Journal SPF désigné vainqueur dans le match contre Sender ID

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
Étiquettes :
42
21
juil.
2012

L'IETF avait créé en 2004 un groupe de travail nommé MARID, qui avait pour tâche de normaliser un mécanisme d'authentification faible du courrier électronique par le biais de la publication dans le DNS des serveurs autorisés à envoyer du courrier pour un domaine. Deux propositions étaient sur la table, SPF et Sender ID. Microsoft avait pratiqué une intense obstruction contre SPF, pour promouvoir sa propre solution, Sender ID. Six ans après est publié le RFC 6686 qui conclut enfin officiellement (…)

Journal Dédier une clé SSH au rebond sur un serveur

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
42
8
déc.
2023

Bonjour nal,

Pour du développement, j'ai besoin d'administrer en SSH un serveur cible accessible depuis un serveur bastion. Dans ce document, j'explique comment dédier une clé SSH pour se connecter au bastion sans que cette clé ne puisse servir à rien d'autre qu'à rebondir vers d'autres serveurs.

On va parler de plein d'autres choses avant d'arriver au résultat.

Rebondir avec ProxyJump

On connaît l'option -J de SSH (ou ProxyJump dans ~/.ssh/config) qui permet de faire ça simplement (…)

Journal Banques : à quand une condamnation sévère pour non-sécurisation ?

Posté par  .
Étiquettes :
42
24
avr.
2012

En lisant les actualités ce matin, je suis tombé sur un article qui nous apprend que les banques font encore preuve d'amateurisme dans la gestion de la sécurité des transactions de leurs clients. En effet on y apprend qu'il est facile d'accéder aux données contenues dans les cartes bancaires sans contact (RFID) uniquement à l'aide d'un adaptateur USB NFC. Pas de faille particulière, les données sont en clair. Parmi ces données, la carte contient toutes les infos permettant à quelqu'un (…)

Journal Retour d'expérience sur Qubes OS: un peu plus de sécurité pour votre desktop

Posté par  . Licence CC By‑SA.
Étiquettes :
42
17
déc.
2016

Bonjour nal,

Je t’écris aujourd’hui pour te narrer mon expérience sur Qubes OS. Alors, d’abord, qu’est-ce ? En 2 mots, c’est un système qui simplifie l’usage de plusieurs VM en desktop pour isoler ses tâches. Concrètement, cela veut dire que l’OS sur lequel vous allez démarrer n’est qu’un hyperviseur dom0 Xen qui démarre d’autres VM. Un point à noter, je n’ai testé que des VM Linux, il est possible d’après la doc d’utiliser d’autres systèmes comme NetBSD1. Voire de (…)

Deux extensions originales pour Firefox

Posté par  (site web personnel) . Édité par Nÿco, Lucas Bonnet et baud123. Modéré par baud123. Licence CC By‑SA.
Étiquettes :
40
15
fév.
2012
Mozilla

Développé par la fondation Mozilla, le navigateur web Firefox est connu pour avoir un vaste écosystème d'extensions. Récemment deux nouvelles extensions originales et intéressantes sont apparues et elles méritent qu'on s'y intéresse d'un peu plus près.

Journal Mises à jour NTP

Posté par  . Licence CC By‑SA.
Étiquettes :
40
23
déc.
2014
Ce journal a été promu en dépêche : Mises à jour ntp à faire suite à la faille CVE-2014-9295.

Bonjour,

Juste un petit journal bookmark très rapide pour signaler à ceux qui seraient passés à coté de l'info : de multiples failles de sécurité ont étés identifiées et comblées dans NTP ces derniers jours.

