L'Express a lancé il y a deux jours une pétition pour que la France accorde l'asile à Edward Snowden. Plusieurs libristes éminents (Philippe Aigrain et Francois Pellegrini) font partie des premiers signataires. Plus de 120 000 signatures ont été recueillies à cette heure.

Cet article du Monde récapitule les points clefs du débat. Il remarque en particulier que le PS et l'UMP sont opposés à cette demande.

Un autre article du Monde (dont le contenu est malheureusement réservé aux abonnés) indique que l'avis du Président de la République ou du gouvernement n'est pas nécessaire, compte-tenu de la Constitution. En voici le passage-clef :

Au lendemain de la seconde guerre mondiale, elle a voulu inscrire dans sa Constitution que « tout homme persécuté en raison de son action en faveur de la liberté a droit d'asile sur les territoires de la République ». Le préambule de la Constitution de 1946 est devenu en 1958 partie intégrante de la Constitution de la Ve République. Quarante ans plus tard, par la loi du 11 mai 1998, sur la base d'un rapport que j'ai remis au gouvernement en 1997, l'asile constitutionnel est devenu effectif et concrètement porteur de droits et de protection.

SELKS 6 a été publié par Stamus Networks. Cette nouvelle version de la distribution mettant Suricata au cœur de l’analyse réseau orientée sécurité arrive un peu moins d’un an après la version 5.0. Au programme de la version 6, une mise à jour des logiciels intégrés, avec Suricata en version 6.0-git et Elasticsearch en version 7 et une interface Web mise à jour.

SELKS est une distribution autonome (live) et installable qui fournit une solution clef en main pour analyser le trafic réseau et détecter les menaces. Le mode de fonctionnement principal est en passif (détection d’intrusion), mais il est également possible de modifier la configuration pour en faire un système de prévention d’intrusion (IPS).

Le code source de SELKS est disponible sous licence GPL v3.

La version 4.5.0 de Passbolt, baptisée « Summer is Ending », vient de sortir. Elle introduit des fonctionnalités clés et des améliorations pour optimiser la gestion des mots de passe et de leurs cycles de vie de manière sécurisée et collaborative.

Pour mémoire, Passbolt est un gestionnaire de mots de passe Opensource, sous licence AGPL, qui se veut orienté «équipe», avec notamment des possibilités de partage de mot de passe à des personnes ou des groupes.

Metasploit est une boîte à outils servant à faciliter les tests d'intrusion. À l'origine c'était un jeu réseau, mais il a évolué pour devenir en 2003 un outil facilitant l'exploitation de failles. Il propose une base de données d'exploit (permettant d'exploiter les vulnérabilités des logiciels pour entrer sur une machine et en prendre le contrôle) à utiliser en conjonction avec une base de données de payload (shellcodes, permettant d'effectuer diverses actions sur la machine attaquée).

Cette nouvelle version corrige de nombreux bugs, apporte cent nouveaux exploits, mais également de nouvelles cibles pour les outils de découverte de mots de passe par force brute, et de nombreuses améliorations pour meterpreter : capture d'écran de la machine attaquée, compression et obfuscation des échanges réseau, etc.

Ce dernier mois, quelques outils liés à l'analyse du trafic réseau ont bien évolué. Regardons cela d'un peu plus près.

À tout seigneur tout honneur, commençons par le plus connu : Wireshark. Cet analyseur de protocole, certainement le plus complet, vient de paraître dans une nouvelle version stable, plus d'un an après la précédente. Dans le changelog, quelques nouveautés, quelques corrections de bogues, et bien sûr, plein de nouveaux protocoles.

Après avoir parlé du vénérable, évoquons le tout dernier : Ostinato. Cet outil permet de modifier du trafic réseau, avant de le rejouer. Projet récent, mais actif, la dernière version est sortie début août.

Et puisque l'on parle de rejeu, profitons de cette dépêche pour mentionner que la suite d'outils tcpreplay, permettant de capturer et rejouer du trafic réseau, vient de modifier sa licence : auparavant sous licence BSD, le code est maintenant sous licence GPLv3.

L'Electronic Frontier Foundation (EFF), qui défend la liberté d'expression sur Internet, a publié hier un article concernant l'attaque Man-in-the-middle contre les utilisateurs de Google en Iran, qui a eu lieu en douce pendant deux mois.

Une nouvelle fois, la vulnérabilité des systèmes de chiffrement sur le web basés sur des autorités de certification est mis en lumière : encore une fois l'attaquant a obtenu un certificat frauduleux d'une autorité (cette fois-ci DigiNotar). L'attaque a été détectée via le navigateur Google Chrome car celui-ci embarque en dur des vérifications pour les certificats de Google.

