Atelier CLI : CryptoParty mardi 23 juin 2015 ⌚ 20h ⌘ Bègles (~Bordeaux)

Posté par  (site web personnel) . Édité par ZeroHeure, Benoît Sibaud et palm123. Modéré par Nÿco. Licence CC By‑SA.
11
23
juin
2015
Sécurité

Les Crypto-Party (ou chiffro-fêtes) consistent en l'organisation d'ateliers gratuits à destination de tous, pour découvrir, comprendre et utiliser les principes de base de la cryptographie et de la protection de sa vie privée sur les réseaux (web, chat, email).

Programme

Mardi 23 juin 2015, c'est cryptoparty toute la soirée / nuit au L@Bx. Entrée libre et gratuite. Amenez à manger, à boire et sac de couchage pour les plus courageux.

Tous les détails en seconde partie.

Whiteout, chiffrement de bout en bout des courriels, convivial et OpenSource

Posté par  . Édité par Benoît Sibaud, Nÿco, Nils Ratusznik, palm123 et patrick_g. Modéré par ZeroHeure. Licence CC By‑SA.
28
8
juin
2015
Sécurité

Suite aux différentes révélations récentes, en particulier celles d'Edward Snowden, la confidentialité des communications électroniques gagne en importance, et ce n'est pas trop tôt. Mais si la prise de conscience se fait doucement, il manque encore cruellement de solutions techniques, en particulier pour les courriels. Il existe certes PGP, GPG et d'autres, mais malgré leur présence depuis de nombreuses années, leur utilisation reste très confidentielle (c'est le cas de le dire).

Le plus gros problème est que ces outils sont peu conviviaux et peu pratiques. D'autres le sont plus, mais c'est typiquement la sécurité qui en pâtit, avec par exemple le stockage des clefs privées sur le serveur, ou des applications closed-source et/ou exécutées côté serveur.

Whiteout est une solution innovante en réponse à ce problème.

Sortie de radare2 0.9.9 - Almost there

58
8
juin
2015
Sécurité

Vous l'attendiez, elle est enfin arrivée, la nouvelle version de radare2, la 0.9.9, nom de code "Almost there"!
Radare est un framework complet d'analyse et de désassemblage de binaires. Plutôt que de vous inviter à lire chaque commit, voici un résumé des nouveautés dans la seconde partie.

Quelques brèves sur OpenPGP

Posté par  (site web personnel) . Édité par ZeroHeure, Nils Ratusznik, Nÿco, palm123, Benoît Sibaud, tuiu pol et rakoo. Modéré par palm123. Licence CC By‑SA.
Étiquettes :
37
5
juin
2015
Sécurité

NdM : gouttegd livre régulièrement des journaux traitant d'OpenPGP. Il vient de réaliser une petit tour d'horizon de quelques brèves à ce propos.

Au sommaire :

  • La reprise d'activité sur OpenPGP ;
  • Une nouvelle version de la carte OpenPGP ;
  • Facebook se met à OpenPGP.

Bonne lecture !

épisode de No Limit Secu dédié à l'OWASP

Posté par  . Édité par Nils Ratusznik. Modéré par Pierre Jarillon. Licence CC By‑SA.
7
5
mai
2015
Sécurité

No Limit Secu est un podcast (ou bala(do)diffusion) indépendant, animé par des personnes passionnées qui sont parties prenantes dans le domaine de la cybersécurité à des rôles et dans entreprises diverses.

Le podcast est publié à fréquence hebdomadaire, sur son site web, généralement le dimanche. Une nouvelle thématique est abordée chaque semaine, en présence d'un invité lié de près ou de loin à cette thématique.

L'épisode de cette semaine porte sur la fondation OWASP. L'invité est Sébastien Gioria, qui dirige la division française de l'OWASP.

Logos de la fondation OWASP et du podcast No Limit Secu

Remonter une attaque et trouver la faille avec les logs d'Apache2

60
4
mai
2015
Sécurité

Nous allons voir dans cet article comment remonter une attaque suite au piratage d'un site avec les logs d'Apache. On partira du principe que Apache est déjà configuré pour mettre ses logs dans /var/log/apache2 et dans les fichiers access.log et error.log.

