L'association GOALL (Groupe d'organismes acteurs du Libre en Lorraine) propose de rédiger et de diffuser sous licence libre un document avec des conseils généraux pour mettre en place une politique de sécurité informatique. Ce document est destiné aux responsables d'entreprise.

NdM.: cette dépêche a été réécrite en avril 2021 suite à la suppression du compte de son auteur principal.

Le logiciel libre GPG (« Gnu Privacy Guard ») permet la transmission de messages électroniques signés et chiffrés, garantissant ainsi leurs authenticité, intégrité et confidentialité (Wikipédia). Il permet donc de sécuriser un contenu numérique lorsqu'il est stocké ou échangé.

Détaillons les éléments de la sécurisation des communications numériques :

• le contrôle d'intégrité : vérification de l'absence d'altération du contenu (conforme à l'original) ;
• l'authentification : s'assurer de l'identité de l'auteur ;
• le chiffrement : le message est illisible pour des yeux indiscrets.

GPG est la version libre (au sens de logiciel libre) du logiciel PGP (« Pretty Good Privacy »).

Une nouvelle version de THC-Hydra vient de voir le jour. Cet outil libre, sous licence GPLv3, né il y a plus d’une dizaine d’années, est utilisé pour auditer les mots de passe des services réseau.

Comme à son habitude depuis la reprise des développements l’année dernière, cette version apporte son lot de corrections et d’ajouts de nouveaux modules, comme le support des protocoles IRC et XMPP.

Le projet Capsicum, lancé l'année dernière, tente d’adapter le modèle de sécurité par capacités (« capabilities ») aux systèmes UNIX. En deux mots, il s’agit de permettre aux applications de faire tourner certaines parties de leur code dans des « sandboxes » (bacs à sable) aux droits très restreints, gérés finement, avec la possibilité de recevoir ou de déléguer dynamiquement une partie de ces droits.

C’est une approche de la sécurité qui mise sur la flexibilité et l’intégration directe dans les applications (au contraire de politiques externes décidées par l’administrateur système, comme avec SELinux) pour respecter le Principle of Least Authority, qui recommande qu’un bout de programme donné fonctionne avec seulement les droits dont il a besoin pour accomplir sa tâche. Ainsi, les conséquences d’une faille sont réduites et les vecteurs d’attaque diminuent énormément. Par exemple, je ne veux pas que le logiciel qui lit mes fichiers PDF ait le droit de lire le contenu de mon répertoire personnel et d’envoyer des e-mails.

Capsicum introduit de nouveaux appels et objets système, qui demandent une (relativement petite) modification du noyau, ainsi qu’une bibliothèque logicielle en espace utilisateur pour utiliser ces nouveaux appels système. FreeBSD a déjà fait les modifications nécessaires, et les chercheurs ont pu facilement convertir plusieurs applications au modèle Capsicum : tcpdump, dhclient, gzip et, avec l’aide d’un développeur Google, le navigateur Web chromium.

Capsicum peut ainsi renforcer considérablement la sécurité des applications UNIX classiques, sans demander de les recoder entièrement. Reste à voir si les développeurs du monde du Libre seront convaincus par ces approches compartimentées, et prêts à les prendre en compte lors de la conception de leurs logiciels.

La version 4 du scanner de vulnérabilités libre OpenVAS vient de sortir! OpenVAS (pour "Open source Vulnerability Assessment Scanner") est une plateforme de gestion des vulnérabilités (vulnerability management). Les changements introduits dans cette version en font la plus importante de l'histoire du projet.

Présentation

À l'origine était Nessus, scanner de vulnérabilités. En 2005, l'auteur décida de quitter les chemins du libre et de continuer le développement sous forme d'un logiciel privateur. La communauté créa un fork à partir de la dernière version libre. Initialement appelé GNessUs, le projet fut renommé OpenVAS.

Il est maintenant la pierre angulaire de l'activité de plusieurs sociétés, sur trois continents. Ces sociétés développent activement le logiciel et ont construit tout un modèle économique autour de lui.

