L'offre en logiciels libres a aujourd'hui atteint une richesse et une maturité qui ouvrent aux entreprises d'importantes opportunités, tant en termes de réduction du coût total de possession de leur SI, qu'en termes d'indépendance vis-à-vis de leurs fournisseurs.

Avec le concours d'IBM, Cetril lance un programme de journées de conférences consacrées à l'adoption de solutions Open Source dans le cadre de thématiques spécifiques.

Première journée, le mardi 22 mai : "Logiciels libres et sécurité du SI". Des spécialistes reconnus s'appuieront sur les cas concrets rencontrés dans le cadre de leur expérience professionnelle pour vous présenter les enjeux stratégiques des solutions Open source en matière de sécurité, ainsi que des produits et techniques de pointe dans ce domaine crucial :

• Nat Makarevitch (IdealX) : "Sûreté du poste client et du serveur animé par un système libre: les leçons de 12 ans d'utilisation professionnelle"
  
• Philippe Bournhonesque (IBM) : "Stratégie Opensource IBM et exemples de contribution dans le domaine de la sécurité"
  
• Vincent Deffontaines (INL) : "NuFw – le pare-feu authentifiant"
  
• Louis Nyffenegger (HSC consultants) : "Détection de machines Linux compromises"

Chaque intervention sera ponctuée d'une séance d'échange au cours de laquelle le public sera invité à poser ses questions. Les meilleures questions se verront récompensées par des ouvrages offerts par les Éditions Eyrolles, partenaire de cette journée.

Internet offre à chacun le meilleur comme le pire et les enfants sont trop souvent concernés par le pire. La protection des enfants se fait essentiellement par le filtrage des URL et par la détection des informations sensibles que sont l'identité et l'adresse que les enfants peuvent donner en toute innocence à des prédateurs, le plus souvent des pédophiles.

Logprotect est un logiciel qui permet de lutter très efficacement contre la divulgation du nom et de l'adresse à des inconnus. Une version Windows existe depuis près de trois ans et est maintenant tout à fait opérationnelle. La version Linux existe aussi, mais bien que parfaitement utilisable, elle est toujours en cours de validation. Le développeur de la version Linux a besoin de testeurs, ayant si possible une bonne connaissance Linux et/ou Python pour valider son code ainsi que de contributeurs pour réaliser la documentation ainsi que le packaging pour les différentes distributions.

Pour la protection sur les URL, les principaux fournisseurs d'accès à Internet proposent des logiciels de protection des enfants ou contrôle parental, mais ceux-ci ne sont prévus que pour Windows. Pour Linux, il faut utiliser squid et les listes noires ou blanches, ce qui est quand même une solution assez lourde.

Logprotect est donc une protection simple, utile et efficace en complément de la surveillance active des parents.

Cette information, parue au Journal officiel de la République française n°41 du 17 février 2007, est passée presque inaperçue, même pour la plupart des administrations. Elle est pourtant essentielle, Il s'agit du fondement du RGS (Référentiel Général de Sécurité).

Une autorité de certification a pour but de s'assurer de l'identité du correspondant. Il s'agit d'un "tiers de confiance" qui assure à chacun que son correspondant est bien celui qu'il prétend être.

Avec cette autorité racine, l'administration n'a plus besoin de faire appel à des organismes privés tels que Thawte, Certinomis, Baltimore, Certplus, Entrust.net, Verisign, GlobalSign, Certificate Center, Cybertrust... On trouvera dans le lien securite.teamlog cette liste non exhaustive des principaux organismes reconnus nativement par les navigateurs. Il faudra donc que tous les navigateurs reconnaissent maintenant ce nouvel organisme de certification de façon à éviter la mésaventure de l'ASSEDIC.

En plus de la sécurité et de l'indépendance, c'est une économie non négligeable pour l'administration française. Il s'agit d'une démarche cohérente avec le RGI dont nous attendons avec impatience les arrêtés d'applications.

Le SSTIC est une conférence francophone traitant de la sécurité de l'information. Ce thème comprend à la fois les vecteurs d'information (comme les systèmes informatiques ou les réseaux) et l'information elle-même (cryptographie ou guerre de l'information). Le symposium se déroulera à Rennes du 30 mai au 1er Juin 2007.

