Dans le cadre de la refonte de son architecture d'annuaires LDAP, la Direction Générale de la Comptabilité Publique (Ministère des Finances) a récemment publié ses travaux concernant l'adaptation d'Apache en reverse proxy. Cet équipement permettra de réaliser le Single-Sign On pour de nombreuses applications métier du Trésor Public. Ce projet se situe dans un environnement technique exclusivement composé de Logiciels Libre (Linux, OpenLDAP, MySQL, Perl ...) et est actuellement utilisé en production après avoir subi une série de tests de performances très concluants.

Le Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC) qui s'est déroulé début Juin à Rennes fût cette année encore un succès avec près de 400 participants.

Nous sommes heureux d'annoncer la mise en ligne des actes de cette édition ainsi que de différents comptes-rendus.

Les sujets présentés sont variés : virus sous OpenOffice.org, fonctionnalités de ptrace, étude de Skype, sécurité ADSL, contournement d'IDS, outil de détection de tunnels, contournement de securelevel, faiblesses d'IPv6 et d'IPsec, RFID, RPC et BitLocker, etc.

Sujet d'actualité il y a quelque temps sur linuxfr, TCPA ( https://www.trustedcomputinggroup.org/about/ ) est aujourd'hui assez peu présent dans les sujets de discussion abordés sur ce site, et même ailleurs. Cela n'empêche pas cette initiative de se développer, voire de croître d'une manière surprenante si l'on regarde les modèles d'ordinateurs équipés de puces TPM commercialisés dernièrement par les constructeurs.

M'intéressant aux machines sorties récemment, j'ai parcouru les sites de différents constructeurs afin de voir quels sont les modèles disposant de telles puces, pour voir l'ampleur de la diffusion de cette technologie. Je me suis uniquement dirigé vers les ordinateurs portables, qui représentent pour moi aujourd'hui le marché le plus large et intéressant. Cela m'a permis de me rendre compte que c'est surtout avec la nouvelle plateforme Core Duo d'Intel que ces puces se mettent à envahir les étals virtuels des marchands.

[Cet article est issu du journal de benoar.]

Un article sur SecurityFocus.org fait suite à la présentation de la technique des TARPITS (cf : lien vers l'ancienne dépêche).

Cette fois, c'est l'utilisation de deux type de honeypots différents, dont le démon honeyd, qui est détaillée, dans le cadre de la lutte contre les vers.
Le but étant de : piéger le ver pour l'étudier, ralentir sa propagation, déclencher des alarmes, prendre différentes mesures de protection, et même le contrer en désinfectant le système source de l'attaque.

En fin d'article, on a droit à un exemple de désinfection de Blaster.

Le premier patch de sécurité (qui ne soit pas un système de contrôle d'accès à la SELinux ou à la RSBAC) pour le noyau 2.6 a vu le jour, il s'agit d'un port basique de la partie du patch PaX (patch utilisé pour la protection de l'espace d'adressage dans grsecurity) concernant la randomization de l'espace d'adressage.

Ce livre blanc « Filtrage de paquets sous GNU/Linux - Filtrage et politique de sécurité », d'une trentaine de pages disponible en PDF, décrit les différents aspects de la sécurité informatique d'un réseau ainsi que son implémentation par des logiciels libres.

À travers la description fonctionnelle des différentes briques de la sécurité, il décrit la place maîtresse d'un filtre de paquet dans un réseau, mais également l'importance de la définition d'une politique de sécurité et la nécessité de maîtriser tous les composants et toutes les couches de son réseau.

Le Symposium sur la Sécurité des Technologies de l'Information et des Communications est une conférence francophone traitant de la sécurité de l'information. Ce thème comprend à la fois les vecteurs d'information (comme les systèmes informatiques ou les réseaux) et l'information elle-même (cryptographie ou guerre de l'information).

La cinquième édition se déroulera à Rennes du 30 mai au 1er Juin 2007.

Nous avons publié l'appel à contribution et comme les années précédentes, toutes les soumissions seront examinées avec intérêt, qu'elles soient techniques, académiques, juridiques, organisationnelles, etc.

