Les services Keyserver sont de nouveaux opérationnels en France et aux Etats-unis.


Ces serveurs web sont gratuits et ils stockent des clés publiques PGP ( 1642656 clés enregistrées).

Il vous permet de trouver une clé lorsque vous desirez envoyer un message sécurisé à une personne (signé ou crypté) ou d'ajouter votre propre clé publique PGP pour quelle soit disponible pour les utilisateurs d'Internet.

F. Raynal (pappy) écrit « MISC, le magazine sur la sécurité informatique, est en danger. Il pourrait très bien ne plus paraître. C'est pourquoi nous faisons appel à vous. Pour résumer, si vous voulez un MISC 4, vous devez achetez MISC 3 ! »

Note du Modérateur : visiblement un mouvement de soutien est en train de se mettre en place. Il serait dommage qu'un magazine de cette qualité vienne à disparaître (ils sont trop rares dans ce domaine : la sécurité).

Suite à ses déboires avec la société NAI (décision d'arrêter son développement et sa commercialisation), le célèbre outil de cryptographie Pretty Good Privacy vient de trouver une suite à son histoire (déjà riche de rebondissements).

En effet, la société PGP a vu le jour en juin 2002 et vient d'annoncer toutes une série de bonnes nouvelles :
- la société vient d'obtenir 14 millions de $ de 2 fonds d'investissements US
- ils viennent de racheter tous les outils PGP à NAI :

* PGP Mail, PGP File, PGP Disk, & PGP Admin software products for Windows and Macintosh
* PGP Corporate Desktop for Macintosh
* PGP Keyserver for Windows and Solaris
* PGP Wireless for PalmOS and WinCE/PocketPC
* PGP SDK encryption software development kit

- la sortie de PGP 8.0 pour Windows et Mac OS X est prévue en novembre 2002 (il supportera enfin Windows XP)
- toutes les licences sont transférées de NAI à PGP
- les serveurs de clés PGP Keyservers sont réactivés et le mirroring va être mis en place avec les serveurs de clés libres
- un "board" technique est crée avec comme premiers membres Bruce Schneier (expert en sécurité et cryptographie) et Philip Zimmermann (créateur de PGP)

Pour les utilisateurs de l'open-source, les bonnes nouvelles sont à trouver dans une lettre du CTO et dans la FAQ :
- les sources de PGP vont être ouvertes au public
- PGP 8.0 aura une version Linux.

Une faille de sécurité a été découverte par la société eEye Digital Security : elle permet à un méchant d'exécuter à distance du code malicieux sur votre machine.

Comment ? En modifiant l'en-tête d'un fichier swf avec un éditeur hexa, on peut tromper le lecteur en lui envoyant plus de frames que nécessaire. A partir de là il est possible d'écraser un pointeur sur une fonction pour appeler le code malicieux stocké dans la pile. Cette vulnérabilité est exploitable tant sous Windows que sous Unix.

Macromedia a été informé, affirme avoir bouché le trou, et conseille de télécharger la version 6.0.47, disponible uniquement pour windows. Cependant en observant la date de mise à jour de cette version 6, on s'aperçoit qu'elle correspond au 6 août, la vulnérabilité ayant été divulguée le 8 août. Mais alors qu'en est-il de Linux ? Coïncidence une dépêche passée sur linuxfr même faisait état d'une nouvelle version (5.0.50) dont on ne savait rien à propos des changements qu'elle introduisait... Cette dernière étant sortie le 9 août, on peut imaginer qu'elle corrige ce problème, mais il n'y a aucune confirmation sur le site de Macromedia...

Note du modérateur : je rajoute une annonce sur freshmeat concernant cette faille. Il semblerait que la faille touche la Gentoo.

Firewall Builder consiste en un GUI orienté objet et en un ensemble de compilateurs de "polices" pour diverses plateformes de firewall.

Dans Firewall Builder, une "police" de firewall est un est un ensemble de règles; chacune consituée d'objet abstraits qui représentent les éléments du réseau réel ainsi que les services (hôtes, routeurs, firewalls, réseaux, protocoles).
Firewall Builder aide l'administrateur à maintenir une base de données d'objets et permet l'édition de "polices" par simple "drag-and-drop".
L'ensemble des objets et des préférences sont stockées au format XML.