Le programme de cette cinquième édition est en ligne et les inscriptions sont ouvertes.

Cette année le programme est comme à son habitude très varié et très dense: rootkits et exploitation en mode noyau sous Linux, fuzzing WiFi, sécurité d'OpenDocument (OpenOffice.org), la cryptographie dans la pratique (vote électronique, protection de documents, etc), et bien sûr du réseau, de l'assembleur, de l'analyse hardware, etc.

Network Security Toolkit (NST) est un LiveCD sorti en version 1.5.0 mi février. Ce LiveCD, basé sur une Fedora Core (FC) 5, a pour but de fournir un accès simple à des applications de sécurité réseaux libres. Il devrait fonctionner sur la plupart des plates-formes x86.
Le site insecure.org avait publié en 2006 une liste de 100 outils plébiscités par les chercheurs en sécurité informatique participant à une mailing-liste de nmap. La plupart de ces outils sont présents sur la distribution NST.

NST fournie un certain nombre de fonctionnalités via une interface Web. Parmi les améliorations de celle-ci, on notera notamment :

• Plus de possibilités pour la surveillance du trafic réseau ;
  
• Possibilité de configurer et surveiller des imprimantes (NST peut se transformer en un serveur d'impression) ;
  
• Possibilité de monter facilement plusieurs types de systèmes de fichiers ;
  
• Possibilité d'uploader des fichiers sur le système NST.

Par ailleurs, avec cette version, la base de NST est passée de FC4 à FC5. On remarquera également l'intégration des paquets Inprotect (pour Nessus) et Zabbix (similaire à Nagios).

Pour terminer, signalons que ce week-end un wiki a été ouvert pour permettre aux utilisateurs de partager leur expérience ou de dispenser de précieux conseils.

La branche 1.2 de Nuface, l'interface web de gestion de pare-feu, est désormais stable. Écrit pour NuFW, mais utilisable sur un pare-feu "standard" Netfilter, Nuface utilise une modélisation XML de haut niveau pour représenter les objets réseaux, les utilisateurs, les protocoles... et permet d'agglomérer ces objets en ACL.

Les nouveautés et innovations de la branche 1.2 sont :

• Support du filtrage de contenu, avec gestion de règles Layer7
  
• Enrichissement du modèle de données, et gestion affinée de l'ordre des ACL, en tenant compte de la topologie du réseau
  
• Nombreuses améliorations de l'ergonomie de l'interface
  
• Génération de règles au format iptables-restore pour de meilleures performances au chargement.

Le projet One Laptop Per Child (OLPC) se propose de construire des ordinateurs portables (utilisant Linux) d'un coût de 100 dollars afin que les enfants scolarisés des pays moins riches puissent profiter de la révolution informatique.

Ce projet est innovant sur plusieurs points, les principaux étant son écran transmissif et réflectif original, son absence totale de pièces mobiles (disque dur flash), ses fonctions wifi avec possibilité de créer un noeud-relais et son rechargement par câble à tirer du type "tondeuse à gazon".

Un problème restait néanmoins à résoudre : comment sera conçu le modèle de sécurité du portable ?

Cette question est critique car l'ordinateur sera sans doute vendu à des dizaines de millions d'exemplaires, sera relié au réseau internet et sera utilisé par des jeunes enfants incapables de gérer une politique de sécurité. Le risque d'une infection massive et d'une transformation en un réseau géant de machine zombies est réel.

La réponse est Bitfrost, un nouveau modèle de sécurité pour les ordinateurs.

OCS Inventory est une solution d'inventaire de parc informatique, libre et multiplateforme. Il permet de centraliser les informations concernant les postes clients, tout en optimisant la bande passante du réseau. Possédant une interface de gestion très ergonomique, cette solution d'inventaire de parc informatique est un must et a été récompensée aux trophée du Libre 2006.

OCS Inventory forme un couple complet avec GLPI pour l'administrateur et le gestionnaire qui veut suivre son parc informatique.

Après la découverte par l'équipe de Wang de collisions dans SHA-1, une des fonctions de hachage standard, c'est un peu le nouveau buzz du moment dans le petit monde de la cryptographie. On suspecte SHA-2 de plus n'être plus aussi sécurisé qu'on a pu le croire et on se demande si on a vraiment une idée pour construire un algorithme de hachage suffisamment solide.

