Le projet open source Mooltipass a été lancé il y a maintenant sept ans, avec pour but d’offrir une solution hors ligne de stockage de noms d’utilisateur et mots de passe, de petits fichiers et de clefs SSH. Au contraire des solutions similaires existantes sur ordinateurs et téléphones, le Mooltipass est un élément dédié qui effectue seulement les opérations de sécurité. Composé d’extensions navigateur (Chrome, Firefox et Opera), d’un logiciel de gestion de bases de données multi‑plate‑forme et d’un appareil dédié branché en USB ou Bluetooth, nous vous faisons découvrir le fruit de sept ans de travail de contributeurs non rémunérés.
SELKS 6 : mise à jour de la distribution basée sur Suricata
SELKS 6 a été publié par Stamus Networks. Cette nouvelle version de la distribution mettant Suricata au cœur de l’analyse réseau orientée sécurité arrive un peu moins d’un an après la version 5.0. Au programme de la version 6, une mise à jour des logiciels intégrés, avec Suricata en version 6.0-git et Elasticsearch en version 7 et une interface Web mise à jour.

SELKS est une distribution autonome (live) et installable qui fournit une solution clef en main pour analyser le trafic réseau et détecter les menaces. Le mode de fonctionnement principal est en passif (détection d’intrusion), mais il est également possible de modifier la configuration pour en faire un système de prévention d’intrusion (IPS).
Le code source de SELKS est disponible sous licence GPL v3.
Utilisation d’un TPM pour l’authentification SSH
Après son « Bien démarrer avec GnuPG », gouttegd nous livre un nouveau journal sur l’utilisation du Trusted Platform Module (TPM) pour s’authentifier auprès d’un serveur SSH. Ce journal a été converti en dépêche et enrichi des premiers commentaires.
Bien démarrer avec GnuPG
N. D. M. : la dépêche est tirée du journal personnel de l’auteur, complétée des premiers commentaires suscités.
Suite à une diatribe de ma part à l’encontre de la mauvaise qualité de beaucoup de tutoriels consacrés à GnuPG, on m’a suggéré de créer le mien. Alors, without further ado, le voici.
SHA-mbles : une collision à préfixes choisis sur SHA-1
Au début de l’année 2020, alors que l’on commençait à entendre parler de quelques cas de pneumonie atypique dans la ville chinoise de Wuhan, deux chercheurs français, Gaëtan Leurent (Inria) et Thomas Peyrin (Nanyang Technological University, Singapour), publiaient la première collision à préfixes choisis sur l’algorithme de condensation cryptographique SHA-1, et démontraient la faisabilité d’une attaque contre la toile de confiance OpenPGP.
L’attaque, dénommée SHA-mbles (« chaos », « désordre »), est de toute beauté et son étude fournit une excellente occasion, en cette période de confinement, de se pencher sur diverses notions comme le format des certifications OpenPGP ou le fonctionnement des algorithmes de condensation.
LDAP Tool Box : création du projet Service Desk
Le projet LDAP Tool Box regroupe de nombreux outils pour l’installation, l’administration et l’utilisation des annuaires LDAP, et en particulier OpenLDAP.
Après Self Service Password, interface de changement de mot de passe, White Pages, permettant de rechercher et afficher les utilisateurs et groupes, voici le dernier né de la famille : Service Desk.

