Un dernier clou dans le cercueil du WEP

Posté par . Modéré par Amaury.
Tags :
0
16
août
2006
Sécurité
Les liaisons WiFi sont fréquemment protégées par un algorithme de chiffrement, le WEP. Il utilise une technique de chiffrement faible, mais il apparaît aujourd'hui nettement insuffisant : une équipe de chercheurs a réussi à casser des clefs en quelques secondes (là où plusieurs minutes étaient nécessaires auparavant). L'algorithme est disponible, avec le code utilisé pour la démonstration.
En parcourant l'archive des sources (aircrack.c dans l'archive), il semblerait que cet exploit soit un dérivé d'aircrack utilisant une autre méthode attaque. Il s'appuie sur la fragmentation des paquets et l'utilisation des en-têtes LLC/SNAP.

L'exploit ne tourne pour le moment que sur une machine FreeBSD munie d'une carte atheros et d'une carte prism2, mais le code source étant disponible, ces limitations logicielles et matérielles risquent de sauter.

Le WEP est donc devenu définitivement inutile après près de 7 années de service, dont 3 alors qu'existait une alternative garantissant un meilleur chiffrement, le WPA.

SSTIC 2006

Posté par . Modéré par Sylvain Rampacek.
Tags :
0
13
juil.
2006
Sécurité
Le Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC) qui s'est déroulé début Juin à Rennes fût cette année encore un succès avec près de 400 participants.

Nous sommes heureux d'annoncer la mise en ligne des actes de cette édition ainsi que de différents comptes-rendus.

Les sujets présentés sont variés : virus sous OpenOffice.org, fonctionnalités de ptrace, étude de Skype, sécurité ADSL, contournement d'IDS, outil de détection de tunnels, contournement de securelevel, faiblesses d'IPv6 et d'IPsec, RFID, RPC et BitLocker, etc.

Actualités des logiciels Mozilla

Posté par . Modéré par Florent Zara.
0
17
mai
2006
Mozilla
L'actualité de la fondation Mozilla est toujours foisonnante, voici un résumé condensé des évènements principaux de ces dernières semaines et qui n'ont pas fait l'objet d'une publication dans linuxfr.

Le 23 avril 2006,
  • sortie des versions 1.5.0.2 et 1.0.8 du client de courrier électronique Mozilla Thunderbird. Ces versions sont des mises à jour de sécurité pour les deux branches en cours de Thunderbird.
    Pour d'avantage d'informations, se reporter aux informations des versions disponibles : ici pour la 1.5.0.2 et là pour la 1.0.8)

    Il est important de noter que la version 1.0.8 est la dernière de la série 1.0.x, les utilisateurs sont donc invités à passer à Thunderbird 1.5.0.2.

  • Sortie de la version 1.7.13 de la suite Mozilla. Cette version est également essentiellement une version de correction pour des raisons de sécurités (voir les informations de la suite version).

    Comme pour Thunderbird 1.0.8, Mozilla 1.7.13 est la dernière version de Mozilla. Les utilisateurs sont invités à utiliser les applications Firefox/Thunderbird/Sunbird/Nvu ou la suite Seamonkey.


Le 25 avril 2006, sortie de la suite Seamonkey 1.0.1. Il s'agit de la première version, de correction de la suite remplaçant Mozilla. Pour d'avantage d'information, se reporter aux informations de la version.

Les utilisateurs des versions précédentes de la suite Seamonkey, de Netscape ou de la suite Mozilla sont invités à utiliser cette version.

Le 02 mai 2006, sortie précipitée de Mozilla Firefox 1.5.0.3. Cette mise à jour corrige une faille de déni de service publiquement divulguée.
Les corrections de bogues précédemment programmées pour Mozilla Firefox 1.5.0.3 ont été déplacées vers la version 1.5.0.4.

Le 11 mai 2006, sortie de la version 1.0.1 du kit de personnalisation du client (ou CCK) de Mozilla Firefox.
Le CCK de Firefox permet à tout le monde de créer une extension qui personnalise le navigateur pour une installation ou un déploiement.

Cette version, sortie rapidement (3 jours après la 1.0), corrige quelques bogues et notamment le 337267 qui rendait le produit inutilisable. Pour d'avantage de détails, vous pouvez vous référer aux informations de la version et à la page des addons de Firefox.

L'équipe de Sunbird a également annoncé la disponibilité de la version 0.3 (alpha2) du projet de calendrier.

Le 12 mai 2006, sortie de Camino 1.0.1.
Cette version corrige des failles de sécurité, notamment celles qui ont été corrigées dans la version 1.8.0.3 du moteur Gecko, mais apporte également quelques fonctionnalités comme l'amélioration du ad-blocking ou la possibilité d'ouvrir des fichier SVG locaux (se référer aux informations sur la version pour d'avantage de détails).

