Le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique et ses outils libres, propose un dossier sur les systèmes qui permettent de renforcer la sécurité de la branche 2.6 des noyaux Linux.

Ce dossier francophone, en libre l'accès pour tous, porte sur l'activation de ASLR (Address Space Layout Randomization), de GrSecurity et de PaX ainsi que sur celle de SELinux ; vous y retrouverez les procédures d'installation, de configuration et d'administration de ces mécanismes ainsi que des exemples d'attaques.

Vous pourrez également vous servir de la base d'exploits ExploitTree, basée sur CVS, et de sa plateforme de recherche en Perl afin de tester l'ensemble de ces fonctions de renforcement des noyaux Linux de cette branche.

Il existe actuellement différents CDROM de type Live CD que l'on dit aussi « bootables » et qui sont basés sur les distributions GNU/Linux.

Les Live CD concernant le domaine de la sécurité des systèmes d'informations et de communication sont tout aussi nombreux parmi ceux-ci, ils sont pour la plupart disponibles en téléchargement sur internet et notamment BackTrack2 qui est l'un des plus populaires parmi eux.

Ces Live CD ont été développés pour donner la possibilité à leurs utilisateurs d'y ajouter leurs propres outils et scripts, ils présentent cependant tous un défaut majeur dès lors que l'on souhaite effectuer la mise à jour du système et des outils qui les composent.

Cette opération est soit impossible dans la plupart des cas soit tellement compliquée à réaliser qu'elle n'est pas envisageable pour les utilisateurs lambda ; ils sont alors contraints d'attendre les avancées des développeurs afin de profiter des dernières versions.

Le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique, vous propose un document présentant une méthode originale qui permettra à tout un chacun de réaliser son propre Live CD, orienté sécurité ou pas.

Scapy est un utilitaire Open Source en Python développé par Philippe Biondi, cet outil vous permet de disséquer, de forger, de recevoir et d'émettre des paquets (et des trames) de données pour un grand nombre de protocoles que vous pourrez également décoder : DNS, DHCP, ARP, SNMP, ICMP, IP, TCP, UDP.

L'un des seuls points faibles connu à ce jour, concernant Scapy, est son manque de documentation officielle ou non, notamment francophone, permettant de le destiner à un plus large public que les experts du domaine ; partant de ce constat, le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique, met à disposition de tous un document venant combler une partie de ce manque.

Vous y apprendrez notamment comment installer et configurer Scapy ainsi que les rêgles rudimentaires relatives à son utilisation (commandes basiques et avancées) et à la manipulation de paquets (et de trames) de données dont un exemple de génération de graphiques 2D/3D à partir des résultats d'un traceroute réalisé à l'aide de Scapy.

Le fournisseur d'accès vient de choisir l'authentification OpenID pour son portail Orange.fr, devenant ainsi le plus gros site implémentant cette solution d'authentification.

OpenID est l'initiative pour un système d'authentification décentralisé, permettant une identification unique.

Un service d'ores et déjà disponible, comme le souligne Neteco, pour les" 17 millions de clients "internet" et 23 millions de clients "mobile" d'Orange France".

Le Netfilter Workshop 2007 vient d'ouvrir sa cinquième édition à Karlsruhe, en Allemagne. Ces rencontres ont lieu tous les 2 ans et permettent aux développeurs du projet Netfilter de se rencontrer pour définir les orientations du projet Netfilter, et également d'avancer sur les mises à jour de technologies à venir.

La première présentation a été réalisée par Patrick McHardy où il détaille version noyau par version noyau les avancées de Netfilter.

L'évènement se déroule du 11 au 14 septembre. Tout comme en 2005, un compte rendu est proposé par INL, sponsor de l'évènement. Le site est mis à jour en temps réel en suivant les différentes présentations des intervenants.

NdM Le projet Netfilter vise à fournir des solutions de firewall sous GNU/Linux via notamment l'outil iptables.

Développée avec la Mairie de Paris et l’INSERM, la solution OpenTrust-PAM (Portal Access Manager) d’IDEALX est désormais libre au téléchargement sous licence GPL.

