En 2007, le NIST (National Institute of Standards and Technology) a lancé une compétition internationale pour choisir une fonction de hachage de nouvelle génération.

Les attaques sur SHA-1 avaient généré une certaine inquiétude et les experts pensaient que la famille SHA-2 (SHA-256, SHA-384, SHA-512) serait menacée à plus ou moins longue échéance. Cela a donc conduit à l’organisation d’une compétition SHA-3 sur le modèle de celle ayant conduit à la sélection de l’algorithme de chiffrement AES.

Plus de 64 propositions ont été reçues et soumises, au fil des années, aux tentatives de cassages de la communauté cryptographique mondiale. Cette longue compétition vient enfin de s’achever puisque le NIST a désigné Keccak comme l’algorithme gagnant. Ce dernier devient donc officiellement SHA-3.

Plus de détails dans la suite de la dépêche.

Hier, une porte dérobée (backdoor) a été trouvée dans le paquet PhpMyAdmin qui se trouvait sur le miroir cdnetworks-kr-1 de SourceForge.net. Cette porte dérobée se trouve dans le fichier server_sync.php. Elle autorise l’exécution de code à distance. À noter qu’un autre fichier, js/cross_framing_protection.js, a aussi été modifié. Le paquet modifié, phpMyAdmin-3.5.2.2-all-languages.zip, semble l’avoir été le 22 septembre dernier. 400 personnes l’auraient téléchargé.

Pour le moment, un seul fichier modifié a été détecté, mais il est probable que d’autres paquets présents sur ce miroir aient été modifiés pour inclure des portes dérobées. Il est donc suggéré de vérifier et revérifier la source de vos différents paquets si vous en avez téléchargés depuis SourceForge.net dernièrement. Le miroir incriminé a été retiré de la liste des miroirs disponibles.

NdM : merci à pasBill pasGates pour son journal.

Depuis la découverte de Stuxnet en juin 2010 et son analyse, les experts se sont aperçu que certaines des failles utilisées par le malware étaient inconnues (0-day) et de très haut niveau, et que certaines autres étaient au contraire connues et relativement triviales, cette dernière catégorie est majoritairement représentée parmi celles affectant les systèmes SCADA Siemens WinCC (Supervisory Control And Data Acquisition, télésurveillance et acquisition de données).

Depuis, beaucoup de personnes se sont intéressées à la sécurité des systèmes de contrôle industriel au sens large. Les systèmes SCADA sont dorénavant bien connus pour être vulnérables mais ils ne sont pas les seuls.

Le monde de la sécurité informatique découvre depuis peu ce que beaucoup de gens savent déjà, les systèmes de contrôle industriel sont de vraies passoires et la mise en péril d'un processus industriel est relativement simple.

Prelude OSS est de retour sur Internet avec une nouvelle version 1.0.1.

Prelude est un logiciel SIEM (Security Information & Event Management) qui permet de superviser la sécurité de votre système d'information. Prelude collecte, normalise, trie, agrège, corrèle et affiche tous les événements de sécurité indépendamment des types d'équipements surveillés. Au-delà de sa capacité de traitement de tous types de journaux d’événements (logs système, syslog, fichiers plats, etc.), Prelude est nativement compatible avec de nombreuses sondes anti-intrusion open-source (snort, suricata, ossec, samhain, etc.) grâce à l'utilisation du format IDMEF (RFC 4765).

Démarré en 1998 sous la forme d'un projet libre d'une sonde IDS, Prelude devient le premier SIEM hybride open-source à partir de 2003, année à laquelle se crée la société Prelude Technologies qui commercialise la version Entreprise.

Prelude sera repris en 2009 par la société Edenwall et sera malheureusement entraîné dans sa mise en faillite. Le logiciel est alors racheté par la société CS, intégrateur de systèmes critiques, en début d'année 2012, société qui propose déjà une solution open-source de supervision de performances complémentaire avec Vigilo. Suite au rachat, le site Prelude est remis en ligne mais sans les sources de la version OSS. Cette nouvelle version signe donc le retour de Prelude OSS sur Internet.

