Malgré l'appel lancé à la communauté des hackers/crackers (rayez la mention inutile) de laisser SDMI se dépatouiller tout seul avec son système de watermark, le système de protection n'aura pas tenu bien longtemps.
Comme de bien entendu, la SDMI se refuse à tout commentaire pour le moment.
Bah ! Ce n'est pas plus mal en ces temps où la cOOnerie.com fondée sur l'effet d'annonce pousse les arrogants businessmen à crier plus fort que leur voisin.
Et on reparle de l'espionnage américain
En regardant Soir 3 hier soir, je suis tombé en ouverture du journal sur deux reportages plus qu'intéressants.
Le premier concernait Echelon, le réseau militaire d'espionnage américain bien connu pour ses dérives vers l'espionnage industriel, ceci à l'occasion de la sortie d'un rapport de l'Assemblé Nationale. Bref, un classique.
Le second reportage est beaucoup plus inquiétant, il concernait l'existence de backdoors ds le célèbre programme de cryptage PGP. Ces backdoors permettraient aux Américains de lire en clair les textes cryptés avec ce logiciel.
Note du modérateur: ces inquiétudes concernant le logiciel PGP avaient déjà été évoquées et sont réelles. Utilisez GnuPG ! :)
Le premier concernait Echelon, le réseau militaire d'espionnage américain bien connu pour ses dérives vers l'espionnage industriel, ceci à l'occasion de la sortie d'un rapport de l'Assemblé Nationale. Bref, un classique.
Le second reportage est beaucoup plus inquiétant, il concernait l'existence de backdoors ds le célèbre programme de cryptage PGP. Ces backdoors permettraient aux Américains de lire en clair les textes cryptés avec ce logiciel.
Note du modérateur: ces inquiétudes concernant le logiciel PGP avaient déjà été évoquées et sont réelles. Utilisez GnuPG ! :)
Test : Les firewalls sous Linux
Dans un article en 3 parties, les différentes solutions de firewalling sous Linux sont passées en revue. La première partie concerne les solutions Open Source.
L'article commence par les rappels concernant les bases, ( différentes architectures, IPchains ... ), puis analyse les différentes solutions proposées.
L'article commence par les rappels concernant les bases, ( différentes architectures, IPchains ... ), puis analyse les différentes solutions proposées.
encore un exploit..qui n'en est pas un !
Après wanadoo et la lecture des mails voici wanadoo et ses forums...
Sans commentaires ( c'est dur d'etre le plus gros provider francais :) )
Sans commentaires ( c'est dur d'etre le plus gros provider francais :) )
Médaille d'or de la cryptographie pour deux chercheurs belges
En 1997, le gouvernement américain lançait un appel aux chercheurs du monde entier pour qu'ils développent un algorithme cryptographique (autrement dit une méthode de codage secret), destiné à remplacer un standard universel, le DES, une méthode de codage en vigueur depuis 1977. Au bout d'une véritable course qui a duré trois ans et que le gouvernement qualifie "d'olympiades de la cryptographie", c'est une équipe de deux chercheurs belges (Joan Daemen de chez Proton World, et Vincent Rijmen de la Katholiek Universiteit Leuven) qui a remporté la "médaille d'or" de cette épreuve marathon.
Nouveau standard en crypto(AES): RIJNDAEL
Le NIST a finalement choisi RIJNDAEL parmi les 5 finalistes au 2ieme Round du AES (Advanced Encryption Standard).
Cet algorythme d'origine Européenne, proposé sur une base de 10 rounds (mais qu'il serait relativement simple d'étendre au-delà au besoin), a été retenu pour ses diverses qualités, malgré la publication d'une attaque de cryptanalyse au 6ieme round.
Il "coiffe au poteau" l'algorythme TwoFish qui était souvent annoncé comme favori, car successeur de BlowFish et développé par le très américain et influent Bruce Schneier.
RIJNDAEL est donc amené à remplacer DES comme standard pour le gouvernement US et va donc recevoir un large support par les différents fabricants de matériels. TripleDES, qui reste l'algorithme non craqué le plus longuement étudié sous toutes ses coutures restera probablement un standard longtemps, tandis que BlowFish, TwoFish, Serpent, CAST, RC6, etc., qui ont eu un support relativement large ces derniers temps en raison de l'absence de standard adapté, vont probablement peu à peu perdre du terrain.
Cet algorythme d'origine Européenne, proposé sur une base de 10 rounds (mais qu'il serait relativement simple d'étendre au-delà au besoin), a été retenu pour ses diverses qualités, malgré la publication d'une attaque de cryptanalyse au 6ieme round.
Il "coiffe au poteau" l'algorythme TwoFish qui était souvent annoncé comme favori, car successeur de BlowFish et développé par le très américain et influent Bruce Schneier.