Il s'agit de plusieurs failles avec notamment :
- Deux dépassements de mémoire tampon qui peuvent permettre un déni de service ou l'exécution de code par un attaquant avec les privilèges de l'utilisateur NTP.
- D'une faiblesse dans la génération des clés, il est donc (…)

Nouvelle faille importante dans GnuTLS

Posté par  . Édité par Nÿco, BAud, Frédéric Massot et esdeem. Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
40
6
juin
2014
Sécurité

GnuTLS est une bibliothèque libre qui, au même titre que OpenSSL, permet d’établir une connexion chiffrée sur Internet via le protocole SSL/TLS.

GnuTLS

Une faille de sécurité qui permet de faire planter GnuTLS et, dans certaines conditions, lui faire exécuter du code arbitraire a été découverte.

Concrètement, lors d’une poignée de main, l’envoi d’un identifiant de session extrêmement long par le serveur provoque un dépassement de tampon. Pour résumer, on veut enregistrer en mémoire l’identifiant de session qui est plus grand que l’espace prévu à cet effet, l’excédent est écrit à côté et, en particulier, sur le programme en mémoire. En choisissant bien l’identifiant de session, on peut donc altérer le fonctionnement du logiciel en cours d’exécution à son avantage.

Deming : gestion de votre système de management de la sécurité de l'information Open Source

Posté par  . Édité par Benoît Sibaud, palm123, BAud, Arkem et Ysabeau 🧶 🧦. Modéré par Benoît Sibaud. Licence CC By‑SA.
Étiquettes :
40
25
juil.
2023
Sécurité

Gérer un système de management de la sécurité de l'information (SMSI) est une tâche terriblement chronophage, il faut définir des indicateurs, mesurer, planifier, conserver des preuves, faire des tableaux de bord et communiquer les résultats à la direction. La norme ISO 27001:2022 arrive à grand pas et il est temps de profiter de cette mise à jour de la norme pour mettre de l’ordre dans la gestion des SMSI en arrêtant de faire le suivi des contrôles et de générer des tableaux de bord dans des feuilles de calcul !

Deming est un outil Open Source distribué sous licence GPLv3 développé en PHP avec le framework Laravel. Il est conçu pour aider les RSSI à mettre en place et à maintenir un SMSI. Grâce à cette application, les RSSI peuvent facilement planifier et suivre la mise en œuvre des contrôles de sécurité et le cycle d'amélioration continue requis par la norme ISO 27001. L'application est conçue pour être facile à utiliser et à personnaliser, avec une interface utilisateur intuitive.

Linux Foundation tombe à son tour

Posté par  . Modéré par Xavier Teyssier. Licence CC By‑SA.
Étiquettes :
40
12
sept.
2011
Linux

Dans un e-mail envoyé à ses membres, la Linux Foundation dit ceci :

We are writing you because you have an account on Linux.com, LinuxFoundation.org, or one of the subdomains associated with these domains.

Nous vous écrivons parce que vous avez un compte sur Linux.com, LinuxFoundation.org ou un des sous-domaine associés.

Après les serveurs de kernel.org, c'est au tour de l'infrastructure de la fondation Linux d'être compromise.

Linux Foundation infrastructure including LinuxFoundation.org, Linux.com, and their subdomains are down for maintenance due to a security breach that was discovered on September 8, 2011.

L'infrastructure de la Linux Foundaction, incluant LinuxFoundation.org, Linux.com et ses sous-domaines est hors-service pour maintenance à cause d'une faille de sécurité qui a été découverte le 8 septembre 2011.

Les domaines linuxfoundation.org et linux.com ainsi que leurs sous-domaines sont donc coupés du monde afin de déterminer la source du problème découvert le 8 septembre 2011. La brèche à sûrement été ouverte suite aux récents événements survenues sur les serveurs de kernel.org.

Les principaux sites représentant le noyau Linux étant hors service, celui-ci n'a donc plus de vitrine sur Internet et de nombreuses questions surgissent. Est-ce une faille du noyau ou d'un des nombreux logiciels libres que nous utilisons ? Est-ce une erreur humaine ? Si accès au compte administrateur root il y a, comment ? Gageons que la source du problème sera rapidement découverte et explicitée.

