Le projet One Laptop Per Child (OLPC) se propose de construire des ordinateurs portables (utilisant Linux) d'un coût de 100 dollars afin que les enfants scolarisés des pays moins riches puissent profiter de la révolution informatique.

Ce projet est innovant sur plusieurs points, les principaux étant son écran transmissif et réflectif original, son absence totale de pièces mobiles (disque dur flash), ses fonctions wifi avec possibilité de créer un noeud-relais et son rechargement par câble à tirer du type "tondeuse à gazon".

Un problème restait néanmoins à résoudre : comment sera conçu le modèle de sécurité du portable ?

Cette question est critique car l'ordinateur sera sans doute vendu à des dizaines de millions d'exemplaires, sera relié au réseau internet et sera utilisé par des jeunes enfants incapables de gérer une politique de sécurité. Le risque d'une infection massive et d'une transformation en un réseau géant de machine zombies est réel.

La réponse est Bitfrost, un nouveau modèle de sécurité pour les ordinateurs.

OCS Inventory est une solution d'inventaire de parc informatique, libre et multiplateforme. Il permet de centraliser les informations concernant les postes clients, tout en optimisant la bande passante du réseau. Possédant une interface de gestion très ergonomique, cette solution d'inventaire de parc informatique est un must et a été récompensée aux trophée du Libre 2006.

OCS Inventory forme un couple complet avec GLPI pour l'administrateur et le gestionnaire qui veut suivre son parc informatique.

Après la découverte par l'équipe de Wang de collisions dans SHA-1, une des fonctions de hachage standard, c'est un peu le nouveau buzz du moment dans le petit monde de la cryptographie. On suspecte SHA-2 de plus n'être plus aussi sécurisé qu'on a pu le croire et on se demande si on a vraiment une idée pour construire un algorithme de hachage suffisamment solide.

Après quelques workshops préliminaires, le NIST (l'organisme de normalisation des standards et de la technologie aux USA) a donc décidé d'empoigner le taureau par les cornes et a annoncé le 23 janvier 2007 l'ouverture d'un processus de développement de nouveaux algorithmes de hashage standard.
Comme pour AES, la communauté cryptographique est donc invitée à proposer des algorithmes et parmi eux un ou plusieurs seront sélectionnés à l'issue du processus. Les digests de ces fonctions doivent supporter les tailles de 256, 384 et 512 bits (comme SHA-2 donc).

Si tout se passe bien le gagnant devrait être connu à la fin 2011.

PS : A noter qu'une autre primitive de hachage solide existe déjà : la fonction de hachage Whirlpool est sortie gagnante du processus de sélection européen NESSIE et est maintenant un standard ISO.

IPCop se veut une distribution firewall avec une interface conviviale fonctionnant sous Linux pour protéger vos réseaux.

Administrable comme la distribution Smoothwall dont elle est issue via une interface web, IPCop fait office de pare-feu et de routeur permettant de gérer plusieurs "zones" : un intranet (zone verte), l'accès internet (zone rouge), une DMZ (zone orange) et des accès Wifi (zone bleue). Elle propose un certain nombre de services, comme le support des VPN, des serveurs DHCP, DNS et mandataire (proxy), une QdS, etc. Le tout est disponible sous licence GPL.

Les besoins en matériels peuvent être très réduits et augmentent avec le nombre de services utilisés. Cette version met à jour des paquets pour des questions de sécurité, corrige des bugs et met à jour quelques pilotes (ADSL et gigabits) et le noyau Linux (pour plus de détails, voir le texte de l'annonce).

Cryptonit, logiciel opensource publié par IDEALX, peut à présent employer le certificat de la carte d'identité belge. Connecter à l'ordinateur un lecteur de carte à puce suffit à signer (sceller) tout type de document, grâce à votre identité certifiée.

Cryptonit est le composant de protection et de signature électronique des documents confidentiels de l’infrastructure globale OpenTrust™. Il protège tout fichier et assure :

• Chiffrement / déchiffrement
  
• Signature / authentification de signature
  
• Génération d’auto-déchiffrables

Ce logiciel diffusé sous la GPL, publié depuis 2003, est ergonomique (des «glisser-déplacer» suffisent) et fonctionne sous Linux, Mac OS X et Microsoft Windows. Il emploie n'importe quel certificat numérique (X.509) et accède aux annuaires (LDAP).

