Quand l'utilisateur https://linuxfr.org/users/img-srchttpparanomehellojpg poste sur la tribune, au lieu de voir son login (qui contient par un incroyable hasard un tag html img) s'afficher à gauche du post, il voit (ainsi que les autre utilisateurs de la tribune) s'afficher une image de fort bon gout.
Une nouvelle version de THC-Hydra vient de voir le jour. Cet outil libre, sous licence GPLv3, né il y a plus d’une dizaine d’années, est utilisé pour auditer les mots de passe des services réseau.
Comme à son habitude depuis la reprise des développements l’année dernière, cette version apporte son lot de corrections et d’ajouts de nouveaux modules, comme le support des protocoles IRC et XMPP.
Chaque fois qu'on parle de sécurité sur le Web, voir sur Internet, SSL est très souvent la réponse. Ce protocole permet de sécurisé les communications avec des algorithmes de chiffrement évolués que je ne peux contester, je n'en ai pas les connaissances.
Par contre ce que je peux contester, c'est l'architecture basée sur un tiers de confiance. En effet, le SSL repose sur une entité en qui on doit la pleine et entière confiance afin de transmettre nos messages (…)
Le projet Capsicum, lancé l'année dernière, tente d’adapter le modèle de sécurité par capacités (« capabilities ») aux systèmes UNIX. En deux mots, il s’agit de permettre aux applications de faire tourner certaines parties de leur code dans des « sandboxes » (bacs à sable) aux droits très restreints, gérés finement, avec la possibilité de recevoir ou de déléguer dynamiquement une partie de ces droits.
C’est une approche de la sécurité qui mise sur la flexibilité et l’intégration directe dans les applications (au contraire de politiques externes décidées par l’administrateur système, comme avec SELinux) pour respecter le Principle of Least Authority, qui recommande qu’un bout de programme donné fonctionne avec seulement les droits dont il a besoin pour accomplir sa tâche. Ainsi, les conséquences d’une faille sont réduites et les vecteurs d’attaque diminuent énormément. Par exemple, je ne veux pas que le logiciel qui lit mes fichiers PDF ait le droit de lire le contenu de mon répertoire personnel et d’envoyer des e-mails.
Capsicum introduit de nouveaux appels et objets système, qui demandent une (relativement petite) modification du noyau, ainsi qu’une bibliothèque logicielle en espace utilisateur pour utiliser ces nouveaux appels système. FreeBSD a déjà fait les modifications nécessaires, et les chercheurs ont pu facilement convertir plusieurs applications au modèle Capsicum : tcpdump, dhclient, gzip et, avec l’aide d’un développeur Google, le navigateur Web chromium.
Capsicum peut ainsi renforcer considérablement la sécurité des applications UNIX classiques, sans demander de les recoder entièrement. Reste à voir si les développeurs du monde du Libre seront convaincus par ces approches compartimentées, et prêts à les prendre en compte lors de la conception de leurs logiciels.
La version 4 du scanner de vulnérabilités libre OpenVAS vient de sortir! OpenVAS (pour "Open source Vulnerability Assessment Scanner") est une plateforme de gestion des vulnérabilités (vulnerability management). Les changements introduits dans cette version en font la plus importante de l'histoire du projet.
À l'origine était Nessus, scanner de vulnérabilités. En 2005, l'auteur décida de quitter les chemins du libre et de continuer le développement sous forme d'un logiciel privateur. La communauté créa un fork à partir de la dernière version libre. Initialement appelé GNessUs, le projet fut renommé OpenVAS.
Il est maintenant la pierre angulaire de l'activité de plusieurs sociétés, sur trois continents. Ces sociétés développent activement le logiciel et ont construit tout un modèle économique autour de lui.
OpenVAS est constitué de plusieurs modules:
Le scanner, qui va lancer des tests de vulnérabilités (plus de 20000 actuellement, mis à jour quotidiennement) contre les cibles. Il peut s'agir de tests non-authentifiés, comme un scan de ports ou une injection SQL sur une application web, mais également de tests locaux. OpenVAS peut se connecter en SSH et SMB aux hôtes du réseau, et effectuer toute une batterie de tests (étude des logiciels installés, versions, système d'exploitation etc).
