Journal Qualcomm corrige une faille critique dans des dizaines de puces Snapdragon

24
8
mai
2019

Pour continuer sur les discussions autour d'Android du moment sur LinuxFR.

Source : https://app.beebom.com/qualcomm-patches-critical-flaw-dozens-snapdragon-socs/

Traduction :

Des chercheurs du groupe NCC, une compagnie spécialisée dans la cybersécurité, ont découvert une vulnérabilité critique qui affecte des dizaines de puces Qualcomm utilisés dans les téléphones et tablettes Android.

D’après les rapports, pas moins de 46 puces Qualcomm, incluant les SD820, 835, 845, 855, 625, 636, 660, 670 sont probablement impactés par la vulnérabilité qui permet d’autoriser des attaquants potentiels à accéder à (...)

Pass  the SALT 2019 : le programme est en ligne et la billetterie arrive !

Posté par (page perso) . Édité par Pierre Jarillon, Davy Defaud, palm123, Xavier Claude et ZeroHeure. Modéré par Pierre Jarillon. Licence CC by-sa.
Tags :
16
3
mai
2019
Sécurité

La seconde édition de Pass the SALT, conférence dédiée à la sécurité et aux logiciels libres (ou aux protocoles et formats ouverts), a publié son programme !

La billetterie (gratuite) sera ouverte autour de la mi‐mai.

Pass the SALT se déroule à l’école Polytech de Lille du 1er au 3 juillet 2019. Son accès est gratuit. Les interventions se font en anglais afin de permettre la venue la plus confortable possible aux conférenciers et participants non francophones (le Benelux et l’Allemagne ne sont pas loin !).

Forum Linux.debian/ubuntu Iptables - Ip6tables - avis

Posté par . Licence CC by-sa.
0
1
mai
2019

Bonjour bonjour !

Après avoir créé un thread pour la configuration, je me permet d'en créer un nouveau pour recueillir vos avis et optimisations, vu que l'on commençait à s'y perdre avec la tonne de message du premier thread.

Alors, vos avis ? Merci d'avance !

Voilà donc à quoi ressemble la configuration :

#!/bin/bash
#iptables-restore < /etc/iptables.test.rules

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P
(...)

Forum Linux.général AppArmor : de la sureté de lancer un audit d'application en super-utilisateur (root)

2
29
avr.
2019

Je précise : je ne suis expert en rien…

Je pose la question, car je suis surpris de la démarche… Dans les tutos ou même le manuel utilisateur, il est demandé de lancer, sans aucun état d'âme, par exemple, la commande suivante :

sudo aa-genprof /chemin/vers/mon/processus

What ?!!! Cela n'étonne t-il que moi ?

Alors,
1- Pourquoi nulle part il est mentionné le problème de sureté que cela occasionne ?
2- Il existe une méthode pour créer un profil, sans (...)

Forum Linux.debian/ubuntu IPtables -configuration

Posté par . Licence CC by-sa.
1
24
avr.
2019

Bien le bonjour !

J'ai lu des dizaines d'articles, tutos et posts sur des forums, j'ai bidouillé dans tous les sens, en modifiant/supprimant chaque règle une par une. Et malgré tout je me pose toujours des questions sur mon IPtables…

Il ressemble à ceci :

      ## On drop les scans XMAS et NULL.
      iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
      iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
      iptables -A INPUT -p tcp --tcp-flags ALL
(...)

Journal Première faille de sécurité dans Tchap

44
23
avr.
2019

Tchap, l'application de messagerie instantanée du gouvernement, basée sur Riot, a souffert d'une grave faille de sécurité dès son lancement.

Le hacker Robert Baptiste Aussi connu sur twitter sous Elliot Alderson, a réussi à accéder aux salons privés de l’Élysée, en …une heure et quart.

Voici une traduction approximative du modus operandi employé par Robert. La page de blog originale est à la fin du journal.

L'application est disponible sur le google play store, mais il faut une adresse (...)

ADSILLH : Licence professionnelle Administrateur et Développeur Logiciels libres à Bordeaux

Posté par (page perso) . Édité par Davy Defaud. Modéré par Pierre Jarillon. Licence CC by-sa.
17
2
avr.
2019
Éducation

Après une ouverture en septembre 2016 et trois promotions, la licence professionnelle ADSILLH ouvre de nouveau ses portes à l’Université de Bordeaux à la rentrée 2019 !

Cette licence professionnelle vise à former les étudiants à intégrer des logiciels libres et hybrides en un ensemble cohérent répondant aux besoins des entreprises, un système d’information complet par exemple. Il s’agit également de s’impliquer dans les communautés de développeurs de logiciels libres, pour remonter ou corriger les bogues, contribuer des fonctionnalités (c’est tout l’objet du projet tuteuré).

C’est une licence 3 en un an, elle est ouverte aux L2, DUT, BTS, en formation initiale et en alternance, mais aussi en formation continue, reprise d’études et contrat pro (on peut faire une VAP — Validation des Acquis Professionnels — pour l’inscription). Des VAE (Validation des Acquis de l’Expérience) sont également possibles.

Journal Référentiels de sécurité sur MOSP

Posté par (page perso) . Licence CC by-sa.
1
26
mar.
2019

Voici quelques référentiels de sécurité (contrôles) utilisables dans l'application MONARC ainsi que les mappings correspondant.

