Journal Heartbleed : petit best of des journalistes

Posté par Perdu (site web personnel) le 11 avril 2014 à 10:56. Licence CC By‑SA.

Étiquettes :

70

11

avr.

2014

Aaah, pas facile d'écrire un article sur un sujet aussi technique que le récent bug sur OpenSSL, baptisé Heartbleed, quand on est journaliste généraliste. Forcément, ça donne des erreurs et approximations dans l'article final, ce qui ne manque pas de nous font osciller entre le rire gras et le désespoir, nous, techniciens. Petit tour d'horizon du best of des journalistes sur Heartbleed.

Avant de commencer, notons que je passerai sur les trop nombreuses occurrences de l'adjectif crypté et ses variantes (…)

Journal Management des interfaces utilisateur d'autorisation et d'authentification sur Wayland

Posté par Martin Peres (site web personnel) le 10 avril 2014 à 16:27. Licence CC By‑SA.

Étiquettes :

21

10

avr.

2014

Suite à mon article de blogue et journal Compositeurs Wayland - Pourquoi et comment gérer les clients privilégiés?, je reviens vous prévenir de la sortie d'un autre article lié à la sécurité de la pile graphique Wayland.

Cette fois ci, cet article a été écrit par Steve Dodier-Lazaro, doctorant en "Usable Security" à l'University College of London (UCL), et se concentre sur le problème de sécurité lié au fait que n'importe quelle application peut imiter les fenêtres d'autorisation/authentification telles (…)

Nouvelle vulnérabilité dans l’implémentation OpenSSL

Posté par Burps le 08 avril 2014 à 10:57. Édité par Davy Defaud, Benoît Sibaud, Lucas Bonnet, Bruno Michel et claudex. Modéré par Ontologia. Licence CC By‑SA.

Étiquettes :

86

8

avr.

2014

Une vulnérabilité dans l’implémentation de l’extension heartbeat (RFC 6520) d’OpenSSL a été découverte conjointement par une équipe de chercheurs en sécurité (Riku, Antti and Matti) à Codenomicon et Neel Mehta de Google Securité. On retrouve ici un vieux bogue des familles : le read overrun.

OpenSSL 1.0.1, jusqu’à 1.0.1f inclus, et OpenSSL 1.0.2-beta1 sont affectés. Ce sont les versions utilisées dans la plupart des distributions.

Cette dernière permet la lecture de 64 Kio dans la mémoire des clients et serveurs affectés (mais l’attaque peut être rejouée à chaque heartbeat), autorisant la lecture de données comme les clés privées et, bien sûr, les données échangées une fois ces dernières retrouvées (et ce, même en mode hors ligne s’il n’y avait pas de forward secrecy utilisé).

Il est difficile, voire impossible, de faire une détection post‐mortem d’infiltration, l’attaque ne laissant pas d’entrée suspecte dans le journal système.

Passer à OpenSSL 1.0.1g, redémarrer tous les services utilisant libssl et remplacer l’intégralité de ses certificats (la clef privée étant vulnérable) est donc nécessaire.

Journal Openssl: de battre mon coeur s'est arrété

Posté par Shuba le 08 avril 2014 à 09:37. Licence CC By‑SA.

Étiquettes :

36

8

avr.

2014

Bonjour nal,

Si je prends la plume si précipitamment aujourd'hui, c'est parce qu'il est urgent de t'avertir d'une faille critique dans le code d'une librairie qui t'es chère. En effet, un dépassement de tampon dans l'implémentation Openssl de l'extension "heartbeat" du protocole TLS a été découvert. Je suppose que tu as le coeur brisé par cette nouvelle, mais je t'en supplie, ton sang ne doit faire qu'un tour, et tu dois migrer vers une version sûre, comme la 1.0.1.g.

Les journaux LinuxFr.org les mieux notés du mois de mars 2014

Posté par Florent Zara (site web personnel, Mastodon) le 03 avril 2014 à 09:08. Modéré par claudex. Licence CC By‑SA.

