Double information tournant autour de l'authentification forte. Consultez la deuxième partie de la depêche pour en savoir plus.
Tout d'abord, le consortium OATH a publié les spécifications de deux algorithmes permettant de concevoir des tokens matériels :

• Une première spécification publiée courant 2004 concerne les générateurs de mots de passe en mode asynchrone : à chaque appui sur un bouton du token, un nouveau mot de passe est généré ;
• Une deuxième spécification, publiée il y a quelques jours à peine (d'où cette dépêche) traite d'un mode de génération de mots de passe à usage unique dépendant du temps, où chaque mot de passe possède une durée de vie de quelques secondes.

Ces deux documents permettent d'imaginer des tokens matériels d'authentification forte libres. Pas gratuits, ça non, mais ouverts, ce qui serait déjà un grand pas en avant.

Et justement, le projet OpenToken vise à concevoir des tokens ouverts, ainsi que les outils logiciels associés, en se basant sur la dernière spécification OATH afin de garantir un fonctionnement transparent. Pour l'instant le projet est en cours de lancement et les objectifs sont ambitieux, n'hésitez donc pas à vous abonner à la liste de diffusion opentoken-devel pour contribuer.

Si le concept vous intéresse, ces informations sont présentées plus en détails dans la suite de la dépêche...

Nuface est une interface web haut niveau de configuration de pare-feu Netfilter. Écrite en PHP5 et distribuée sous licence GPL v3, elle simplifie la gestion des règles en offrant une vue haut niveau du pare-feu et une aide contextuelle expliquant directement les options de filtrage. Travaillant de concert avec NuFW et Nulog2, Nuface permet également de gérer des règles d'accès par utilisateur, par application ou par système d'exploitation, et propose le filtrage par plage horaire. Il permet également de voir à partir des journaux affichés par Nulog quelle règle a permis la connexion.

Pour la version 2.0, un effort a été fait sur l'amélioration de l'ergonomie, notamment via des formulaires simplifiés, l'ajout d'une aide contextuelle, et la mise en place d'un historique de navigation. Les règles locales (INPUT et OUTPUT) ont maintenant un formulaire dédié. Pour chaque ACL, on peut décider de tracer (avec ulogd et NuFW) ou non les connexions avec un message de log personnalisé, exploitable notamment avec le logiciel Nulog ou n'importe quel analyseur de journaux. Enfin, la mise en place initiale a été revue et facilitée avec la création d'un outil d'auto-configuration réseau (interfaces, réseaux et routes).

N'hésitez pas à venir rencontrer les développeurs à l'install party le 2 avril prochain. L'ensemble des outils seront présentés (Nuface2, NuFW et Nulog2).

Lemonldap::NG est un système de protection des sites web de type Web-SSO. La nouvelle version est sortie il y a quelques jours.

Principale innovation : l'intégration d'un portail d'authentification compatible Liberty-Alliance. Cette composante « service provider » permet à un utilisateur de se trouver authentifié sur le service protégé par Lemonldap::NG tout en étant authentifié auprès d'un fournisseur d'identité de son choix. Au menu également quelques corrections de bugs et de nombreuses améliorations des API.

Dernière nouvelle enfin et pas des moindres, Lemonldap::NG est désormais intégré à Debian (la version 0.9 passera de « unstable » à « testing » dans quelques jours).

Dans ce qui va suivre, j'essaierai de vous présenter une technique que j'utilise pour accéder à mes serveurs via des points de montage sshfs (basé sur fuse) encapsulé dans des tunnels SSH.

Dans ce qui va suivre, je ferai des références à un ensemble de produits. Je vais en faire ici une rapide présentation :

• openssh (que je ne présenterai pas)
  
• fuse : module noyau permettant de manipuler des points de montage en tant qu'utilisateur lambda
  
• tsocks : bibliothèque permettant l'encapsulation des requêtes réseaux d'un programme.
  
• afuse : utilitaire permettant de se servir de fuse pour faire des automounts.
  

La version 6.9 de TestDisk et PhotoRec, logiciels de récupération de données multi-plateformes sous licence GPL, vient de sortir.