OpenVAS est constitué de plusieurs modules:

• Le scanner, qui va lancer des tests de vulnérabilités (plus de 20000 actuellement, mis à jour quotidiennement) contre les cibles. Il peut s'agir de tests non-authentifiés, comme un scan de ports ou une injection SQL sur une application web, mais également de tests locaux. OpenVAS peut se connecter en SSH et SMB aux hôtes du réseau, et effectuer toute une batterie de tests (étude des logiciels installés, versions, système d'exploitation etc).

• Le manager, qui est un serveur réseau servant d'interface entre le(s) client(s) et le(s) scanner(s).

• L'administrateur est un logiciel permettant de gérer simplement les différents comptes utilisateurs.

• Greenbone Security Assistant (GSA): une interface web permettant de se connecter au manager et planifier des scans, observer
  les résultats, l'évolution des menaces sur le réseau… GSA se lance comme un daemon et est donc ensuite accessible par un simple browser.

• Greenbone Security Desktop (GSD): une application indépendante, en Qt, permettant également de se connecter au manager mais sans avoir à lancer GSA.

• OpenVAS CLI est un client en ligne de commande.

La nouvelle version de Nmap Security Scanner vient tout juste de sortir ! Nmap (The Network Mapper) est à l'origine un scanner de ports. C'est aujourd'hui une plate-forme complète de découverte et de cartographie réseau, avec une suite d'outils associés. L'ensemble de la suite est distribuée sous licence GPLv2 et fonctionne sur un grand nombre de systèmes d'exploitation (GNU/Linux, *BSD, OS X, Solaris, IOS, Amiga...).

Mise à jour d'EvalSMSI

EvalSMSI est une application web, sous licence GPL, développée en PHP/MySQL, permettant de réaliser l'évaluation d'un Système de Management de la Sécurité de l'Information (SMSI).

La version 2.3.1 d'EvalSMSI vient d'être publiée. Elle comprend de nombreuses améliorations et correction de bugs. Elle est disponible sous la forme d'un fichier tar.gz ou dans une machine virtuelle Virtualbox 4.0.

S'appuyant sur la méthodologie proposée par les normes de la famille ISO 2700x, cet outil a pour objectif de faciliter les opérations d’audit interne et de suivi des actions liées au management de la sécurité de l’information dans un organisme ou dans un groupement d'organismes.

J'en profite pour remercier les nombreux contributeurs qui m'ont apporté leur soutien, leurs critiques et autres patchs correctifs.


OS fingerprinting en 3D

Inspiré de l'article « Strange Attractors and TCP/IP Sequence Number Analysis » (Michal Zalewski, 2001), GraphicalOSfp est une application développée en python et qui a pour objectifs :

• De collecter les données aléatoires issues de connexions TCP sur des systèmes distants: l'Initial Sequence Number et l'IP ID ;
  
• De sauvegarder ces données dans un fichier ;
  
• De traiter ces données et d'afficher l'attracteur propre à ces données aléatoires dans un environnement 3D.

L'image obtenue offre plusieurs possibilités allant de l'identification d'un OS distant à l'analyse des algorithmes de moteurs aléatoires. L'outil utilise Scapy pour l'envoi et la réception des trames réseau et la bibliothèque openGL de python pour l'affichage 3D.

NdM : GraphicalOSfp est distribué sous la licence GNU GPLv3.


Publication de la version bêta d'OpenEBIOS


Application Web, développée en PHP, OpenEBIOS a pour objectif de faciliter la démarche d'analyse des risques pour un système d'information.

S'appuyant sur la méthode d'Expression des Besoins et Identification des Objectifs de Sécurité (EBIOS) dans sa version 2010, publiée par l'ANSSI en avril dernier, cet outil devrait permettre à terme pour une entité :

• De gérer le dossier de sécurité de ses systèmes d'information durant leur cycle de vie ;
  
• De mettre en œuvre le workflow d'analyse et de validation des risques liés à l'utilisation des ses SI ;
  
• D'éditer les documents issus de cette analyse et notamment les Fiches d'Expression Rationnelle des Objectifs de Sécurité (FEROS).

L'outil est actuellement en version bêta mais les premières étapes de l'analyse des risques y sont fonctionnelles. L'exemple fourni dans le guide EBIOS de l'ANSSI y est implémenté afin de garantir la cohérence avec la méthode.

Enfin, la version en cours est implémentée dans la machine virtuelle (Virtualbox 4.0) fournie avec le logiciel EvalSMSI.