Service Desk est une interface Web pour vérifier, débloquer et modifier les mots de passe des comptes d’un annuaire LDAP. Il est publié sous licence GPL v3.
Les mots de passe des premiers développeurs‐utilisateurs d’UNIX, notamment celui de Ken Thompson
En 2014, une ingénieure, Leah Neukirchen, trouve un fichier /etc/passwd archivé avec du vieux code source BSD et décide de déchiffrer les mots de passe des premiers développeurs‐utilisateurs d’UNIX.
Assez facilement, les mots de passe sont trouvés les uns après les autres. Je ne sais quels étaient vos premiers mots de passe, mais, personnellement, j’utilisais le même sur beaucoup de mes comptes et c’était soit des mots de la langue française faciles à taper, soit le nom de ma copine.
Ces tout premiers développeurs‐utilisateurs d’UNIX étaient‐ils plus inventifs ? À vous d’en juger, les voici en deuxième partie.
CryptPad version 3.3 — nouvelle fonctionnalité « teams »
CryptPad, le logiciel libre de collaboration chiffré vient de sortir en version 3.3 avec une nouveauté importante permettant de créer des « équipes » et de partager un drive (partage de fichiers) et un chat chiffré avec un groupe d’utilisateurs. Cette fonctionnalité a été financée par le fonds PET (Privacy and Trust Enhancing Technologies) de NLNet pour la Communauté européenne.
Le logiciel CryptPad, permet d’éditer en temps réel et de partager des documents chiffrés de bout en bout, les administrateurs du serveur ne pouvant pas lire les contenus partagés.
Sortie de Keycloak 7.0
Keycloak est sorti le 24 août dans la version 7.0.
Keycloak est un fournisseur d’identités (Identity Provider ou IdP) moderne, écrit en Java et compatible par défaut avec les protocoles de fédération d’identités SAML v2 et OpenID Connect (OIDC)/OAuth2. Il est sous licence Apache et est porté par Red Hat.
Un concours pour donner une nouvelle image de la cybersécurité ?
La cybersécurité est un monde parallèle, peuplé de cybermagiciens tapant avec des gants ou des moufles, dans le noir, avec un sweat‐shirt à capuche baissée jusqu’aux yeux, ayant parfois un masque de Guy Fawkes ou des lunettes de soleil, et tapant au mieux des 0 et des 1, au pire du texte vert tendance Matrix. C’est du moins l’imaginaire vendu en général par la presse, spécialisée ou non, mais aussi par les banques d’images.
La société OpenIDEO (en partenariat avec la Hewlett Foundation) a lancé un concours (du 25 juillet au 16 août) pour réinventer ces visuels illustratifs d’articles de presse, pour qu’ils soient moins irréalistes (j’aurais bien dit plus réalistes, mais vu le niveau de fumette…).
Le concours est ouvert à dix‐sept pays : Afrique du Sud, Allemagne, Argentine, Australie, Brésil, Canada (hors Québec), Chine, Colombie, Espagne, États‐Unis d’Amérique, France, Inde, Japon, Mexique, Pays‐Bas, Pérou et Royaume‐Uni.
Les photos sont publiées sous CC By 4.0 (si et seulement si la case est cochée dans le formulaire de participation, en fait). Vingt‐cinq personnes recevront un mentorat par un expert en sécurité informatique, et 500 US$. Jusqu’à cinq gagnants recevront 7 000 US$ chacun. Les documents de participation sont disponibles (notamment) en français.
Note : je ne suis pas lié à OpenIDEO ni payé par eux ni rien ; j’ai juste du temps à tuer dans un train, alors je rédige une dépêche ayant un rapport avec le Libre.
PacketFence version 9 est disponible
PacketFence est une solution de conformité réseau (NAC) et de contrôle d’accès aux réseaux, supportée et reconnue. Le logiciel est publié sous licence GPL v2. PacketFence procure une liste impressionnante de fonctionnalités et de gestion d’équipements réseau. PacketFence peut être utilisé pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Inverse a annoncé le 15 mai 2019 la sortie de la version 9 de PacketFence, puis de sa première mise à jour, v9.0.1 vendredi dernier. Cette dépêche propose de passer en revue la liste des nouveautés de cette version majeure.
Le Printemps de l’Innovation Open Source revient pour une cinquième édition
Le Printemps de l’Innovation Open Source, dit OSIS, intègre plusieurs rendez‐vous en région parisienne pour mettre en valeur l’excellence scientifique et technologique du Libre. Il a vocation à montrer le travail des équipes de chercheurs, mais aussi la R & D des PME en logiciel libre. C’est fait en présentant des innovations sur les thèmes porteurs actuels (Internet des objets, informatique en nuage, qualité), dont le succès et la visibilité se veulent mondiaux.

Le Hub Open Source du Pôle Systematic (anciennement GTLL) et l’Irill, à l’initiative de cette série de conférences thématiques, vous donnent trois rendez‐vous détaillés ci‐dessous, en plus de l’OW2con’19 qui s’intègre naturellement à ce printemps de l’innovation.
Pass the SALT 2019 : le programme est en ligne et la billetterie arrive !
La seconde édition de Pass the SALT, conférence dédiée à la sécurité et aux logiciels libres (ou aux protocoles et formats ouverts), a publié son programme !
La billetterie (gratuite) sera ouverte autour de la mi‐mai.
Pass the SALT se déroule à l’école Polytech de Lille du 1er au 3 juillet 2019. Son accès est gratuit. Les interventions se font en anglais afin de permettre la venue la plus confortable possible aux conférenciers et participants non francophones (le Benelux et l’Allemagne ne sont pas loin !).
Parution d’OpenSSH 8.0
OpenSSH 8.0 est disponible depuis le 17 avril 2019. Ce projet, démarré par des développeurs d’OpenBSD, vise à proposer une alternative libre, sécurisée et moderne à des logiciels d’administration distante comme telnet et rlogin. Le but est d’ailleurs atteint, puisque ces deux derniers logiciels ont été relégués au rang d’antiquités depuis bien des années maintenant.