OpenTrust PAM permet à un utilisateur de n'avoir à s'identifier qu'une seule fois pour accéder à toutes ses applications distantes. C'est donc un « reverse-proxy », assurant le SSO (Single Sign On), qui interagit avec les systèmes d’authentification des applications mises à disposition, grâce aux protocoles Web.

Mise en ½uvre pour la première fois à l’Inserm en 2004, la solution a été mise en production à la Mairie de Paris dans le cadre de la création d’un portail « Partenaires », destiné à multiplier les services fournis aux différentes entités liées à la ville.

Publié depuis aujourd’hui sous licence Open Source (GPL), le logiciel OpenTrust-PAM pourra ainsi être utilisé et s’enrichir par l’apport de nouvelles contributions.

Skype utilise de nombreuses méthodes d'obscurcissement du code et du trafic réseau (jusque là rien de nouveau pour du logiciel propriétaire).

Le principal problème c'est qu'il permet de contourner toutes les mesures de sécurité réseau (peu de solution hormis interdire l'installation de Skype voire l'accès à internet). Le protocole a un comportement tellement atypique et si difficilement remarquable que les HIDS, IDS et pare-feux ont du mal à le bloquer. Il passe par des ports standards (80, etc.)
Skype fournit une API (interface de programmation) qui, détournée par une personne mal intentionnée, permettrait d'interfacer n'importe quel autre programme avec le réseau Skype (botnet ou autre attaque à base de cheval de Troie par exemple). Skype a par ailleurs reconnu qu'un greffon collectait des informations sur les machines des utilisateurs (identifiant unique de la carte mère en lisant le BIOS).

NdM : l'utilisation et la participation au développement de solutions de VoIP libres telles que Wengophone, Ekiga ou Asterisk permettent de s'affranchir d'une partie de ces problèmes (voire de bénéficier de la vidéo).

La branche 1.2 de Nuface, l'interface web de gestion de pare-feu, est désormais stable. Écrit pour NuFW, mais utilisable sur un pare-feu "standard" Netfilter, Nuface utilise une modélisation XML de haut niveau pour représenter les objets réseaux, les utilisateurs, les protocoles... et permet d'agglomérer ces objets en ACL.

Les nouveautés et innovations de la branche 1.2 sont :

• Support du filtrage de contenu, avec gestion de règles Layer7
  
• Enrichissement du modèle de données, et gestion affinée de l'ordre des ACL, en tenant compte de la topologie du réseau
  
• Nombreuses améliorations de l'ergonomie de l'interface
  
• Génération de règles au format iptables-restore pour de meilleures performances au chargement.

Le cryptologue allemand Jean-Pierre Seifert (universités d'Haïfa et d'Innsbruck) aurait rendu possible l'exécution d'attaques basées sur la menace de type '"analyse de prédiction de branche" (BPA).

Dans une note confidentielle, le chercheur met en avant qu'il a réussi à récupérer une clé de chiffrement de 512 bits en quelques millisecondes.

Il s'agit d'un véritable bouleversement dans le milieu de la cryptographie. En effet la parade habituelle consiste à allonger la longueur de la clé de chiffrement. La technique découverte par Jean-Pierre Seifert consiste à analyser le comportement du processeur lui-même afin de déduire statistiquement la clé de chiffrement.

La seule parade pour l'instant consisterait à désactiver le processus de prédiction du processeur mais selon le chercheur "Une telle mesure ralentirait par quatre le microprocesseur (...)".

Les résultats des travaux de Jean-Pierre Seifert sont attendus lors de la prochaine conférence RSA, début 2007

NdM : Cette attaque implique la présence d'un logiciel espion sur la machine effectuant les opérations cryptographiques et dans ce cas il existe souvent d'autres moyens pour obtenir la clé.
De plus, cette attaque ne marchera pas si les opérations cryptographiques sont effectuées sur un matériel distinct du processeur, par exemple un token cryptographique. L'impact est donc surtout pour le grand public et en particulier les échanges sur internet sécurisés par SSL.

Le Symposium sur la Sécurité des Technologies de l'Information et des Communications est une conférence francophone traitant de la sécurité de l'information. Ce thème comprend à la fois les vecteurs d'information (comme les systèmes informatiques ou les réseaux) et l'information elle-même (cryptographie ou guerre de l'information).