La nouvelle version opensource du logiciel d'archivage de messagerie d'OCTANT, Open Mail Archive (OMA2), est en ligne.

La messagerie est devenue un véritable outil de production au sein des collectivités. Pour apporter la sécurité, OCTANT a développé le logiciel Open Mail Archive, qui permet l'archivage des courriels, mais aussi leur restauration avec des outils qui facilitent la tâche des administrateurs système.

La version 2, publiée en licence GNU/GPL, vient d'être mise en ligne sur le site d'OCTANT.

OMA est un système d'archivage de messagerie en PHP basé sur une architecture Postfix/Mysql/Apache/PHP. Il archive tous les flux provenant d'architectures hétérogènes basés sur le standard SMTP.

Voir la suite de l'article pour le détail des fonctionnalités

ADULLACT (Association des Développeurs et des Utilisateurs de Logiciels Libres pour les Administrations et les Collectivités Territoriales) vient de franchir un nouveau cap, son logiciel S²LOW vient d'être homologué par la direction générale des collectivités locales (DGCL).

De quoi s'agit-il ?

Lorsqu'une collectivité territoriale doit transmettre des actes à la préfecture pour en faire valider la légalité, il faut sécuriser les protocoles de façon à assurer l'authentification des intervenants et la sécurité des échanges. Ce protocole préconisé par le ministère de l'intérieur se nomme ACTES.
Un autre protocole, nommé HELIOS, sera bientôt utilisé par le ministère des finances. D'autres protocoles adaptés aux métiers (Etat-Civil, Urbanisme, etc.) sont en cours d'élaboration.

S²LOW (Service Sécurisé Libre inter-Opérable pour la Vérification et la Validation) est un tiers de télétransmission multiprotocoles. Associé au parapheur électronique, S²LOW est une pièce majeure de l'architecture que met en place Adullact pour permettre la dématérialisation des actes.

Ces logiciels sont fournis sous licence libre (CeCILL v.2) compatible GPL.

Le cryptologue allemand Jean-Pierre Seifert (universités d'Haïfa et d'Innsbruck) aurait rendu possible l'exécution d'attaques basées sur la menace de type '"analyse de prédiction de branche" (BPA).

Dans une note confidentielle, le chercheur met en avant qu'il a réussi à récupérer une clé de chiffrement de 512 bits en quelques millisecondes.

Il s'agit d'un véritable bouleversement dans le milieu de la cryptographie. En effet la parade habituelle consiste à allonger la longueur de la clé de chiffrement. La technique découverte par Jean-Pierre Seifert consiste à analyser le comportement du processeur lui-même afin de déduire statistiquement la clé de chiffrement.

La seule parade pour l'instant consisterait à désactiver le processus de prédiction du processeur mais selon le chercheur "Une telle mesure ralentirait par quatre le microprocesseur (...)".

Les résultats des travaux de Jean-Pierre Seifert sont attendus lors de la prochaine conférence RSA, début 2007

NdM : Cette attaque implique la présence d'un logiciel espion sur la machine effectuant les opérations cryptographiques et dans ce cas il existe souvent d'autres moyens pour obtenir la clé.
De plus, cette attaque ne marchera pas si les opérations cryptographiques sont effectuées sur un matériel distinct du processeur, par exemple un token cryptographique. L'impact est donc surtout pour le grand public et en particulier les échanges sur internet sécurisés par SSL.

pyctd est un serveur XML-RPC permettant l'interrogation et la modification du suivi de connexions de Netfilter.

Il permet d'exporter les fonctions de :

• liste des connexions (avec indication de débit)
  
• destruction de connexions
  
• modification de la marque ou du timeout d'une connexion

Une interface écrite en PHP est d'ors et déjà disponible. Elle permet un affichage et des modifications faciles. L'affichage peut de plus être enrichi avec les informations relatives à l'utilisateur si NuFW est installé sur le pare-feu.