Pour mémoire je vous rappelle les deux entrées dans l'aide du site LinuxFr.org concernant le certificat SSL/TLS de LinuxFr.org et alertes dans les navigateurs et la réponse à la question Pourquoi ne prenez pas un certificat SSL/TLS gratuit ou payant de chez Machin qui est par défaut dans un navigateur ? Ce dernier lien comporte notamment des pointeurs vers des affaires précédentes autour des certificats SSL/TLS et des autorités de confiance (Comodo, Microsoft et Tunisie, Defcon 2010, CCC 2010, Verisign 2003/2004).

Le 8 juillet dernier, à la veille de l'ouverture des RMLL, est sortie une nouvelle version majeure de LemonLDAP::NG.

LemonLDAP::NG est un logiciel de Web-SSO destiné à protéger des applications Web. Pour les utilisateurs, cela permet de ne s'authentifier qu'une seule fois (Single Sign-On) et pour les administrateurs du WebSSO cela permet de contrôler de manière centralisée les droits d'accès aux applications. LemonLDAP::NG supporte désormais de nombreux protocoles d'authentification et de fédération d'identités comme CAS, OpenID ou SAML 2.0.

Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4, ainsi que leur clé SSH.

Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS.

Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe ou à l’identifiant.

Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.1 est sortie le 1^er septembre 2017.

Après dix années de bons et loyaux services passés à l’animation du thème Sécurité des RMLL, l’équipe a décidé de passer la main et de se lancer dans une nouvelle aventure : Pass the SALT (Security And Libre Talks), une conférence dédiée à la sécurité et au logiciel libre.

Cet événement sera gratuit, libre d’accès et se déroulera du 2 au 4 juillet 2018 à l’école Polytech de Lille [N. D. M. : pour mémoire, les RMLL 2018 auront lieu à Strasbourg du 7 au 12 juillet 2018].

Les conférences seront données en langue anglaise afin de permettre la participation la plus ouverte et accessible possible aux conférenciers et conférencières étrangers.

L’appel à soumissions est ouvert jusqu’au 31 mars 2018. Ne soyez pas timides, participez ! Promis, l’accueil sera bienveillant et pour toute question, c’est par ici : cfp@pass-the-salt.org. :-)

Et enfin, si vous êtes une entreprise impliquée dans la sécurité et/ou les logiciels libres, nous serions heureux de vous compter parmi nos soutiens !

Dans le cadre du RGPD, la CNIL fournit un outil open source nommé PIA pour faciliter et accompagner la conduite d’une analyse d’impact relative à la protection des données. En simplifiant beaucoup, ces analyses d’impact sont à réaliser lorsque l’on exécute des traitements sur des données à caractère personnel afin d’évaluer les risques que ces traitements peuvent provoquer.

PiaLab, un projet issu d’une divergence (« fork ») du code source de PIA de la CNIL, revisité au point qu’il finit par ne ressembler à son parent que visuellement, est sorti en version 1.2. Après une première version 1.0 sortie il y a un mois, la divergence avec PIA de la CNIL se fait maintenant largement ressentir : l’infrastructure (back‐end) est sous Symfony 4, la partie frontale (« front‐end ») a fait l’objet d’une migration sous Angular 5.2 et réécrit à 75 %, des tests automatisés ont été ajoutés… Le projet n’attend plus que de voir la CNIL fusionner le code de PiaLab dans PIA… Qui sait ?

PiaLab en version 1.2 (et en particulier par rapport à PIA), c’est une gestion de profils utilisateurs (DPD, responsable de traitement, etc.), une implémentation des flux de travaux (« workflow ») PIA / ISO 29134, l’utilisation de modèles de traitement pour faciliter le démarrage de la mise en conformité, l’intégration de fonctionnalités spécifiques multi‐structures ou de DPD externalisés‐mutualisés, la cartographie des traitements et leur organisation par catégorie d’activités de traitement.

En bref, si PiaLab atteint son but, il deviendra l’outil indispensable de votre DPD, dès que vous en mesurerez les potentiels. Structuration de la mise en conformité alignée sur les recommandations CNIL, robustesse, souplesse, évolutions régulières, couverture fonctionnelle qui avance par secteur en allant au fond de chaque question, une feuille de route lisible… Pour le vérifier, une seule solution : essayez PiaLab !

Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4, ainsi que leur clef SSH.

Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS. Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe, à une liste de mots ou à un attribut de l’entrée.

Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.4 est sortie le 20 avril 2021. Les nouveautés de cette version sont présentées dans la suite de l’article.