No Limit Secu : épisode sur le forensic et DFF (framework opensource dédié au forensic)

Posté par  . Édité par Nils Ratusznik et Benoît Sibaud. Modéré par ZeroHeure. Licence CC By‑SA.
14
27
avr.
2015
Sécurité

Cette semaine, l'épisode de No Limit Secu est dédié à la criminalistique (forensic) et au logiciel libre DFF (Digital Forensics Framework, boîte à outil de criminalistique numérique, licence GPL).

NoLimitSecu

Dans cet épisode, nous abordons les points suivants :

  • Qu'est-ce que le forensic ?
  • Quelles sont les problématiques liées à la pratique du forensic ?
  • Solal Jacob répond à nos questions sur DFF.

DFF est un cadriciel qui peut être utilisé à la fois par des professionnels et non-experts afin de recueillir et de révéler des preuves numériques en préservant les systèmes et les données.

Podcast francophone dédié à la cybersécurité : No Limit Secu

Posté par  . Édité par Nils Ratusznik, Benoît Sibaud et palm123. Modéré par Benoît Sibaud. Licence CC By‑SA.
19
21
avr.
2015
Sécurité

Un épisode sur NAXSI un WAF — parefeu applicatif pour le web — open-source avec Thibault Koechlin et Sébastien Plot : quoi de mieux comme occasion pour porter à votre connaissance l'existence d'un podcast (ou bala(do)diffusion) dédié à la cybersécurité ?

No Limit Secu est un podcast indépendant, animé par des personnes passionnées qui sont parties prenantes dans le domaine de la cybersécurité à des rôles et dans entreprises diverses.

logo de No Limit Secu

L'équipe du podcast prend beaucoup de plaisir à réaliser ces épisodes et souhaite partager cela avec la communauté LinuxFr.org. Dans la mesure du possible, un nouvel épisode est publié chaque semaine. C'est donc aussi l'occasion de vous proposer de contribuer à un épisode si vous souhaitez aborder une problématique ou traiter d'un sujet dans lequel vous êtes impliqué(e) (bien entendu, dans le domaine de la cybersécurité). Pour cela, vous pouvez contacter l'équipe via Twitter : @nolimitsecu.

PacketFence v5 maintenant disponible!

Posté par  (site web personnel) . Édité par palm123. Modéré par bubar🦥. Licence CC By‑SA.
Étiquettes :
16
17
avr.
2015
Sécurité

Inverse annonce la sortie de la version 5 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. Procurant une liste impressionnante de fonctionnalités comme un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, le support pour le 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

La version 5 de PacketFence apporte de nombreuses améliorations comme le mode actif/actif pour une grande extensibilité horizontale, l'intégration de Fingerbank pour la différenciation des appareils sur le réseau, l'intégration de StatsD pour un monitoring précis d'indicateurs de performance et la documentation a été entièrement revue.

Certification de clés PGP et CAcert à Paris le 20 avril 2015

Posté par  . Édité par Benoît Sibaud, Ontologia et bubar🦥. Modéré par ZeroHeure. Licence CC By‑SA.
9
15
avr.
2015
Sécurité

CAcert est une « autorité de certification communautaire qui émet gratuitement des certificats pour tous ». Elle peut donc fournir des certificats X.509 pour vos serveurs web, vos navigateurs web ou vos logiciels de courriel. Elle peut aussi signer les clés PGP/GPG.

Un rendez-vous est organisé le 20 avril 2015, à 19h00, pour valider vos identités CAcert, à l'hôtel Novotel Les Halles, 8, place Marguerite de Navarre 75001 Paris.

Le réseau de confiance de CAcert repose sur l'attribution de points : plus vous avez de points, plus la confiance dans le fait que vous êtes qui vous prétendez est grande (et plus vous pouvez attribuer de points à d'autres).

Si vous pouvez aussi donner des points, manifestez vous, soit ici ou sur meetup.

NdM : LinuxFr.org utilise un certificat CAcert (cf l'aide 1, 2 et 3), ainsi que GPG.