Cette version apporte de nombreuse améliorations dont le support EFI GPT (MacBook, MacPro, Itanium...), une meilleure identification des disques sous Linux (présence du modèle), la récupération des partitions chiffrées LUKS, Mac HFSX, Linux Raid md 1.0/1.1/1.2 (en plus de 0.9), la possibilité de copier des fichiers depuis une partition FAT retrouvée (déjà possible pour NTFS), la récupération de fichiers depuis l'espace libre d'une partition ext2/ext3...

Je profite de la publication de la première version stable d'OpenVAS pour faire un point sur l'état des forks de Nessus.

Créé en 1998 par Renaud Deraison, Nessus a longtemps été le scanner de vulnérabilités de référence du monde libre. Ce succès à permis à son auteur de monter la société Tenable Network Security qui commercialise une offre d'audits de vulnérabilités. Face à une concurrence utilisant sans vergogne son logiciel, comme le permet la GPL, et au vu de la faiblesse des contributions de la communauté au moteur du logiciel, la société a décidé d'utiliser une licence propriétaire pour la version 3 de Nessus fin 2005 .

La réaction de la communauté ne s'est pas faite attendre et de nombreux forks de la version 2 de Nessus ont été lancés dans la foulée, par exemple GNessUs, Porz-Wahn et Sussen parmi les projets ayant été annoncés officiellement.
L'objectif était de continuer à disposer d'un scanner de vulnérabilité libre et performant. Voilà plus de 2 ans que ces forks ont été lancés, force est de constater qu'aucun d'entre eux n'a acquis la renommée de leur ancêtre commun. En effet, au delà des bonnes intentions, la quasi totalité de ces projets n'ont jamais réussi à rassembler suffisamment de développeurs pour permettre de reprendre le flambeau.

Le site de Porz-Wahn est figé depuis son ouverture et tout laisse à penser que le projet est mort, en fait Porz-Wahn a fusionné en toute discrétion avec GNessUs fin 2005.

L'histoire de Sussen est différente des autres forks. Lancé courant 2004, avant le changement de licence de Nessus, Sussen -"nessus" à l'envers :-)- était au départ un client Gnome codé en Mono/C#/GTK# supposé s'interfacer avec le serveur Nessus.
À la suite de la sortie de Nessus 3.0, le projet a pris une tournure différente et la version actuelle n'a plus rien à voir avec le client Nessus originel. Ce logiciel est maintenu par un seul développeur qui, à l'instar de Renaud Deraison, travaille dans une société de services en sécurité. La version de développement actuelle, disponible pour Linux et Windows, est sortie courant 2007. Elle est certifiée OVAL (un standard pour l'échange d'informations relatives aux vulnérabilités). Un seul message ayant été posté sur la liste de diffusion depuis sa création, le blog du développeur reste le meilleur moyen d'avoir des nouvelles de ce logiciel.

Last but not least, GNessUs a changé de nom et s'appelle dorénavant OpenVAS. Il s'agit du seul fork de Nessus encore actif. C'est autour de ce logiciel lancé par un chercheur en sécurité anglais qu'une communauté s'est formée. Suite à la fusion avec Porz-Wahn, des développeurs allemands ont rejoint l'équipe et le projet a d'ailleurs reçu des subventions du gouvernement allemand. Il a aussi retenu l'attention du SPI, une association qui subventionne des projets libres. C'est donc en toute discrétion, après quand même deux ans de travail, que les premières versions stables d'OpenVAS ont été publiées il y a quelques jours à peine, conformément à la feuille de route.
La communauté dispose donc enfin d'un scanner de vulnérabilités libre. Certes son architecture date un peu et de nombreuses améliorations seront nécessaires avant de se rivaliser avec la version actuelle de Nessus, mais c'est un premier pas dans la bonne direction.
N'hésitez donc pas à vous abonner à la liste de diffusion du projet et à contribuer si vous vous en sentez capable.

La version 3.0 de l'application SignServer vient d'être annoncée. SignServer est, comme son nom le laisse à penser, un serveur de signature. Il permet dans sa dernière version de signer les PDF et les documents OpenOffice. En complément du serveur de courriel JamesServer, il permet de réaliser des opérations de signatures et de chiffrements au niveau du serveur de mail.