La cinquième édition se déroulera à Rennes du 30 mai au 1er Juin 2007.

Nous avons publié l'appel à contribution et comme les années précédentes, toutes les soumissions seront examinées avec intérêt, qu'elles soient techniques, académiques, juridiques, organisationnelles, etc.

Le 2 décembre 2004, Nate Nielsen rapporte un plantage de Xorg lorsque Firefox affiche une très longue URL dans la barre d'adresse. Quatre mois plus tard un bug similaire est détecté dans Eclipse. Le bug concerne l'affichage de très longues lignes de texte avec le pilote propriétaire Nvidia. La solution est d'utiliser le pilote libre nv qui n'a pas ce bug.

Face à l'absence de réaction de Nvidia, un exploit exploitant ce dépassement de tampon offrant un shell en root est publié sur Rapid7. Il est possible d'exploiter la faille à distance à l'aide d'un client X distant. La faille a en fait été corrigée dans la version 9625 du pilote Linux sortie le 21 septembre 2006, mais la série 9xxx des pilotes Linux est encore en phase béta.

Cette faille relance bien sûr le débat pour ou contre les pilotes propriétaires (BLOBs). Pour le cas de Nvidia, il est difficile de trancher car refuser le pilote officiel implique de se priver d'accélération matérielle. Plutôt que de brasser l'air avec un débat sans fin, il serait plus judicieux de contribuer au projet Nouveau qui vise justement à écrire un pilote libre offrant l'accélération matérielle. D'ailleurs, l'écriture d'un pilote a été entamée il y a peu mais il est encore loin d'être utilisable.

NdM : Merci également à Pascal Terjan d'avoir proposé une dépêche sur le même sujet.
Mise à jour : la version 9626 du pilote (stable) corrige la faille.

Les liaisons WiFi sont fréquemment protégées par un algorithme de chiffrement, le WEP. Il utilise une technique de chiffrement faible, mais il apparaît aujourd'hui nettement insuffisant : une équipe de chercheurs a réussi à casser des clefs en quelques secondes (là où plusieurs minutes étaient nécessaires auparavant). L'algorithme est disponible, avec le code utilisé pour la démonstration.
En parcourant l'archive des sources (aircrack.c dans l'archive), il semblerait que cet exploit soit un dérivé d'aircrack utilisant une autre méthode attaque. Il s'appuie sur la fragmentation des paquets et l'utilisation des en-têtes LLC/SNAP.

L'exploit ne tourne pour le moment que sur une machine FreeBSD munie d'une carte atheros et d'une carte prism2, mais le code source étant disponible, ces limitations logicielles et matérielles risquent de sauter.

Le WEP est donc devenu définitivement inutile après près de 7 années de service, dont 3 alors qu'existait une alternative garantissant un meilleur chiffrement, le WPA.

Le Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC) qui s'est déroulé début Juin à Rennes fût cette année encore un succès avec près de 400 participants.

Nous sommes heureux d'annoncer la mise en ligne des actes de cette édition ainsi que de différents comptes-rendus.

Les sujets présentés sont variés : virus sous OpenOffice.org, fonctionnalités de ptrace, étude de Skype, sécurité ADSL, contournement d'IDS, outil de détection de tunnels, contournement de securelevel, faiblesses d'IPv6 et d'IPsec, RFID, RPC et BitLocker, etc.

Un chercheur français du DCSSI, Loïc Duflot, a récemment publié un article sur un trou de sécurité dans l'architecture même de x.org, faille suffisante pour contourner les protections habituelles (type SELinux, GRsecurity, etc).

La description du problème est assez complexe mais securityfocus a publié une interview de M. Duflot très éclairante : il s'agit de profiter de l'accès direct (sans passer par le noyau), par X11, a certaines fonctionnalités des processeurs x86 pour pouvoir détourner les flux logiciels, et exécuter du code à l'insu du noyau (et de ses éventuelles couches de protections).

NdA : Merci à herodiade pour son journal. Je vous invite à lire les commentaires intéressants qui ont été faits.