Cybersécurité : des enjeux et des techniques au cœur de l’actualité (Évry, 16 avril 2015)

Posté par  . Édité par Benoît Sibaud et palm123. Modéré par bubar🦥. Licence CC By‑SA.
10
11
avr.
2015
Sécurité

L'association étudiante MiNET, fournisseur d'accès internet sur les campus des écoles Télécom SudParis et Télécom École de Management, organise jeudi 16 avril 2015 à Évry un après-midi de conférences autour de la cybersécurité et de la protection des données personnelles.

Depuis que Edward Snowden a révélé en juin 2013 les agissements de la NSA, le grand public a ouvert les yeux sur l'enjeu majeur qu'est la cybersécurité. En effet nous confions de plus en plus de données à différents acteurs du web. Pourtant l'accumulation récente de fuites montrent que nos données sont vulnérables : le piratage de photos personnelles de célébrités sur icloud, l'arrêt des services live de Microsoft et Sony à Noël…

Durant cet après-midi nos six conférenciers (liste en seconde partie de la dépêche) aborderont un large spectre de problématiques liées à la cybersécurité. Le but est de proposer une ouverture sur des domaines bien spécifiques (méthode de triage en forensic, cyberterrorisme, threat intelligence, etc…) tout en posant la problématique de ce que nous, en tant qu'individus, faisons de nos données privées.`

Qui a accès à nos données ? Comment ? Qu'en font-ils ?

Pourquoi ne faut-il absolument pas brancher ses appareils USB sur des bornes publiques ?

Posté par  (site web personnel) . Édité par Benoît Sibaud, ZeroHeure, Florent Zara et bubar🦥. Modéré par patrick_g. Licence CC By‑SA.
42
8
mar.
2015
Sécurité

Bornes USB à Paris
Vous avez peut-être entendu parler des nouvelles bornes installées dans les abris-bus à Paris permettant de recharger un téléphone ou tout autre appareil se rechargeant par l'USB. Bon, ça n'a rien d'ingénieux et ça se fait depuis plus d'une décennie.

Et si ça posait un risque pour vos données ? Et de manière générale si se brancher sur l'USB n'était pas anodin ?

NdM: l'article original de matlink a été enrichi en modération.

Quand la cybernétique hiberne l'éthique

Posté par  (site web personnel) . Édité par NeoX et Nÿco. Modéré par Nÿco. Licence CC By‑SA.
39
23
fév.
2015
Sécurité

La 19 février 2015, le ministère français de la défense a mis en ligne (sur Youtube) une cybervidéo pour nous parler de la cyberdéfense afin d'arrêter les cybermenaces des cyberméchants. Cette vidéo a notamment été reprise dans Les liens idiots du dimanche de NextINpact sous le titre « Cyberdéfense : la drôle de publicité de l'armée ». Le titre officiel « La cyberdéfense : le combat numérique au cœur des opérations » est plus vendeur.

Le « nouveau terrain d'affrontement » est l'occasion de parler de « propagande djihadiste, des pirates cagoulés qui tapent au hasard sur des claviers, les Anonymous, Stuxnet, etc. avant d'enchainer sur des avions de chasse, sous-marins, hélicoptères et autres artilleries lourdes. »

Évoquons un peu (dans la seconde partie de la dépêche) cette vidéo, avant de faire un petit résumé des épisodes précédents dans l'armée française.

Pour plus de sécurité au bureau, évitez les chips (ou alors, chuchotez) !

Posté par  (site web personnel) . Édité par Benoît Sibaud, Nÿco et palm123. Modéré par Nÿco. Licence CC By‑SA.
20
23
fév.
2015
Sécurité

Ok vous vous dites « qu'est-ce que c’est encore cette dépêche ? » (vous n’auriez pas tort) mais sous ce titre il est vrai aguicheur, je vais vous parler d’un article que j’ai lu récemment.
Article très sérieux où il n’est pas question du tout nouveau logiciel open source, mais plutôt de paquet de chips, de cyberespionnage, de plante et de ronronnement d’ordinateur…

La suite de la dépêche a pour but de montrer que la sécurité informatique est un domaine vaste et complexe qui parfois est complètement indépendant de la bonne volonté des informaticiens…

GnuPG utilisé, GnuPG oublié, mais GnuPG financé

Posté par  (site web personnel) . Édité par palm123, NeoX, Xavier Teyssier, Benoît Sibaud, ZeroHeure et rootix. Modéré par ZeroHeure. Licence CC By‑SA.
66
7
fév.
2015
Sécurité

Il s'est passé quelque chose d'assez extraordinaire ces derniers jours pour GnuPG, alors j'aimerais en parler pour que tout le monde soit au courant.