Une vulnérabilité de type buffer overflow a été identifiée dans Apache. Le problème se situe dans les modules « mod_alias » et « mod_rewrite », l'exploitation nécessite un fichier .htaccess spécifique. Dans Apache 2 le socket AF_UNIX utilisé par « mod_cgid » afin de communiquer avec le daemon cgid ou des scripts CGI n'est pas correctement manipulé.

mod_security (Apache 2) est touché quant à lui par une vulnérabilité locale. Cette faille est causée par une erreur dans la manipulation des données générées par le serveur, ce qui pourrait être exploité via des fichiers PHP/CGI spécifiques afin d'exécuter des commandes avec les privilèges du serveur httpd.

Werner Koch a annoncé ce matin la découverte par Phong Nguyen d'un bug critique dans GnuPG. Ce bug permet d'obtenir en quelques secondes la clé secrète de certaines personnes, pouvant ainsi usurper leur identité ou déchiffrer les courriers qui leur sont destinés.

Heureusement, seules les doubles clés utilisant ElGamal pour la signature et le chiffrement sont affectées, et leur nombre total est estimé à environ un millier.

Les éditions O'Reilly viennent d'éditer un ouvrage - qui ne saurait être que de référence - sur les solutions Libre/OpenSource d'Infrastructures de Gestion de Clefs (PKI).
Les 600 pages de cet ouvrage abordent et décrivent sous tous ses aspects la problématique de mise en oeuvre d'une IGC à l'aide de logiciels Libre et OpenSource (dont OpenSSL, OpenCA, IDX-PKI).

Savannah, le système de developpement "sourceforge-like" proposé par le projet GNU, a été compromis, et cela depuis le 2 novembre.

Il semble que la faille utilisée pour accéder au système soit la même que celle utilisée pour accéder aux serveurs de Debian le 20 novembre dernier.
- Utilisation de la même faille de sécurité dans le kernel do_brk()
- Installation du même rootkit (Suckit)

Les serveurs de Savannah ne seront remis en route qu'au mieux pour le 5 décembre.

Le 2 décembre, c'est un serveur Gentoo qui a été compromis, mais aucun fichier n'a été affecté.

Update : le serveur rsync a été compromis en utilisant une faille de rsync lui-même (heap overflow). Toutes les versions <= 2.5.6 sont vulnérables à cette faille qui a été corrigée dans la version 2.5.7 sortie hier. Seuls les rsync fonctionnant en mode serveur sont affectés. Merci à Baptiste Simon pour cette information.

Double information tournant autour de l'authentification forte. Consultez la deuxième partie de la depêche pour en savoir plus.
Tout d'abord, le consortium OATH a publié les spécifications de deux algorithmes permettant de concevoir des tokens matériels :

• Une première spécification publiée courant 2004 concerne les générateurs de mots de passe en mode asynchrone : à chaque appui sur un bouton du token, un nouveau mot de passe est généré ;
• Une deuxième spécification, publiée il y a quelques jours à peine (d'où cette dépêche) traite d'un mode de génération de mots de passe à usage unique dépendant du temps, où chaque mot de passe possède une durée de vie de quelques secondes.

Ces deux documents permettent d'imaginer des tokens matériels d'authentification forte libres. Pas gratuits, ça non, mais ouverts, ce qui serait déjà un grand pas en avant.

Et justement, le projet OpenToken vise à concevoir des tokens ouverts, ainsi que les outils logiciels associés, en se basant sur la dernière spécification OATH afin de garantir un fonctionnement transparent. Pour l'instant le projet est en cours de lancement et les objectifs sont ambitieux, n'hésitez donc pas à vous abonner à la liste de diffusion opentoken-devel pour contribuer.

Si le concept vous intéresse, ces informations sont présentées plus en détails dans la suite de la dépêche...

Dans sa dernière édition, crypto-gram avance une hypothèse sur la coupure d'électricité d'août dernier à New York.
Pour souvenir cette coupure avait coupé totalement l'électricité pendant plusieurs heures. Les companies d'électricité canadiennes et américaines s'étaient renvoyées la faute.
Bruce Schneier avance l'hypothèse selon laquelle cette coupure est dûe (NdM: en partie) au ver Blaster.