Après quelques workshops préliminaires, le NIST (l'organisme de normalisation des standards et de la technologie aux USA) a donc décidé d'empoigner le taureau par les cornes et a annoncé le 23 janvier 2007 l'ouverture d'un processus de développement de nouveaux algorithmes de hashage standard.
Comme pour AES, la communauté cryptographique est donc invitée à proposer des algorithmes et parmi eux un ou plusieurs seront sélectionnés à l'issue du processus. Les digests de ces fonctions doivent supporter les tailles de 256, 384 et 512 bits (comme SHA-2 donc).

Si tout se passe bien le gagnant devrait être connu à la fin 2011.

PS : A noter qu'une autre primitive de hachage solide existe déjà : la fonction de hachage Whirlpool est sortie gagnante du processus de sélection européen NESSIE et est maintenant un standard ISO.

IPCop se veut une distribution firewall avec une interface conviviale fonctionnant sous Linux pour protéger vos réseaux.

Administrable comme la distribution Smoothwall dont elle est issue via une interface web, IPCop fait office de pare-feu et de routeur permettant de gérer plusieurs "zones" : un intranet (zone verte), l'accès internet (zone rouge), une DMZ (zone orange) et des accès Wifi (zone bleue). Elle propose un certain nombre de services, comme le support des VPN, des serveurs DHCP, DNS et mandataire (proxy), une QdS, etc. Le tout est disponible sous licence GPL.

Les besoins en matériels peuvent être très réduits et augmentent avec le nombre de services utilisés. Cette version met à jour des paquets pour des questions de sécurité, corrige des bugs et met à jour quelques pilotes (ADSL et gigabits) et le noyau Linux (pour plus de détails, voir le texte de l'annonce).

Cryptonit, logiciel opensource publié par IDEALX, peut à présent employer le certificat de la carte d'identité belge. Connecter à l'ordinateur un lecteur de carte à puce suffit à signer (sceller) tout type de document, grâce à votre identité certifiée.

Cryptonit est le composant de protection et de signature électronique des documents confidentiels de l’infrastructure globale OpenTrust™. Il protège tout fichier et assure :

• Chiffrement / déchiffrement
  
• Signature / authentification de signature
  
• Génération d’auto-déchiffrables

Ce logiciel diffusé sous la GPL, publié depuis 2003, est ergonomique (des «glisser-déplacer» suffisent) et fonctionne sous Linux, Mac OS X et Microsoft Windows. Il emploie n'importe quel certificat numérique (X.509) et accède aux annuaires (LDAP).

La nouvelle version opensource du logiciel d'archivage de messagerie d'OCTANT, Open Mail Archive (OMA2), est en ligne.

La messagerie est devenue un véritable outil de production au sein des collectivités. Pour apporter la sécurité, OCTANT a développé le logiciel Open Mail Archive, qui permet l'archivage des courriels, mais aussi leur restauration avec des outils qui facilitent la tâche des administrateurs système.

La version 2, publiée en licence GNU/GPL, vient d'être mise en ligne sur le site d'OCTANT.

OMA est un système d'archivage de messagerie en PHP basé sur une architecture Postfix/Mysql/Apache/PHP. Il archive tous les flux provenant d'architectures hétérogènes basés sur le standard SMTP.

Voir la suite de l'article pour le détail des fonctionnalités

ADULLACT (Association des Développeurs et des Utilisateurs de Logiciels Libres pour les Administrations et les Collectivités Territoriales) vient de franchir un nouveau cap, son logiciel S²LOW vient d'être homologué par la direction générale des collectivités locales (DGCL).

De quoi s'agit-il ?

Lorsqu'une collectivité territoriale doit transmettre des actes à la préfecture pour en faire valider la légalité, il faut sécuriser les protocoles de façon à assurer l'authentification des intervenants et la sécurité des échanges. Ce protocole préconisé par le ministère de l'intérieur se nomme ACTES.
Un autre protocole, nommé HELIOS, sera bientôt utilisé par le ministère des finances. D'autres protocoles adaptés aux métiers (Etat-Civil, Urbanisme, etc.) sont en cours d'élaboration.