NSA - À propos de BULLRUN

Posté par  (site web personnel) . Édité par Nils Ratusznik, rootix, NeoX, palm123, ZeroHeure et Nÿco. Modéré par Nils Ratusznik. Licence CC By‑SA.
45
5
fév.
2015
Sécurité

Voici la suite des « études » des leaks (fuites) de Snowden menées pour NSA-Observer. Dans cet article, nous allons revenir sur les révélations du Spiegel datant de fin décembre lors du 31c3 (Chaos Computer Congress) et du 17 janvier 2015 portant sur les moyens offensifs de la NSA ainsi que d'autres agences concernant la cryptographie.

La conférence « Reconstructing narratives » de Laura Poitras et Jacob Appelbaum présentant ces documents est visible ci-dessous (mais aussi sur le site du CCC) :

BULLRUN, qu'est ce que c'est ?

BULLRUN est un « programme » de la NSA exploitant différents moyens pour accéder à du contenu chiffré. Le New York Times avait abordé le sujet fin 2013 dans son article « Secret Documents Reveal N.S.A. Campaign Against Encryption » mais sans aucun détail (comme The Guardian ou encore propublica).

Appel à conférences sur la sécurité informatique, pour le 06 au 08 mars 2015, à SUPELEC Metz

Posté par  . Édité par bubar🦥 et Benoît Sibaud. Modéré par Ontologia. Licence CC By‑SA.
6
9
jan.
2015
Sécurité

Cette année l'association GOALL aide à l'organisation des Journées FedeRez à SUPELEC à Metz. FedeRez est une fédération d'associations de réseaux informatiques étudiants. Tous les ans, les étudiants des associations membres se retrouvent pour échanger lors des Journées FedeRez, assister à des conférences et participer à divers ateliers. En plus des nombreux étudiants et jeunes diplômés constituant le public habituel de l'événement, beaucoup de professionnels sont invités.

L'édition 2015 aura pour thème la sécurité des systèmes d'information :

  • vendredi 6 mars après-midi : conférences et table ronde
  • samedi 7 mars matin : conférences
  • samedi 7 mars après-midi : conférences et ateliers
  • dimanche matin 8 mars : conférences et Assemblée Générale Ordinaire des associations membres du réseau Federez

Mises à jour ntp à faire suite à la faille CVE-2014-9295

Posté par  . Édité par Benoît Sibaud, Jiehong, Florent Zara, Nÿco, Nils Ratusznik et BAud. Modéré par Nÿco. Licence CC By‑SA.
30
26
déc.
2014
Sécurité

De multiples failles de sécurité ont été identifiées et comblées dans ntp (le logiciel de ntp.org, pas le protocole NTP en général) ces derniers jours. Il s'agit de plusieurs failles avec notamment :

  • deux dépassements de mémoire tampon qui peuvent permettre un déni de service ou l'exécution de code avec les privilèges du processus ntpd lancé ;
  • d'une faiblesse dans la génération des clés, il est donc conseillé de recréer ces dernières après la mise à jour dans certains cas.

Elles ne sont pas forcément exploitables ou d'une grande dangerosité en dehors d'une d'utilisation avancée / serveur ntpd, mais il est préférable d'être prévenu :)

Cette faille a été identifiée et nommée CVE-2014-9295. Elle concerne toutes les versions de ntp jusqu'à la 4.2.7 et la version corrective 4.2.8 est parue le 18 décembre 2014.

NdM : il existe d'autres logiciels libres pouvant servir pour la synchronisation NTP, comme openntpd (non vulnérable) issu d'OpenBSD, Ntimed (client uniquement) sponsorisé par la Linux Foundation, chrony, etc.

Vulnérabilité dans Git et Mercurial sur certains systèmes de fichiers (FAT, NTFS, HFS+, etc.)

