Le steghide nouveau est arrivé !

Ce programme de stéganographie, entièrement en GPL, en est maintenant à sa version 0.4.5 !
Mais, point important : il est francisé (grace au programme gettext) ! La francisation est loin d'être totale (messages d'erreur/d'aide pour l'instant), mais avance rapidement.

Voilà donc une bonne raison de tester ce programme... et cacher vos données les plus secrètes dans une gentille photo de votre grand mêre (ça n'est qu'une suggestion ;).

Pour ceux qui ne connaissent pas, un logiciel de stéganographie est, en gros, un programme qui permet de camoufler des données sensibles dans des fichiers anodins (souvent son ou image).

Les ministres des 15 ont officiellement lancé Galiléo cet après-midi en débloquant 450 millions d'euros pour le lancement du projet. A terme, le projet coûtera 3,4 milliards d'euros (hors dépassement de budget ;-)).

Le premier lien pointe vers la brève de Yahoo!, le second vers un article déjà paru ici concernant les pressions américaines.

NdM: Galileo est (sera) un système de radionavigation par satellite européen qui permettra de ne plus dépendre de l'armée américaine comme pour le GPS.

Une faille, affectant le daemon X Display Management Console Protocol (XDMCP) vient d'être relayée par le CERT sous le numéro VU#634847.

Cette faille n'affecte pas tous les systèmes UNIX mais quelques déclinaisons. La distribution Linux Mandrake serait affectée (jusqu'à la version 8.0) ainsi que les systèmes Solaris 2.6 (Intel et Sparc) et Solaris 7 Sparc.
En revanche, RedHat 7.2 ne serait pas vulnérable...

Cette faille permet une connexion en root sur le système attaqué.
Avant que la faille ne soit corrigée, il est recommandé de désactiver les connexions à distance et de filtrer le port 177.

Le projet Sphinx a été initié par les autorités allemandes en 2001, qui désiraient améliorer la sécurité dans l'échange des mails.
La conception technique du projet repose sur le protocole 'TeleTrust e.V. MailTrusT Version 2'. Celui-ci inclut les standards S/MIME, X.509v3, etc.
Des produits propriétaires existent déjà, cependant, avec l'arrivée de ce projet, une solution libre verra bientôt le jour (programmée pour mai 2002) pour les clients mails classiques tel que KMail et Mutt.
Les sociétés, spécialisées dans le logiciel libre, g10 Code et Klarälvdalens Datakonsult AB ont un contrat avec le 'Bundesamt für Sicherheit in der Informationstechnik (BSI)' pour incorporer le protocol Sphinx dans des clients mails libres. La finalité est d'assurer la disponibilité d'une alternative aux solutions propriétaires.

Après les bugs "off by one" & "zlib double free", l'équipe d'OpenSSH est en train de travailler à une nouvelle version qui la rendrait insensible à ce type de bug, grâce à une séparation des privilèges.

De l'avis des développeurs :
"Previously any corruption in the sshd could lead to an immediate remote root compromise if it happened before authentication, and to local root compromise if it happend after authentication. Privilege Separation will make such compromise very difficult if not impossible."

Le code est actuellement utilisable sur OpenBSD, mais le portage vers d'autre *nix ne sera pas difficile.

Source : OpenBSD journal

Le projet SILC (Secure Internet Live Conferencing) a pour but de fournir un système autonome de conversation (chat) sécurisé. Ainsi, et grâce à SILC, deux individus pourront discuter en toute confidentialité. L'infrastructure cryptographique de SILC permet de fournir les services "PKI" standard de confidentialité, authentification, intégrité, et de non-répudiation.

Le protocole SILC a été conçu pour NE permettre QUE des échanges cryptés. Tous les messages sont systématiquement cryptés et authentifiés en utilisant des clés de session, des clés de canaux (channels), ou des clés de message privé. Il est impossible d'échanger des messages en clair sur le réseau SILC. En plus d'un format de clés spécifique à SILC, les formats SSH2, OpenPGP et X.509 sont supportés. Enfin SILC utilise SFTP pour le transfert de fichiers sécurisé.

Pour ne pas dépayser des utilisateurs, la plupart des commandes IRC sont présentes dans le protocole SILC. Les utilisateurs peuvent négocier entre eux des clés pour discuter en toute tranquilité. Et pour en finir avec les guerres de pseudo (nickname wars), SILC permet à plusieurs utilisateurs d'avoir le même pseudo ! La distinction se fait par WHOIS.

Des packages prêts à installer existent pour:
- *BSD (OpenBSD, NetBSD, FreeBSD)
- Debian
- Distributions Linux basées sur RPM
- Windows

Un trou de sécurité a été
découvert dans plusieurs versions de OpenSSH qui permet
aux utilisateurs ayant un compte de passer r00t !