Crypto-gram est une lettre mensuelle gratuite sur la sécurité rédigée par Bruce Schneier qui est au monde de la sécurité ce que RMS est au monde du libre. Il a écrit de nombreux ouvrages et est l'inventeur de l'algorithme BlowFish.

La version 2.1.0 de Snort vient de sortir.

Cette nouvelle branche propose une refonte presque totale de la majorité des pré-processeurs (plugins d'entrée), et une évolution majeure dans l'écriture des règles : la compatibilité avec nos merveilleuses amies les regex (expressions rationnelles). La refonte des préprocesseurs devrait encore améliorer les performances tout en diminuant les faux positifs.

Pour mémoire, Snort est un outil de détection d'intrusions réseau (NIDS). Il est completé par une multitude de plugins et d'outils d'analyse. Il est considéré comme le meilleur NIDS par beaucoup de spécialistes.

Ce qui fait sa plus grande force est la facilité d'écriture de ses règles, qui sont régulièrement mises à jour par la communauté et des sites sérieux comme WhiteHats et ArachNIDS.

Le Challenge-SecuriTech, concours de sécurité informatique organisé par un groupe d'étudiants de l'ESIEA (Ecole supérieure d'informatique, d'électronique et d'automatique), refait peau neuve !
La première édition avait été très prisée, avec plus de 1000 participants, la nouvelle mouture 2004 s'annonce excellente...
Le panel des niveaux est très large, et le concours est ouvert à tous : débutants ou experts.

Dans son bilan 2003, le Clusif (Club de la sécurité des systèmes d'information français) met en garde contre le sentiment de sécurité que donne l'utilisation de Logiciels Libres.
Sans remettre en cause le principe du libre, le Clusif constate un nombre important d'attaques contre les serveurs des LL (Savannah, Debian, ftp.gnu.org) en 2003, les failles des logiciels (surtout CVS) mais aussi l'audit présenté pendant Defcon qui a révélé plusieurs failles dans les OS libres.
Le rapport s'intéresse aussi a l'aspect juridique de la sécurité informatique, la responsabilité des entreprises en cas de détournement de leurs serveurs ou les moyens de lutte contre le spam.

NdM : merci à tous ceux qui ont également proposé cette information.

La version 3.5 de nmap est sortie ce 19 janvier.

Pour mémoire, nmap est un outil d'audit de sécurité sous licence GPL. Il permet entre autre de scruter les ports d'une machine, déterminer son OS ou son Firewall, etc. Il existe aussi bien sous *BSD, Linux, Windows, Mac, etc.

La nouvelle version augmente considérablement le nombre de services et d'OS reconnus, corrige quelques bugs et rajoute de nouvelles fonctionnalités...

Tout le monde a entendu parler de MyDoom.A.

Ce ver, actif sur les plate-formes Windows, a fait son apparition en début de semaine dernière. Il est supposé s'activer le 1er Février 2004 et déclencher une attaque par déni de services visant le site de SCO (certains pensent que ce virus a été codé par un cracker en réponse aux attaques de SCO contre Linux).
On sait que SCO offrait une récompense de $250.000 à qui apporterait des informations aidant à l'arrestation des auteurs de ce virus. Une rumeur parlait aussi d'une récompense identique, offerte par la société Microsoft.

Seulement, après vérification, la récompense en question ne concerne pas le même virus. Elle ne concerne que MyDoom.B. MyDoom.B une variante de MyDoom.A. Il a les mêmes caractéristiques, la seule différence est qu'il s'attaque au site "www.microsoft.com". On comprend un peu mieux pourquoi Microsoft agit contre ce vers. MyDoom.b semble n'avoir été détecté que sur un nombre limité de sites. Si vous avez détecté ce ver sur vos systèmes, n'hésitez pas à rapporter votre expérience dans les commentaires.

Sony vient d'annoncer la sortie de "Micro Vault Finger Print" qui n'est autre qu'une clef USB à laquelle le fabricant a rajouté un lecteur d'empreintes digitales. Ce petit gadget permet grâce à une pression du doigt de reconnaître jusqu'à dix profils différents. La clef autorise une capacité de stockage de 128 Mo.