Ce logiciel supporte des compilateurs de "police" pour les firewall libre: iptables, ipfilter et OpenBSD PF.

A découvrir pour tous ceux à qui mettre les mains dans les fichiers de config rebute :) (L'un n'empechant pas l'autre d'ailleurs)

NdR: La traduction libre de "policy" en police n'est pas des plus heureuses. Mais je n'arrive pas à trouver mieux :(

SecurityFocus nous gratifie d'un article qui lève le voile sur les techniques et la science du chiffrement.

Au menu:
- Un petit historique
- Les applications qui en sont faites
- Le fonctionnement
- Les outils
- Et une bonne dose de liens...

Idéal pour qui veut (faire) découvrir les principes de base du chiffrement et ses utilisations.

Tout le monde sait à quoi sert les nombres premiers : factoriser.
Et à quoi peut bien servir de factoriser ? A casser du chiffre (je sais ça sert pas qu'à ça, mais bon).

Or une équipe indienne annonce avoir trouver une méthode infaillible pour dire si un nombre est premier ou non. L'avantage est que les chances d'erreur sont de 0%, par contre il semble que l'algo qui en découle rende la recherche un peu plus lente. Ce qu'ils cherchent les trois gars d'la bas, c'est rendre plus rapide leur algo ... Si ça vous interresse ou que vous êtes une bête en math.... suivez les liens.

Dijkstra est mort, mais la relève est là !

Je vous conseille le document qui pourrait être compris dès la seconde ..... semaine de lecture.

N.B. : un nombre premier c'est un nombre uniquement divisible par 1 ou par lui même (ex: 1, 2, 3, 5, 7, 11, 13, 17, 19, etc...)

NdM: l'interet et la nouveauté de leur algorithme sont qu'il est en temps polynomial !

Qui l'eut cru ? La FSFE France avait déposé en mai un dossier de demande d'autorisation de fourniture en vue de l'utilisation générale et d'importation et exportation pour GnuPG 1.0.7 et la DCSSI (ex-SCSSI) vient de l'accepter ! Le dossier OpenSSL également déposé en même temps est aussi accepté :-) Et ce pour import, export, utilisation et fourniture (jusqu'en 2007).

Note du modérateur : merci à foxy pour la même info

nmap est un outil indispensable à qui veut rapidement scanner son réseau, identifier les machines présentes, leurs ports ouverts, leurs OS. C'est après un extraordinaire bon de Nmap 2.54BETA37 à 2.99RC1 pour enfin finir sur 3.0 que Fyodor a annoncé la sortie de la dernière version de nmap, par un : "Woohoo !"

La 3.0 reconnait près de 700 variantes de systèmes d'exploitation. Elle a été portée sous divers OS dont... Windows, ce qui est nouveau. Je vais pouvoir dire à mes collègues de boulot préférant le SE de Redmond qu'ils peuvent désormais utiliser nmap sous leur SE favori.

L'administrateur réseau avisé qui ne l'aurait pas encore devrait y jeter un coup d'oeil. L'essayer, c'est l'adopter.

L'équipe de développeurs de Prelude vient de sortir la version 0.8 de Prelude Hybrid IDS. Cet IDS est hybride puisqu'il combine les approches host-based et network-based, et distribué puisqu'il peut être répartis sur plusieurs machines. Prelude Hybrid IDS est stable, modulaire, et rapide.

Prelude est distribué selon les termes de la GPLv2 et est composé de:

- libprelude, elle permet de developper des sondes prelude tres rapidement.
- prelude-manager qui gere les alertes emises pas les capteurs et qui est capable de relayer les informations vers d'autres managers pour la replication et le failover
- prelude-nids, necessaire pour observer le reseau et les attaques
- prelude-lml qui permet de detecter les attaques via l'analyse de logs
- la libsafe, les dernieres versions peuvent utiliser la bibliothèque Prelude, les transformant automatiquement en sonde prelude
- prelude-php-frontend qui est un frontend assurant l'analyse de logs (avec l'appui de Mysql ou Postgre Sql) tres simplement.

