Voici la suite des « études » des leaks (fuites) de Snowden menées pour NSA-Observer. Dans cet article, nous allons revenir sur les révélations du Spiegel datant de fin décembre lors du 31c3 (Chaos Computer Congress) et du 17 janvier 2015 portant sur les moyens offensifs de la NSA ainsi que d'autres agences concernant la cryptographie.

La conférence « Reconstructing narratives » de Laura Poitras et Jacob Appelbaum présentant ces documents est visible ci-dessous (mais aussi sur le site du CCC) :

• mp4
• webm

BULLRUN, qu'est ce que c'est ?

BULLRUN est un « programme » de la NSA exploitant différents moyens pour accéder à du contenu chiffré. Le New York Times avait abordé le sujet fin 2013 dans son article « Secret Documents Reveal N.S.A. Campaign Against Encryption » mais sans aucun détail (comme The Guardian ou encore propublica).

EU-FOSSA,ou European Union Free and Open Source Software Auditing, est un projet initié par les eurodéputés Max Anderson et Julia Reda — après la découverte de la faille de sécurité Heartbleed et porté par la Commission européenne depuis 2015. En 2017, le projet a été reconduit pour trois ans sous le nom de EU-FOSSA 2 et, après un premier Bug Bounty en novembre 2017, une prime pour la détection de failles de sécurité pour le lecteur média libre VLC, la Commission a annoncé en janvier 2019 quinze nouvelles primes pour des logiciels libres utilisés par les institutions européennes.

Julia Reda explique fort bien les fondements et les buts de cette action européenne…

Voici un tour d’horizon d’une distribution peu connue mais néanmoins intéressante : Void (Linux) !

Void est une distribution indépendante, créée de zéro (from scratch, pas une divergence de Debian ou autres). Elle est développée par une communauté de volontaires et vous pouvez facilement y contribuer via ses dépôts sur GitHub. C’est une distribution avec mise à jour en continu (rolling‐release), tournée vers les ordinateurs de bureau et qui se veut légère et performante.

NdM. : Cette dépêche est inspirée par L’heure du test — épisode 1 — NixOS postée par gusterhack. Si vous aussi vous voulez parler de votre distribution ou logiciel libre préféré, n’hésitez pas.

Basé sur les dépêches et journaux les mieux notés par nos visiteurs, voici un petit retour sur l'année 2014 sur LinuxFr.org.

Mentions particulières

La dépêche collaborative sur le noyau Linux a remporté un grand succès tout au long de l'année, avec les diverses versions parues : 3.13, 3.14, 3.15, 3.16, 3.17 et 3.18.

La saga Je créé mon jeu vidéo de rewind a placé ses 6 épisodes de l'année dans la sélection (fiche de lecture de « L'Art du game design » par Jesse Schell, techniques de C++11 appliquées au système à entités, génération procédurale de carte (partie 1), génération procédurale de carte (partie 2), interfaces physiques et graphiques et un an, premier bilan ), et a fêté son premier anniversaire.

On notera aussi d'autres sujets régulièrement traités, comme Firefox (28, 29, 30, 31, 32, 33, 34, Firefox en GTK3, et côté Firefox OS un avis et un test de création de jeu), rust (0.9, 0.10, 0.11, 0.12) ou systemd (là y en a vraiment trop pour les citer tous).

La sécurité et la vie privée sont des sujets de plus en plus récurrents et sensibles, maintenant aussi aux yeux de la presse généraliste et du grand public depuis les informations fournies par Edward Snowden. Le flot continu de révélations ne calmera pas la situation de sitôt. Mais il n'y a pas que E.Snowden qui fait l'actualité en sécurité informatique, c'est aussi la faille Heartbleed dans OpenSSL et son impressionnante taxonomie, la fin de la liste Full Disclosure, etc. l'actualité sur le sujet ne manque pas. Si tout n'est pas parfait chez LinuxFr.org, nous tâchons de montrer l'exemple. Pour vous inciter à partager encore plus sur le sujet, nous vous proposons de gagner un des trois exemplaires du livre Hacking, sécurité et tests d'intrusion avec Metasploit (édité par Pearson), en espérant aussi que cela vous sensibilisera et vous permettra de monter en compétence sur ces sujets essentiels.

Bonne chance !

Depuis quelques années, la correction dématérialisée du baccalauréat a été mise en place dans certains établissements français à l'étranger (dépendants de l'AEFE) - mais aussi pour certains concours semble-t-il).
Cette dépêche propose — en seconde partie — de faire un point, non exhaustif, sur ce procédé et de voir les problèmes induits par cette technique.

Après la réponse musclée d’OpenBSD face à la faille Heartbleed d’OpenSSL, la Fondation Linux a aussi une tentative de solution. C’est un groupe de plus d’une dizaine d’entreprises qui va fournir plusieurs millions de dollars pour financer des projets capitaux et libres dans le besoin.

Les financements pourront aller à des développeurs clefs pour qu’ils puissent travailler à plein temps sur leur projet, à des audits de sécurité, à de l’infrastructure de test ou de développement, à des voyages ou même à des réunions physiques. Ce projet sera administré par la Fondation Linux et les fonds seront attribués par un groupe composé des différents bailleurs de fonds, de développeurs de logiciels libres ou d’autres membres des entreprises impliquées dans le Libre.

Pour l’instant, les premières sociétés impliquées sont (par ordre alphabétique) : Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace et VMWare. La fondation espère que d’autres rejoindront le mouvement.

Haka est un framework/langage basé sur Lua et destiné à appliquer des règles sur du trafic réseau en temps réel. Il permet aussi bien de faire un pare-feu classique, filtrant « bêtement » sur les ports, qu'un pare-feu applicatif. Il utilise la notion de dissecteur qui, une fois la grammaire du langage décrite, permet de définir différents événements qui pourront être utilisés dans les règles définies.

Il faut noter que ce n'est que le tout début du langage, il manque encore certaines fonctionnalités critiques.

Haka est sous licence MPL 2.

Pour ceux qui se demandent encore si ils doivent vraiment changer leurs mots de passe suite à l'affaire Heartbleed, qui veulent comprendre pourquoi il ne fallait pas le faire trop tôt, ou qui n'ont pas vérifié si leur navigateur détecte les certificats révoqués, l'article Taxonomie des attaques Heartbleed recense et explique schématiquement les diverses attaques rendues possibles par le bug, y compris contre les logiciels clients (reverse heartbleed), Tor et les VPN.

« Heartbleed » est une des pires failles qui soient arrivées à la sécurité sur Internet. À cause d'elle, les pirates ont pu ou peuvent obtenir des données confidentielles sans avoir besoin d'intercepter les échanges. Après les premières réactions centrées sur la mise à jour des serveurs web vulnérables, la révocation des certificats et le renouvellement des mots de passe, il a fallu quelques jours de plus pour comprendre que la faille Heartbleed affecte également les logiciels clients, les échanges SSL/TLS autres que HTTPS, et une multitude d'appareils embarqués qui ne recevront jamais de mise à jour logicielle.

Plus de détails dans la suite de la dépêche.