Étiquettes :

16

3

avr.

2014

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Voici un florilège d'une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois de mars passé.

So, you wanna be a sysadmin ? (Trolldi inside) par plop_plop_sys ;
Magic Lantern : un projet open-source (trop?) discret par Fred Dewitt ;
Tomate, un logiciel pour planifier vos cultures par mickael ;
devenez un développeur linux par EdB ;
Porte dérobée sur Samsung Galaxy - Projet Replicant par Xavier G. ;
Internet, "Le Monde", et la 4G et la fibre optique par André Rodier ;
AMD et plus d'open source par Xavier Claude ;
Vol de Bitcoins mis sur des adresses faibles par palkeo ;
Nepomuk est mort, vive baloo par gnumdk ;
XML c'est de la daube!!! par ChickenKiller.

Revue de presse de l'April pour la semaine 13 de l'année 2014

Posté par echarp (site web personnel, Mastodon) le 01 avril 2014 à 06:37. Modéré par patrick_g. Licence CC By‑SA.

Étiquettes :

16

1

avr.

2014

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Forum général.général Firefox et "désactivation temporaire de la liste anti-malware"

Posté par Florent le 28 mars 2014 à 21:26. Licence CC By‑SA.

Étiquettes :

6

28

mar.

2014

Bonjour à tous,

J'ai eu quelque chose que je n'avais encore jamais vu avec Firefox, je vous explique.

J'utilise Firefox 28.0 sous Archlinux avec différents profils : Perso, Gmail …
J'ai voulu aujourd'hui créer un nouveau profil "Web" dans le but de pouvoir naviguer sur tous les sites avec une sécurité maximale, pour cela le profil à 2 extensions : Noscript et WOT.

J'étais donc sur l'onglet "Modules complémentaires", catégorie Extensions, lorsque je clique sur "Préférences" de l'extension Noscript. Je (…)

Full disclosure, c'est fini

Posté par claudex le 20 mars 2014 à 10:45. Édité par Benoît Sibaud, palm123, Nils Ratusznik et tuiu pol. Modéré par Nils Ratusznik. Licence CC By‑SA.

Étiquettes :

48

20

mar.

2014

John Cartwright a annoncé la fermeture de la liste de diffusion Full disclosure. Cette liste était destinée à la publication de failles de sécurité et à la discussion sur ce sujet. Dans son message de fermeture, John Cartwright annonce qu'il en a marre des membres de la « communauté » qui demandent la modération d'anciens messages et pense que ça devient de plus en plus difficile de maintenir un forum ouvert dans le climat légal actuel.

La liste a été créée le 9 juillet 2002 par Len Rose, et était administrée par John Cartwright. Elle était sponsorisée par Secunia, une boîte de sécurité elle aussi créée en 2002.

Wikipédia cite trois failles 0 day révélées initialement sur cette liste concernant Microsoft Windows Help and Support Center en 2010, Apache HTTP Server en 2011 et la base de données Oracle en 2012. Une petite recherche sur LinuxFr.org en signale aussi une sur FreeBSD en 2009, parmi diverses autres failles évoquées touchant des logiciels libres ou non.

Éternelle question autour du « full disclosure », de la divulgation publique opposée à la sécurité par l'obscurité ? 2002, procès Kitetoa, 2004, procès Guillermito « C'est le procès du full-disclosure », 2004, adoption de la loi sur la confiance dans l'économie numérique en France « Quel avenir pour le full-disclosure en France ? » Etc., etc.

Revue de presse de l'April pour la semaine 11 de l'année 2014

Posté par echarp (site web personnel, Mastodon) le 18 mars 2014 à 08:59. Modéré par Nils Ratusznik. Licence CC By‑SA.

Étiquettes :

24

18

mar.

2014

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Journal La transparence, arme absolue de la surveillance informatique ?

Posté par ziliss le 09 mars 2014 à 03:12. Licence CC By‑SA.

Étiquettes :

9

mar.