Les nouveautés de la v1.0.1 :

• Correction de nombreux bugs
• Rafraîchissement des interfaces Web
• Amélioration des traductions
• Ajout de nouvelles règles LML
• Mise à jour des copyrights
• Transfert des fonctions relaying dans la version Entreprise

Profitons de la torpeur estivale et de la chaleur accablante (mais pas ici) pour revenir sur plein de petites actualités autour du vote électronique (par ordinateurs de vote ou par Internet). Dans la seconde partie de la dépêche, il sera notamment question d'ordinateurs de vote à la benne, de scrutin annulé, d'effet Streisand, de contentieux électoral, des RMLL 2012, des questions écrites sénatoriales, des blagues potaches et d'open data sur les villes françaises avec ordinateurs de vote.

Cette semaine est sortie une nouvelle version majeure de LemonLDAP::NG : la version 1.2.0. Annoncée et attendue depuis plusieurs mois, elle est enfin disponible et propose de nombreuses améliorations.

LemonLDAP::NG est un logiciel de WebSSO, contrôle d'accès et fédération des identités. Ses principales fonctionnalités sont :

• Portail d'application, affichant dynamiquement les applications autorisées
• Réinitialisation du mot de passe par un challenge par mail
• Interface d'administration Web
• Explorateur de sessions
• Notifications
• Gestion de nombreux moyens d'authentifications (LDAP, SQL, certificat SSL, Kerberos, etc.)
• Prise en charge des protocoles CAS, OpenID et SAML
• Propagation de l'identité par en-têtes HTTP, variables d'environnement ou rejeu de formulaires
• Identification des URL à protéger par expressions régulières

Nous sommes presque deux mois après le World Backup Day mais il n'est jamais trop tard pour faire une sauvegarde. C'est une réalité qu'il faut accepter, votre disque dur va vous lâcher et certainement au moment où cela vous embêtera le plus. Et cela même si vous n'avez pas investi dans un superbe SSD OCZ (jusqu'à 15,58% de taux de panne !).

Subir une défaillance d'un disque dur devient aussi de plus en plus grave à mesure qu'un nombre croissant de types de données se retrouve sous format numérique (musique, photos, messages, rapports, etc.), et que leur volume augmente.

C'est pourquoi le monde du logiciel (libre ou propriétaire) regorge de solutions pour sauvegarder vos précieuses données.

Cette dépêche (voir la seconde partie) n'abordera pas des solutions traditionnelles et éprouvées telles que le très connu Amanda, le moins connu mais tout autant excellent DAR et les solutions « maison » à base de rsync. Elle n'abordera pas non plus des solutions trop restreintes à une plate-forme ou à un système de fichier (ZFS + snapshot par exemple). Elle va plutôt s'intéresser aux logiciels libres prenant en charge la déduplication.

Sous licence CC by-sa par Mrs. Gemstone

L'équipe d'Inverse est fière d'annoncer la disponibilité immédiate de la version 3.4 de PacketFence.

Nouveautés à 3.4

La version 3.4 de PacketFence offre plusieurs nouvelles fonctionnalités comme :

• le support du système d'exploitation Debian 6.0 (« Squeeze »)
• le contrôle d'accès à base de rôles (RBAC) pour les équipements sans fil de Cisco
• il est dorénavant possible de définir plus de 100 VLAN personalisés
• amélioration du processus d'importation massive de noeuds
• la prise en charge de nouveaux équipements de Brocade et Hewlett-Packard (H3C)

Plusieurs améliorations de performance ont été apportées, de même que certains correctifs.

Malgré un peu de retard (la sortie était le 21 mai) sur LinuxFr.org, les développeurs du projet nmap sont heureux d'annoncer la sortie de la version 6.0 du célèbre scanner de ports et de sa suite d'outils compagnons ! La principale nouveauté est la prise en charge complète d'IPv6 : tous les types de scans sont dorénavant pris en charge. Un nouveau moteur de prise d'empreinte de pile TCP/IP a spécialement été écrit, utilisant des techniques d'apprentissage machine.

De nouveaux scripts pour l'analyse en détail des réseaux audités, des dizaines de nouvelles bibliothèques. À noter ici le travail incroyable de Patrik Karlsson qui est à lui seul l'auteur d'environ la moitié des 348 scripts du projet. De très nombreuses améliorations des scripts et bibliothèques existantes, ainsi que de l'interface du moteur de script.

Suit une description plus détaillée des principaux changements. Peut être celle-ci incitera Batman, utilisateur héroïque mais pas à jour, à mettre à jour pour la v6.0 !