Posté par  (site web personnel) . Édité par Benoît Sibaud et Bruno Michel. Modéré par rootix. Licence CC By‑SA.
42
19
déc.
2014
Sécurité

Une vulnérabilité (CVE-2014-9390) a été annoncée hier soir concernant le logiciel de gestion de versions le plus en vogue en ce moment, j'ai nommé Git, ainsi que sur Mercurial, autre logiciel de la même catégorie. Elle a déjà été corrigée, je vous invite donc à mettre à jour vos installations.

Github, le service d'hébergement de dépôt Git lui aussi très en vogue, a de son côté annoncé avoir vérifié tous les dépôts présents sur ses serveurs à la recherche d'exploitations de cette vulnérabilité. Mesure de sécurité supplémentaire, il refuse désormais les push exploitant cette faille.

NdM : Merci à RoM1 et Sébastien Douche pour les précisions apportées dans la dépêche. La faille a été trouvée par le créateur de Mercurial, Matt Mackall, et Augie Fackler. La vulnérabilité se décline en trois parties :

  • la sensibilité à la casse dans Git, déjà corrigé dans Mercurial en 2008 ;
  • l’expansion des noms courts sous Windows (PROGRA~1 → Program Files), déjà corrigé dans Mercurial ;
  • la découverte récente de la façon non documentée dont Darwin (Apple) s’amuse avec HFS+ à ignorer certains caractères spéciaux et qui peut créer de nouvelles collisions de nom (cf la correction chez Mercurial, qui a permis la correction côté Git).

“OpenPGP card”, une application cryptographique pour carte à puce

79
18
déc.
2014
Sécurité

À la demande générale de deux personnes, dans cette dépêche je me propose de vous présenter l’application cryptographique « OpenPGP » pour cartes à puce au format ISO 7816. Une carte à puce dotée d’une telle application vous permet d’y stocker et de protéger vos clefs OpenPGP privées.

LibreSSL 2 est bien lancé

Posté par  . Édité par Nÿco, ZeroHeure, M5oul, BAud, Davy Defaud, ariasuni, palm123, RyDroid, bubar🦥 et Benoît Sibaud. Modéré par Nils Ratusznik. Licence CC By‑SA.
Étiquettes :
63
1
déc.
2014
Sécurité

Suite à la découverte des failles sur OpenSSL, les développeurs d’OpenBSD ont publié les premières versions de leur fork LibreSSL : d’abord la 2.0.0 le 11 juillet 2014, puis la 2.1.0 le 12 octobre et la 2.1.1 le 16 octobre. Elles sont disponibles sur leur site FTP.
Les buts sont de moderniser la base de code, améliorer la sécurité, et appliquer les bonnes pratiques de développement (modernizing the codebase, improving security, and applying best practice development processes).
LibreSSL

Plusieurs projets ont déjà cherché à remplacer OpenSSL. Par exemple, LibreSSL est censé fonctionner sous GNU/Linux, Solaris, Mac OS X ou FreeBSD.

Detekt, un logiciel de détection de logiciels espions

Posté par  . Édité par Benoît Sibaud, Davy Defaud, Nÿco, M5oul et Nils Ratusznik. Modéré par NeoX. Licence CC By‑SA.
Étiquettes : aucune
29
22
nov.
2014
Sécurité

Amnesty International, en partenariat avec Privacy International, Digitale Gesellschaft et Electronic Frontier Foundation, a annoncé le 20 novembre la publication du logiciel Detekt. Ce logiciel libre (GPL v3) a pour but de détecter des logiciels espions (spywares) sur un système d’exploitation Windows. Il cible notamment l’espionnage gouvernemental des journalistes et des militants. Detekt est développé par le chercheur en sécurité Claudio Guarnieri.

Amnesty

CVE-2014-3566 — Vulnérabilité POODLE

Posté par  . Édité par Nÿco, bubar🦥, Davy Defaud, Xavier Teyssier, palm123 et Benoît Sibaud. Modéré par patrick_g. Licence CC By‑SA.
32
17
oct.
2014
Sécurité

Qu’est‐ce POODLE ?