Bonjour tout le monde, comme l'article précédent la version originale de cet article possède énormément de liens et de références ; je ne peux pas tout mettre ici, vous avez le lien vers l'article en question en bas de la page. J'espère que ça vous plaira :)

---

Nous allons parler dans cet article du JTRIG (pour Joint Threat Research Intelligence Group), qui est l'équivalent anglais pour le GCHQ (les services de renseignements anglais) du département TAO de la NSA. La mission du JTRIG consiste entre autres à détruire ou à empêcher d'agir les ennemis en les discréditant via de fausses informations ou en empêchant leurs communications de fonctionner : déni de service (DoS) via appels ou sms, suppression de la présence en ligne d'une cible, changement de photos sur les réseaux sociaux (pour discréditer une cible ou augmenter drastiquement sa parano), captation des courriels (par exemple pour apporter de la crédibilité lors de l'infiltration d'un groupe), … la liste est longue.

ProtonMail, service de messagerie web initié en 2013 qui s'annonce sécurisé et respectueux de la vie privée, a refait parler de lui cet été avec pas moins de trois annonces coup sur coup :

• La mise à disposition de la version 2.0 ;
• L'arrivée des applications mobiles dédiées ;
• L'ouverture du code source de la partie cliente uniquement.

Détails dans la suite de la dépêche.

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 2.0.0 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre, supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, le support pour le 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

PrivateBin est un service libre de pastebin, qui permet d’héberger et de partager des données textuelles. Sont pris en charge le texte brut, le code, et les documents Markdown. La version 1.1 vient de sortir, mais avant d’en reparler, voyons un peu ce qu’est PrivateBin et quelles en sont les fonctionnalités clefs.

LDAP Tool Box Service Desk est une interface Web pour vérifier, débloquer et modifier les mots de passe des comptes d’un annuaire LDAP. Il est publié sous licence GPL v3.

La version 0.4 est sortie le 17 mai, les nouvelles fonctionnalités sont présentées dans la suite de la dépêche.

Self Service Password est une interface web très simple permettant à un utilisateur de changer son mot de passe dans un annuaire LDAP. Cet annuaire peut être Active Directory ou un annuaire LDAP conforme au standard.

La version 0.3 vient de sortir avec son lot de nouveautés :

• Mode SAMBA ;
  
• Traduction allemande ;
  
• Politique locale de mot de passe ;
  
• Nouvelle feuille de style.

Quelques informations complémentaires sur ces nouvelles fonctionnalités :

• Mode SAMBA : lors du changement de mot de passe, le mot de passe SAMBA est également mis à jour ; le mot de passe SAMBA est en effet maintenu dans un attribut différent avec une empreinte particulière (MD4) ;
  
• Politique locale de mot de passe : bien qu'il soit conseillé de laisser l'annuaire contrôler la solidité du mot de passe, il est possible d'activer une politique locale qui permet de jouer sur les contraintes suivantes :
  • Taille minimale ;
    
  • Taille maximale ;
    
  • Nombre minimal de minuscules ;
    
  • Nombre minimal de majuscules ;
    
  • Nombre minimal de chiffres.

Cette politique peut être présentée à l'utilisateur avant qu'il change son mot de passe.

Le projet LDAP Tool Box rassemble plusieurs outils destinés à faciliter la mise en place d'annuaires LDAP. Par exemple, des RPMs pour la dernière version stable d'OpenLDAP (2.4.21) ont été publiés très récemment. Il existe également un ensemble de greffons pour Nagios ou Cacti.

La société EdenWall Technologies, anciennement INL, a annoncé ce 2 mars 2010 la sortie de NuFW 2.4.0 après deux ans de travail. Cette nouvelle version du pare-feu identifiant sous licence GPL apporte des gains conséquents en terme de performance et d'extensibilité.

On notera notamment un protocole extensible par des greffons coté client et serveur ainsi qu'une optimisation drastique des temps de réponse sur les réseaux à forte latence.

Enfin, le projet NuFW a un nouveau site web rassemblant les différents logiciels liés au pare-feu identifiant.

LinID OpenLDAP Manager est une interface Web de configuration du produit d'annuaire LDAP OpenLDAP.

En effet, depuis peu, OpenLDAP permet de gérer sa configuration non plus dans un fichier plat (slapd.conf) mais dans un arbre LDAP (l'arbre cn=config). Cela rend possible l'utilisation de navigateurs LDAP standards pour l'édition de la configuration ; toutefois ces navigateurs atteignent vite leurs limites sur ce type de données techniques.

