Revue de presse de l'April pour la semaine 23 de l'année 2014

Posté par  (site web personnel, Mastodon) . Modéré par Nÿco. Licence CC By‑SA.
22
10
juin
2014
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Journal OpenSSL : une nouvelle faille découverte permet une attaque de l'homme du milieu

Posté par  . Licence CC By‑SA.
36
6
juin
2014

Malheureusement, après Heartbleed, OpenSSL est à nouveau touchée par une faille qui relève purement de l'implémentation : l'attaque par injection de "ChangeCipherSpec", a.k.a CVE-2014-0224.

Elle permet à un attaquant actif - qui peut écouter et modifier les trames réseaux à la volée - d'avoir un contrôle total et transparent sur la connexion chiffrée.

Rappel sur TLS

Lorsque deux machines se mettent en relation avec le protocole TLS, il y a toujours une phase d'initialisation, le Handshake. Dans (…)

DragonFly BSD 3.8

Posté par  (site web personnel) . Édité par François Tigeot, BAud, Enj0lras, Nÿco, claudex, palm123 et patrick_g. Modéré par NeoX. Licence CC By‑SA.
46
5
juin
2014
DragonFly BSD

DragonflyBSD 3.8 est désormais disponible au téléchargement. Cette version apporte notamment une nouvelle pile USB, la prise en charge de PAM et NSS, des améliorations concernant i915 et KMS, ainsi que de nombreuses améliorations de performance des pilotes réseaux et la gestion des C-state pour les CPU Intel.

Les détails concernant cette version se trouvent dans la suite de la dépêche.

Journal TrueCrypt, la fin ?

54
29
mai
2014

Après Heartbleed, la crypto nous offre nouvelle occasion de se donner des frissons dans le bas du dos.

Depuis mercredi soir la page officielle du projet "presque libre" TrueCrypt a changé, pour une page faite à la va vite indiquant que l'utilisation du Logiciel n'est pas sure et conseille de migrer vers les solutions de chiffrement natives (et propriétaires) des plate-formes Windows et MacOS (Linux n'est pas mentionné, curieux pour un projet qui a toujours mis l'accent sur le multi-plateforme).

(…)

Journal Des nouvelles de LibreSSL

Posté par  . Licence CC By‑SA.
53
19
mai
2014

Dans une présentation informative et de bon goût, Bob Beck fait le point sur les raisons qui ont poussé les développeurs OpenBSD à débuter le nettoyage complet du code d'OpenSSL sous le nom de LibreSSL:

http://www.openbsd.org/papers/bsdcan14-libressl/

On y apprend, entre autres:

  • Que la goute qui a fait déborder le vase n'était pas Heartbleed mais le remplacement pourri de malloc().
  • Que la fondation OpenSSL est une organisation à but lucratif qui génère des gains de l'ordre du million de dollars par (…)

« Triple poignée de main », faille dans le protocole TLS

55
9
mai
2014
Sécurité

Après les deux failles mettant en cause l’utilisation d’instructions goto (l’une chez Apple, l’autre chez GNUTLS) et la faille Heartbleed, une vulnérabilité a encore été découverte : Triple Handshake («Triple poignée de main»), aussi appelée 3Shake.

Contrairement aux autres failles, celle-ci ne concerne pas l’implémentation mais le protocole. Cela signifie qu’elle touche potentiellement toutes les implémentations et que la correction définitive de cette faille nécessiterait une modification dans le protocole. En pratique, les corrections ont été effectuées en faisant des vérifications supplémentaires ou en éliminant certains algorithmes de chiffrement.
Logo de 3Shake, inspiré de celui de Heartbleed
Logo par @Raed667
Concrètement, cette faille exploite les différents types de poignées de main (handshake, procédure qui permet d’établir les différents paramètres de communication entre deux machines, étape particulièrement importante pour un protocole de sécurité) afin de se faire passer pour une autre machine et d’effectuer une attaque de l’homme du milieu.

La faille est cependant considérée moins grave que Heartbleed, en partie parce qu’elle est compliquée, s’attaque à une configuration assez spécifique et nécessite une position privilégiée entre deux machines.

Revue de presse de l'April pour la semaine 18 de l'année 2014

Posté par  (site web personnel, Mastodon) . Modéré par patrick_g. Licence CC By‑SA.
16
5
mai
2014
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

OpenBSD 5.5 : nous ne voulons pas retourner dans le passé !

49
2
mai
2014
OpenBSD

Comme tous les 6 mois une nouvelle version d'OpenBSD est publiée.

OpenBSD est un système d'exploitation orienté sécurité et réseau, dont les principaux avantages sont la stabilité, grâce aux audits sur le code source, mais également l'ensemble très large de fonctionnalités réseau qu'il fournit.