Signserver peut aussi faire office de serveur d'horodatage. La précédente version intègre la signature de passeport de nouvel génération (MRTD) et de signature en XML-Dsig. La prochaine version fournira la signature Xades (Signature XML avancée).

Ce logiciel est réalisé par les suédois de PrimeKey, à l'origine de la PKI OpenSource EJBCA.

A noter que le logiciel est publié sous deux versions de la LGPL : la LGPL v2.1 et LGPL V3. La version LGPL V3 contient des composants supplémentaires eux même sous LGPL V3, composants retirés de la version LGPL V2.1

Après plusieurs mois de travail, la première version stable du LiveCD NuFW.Live est disponible. Basé sur une knoppix, ce LiveCD permet à ses utilisateurs de tester facilement et rapidement les fonctionnalités du pare-feu NuFW, et les outils d'administration qui permettent de le gérer : Nulog2, Nuface2 en RC4, pyctd le "tueur de connexion Netfilter" ...

Le LiveCD contient également NuApplet2, un client NuFW pour Linux, ce qui permet de réaliser des tests sans rien installer, en utilisant le LiveCD sur deux machines.

NuFW.Live [version 1.0.1] est téléchargeable en HTTP et en Bittorent. Les volontaires pour fournir un miroir de téléchargement seront les bienvenus.

Le 8 février prochain se déroulera la première édition du concours Insomni'hack.
Le concours, gratuit et ouvert à tous, se déroulera en Suisse (Préverenges à côté de Lausanne) est composé d'une série d'épreuves de tous niveaux (faciles à difficiles) orientées sécurité.

Le concours repose entièrement sur des développements spécifiques autour de logiciels libres (dont aucun produit commercial), le but du concours n'étant pas d'utiliser des exploits/failles mais plutôt de mettre en oeuvres des concepts généraux relatifs à la sécurité informatique.

Les épreuves toucheront à divers domaines :

• Sécurité Web
  
• Reverse engineering / rétro-ingénierie
  
• Forensics / informatique légale (à l'image de la médecine légale)
  
• ...

Voici la 2ème génération de l'incontournable outil d'analyse de fichiers journaux de pare-feu. Nulog2, presque 6 ans après la v1, s'appuie toujours sur un format de journalisation SQL, mais présente les informations de manière plus synthétique, et beaucoup plus exploitable.

Au menu des nouveautés :

• Réécriture complète du code, passage de PHP à Python avec Twisted Matrix ;
  
• Génération à la volée de diagrammes et de camemberts, au souhait de l'utilisateur ;
  
• Personnalisation totale de la page d'accueil, pour chaque utilisateur ;
  
• Refonte de l'ergonomie de l'outil et de la manipulation des critères d'affichage des connexions réseaux ;
  
• Possibilités de recherches beaucoup plus avancées ;
  
• Export des données affichées en CSV pour traitement personnalisé ;
  
• Passage à la licence GPLv3.

Bien entendu, Nulog2, permet, comme la v1, d'exploiter des logs authentifiés par un pare-feu NuFW. Il est donc très simple de créer ses propres indicateurs à placer sur sa page d'accueil, par exemple "Histogramme des derniers paquets droppés des trois dernières heures de l'IP 10.56.140.47 ou de l'utilisateur Martin".

Le fuzzing est une technique d'assurance qualité logicielle visant à rechercher des bugs en injectant des données invalides. Fusil est un framework dédié au fuzzing comprenant divers outils pour créer des processus, surveiller un processus existant ou encore injecter des erreurs dans un fichier.

Chaque exécution de la cible se voit attribuer une note de -100% à +100% en utilisant diverses sondes pour déterminer si l'application a planté ou non. Des sondes surveillent l'état d'un processus et sa consommation processeur, d'autres surveillent des fichiers texte tel que syslog, d'autres encore se basent sur la durée d'exécution, etc. Le système de notation est réutilisé pour autoconfigurer Fusil : l'agressivité, nombre d'erreurs injectées, évolue en fonction des notes précédentes. Divers exemples sont fournis pour essayer Fusil et voir de quoi il est capable : Mplayer, Image Magick, ClamAV, PHP, printf, etc. Un dossier temporaire est généré pour chaque exécution. Il est utilisé comme répertoire de travail et est conservé en cas de plantage de la cible.

