La Lyonnaise des Eaux avait un serveur Web Netscape très mal configuré.
Alors, ils l'ont viré et remplacé par un Apache.

NdM. : cette dépêche a été initialement publiée le 14/12/1999 à 18h33, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Dernièrement on a beaucoup parlé des attaques distribuées, en effet
l'informatique répartie intéresse tout le monde ces derniers temps.
Nos confrères de Packet Storm ont ouvert une section sur ce sujet.

Note du modérateur: J'ai longtemps hésité avant de faire passer cette news,
on ne donne pas cette url pour que des petits crackers en herbe s'amusent à
faire n'importe quoi mais pour permettre de se prémunir contre ces
attaques.

NdM. : cette dépêche a été initialement publiée le 11/12/1999 à 12h04, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Security Remote Password est une alternative en Open Source à
l'authentification classique sur le réseau.
La version à télécharger sur le site inclut un FTP et un Telnet sécurisés.

NdM. : cette dépêche a été initialement publiée le 08/12/1999 à 09h29, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Notre confrère LMI a mis sur son site un rapport de Franck Leprevost
rapporteur à la commission européenne concernant ce que l'on peut englober
sous le terme générique d'Intelligence électronique.
Bien entendu il y figure une forme de disclaimer.h comme quoi ce rapport ne
représente pas nécessairement les vues du parlement européen.
Au menu, Echelon, un certain numéro d'identification, la crypto …

Ce document est en format RTF mais il se lit très bien avec vi (il faut
simplement ne pas se laisser distraire par les instructions de formatage.

Bonne lecture et bonnes réflexions à tous.

NdM. : cette dépêche a été initialement publiée le 26/11/1999 à 21h33, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

NT craqué par Windows CE…Très drole…

NdM. : cette dépêche a été initialement publiée le 21/11/1999 à 09h23, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Une implémentation libre de SSH est enfin disponible. Cette version de
SSH sera disponible en standart avec OpenBSD 2.6.
Cette version est compatible avec les protocoles SSH 1.3 et 1.5.
OpenSSH est basé sur une version libre de SSH de Tatu Ylonen, avec des
modifications majeures (tout le code propriétaire a été retiré!)

Bref, vous n'avez plus de raisons de ne pas l'utiliser !

NdM. : cette dépêche a été initialement publiée le 26/10/1999 à 10h53, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Trois trous de sécurité ont été decouverts dans les serveurs ftp
wu-ftpd (versions inferieurs à la 2.6.0) et beroftpd (toutes versions), qui
peuvent permettre aux utilisateurs d'exécuter du code avec les droits root.

Tous les OS utilisant ces serveurs sont donc vulnérables (en particulier la
slackware 4.0 et current, certaines versions de freebsd, sco unixware 2.x,
7.x et openserver 5.x), la mise à jour vers wu-ftpd 2.6.0 (même pour les
utilisateurs de beroftpd qui lui ne sera plus mis a jour) est fortement
conseillée.

NdM. : cette dépêche a été initialement publiée le 23/10/1999 à 17h44, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Vous connaissez Echelon ? C'est le super big brother de nos voisins
d'outre atlantique. Depuis plusieurs années, certains pensent (à juste
titre) qu'Echelon décortique tous les e-mails de la planête, écoutant tout
ce qui se dit.
Que faire ? C'est aujourd'hui 21 octobre qu'il faut agir en tentant de
saturer Echelon de messages électroniques…
Allez-y, foncez !

NdM. : cette dépêche a été initialement publiée le 20/10/1999 à 22h30, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

La version 1.1 de FreeS/WAN, l'implémentation d'IPSec pour Linux, vient
de sortir.
Je rappelle qu'IPSec est le protocole qui permet de faire du cryptage sur
IP, et donc des VPN…
Le point important de cette version est le portage pour les noyaux 2.2.x,
par contre elle n'est pas multi-distributions :-(
Si du monde veut aider au portage, contactez les développeurs !