NdM : merci à Nÿco, Christophe Turbout, Yves Bourguignon et Benoît pour leur participation à l'écriture de cet article.

Le lundi 21 mai au soir, à Paris, se tiendra une conférence organisée par Parinux, expliquant les principes de base de la cryptographie et leur application dans les systèmes SSL et PGP. Cette conférence sera suivie par une signing-party PGP et CAcert.

• Contenu : explications sur la cryptographie, SSL et PGP puis signing-party
• Lieu : EPN la Bourdonnais, 105 avenue de la Bourdonnais, 75007 Paris
• Date : 2012-05-21 18:45+02:00
• Durée : 02:15

Pour le déroulement de la signing-party, il est demandé de :

1. générer un paire de clefs si vous n'en avez pas déjà une ;
2. envoyer votre clef publique et vous inscrire ;
3. imprimer quelques exemplaires de votre empreinte de clef ;
4. imprimer la liste des participants qui vous sera envoyée ;
5. venir munis de tout cela ainsi qu'un stylo et d'une (ou plusieurs) pièce d'identité.

Un nouveau venu fait son apparition dans le monde des VPN peer-to-peer sur Internet : Freelan. Ce logiciel libre licencié sous GPL permet d'établir un réseau VPN entre différents hôtes selon, au choix, un modèle peer-to-peer, client-serveur ou hybride. N'importe quelle topologie réseau est possible.

Plus de détails dans la suite de la dépêche

L'équipe d'Inverse est fière d'annoncer la disponibilité immédiate de la version 3.3 de PacketFence.

Nouveautés à 3.3

La version 3.3 de PacketFence offre plusieurs nouvelles fonctionnalités comme :

• Le contrôle d'accès à base de rôles (RBAC) pour les équipements d'AeroHIVE, Aruba, Meru et Motorola
• Les invités peuvent dorénavant s'enregistrer d'avance ou être parrainés
• La simplification dans l'utilisation du mode inline
• La prise en charge de nouveaux équipements d'Allied Telesis, Cisco et Hewlett-Packard

Plusieurs améliorations de performance ont été apportées, de même que certains correctifs.

Qu'est-ce que PacketFence ?

PacketFence est une solution sous licence GPLv2 de conformité réseau (NAC, c'est-à-dire qu'il permet de filtrer les appareils qui se connectent au réseau) entièrement libre, supportée et reconnue. Procurant une liste impressionante de fonctionnalités, elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Pastebin.com est un service qui permet à n'importe qui de partager des informations sous forme de texte. Jusqu'à peu, on pouvait partager tout et n'importe quoi, mais cela va changer ! Le propriétaire, Jeroen Vader, a en effet annoncé qu'il allait embaucher des employés pour modérer le contenu du site, sous la pression des nombreuses plaintes qu'il recevait (en moyenne 1200 par jour).

Partant de là, Seb Sauvage a commencé à développer un outil qui permettrait d'empêcher ce type d'auto-censure, dans un service similaire à pastebin. Le résultat est ZeroBin.

Le département informatique de l'IUT de Bordeaux en association avec l'UFR Math-Info de l'Université de Bordeaux, va ouvrir en septembre 2012, une licence professionnelle Spécialiste en Sécurité des Réseaux et Logiciels dans le domaine de la sécurité des réseaux et des logiciels (bac + 3).

Cette ouverture permettra de faire face à une crise importante en matière de formation et de recrutement dans ce domaine.

Une large part des contenus proposés dans cette formation s'appuie sur des logiciels libres et sur des systèmes basés sur le noyau Linux.
Cette formation s'appuie sur l’expérience acquise par l’équipe du Master Cryptologie et Sécurité Informatique et complétera les deux autres offres de licence professionnelle « Systèmes Informatiques et Logiciels » proposées depuis plus de 8 ans :

• Assistant Chef de Projet Informatique
• Développeur en Applications Web et Images Numériques

Access Road est un simulateur universel des contrôles d'accès logiques, pour améliorer la conception et l'audit de la sécurité. Une meilleure maîtrise de MySQL Server est la première utilisation pratique de Access Road.

Il contient la modélisation de Linux (composants et droits sur les fichiers) et de MySQL Server (composants et privilèges). Il simule aussi une application générique utilisant des rôles, selon le modèle 'Role Based Access Control'.