S²LOW (Service Sécurisé Libre inter-Opérable pour la Vérification et la Validation) est un tiers de télétransmission multiprotocoles. Associé au parapheur électronique, S²LOW est une pièce majeure de l'architecture que met en place Adullact pour permettre la dématérialisation des actes.

Ces logiciels sont fournis sous licence libre (CeCILL v.2) compatible GPL.

Le cryptologue allemand Jean-Pierre Seifert (universités d'Haïfa et d'Innsbruck) aurait rendu possible l'exécution d'attaques basées sur la menace de type '"analyse de prédiction de branche" (BPA).

Dans une note confidentielle, le chercheur met en avant qu'il a réussi à récupérer une clé de chiffrement de 512 bits en quelques millisecondes.

Il s'agit d'un véritable bouleversement dans le milieu de la cryptographie. En effet la parade habituelle consiste à allonger la longueur de la clé de chiffrement. La technique découverte par Jean-Pierre Seifert consiste à analyser le comportement du processeur lui-même afin de déduire statistiquement la clé de chiffrement.

La seule parade pour l'instant consisterait à désactiver le processus de prédiction du processeur mais selon le chercheur "Une telle mesure ralentirait par quatre le microprocesseur (...)".

Les résultats des travaux de Jean-Pierre Seifert sont attendus lors de la prochaine conférence RSA, début 2007

NdM : Cette attaque implique la présence d'un logiciel espion sur la machine effectuant les opérations cryptographiques et dans ce cas il existe souvent d'autres moyens pour obtenir la clé.
De plus, cette attaque ne marchera pas si les opérations cryptographiques sont effectuées sur un matériel distinct du processeur, par exemple un token cryptographique. L'impact est donc surtout pour le grand public et en particulier les échanges sur internet sécurisés par SSL.

pyctd est un serveur XML-RPC permettant l'interrogation et la modification du suivi de connexions de Netfilter.

Il permet d'exporter les fonctions de :

• liste des connexions (avec indication de débit)
  
• destruction de connexions
  
• modification de la marque ou du timeout d'une connexion

Une interface écrite en PHP est d'ors et déjà disponible. Elle permet un affichage et des modifications faciles. L'affichage peut de plus être enrichi avec les informations relatives à l'utilisateur si NuFW est installé sur le pare-feu.

L'ensemble de ces outils est distribué sous licence GPL par INL.

Le Symposium sur la Sécurité des Technologies de l'Information et des Communications est une conférence francophone traitant de la sécurité de l'information. Ce thème comprend à la fois les vecteurs d'information (comme les systèmes informatiques ou les réseaux) et l'information elle-même (cryptographie ou guerre de l'information).

La cinquième édition se déroulera à Rennes du 30 mai au 1er Juin 2007.

Nous avons publié l'appel à contribution et comme les années précédentes, toutes les soumissions seront examinées avec intérêt, qu'elles soient techniques, académiques, juridiques, organisationnelles, etc.

La compagnie NTT (Nippon Telegraph and Telephone Corporation) vient de faire une importante contribution aux logiciels libres en publiant l'algorithme de chiffrement Camellia sous plusieurs licences libres (BSD, GPL, MPL, OpenSSL License pour l'implémentation en C et BSD, GPL pour l'implémentation en Java).

Le projet européen NESSIE avait comme objectif d'établir de nouvelles primitives cryptographiques et avait sélectionné deux algorithmes pour le chiffrement symétrique par bloc de 128 bits : AES (Rijndael) et Camellia.

NTT permet ainsi d'ajouter l'algorithme Camellia à différents projets libres : OpenSSL, Kernel Linux, Ipsec, GnuPG.
Il faut noter que le patch à GnuPG n'a que peu de chances d'être inclus dans la branche officielle car Camellia n'est pas l'un des standards de communication de PGP. En revanche, l'équipe de NTT est en train de le porter dans libgcrypt.

Il est à souhaiter que les autres algorithmes sélectionnés par le projet NESSIE puissent être également portés dans différents projets libres et intégrés dans les versions stables.

Cet article a été écrit grâce au concours de Régis Couraud

Depuis quelques jours maintenant, le module de sécurité pour Apache (ModSecurity 2.0.1) est disponible au téléchargement. Pour être plus précis, la version 2.0.0 est disponible depuis le 16 octobre, mais de petites corrections ont été faite depuis, d'où la version 2.0.1 depuis le 17.