A noter que Prelude a fait l'objet de conférences aux LSM 2001 et 2002, et d'un article dans MISC 3.

Il y avait un moment que je n'avais pas acheté de numéro de Login, mais je vois que ça n'a pas changé.

Je sais bien qu'on ne transforme pas un utilisateur de base en spécialiste sécurité en quelques pages de magazine, mais là c'est vraiment trop superficiel.

Deux exemples parmi d'autres :

- page 12 « Le principe de la redirection d'IP consiste à recevoir une requête sur un port x sur une carte réseau a sur le port y d'une carte reseau b. » J'ai respecté l'absence de ponctuation, qui ne facilite pas la compréhension :-)

- sur le CD, allez donc voir le fichier mlinux/sent/cur/1024404485.2842_7.gilbou:2,S ... Dans un numéro sur la sécurité on trouve un message personnel (qui parle d'envoi de 20$ dans une enveloppe !) ... Si le modérateur veut classer ça en "Humour", je suis d'accord :-)

Avis personnel : pour quelqu'un qui veut avoir une idée de ce que peut être la sécurisation d'une machine, je veux bien. Mais pour une sécurisation sérieuse, non.

NdM: ceci engage son auteur

Des failles de sécurité dans openssl 0.9.6d ou inférieur ou 0.9.7-beta2 ou inférieur ont été découvertes par A.L. Digital Ltd et The Bunker lors d'un audit de securité. Pas moins de 4 vulnerabilités sont exploitables.

La revue scientifique « Pour la science » vient de sortir un superbe numéro hors-série (juillet-octobre 2002 - n°36) consacré à la cryptographie actuelle, avec ses concepts et les thèmes d'avenir.
Le niveau mathématique est assez élévé (terminale S ou +), mais le contenu est passionnant. A noter, un article sur AES par leurs auteurs (Daemen & Rijmen).

Symantec, la société bien connue pour avoir crée les norton utilities en tout genre vient d'annoncer le rachat de securityfocus pour 75 millions de dollars. Rappelons nous que securityfocus hébèrge la (trop) fameuse liste de diffusion bugtraq.
Un post passé sur bugtraq explique le pourquoi de ce rachat (symantec a bien compris la valeur intrinseque de securityfocus), et les changements qui vont avoir lieu (relativement flou). A quand une ml avec antivirus incorporé?

La société StrongHoldNet vient de faire une étude sur la sécurité des serveurs français utilisant Apache (tous systèmes d'exploitations confondus).

Il en ressort la chose suivante:
- 20.5 % d'entre eux (dont linuxfr.org fait partie :-) utilisent une version non vulnérable d'Apache (>= 1.3.26 or >= 2.0.39),
- 23.2 % d'entre eux utilisent une version antérieure patchée,
- 56.3 % d'entre eux sont vulnérables (soit 23 % du total des serveurs
web français).

Pour le moment, des exploits ont été publiés seulement pour OpenBSD, NetBSD et FreeBSD (d'ailleurs le vers "Scalper" exploite justement la vulnérabilité sous FreeBSD); pas encore d'exploit largement diffusé pour Linux, mais GOBBLES (auteur de l'exploit pour les *BSD) prétend que c'est possible.

Moralité : Mettez tous vos Apache à jour avant que l'exploit pour Linux soit connu. Un vers "Nimda-like" qui infecte des miliers de machines sous Linux serait du plus mauvais effet pour la réputation du système...

vsFTPd (Very Secure FTP Daemon) est un logiciel serveur FTP où l'accent a été mis sur la sécurité et sur la rapidité. Sa configuration est simplissime (au détriment de la flexibilité, mais ce n'est pas du tout gênant dans une utilisation standard). Parmi les sites « de référence » cités par son auteur, on trouve ftp.redhat.com, ftp.gnu.org et ftp.debian.org (joli palmarès).

