduite en français et dans onze autres langues.
C'est un fork du projet OPNsense, dont l'intégralité des mécanismes de compilation a été modernisé et migré sous FreeBSD 13 et poudriere.

Comprendre et bien utiliser le fichier hosts, quel que soit votre système d'exploitation.

Le fichier hosts ?
Presque un gros mot pour la plupart des utilisateurs lambda, mais qui a le mérite d'être facile à comprendre et puissant dans son utilisation.

Dans cet article, il n'y aura pas grand-chose de très technique.

Hack.lu est une convention et un espace de discussion sur la sécurité informatique, la vie privée, les technologies de l'information et ses implications dans la société. Le but de la convention est de créer une passerelle entre les différents acteurs du domaine de la sécurité informatique.

L'événement a lieu du 22 au 24 octobre, au Luxembourg.