Vous trouverez en deuxième partie de cet article une sélection des changements apportés, reprenant grandement les notes de version.
Sortie de Wireshark 3.0.0
Le 28 février 2019 est parue la version 3.0.0 de Wireshark, un logiciel libre d’analyse de paquets réseau (depuis plus de 20 ans). C’est un outil précieux pour apprendre, comprendre, analyser et déboguer des problèmes réseau ou protocolaires.

Pass the SALT 2019 : sécurité et logiciels libres reviennent à Lille
Après une première édition réussie en juillet dernier, Pass the SALT, conférence dédiée à la sécurité et aux logiciels libres, revient à l’école Polytech Lille du 1er au 3 juillet 2019.
Son accès est gratuit et les conférences seront données en langue anglaise afin de permettre la participation la plus ouverte et accessible possible aux conférenciers et conférencières étrangers.
Pass the SALT a pour but de favoriser l’exposition et la coopération autour des logiciels libres dans le domaine de la sécurité. En 2018, elle a accueilli vingt‐huit interventions et cinq ateliers. Ces interventions ont couvert neuf thématiques différentes comme le reverse, la sécurité réseau, la réponse à incident, l’offensif ou la sécurité Web.

L’appel à soumissions est ouvert jusqu’au 31 mars 2019. Le site pour déposer votre proposition d’intervention (présentation de 35 min, 20 min ou atelier) est ici : https://cfp.pass-the-salt.org/.
N’hésitez pas à soumettre, la relecture des soumissions est bienveillante et nous sommes disponibles pour donner conseils et avis. :-)
Et si vous êtes une entreprise, vous pouvez soutenir l’événement en le sponsorisant. Merci par avance !
Toulouse Hacking Convention : 8 mars 2019
Le 8 mars 2019, l’ENSEEIHT de Toulouse accueillera la troisième édition de la Toulouse Hacking Convention. Il s’agit d’une journée de conférences tournant autour de la sécurité, dans une ambiance conviviale et avec des membres de la communauté du Libre. :)
Il s’agit de la troisième édition, les deux précédentes ont été un franc succès avec autour de cent‐cinquante participants. Contrairement aux années passées, il n’y aura en revanche pas de CTF cette année (manque de bénévoles motivés). Cette année, nous accueillerons exclusivement des conférenciers francophones. Les sujets iront de la modification de micrologiciel de clavier à la sécurité informatique pour les ONG et les journalistes. Le programme complet est disponible sur le site Web.
Les vidéos des conférences de l’année dernière sont disponibles sur YouTube (nous n’avons pas encore de PeerTube…)
Inscrivez‐vous rapidement, les inscriptions vont fermer d’ici peu !
En janvier 2019, l’Union européenne ouvre la chasse aux failles dans les logiciels libres
EU-FOSSA,ou European Union Free and Open Source Software Auditing, est un projet initié par les eurodéputés Max Anderson et Julia Reda — après la découverte de la faille de sécurité Heartbleed et porté par la Commission européenne depuis 2015. En 2017, le projet a été reconduit pour trois ans sous le nom de EU-FOSSA 2 et, après un premier Bug Bounty en novembre 2017, une prime pour la détection de failles de sécurité pour le lecteur média libre VLC, la Commission a annoncé en janvier 2019 quinze nouvelles primes pour des logiciels libres utilisés par les institutions européennes.
Julia Reda explique fort bien les fondements et les buts de cette action européenne…
🎦 Présentation de ShinobiCCTV Community Edition 👁️
ShinobiCCTV Community Edition est un serveur de vidéo‐surveillance multi‐plate‐forme, dont les finitions se situent quelque part entre ZoneMinder et Kerberos.io.
Voyons ensemble ses particularités, ses avantages et inconvénients.

