Une boite propose un implant que l'on greffe sous la peau et qui permet
de tracer un humain.
Un peu comme dans Matrix, sauf que ca existe réellement, et c'est déjà
utilisé pour les animaux.

Autant suivre les mouvements migratoires de Rex le chien qui fait bip bip
dans les faubourgs me fait marrer, autant une boite qui annonce qu'elle
permettra de signer numériquement les transactions sur Internet par un
émetteur greffé sous la peau qui permettra à plusieurs réseaux de
surveillance de suivre un être humain à la trace sur toute la planète me
fait un peu froid dans le dos…
Si ces gens sont pris au sérieux, les conséquences me semblent graves.
Je prédis pour bientôt la mode des gilets en côte de maille pour faire cage
de faraday !

Vous avez dit "no spoon" ?

NdM. : cette dépêche a été initialement publiée le 19/04/2000 à 23h10, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Un produit commercial de caddie électronique, "Dansie shopping cart" à
base de cgi, comporte 2 routines non documentées et dont le code est
(faiblement) dissimulé, qui envoient un mail à l'auteur du produit et
permettent un accès à un fichier de configuration avec un mot de passe "en
dur".
S'il est probable que l'intention de départ était la protection contre le
vol et non le piratage organisé, une telle implémentation introduit chez
les utilisateurs de ce produit une vulnérabilité particulièrement grave,
donnant à tous les mêmes privilège que les cgi exécutés sur le serveur.
Un tel code est une erreur de design de débutant.
Le Logiciel Libre, de par la nature de son développement se prémunit très
efficacement contre ce type de cheval de Troyes et/ou de vulnérabilité.
Cette affaire montre encore une fois, si cela était nécessaire, voici
confirmée l'importance de préférer des logiciels libres pour toutes les
applications critiques, et particulièrement pour les outils de sécurité
informatique.

NdM. : cette dépêche a été initialement publiée le 19/04/2000 à 00h47, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Il existe une page internet très intéressante sur le sujet de la
sécurité informatique, http://stein.cshl.org/~lstein
L'auteur de ce site a développé un ensemble d'utilitaires en langage perl
afin de tester la vulnérabilité du réseau qui peut paraître une vraie
passoire.

NdM. : cette dépêche a été initialement publiée le 14/04/2000 à 13h54, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

"En dévoilant un projet de logiciel de sécurité développé sur le modèle
de l'Open Source, Intel lance une nouvelle pique contre son allié de
toujours. Mais le divorce n'est tout de même pas encore prononcé." (Vincent
Birebent)

NdM. : cette dépêche a été initialement publiée le 12/04/2000 à 09h04, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Echelon dans le Monde d'aujourd'hui : au programme rien de très
technique, mais cet article éclaire pas mal les relations des agences et
des pays par rapport à Echelon ainsi que les motivations d'Echelon.
C'est assez intéressant de savoir qui en profite car on pourrait croire
trop vite que seuls les americains en sont les bénéficiaires.

Update: Merci Franck pour le lien complet.

NdM. : cette dépêche a été initialement publiée le 30/03/2000 à 13h25, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

C'est ce que nous explique Silicom.com :

"[…] Linux souffre de trous de sécurités majeurs, ce qui pourrait
empêcher son adoption par le milieu des entreprises […]"
ou encore
"[…] Utiliser Linux revient à donner au hacker la clef de la porte de
votre système […]"

Lisez la suite sur leur site web.

NdM. : cette dépêche a été initialement publiée le 27/03/2000 à 13h42, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Un article sur multimedium qui indique que Nicolas Sadirac aurait un
peu tapé du poing sur la table lors d'une table ronde de spécialistes de la
sécurité des réseaux (rien que ca).
Ca tape sec :)

NdM. : cette dépêche a été initialement publiée le 17/03/2000 à 19h26, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Vu sur la mailling liste BUGTRAQ, un nouvel exploit autour de pam /
userhelp qui, après test, est assez efficace.

