Deming est un outil Open Source (GPL 3.0) de gestion de Système de Management de la Sécurité de l'Information (SMSI). Conçu par un responsable de la sécurité des systèmes d'information (RSSI) pour des RSSI, il couvre la gestion des contrôles, le registre des risques, la gestion des exceptions et des plans d'action. Largement adopté par la communauté, il se distingue par sa simplicité d'utilisation et de mise en œuvre.

Logo Deming

Lien FreeBSD a aussi droit à un trou de sécurité LPE dans son noyau cette semaine

Posté par cg le 10 mai 2026 à 22:43.

Étiquettes :

11

10

mai

2026

https://www.freebsd.org/security/advisories/FreeBSD-SA-26:13.exec.asc

Lien The mismeasure of open source

Posté par pulkomandy (site web personnel, Mastodon) le 09 mai 2026 à 23:25.

Étiquettes :

11

9

mai

2026

https://nesbitt.io/2026/05/09/the-mismeasure-of-open-source.html

Forum Linux.général Nouvelle faille zero-day Linux « Dirty Frag »

Posté par yinqi le 08 mai 2026 à 10:42. Licence CC By‑SA.

-3

8

mai

2026

Journal Et ça continue [DirtyFrag]

Posté par Ambroise le 07 mai 2026 à 23:17. Licence CC By‑SA.

Étiquettes :

20

7

mai

2026

Après CopyFail, voilà DirtyFrag…https://github.com/V4bel/dirtyfrag

Et encore une fois, il y a eu un raté sur le NDA (sauf que là, le gars dit que ce serait d'une tierce partie).

Par contre, je serais bien incapable de dire si le module impacté est nécessaire ou non à quelque chose une machine standard. Et donc je ne peux pas dire si le workaround est à faire ou non…

Lien Cybersécurité de l’État : le "plan" du gouvernement pour (essayer de) stopper l’hémorragie

Posté par Maderios le 02 mai 2026 à 13:22.

Étiquettes :

2

mai

2026

https://next.ink/236507/cybersecurite-de-letat-le-plan-du-gouvernement-pour-essayer-de-stopper-lhemorragie/

Journal Exploit Linux local pour passer root : Copy Fail (CVE-2026-31431)

Posté par Victor STINNER (site web personnel) le 30 avril 2026 à 15:37. Licence CC By‑SA.

Étiquettes :

31

30

avr.

2026

La société Theori a publié un exploit (écrit avec Python 3.10) pour le noyau Linux x86-64 pour passer root en local. Il utilise un bug dans les sockets AF_ALG sur une opération AEAD qui existe depuis 2017 (commit). Depuis d'autres exploits ont été écrits tels quel copy-fail-c qui est écrit en C et supporte d'autres architectures CPU (comme AArch64); sous Fedora, il a besoin du paquet glibc-static.

Le correctif (commit) est disponible dans le noyau Linux (…)

Lien [Copy Fail] The same 732-byte Python script roots every Linux distribution shipped since 2017.

Posté par gUI (Mastodon) le 29 avril 2026 à 20:53.

Étiquettes :

14

29

avr.

2026

https://copy.fail/

Mercator — Cartographie de SI Open Source

Posté par didierb le 29 avril 2026 à 18:30. Édité par Xavier Teyssier. Modéré par bobble bubble. Licence CC By‑SA.

Étiquettes :

22

29

avr.

2026

Si vous êtes RSSI, DSI ou architecte dans une entité concernée par NIS2, vous avez probablement reçu en 2024 ou 2025 une lettre de votre autorité de supervision vous rappelant poliment — mais fermement — que la cartographie de votre système d'information est désormais une obligation réglementaire. Pas une bonne pratique. Pas une recommandation. Une obligation.

NIS2 (transposée en droit national dans les pays membres de l'UE) impose aux entités essentielles et importantes de mettre en place des mesures de gestion du risque cyber, parmi lesquelles figure explicitement la connaissance et la documentation de son système d'information. L'ANSSI en France, le CSIRT Luxembourg, le BSI en Allemagne — tous y font référence. Sans cartographie, pas de gestion du risque sérieuse, pas d'analyse d'impact, pas de plan de continuité fiable.

C'est précisément le problème que Mercator tente de résoudre depuis plusieurs années, et le projet continue d'évoluer.