Access Road est pour le moment en anglais. Il est destiné aux administrateurs techniques, experts ou non en sécurité, et aux administrateurs d'application, même débutants.

Root Me est une plateforme d'apprentissage dédiée à la sécurité de l'information, avec l'émulation (dans tous les sens du terme). Sa communauté met à disposition de tous un nouveau système permettant d'appréhender dans un environnement réel, sans limites et sans simulation, les techniques les plus couramment employées.

Le principe est simple : les joueurs attaquent tous la même cible représentée par une machine virtuelle. Le premier ayant réussi à compromettre le système, c'est à dire ayant obtenu les droits d'administration a gagné.

LinID OpenLDAP Manager est une interface Web de configuration du produit d'annuaire LDAP OpenLDAP.

En effet, depuis peu, OpenLDAP permet de gérer sa configuration non plus dans un fichier plat (slapd.conf) mais dans un arbre LDAP (l'arbre cn=config). Cela rend possible l'utilisation de navigateurs LDAP standards pour l'édition de la configuration ; toutefois ces navigateurs atteignent vite leurs limites sur ce type de données techniques.

La société Linagora développe depuis plusieurs années un framework Java, nommé LinID Directory Manager, permettant de créer des interfaces Web de gestion de données LDAP. Ce framework est basé sur Tapestry 5 et Spring, entre autres. Ce framework a été utilisé pour créer une interface de configuration d'OpenLDAP, nommée donc LinID OpenLDAP Manager.

Elle est publiée sous licence AGPLv3.

Cette interface permet d’administrer plusieurs annuaires LDAP et peut se déployer soit comme une application standard dans Tomcat, soit en mode autonome (avec Jetty intégré).

Bien qu'encore assez récente, cette application permet d'effectuer les principales tâches d'administration de l'annuaire. La version 0.6 est sortie le 10 février dernier.

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 3.1 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre, supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, la prise en charge de 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Une vulnérabilité vient d'être trouvée dans l'utilitaire sudo. Pour rappel, la commande sudo permet à l'administrateur système d'accorder à certains utilisateurs (ou groupes d'utilisateurs) la possibilité de lancer une commande en tant qu'administrateur ou un autre utilisateur. Cette vulnérabilité est présente dans la fonction sudo_debug où un appel à getprogname() est effectué. Or le nom de l’exécutable étant contrôlé par l'utilisateur, il est possible d'induire un comportement non voulu.

Les versions concernées sont les versions 1.8.0 à 1.8.3p1. La version 1.8.3p2 corrige la faille. Apprécions la rapidité de la correction : soumise le 24 janvier dernier au mainteneur de sudo (Todd C. Miller, programmeur OpenBSD), celui-ci propose un patch le 27 janvier et une nouvelle version corrigée le 30 janvier. Soit moins d'une semaine entre la découverte et la version corrigée. Il ne reste plus aux distributions qu'à mettre à jour leurs dépôts pour propager cette correction.

NdM : merci à erdnaxeli pour son journal.

Il y a quelques mois on apprenait la liquidation de la société Edenwall (ex INL) qui ayant racheté Prelude-IDS (solution de gestion des événements du système d'information, alias SIEM) en 2009 emportait ce dernier dans sa descente en enfer Edenwall : la descente en enfer et entraînant la fermeture du site.

Bonne nouvelle, Prelude-IDS est de retour. Lisez la suite de la dépêche !

Parmi d'autres mauvaises nouvelles concernant les libertés en général et le numérique en particulier, la dernière lettre de l'organisation EDRi (European Digital Rights) revient sur les compteurs électriques dits intelligents (qui remontent des informations sur votre consommation à votre fournisseur d'électricité).

Lors d'une conférence au congrès 28C3 en décembre dernier, deux chercheurs, Dario Carluccio et Stephan Brinkhaus, ont montré les failles d'un modèle de la société Discovergy, utilisé en Allemagne.

P0f est un outil de prise d'empreintes réseau passif, sous licence GNU LGPL. Cela veut dire qu'il analyse les connexions réseaux TCP/IP, même incomplètes, pour essayer d'en faire ressortir certaines caractéristiques (par exemple les flags TCP utilisés ou la taille des paquets) et ainsi en déduire l'identité (l'OS, la version du noyau) des ordinateurs derrière ces connexions.