L'ensemble de ces outils est distribué sous licence GPL par INL.

Le Symposium sur la Sécurité des Technologies de l'Information et des Communications est une conférence francophone traitant de la sécurité de l'information. Ce thème comprend à la fois les vecteurs d'information (comme les systèmes informatiques ou les réseaux) et l'information elle-même (cryptographie ou guerre de l'information).

La cinquième édition se déroulera à Rennes du 30 mai au 1er Juin 2007.

Nous avons publié l'appel à contribution et comme les années précédentes, toutes les soumissions seront examinées avec intérêt, qu'elles soient techniques, académiques, juridiques, organisationnelles, etc.

La compagnie NTT (Nippon Telegraph and Telephone Corporation) vient de faire une importante contribution aux logiciels libres en publiant l'algorithme de chiffrement Camellia sous plusieurs licences libres (BSD, GPL, MPL, OpenSSL License pour l'implémentation en C et BSD, GPL pour l'implémentation en Java).

Le projet européen NESSIE avait comme objectif d'établir de nouvelles primitives cryptographiques et avait sélectionné deux algorithmes pour le chiffrement symétrique par bloc de 128 bits : AES (Rijndael) et Camellia.

NTT permet ainsi d'ajouter l'algorithme Camellia à différents projets libres : OpenSSL, Kernel Linux, Ipsec, GnuPG.
Il faut noter que le patch à GnuPG n'a que peu de chances d'être inclus dans la branche officielle car Camellia n'est pas l'un des standards de communication de PGP. En revanche, l'équipe de NTT est en train de le porter dans libgcrypt.

Il est à souhaiter que les autres algorithmes sélectionnés par le projet NESSIE puissent être également portés dans différents projets libres et intégrés dans les versions stables.

Cet article a été écrit grâce au concours de Régis Couraud

Depuis quelques jours maintenant, le module de sécurité pour Apache (ModSecurity 2.0.1) est disponible au téléchargement. Pour être plus précis, la version 2.0.0 est disponible depuis le 16 octobre, mais de petites corrections ont été faite depuis, d'où la version 2.0.1 depuis le 17.

Ce module permet d'augmenter le niveau de sécurité d'un serveur web Apache ou d'autres serveurs si on l'utilise avec Apache en mode proxy. Modsecurity agit comme un parefeu applicatif embarqué dans Apache. Il permet ainsi de protéger des applications web contre des attaques classiques (injection SQL, Cross Site Scripting, ...)

La version 2.0 de ModSecurity est composée de trois projets :

- ModSecurity for Apache ;
- ModSecurity Core Rules ;
- ModSecurity Console.

Le premier est le moteur, c'est-à-dire le module Apache. Le second est un ensemble de règle de filtrage (un peu comme les règles pour Snort) et le troisième une console permettant de surveiller le filtrage effectué.

Décidément, OpenSSH devient de plus en plus indispensable. Pour ceux qui ne connaissent pas encore, OpenSSH implémente un système client-serveur permettant l'accès à distance à une machine, ceci de manière sécurisé et normalisé (protocole SSH). OpenSSH est une suite logicielle libre sous licence BSD.

La version 4.3 nous avait offert le support intégré d'un tunnel VPN (Virtual Private Network) à l'aide de la primitive "PermitTunnel" à mettre dans la configuration du serveur.

La nouvelle version 4.4 sortie le 27 septembre 2006 ajoute au serveur sshd une couche de configuration conditionnelle grâce à la primitive "Match". Un des avantages est que l'on peut maintenant faire des réglages, comme la redirection du flux X-Window, en fonction de l'utilisateur et de la machine cliente. Cette fonctionnalité permet finalement d'affiner les réglages possibles, donc de n'autoriser que ce qui est nécessaire aux utilisateurs et par la même, améliorer encore la sécurité du système d'information.

D'autres ajout, a priori moins important, ont été faits, notamment au niveau des sous-systèmes du serveur (SubSystem). Cette dernière amélioration devrait permettre d'avoir dans le futur des sous-systèmes comme sftp plus souple.

Vous pouvez soutenir le développement du projet OpenSSH en faisant un don ou en achetant des tshirts et des posters.