Ce module permet d'augmenter le niveau de sécurité d'un serveur web Apache ou d'autres serveurs si on l'utilise avec Apache en mode proxy. Modsecurity agit comme un parefeu applicatif embarqué dans Apache. Il permet ainsi de protéger des applications web contre des attaques classiques (injection SQL, Cross Site Scripting, ...)

La version 2.0 de ModSecurity est composée de trois projets :

- ModSecurity for Apache ;
- ModSecurity Core Rules ;
- ModSecurity Console.

Le premier est le moteur, c'est-à-dire le module Apache. Le second est un ensemble de règle de filtrage (un peu comme les règles pour Snort) et le troisième une console permettant de surveiller le filtrage effectué.

Décidément, OpenSSH devient de plus en plus indispensable. Pour ceux qui ne connaissent pas encore, OpenSSH implémente un système client-serveur permettant l'accès à distance à une machine, ceci de manière sécurisé et normalisé (protocole SSH). OpenSSH est une suite logicielle libre sous licence BSD.

La version 4.3 nous avait offert le support intégré d'un tunnel VPN (Virtual Private Network) à l'aide de la primitive "PermitTunnel" à mettre dans la configuration du serveur.

La nouvelle version 4.4 sortie le 27 septembre 2006 ajoute au serveur sshd une couche de configuration conditionnelle grâce à la primitive "Match". Un des avantages est que l'on peut maintenant faire des réglages, comme la redirection du flux X-Window, en fonction de l'utilisateur et de la machine cliente. Cette fonctionnalité permet finalement d'affiner les réglages possibles, donc de n'autoriser que ce qui est nécessaire aux utilisateurs et par la même, améliorer encore la sécurité du système d'information.

D'autres ajout, a priori moins important, ont été faits, notamment au niveau des sous-systèmes du serveur (SubSystem). Cette dernière amélioration devrait permettre d'avoir dans le futur des sous-systèmes comme sftp plus souple.

Vous pouvez soutenir le développement du projet OpenSSH en faisant un don ou en achetant des tshirts et des posters.

Après de trop longs mois de mise au point, IPCop 1.4.11 est enfin sorti.

IPCop est une distribution Linux orientée sécurité et réseau. Cette distribution était à l'origine un "fork" de la propriétarisante Smoothwall. Administrable comme son aînée via une interface web, IPCop fait office de pare-feu et de routeur permettant de gérer plusieurs "zones" : un intranet (zone verte), l'accès internet (zone rouge), une DMZ (zone orange) et des accès Wifi (zone bleue). Elle propose un certain nombre de services, comme le support des VPN , des serveurs DHCP, DNS et mandataire (proxy), une QdS, etc. Le tout est disponible sous licence GPL.

Au menu de cette nouvelle version, des mises à jour de sécurité, des corrections, des mises à jour logicielles, une amélioration du mécanisme de sauvegarde et le support des périphériques USB pour le démarrage de l'installation, la sauvegarde et la restauration de la configuration.

La mise à jour peut se faire en ligne en récupérant le fichier adéquat. Pour plus de détails, voir le texte complet de l'annonce

Les liaisons WiFi sont fréquemment protégées par un algorithme de chiffrement, le WEP. Il utilise une technique de chiffrement faible, mais il apparaît aujourd'hui nettement insuffisant : une équipe de chercheurs a réussi à casser des clefs en quelques secondes (là où plusieurs minutes étaient nécessaires auparavant). L'algorithme est disponible, avec le code utilisé pour la démonstration.
En parcourant l'archive des sources (aircrack.c dans l'archive), il semblerait que cet exploit soit un dérivé d'aircrack utilisant une autre méthode attaque. Il s'appuie sur la fragmentation des paquets et l'utilisation des en-têtes LLC/SNAP.

L'exploit ne tourne pour le moment que sur une machine FreeBSD munie d'une carte atheros et d'une carte prism2, mais le code source étant disponible, ces limitations logicielles et matérielles risquent de sauter.

Le WEP est donc devenu définitivement inutile après près de 7 années de service, dont 3 alors qu'existait une alternative garantissant un meilleur chiffrement, le WPA.