Sortie de LemonLDAP::NG 2.0
LemonLDAP::NG est un logiciel libre d’authentification unique pour applications Web (WebSSO), de contrôle d’accès et de fédération d’identités, écrit en Perl et publié sous licence GPL. Cette nouvelle version majeure apporte de grands changements au logiciel comme le prise en charge de Node.js, des seconds facteurs d’authentification (OTP, U2F, Yubikey…), un mécanisme de greffons, la protection de micro‐services et bien d’autres qui seront développés dans la suite de cet article.

PacketFence version 8.2 est disponible
Inverse annonce la sortie de la version 8.2 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. Procurant une liste impressionnante de fonctionnalités, telles un portail captif pour l’enregistrement ou la remédiation, une gestion centralisée des réseaux filaires et sans fil, le prise en charge du 802.1X, l’isolation niveau 2 des composantes identifiées comme problématiques, l’intégration aux détecteurs d’intrusions tels Snort et Suricata, la reconnaissance d’appareils avec Fingerbank et plus encore.
PacketFence peut être utilisé pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.
Bien qu’étant une version « mineure », cette version 8.2 est une mise à jour importante, qui apporte de nombreux ajouts et de nombreuses améliorations, listés dans la suite de cette dépêche.

OpenSSH 7.9
OpenSSH 7.9 est disponible depuis le 19 octobre 2018. Ce projet, démarré par des développeurs d’OpenBSD, vise à proposer une alternative libre, sécurisée et moderne à des logiciels d’administration distante comme telnet et rlogin. Le but est d’ailleurs atteint, puisque ces deux derniers logiciels ont été relégués au rang d’antiquités depuis bien des années maintenant.

Vous trouverez en deuxième partie de cet article une sélection des changements apportés, reprenant grandement les notes de version.
mat2 0.4.0
mat2 est la nouvelle itération du défunt MAT, une suite logicielle pour nettoyer les métadonnées d’une multitude de formats de fichiers.
La récente sortie de la version 0.4.0 (3 octobre 2018) est l’occasion de faire découvrir ce projet, en deuxième partie de dépêche.

Snuffleupagus version 0.3.0 Dentalium elephantinum
Snuffleupagus est un module pour PHP (version 7.0 et supérieures) qui a pour but d’augmenter drastiquement la difficulté des attaques contre les sites Web. Cela s’obtient, entre autres, via la désactivation de fonctions et de classes, et en fournissant un système de correctifs virtuels, permettant à l’administrateur de corriger des vulnérabilités spécifiques sans modifier le code PHP.
La version 0.3.0, disponible depuis le 18 juillet 2018, est un excellent prétexte pour parler de ce projet sur LinuxFr.org, avec des détails juteux en deuxième partie de dépêche.
PiaLab version 1.2, l'accompagnement dans le RGPD
Dans le cadre du RGPD, la CNIL fournit un outil open source nommé PIA pour faciliter et accompagner la conduite d’une analyse d’impact relative à la protection des données. En simplifiant beaucoup, ces analyses d’impact sont à réaliser lorsque l’on exécute des traitements sur des données à caractère personnel afin d’évaluer les risques que ces traitements peuvent provoquer.
PiaLab, un projet issu d’une divergence (« fork ») du code source de PIA de la CNIL, revisité au point qu’il finit par ne ressembler à son parent que visuellement, est sorti en version 1.2. Après une première version 1.0 sortie il y a un mois, la divergence avec PIA de la CNIL se fait maintenant largement ressentir : l’infrastructure (back‐end) est sous Symfony 4, la partie frontale (« front‐end ») a fait l’objet d’une migration sous Angular 5.2 et réécrit à 75 %, des tests automatisés ont été ajoutés… Le projet n’attend plus que de voir la CNIL fusionner le code de PiaLab dans PIA… Qui sait ?
PiaLab en version 1.2 (et en particulier par rapport à PIA), c’est une gestion de profils utilisateurs (DPD, responsable de traitement, etc.), une implémentation des flux de travaux (« workflow ») PIA / ISO 29134, l’utilisation de modèles de traitement pour faciliter le démarrage de la mise en conformité, l’intégration de fonctionnalités spécifiques multi‐structures ou de DPD externalisés‐mutualisés, la cartographie des traitements et leur organisation par catégorie d’activités de traitement.
En bref, si PiaLab atteint son but, il deviendra l’outil indispensable de votre DPD, dès que vous en mesurerez les potentiels. Structuration de la mise en conformité alignée sur les recommandations CNIL, robustesse, souplesse, évolutions régulières, couverture fonctionnelle qui avance par secteur en allant au fond de chaque question, une feuille de route lisible… Pour le vérifier, une seule solution : essayez PiaLab !