NdM. : cette dépêche a été initialement publiée le 16/10/1999 à 02h24, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Curieux qu'on le découvre seulement maintenant, IPv6 pourrait tracer
les utilisateurs encore plus qu'ils ne le sont…
Les adresses MAC entre autres pourraient être intégrées aux adresses des
machines. Mieux que les cookies, et autres guid…

NdM. : cette dépêche a été initialement publiée le 13/10/1999 à 23h31, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Un article / comparatif intéressant sur des logiciels pas nouveaux,
mais toujours utiles …

NdM. : cette dépêche a été initialement publiée le 04/10/1999 à 11h14, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Un article sur la sécurité des serveur DNS, on y parle entre autre de
DnsSec.
Source: Jim Reavis

NdM. : cette dépêche a été initialement publiée le 30/09/1999 à 10h27, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Le concours organisé par PcWeek consistait à mettre un Linux (RH
standard) et un NT sur le réseau et attendre que quelqu'un hack l'une des
deux machines.
C'est le Linux qui s'est fait hacker. Le trou de sécurité vient d'un CGI
propriétaire installé par PCWeek ! Sympa. Sachant que PcWeek est très
orienté Microsoft, on peut se poser quelques questions.

Message du hacker:
I suppose it's not Linux who should get blamed but the company that sells
CGI scripts with improper security checks. This applies to Unix, NT or
whatever other operating system you are running.
The problem here, IMHO, is that the CGIs used were not open source. I'm
sure that if they had been open source somebody out there will have done a
security audit on them and patched the holes.
Not that I don't agree with you as how this will be published, but just my
2 pennies.

NdM. : cette dépêche a été initialement publiée le 24/09/1999 à 17h49, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Ah, le charme des PC multimedias avec micro et webcam qui tournent sous
Windows NTM ! Il semblerait que les militaires US les apprécient beaucoup
eux aussi, la preuve ils ont démontré que dans certaines conditions à
l'aide d'un cheval de Troie on peut les utiliser pour monitorer leur
environement immédiat.
Ce sont les plombiers du Canard ( mini watergate à la francaise datant d'il
y a quelques années deja :-) qui doivent se dire que décidement
l'informatique sous Windows NTM c'est le meilleur des mondes.

NdM. : cette dépêche a été initialement publiée le 23/09/1999 à 09h20, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

La version 128 bits de SSF est en téléchargement depuis le 16 septembre
1999.
SSF est entièrement compatible avec le SSH standard (version 1.5 du
protocole) avec lequel il intéragit en toute transparence.
Je rappelle que SSF est une adaptation de la suite publique "SSH Unix",
destinée à l'usage sur le territoire français en conformité avec la
législation française concernant la cryptologie.

NdM. : cette dépêche a été initialement publiée le 20/09/1999 à 00h44, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Les différents sites de l'armée américaine ont été transférés sur un
serveur MacOS à la suite d'une série d'effractions sur la station Windows
NT qui les hébergeait auparavant.

NdM. : cette dépêche a été initialement publiée le 15/09/1999 à 09h43, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Un article interressant sur security portal parlant de cryptage au
niveau reseau de l'OSI. C'est assez technique, mais ca vaut le coup d'oeil.

NdM. : cette dépêche a été initialement publiée le 08/09/1999 à 20h23, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Alternative à PGP, GnuPG a été developpé hors des USA. Les lois
américaines sur l'exportation de la crypto ne s'y appliquent pas.

(Merci à slashdot)

NdM. : cette dépêche a été initialement publiée le 08/09/1999 à 17h51, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Solar Designer vient d'annoncer la disponibilité (encore en test) de
tous les patchs sécurité pour les noyaux 2.2.x
Cela inclus les nouvelles fonctions suivantes:
- Stack sécurisé empêchant la plupart des buffer overflow
- Restriction des liens dans /tmp
- Restriction d'acces à /proc
- Modification de la gestion des descripteurs 0,1 et 2
- Sécurisation de la mémoire partagée (SHM)
- …

NdM. : cette dépêche a été initialement publiée le 31/08/1999 à 23h08, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Ca y est, les clés RSA à 512 bits (RSA-155) ont été décriptées. Cela
ne remet pas en cause le système de chiffrement des transactions
commerciales. En effet il faut beaucoup de matériel et de solides
connaissances sur le chiffrement pour reussir cet exploit.

Merci a Slashdot, Yahoo et DejaNews.

NdM. : cette dépêche a été initialement publiée le 30/08/1999 à 08h36, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).