Qubes sort en version Bêta 3, annoncée sur le blog de Joanna Rutkowska. Qubes O.S. est un système d'exploitation Open Source étudié pour fournir une sécurité renforcée sur un poste utilisateur par l'isolation en machines virtuelles.
Kernel Recipes 2012
Kernel Recipes aura lieu le vendredi 21 septembre 2012, de 9h30 à 18h40, au Carrefour Numérique de la Cité des Sciences de La Villette, à Paris.
Kernel Recipes est la première journée de conférences dédiée au noyau Linux. La journée se veut un moment privilégié pour échanger avec ceux qui font le noyau au quotidien, ceux qui l'utilisent dans des projets professionnels ou non.
Une journée de conférences et d'échanges, avec une possibilité pour les participants d'inscrire un projet, une réflexion aux lightning talks (conférences éclair).
Il est prévu de prolonger les discussions durant le déjeuner proposé sur place, ainsi que le soir pour ceux qui se joindront au dîner.
Pour y participer, merci de vous enregistrer.
Sony supprime définitivement l'OtherOs de la PlayStation 3
La présence de l'OtherOs avait l'intérêt pour Sony de satisfaire les développeurs et hackers en tout genre en leur offrant la possibilité de programmer sur une plate-forme basée sur le processeur Cell Broadband Engine d'IBM/Sony/Toshiba, tout en réduisant au minimum la possibilité de formation d'une communauté ayant pour objectif de casser les mesures de sécurité permettant l'accès au GameOS, le système sur lesquels les jeux fonctionnent. Or, depuis la sortie du modèle « slim », un certain nombre de mécontents ont commencé à s'attaquer à la sécurité de la PS3, et le fameux GeoHot, bien connu pour avoir produit le Jailbreak de l'iPhone, a mis au point un hack matériel pour casser les restrictions de l'OtherOS, dans le but de démarrer les recherches sur d'éventuels exploits du système principal de la PS3, le GameOS.
Tout cela nous amène à l'annonce hier par Sony, de supprimer purement et simplement l'accès à l'OtherOS pour tous les modèles de la PS3 « pour raisons de sécurité », à l'aide de la mise à jour 3.21 du firmware de la console, disponible en téléchargement à partir du 1er avril (je sais, la date est mal choisie, mais bon). En gros, les acheteurs de PS3 qui avaient acheté la console pour la fonctionnalité OtherOS ne devront pas faire la mise à jour sous peine de voir l'accès à leur système alternatif bloqué. Et ne pas mettre à jour revient à ne plus pouvoir se connecter au Playstation Network de Sony, permettant entre autres le jeu en ligne, et l'accès à la plate-forme de téléchargement de jeux en ligne, le PlayStation Store, sorte d'équivalent de l'Apple Store pour les PS3 et PSP.
Une nouvelle annonce qui ne manquera pas de susciter une nouvelle vague de protestations chez les développeurs, les amateurs de logiciel libre et les adversaires du modèle des plate-formes de téléchargement fermées et contrôlées à la mode Apple Store.
NdM : Voir également le journal de Prafalc à ce sujet.
Journal Un article sur la conception sécurisée des serveurs graphiques (X, Wayland)
Dans la lignée de mon journal sur le sandboxing dans Chrome et surtout le troll sur le modèle de sécurité de l'Apple Store, je pense que les lecteurs et lectrices de LinuxFR qui aiment les questions de conception sécurisée des applications seront intéressé-e-s par cet article de Linux Weekly News:
XDC2012: Graphics Stack Security
Martin Peres and Timothée Ravier's session on day one of XDC2012 looked at security in the graphics stack. They considered user expectations around security in (…)
Votre smartphone est-t-il un mouchard en puissance ?
L'utilisation des fréquences étant soumise à autorisation, une demande a été formulée et accordée afin de valider le système avec une charge suffisante et un jeu de terminaux mobiles diversifié. Une expérimentation similaire pour le système OpenBTS (similaire à OpenBSC, mais basé sur GnuRadio et USRP) avait été réalisée lors des festivals Burning Man 2008 et 2009 au Nevada.
Le rapport d'Harald est relativement précis sur le système mis en place et les conditions de tests, mais le point le plus important est la fin du rapport, où il explique qu'ils ont cherché à vérifier si certains smartphones implémentent RRLP, Radio Resource LCS (Location) Protocol. Le protocole permet à un opérateur de demander la localisation d'un terminal sans authentification aucune, ce dernier utilisant les signaux GPS pour connaître sa position (s'il y a un récepteur, bien sûr). Sur le marché, les téléphones équipés d'un récepteur GPS sont assez nombreux, notamment la gamme basé sur Android de HTC, l'iPhone et les téléphones Nokia N95 ou équivalents. Le rapport ne précise pas beaucoup plus d'informations à ce sujet, car la fonctionnalité n'a été testée que le dernier jour, mais il semble qu'un certain nombre de ces appareils suivent à la lettre les spécifications, permettant une localisation GPS sans que cela soit signalé à l'utilisateur.
On se souvient du scandale du Palm pré découvert par Joey Hess, Palm ayant ajouté un logiciel dans webOS envoyant via internet les coordonnées GPS ainsi que le temps d'utilisation de chaque application sur le téléphone.
Encore plus récemment, c'est l'iPhone qui a fait parler de lui suite à la découverte d'une application récoltant les numéros de téléphones des utilisateurs afin d'alimenter une base de client. La boite à l'origine de MogoRoad, le logiciel en question, a dû retirer son logiciel de l'AppStore, mais il semble que d'autres applications du même tonneau existent encore.
