Le 29 janvier 2003, le groupe de travail Article 29 représentant les autorités de l'UE chargées de la protection des données, a publié un document sur les systèmes d'authentification en ligne.

Au regard de la directive 95/46 CE portant sur le traitement des données personnelles, ce document présente les observations du groupe de travail sur le système .NET Passport et sur le projet Liberty Alliance ainsi que les lignes directrices générales pour tout système d'authentification en ligne présent ou futur.

Le rapport contient un tableau comparé des possibilités offertes à l'utilisateur en matière de protection de données personnelles par les technologies suivantes : Mozilla Password Manager, authentification par proxy, Microsoft Passport, Liberty Alliance.

L'auteur de ce superbe outil de firewall qu'est Shorewall a mis en ligne mes traductions des 3 guides d'installations.
Le premier couvre l'installation et la configuration de Shorewall sur un PC seul.
Le deuxième concerne la mise en place et la configuration pour un serveur/routeur.
Et le troisième se consacre à la configuration d'un serveur/routeur possédant aussi une DMZ.

Je souhaite que vous trouviez ces guides utiles :)

Le site O'ReillyNet propose un article d'introduction à Systrace.

Systrace est un outil développé par Niels Provos (développeur d'OpenSSH entre autres) présent sur OpenBSD et NetBSD permettant de renforcer la sécurité de son système. Pour chaque programme exécuté sur une machine, Systrace permet de définir un ensemble d'appels système (system call) que le logiciel a le droit ou non d'éxecuter : ouverture/écriture de fichiers, ouverture, lecture/écriture d'une socket TCP/IP, allocation de mémoire...

Pour un programme donné, on peut définir une politique de sécurité avec Systrace lors de sa première exécution ou alors récupérer sur le Net une signature déjà rédigée.

Dans le cas d'un programme bogué et utilisé pour commettre un "hack", si Systrace est utilisé et correctement configuré pour ce logiciel, il permet d'empêcher une utilisation malicieuse (piping d'un shell sur un serveur Wu-FTP lors d'un buffer-overflow distant par exemple).

L'équipe de LinuxFrench a interviewé HSC, société experte dans la sécu (dont les news sont dispo sur tootella), et le moins que l'on puisse dire c'est que les questions posées ainsi que les réponses données sont vraiment intéressantes et apportent un éclairage sur les besoins en matière de sécurité sous *nix en général.

L'ouverture d'un fichier texte sous VIM peut déclencher l'exécution d'un code malicieux. Cet exploit posté mardi dernier sur neworder et mis en forme pour réaliser un ver, peut être évité en ajoutant la ligne "set modelines=0" dans votre .vimrc.

Note du modérateur : comme d'hab, mettre à jour avec les nouveaux paquets fournis par l'équipe sécurité de votre distribution. J'ai rajouté les liens vers les 4 dernières références.

TCPA et Palladium, deux technologies en cours de réalisation par les géants de l'informatique vont vous obliger à migrer vers des solutions non GPL.

En effet, selon Ross Anderson, de l'Université de Cambridge, deux entreprises au moins ont déjà commencé à travailler sur une version TCPA de GNU/Linux.

Le CERTA (Centre d'Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques) a publié fin novembre dernier une note d'information relative à une attaque perpétrée sur un serveur. Cela va de la découverte d'indices d'attaque jusqu'à l'analyse et l'explication du déroulement de l'attaque. Intéressant à lire.

Vendredi 3 janvier est sorti le numéro 5 de MISC, magazine sur la sécurité informatique, avec comme thème principal les virus.
Sommaire complet dans la suite de l'article

Note du modérateur : voir aussi la page avec les anciens articles en ligne

Au menu, d'excellents articles sur le 'arithmetic overflow', que vous *devez*
connaître si vous voulez vous prétendre un programmeur un tant soit peu sérieux.

Je vous mets en lien quelques bugs courants qu'on a tous fait un jour et que vous ne devez plus jamais faire après lecture de ces excellents articles.

Après Smoothwall voici son "fork libre" qui sort sa nouvelle version.