Le manager, qui est un serveur réseau servant d'interface entre le(s) client(s) et le(s) scanner(s).
L'administrateur est un logiciel permettant de gérer simplement les différents comptes utilisateurs.
Greenbone Security Assistant (GSA): une interface web permettant de se connecter au manager et planifier des scans, observer
les résultats, l'évolution des menaces sur le réseau… GSA se lance comme un daemon et est donc ensuite accessible par un simple browser.
Greenbone Security Desktop (GSD): une application indépendante, en Qt, permettant également de se connecter au manager mais sans avoir à lancer GSA.
OpenVAS CLI est un client en ligne de commande.
Cher journal,
Ca sent quand même assez bien le sapin pour RSA, depuis l'annonce de l'attaque qu'ils ont subie récemment. Il semblerait que des infos concernant SecurID aient été compromises. Cédric Blancher en parle sur son blog, et Bruce Schneier n'est pas tendre non plus. Ils vous expliquerons tout ça bien mieux que moi.
Y a-t-il des utilisateurs de SecurID sur linuxfr ? Quelles sont les mesures prises par les clients face à ce "petit désagrément" ?
Cher journal,
Il semblerait que, dans le cardre de l'affaire Fortis¹, les avocats de la banque ait transmis des données sur une clef USB à la police. Cependant, afin de ne pas être trop transparent et d'éviter que des informations qui pourraient être compromettantes circule n'importe, les avocats du service juridique ont supprimer certains fichiers. La police a cependant fait une analyse un peu poussée du support et a découvert ces fichiers qui avaient été supprimé (et pas réécrit).
Tout (…)
Bonjour,
en écoutant France Info ce matin, j'ai entendu dire par un expert de sécurité nucléaire que le système de mesure de radioactivié atmosphérique existe en France uniquement dans le Languedoc Roussillon.
Il renchérissait en disant qu'il est difficile pour la sécurité nucléaire française d'avoir des données au sein même de l'union européenne, et a fortiori au sein des autres pays étrangers tels que les USA.
Cette dernière remarque m'a fait prendre conscience que cet état de fait est tout (…)
Vous avez quelque chose à cacher ? Les chinois du FBI vous en veulent ? Vous connaissez l'assassin de JFK et de Charles Bronson ? Cette page est faite pour vous !
Le meilleur chiffrement du monde ne sert à rien si vous utilisez « maman » comme mot de passe pour tous vos comptes.
On le sait tous, il faut utiliser de multiples mots de passe de 36 caractères. Seulement votre (…)
Ce seraient les documents du G20 qui intéresseraient les pirates du Net
http://www.leparisien.fr/economie/g20-bercy-reconnait-que-ses-ordinateurs-ont-ete-espionnes-07-03-2011-1347144.php
Encore une administration qui a oublié d'installer le pare-feu OpenOffice. Je pense qu'on devrait leur couper la connexion Internet pour négligence caractérisée !
Quand a ceux qui incriminerait la sécurité intrinsèque de Windows, Outlook et Internet Explorer, je les arrêtes net. Je rappelle que Balmer a eu la légion d'honneur, lui il « comprend les valeurs humanistes de la France et de l’Europe » ! Rien a (…)
Privacy Badger : bloque les trackers invisibles
IpFuck : ajoute un champ dans les entêtes http pour faire croire aux sites que la requête se fait derrière un proxy (Attention, cette extension pose problème sur certains sites, dont LinuxFr.org)
Vous connaissez certainement Childéric Monfair, l'auteur, notamment, de l'extension FrigouLaid pour Firefox.
Il a récemment mis à disposition de la communauté picotin en version 0.3b. Picotin permet d'embedder du code PHP dans les mails. Palliant ainsi les faiblesses des mails seulement en HTML et JS, picotin s'appuie sur le moteur Ohgrah de Fabienne Daubiez pour l'interfaçage avec la couche PHP présente sur les machines Unix. Pour la plateforme windows, picotin peut fonctionner pour peu qu'on le lui demande gentiment et (…)