Hier se tenait la dernière journée de travail du "Internet Identity Workshop", une suite de conférences abordant le thème de la gestion de l'identité sur l'Internet. En effet, si la gestion des identités peut paraître simple (quoique) dans une organisation donnée, le problème est beaucoup plus complexe sur l'Internet où les acteurs sont multiples et n'ont pas les mêmes objectifs.

Le projet OpenID a l'ambition d'apporter une solution à ce difficile problème et ce d'une façon complètement décentralisée. De plus en plus de grandes entreprises (comme Orange) se rallient à cette norme et OpenID semble avoir le vent en poupe.

À l'occasion de l'Internet Identity Workshop, David Recordon, Dick Hardt et Josh Hoyt ont annoncé les spécifications finales du projet OpenID 2.0. Selon eux, cette spécification peut contribuer à accélérer le processus d'adoption de cette procédure d'authentification :"General consensus is that it's the finalization of 2.0 that many big players have been waiting on." (le consensus général est que c'est la finalisation de [la version] 2.0 que beaucoup de grands acteurs ont attendu).
La nouvelle norme propose, entre autre, des protocoles cryptographiques plus solides, ainsi que la possibilité de recycler les logins utilisés précédemment.

Ceux qui ne connaissent pas ce projet trouveront des réponses à leurs questions sur ce Wiki, ainsi qu'une synthèse des risques et/ou dérives de ce genre de système. La complexité du système reste un de ses points faibles : "OpenID is too hard to add to your site, it's too unfriendly to login to as a use."

Il existe actuellement différents CDROM de type Live CD que l'on dit aussi « bootables » et qui sont basés sur les distributions GNU/Linux.

Les Live CD concernant le domaine de la sécurité des systèmes d'informations et de communication sont tout aussi nombreux parmi ceux-ci, ils sont pour la plupart disponibles en téléchargement sur internet et notamment BackTrack2 qui est l'un des plus populaires parmi eux.

Ces Live CD ont été développés pour donner la possibilité à leurs utilisateurs d'y ajouter leurs propres outils et scripts, ils présentent cependant tous un défaut majeur dès lors que l'on souhaite effectuer la mise à jour du système et des outils qui les composent.

Cette opération est soit impossible dans la plupart des cas soit tellement compliquée à réaliser qu'elle n'est pas envisageable pour les utilisateurs lambda ; ils sont alors contraints d'attendre les avancées des développeurs afin de profiter des dernières versions.

Le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique, vous propose un document présentant une méthode originale qui permettra à tout un chacun de réaliser son propre Live CD, orienté sécurité ou pas.

Scapy est un utilitaire Open Source en Python développé par Philippe Biondi, cet outil vous permet de disséquer, de forger, de recevoir et d'émettre des paquets (et des trames) de données pour un grand nombre de protocoles que vous pourrez également décoder : DNS, DHCP, ARP, SNMP, ICMP, IP, TCP, UDP.

L'un des seuls points faibles connu à ce jour, concernant Scapy, est son manque de documentation officielle ou non, notamment francophone, permettant de le destiner à un plus large public que les experts du domaine ; partant de ce constat, le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique, met à disposition de tous un document venant combler une partie de ce manque.

Vous y apprendrez notamment comment installer et configurer Scapy ainsi que les rêgles rudimentaires relatives à son utilisation (commandes basiques et avancées) et à la manipulation de paquets (et de trames) de données dont un exemple de génération de graphiques 2D/3D à partir des résultats d'un traceroute réalisé à l'aide de Scapy.

Le Netfilter Workshop 2007 vient d'ouvrir sa cinquième édition à Karlsruhe, en Allemagne. Ces rencontres ont lieu tous les 2 ans et permettent aux développeurs du projet Netfilter de se rencontrer pour définir les orientations du projet Netfilter, et également d'avancer sur les mises à jour de technologies à venir.

La première présentation a été réalisée par Patrick McHardy où il détaille version noyau par version noyau les avancées de Netfilter.