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 2.0.0 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre, supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, le support pour le 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

pySHOT est un enregistreur centralisé de session client/serveur pour Windows (utilisant XML-RPC) codée en Python 2.6 et publié sous licence GPL v3.

pySHOT crée des vidéos, les classes, capture les saisies utilisateurs (keylogs), surveille le CPU, la RAM... C'est tout neuf, c'est une pre-release (soyez indulgent sur le packaging, le setup ou le design... tout n'est pas terminé), la documentation est en cours d'écriture mais pour les bricoleurs c'est déjà opérationnel.

Pré-requis : serveur sous Ubuntu 10.10, et client sous Windows 2000 mini. Note : les autres versions d'Ubuntu devraient fonctionner, mais il y a pas mal de réglages à effectuer à la main. La version 0.1 n'enregistre que les sessions Windows (de 2000 à Windows 7), l'enregistrement des sessions Gnome et des terminaux est prévu dans la roadmap.

Équivalent propriétaire et commercial de observeit-sys.com (pour vous donner une idée des fonctions...). Try it ! it's free : https://launchpad.net/pyshot/.

Monkeysphere est un projet permettant d'utiliser la « toile de confiance » OpenPGP pour de nouveaux usages, comme l'identification dans les protocoles SSH et HTTPS.

Sur SSH (avec OpenSSH), Monkeysphere permet d'utiliser des clefs OpenPGP pour identifier aussi bien les clients que les serveurs. On peut ainsi récupérer, valider et tenir à jour :

• Les clefs publiques de serveur (known_hosts) ;
  
• Les autorisations de connexion par clef personnelle.

Par rapport au système natif d'OpenSSH, cela permet de bénéficier des fonctionnalités de mise à jour, d'ajout de nouvelles clefs ou sous-clefs et de révocation du système OpenPGP.

Sur HTTPS avec n'importe quel serveur et avec le navigateur Firefox au moyen d'une extension, Monkeysphere permet d'utiliser OpenPGP comme moyen alternatif d'identification du serveur par son certificat SSL. Cela permet d'introduire un modèle de sécurité qui répond aux inconvénients de la centralisation qu'encourage le modèle SSL, tels que la concentration de pouvoir et les vérifications faibles.

Cette dépêche est tirée du journal de booga.

La version 0.3 du cadriciel d'espionnage/gestion de témoin de connexion evercookie est sortie.
L'auteur, Samy Kamkar, décrit son logiciel comme étant « conçu pour rendre des données persistantes et juste ça, persistantes. En stockant ces données dans divers endroits auquel un navigateur peut accéder, si une des données était perdue (par exemple en effaçant les cookies), les données peuvent être néanmoins récupérées et réutilisées. »

Le code source est disponible. L'auteur parle en anglais d'« open source », semble-t-il dans le sens « code source ouvert » (pas spécialement libre suivant les 4 libertés donc). Il est très court (et dépourvu de licence explicite d'ailleurs, seules celles de SWFObject (MIT) et JQuery (MIT/GPL) sont précisées dans le dépôt des sources Git).

booga explique que le logiciel « est capable d’utiliser jusqu’à 10 méthodes différentes pour stocker dans le navigateur de vos visiteurs un identifiant unique, du classique, mais néanmoins délicieux cookie, à la moderne, mais lente webdatabase, en passant par le sympathique LSO.

Le cadriciel est capable de détecter lorsque l’un des mouchards a été effacé, et de le recréer. »

Ce dernier mois, quelques outils liés à l'analyse du trafic réseau ont bien évolué. Regardons cela d'un peu plus près.

À tout seigneur tout honneur, commençons par le plus connu : Wireshark. Cet analyseur de protocole, certainement le plus complet, vient de paraître dans une nouvelle version stable, plus d'un an après la précédente. Dans le changelog, quelques nouveautés, quelques corrections de bogues, et bien sûr, plein de nouveaux protocoles.

Après avoir parlé du vénérable, évoquons le tout dernier : Ostinato. Cet outil permet de modifier du trafic réseau, avant de le rejouer. Projet récent, mais actif, la dernière version est sortie début août.