On rappelle, au passage, que Camino est un navigateur internet pour Mac OS X basé sur le moteur Mozilla Gecko.

Graves problèmes de sécurité dans x.org

Posté par . Modéré par Christophe Guilloux.
Tags :
0
15
mai
2006
Serveurs d'affichage
Un chercheur français du DCSSI, Loïc Duflot, a récemment publié un article sur un trou de sécurité dans l'architecture même de x.org, faille suffisante pour contourner les protections habituelles (type SELinux, GRsecurity, etc).

La description du problème est assez complexe mais securityfocus a publié une interview de M. Duflot très éclairante : il s'agit de profiter de l'accès direct (sans passer par le noyau), par X11, a certaines fonctionnalités des processeurs x86 pour pouvoir détourner les flux logiciels, et exécuter du code à l'insu du noyau (et de ses éventuelles couches de protections).

NdA : Merci à herodiade pour son journal. Je vous invite à lire les commentaires intéressants qui ont été faits.

Concours de sécurité informatique Challenge-SecuriTech 2006

Posté par . Modéré par Christophe Guilloux.
Tags :
0
17
avr.
2006
Sécurité
Le « Challenge-SecuriTech » est un concours de sécurité informatique en ligne, gratuit et ouvert à tous, organisé par le mastère « Sécurité de l'information et des systèmes » de l'ESIEA. Sa quatrième édition commencera le samedi 29 avril 2006.

À partir du samedi 29 avril 2006 à 00h00, plus de 15 épreuves de sécurité vous seront proposées. Vous aurez alors trois semaines pour les résoudre. Elles couvriront de nombreux aspects de la sécurité tels que les failles web et applicatives, l'analyse réseau, la rétro-ingénierie, la cryptanalyse, la stéganographie, l'analyse forensique, etc... Chaque épreuve résolue vous apportera un certain nombre de points, permettant d'effectuer un classement. De nombreux lots récompenseront les meilleurs.

Cette édition sera marquée par plusieurs nouveautés : un site web entièrement refait pour mieux répondre à vos attentes, des challenges plus variés et un concept différent. Vous pourrez trouver plus d'informations sur le site du challenge.

Les inscriptions sont d'ores et déjà ouvertes sur le site du challenge. Venez tester, améliorer et comparer vos connaissances en sécurité avec plusieurs milliers d'autres participants !

Faille de sécurité majeure dans Ubuntu 5.10

Posté par . Modéré par Nÿco.
0
13
mar.
2006
Ubuntu
Une faille de sécurité majeure affectant le système Ubuntu Linux 5.10 vient d'être découverte par Karl Øie. Le mot de passe du premier utilisateur créé lors de l'installation du système apparaît dans les fichiers logs de l'installeur.

On retrouve le mot de passe non-hashé dans plusieurs fichiers dont /var/log/installer/cdebconf/questions.dat qui est accessible en lecture à tous les utilisateurs. C'est d'autant plus préoccupant que le premier utilisateur créé sur le système possède les droits sudo sur l'ensemble du système, ce qui équivaut à un accès root à la machine.

Les paquets base-config et passwd incluant le correctif sont disponibles (moins de 24h après la découverte de la faille par un utilisateur). Mettez à jour très rapidement !

Un petit ver pour Linux

Posté par (page perso) . Modéré par Jaimé Ragnagna.
Tags :
0
21
fév.
2006
Linux
Symantec a découvert [1] ce week-end un nouveau ver destiné aux plate-formes Linux et UNIX. Il s'agit d'une nouvelle variante du virus Plupii découvert en novembre dernier [4].

Ce ver ne représente pas une énorme menace car il n'est que peu répandu. Mais comme il profite de 3 failles de sécurités différentes pour se propager, il faut y faire attention. Les 3 failles concernent (plus de détails dans l'article complet) :
1- XML-RPC for PHP Code Execution Vulnerability
2- AWStats Input Validation Vulnerability
3- WebHints Shell Command Injection Vulnerability

Le ver, une fois le système infecté, va ouvrir une trappe (ou porte dérobée) sur le port UDP 27015.

Des correctifs sont accessibles en ligne :
1- XML-RPC 1.1.1 est couvert [2]
2- AWStats 6.4 est couvert [3]
3- Il n'y aurait pas encore de patch disponible pour Webhints

Mettez à jour vos systèmes, si ce n'est pas déjà fait.