Après de trop longs mois de mise au point, IPCop 1.4.11 est enfin sorti.

IPCop est une distribution Linux orientée sécurité et réseau. Cette distribution était à l'origine un "fork" de la propriétarisante Smoothwall. Administrable comme son aînée via une interface web, IPCop fait office de pare-feu et de routeur permettant de gérer plusieurs "zones" : un intranet (zone verte), l'accès internet (zone rouge), une DMZ (zone orange) et des accès Wifi (zone bleue). Elle propose un certain nombre de services, comme le support des VPN , des serveurs DHCP, DNS et mandataire (proxy), une QdS, etc. Le tout est disponible sous licence GPL.

Au menu de cette nouvelle version, des mises à jour de sécurité, des corrections, des mises à jour logicielles, une amélioration du mécanisme de sauvegarde et le support des périphériques USB pour le démarrage de l'installation, la sauvegarde et la restauration de la configuration.

La mise à jour peut se faire en ligne en récupérant le fichier adéquat. Pour plus de détails, voir le texte complet de l'annonce

Les liaisons WiFi sont fréquemment protégées par un algorithme de chiffrement, le WEP. Il utilise une technique de chiffrement faible, mais il apparaît aujourd'hui nettement insuffisant : une équipe de chercheurs a réussi à casser des clefs en quelques secondes (là où plusieurs minutes étaient nécessaires auparavant). L'algorithme est disponible, avec le code utilisé pour la démonstration.
En parcourant l'archive des sources (aircrack.c dans l'archive), il semblerait que cet exploit soit un dérivé d'aircrack utilisant une autre méthode attaque. Il s'appuie sur la fragmentation des paquets et l'utilisation des en-têtes LLC/SNAP.

L'exploit ne tourne pour le moment que sur une machine FreeBSD munie d'une carte atheros et d'une carte prism2, mais le code source étant disponible, ces limitations logicielles et matérielles risquent de sauter.

Le WEP est donc devenu définitivement inutile après près de 7 années de service, dont 3 alors qu'existait une alternative garantissant un meilleur chiffrement, le WPA.

Sujet d'actualité il y a quelque temps sur linuxfr, TCPA ( https://www.trustedcomputinggroup.org/about/ ) est aujourd'hui assez peu présent dans les sujets de discussion abordés sur ce site, et même ailleurs. Cela n'empêche pas cette initiative de se développer, voire de croître d'une manière surprenante si l'on regarde les modèles d'ordinateurs équipés de puces TPM commercialisés dernièrement par les constructeurs.

M'intéressant aux machines sorties récemment, j'ai parcouru les sites de différents constructeurs afin de voir quels sont les modèles disposant de telles puces, pour voir l'ampleur de la diffusion de cette technologie. Je me suis uniquement dirigé vers les ordinateurs portables, qui représentent pour moi aujourd'hui le marché le plus large et intéressant. Cela m'a permis de me rendre compte que c'est surtout avec la nouvelle plateforme Core Duo d'Intel que ces puces se mettent à envahir les étals virtuels des marchands.

[Cet article est issu du journal de benoar.]

Wapiti est un logiciel libre développé en Python qui va se charger d'auditer la sécurité d'une application web en testant différentes attaques comme l'aurait fait un pirate. Ce logiciel libre est capable de détecter différentes failles de sécurité, par exemple : les injections SQL, les inclusions de fichiers locaux ou distants et les failles XSS.

Pour fonctionner, le logiciel extrait les liens et formulaires à attaquer. Pour chaque script acceptant des paramètres, il va appeler le script en question en testant chaque paramètre les uns après les autres. Toute la force de Wapiti se trouve dans le fait qu'il utilise les paramètres existants pour réaliser ses attaques. En utilisant un code Javascript inoffensif contenant l'url et le champ vulnérables encodés en hexadécimal et un système d'expressions régulières il est capable de retrouver quel script se cache derrière cette faille. Wapiti scanne l'arborescence une première fois pour récupérer les urls des scripts attaquables. Ensuite il va 'fuzzer' les paramètres et voir quelles failles sont présentes. Il re-scanne alors les pages pour voir s'il n'y a pas des XSS permanents.