Et puisque l'on parle de rejeu, profitons de cette dépêche pour mentionner que la suite d'outils tcpreplay, permettant de capturer et rejouer du trafic réseau, vient de modifier sa licence : auparavant sous licence BSD, le code est maintenant sous licence GPLv3.

Comprendre et bien utiliser le fichier hosts, quel que soit votre système d'exploitation.

Le fichier hosts ?
Presque un gros mot pour la plupart des utilisateurs lambda, mais qui a le mérite d'être facile à comprendre et puissant dans son utilisation.

Dans cet article, il n'y aura pas grand-chose de très technique.

Invisible Things Lab est une société polonaise spécialisée dans la sécurité. Elle est à l'origine de QubesOs, un projet où les applications bureau tournent toutes dans une machine virtuelle Xen, ce afin de renforcer le plus possible la sécurité.

C'est un membre de cette équipe, Rafal Wotjtczuk, qui a trouvé un moyen légitime, sans aucun bug donc, d'obtenir des privilèges root à travers une application graphique pour faire des actions malicieuses.

Cette vulnérabilité, révélée le 17 août et découverte deux mois plus tôt, est maintenant comblée dans les noyaux 2.6.27.52, 2.6.32.19, 2.6.34.4, et 2.6.35.2.

Self Service Password est une interface web très simple permettant à un utilisateur de changer son mot de passe dans un annuaire LDAP. Cet annuaire peut être Active Directory ou un annuaire LDAP conforme au standard.

Le logiciel est en PHP, sous licence GPL.

Cette nouvelle version apporte les nouveautés suivantes :

• Réinitialisation par question/réponse
  
• Réinitialisation par jeton envoyé par mail
  
• Contrôle des caractères spéciaux dans le mot de passe
  
• Possibilité d'interdire certains caractères dans le mot de passe

L'interface est désormais traduite en 5 langues : anglais, français, allemand, espagnol et brésilien.

La documentation a également été entièrement réécrite.

La conférence Black Hat, dédiée à la sécurité informatique, se finit aujourd'hui à Las Vegas. Les téléphones mobiles évolués dits smartphones tels que iPhone ou Android et les problèmes de confidentialité inhérents y ont eu une place importante. La société Lookout a assisté à la conférence et a présenté un projet, App Genome, qui a révélé d'intéressantes informations à propos de la sécurité des applications mobiles... mais n'est-ce pas pour mieux faire de la pub à sa propre application (propriétaire jusqu'aux oreilles) Lookout, qui permet de garder les utilisateurs à l'abri d'applications malintentionnées... selon eux ?

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 1.9.0 de PacketFence. Ce dernier est une solution de conformité réseau (NAC) entièrement libre, supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, le support pour le 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

PacketFence possède un grand nombre de fonctionnalités. Parmi celles-ci, on retrouve :

• L'enregistrement des composantes réseau grâce à un puissant portail captif ;
  
• Le blocage automatique, si souhaité, des appareils indésirables ;
  
• L'enrayement de la propagation de vers et virus informatiques ;
  
• Le freinage des attaques sur vos serveurs ou diverses composantes réseaux ;
  
• La vérification de la conformité des postes présents sur le réseau (logiciels installés, configurations particulières, etc.).

PacketFence est une solution non-intrusive qui fonctionne avec une multitude d'équipements réseaux (filaire ou sans fil) tels ceux de Cisco, Aruba, Nortel, Hewlett-Packard, Enterasys, Accton/Edge-corE/SMC, 3Com, D-Link, Intel, Dell et plus encore.

PacketFence supporte dorénavant les contrôleurs sans fil WiSM, la série 1800 ISR, ainsi que les commutateurs 3750 et 4500 de Cisco. Le commutateur Foundry FastIron 4802 est dorénavant supporté avec téléphonie IP et les commutateurs HP ProCurve 3400cl, SMC8824M et SMC8848M sont maintenant supportés. De nouvelles fonctionnalités telles la catégorisation de composantes réseau pour l'assignation dynamique de VLAN ainsi que la prise en charge du matériel flottant ont été ajoutées. Des paquets pour Red Hat Enterprise Linux (ou CentOS) sont disponibles sur le site officiel du projet ainsi qu'une version pré-configurée dans une image de type VMWare.