Mais contrairement à nmap, il fonctionne de manière totalement passive, sans interférer avec les connexions TCP/IP en cours, là où nmap forge des paquets spécifiques. Nmap est donc capable d'identifier beaucoup plus rapidement l'OS derrière une adresse IP en forçant celle-ci à répondre à certaines requêtes très particulières et préparées dans ce but. Cela veut aussi dire que nmap a un comportement agressif, facile à repérer sur un réseau et pouvant mettre à mal certains équipements exotiques. P0f est plus conservateur, ce qui un avantage pour le faire tourner en continu sur un environnement de production.

La version 3.0.0 de p0f vient de sortir. C'est une réécriture complète qui apporte un certain nombre d'améliorations, dont la principale est de pouvoir analyser les charges au niveau applicatif (HTTP par exemple). Une démo est présente sur le site web de p0f : elle montre quelques caractéristiques récoltées par p0f à propos de votre adresse IP.

Quand des chercheurs en informatique font de la théorie, certains écoutent, comme les développeurs de Perl. D'autres dorment au fond de la classe : cette fois, le bonnet d'âne est pour PHP, Python, V8 (JavaScript par Google, qui sert par exemple dans node.js), Ruby (sauf CRuby), de nombreux serveurs d'applications en Java, mais aussi ASP.NET. Ils ont dû se réveiller brutalement mercredi, lors d'une présentation d'Alexander Klink et Julian Wälde au Chaos Communication Congress montrant comment saturer très simplement un serveur grâce à une attaque basée sur la complexité algorithmique.

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 3.1 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre, supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, le support pour le 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

PacketFence possède un grand nombre de fonctionnalités. Parmi celles-ci, on retrouve :

• l'enregistrement des composantes réseau grâce à un puissant portail captif ;
• le blocage automatique, si souhaité, des appareils indésirables tels les Apple iPod, Sony PlayStation, bornes sans fil et plus encore ;
• l'enrayement de la propagation de vers et virus informatiques ;
• le freinage des attaques sur vos serveurs ou diverses composantes réseaux ;
• la vérification de la conformité des postes présents sur le réseau (logiciels installés, configurations particulières, etc.) ;
• la gestion simple et efficace des invités se connectant sur votre réseau.

PacketFence est une solution non-intrusive qui fonctionne avec une multitude d'équipements réseaux (filaire ou sans fil) tels ceux de Cisco, Aruba, ExtremeNetworks, Juniper Networks, Nortel, Hewlett-Packard, Meru Networks, Foundry, Enterasys, Accton/Edge-corE/SMC, 3Com, D-Link, Intel, Dell et plus encore.

La version 3.1 de PacketFence apporte plusieurs nouvelles fonctionnalités comme le support du standard « Statement of Health » (SoH) pour effectuer la vérification de la conformité des postes, de nouvelles techniques de détection d'activités malicieuses, le support des changements d'autorisation dynamiques RADIUS (RFC3576/5176) plus rapide et fiable, l'approvisionnement automatique de profils sans fil pour les appareils iPod, iPhone et iPad, de nouveaux graphiques statistiques dans l'interface Web d'administration et plus encore.

NdM : PacketFence est publié sous licence GPLv2.

Entr'ouvert annonce la sortie du logiciel Authentic 2, une plateforme de gestion des identités numériques polyvalente conforme à de multiples standards. Authentic 2 est un logiciel libre publié sous la licence GNU AGPLv3. Il s'agit d'une application Django. Elle est déployée sur le site www.identity-hub.com qui offre le service de fournisseur d'identité, ouvert et libre.

Les fonctionnalités principales sont :

• Fournisseur d'identité et de service SAML 2.0
• Serveur CAS 1.0 et 2.0
• Fournisseur d'identité et de service OpenID 1.0 et 2.0
• Support de multiples mécanismes d'authentification standards :
  • Mots de passe classiques
  • Mots de passe à usage unique (OATH et Google-Authenticator)
  • Certificat X509 via SSL/TLS
• Passerelle de protocoles, par exemple entre OpenID et SAML
• Support des annuaires LDAP v2 et v3
• Support du mécanisme d'authentification PAM
• Gestion des attributs d'identité