Wapiti a été notamment utilisé par l'auteur pour traquer les failles de sécurité XSS dans un logiciel libre en PHP/MySQL, ce qui a permis d'identifier puis de corriger quelques failles de sécurité.

Le Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC) qui s'est déroulé début Juin à Rennes fût cette année encore un succès avec près de 400 participants.

Nous sommes heureux d'annoncer la mise en ligne des actes de cette édition ainsi que de différents comptes-rendus.

Les sujets présentés sont variés : virus sous OpenOffice.org, fonctionnalités de ptrace, étude de Skype, sécurité ADSL, contournement d'IDS, outil de détection de tunnels, contournement de securelevel, faiblesses d'IPv6 et d'IPsec, RFID, RPC et BitLocker, etc.

Si vous suivez un peu l'actualité de la sécurité informatique, vous vous souvenez probablement de SubVirt, un prototype de rootkit utilisant des machines virtuelles logicielles (permettant de faire tourner par-dessus plusieurs SE simultanément) pour prendre le contrôle de l'ordinateur. Sachez qu'on a réussi pire.

Une chercheuse en sécurité informatique, Joanna Rutkowska, étudie un autre prototype, le sien : Blue Pill (en référence à la pilule bleue dans Matrix qui permet de ne plus se souvenir de rien et d'être de nouveau dans la réalité factice quoique plus vraisemblable que la réalité). Ce prototype-là peut être installé à la volée. Du coup, pas de redémarrage nécessaire, partant, pas de changement à faire dans le bootloader ou autre partie du disque dur, cette activité pouvant toujours être surveillée par un logiciel spécialisé contre les malwares.

Blue Pill a été testé sur la technologie Pacifica de virtualisation matérielle d'AMD. Faute de temps aucun test n'a encore été effectué sur la technologie concurrente Intel VT. Mais Joanna pense que Blue Pill fonctionnera très probablement aussi avec cette technologie. Elle pense qu'il est possible de contrer des rootkits basés sur Blue Pill. Grâce à ses prochaines démonstrations sur SyScan et Black Hat. On y trouvera sûrement, on l'espère, la parade.

Joanna Rutkowska s'est notamment illustrée avec Red Pill ou klister, des logiciels de détection de rootkits plus classiques. Ses recherches sont actuellement financées par COSEINC Research…

Si vous avez, comme moi, tendance à oublier les mots de passe (ou à perdre le post-it ;)) des sites que vous administrez ; si vous avez, comme moi, la flemme d'ouvrir PMS (ou autre) pour copier-coller l'adresse IP et le mot de passe d'un site ; enfin si votre entreprise a des contraintes et une politique de sécurité incompatibles avec un éventuel turn-over de ses employés, alors sshproxy est fait pour vous ou votre entreprise.

SSHproxy, c'est une passerelle pour se connecter simplement à des sites distants sans avoir besoin de connaître le mot de passe ou de jongler avec un millier de clefs.

C'est un proxy, écrit en python et connecté à une base MySQL, dans laquelle seront stockées toutes les informations d'authentification des site distants. La partie serveur du proxy accepte des connexions en ssh et, selon ce que l'utilisateur veut faire, établit des connexions avec les sites distants ou transfère des fichiers vers ceux-ci.

Vulture est un proxy inverse basé sur Apache permettant de protéger des applications web.

Les performances sont garanties par l'utilisation de mod_proxy alors que la flexibilité de mod_perl est utilisée uniquement lors des phases d'authentification. mod_security permet quant à lui de sélectionner des filtres prédéfinis.

En activant l'authentification sur Vulture cela permet de n'ouvrir les flux vers l'application qu'aux utilisateurs authentifiés. Si plusieurs applications utilisent la même authentification, l'utilisateur n'aura qu'à s'authentifier une seule fois (SSO). De plus Vulture permet de transférer des informations de login sur l'application en gérant un trousseau de profils applicatifs par utilisateur.

Les méthodes d'authentifications supportées sont LDAP, SQL, Radius ou authentification par certificat client.