Depuis 2001, les Assises de la Sécurité et des Systèmes d’Information réunissent un millier de professionnels : 600 DI, DSI, RSSI, Risk managers et experts sont présents, soit la quasi-totalité des décisionnaires grands comptes stratégiques des secteurs publics et privés.

Le Lauréat 2010 est le logiciel Digital Forensics Framework développé par la société ArxSys spécialisée dans l'informatique légale.

L'article bien documenté de l'AFUL insiste particulièrement sur le fait que c'est la première fois en près de dix ans qu'un logiciel libre est primé par cette institution. Cela montre non seulement que les logiciels libres sont performants (nous le savions déjà !) mais aussi que leur crédibilité a atteint les milieux d'affaires privés et publics.

NdM : on peut traduire le nom du logiciel par « ensemble d'outils numériques pour la criminalistique », donc l'étude après-coup des fichiers après erreur ou plantage, la recherche et l'analyse d'éléments de preuves.

Le Sharkfest est un événement annuel qui se déroule aux États-Unis, centré sur l'incontournable Wireshark. Anciennement connu sous le nom d'Ethereal, c'est un « packet sniffer » libre (GPLv2) multi-plates-formes (Linux, Solaris, FreeBSD, Windows, Mac OS X). Véritable couteau suisse de l'analyse de protocole (il en reconnait pas loin de 800), ses utilisations sont multiples : des plus légitimes dépannage, analyse réseau, développement et rétro-ingénierie de protocoles , au plus controversées comme le piratage (au même titre que tout autre logiciel - P2P - ou couteau de cuisine)

Le dernier en date Sharkfest - troisième du nom - s'est déroulé du 14 au 17 Juin 2010 sur le campus de l'université de Stanford à Palo Alto, CA. Les quelques sessions ci-dessous, tirées des programmes officiels, donnent la teneur des échanges :

• Scripting and Extending Nmap and Wireshark with Lua ;
  
• Visibility into the DMZ Network with Wireshark ;
  
• Advanced Threat Intelligence and Session Analysis.
  

Gageons que les présentations seront bientôt disponibles. En attendant, les impatients pourront se plonger dans la lecture des présentations - pas toujours dans un format ouvert d'ailleurs - des deux années précédentes.

Metasploit est une boîte à outils servant à faciliter les tests d'intrusion. À l'origine c'était un jeu réseau, mais il a évolué pour devenir en 2003 un outil facilitant l'exploitation de failles. Il propose une base de données d'exploit (permettant d'exploiter les vulnérabilités des logiciels pour entrer sur une machine et en prendre le contrôle) à utiliser en conjonction avec une base de données de payload (shellcodes, permettant d'effectuer diverses actions sur la machine attaquée).

Cette nouvelle version corrige de nombreux bugs, apporte cent nouveaux exploits, mais également de nouvelles cibles pour les outils de découverte de mots de passe par force brute, et de nombreuses améliorations pour meterpreter : capture d'écran de la machine attaquée, compression et obfuscation des échanges réseau, etc.

Suite à une dépêche de pBpG sur la sécurité et le "Threat Modeling", j'ai eu une intéressante discussion avec ce dernier.
Je suis parti de l'idée que pour améliorer la sécurité, il fallait commencer par fournir des garanties aux utilisateurs de logiciel.

Aujourd'hui, je reçois Crypto-Gram, par Bruce Schneier. Le dernier article traite des assurances dans le domaine de la sécurité logiciel et émet l'avis qu'elles sont nécessaires pour faire réellement avancer la sécurité et que les nouvelles méthodes n'apporteront rien.

J'ai donc tenté l'exercice (fort difficile) de la traduction, Lord, have mercy...

Dans le monde connecté d'aujourd'hui, beaucoup d'applications se retrouvent à communiquer à droite à gauche avec d'autres, et se mettent à stocker des informations privilégiées de valeur : numéros de carte de crédit, mots de passe, numéros de sécurité sociale, correspondance privée, etc. Sécuriser une application et s'assurer qu'elle est robuste est donc une étape importante du développement du logiciel. Cela passe notamment par ce que l'on appelle chez les mangeurs de hamburgers le threat modeling (modélisation de menaces pour les non-anglophones).

Le threat modeling s'est imposé chez Microsoft après une période que l'on peut qualifier de "noire" au début des années 2000 et a grandement aidé à améliorer la sécurité de ses logiciels depuis. Toutefois, elle n'est pas forcément des plus faciles à implémenter.