HSC vient de publier un didacticiel qui vous guide pas à pas dans l'installation et la mise en place de ce logiciel, une bonne occasion de laisser enfin tomber votre wu-ftpd buggé jusqu'à la moëlle. Mon opinion personnelle est que ce logiciel tire honorablement son épingle du jeu, et son code source (en C) reste très lisible, comme quoi il n'est pas nécessaire de faire compliqué pour faire efficace... Ah oui, accessoirement, c'est sans doute le seul serveur FTP à vous répondre avec humour lorsque vous lui envoyez des commandes (essayez de passer en mode ASCII pour voir :-)

Bref, à essayer. Bonne découverte !

Philippe Zimmermann nous apprend sur NewsForge qu'il préfèrerait voir PGP (pretty good privacy) passer sous une licence Open Source plutot que de voir son "bébé" dépérir ainsi...

En effet, Zimmermann avait vendu les droits sur PGP en 1997 mais depuis plusieurs mois déjà, Network Associates, à qui ils appartiennent maintenant, ne maintient plus la suite de programmes de crypto et ne le propose même plus à la vente (à part la version E-Business Serveur qui ne comprend qu'une infine partie de PGP).

Zimmermann dit même qu'il racheterait PGP à Network Associates si il en avait les moyens !

C'est peu être dommage pour PGP mais on peu se rattrapper sur GPG (Gnu Privacy Guard) qui lui est bel est bien libre (et maintenu correctement ! ;-)
Et après ca on osera dire que les logiciels libres n'ont pas un modèle de développement pérenne !

La grande nouvelle est la mise à disposition de l'exploit de Gobbles, qui après s'etre illustré avec son exploit pour Apache remet ca avec OpenSSH.
L'avantage reste que maintenant on peut tester tous nos petits Linux et vérifier s'ils sont ou non vulnérables. J'ai donc pu confirmer que les packages ssh de Debian avant mise à jour n'etaient pas vulnérable ;-)
(par contre l'exploit marche tout à fait sur un OpenBSD 3.1 fraichement installé mais pas sur un 3.1-current).

Sinon l'équipe de OpenSSH a releasé juste avant l'exploit une mise à jour de l'advisory et explique notamment dedans pourquoi ils ont annoncé la faille de cette façon (en donnant le moins de détails possible, en faisant croire que toutes les versions de OpenSSH étaient vulnérables, etc. ...).

MISC est une revue consacrée à la sécurité
informatique, pour tous les systèmes. Dans ce numéro, vous
trouverez :

• Champ libre : cross site scripting et protocoles textuels, Chernobyl, le partage de secret, la guerre de l'information.
  



• Dossier : la détection d'intrusion
  
  
  
  • principes algorithmiques
  
  
  • problèmes des IDS actuels/li>
    
  • contourner les IDS
  
  
  • Prelude-IDS : un IDS hybride open-source
  
  
  
  



• Programmation : les fonctions strn*
  



• Système : classes d'authentification physique, sécuriser Irix
  



• Réseau : jouer avec le protocole ARP, protection de l'infrastructure en réseau IP (protocoles de routage et MPLS)
  



• Science : PGP, comment éviter les mauvaises surprises ?

Enfin, nous avons rencontré quelques problèmes de PAO dans ce numéro, veuillez nous excuser.

Encore une faille de sécurité sur Apache. Et cette fois-ci, il semble que l'alerte soit assez grave pour suivre ceci de très près.

La faille a été détectée par un pot de miel (« honeypot »), sur un Apache 1.3.24, et ce qu'on en sait pour l'instant est que le code qui est propagé est un code pour FreeBSD. Par une requête HTTP qui est affichée sur le site, le ver s'installe sur le disque, et se met à écouter le port 2001 en UDP, et envoie des messages UDP vers une IP codée en dur...

Rien ne prouve pour l'instant que les autres plateformes ne sont pas vulnérable, car il peut exister plusieurs variantes de ce ver. D'après l'analyse du code qui a été récupéré sur le honeypot, il s'avère que les versions suivantes d'Apache seraient vulnérables, du moins avec FreeBSD :
- FreeBSD 4.5 x86 / Apache/1.3.22-24 (Unix)
- FreeBSD 4.5 x86 / Apache/1.3.20 (Unix)

A suivre de très près...