L'évènement se déroule du 11 au 14 septembre. Tout comme en 2005, un compte rendu est proposé par INL, sponsor de l'évènement. Le site est mis à jour en temps réel en suivant les différentes présentations des intervenants.

NdM Le projet Netfilter vise à fournir des solutions de firewall sous GNU/Linux via notamment l'outil iptables.

Un des antivirus libres les plus connus est sans conteste ClamAV. Ce logiciel est disponible sous plusieurs systèmes d'exploitations (dont Linux et Windows) et les bases virales sont libres et maintenues à jour par l'équipe de développement assistée de la communauté.

Le 17 août, la société Sourcefire a publié un communiqué de presse dans lequel elle annonce avoir fait l'acquisition du projet ClamAV. Sourcefire est une société spécialisée dans la sécurité qui avait mis la main sur le logiciel de détection d'intrusion Snort il y a quelques années. Pour le rachat de ClamAV, Sourcefire s'est rapprochée de Tomasz Kojm, le fondateur du projet, et de quatre développeurs principaux afin qu'ils continuent de travailler sur le projet par la suite.

M. Jackson, le CEO de Sourcefire, annonce que la société compte rentabiliser son investissement en trois temps :

• Premier temps, la société mettra en place d'ici la fin de l'année une offre de support et de formation autour de ClamAV.
  
• Deuxième temps, une version commerciale et non "open source" sera disponible pour les professionnels début 2008.
  
• Troisième temps, la société compte sortir une boîte noire matérielle intégrant ClamAV, qui complémentera l'offre de Sourcefire.

Une telle opération suscite bien évidemment des inquiétudes : quid de la licence et des bases virales ? La société a tenu a rassurer la communauté dans une FAQ publiée sur son site web en affirmant vouloir garder la licence GPL pour distribuer le logiciel ainsi que les bases virales. Voire, car l'exemple de Snort n'est pas fait pour rassurer : depuis que Snort est tombé dans l'escarcelle de Sourcefire, l'accès aux bases de signatures de moins de 30 jours est restreint et payant.

Autre source d'inquiétude, Sourcefire annonce que ClamAV va se focaliser sur la détection virale au niveau du réseau, par opposition à une détection sur le poste client. L'avenir du client "desktop" est-il menacé ?

NdM : voir aussi un journal de tcheuck sur le sujet.

Un éditeur de plate-forme de filtrage de courriel a tenté une expérience intéressante : soumettre 10 antivirus Linux à quelques virus connus pour éprouver leurs capacités de détection.

Le résultat est étonnant : face à un échantillon de 18 virus connus, un antivirus en laisse passer 17 (!), et seuls 3 antivirus détectent les 18 codes malveillant. Un autre test met les logiciels en contact avec des virus soumis par des internautes, l'échantillon utilisé pour ce deuxième test est donc moins répandu. Heureusement, car au cours du test, tous les antivirus ont laissé passer au moins un virus et certains en ont détecté moins de la moitié.

Les logiciels qui sortent grandis de cette étude sont Kaspersky, un logiciel propriétaire possédant un excellent moteur de détection, et ClamAV, un antivirus libre régulièrement décrié par ses concurrents. La célérité de ClamAV a d'ailleurs été louée par les auteurs du test. Le moteur de ClamAV est également présent dans ClamWin, ce qui en fait un excellent antivirus libre pour systèmes Windows.

Bien que forcément non exhaustive (il manque par exemple NOD32), cette étude illustre le fait que les antivirus sont loin d'être infaillibles.

NdM : d'autres comparatifs d'antivirus sur des échantillons plus larges Clubic juillet 2007, av-comparatives.org février 2007, mai 2007 et PC Mag mai 2007 (seul ce dernier test parle de ClamAV). Un antivirus sous GNU/Linux sert à protèger la machine des rares virus existant pour ce système, et pour les serveurs de courriel, de fichiers, etc. à filtrer les contenus malveillants.

Développée avec la Mairie de Paris et l’INSERM, la solution OpenTrust-PAM (Portal Access Manager) d’IDEALX est désormais libre au téléchargement sous licence GPL.

