J'ai publié il y a quelques mois un tuto pour mettre en place "facilement" un serveur XMPP/Jabber avec Prosody et du SSL/TLS plutôt bien configuré sous Debian, j'ai eu pas mal de retours positifs depuis et je pense qu'il pourrait intéresser d'autres personnes.
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
Le hackerspace de Limoges, SmartLab aussi appelé DumbLab ouvre officiellement ses portes le vendredi 6 Février 2015 à 19 h 30.
Les principaux domaines qui intéressent le lab sont la sécurité informatique, les télécommunications et plus généralement l'électronique. Nous convions toutes les personnes intéréssées afin qu'elles puissent découvrir les locaux, le matériel ainsi que les projets du lab, poser des questions et pourquoi pas devenir membre :).
À cette occasion un apéro sera organisé dans nos locaux fraîchement rénovés. Rendez-vous donc le Vendredi 6 Février 2015 dans nos locaux situés impasse Daguerre.
N'hésitez pas à en parler autour de vous !
Pour tout renseignement, n'hésitez pas à consulter le site. Contact : smartlab.limoges@gmail.com
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
Un système mécanique, par exemple dans une voiture, est relativement facile à sécuriser :
Cette année l'association GOALL aide à l'organisation des Journées FedeRez à SUPELEC à Metz. FedeRez est une fédération d'associations de réseaux informatiques étudiants. Tous les ans, les étudiants des associations membres se retrouvent pour échanger lors des Journées FedeRez, assister à des conférences et participer à divers ateliers. En plus des nombreux étudiants et jeunes diplômés constituant le public habituel de l'événement, beaucoup de professionnels sont invités.
L'édition 2015 aura pour thème la sécurité des systèmes d'information :
Bonjour,
Mes étudiants organisent une conférence de sécurité assez technique le 16 Janvier 2015 à L'université de Lille 1:
http://securitydaylille1.github.io/
Au programme:
- (FR) Keynote - Fred Raynal
- (EN) Towards ultimate deobfuscation - Aurélien Wailly
- (FR) Recherche de vulnérabilités - Florian Ledoux
- (FR) Program analysis: dynamic binary analysis and instrumentation - Jonathan Salwan
- (EN) Memory analysis: a volatility primer - Mariano Graziano
- (EN) Inside VMProtect - Samuel Chevet
- (EN) Theorem prover, symbolic execution & (…)
Que ce soit sur Google Play ou même l’App Store, les applications mobiles alternatives pour consulter votre boîte mail prospèrent. Mais que font-elles vraiment ? Peut-on leur faire confiance ?
On s’imagine qu’elles sont justes « mieux faites » que les applications par défaut. « Pareil mais en mieux », plus jolies, plus simples, vous promettant un tri automatique du courriel entrant ou un (swype) super-cool, ou encore un regroupement de vos boîtes pro & perso, alors vous foncez. Mais qu’en est-il vraiment ?
De multiples failles de sécurité ont été identifiées et comblées dans ntp (le logiciel de ntp.org, pas le protocole NTP en général) ces derniers jours. Il s'agit de plusieurs failles avec notamment :
Elles ne sont pas forcément exploitables ou d'une grande dangerosité en dehors d'une d'utilisation avancée / serveur ntpd, mais il est préférable d'être prévenu :)
Cette faille a été identifiée et nommée CVE-2014-9295. Elle concerne toutes les versions de ntp jusqu'à la 4.2.7 et la version corrective 4.2.8 est parue le 18 décembre 2014.
NdM : il existe d'autres logiciels libres pouvant servir pour la synchronisation NTP, comme openntpd (non vulnérable) issu d'OpenBSD, Ntimed (client uniquement) sponsorisé par la Linux Foundation, chrony, etc.
Bonjour,
Juste un petit journal bookmark très rapide pour signaler à ceux qui seraient passés à coté de l'info : de multiples failles de sécurité ont étés identifiées et comblées dans NTP ces derniers jours.
Il s'agit de plusieurs failles avec notamment :
- Deux dépassements de mémoire tampon qui peuvent permettre un déni de service ou l'exécution de code par un attaquant avec les privilèges de l'utilisateur NTP.
- D'une faiblesse dans la génération des clés, il est donc (…)
Une vulnérabilité (CVE-2014-9390) a été annoncée hier soir concernant le logiciel de gestion de versions le plus en vogue en ce moment, j'ai nommé Git, ainsi que sur Mercurial, autre logiciel de la même catégorie. Elle a déjà été corrigée, je vous invite donc à mettre à jour vos installations.
Github, le service d'hébergement de dépôt Git lui aussi très en vogue, a de son côté annoncé avoir vérifié tous les dépôts présents sur ses serveurs à la recherche d'exploitations de cette vulnérabilité. Mesure de sécurité supplémentaire, il refuse désormais les push exploitant cette faille.
NdM : Merci à RoM1 et Sébastien Douche pour les précisions apportées dans la dépêche. La faille a été trouvée par le créateur de Mercurial, Matt Mackall, et Augie Fackler. La vulnérabilité se décline en trois parties :
Le GULL associatif StarinuX organise l'atelier : « SSH (Secure SHell) et connexions par clés sans mot de passe » le samedi 20 décembre de 9h30 à 17h,
au 48 rue de Colombes 92400 Courbevoie, salle Corail, étage 1A (SNCF : gare de Courbevoie, 7min de St Lazare et 1min de la Défense).
Au programme : venez vérifier vos classiques sur SSH (connexion clients / Serveur) et apprendre à se loguer en sécurité sans mot de passe via clés publique et privée.
Comme à l'accoutumée, une participation annuelle est demandée, de 20€ (10€ demandeurs d'emploi), valable pour plus de 15 ateliers.
Contact : events@starinux.org
Hello,
Je m’auto-héberge pour quelques services, Web, DNS, DHCP notamment et à ce jour ma machine host étant directement dans mon LAN, l’accès à cette dernière se faisant directement avec une translation de port sur ma Box FAI. L'host physique ayant un parefeu et découpe les services dans un autre sous-réseau virtuel pour les envoyer vers les différentes jails.
Je me pose la question de savoir si j'ai un intérêt quelconque à isoler cette dernière (j'ai une option DMZ sur (…)
Ça y est (article en anglais désolé) le gouvernement français fait de la surveillance sur ses propres employés en créant un certificat "google.com" et en le signant avec sa propre autorité de certification (oui, si vous n'étiez pas au courant, l'ANSSI a sa propre autorité de certification.)
Moi qu'était fier que mon pays aie une autorité de certification, me voilà déçu par un hiérarchie qui fait de la merde avec.
Bref… Il est temps de faire le ménage dans vos (…)
Bonjour,
Dans notre petit groupe de glandouille recherche sponsorisé(*) par ma SSII alimentaire, on s'amuse un peu avec du SMART (il parait que c'est à la mode). L'idée n'étant pas de troller mais de fouiller un peu l'aspect sécurité de la chose.
Si j'étais formé à la sécu, ça serait plus simple mais je ne suis qu'une modeste lecteur ébahi devant les articles de MISC. Enfin, il faut bien se lancer.
Après avoir jeté un œil aux protocoles (ZigBee, Z-Wave (…)