La société Linagora développe depuis plusieurs années un framework Java, nommé LinID Directory Manager, permettant de créer des interfaces Web de gestion de données LDAP. Ce framework est basé sur Tapestry 5 et Spring, entre autres. Ce framework a été utilisé pour créer une interface de configuration d'OpenLDAP, nommée donc LinID OpenLDAP Manager.

Elle est publiée sous licence AGPLv3.

Cette interface permet d’administrer plusieurs annuaires LDAP et peut se déployer soit comme une application standard dans Tomcat, soit en mode autonome (avec Jetty intégré).

Bien qu'encore assez récente, cette application permet d'effectuer les principales tâches d'administration de l'annuaire. La version 0.6 est sortie le 10 février dernier.

Werner Koch, auteur de GnuPG, a récemment donné une conférence aux RMLL intitulée Privacy 2013 : Why. When. How.

On y parle de chiffrement, de surveillance, de Tor, d'Edward Snowden, de Google, de Cloud, bref un très bon état de l'art sur le sujet. Le discours est relativement accessible et gagne à être connu d'un plus large public. La dernière partie de la conférence donne des recommandations pour l'utilisation quotidienne d'Internet.

Les groupes Transcriptions et TradGNU de l'April ont travaillé conjointement à une version française.
Une transcription anglaise est en cours de finalisation. De l'aide pour une version en sous-titrage serait également bienvenue.
Sur le même thème, on pourra lire une interview de Jérémie Zimmermann, de la Quadrature du Net.

Inverse a annoncé le 13 janvier 2016 la sortie de la version 5.6 de PacketFence, une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. PacketFence dispose de nombreuses fonctionnalités, comme un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, la prise en charge du 802.1X, l'isolation niveau 2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus. Cette solution peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

La version 5.6 de PacketFence apporte de nombreuses améliorations telles qu'un module d'audit RADIUS permettant la traçabilité des événements sur le réseau, le regroupement des commutateurs pour leur appliquer une configuration commune, ou encore les filtres DHCP permettant d'effecteur des actions basées sur les empreintes numériques d'un appareil.

Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4, ainsi que leur clef SSH.

Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS. Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe ou à l’identifiant.

Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.3 est sortie le 10 juillet 2018.

La suite de l’article présente les changements majeurs de cette version.

Le mois dernier, nous vous présentions CrowdSec, un logiciel de sécurité gratuit et open source déployable sur votre serveur, qui permet de détecter et bloquer les adresses IP malveillantes et de les partager avec toute la communauté d’utilisateurs.

Alors que la release de la v.1.0 est désormais disponible, et en attendant le paquet Debian qui arrivera très bientôt, nous vous invitons à découvrir les nouvelles fonctionnalités de la solution.

La dernière version du « firmware » (microcode) pour le routeur D-link DIR-655 introduirait une nouvelle « fonctionnalité » : le détournement de trafic à des fins de sécurité (sic). Lorsqu'un internaute se promène sur le web, le routeur prendrait l'initiative de l'envoyer sur un site commercial pour lui vendre des produits commercialisés par D-Link (abonnement à une fonctionnalité de sécurité baptisée SecureSpot).

Cette fonctionnalité serait désactivable, mais activée par défaut. Cela semble douteux pour dire le moindre (les mots interception et détournement de communication privée viennent à mon esprit). Par ailleurs, d'un point de vue éducation et sécurité, prétendre améliorer la sécurité en faisant du détournement de trafic semble un peu antinomique.
Ce n'est pas une nouveauté sur le principe, la société Belkin l'avait appris à ses dépens en 2003.

Et la partie « amusante », D-Link publie son (ou une partie de son) code sous GPL...

L'outil WinAdminPassword permet de générer des mots de passe en fonction d'une clef secrète et du numéro de série de l'ordinateur sur lequel il est lancé.

Son objectif principal est de déployer des mots de passe différents pour les comptes d'administration, et cela sur tous les systèmes de son parc informatique (Microsoft Windows, Linux, BSD, POSIX…).

Les mots de passe générés contiennent quatre types de caractères (majuscules, minuscules, chiffres et caractères spéciaux) et ne sont pas sauvegardés dans une base de données (Les seules informations à enregistrer dans votre gestionnaire ou base de mots de passe sont les clefs secrètes de génération des mots de passe).

Licence : GPLv3
Version courante : 1.5
Systèmes testés : Debian 6, Ubuntu 11.04, CentOS 5, RHEL 5, Fedora 15, OpenSuze 11.4, Mandriva Linux 2010.2, Microsoft Windows XP and Microsoft Windows 7 (x86 and x64)