Cette nouvelle découverte jette une fois de plus le discrédit sur le respect de la vie privé par le monde de la téléphonie mobile.
Journal DNS anonyme
Bonjour'nal
En ces temps de censure du net il est toujours intéressant d'utiliser des service qui respecte notre vie privée et nos libertés en évitant de stocker des informations nous concernant.
Une chose relativement simple et efficace (Nudge) est de se passer des DNS des gros FAI. Cela se fait soit au niveau de votre box, soit dans l'OS directement.Plusieurs solution s'offre actuellement a nous.
D'abord évacuons les faux amis :
- DNS google : Ils sont rapide et (…)
Revue de presse de l'April pour la semaine 24 de l'année 2016
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
Sommaire
- [Developpez.com] Jerry Do-It-Together une solution ingénieuse pour reprendre la main sur la technologie
- [@Sekurigi] La culture des hackers dans le monde de la politique
- [01net.] Intel embarque-t-il une porte dérobée dans toutes ses puces?
- [ouest-france.fr] Une école du logiciel libre à Nantes
- [L'OBS] Furieux de l’arrivée du «méchant Microsoft», ils fuient LinkedIn
- [ZDNet] Des données libérées pour plus de citoyenneté?
- [Next INpact] Mozilla crée le fonds «SOS» pour renforcer la sécurité de l'open source
Sortie de LemonLDAP::NG 1.9
LemonLDAP::NG est un logiciel libre d'authentification unique (SSO), contrôle d'accès et fédération d'identités. La version 1.9.0 a été publiée le 2 mars 2016.
LemonLDAP::NG est écrit en Perl et publié sous licence GPL. Cette nouvelle version majeure apporte de grands changements au logiciel comme le support OpenID Connect, une nouvelle interface d'administration et la compatibilité Nginx.
Sortie de Passbolt v1.5.0, avec “groupes”
La version 1.5.0 de Passbolt, incluant la très attendue fonctionnalité « groupes », est sortie le 23 mai 2017. Passbolt est un gestionnaire de mots de passe conçu pour les équipes, sous licence libre AGPL. Cette sortie inclut également des améliorations du code et la mise en place d’un outil de diagnostic du statut de l’instance accessible depuis la console.
Journal Encfs déclaré relativement peu sûr
Bonjour… nal (allez quoi, la tradition).
Je fais un petit journal qui fait écho à celui paru en début de mois et qui annonçait TrueCrypt « relativement sûr ».
Suite aux annonces de 2014 concernant ce dernier, j'avais migré mes backups vers un volume Encfs, au travers de la bien sympathique application Gnome Encfs. Bref ce soir je met à jour ma Ubuntu et paf :
According to a security audit by Taylor Hornby (Defuse Security), the current implementation of Encfs is (…)
Journal Content Security Policy 1.0 intégré à Firefox
Depuis le 30 mai Content Security Policy (CSP) 1.0 est supporté par Firefox, dans le canal Aurora (version pre-beta de firefox) .
Content Security Policy ?
CSP est un mécanisme de sécurité dont le but est de protéger l'utilisateur contre les failles XSS en permettant aux sites web de restreindre l'origine des scripts.
CSP a été crée par la fondation Mozilla, et les premières implémentations ont été intégrés à Firefox 4.
Depuis le 15 novembre 2012, c'est même une recommandation candidate (…)
Journal <3 goto
Il n'y a pas si longtemps on a découvert qu'un goto mal placé c'était pas cool du tout.
Bon il y a eu des discussions sympa sur l'intérêt ou non du goto, pour savoir si c'est bien ou pas, dans quel cas, etc.
Ha oui, et un peu de troll sur le fait que bon c'est du code de merde, que ça respecte pas de règles de style de code, etc.
Sauf que GnuTLS a lui aussi un petit bug (…)
Kernel Recipes 2017 : les inscriptions vont bientôt démarrer
C’est devenu presque une tradition. Avec la fin de l’été, hupstream est fier de vous présenter la septième édition de Kernel Recipes. Elle aura lieu à Paris du 27 au 29 septembre 2017.
Pour cette septième édition, nous avons tenté encore une fois de vous proposer une liste d’intervenants qui viendront du monde entier : Greg Kroah‐Hartman, Brendan Gregg, Benjamin Tissoires, Steven Rostedt, James Bottomley, Kees Cook, Andrea Arcangeli, Thomas Gleixner, Maxime Ripard, Johan Hovold, Sasha Levin, Werner Koch, Jens Axboe, Kevin Hilman, Hans Verkuil, Sjoerd Simons, Éric Leblond.
Prelude IDS 1.1.0
Prelude est un logiciel SIEM qui permet de superviser la sécurité des systèmes d'information. Prelude collecte, normalise, trie, agrège, corrèle et affiche tous les événements de sécurité indépendamment des types d'équipements ou système surveillés.
Au-delà de sa capacité de traitement de tout type de journaux d’événements (journaux système, syslog, fichiers plats, etc.), Prelude est nativement compatible avec de nombreuses sondes anti-intrusion open-source (snort, suricata, ossec, samhain, etc.) grâce à l'utilisation du format IDMEF (RFC 4765).
Journal L'USB c'est moisi, ça propage des virus
Un bon petit article alarmiste pour commencer ce trolldi.
L'article source, que je préfère résumer car le ton m'a l'air trop alarmiste : La norme USB possède une énorme faille de sécurité qui ne pourra pas être comblée
Qui a lui-même une source sur Wired.
La Black Hat Security Conference à Las Vegas, c'est dans une semaine ! On va donc faire monter la hype avec une annonce fracassante d'une des conférences : à cause d'une faille de conception, il (…)