Pour l'heure, la fondation Linux s'occupe à la réinstallation de ses serveurs et conseille de changer les mots de passe et clés SSH qui étaient utilisés sur leur site.

You should consider the passwords and SSH keys that you have used on these sites compromised. If you have reused these passwords on other sites, please change them immediately.

Vous devez considérer vos mots de passe et vos clefs SSH utilisés sur ces sites comme compromis. Si vous avez utilisé ces mots de passe sur d'autres sites, veuillez les changer immédiatement.

N. D. M. : LinuxFr.org n'est lié ni à kernel.org ni à la Linux Foundation mais nous relayons les informations qui nous parviennent :)

Journal De tout, de rien, des liens, du vrac (mais moins bookmarks cette fois)

Posté par  (site web personnel) .
Étiquettes :
40
11
juin
2012

Et voici un nouveau numéro !

Bon, faudrait que j'arrive à me caler sur trolldi pour publier, ça pourrait être un peu plus marrant…

Quoi qu'il en soit, j'ai essayé de faire ça un peu mieux en catégorisant un peu plus, même si c'est pas encore parfait. Les liens sont plutôt inclus dans le texte, à vous de dire si c'est mieux ou si vous préférez de bêtes listes.

Pour cette fois, principalement trois thèmes :

  • Des histoires de boulot
  • Quelques (…)

Journal Pirate Mag est de retour :)

Posté par  . Licence CC By‑SA.
Étiquettes :
40
10
août
2019

Bonjour,

Pour les plus nostalgique de la version du canard enchainé en informatique, l'irrévérencieux Pirate Mag est de retour. Après le Virus informatique (du même éditeur), son cousin le Pirate Mag revient (pour on ne sait pas combien de temps) mais ça m'a fais plaisir de le retrouver dans le libraire du coin, comme au bon vieux temps.

Cette situation me donne une lueur d'espoir en me disant que les projets ayant un contenu indépendant et loin du publi-reportage reviendront (…)

Journal Rumeurs sur l'hyper-threading - TLBleed

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
38
22
juin
2018

La peinture de la dépêche sur la faille Lazy FPU save restore n'étais pas encore sèche
que je tombais sur de curieux messages conseillant de désactiver l'Hyper-threading.

Suivis de conversations plus ou moins inquiétantes sur Twitter et dans les mailings list.

Accroche toi au pinceau

Un commit sur OpenBSD désactive l' Hyper-treading par défaut.
Le message associé est explicite:

« Since many modern machines no longer provide the ability to disable Hyper-threading in
the BIOS setup, provide a (…)

Journal Faille de sécurité glibc

Posté par  . Licence CC By‑SA.
Étiquettes :
38
27
jan.
2015

Je me permets de faire un copier coller de l'annonce relayée sur le FRench SysAdmins Group (FRsAG):

**
/Cette vulnérabilité sévère détectée dans la bibliothèque C de GNU/Linux donne le contrôle aux attaquants sans nécessiter d’identifiants système.
- Patchs disponibles dès aujourd’hui - /

*
Le 27 janvier 2015 –– *Qualys, Inc.(NASDAQ : QLYS), le principal fournisseur de solutions de sécurité et de conformité dans le Cloud, annonce que son équipe chargée de la recherche en sécurité (…)

Journal Freenaute, ton mot de passe d'abonné est stocké en clair chez Free

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
38
6
août
2018

Bienvenue en 2018,

Année de la mise en application du RGPD.
Année de la maturité en cybersécurité ? Pas pour tout le monde en tous cas.

Mon expérience d'hier soir m'a laissé perplexe. Sur la page de connexion des abonnés Freebox, ayant perdu mon mot de passe, j'ai renseigné les champs me permettant de le récupérer et … surprise, je l'ai récupéré … en clair par mail.

Nous sommes en 2018 et Free stocke les mots de passe de ses (…)