RIJNDAEL est donc amené à remplacer DES comme standard pour le gouvernement US et va donc recevoir un large support par les différents fabricants de matériels. TripleDES, qui reste l'algorithme non craqué le plus longuement étudié sous toutes ses coutures restera probablement un standard longtemps, tandis que BlowFish, TwoFish, Serpent, CAST, RC6, etc., qui ont eu un support relativement large ces derniers temps en raison de l'absence de standard adapté, vont probablement peu à peu perdre du terrain.
Premier "vrai" virus pour Palm ?
Phage, Un virus informatique modérément dangereux qui s'attaque au système d'exploitation PalmOS a été repéré le 21 septembre par la société d'antivirus F-Secure.
Sécurité et Internet par satellite
Europe Online propose un accès Internet par satellite. Seulement il s'avère que les transmissions ne sont pas du tout sécurisées et il est ainsi tout à fait possible d'espionner ce que consultent les autres utilisateurs (plusieurs milliers).
D'autre part le logiciel utilisé pour recevoir des fichiers offline, Fazzt, n'est pas plus sécurisé.
J'en profite également pour dénoncer les pratiques scandaleuse d'Europe Online et de son revendeur français Easynet (débit en constante baisse, surf impossible,...)
D'autre part le logiciel utilisé pour recevoir des fichiers offline, Fazzt, n'est pas plus sécurisé.
J'en profite également pour dénoncer les pratiques scandaleuse d'Europe Online et de son revendeur français Easynet (débit en constante baisse, surf impossible,...)
Le Net sous la menace de deux failles Unix !
Tout est dans le titre.
Il faut tout de même précisé qu'il existe des correctifs que les administrateurs réseaux connaissent sûrement...
Note du modérateur: Encore un article pour l'internaute moyen qui va lui faire prendre peur :)
Il faut tout de même précisé qu'il existe des correctifs que les administrateurs réseaux connaissent sûrement...
Note du modérateur: Encore un article pour l'internaute moyen qui va lui faire prendre peur :)
Trous de sécurité dans sysklogd
Des problèmes ont été trouvés dans le package sysklogd, pouvant mener à un local root exploit ou peut-être a des remote exploits.
A upgrader tout de suite !
Pour le package, allez faire un tour sur security.debian.org ...
Note du modérateur: Ceci n'est pas spécifique à Debian. Alors fouiner les annonces de votre distribution !
A upgrader tout de suite !
Pour le package, allez faire un tour sur security.debian.org ...
Note du modérateur: Ceci n'est pas spécifique à Debian. Alors fouiner les annonces de votre distribution !
Sécurisation de Linux (en particulier Debian)
Bon, je sais que l'info est sur /. mais comme tout le monde ne le lit pas forcément et que le sujet intéresse nombre d'entre nous: RootPrompt a fait une série d'articles intéressants sur la manière de sécuriser Linux pour le connecter à un réseau hostile (genre Internet) sans craindre les script kiddies. Et pour les amateurs de Debian (il y en a pas mal aussi par ici je crois ;-), une section spéciale qui vous explique comment "cacher" votre ordinateur favori pour éviter les scans.
Très bien fait, en partculier pour celui qui n'est pas un expert en sécurité, mais en anglais malheureusement.
Très bien fait, en partculier pour celui qui n'est pas un expert en sécurité, mais en anglais malheureusement.
La signature électronique en France
Il existe depuis peu un concurrent français aux géants Verisign, Thawte et Baltimore. Le petit nouveau s'appelle Certinomis, et propose, comme ses concurrents, des certificats X509 pour sécuriser les échanges de données via HTTP, mais aussi pour identifier les personnes qui se connectent à un site Web.
C'est d'autant plus intéressant que contrairement à ces derniers, Certinomis n'offre pas un outil simplement "technique", mais aussi une assurance juridique (puisque la signature électronique a maintenant une valeur juridique en France). Certinomis propose de télécharger gratuitement un certificat personnel de test, d'une validité de 3 mois.
Note du modérateur : Certinomis est une filiale commune de La Poste et de la Sagem
C'est d'autant plus intéressant que contrairement à ces derniers, Certinomis n'offre pas un outil simplement "technique", mais aussi une assurance juridique (puisque la signature électronique a maintenant une valeur juridique en France). Certinomis propose de télécharger gratuitement un certificat personnel de test, d'une validité de 3 mois.
Note du modérateur : Certinomis est une filiale commune de La Poste et de la Sagem
Un trou dans php
Un trou de sécurité dans Php au niveau des uploads de fichiers ...
Toutes les versions sont touchées.
Update: Zorgon nous donne un url avec une traduction de la faille. A lire.
Toutes les versions sont touchées.
Update: Zorgon nous donne un url avec une traduction de la faille. A lire.