2014

Bookmark d'une video qui m'a interpellée.

En résumé: la transparence est très utile à la surveillance, car les statistiques sont plus précises lorsqu'elles disposent de plus de données. Or les statistiques sont très utiles pour la prédiction.

C'est très bien expliqué à partir du modèle de prédiction de la météo: les données à priori les plus insignifiantes sont parfois les plus pertinentes en tant que marqueurs des comportements et des évolutions des groupes.

La vidéo (29 min): Fabrice Epelboin et (…)

Journal <3 goto

Posté par CrEv (site web personnel) le 04 mars 2014 à 09:03. Licence CC By‑SA.

Étiquettes :

25

4

mar.

2014

Il n'y a pas si longtemps on a découvert qu'un goto mal placé c'était pas cool du tout.

Bon il y a eu des discussions sympa sur l'intérêt ou non du goto, pour savoir si c'est bien ou pas, dans quel cas, etc.

Ha oui, et un peu de troll sur le fait que bon c'est du code de merde, que ça respecte pas de règles de style de code, etc.

Sauf que GnuTLS a lui aussi un petit bug (…)

Journal Annonce : Manux 0.0.4

Posté par Emmanuel Colbus le 21 février 2014 à 18:33. Licence CC By‑SA.

Étiquettes :

52

21

fév.

2014

Bonjour tout le monde!

Je voudrais profiter de ce journal pour vous annoncer que mon projet personnel, Manux, vient de passer en version 0.0.4.

Pour rappel, Manux est un petit système d'exploitation nativement binairement compatible avec Linux, mais conçu pour encaisser les exploits jour zéro. Son noyau a été entièrement écrit par mes soins, sans reprendre la moindre ligne de Linux (ou de qui que ce soit d'autre), et tant son architecture noyau que son architecture de l'espace utilisateur (…)

Journal Tout le monde a bien activé TLS sur ses serveurs SMTP ?

Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) le 20 février 2014 à 17:14. Licence CC By‑SA.

Étiquettes :

34

20

fév.

2014

Parce que cela va être obligatoire en France, a annoncé le premier ministre aujourd'hui (dans un premier temps, uniquement pour les services de l'État et pour les FAI). Donc, pour aider les bons français à suivre ces excellentes directives, je suggère de mettre dans les commentaires des liens vers les meilleurs tutoriels sur la configuration et le test (toujours oublié, le test) de TLS sur Postfix, exim, etc.

Merci de ne mettre que des tutoriels récents (en deux coups de (…)

Journal Compositeurs Wayland - Pourquoi et comment gérer les clients privilégiés?

Posté par Martin Peres (site web personnel) le 19 février 2014 à 21:28. Licence CC By‑SA.

Étiquettes :

50

19

fév.

2014

Après de multiples heures de discussion sur la liste de diffusion de Wayland et avec des amis ayant la même formation que moi en sécurité système, j'ai décidé de compiler en un article un maximum d'observations et de propositions sur comment gérer les problèmes de sécurité que posent certaines fonctionnalités classiques des serveurs graphiques. Le focus a bien évidement été mis particulièrement sur Wayland car il est actuellement en développement et que c'est le meilleur moment pour influencer l'élaboration des (…)

Journal L'Internet en feu (merci à Jules Verne)

Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) le 13 février 2014 à 10:55. Licence CC By‑SA.

Étiquettes :

27

13

fév.

2014

Peut-être pour faire de la publicité au prochain numéro de MISC qui est consacré aux attaques par déni de service (DoS), l'Internet vit en ce moment au rythme des nombreuses attaques par réflexion+amplification utilisant le protocole NTP. Ces attaques ont atteint des nouveaux sommets (des victimes signalent du 350, voire du 400 Gb/s mais rappelez-vous qu'il n'y a pas d'enquêtes indépendantes sur les attaques DoS).

Le principe de l'attaque est connu depuis longtemps, il est le même que pour (…)

Tous les contenus étiquetés avec « sécurité »

Sommaire

Sommaire