Quelles sont vos expériences sur le sujet ? Est-ce que ce processus est utilisé dans vos développements informatiques ? Si oui, quels sont vos retours d'expérience ? Si non, pourquoi ?

Pour la cinquième années, ACISSI organise le Salon Informatique de Maubeuge, qui grandit et change de nom, pour devenir les RSSIL, Rencontres des Solutions de Sécurité et d'Informatique Libre.
En 2009, les RSSIL ont eu l'immense plaisir d'accueillir pas moins de 2000 visiteurs, 36 exposants, 300 concurrents pour les challenges.
Alors, en 2010, la recette reste la même, mais les quantités augmentent, comme pour un gâteau que l'on veut partager avec plus de monde.
Au programme :

• La partie exposition, avec cette année pas moins de 60 stands disponibles pour des présentations et des démonstration afférentes au Libre. Comme pour les éditions précédentes, des LUGs et des association vous présenterons, vous expliquerons et vous aiderons dans l'utilisation de nombreux logiciels Libres !
  
• Les conférences sur divers sujets du Libre, de l'économie du Logiciel Libre aux lois liberticides, en passant par la présentation des outils par les développeurs eux-même !
  
• Le challenge de sécurité Hacknowledge, avec la participation de membres de divers projets (dont BackTrack 4) pour la création des épreuves ;
  
• Le challenge des IUT de France, et ses trois épreuves (Applicative - Web - Sécurité) ;
  
• La nuit de Jeux en réseau (LAN) ;
  
• Et tant d'autres animations ...

Le logiciel libre, la sécurité, les challengers, les visiteurs, les exposants et les conférenciers de haut vol... tous les ingrédients d'un rendez-vous à ne surtout pas manquer !

Où ça ?

À l'Espace Sculfort
Rue Jean-Jaurès / N39
59600 MAUBEUGE

Quelques dates :

• Date limite de soumission : 10 Avril 2010 ;
  
• Déroulement des conférences : 4 & 5 Juin 2010.
  

Pour plus d'infos, rendez-vous sur le site officiel rssil.org.

InvisibleThings et plus précisément Joanna Rutkowska, chercheuse polonaise en sécurité, vient d'annoncer Qubes, un environnement Xen de travail sécurisé. J. Rutkowska a publié de nombreuses attaques (avec leur implémentation) sur Xen, la virtualisation matérielle ou plus récemment TrueCrypt.

L'objectif du projet est de fournir un environnement sécurisé par isolation (une VM pour le travail, une pour le surf, une pour le surf sécurisé etc) tout en fournissant les fonctionnalités nécessaires à sa réelle exploitation au quotidien.

L'écosystème des distributions GNU/Linux est saturé. Le site Distrowatch en recense plus de 300 et ce chiffre est sans doute une sous-estimation.
On trouve bien entendu les "grandes" que tout le monde connaît (Red Hat/Fedora, Debian GNU/Linux, Ubuntu, Mandriva Linux, etc) mais il existe une multitude de petits projets spécialisés, de forks plus ou moins amicaux, d'expérimentations diverses et variées.
Certaines de ces distributions ont choisi de se spécialiser dans le secteur de la sécurité et il m'a semblé intéressant de regarder d'un peu plus près ce qu'elles avaient à proposer.

Il n'est pas question ici des live-CD spécialisés qui permettent de vérifier la sécurité d'un réseau ou d'un poste local (du type Network Security Toolkit ou bien HoneyWall). Ces distributions sont incontestablement intéressantes mais ce n'est pas le sujet de cette dépêche. Ce qui va être examiné ce sont les distributions installables qui veulent proposer une sécurité au dessus de la moyenne. Seront également examinés certains patchs ou paquets spéciaux pour des distributions préexistantes.
La niche écologique de ces distributions spéciales, ou de ces variantes, c'est la promesse d'une sécurité supérieure par le biais de diverses améliorations techniques.

Dans la suite de la dépêche nous examinerons donc :

• OpenWall
  
• EnGarde Secure Linux
  
• Grsecurity/Pax
  
• NetSecL
  
• Bastille Unix
  
• Hardened Gentoo/Hardened Debian