NdM. : cette dépêche a été initialement publiée le 17/03/2000 à 17h31, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Nouveau site pour Openca.org ! OpenCa est une PKI en open source,
offrant tout les services attendus pour l'administration, l'enregistrement,
la gestion des certificats, et l'autorité de certification, le tout depuis
un navigateur web. Produit indispensable pour les administrateur sécurité.

NdM. : cette dépêche a été initialement publiée le 16/03/2000 à 16h53, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Roland Moreno, l'inventeur de la carte à puce, a annoncé lundi qu'il
offrait un million de francs à qui réussirait à violer une carte à puce
existante tout en reconnaissant qu'on peut fabriquer de fausses cartes
bancaires utilisables dans certains terminaux de paiement.
(source AFP)

NdM. : cette dépêche a été initialement publiée le 13/03/2000 à 19h08, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Le groupement des cartes bancaires a reconnu vendredi qu'une de ses
clés de cryptage a été publiée le week-end dernier sur Internet.

"Cette clé permettrait de fabriquer une fausse carte, qui pourrait être
utilisée dans des automates de paiement" a admis le porte-parole du GIE.

Note du modérateur: Merci l'anonyme pour le lien. Il a rajouté "Vous croyez
que Serge c'est vengé ?  ;)"

NdM. : cette dépêche a été initialement publiée le 10/03/2000 à 20h20, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

TripWire Inc., spécialiste de la sécurité, décide de passer dans le monde du logiciel libre. Cette décision devrait permettre de développer la sécurité sous Linux (notamment pour la lutte contre les attaques DDoS). NdM. : cette dépêche a été initialement publiée le 01/03/2000 à 04h27, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Deux liens vers des documentations sur apache, ainsi que tripwire. Bref
de la lecture pour ce soir.

NdM. : cette dépêche a été initialement publiée le 29/02/2000 à 19h50, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

SSF est une adaptation de la suite publique "SSH Unix", destinée à
l'usage sur le territoire français en conformité avec la législation
française concernant la cryptologie.
SSF-128 est un produit dont la taille de l'espace de clé est limitée à
2^128, et dont l'usage est libre (les utilisateurs n'ont aucune démarche à
effectuer).
Il a fait l'objet de la déclaration n° 9908271 auprès du SCSSI.

NdM. : cette dépêche a été initialement publiée le 17/02/2000 à 10h01, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Une petite doc excellente du MIT sur l'utilisation de SSH est
disponible en ligne.
Il explique le tunnelling X11 ou ftp, bref à voir.

NdM. : cette dépêche a été initialement publiée le 16/02/2000 à 15h36, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Des petits malins ont mis les derniers soft d'attaques utilisés pour paralyser Yahoo, CNN sur PackerStorm. Note du modérateur: est-ce exact ? NdM. : cette dépêche a été initialement publiée le 14/02/2000 à 17h20, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

T.Rex est un firewall open source annoncé aujourd'hui par Freemont
Avenue Software. Le firewall est disponible sous licence LPL, une copie de
la licence QPL.

NdM. : cette dépêche a été initialement publiée le 11/02/2000 à 14h48, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

La France a décidé de réagir après la confirmation de l'existence
d'ECHELON (réseau informatisé international d'espionnage au profit des
américains, anglais et australiens qui captent toutes les conversations
téléphoniques, informatiques ….). Cette réaction est due à l'échec d'un
gros contrat d'AIRBUS au profit de BOEING (l'autre géant de Seattle).

NdM. : cette dépêche a été initialement publiée le 11/02/2000 à 11h09, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Je viens de recevoir un mail m'informant du fait que la cnil a autorisé l'Agence de Protection du Logiciel à consulter les fichiers des providers internet. Les abonnnés pourrait même, au travers de plugs in téléchargeables, être controllé en direct. Actuellement seuls AOL, Wanadoo et Compuserve ont communique les fichiers abonnés. Note du modérateur: cette rumeur avait déjà été démentie l'année dernière, voir leur communiqué de presse. NdM. : cette dépêche a été initialement publiée le 10/02/2000 à 10h28, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Javascript serait une faille de sécurité, bref on apprend rien mais on
peut avoir plus de détails sur le lien qui suit.