OpenTrust PAM permet à un utilisateur de n'avoir à s'identifier qu'une seule fois pour accéder à toutes ses applications distantes. C'est donc un « reverse-proxy », assurant le SSO (Single Sign On), qui interagit avec les systèmes d’authentification des applications mises à disposition, grâce aux protocoles Web.

Mise en ½uvre pour la première fois à l’Inserm en 2004, la solution a été mise en production à la Mairie de Paris dans le cadre de la création d’un portail « Partenaires », destiné à multiplier les services fournis aux différentes entités liées à la ville.

Publié depuis aujourd’hui sous licence Open Source (GPL), le logiciel OpenTrust-PAM pourra ainsi être utilisé et s’enrichir par l’apport de nouvelles contributions.

Après plus d'un an de travail, la version 2.2 de NuFW est enfin disponible. Cette nouvelle branche stable du pare-feu authentifiant NuFW ajoute de nombreuses fonctionnalités :

• Support complet d’IPv6
• Politique de marquage avancée pour utilisation avec la qualité de service et le routage
• Gestion dynamique de la configuration grâce à une socket d'administration
• Compatibilité avec les clients, outils associés, et le démon nufw en version 2.0

NuFW 2.2 enrichit les notions de filtrage strict par utilisateur de NuFW 2.0 en y ajoutant la possibilité de définir le routage ou la qualité de service suivant des critères tels que l'identité ou l'application. On peut par exemple implémenter une politique permettant d'attribuer une partie de la bande passante à un groupe d'utilisateurs lorsqu'il utilise une application donnée. Il est ainsi possible de réserver 30 Ko/s de bande passante aux comptables quand ils utilisent Firefox mais seulement 10 Ko/s quand ils utilisent un autre navigateur.

L'offre en logiciels libres a aujourd'hui atteint une richesse et une maturité qui ouvrent aux entreprises d'importantes opportunités, tant en termes de réduction du coût total de possession de leur SI, qu'en termes d'indépendance vis-à-vis de leurs fournisseurs.

Avec le concours d'IBM, Cetril lance un programme de journées de conférences consacrées à l'adoption de solutions Open Source dans le cadre de thématiques spécifiques.

Première journée, le mardi 22 mai : "Logiciels libres et sécurité du SI". Des spécialistes reconnus s'appuieront sur les cas concrets rencontrés dans le cadre de leur expérience professionnelle pour vous présenter les enjeux stratégiques des solutions Open source en matière de sécurité, ainsi que des produits et techniques de pointe dans ce domaine crucial :

• Nat Makarevitch (IdealX) : "Sûreté du poste client et du serveur animé par un système libre: les leçons de 12 ans d'utilisation professionnelle"
  
• Philippe Bournhonesque (IBM) : "Stratégie Opensource IBM et exemples de contribution dans le domaine de la sécurité"
  
• Vincent Deffontaines (INL) : "NuFw – le pare-feu authentifiant"
  
• Louis Nyffenegger (HSC consultants) : "Détection de machines Linux compromises"

Chaque intervention sera ponctuée d'une séance d'échange au cours de laquelle le public sera invité à poser ses questions. Les meilleures questions se verront récompensées par des ouvrages offerts par les Éditions Eyrolles, partenaire de cette journée.

Internet offre à chacun le meilleur comme le pire et les enfants sont trop souvent concernés par le pire. La protection des enfants se fait essentiellement par le filtrage des URL et par la détection des informations sensibles que sont l'identité et l'adresse que les enfants peuvent donner en toute innocence à des prédateurs, le plus souvent des pédophiles.

Logprotect est un logiciel qui permet de lutter très efficacement contre la divulgation du nom et de l'adresse à des inconnus. Une version Windows existe depuis près de trois ans et est maintenant tout à fait opérationnelle. La version Linux existe aussi, mais bien que parfaitement utilisable, elle est toujours en cours de validation. Le développeur de la version Linux a besoin de testeurs, ayant si possible une bonne connaissance Linux et/ou Python pour valider son code ainsi que de contributeurs pour réaliser la documentation ainsi que le packaging pour les différentes distributions.

Pour la protection sur les URL, les principaux fournisseurs d'accès à Internet proposent des logiciels de protection des enfants ou contrôle parental, mais ceux-ci ne sont prévus que pour Windows. Pour Linux, il faut utiliser squid et les listes noires ou blanches, ce qui est quand même une solution assez lourde.