À quoi cela peut servir? Voici un bref aperçu.

Les référentiels peuvent être édités assez facilement comme des objets JSON grâce à un formulaire Web. Le formulaire est généré via un schéma JSON. De manière à avoir des objets valides.
Voici un exemple d'objet un peu plus complexe.
Il est également possible d'exporter un objet au format CSV (grâce à la librairie (...)

Journal La NSA publie son outil de rétro-ingénierie

Posté par . Licence CC by-sa.
14
9
mar.
2019

Cher journal,

Un bouquemarque rapide pour dire que la National Security Agency a publié sous licence Apache son outil Ghidra de reverse engineering, un concurrent apparemment sérieux au très dispendieux IDA Pro.

Personnellement, je me rappelle avoir fait il y a quelques temps des choses relativement simples avec GNU Debugger et Radare2 ; radare2 avait l'air puissant mais m'avait plus l'air d'un framework que d'un produit clés en main. Des experts peuvent-ils m'éclairer ? Quelqu'un aurait un retour sur (...)

Forum général.hors-sujets Protection des données personnelles : identifiant et mot de passe en clair

Posté par . Licence CC by-sa.
Tags :
5
27
fév.
2019

Voilà, mon syndic de copropriété nous indique l'identifiant et le mot de passe en clair sur l'appel de fond (envoyé en lettre simple). De plus, pire encore, lors de la connexion à leur plate-forme (liée à une très grosse fédération immobilière nationale), le mot de passe apparaît en clair. Je n'avais pas vu ça depuis plus de 10 ans.

Je le leur ai signalé mais n'ai obtenu aucune réponse sur le sujet.

Est-ce légal de leur part ? Le site (...)

Pass the SALT 2019 : sécurité et logiciels libres reviennent à Lille

Posté par (page perso) . Édité par Davy Defaud, ZeroHeure, Nÿco et Benoît Sibaud. Modéré par ZeroHeure. Licence CC by-sa.
Tags :
16
6
fév.
2019
Sécurité

Après une première édition réussie en juillet dernier, Pass the SALT, conférence dédiée à la sécurité et aux logiciels libres, revient à l’école Polytech Lille du 1er au 3 juillet 2019.

Son accès est gratuit et les conférences seront données en langue anglaise afin de permettre la participation la plus ouverte et accessible possible aux conférenciers et conférencières étrangers.

Pass the SALT a pour but de favoriser l’exposition et la coopération autour des logiciels libres dans le domaine de la sécurité. En 2018, elle a accueilli vingt‐huit interventions et cinq ateliers. Ces interventions ont couvert neuf thématiques différentes comme le reverse, la sécurité réseau, la réponse à incident, l’offensif ou la sécurité Web.

Logo Pass the salt 2019

L’appel à soumissions est ouvert jusqu’au 31 mars 2019. Le site pour déposer votre proposition d’intervention (présentation de 35 min, 20 min ou atelier) est ici : https://cfp.pass-the-salt.org/.

N’hésitez pas à soumettre, la relecture des soumissions est bienveillante et nous sommes disponibles pour donner conseils et avis. :-)

Et si vous êtes une entreprise, vous pouvez soutenir l’événement en le sponsorisant. Merci par avance !

Toulouse Hacking Convention : 8 mars 2019

Posté par (page perso) . Édité par BAud, Davy Defaud et tankey. Modéré par ZeroHeure. Licence CC by-sa.
11
1
fév.
2019
Sécurité

Le 8 mars 2019, l’ENSEEIHT de Toulouse accueillera la troisième édition de la Toulouse Hacking Convention. Il s’agit d’une journée de conférences tournant autour de la sécurité, dans une ambiance conviviale et avec des membres de la communauté du Libre. :)

Il s’agit de la troisième édition, les deux précédentes ont été un franc succès avec autour de cent‐cinquante participants. Contrairement aux années passées, il n’y aura en revanche pas de CTF cette année (manque de bénévoles motivés). Cette année, nous accueillerons exclusivement des conférenciers francophones. Les sujets iront de la modification de micrologiciel de clavier à la sécurité informatique pour les ONG et les journalistes. Le programme complet est disponible sur le site Web.

Les vidéos des conférences de l’année dernière sont disponibles sur YouTube (nous n’avons pas encore de PeerTube…)

Inscrivez‐vous rapidement, les inscriptions vont fermer d’ici peu !

En janvier 2019, l’Union européenne ouvre la chasse aux failles dans les logiciels libres

Posté par . Édité par Pierre Jarillon et Davy Defaud. Modéré par patrick_g. Licence CC by-sa.
43
24
jan.
2019
Sécurité

EU-FOSSA,ou European Union Free and Open Source Software Auditing, est un projet initié par les eurodéputés Max Anderson et Julia Reda — après la découverte de la faille de sécurité Heartbleed et porté par la Commission européenne depuis 2015. En 2017, le projet a été reconduit pour trois ans sous le nom de EU-FOSSA 2 et, après un premier Bug Bounty en novembre 2017, une prime pour la détection de failles de sécurité pour le lecteur média libre VLC, la Commission a annoncé en janvier 2019 quinze nouvelles primes pour des logiciels libres utilisés par les institutions européennes.

Julia Reda explique fort bien les fondements et les buts de cette action européenne…