Ross Anderson, chef du laboratoire d'informatique de l'université de Cambridge avance la théorie selon laquelle les logiciels propriétaires n'auraient pas plus de failles de sécurité que les logiciels « open source ».

En effet, le chercheur considère qu'un programme au code source ouvert est un programme dans lequels les bogues sont faciles à trouver ; à l'inverse, ils sont plus difficiles à détecter si le code est fermé.

En calculant, dans les deux cas, le temps moyen que mettra le programme à se planter, Anderson affirme que dans l'absolu les deux types de programmes présentent le même taux de sécurité.
Car l'atout du code ouvert - trouver plus facilement les bogues - constitue également un atout pour tous ceux qui veulent lancer des attaques.

Update: Frédéric Raynal ajoute un lien vers une traduction de la conclusion du-dit article. A lire si tout n'est pas clair pour vous...

ISS vient de publier sur Bugtraq les détails de la faille d'OpenSSH.
Il s'agit d'un problème dans le mécanisme d'authentification "challenge-response".

Apparemment si OpenSSH est compilé sans les options SKEY ni BSD_AUTH, la vulnérabilité n'est pas exploitable.
De meme, utiliser la ligne suivante dans /etc/ssh/sshd_config résoudrait d'après eux le problème :
ChallengeResponseAuthentication no

Ben maintenant il reste plus qu'à tester tout ça, régler les quelques problèmes de conf engendrés.
Ca a quand même l'air moins dangereux que ce qui était annoncé précédemment et surtout moins difficile à règler (c'est pas une raison pour pas mettre a jour !).

Remarque : ISS met a disposition un outil pour tester si OpenSSH est vulnérable.

Note du modérateur : OpenSSH 3.4 est sorti (merci à falbala pour l'info)

ISS, peu après avoir dévoilé le problème sur Apache, avait annoncé qu'ils travaillaient sur une faille d'un autre logiciel libre (en annonçant cette fois-ci que la démarche serait un peu différente !).
Encore Bind ? Sendmail ? Squid ?
Et bien non, OpenSSH... :-(

Les détails sur la faille ne sont pas encore connus mais on sait d'ors et déjà de la bouche de Théo de Raadt lui-même qu'elle sera exploitable à distance, sauf si la séparation de privilège récemment apparue est activée (« UsePrivilegeSeparation yes » dans sshd_config). Peu de distributions Linux proposent cette option pour le moment mais j'espère sincèrement qu'ils vont tous s'atteler pour que ce soit le cas avant la semaine prochaine, date fatidique à laquelle seront dévoilés les détails de l'exploit (et je pense qu'un exploit pas forcèment de Gobbles ne tardera pas à suivre...)

Plus de détails sur LinuxSecurity.com

Note d'un autre modérateur : voir sur debianplanet.org la source apt Debian pour avoir les paquets ssh et apache corrigés pour Woody, ainsi que Mozilla 1.0

Voici un très bon article de Security Focus montrant différentes façons de bloquer avec Postfix les mails indésirables envoyés par les spammers qui polluent nos boites aux lettres tous les jours !!!

Différentes approches sont abordées parmi les Black Lists (utilisation de listes de spammers connus), le refus de mails venant d'hotes inconnus ou encore de mails non conformes aux RFC...

L'article montre donc que Postfix n'est pas seulement securisé, rapide et facilement configurable (bon, on va éviter le troll avec Sendmail !) mais qu'il propose aussi quelques fonctionnalités sympa et faciles à mettre en oeuvre ;-)

Une nouvelle version du serveur Web Apache vient de sortir, corrigeant les récents problèmes de sécurité. (NdM: 1.3.26)
Dans un même temps, la société ISS subit un retour de flamme du à sa "mauvaise conduite" lorsqu'elle a commencé le thread sur les problèmes de sécurité d'Apache.
En effet, la procédure (non-formelle) de rapport de bug prévoit que le fabricant d'un logiciel (ou le "groupe" qui développe un logiciel libre) soit mis au courant avant la publication...
ISS n'avait pas jugé nécessaire de le faire mais avait en plus proposé un patch qui ne résolvait pas complètement le problème !

Une nouvelle version pour apache 2.0 devrait apparaitre dans peu de temps...