Logprotect est donc une protection simple, utile et efficace en complément de la surveillance active des parents.

Cette information, parue au Journal officiel de la République française n°41 du 17 février 2007, est passée presque inaperçue, même pour la plupart des administrations. Elle est pourtant essentielle, Il s'agit du fondement du RGS (Référentiel Général de Sécurité).

Une autorité de certification a pour but de s'assurer de l'identité du correspondant. Il s'agit d'un "tiers de confiance" qui assure à chacun que son correspondant est bien celui qu'il prétend être.

Avec cette autorité racine, l'administration n'a plus besoin de faire appel à des organismes privés tels que Thawte, Certinomis, Baltimore, Certplus, Entrust.net, Verisign, GlobalSign, Certificate Center, Cybertrust... On trouvera dans le lien securite.teamlog cette liste non exhaustive des principaux organismes reconnus nativement par les navigateurs. Il faudra donc que tous les navigateurs reconnaissent maintenant ce nouvel organisme de certification de façon à éviter la mésaventure de l'ASSEDIC.

En plus de la sécurité et de l'indépendance, c'est une économie non négligeable pour l'administration française. Il s'agit d'une démarche cohérente avec le RGI dont nous attendons avec impatience les arrêtés d'applications.

Le SSTIC est une conférence francophone traitant de la sécurité de l'information. Ce thème comprend à la fois les vecteurs d'information (comme les systèmes informatiques ou les réseaux) et l'information elle-même (cryptographie ou guerre de l'information). Le symposium se déroulera à Rennes du 30 mai au 1er Juin 2007.

Le programme de cette cinquième édition est en ligne et les inscriptions sont ouvertes.

Cette année le programme est comme à son habitude très varié et très dense: rootkits et exploitation en mode noyau sous Linux, fuzzing WiFi, sécurité d'OpenDocument (OpenOffice.org), la cryptographie dans la pratique (vote électronique, protection de documents, etc), et bien sûr du réseau, de l'assembleur, de l'analyse hardware, etc.

Network Security Toolkit (NST) est un LiveCD sorti en version 1.5.0 mi février. Ce LiveCD, basé sur une Fedora Core (FC) 5, a pour but de fournir un accès simple à des applications de sécurité réseaux libres. Il devrait fonctionner sur la plupart des plates-formes x86.
Le site insecure.org avait publié en 2006 une liste de 100 outils plébiscités par les chercheurs en sécurité informatique participant à une mailing-liste de nmap. La plupart de ces outils sont présents sur la distribution NST.

NST fournie un certain nombre de fonctionnalités via une interface Web. Parmi les améliorations de celle-ci, on notera notamment :

• Plus de possibilités pour la surveillance du trafic réseau ;
  
• Possibilité de configurer et surveiller des imprimantes (NST peut se transformer en un serveur d'impression) ;
  
• Possibilité de monter facilement plusieurs types de systèmes de fichiers ;
  
• Possibilité d'uploader des fichiers sur le système NST.

Par ailleurs, avec cette version, la base de NST est passée de FC4 à FC5. On remarquera également l'intégration des paquets Inprotect (pour Nessus) et Zabbix (similaire à Nagios).

Pour terminer, signalons que ce week-end un wiki a été ouvert pour permettre aux utilisateurs de partager leur expérience ou de dispenser de précieux conseils.

La branche 1.2 de Nuface, l'interface web de gestion de pare-feu, est désormais stable. Écrit pour NuFW, mais utilisable sur un pare-feu "standard" Netfilter, Nuface utilise une modélisation XML de haut niveau pour représenter les objets réseaux, les utilisateurs, les protocoles... et permet d'agglomérer ces objets en ACL.

Les nouveautés et innovations de la branche 1.2 sont :

• Support du filtrage de contenu, avec gestion de règles Layer7
  
• Enrichissement du modèle de données, et gestion affinée de l'ordre des ACL, en tenant compte de la topologie du réseau
  
• Nombreuses améliorations de l'ergonomie de l'interface
  
• Génération de règles au format iptables-restore pour de meilleures performances au chargement.