On ne peut s'empêcher de rapprocher ce produit de la distribution Linux "Flonix", qui pèse 60 Mo et s'installe sur une clef USB (nécessite un BIOS récent pour booter sur un périphérique USB). Cela donnerait une distribution Linux sécurisée par un système biométrique et logeant sur une clef USB permettant de stocker 68 Mo de données en plus du système.

Depuis le 1er mars 2004, le projet FreeS/WAN n'est plus à un stade actif de dévelopemment. Les bugs de la version en cours (2.05) seront corrigés dans une ultime version (le suivi de la version finale sera assuré).

FreeS/wan implémente IPSEC dans le noyau Linux, afin de créer un VPN (NdM : Virtual Private Network, Réseau Privé Virtuel) entre plusieurs machines, ou des réseaux complets.

La raison de cet arrêt semble être la différence entre l'offre et la demande : tout le monde voudrait une couche IPSEC "feature-rich" pour les entreprises, alors que le but du projet est la banalisation de "Opportunistic Encryption".

Trois vulnérabilités ont été identifiées dans OpenSSL, elles pourraient être exploitées par un attaquant distant afin de causer un Déni de Service (DoS) :
Le premier problème se situe au niveau de la fonction "do_change_cipher_spec()", le second au niveau d'une mise à jour ajoutée à la version OpenSSL 0.9.6d, la dernière vulnérabilité se situe au niveau de la routine utilisée pour le handshake SSL/TLS combiné à Kerberos ciphersuites.

Toutes les versions de 0.9.6c à 0.9.6l ainsi que de 0.9.7a à 0.9.7c sont vulnérables. Ils faut mettre à jour vers les versions 0.9.6m ou 0.9.7d en prenant soins de recompiler les binaires liés statiquement à cette librairie.

Sous le titre Securing a fresh Linux install, Linux.com propose aux débutants trois courts articles pour les aider à sécuriser un Linux fraîchement installé.
Du choix des mots de passe à l'installation du pare-feu, ces articles se veulent avant tout un aide-mémoire permettant de dresser une liste des points auxquels il faudrait porter une attention particulière. Chacun de ces points est bien sûr à approfondir, tant le sujet est vaste.
Recommandé à tous ceux qui voudraient, par exemple, installer un serveur sans vraiment savoir par où commencer.

Challenge Securitech est un concours de sécurité informatique qui a eu lieu du 10 avril au 1er mai.
Le concours vient donc de se terminer ce week-end. Dans le cadre du challenge est organisée une conférence le vendredi 7 mai 2004 à 17h dans le 5ème arrondissement de Paris.
Seront notamment présents, Kostya Kortchinsky, responsable du CERT RENATER et Nicolas Brulez, The Armadillo Software Protection System :
Kostya Kortchinsky animera une présentation sur les shellcode ~crosoft.
Nicolas Brulez présentera quant à lui les techniques de reverse engineering.

Les solutions des 20 niveaux du Challenge seront également débattues.

Dans le but de lutter contre Echelon et l'espionnage numérique, l'Union européenne a décidé d'investir € 11 millions dans un projet de sécurité des communications à base de cryptographie quantique. Le projet d'une durée de 4 ans, inclut des universités, instituts de recherches et entreprises, au total 41 participants provenant de 12 pays différents (France).

NdM : on se rappelera que le rapport européen sur Echelon préconisait la crypto et en particulier les outils libres, mais que le 11 septembre est passé par là, modifiant la perception de la crypto.

"La licence GPL est avant tout une sorte de contrat entre le développeur et les utilisateurs" Renaud Deraison, la personne à l'origine du projet Nessus, revient dans cette interview sur le choix de la licence GPL pour le logiciel d'audit de vulnérabilités.

Il exprime également ses opinions sur des sujets comme :
- l'organisation du projet Nessus
- les futures fonctionnalités de Nessus 2.2,
- les logiciels développés par la société Tenable Network Security dont il est l'un des fondateurs avec Ron Gula.

A lire : Sa position sur le paysage de la sécurité en France et notamment la loi sur la confiance dans l'économie numérique.