Les journaux LinuxFr.org les mieux notés du mois d'avril 2014

13
2
mai
2014
LinuxFr.org

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Voici un florilège d'une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois d'avril passé.

Journal Bon anniversaire Koozali Foundation

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
3
30
avr.
2014

La fondation Koozali qui a en charge le développement de la SME Server vient de souffler sa première bougie : Bon anniversaire Koozali foundation

La SME Server est une distribution Linux, orientée Serveur, qui peut s'enorgueillir de 15 ans d’expériences et qui vient de releaser la version SME9 beta 4. Comme les bonnes nouvelle arrivent rarement seule, la 'Release Candidate' est annoncée pour bientôt.

Une simple histoire de jours, ou de semaines maintenant.

La SME Server est une distribution communautaire (…)

Forum Linux.debian/ubuntu Mis à jour automatique VPS Debian, faille de sécurité ?

Posté par  . Licence CC By‑SA.
0
29
avr.
2014

Bonjour,

Suite à quelques commentaires postés dans les forums j'essaye en ce moment le principe de VPS avec Iniz :

Je suis donc parti sur une VM Debian Wheezy et j'ai regardé un peu comment cela se passait.

Pas de gros soucis, c'est en gros comme une Debian que l'on installe soi-même sauf que :

  1. il y des limitations sur iptable à cause de la virtualisation: Issues with Ubuntu's UFW on OpenVZ VPS
  2. les droits d'exécution ont été (…)

Revue de presse de l'April pour la semaine 17 de l'année 2014

18
29
avr.
2014
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Concours sécurité sur LinuxFr.org : 3 livres à gagner !

35
28
avr.
2014
Sécurité

La sécurité et la vie privée sont des sujets de plus en plus récurrents et sensibles, maintenant aussi aux yeux de la presse généraliste et du grand public depuis les informations fournies par Edward Snowden. Le flot continu de révélations ne calmera pas la situation de sitôt. Mais il n'y a pas que E.Snowden qui fait l'actualité en sécurité informatique, c'est aussi la faille Heartbleed dans OpenSSL et son impressionnante taxonomie, la fin de la liste Full Disclosure, etc. l'actualité sur le sujet ne manque pas. Si tout n'est pas parfait chez LinuxFr.org, nous tâchons de montrer l'exemple. Pour vous inciter à partager encore plus sur le sujet, nous vous proposons de gagner un des trois exemplaires du livre Hacking, sécurité et tests d'intrusion avec Metasploit (édité par Pearson), en espérant aussi que cela vous sensibilisera et vous permettra de monter en compétence sur ces sujets essentiels.

Hacking, sécurité et tests d'intrusion avec Metasploit

Bonne chance !

Forum Linux.général [HeartBleed] Quels certificats mettre à jour ?

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
4
27
avr.
2014

Bonjour à tous,

j'ai suivi avec intérêt l'affaire HeartBleed, mais je n'arrive pas à savoir concrètement quels sont les certificats que je dois mettre à jour sur mes postes clients et sur mes serveurs.

J'utilise la distribution Debian 7.0 Wheezy, mise-à-jour régulièrement.

Cependant, dans mon répertoire /etc/ssl/certs, la quasi totalité de mes certificats datent de 2010 à 2013 !!!
Puis-je les détruire sans craindre de ne plus accéder à certains services ?
Par ailleurs, puis-je détruire sans soucis le fichier /etc/ssl/private/ssl-cert-snakeoil.key ?

Côté (…)

Core Infrastructure Initiative

Posté par  . Édité par Davy Defaud et Benoît Sibaud. Modéré par ZeroHeure. Licence CC By‑SA.
29
25
avr.
2014
Technologie

Après la réponse musclée d’OpenBSD face à la faille Heartbleed d’OpenSSL, la Fondation Linux a aussi une tentative de solution. C’est un groupe de plus d’une dizaine d’entreprises qui va fournir plusieurs millions de dollars pour financer des projets capitaux et libres dans le besoin.

Les financements pourront aller à des développeurs clefs pour qu’ils puissent travailler à plein temps sur leur projet, à des audits de sécurité, à de l’infrastructure de test ou de développement, à des voyages ou même à des réunions physiques. Ce projet sera administré par la Fondation Linux et les fonds seront attribués par un groupe composé des différents bailleurs de fonds, de développeurs de logiciels libres ou d’autres membres des entreprises impliquées dans le Libre.

Pour l’instant, les premières sociétés impliquées sont (par ordre alphabétique) : Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace et VMWare. La fondation espère que d’autres rejoindront le mouvement.

Logo CII