Pour rappel, IPCop est une distribution linux spécialisée qui transforme un simple PC en firewall totalement configurable.

Tous à vos graveurs, les images iso sont disponibles.

Mitnick a été libéré en janvier 2000. Il ne pouvait cependant utiliser des ordinateurs, des logiciels, des modems ou tout autre moyen de se connecter à Internet sans l'autorisation du gouvernement avant janvier 2003.

M. Mitnick a été autorisé à utiliser un téléphone mobile depuis deux ans et a obtenu la permission cette année d'utiliser un ordinateur non connecté à Internet pour taper un manuscrit.

L'adoption de l'EUCD était prévue le dimanche 22 au soir. Seuls la Grèce et le Danemark ont signé, pour intégrer l'EUCD dans leur législation locale. Pour les autres pays, tout est encore possible, mais pour combien de temps ?

S'il vous est comme moi, un jour, arrivé d'avoir besoin de laisser des utilisateurs déposer des fichiers sur une machine sans avoir autre chose que Ssh (scp et sftp). Vous vous êtes surement aussi demandé, si ces utilisateurs étaient sérieux et s'ils n'allaient pas se logguer directement (via ssh).

Pour faire bref, si vous souhaitez que vos utilisateurs ne puissent faire que du scp et du sftp, sans pouvoir se logguer (genre telnet pour ceux qui ne suivent pas). Je ne saurais trop que vous conseiller scponly.

Rebelote...
Selon le CERT et d'après un rapport de Rapid7, de nombreuses version de logiciels SSH possède une faille permettant de lancer des commandes de l'extérieur avec les privilèges de l'utilisateur du processus SSH ou de permettre des attaques par saturation (DOS).

Big brother is watching you !

Le Pentagone a reconnu mettre en place une gigantesque base de données. Celle-ci va recueillir toute transaction jugée « inhabituelle » dans le but de détecter des comportements de terroristes : achat de billet aller simple,...

Elle enregistrera les transactions financières, les achats...

Même si un moteur de recherche produit à peu près le même effet, vous pouvez avec kartoo obtenir une représentation visuelle de votre recherche. On voit ainsi se former des "nébuleuses". Essayez de taper votre nom/pseudo ou votre adresse e-mail pour voir...
Surement plus grave encore, en tapant le nom de plusieurs personnes, vous pouvez voir visuellement les liens eventuels qui les lient.

Réel progrès dans la recherche sur l'Internet ou danger pour votre vie privée ?

L'éditeur d'E-smith vient tout juste de sortir une nouvelle version de sa distribution sécurisée sous la référence E-Smith SME server 5.6. Au programme des améliorations : un noyau 2.4, le système de fichiers Ext3, une nouvelle version de FreeS/WAN ... Faisant preuve de changements conséquents, cette nouvelle version peut être la bonne occasion pour la tester ou la mettre à jour.

Je rappelle que quelques problèmes de sécurité étant apparus récemment sur les kernels (2.2, 2.4 et 2.5 sont sensibles à un DoS), sur KDE (2.x et 3.x) et Samba (2.2.2 à 2.2.6), certains patches (rustines?) et mises à jours sont disponibles.

Un LUG de Houston a découvert la présence d'un Cheval de Troie dans les dernières sources de la libpcap et de tcpdump disponibles sur le site de tcpdump.
Il semblerait que certains miroirs soient deja infectés.

Suite aux attaques régulières des industriels, depuis deux ans, sur le front du droit à la copie privée et du "fair use", de plus en plus d'experts et de personnalités prennent position contre les mesures délirantes (telles Palladium et TCPA) préconisées dans le but de "faire respecter les droits d'auteur" sur supports numériques (politique résumée sous l'abréviation DRM - Digital Rights Management).