Sortie d'un utilitaire de fuzzing Bluetooth BSS v0.6

Posté par . Modéré par Christophe Guilloux.
Tags :
0
7
fév.
2006
Sécurité
Dans le cadre d'un dossier d'une dizaine de pages, vous trouverez un tutoriel sur la sécurité du protocole de communication sans-fil Bluetooth reprenant les attaques déjà connues (Helomoto, Bluebug, etc etc ...). Vous y trouverez également la première version diffusée par Secuobs d'un utilitaire (BSS - Bluetooth Stack Smasher) destiné à tester la sécurité de ce protocole.

D'après les tests effectués par l'équipe de ce site, plusieurs éléments mobiles sont faillibles aux opérations de fuzzing. Cet utilitaire développé par Pierre Betouin de la société Infratech a été placé sous licence GPL.

On notera parmi les résultats la présence d'un Déni de Service dans la version 1.29 de hcidump, mais également dans la pile Bluetooth de plusieurs téléphones portables des marques Sony/Ericsson, Samsung et Nokia. Les fonctions Bluetooth avaient été activées, ce qui n'est pas le cas par défaut sur ces appareils.

talweg, une migration vers Mono

Posté par . Modéré par Mouns.
Tags :
0
20
jan.
2006
Mono
talweg est un « portail captif » conçu pour sécuriser principalement les réseaux sans-fil. Développé à sa création en Perl, il nous revient en C# sous Mono.

L'utilisation de ce framework .NET sous Linux le rend désormais compatible avec Apache 1 et 2. Son installation est plus facile, Mono fourni l'ensemble des outils nécessaires à son fonctionnement, de la classe d'accès Http à la gestion des certificats X.509. Seuls les logs s'appuient sur un composant externe : Log4Net, une bibliothèque maintenue par la Fondation Apache, qui permet un grand nombre de scénarios.

Ce développement a permis à l'équipe talweg, en collaboration avec Gonzalo Paniagua Javier le créateur et mainteneur de mod_mono, de contribuer au projet Mono, mais aussi de constater la facilité de maintenance offerte par le couple C#/Mono. Du point de vue technique, beaucoup d'améliorations ont été apportées. Les outils proposés par le framework ont permis d'intégrer le proxy, un meilleur choix dans la réécriture de l'adresse a permis l'utilisation d'un seul certificat SSL de type wildcard.

Le principe premier de talweg : la garantie de l'identité des personnes utilisant le réseau en évitant les mécanismes d'usurpation, est bien sur conservé. Ce principe a une incidence très intéressante : il est possible de communiquer sur Msn Webmessenger ou de lire ses messages sur Gmail à travers un canal chiffré.

Pour tous ceux qui souhaiteraient tester en quelques minutes cette solution, un live CD existe.

Journal Trois fois plus de vulnérabilités chez Linux que Windows

Posté par .
0
6
jan.
2006
"Trois fois plus de vulnérabilités chez Linux que Windows" tel est le titre d'un article de VNUnet.fr [1]

Cet article fait echo du rapport du US-CERT sur les vulnérabilités de l'année 2005 [2]

En gros, 812 alertes pour windows et 2328 du coté de linux. Bon, s'ils le disent, le mieux est quand même de vérifier pour voir pourquoi un telle différence.

Je regarde donc le rapport, et le truc qui me saute aux yeux rapidement est le nombre de (...)

Appel à communication SSTIC 06

Posté par . Modéré par Jaimé Ragnagna.
Tags :
0
7
déc.
2005
Communauté
La 4ème édition du Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC) se déroulera du 31 mai au 2 juin 2006 à Rennes.

SSTIC est devenu en l'espace de quelques années la conférence de référence en sécurité informatique en France. Elle est organisée par des volontaires membres de l'association STIC et ne poursuit aucun objectif commercial. Le symposium se déroule sur le site de l'ESAT à Rennes.

Cette année le thème de la conférence porte sur les limites de la sécurité. Ce sujet sera exploré sous différents axes:
- les limites de la technologie (limites des produits, mythes, failles et preuves)
- les limites du périmètre (dissolution, mobilité et aspects télécom)
- au-delà des technologies (les facteurs non-technologiques)
- au-delà des limites (que faire une fois que l'incident s'est produit)

L'appel à contribution est ouvert et la date limite de soumission est le vendredi 6 janvier 2006.

N'hésitez pas à contacter le Comité de Programme si nécessaire:
cp@security-labs.org

Les archives (présentations et publications) des éditions précédentes sont également disponibles.

Anonymat avec des Logiciels Libres

Posté par . Modéré par Florent Zara.
Tags :
0
23
sept.
2005
Sécurité
Secuobs.com propose un tutoriel sur un ensemble de logiciels libres (Tor, Privoxy, Switchproxy) permettant d'assurer le respect de votre privée. Cet anonymat peut être assuré pour l'ensemble des applications reposant sur le protocole TCP (Transport Control Protocol) sous GNU/Linux.