L'exploit pour cela n'a pas encore été publié...

Le PINE-CERT recommande une mise à jour rapide et
classe ce risque comme HIGH (le patch est déja disponible et
intégré dans le CVS d'OpenSSH).

Le pirate connu Adrian Lamo, a réussis à pénétrer les systèmes du New-York Times. Banal vous me direz mais il avait sous la main la liste de tous les contributeurs du New-York Times incluant les anciens présidents, etc. Il a même pris le soin de se rajouter à la liste en tant que "Hacker" professionel ;)

Un gros bravo à ce monsieur puisqu'il n'a pas propagé la nouvelle, il a préféré se rendre au New-York Times afin de démontrer sa découverte. Ceux-ci ont apprécié le geste et l'auraient même engagé afin de colmater la faille.

Lu sur 01net :

"Baptisé W32/Sharpei@mMM, le premier virus attaquant l'infrastructure .Net et écrit en langage C# a été créé par une jeune fille de 17 ans."

Pas de grands nouveautés, hormis l'ajout d'un composant .Net à un script VBS. Le risque de diffusion de ce vers est faible. La politique de "Sécurité" promise par Bill Gates commence bien.

Une news fait beaucoup de bruit dans le monde de la cryptographie depuis quelques jours. En effet, le mathématicien DJ Berstein a publié un article de recherche donnant une technique théorique sur la factorisation de nombres entiers en facteurs premiers, permettant de "casser" le RSA 4x plus vite qu'actuellement.

Dans son article, il propose aussi une application pratique permettant de construire un "RSA breaker" 4x plus performant à coût égal. En conséquence, les clés PGP/RSA de taille plus petite que 2048 bits seraient cassables "facilement".

Et certains en profitent pour ajouter que "nos amis" de la NSA ont déjà ça dans leur carton (gravés dans le silicium) depuis un moment :-(

Des trous de sécurité au niveau de l'upload de fichiers viennent d'être découverts dans toutes les versions de PHP depuis la 3.0.10.
Le PHP Group a réagi en sortant des mises à jour, dont l'installation est bien évidemment plus que recommandée, certaines des failles étant très simples à utiliser, selon le bulletin d'alerte.
Une version 4.1.2 est donc disponible en téléchargement, ainsi qu'une série de patches pour PHP 3, PHP 4.0.6 et PHP 4.1.x.

Les versions estampillées 4.2.0-cvs ne sont par contre pas soumises à ces failles, l'upload de fichiers ayant été réécrit dans cette version.

Voici un super article sur le site de l'excellent magazine "Samag" des SysAdmins qui présente une approche unique pour améliorer la sécurité de réseaux.

"Exécutez votre firewall dans un état d'exécution stoppé sur votre linux, c'est à dire en runlevel 0 : aucune exécution de processus et aucun disque monté, mais le filtrage de paquets IP est toujours en fonction!"

Cela protège des tentatives d'introduction de vers sur le firewall, puisque le hacker n'a plus d'espace disque pour poser ses
programmes de surveillance et d'intrusion. Mais cela ne protège évidemment pas des attaques de type "denial of service".

L'auteur a entendu une rumeur de cette capacité d'exécution arrétée sur les noyaux Linux 2.0, il est parvenu à obtenir ce fonctionnement aussi bien sur une 2.2. Reste à tester sur un noyau 2.4...

NB : Merci à Alain pour la news

Ca y est, Microsoft vous permet de lancer des programmes sur les ordinateurs clients sans leur consentement! IE 5.5 et 6 sont concernés et ça risque de faire trés mal.

Un groupe influent de chercheurs Américains demande à son gouvernement une loi visant à punir les éditeurs de logiciels insuffisament sûr. Cette demande provient d'un rapport remis par le NAS (National Academy of Science américaine) et commandé juste après les attentats du 11 septembre pour connaitre l'état des systèmes informatiques américains.
Visé en premier lieu par cette loi, Microsoft qui n'a pas cessé de fournir patch sur patch pour son pourtant si sécurisé winXP.

L'on ne présente plus le fameux Packet Storm, une des réference des sites traitant de la sécurité informatique. Il y a quelque jour, dnsi.info à mis en place un miroir de ce site et cherche activement des traducteurs comme nous l'indique le responsable de ce projet :

"Bon, j'ai été chargé de m'occuper de la version française de packetstorm.
J'ai besoin d'un coup de main de gens sérieux pour effectuer la trad.

Les "pas sérieux" en quête de gloire s'abstenir. Toute intégration au projet sera soigneusement vérifiée.

merci d'avance aux futurs contributeurs =)