Ainsi, John Halderman, de l'Université de Princeton, a examiné trois systèmes anticopie intégrables aux CD audio. Leur principe est simpliste : empêcher toute lecture depuis un lecteur évolué, i.e. capable d'accéder à toutes les tables d'allocation du disque (lecteurs de CD-ROM, etc.). Non seulement les mises à jour logicielles et matérielles rendront très vite ces technologies obsolètes, mais l'idée même d'une protection empêchant la lecture sur autre chose qu'un bête lecteur de salon est vouée à l'échec. Le chercheur propose l'alternative la plus intelligente et raisonnable qui soit : baisser le prix des CDs.

Petercam est la plus importante société de bourse indépendante en Belgique. Aussi implantée en Hollande, au Luxembourg, en Suisse et en Irlande.

Après avoir testé plusieurs solutions de PKI OpenSources et commerciales, Petercam a choisi NewPKI, "pour des raisons de respect des conditions OpenSource, pour la facilité de portage, pour sa souplesse d'utilisation et pour le support fourni".

La société mi2g spécialisée dans la gestion de risque va publier une étude classant les attaques recensées dans les dix premiers mois de l'année selon le système d'exploitation (OS) sur lequel elles ont été observées.
Une comparaison du nombre de failles relevées sur chaque système d'exploitation par rapport au niveau d'utilisation de ces systèmes dans le monde montre que Linux est affecté par un grand nombre de failles par rapport à sa part de marché.

Note du modérateur : les failles comptées concernent « les systèmes d'applications, les logiciels serveurs et les applications tierces ». Une distribution GNU/Linux contient largement plus de logiciels que les autres systèmes étudiés. On ne sait pas si les failles ont été comptées pour chaque distribution ou pour chaque paquet (genre apache et apache-ssl).

MISC, le magazine de la sécurité informatique, est sorti. Un peu en retard, certes, mais avec une nouvelle PAO tout en conservant le même contenu : virus, droit (un scan de port est-il légal ?), programmation, réseau, etc.


Le dossier est consacré aux protocoles réseau, et aux problèmes liés à leur structure même. En particulier, nous étudions les cas de DHCP et de DNS. Cependant, il existe aussi des attaques plus générales : l'homme du milieu et les dénis de services.

Mon cher Paul,
Désormais il ne saurait y avoir de réconciliation entre nous. Le dernier rapport de bogues sous Linux ne me laisse aucune illusion. Tes fichiers sont là où tu les as laissés. Si tu passes en semaine, tu sais comment m'allumer, si tu viens en week-end, le mot de passe est sous le clavier. N'oublie surtout pas de me quitter en sortant.
Julien ! des trous de sécurité il y en a dans tous les ordinateurs du monde :
dans les PC Windows de la gendarmerie, sous le capot de la babasse à Torvalds,
dans tous les BSD, les MacOS et les Amiga, et même dans les stations ultra-sécurisées de la NSA !
...
Windows, windows la porte ouverte comme tu disais, installé pour les jeux comme tu disais, m'a fait voir sans passer par Linux et sans console de jeu a midi les virus,
et à minuit les disques dur en feu !
Adrien ! comment as-tu pu croire que ton système est sans bogue !? tu sais bien que c'est avec l'âge qu'on acquiert de l'expérience. Sur windows, plus âgé, c'est aux fonctionnalités qu'on reconnaît les programmeurs. La sécurité c'est une affaire de marketing. Les copains de cellule veillent sur les rapports de bogues. Victor ! ton Linux n'a pas de chargé de comm'.
Désormais il ne saurait y avoir de réconciliation entre nous et cette lettre n'a d'autre objet que de mettre fin à la partition désormais sans système qui unissait une console
toute vibrante des remous et des assauts d'un clavier et un geek toujours hésitant entre le script kiddy sur windows et l'3l33t sous Linux.
Signé: Ta station

Je sais c'est pas très réussi. C'est un pastiche (de mémoire) du poème « Réponse de la bergère au berger », de Jean-Pierre Rosnay. Je voulais attirer votre attention sur l'article « Is Linux Really More Secure Than Windows? » posté sur osopinion.com (qui fait penser à une dépêche postée il y a quelques jours). On y sort le grand pipotron. On dirait du marketing viral bien orchestré.