Déjà empaqueté pour Gentoo et en RPM cette nouvelle version est maintenant disponible en .deb. Une interface d'administration est également disponible.

Depuis une dizaine d'années les législations française et internationale accumulent des lois mettant les internautes et les fournisseurs de services internet - accès, hébergement de sites, messagerie, etc. - dans une situation de surveillance et d'obligation de surveillance sans cesse croissantes.

Cette avalanche d'atteintes à notre vie privée et à notre liberté de communiquer sur Internet aboutit à une situation que peu toléreraient pour le reste de notre vie hors-ligne.

Cela fait penser à certains que ces lois sur le monde numérique ont plus été créées parce qu'"on peut le faire" que parce qu'"on doit le faire" et qu'elles sont pour beaucoup inutiles et dangereuses.

Tor est un logiciel libre d'anonymat pour internet reposant sur une technique de routage en oignon. Le trafic entrant et sortant de votre machine circule chiffré le long d'une route composée de relais Tor choisis aléatoirement parmi les 600 serveurs Tor bénévoles composant actuellement le réseau Tor. Ce fonctionnement permet d'obtenir un anonymat solide sur internet.

L'atelier Anonymat / Tor se compose de deux parties :

• Problématique de l'anonymat sur Internet et fonctionnement du réseau Tor.
• Atelier installation d'un client et configuration d'un serveur Tor.

Il aura lieu le 1er Juillet 2006 de 14h à 16h++, au hacklab pRiNT! de l'Espace autogéré des Tanneries, 17 bvd de Chicago à Dijon.

NuFW 2.0 est officiellement disponible depuis peu. Cette nouvelle version du pare-feu authentifiant est le résultat de près d'un an de développement.

Les améliorations par rapport à la précédente branche stable (1.0) sont donc nombreuses :

• Gestion de vraies règles d'accès horaires
  
• Plus d'interactivité avec l'utilisateur final (rejet ICMP par exemple)
  
• Module PAM pour une transparence complète sous GNU/Linux
  
• Utilisation des toutes dernières fonctionnalités de Netfilter

Les lecteurs de Linux Magazine pourront d'ailleurs trouver dans le numéro de Juin un article consacré à NuFW.

Le « Challenge-SecuriTech » est un concours de sécurité informatique en ligne, gratuit et ouvert à tous, organisé par le mastère « Sécurité de l'information et des systèmes » de l'ESIEA. Sa quatrième édition commencera le samedi 29 avril 2006.

À partir du samedi 29 avril 2006 à 00h00, plus de 15 épreuves de sécurité vous seront proposées. Vous aurez alors trois semaines pour les résoudre. Elles couvriront de nombreux aspects de la sécurité tels que les failles web et applicatives, l'analyse réseau, la rétro-ingénierie, la cryptanalyse, la stéganographie, l'analyse forensique, etc... Chaque épreuve résolue vous apportera un certain nombre de points, permettant d'effectuer un classement. De nombreux lots récompenseront les meilleurs.

Cette édition sera marquée par plusieurs nouveautés : un site web entièrement refait pour mieux répondre à vos attentes, des challenges plus variés et un concept différent. Vous pourrez trouver plus d'informations sur le site du challenge.

Les inscriptions sont d'ores et déjà ouvertes sur le site du challenge. Venez tester, améliorer et comparer vos connaissances en sécurité avec plusieurs milliers d'autres participants !

La branche 1.0 de Nuface, l'interface web de gestion de pare-feu, est à présent disponible.
Nuface utilise une modélisation XML de haut niveau pour représenter les objets réseaux, les utilisateurs, les protocoles... et permet d'agglomérer ces objets en ACLs.
Cette modélisation permet à Nuface d'être extensible au delà de Netfilter ou NuFW (pare-feu qui "voit" les utilisateurs).
Les nouveautés de la branche 1.0 sur 0.9 sont :

• Support du NAT ajouté
  
• Nuface gère à présent les règles concernant le pare-feu lui-même, pas seulement pour les paquets qui traversent le pare-feu.
  
• Amélioration de l'ergonomie de l'interface
  
• Anti-spoofing intégré