Sujet d'actualité il y a quelque temps sur linuxfr, TCPA ( https://www.trustedcomputinggroup.org/about/ ) est aujourd'hui assez peu présent dans les sujets de discussion abordés sur ce site, et même ailleurs. Cela n'empêche pas cette initiative de se développer, voire de croître d'une manière surprenante si l'on regarde les modèles d'ordinateurs équipés de puces TPM commercialisés dernièrement par les constructeurs.

M'intéressant aux machines sorties récemment, j'ai parcouru les sites de différents constructeurs afin de voir quels sont les modèles disposant de telles puces, pour voir l'ampleur de la diffusion de cette technologie. Je me suis uniquement dirigé vers les ordinateurs portables, qui représentent pour moi aujourd'hui le marché le plus large et intéressant. Cela m'a permis de me rendre compte que c'est surtout avec la nouvelle plateforme Core Duo d'Intel que ces puces se mettent à envahir les étals virtuels des marchands.

[Cet article est issu du journal de benoar.]

Wapiti est un logiciel libre développé en Python qui va se charger d'auditer la sécurité d'une application web en testant différentes attaques comme l'aurait fait un pirate. Ce logiciel libre est capable de détecter différentes failles de sécurité, par exemple : les injections SQL, les inclusions de fichiers locaux ou distants et les failles XSS.

Pour fonctionner, le logiciel extrait les liens et formulaires à attaquer. Pour chaque script acceptant des paramètres, il va appeler le script en question en testant chaque paramètre les uns après les autres. Toute la force de Wapiti se trouve dans le fait qu'il utilise les paramètres existants pour réaliser ses attaques. En utilisant un code Javascript inoffensif contenant l'url et le champ vulnérables encodés en hexadécimal et un système d'expressions régulières il est capable de retrouver quel script se cache derrière cette faille. Wapiti scanne l'arborescence une première fois pour récupérer les urls des scripts attaquables. Ensuite il va 'fuzzer' les paramètres et voir quelles failles sont présentes. Il re-scanne alors les pages pour voir s'il n'y a pas des XSS permanents.

Wapiti a été notamment utilisé par l'auteur pour traquer les failles de sécurité XSS dans un logiciel libre en PHP/MySQL, ce qui a permis d'identifier puis de corriger quelques failles de sécurité.

Le Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC) qui s'est déroulé début Juin à Rennes fût cette année encore un succès avec près de 400 participants.

Nous sommes heureux d'annoncer la mise en ligne des actes de cette édition ainsi que de différents comptes-rendus.

Les sujets présentés sont variés : virus sous OpenOffice.org, fonctionnalités de ptrace, étude de Skype, sécurité ADSL, contournement d'IDS, outil de détection de tunnels, contournement de securelevel, faiblesses d'IPv6 et d'IPsec, RFID, RPC et BitLocker, etc.

Si vous suivez un peu l'actualité de la sécurité informatique, vous vous souvenez probablement de SubVirt, un prototype de rootkit utilisant des machines virtuelles logicielles (permettant de faire tourner par-dessus plusieurs SE simultanément) pour prendre le contrôle de l'ordinateur. Sachez qu'on a réussi pire.

Une chercheuse en sécurité informatique, Joanna Rutkowska, étudie un autre prototype, le sien : Blue Pill (en référence à la pilule bleue dans Matrix qui permet de ne plus se souvenir de rien et d'être de nouveau dans la réalité factice quoique plus vraisemblable que la réalité). Ce prototype-là peut être installé à la volée. Du coup, pas de redémarrage nécessaire, partant, pas de changement à faire dans le bootloader ou autre partie du disque dur, cette activité pouvant toujours être surveillée par un logiciel spécialisé contre les malwares.

Blue Pill a été testé sur la technologie Pacifica de virtualisation matérielle d'AMD. Faute de temps aucun test n'a encore été effectué sur la technologie concurrente Intel VT. Mais Joanna pense que Blue Pill fonctionnera très probablement aussi avec cette technologie. Elle pense qu'il est possible de contrer des rootkits basés sur Blue Pill. Grâce à ses prochaines démonstrations sur SyScan et Black Hat. On y trouvera sûrement, on l'espère, la parade.

Joanna Rutkowska s'est notamment illustrée avec Red Pill ou klister, des logiciels de détection de rootkits plus classiques. Ses recherches sont actuellement financées par COSEINC Research…