Vous y trouverez également des informations sur la conférence tenue par Roger Dingledine (mainteneur du projet Tor) lors du Woodstock numérique What The Hack qui a réuni plus de 3000 participants (hackers et geeks) en juillet dernier près de Eindhoven aux Pays-Bas.

Ce tutoriel fait parti d'un dossier sur ce rassemblement, vous y trouverez notamment un article sur la pétition commune de XS4ALL et l'EDRI contre la rétention des données de connexion.

L'acceptation du projet de directive se joue en ce moment même au parlement européen, votre soutien est plus que le bienvenu.

Privacy is not a crime...

Début du support de la sécurité pour Debian testing

Posté par . Modéré par Jaimé Ragnagna.
Tags :
0
12
sept.
2005
Debian
La Debian testing security team a annoncé le début du support complet de la sécurité pour la distribution testing via les listes de diffusion debian-devel-announce et debian-user. L'équipe a passé cette dernière année à mettre en place l'infrastructure permettant d'offrir des annonces et des mises à jour de sécurité pour cette distribution.

Il n'y aura pas d'annonces pour les mises à jour de sécurité qui arrivent dans testing depuis unstable. Les utilisateurs de testing doivent donc toujours mettre à jour régulièrement leur système pour obtenir ces mises à jour. Il est cependant possible que l'équipe fournisse des informations à propos de ces mises à jour de sécurité à l'avenir.

Il faut aussi noter que cette annonce ne signifie pas que la distribution testing est maintenant utilisable en production. Il existe plusieurs problèmes de sécurité dans unstable et il en existe un nombre encore plus important dans testing. Le début de ce support de la sécurité signifie seulement que les mises à jour de sécurité pour testing seront maintenant disponibles presque aussi vite que pour unstable.

Le site de la Debian testing security team fournit des informations sur les failles de sécurité qui sont toujours ouvertes, les utilisateurs peuvent utiliser ces informations pour décider par eux-même si testing est assez sûre pour eux.

Journal Linux sécurisé, GRsecurity, RSBAC, PaX, SSP, libsafe, SElinux,...

Posté par .
0
10
août
2005
Ce journal s'agit en fait d'une sorte de sondage, ou plutôt d'une demande de retour d'expériences.

Je cherche activement à sécuriser mon petit linux des méchants
buffersoverflow et autres joyeusetés... pour une machine x86 en utilisation serveur (PII-266 48moRAM 3goDISK par exemple, mais ne vous heurtez pas à la config, ca pourrai etre un athlon2000+).

dessus ca serai pour utiliser des demons du styles: iptables,dhcpd,ftpd,httpd,sshd

Je cherche à savoir qu'est ce que utilisent les admins qui ont un grand besoin (...)

Comment des vendeurs essaient de breveter les solutions à des failles de sécurité qui leur sont fournies

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags :
0
14
juil.
2005
Sécurité
Une série de failles ont été découvertes dans le protocole ICMP (et non pas ses implémentations) par l'argentin Fernando Gont, professeur, administrateur système et chercheur en réseau. Il a tenté dès le début, en août 2004, d'en informer tous les auteurs d'implémentation du protocole ICMP avant de publier les failles sur Internet. Il a commencé par écrire un document qu'il a envoyé à l'IETF. Il a également contacté CERT/CC et NISCC, les auteurs de systèmes d'exploitation libre (OpenBSD, NetBSD, FreeBSD, Linux, etc.), ainsi que Microsoft, Cisco et Sun Microsystems. Il a décrit chaque faille pour leur permettre de corriger les implémentations avant de publier ses découvertes.

Fernando a alors commencé à recevoir des e-mails de Cisco demandant des informations techniques précises. Deux mois plus tard, il a reçu un e-mail d'un avocat de Cisco disant que Cisco allait breveter son travail ! L'avocat n'a pas voulu donner plus de détails. Encore deux mois plus tard, il y a eu un échange de mails entre Cisco, Linus Torvalds et David Miller où Fernando a été mis en copie. David a fait remarquer que Linus Torvalds utilisait déjà depuis plusieurs années le « sequence tracking » dans Linux et par là même, le brevet ne pouvait être déposé pour cause d'antériorité du travail de Linus.

Cisco a alors accusé Fernando de coopérer avec les terroristes alors qu'en même temps Cisco voulait breveter son travail. Plus tard Cisco a aussi demandé à Fernando qu'il travaille pour CERT/CC.

Aujourd'hui Cisco a abandonné son idée de brevet, mais ça laisse quand même réfléchir sur le fait de publier anonymement ses failles ou non !