NdM. : cette dépêche a été initialement publiée le 06/02/2000 à 23h52, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Un site très bien documenté sur "l'affaire Humpich" ou comment vous faire poursuivre en justice lorsque vous dévoilez les faiblesses d'un système ... Encore une victoire pour la politique par l'obscurantisme ... Reste à savoir comment se proteger des banques à present. Ca ne vous indigne pas vous ? PS: Vous croyez qu'ils vont refermer altern.org ? NdM. : cette dépêche a été initialement publiée le 01/02/2000 à 00h45, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Info ou Intox…
Un expert russe met en garde les utilisateurs de Linux qu'un afflux
important de virus venant de chine viserait notre système favori…
L'expert de Kaspersky a déclaré qu' : "il est plus facile de développer un
virus pour Linux parce qu'il est en Open Source… " . Bien que certains
proto virus existe déjà, Kaspersky détiendrait le premier virus fonctionnel
est destructreur qu'il garde sous clef…
Jason Clifford déclare qu'il n'y a aucune crainte à avoir… "quel imbécile
pourrait compiler sur sa machine un virus juste pour voir les effets qu'il
peut avoir […] de plus sur un système avec 1000 utilisateurs, si un
utilisateur devaient compiler un virus il n'endommagerait ses propres
fichiers…".
Source: ZDNet UK

NdM. : cette dépêche a été initialement publiée le 25/01/2000 à 16h19, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Est-ce que l'Open Source résoud plus rapidement les problèmes de
sécurité que les logiciels commerciaux ?
Une petite étude de SecurityPortail est assez bien montée sur ce sujet.
Au menu, comparaison sur l'année précédente, des RedHat (OpenSource), Sun
(plutôt vague…) et Microsoft (Fermé).
Dans l'ensemble, c'est pas mal révélateur, surtout quand on décortique les
bugs en question ;)

Le titre original de l'étude reporte le polémique "Linux vs Microsoft …"
, mais nous savons tous que les enjeux sont bien plus clairs : l'OpenSource
contre le Fermé (et la polémique Raz le bol).

Merci à Security Portail.

NdM. : cette dépêche a été initialement publiée le 17/01/2000 à 00h24, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Vu dans internet-actu de ce jour:

Le 13 décembre, Progressive Systems met à disposition en téléchargement
gratuit une version "lite" de son pare-feu "Phoenix Adaptive Firewall",
dédiée à l'usage personnel et limitée à deux utilisateurs. Ce "firewall"
est le premier, selon Progressive Systems, a avoir reçu la certification de
l'International Computer Security Association (ISCA), organisme qui
s'occupe de logiciels de sécurisation des données.
Rappelons qu'un "firewall" est un système de protection des réseaux locaux
reliés à Internet, qui s'occupe devérifier les entrées-sorties de données
pour prévenir les attaques extérieures.

NdM. : cette dépêche a été initialement publiée le 23/12/1999 à 21h27, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Des ingénieurs de la firme Reliable Software Technologies (RST) ont
découvert qu'un défaut de Netscape permet d'accéder au mot de passe des
serveurs de messagerie.
Cela serait possible depuis une simple page Web à l'aide d'un script qui
lit le contenu du fichier de préférences de l'utilisateur !
Pire, Netscape a expliqué que le mode de protection du mot de passe avait
été conçu pour permettre aux experts de retrouver un mot de passe oublié
par l'internaute, si c'est pas du Kro$oft like ça ?
La seule protection est de désactiver l'enregistrement du mot de passe par
défaut.

(merci Martin Vernet et Philippe Rafortho pour l'info.)

NdM. : cette dépêche a été initialement publiée le 17/12/1999 à 11h21, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).