POODLE signifie Padding Oracle On Downgraded Legacy. Il s’agit d’une vulnérabilité permettant via une attaque de l’« homme du milieu » (MIM, Man In the Middle), en se plaçant entre le navigateur Web et le serveur Web, de déchiffrer les informations chiffrées.

POODLE affecte les anciennes normes de chiffrement, notamment Secure Socket Layer (SSL) version 3.0. Il n’affecte pas le mécanisme de chiffrement plus récent, et standardisé, appelé Transport Layer Security (TLS).

Recommandations

Pour atténuer cette vulnérabilité, désactivez SSL 3.0 en forçant l’utilisation de TLS, tout en vérifiant la compatibilité des navigateurs clients devant y avoir accès.

Plusieurs bulletins de sécurité ont annoncé la vulnérabilité :

SELKS 1.0 : une distribution

Posté par  (site web personnel) . Édité par Davy Defaud, Nÿco, Xavier Teyssier et palm123. Modéré par patrick_g. Licence CC By‑SA.
35
16
oct.
2014
Sécurité

SELKS est une distribution liv_e et installable qui fournit un système de détection d’intrusion (_Intrusion Detection System, abrévié IDS) Suricata prêt à l’emploi. Elle intègre Scirius, une interface Web de gestion des règles de l’IDS, et le trio Elasticsearch, Logstash et Kibana (ou "ELK"). L’interface Kibana permet d’analyser les alertes et les événements remontés par l’IDS.

Capture d'écran de SELKS

Le projet SELKS a été initié pour fournir un moyen de tester rapidement les capacités de l’IDS Suricata dans le domaine de la détection d’intrusion réseau et dans le domaine de la surveillance réseau. En mode live, il est ainsi possible de passer de l’amorçage du système à l’analyse du trafic réseau dans Kibana en 30 secondes.

67 chaussettes pour OpenSSH

Posté par  (site web personnel) . Édité par Davy Defaud, Benoît Sibaud et patrick_g. Modéré par Xavier Teyssier. Licence CC By‑SA.
Étiquettes :
57
16
oct.
2014
Sécurité

Le 6/10, OpenSSH est sortie en version 6.7. Faut‐il vraiment dire ici ce que fait OpenSSH ou est‐ce dans l’inconscient collectif des libristes ? En très bref, c’est un serveur et un client du protocole SSH, digne descendant de telnet, qui ajoute pas mal de truc comme la redirection de ports…

Quoi de neuf en octobre ?

  • Les algorithmes de chiffrement par défaut ont été changés et notamment CBC et Arcfour ont été désactivés (pas supprimés, il est toujours possible de les activer).

  • La prise en charge de la bibliothèque tcpwrapper a été supprimé. Cela pose, par exemple, des problèmes pour la future Debian Jessie car c’était une fonctionnalité encore souvent utilisée par de nombreux utilisateurs. Debian a décidé de maintenir via un correctif la fonctionnalité pour le moment (voir les commentaires sur LWN).

  • La factorisation du code source continue afin d’améliorer le cœur en vue de fournir une bibliothèque utilisable de manière indépendante. Cependant, le travail n’est pas encore parfait du coté de l’interface de programmation (API), donc la bibliothèque n’est pas encore mise en avant.

  • ssh et sshd intègrent la prise en charge de la transmission (forward) des sockets UNIX. Un port TCP distant peut être connecté à un socket UNIX local et réciproquement. De même, on peut connecter deux sockets UNIX ! Cette fonctionnalité n’était possible jusqu’à présent que pour X-Window via l’option -X, elle ouvre de grands horizons dans l’usage distant d’un poste de travail.

  • Ajout de la séquence d’échappement %C dans le client ssh pour les commandes LocalCommand et ControlPath. %C représente un condensat (hash) du tuple (hôte local, utilisateur distant, hôte distant, port). L’objectif est de pouvoir avoir un nom de fichier court et unique, car sur certains UNIX, on pouvait dépasser la limite du système pour les noms de fichiers correspondant aux sockets UNIX !

Il y a encore pas mal de petites choses concernant le chiffrement, les procédures de test et de robustesse… Le mieux pour les passionnés est de lire la note de version pour avoir une vision détaillée et complète.