Vous vous souvenez de l'affaire Kitetoa vs Tati : le webmestre avait été condamné à une peine de 1000 euros avec sursis, pour avoir osé dénoncer la présence de failles.
Le parquet fait appel ! On se rappelle que le substitut lui-même avait requis la relaxe, mais n'avait pas été suivi par le juge.
Espérons que le second jugement sera plus clément envers le chasseur de trous dans la protection de nos données personnelles sur les sites commerciaux.
Annoncé aujourd'hui sur la mailing list de gnupg-users, la création d'une mailing list keysignings@lists.alt.org permettant à tous ceux qui ont des clés GPG d'annoncer leur passage dans une ville à l'avance, de sorte à pouvoir utiliser un voyage pour rencontrer des gens et signer leurs clés. Autrement dit, organiser un first d'échange de signature, à la volée, n'importe ou et n'importe quand.
Un article dans le Monde décrit les risques viraux nouveaux qu'entrainent l'interconnexion croissante des appareils électroniques. Des virus pour PDA, consoles de jeux jusqu'au virus pour réfrigérateurs !
L'article est plutot complet, il y juste une petite remarque issue d'un interview d'un membre du Clusif qui m'a fait réagir : [pour qu'un virus puisse être developpé] " il faut aussi qu'il existe des informations, des documents sur son fonctionnement". Comme si le closed source était gage de sécurité contre les virus.
«Depuis toujours nous supposions que les connexions vers l'extérieur étaient illimitées i.e. que vous pouviez établir autant de connexions TCP sortantes que vous vouliez. Même dans notre débat sur les pare-feux nous avons supposé qu'ils n'étaient restrictifs que sur le trafic entrant. Mais dans un environnement plus sécurisé ou plus règlementé, celà peut ne pas être le cas: en effet, il peut ne pas y avoir de connexion IP directe vers le monde extérieur.
Dans le monde des entreprises, il est souvent nécessaire de passer au travers d'un serveur proxy ou d'une passerelle: une machine connectée à la fois au réseau de l'entreprise et à l'extérieur. Bien que connectée aux deux réseaux, une passerelle ne fonctionne pas comme un routeur, et les réseaux restent séparés. De préférence, elle limite les accès au niveau applicatif entre les deux réseaux.»
Dans cette étude de cas, OnLamp aborde l'utilisation de SSH dans un tel environnement.
NdR: Le début de cet article est une libre traduction du début de l'article.
Le steghide nouveau est arrivé !
Ce programme de stéganographie, entièrement en GPL, en est maintenant à sa version 0.4.5 !
Mais, point important : il est francisé (grace au programme gettext) ! La francisation est loin d'être totale (messages d'erreur/d'aide pour l'instant), mais avance rapidement.
Voilà donc une bonne raison de tester ce programme... et cacher vos données les plus secrètes dans une gentille photo de votre grand mêre (ça n'est qu'une suggestion ;).
Pour ceux qui ne connaissent pas, un logiciel de stéganographie est, en gros, un programme qui permet de camoufler des données sensibles dans des fichiers anodins (souvent son ou image).
A cause d'une mauvaise gestion des arguments trop longs, la fonction d_path() des noyaux Linux jusqu'au 2.2.20 et 2.4.18 permettent l'execution des processus avec des privilèges usurpés. Pensez à mettre à jour !
Les ministres des 15 ont officiellement lancé Galiléo cet après-midi en débloquant 450 millions d'euros pour le lancement du projet. A terme, le projet coûtera 3,4 milliards d'euros (hors dépassement de budget ;-)).
Le premier lien pointe vers la brève de Yahoo!, le second vers un article déjà paru ici concernant les pressions américaines.
NdM: Galileo est (sera) un système de radionavigation par satellite européen qui permettra de ne plus dépendre de l'armée américaine comme pour le GPS.
Le projet Sphinx a été initié par les autorités allemandes en 2001, qui désiraient améliorer la sécurité dans l'échange des mails.
La conception technique du projet repose sur le protocole 'TeleTrust e.V. MailTrusT Version 2'. Celui-ci inclut les standards S/MIME, X.509v3, etc.
Des produits propriétaires existent déjà, cependant, avec l'arrivée de ce projet, une solution libre verra bientôt le jour (programmée pour mai 2002) pour les clients mails classiques tel que KMail et Mutt.
Les sociétés, spécialisées dans le logiciel libre, g10 Code et Klarälvdalens Datakonsult AB ont un contrat avec le 'Bundesamt für Sicherheit in der Informationstechnik (BSI)' pour incorporer le protocol Sphinx dans des clients mails libres. La finalité est d'assurer la disponibilité d'une alternative aux solutions propriétaires.
Une faille, affectant le daemon X Display Management Console Protocol (XDMCP) vient d'être relayée par le CERT sous le numéro VU#634847.
Cette faille n'affecte pas tous les systèmes UNIX mais quelques déclinaisons. La distribution Linux Mandrake serait affectée (jusqu'à la version 8.0) ainsi que les systèmes Solaris 2.6 (Intel et Sparc) et Solaris 7 Sparc.
En revanche, RedHat 7.2 ne serait pas vulnérable...
Cette faille permet une connexion en root sur le système attaqué.
Avant que la faille ne soit corrigée, il est recommandé de désactiver les connexions à distance et de filtrer le port 177.
Sun vient d'annoncer une faille de sécurité présente dans toutes ses JRE existants. Elle se trouve dans le "Bytecode verifier" et permet à une applette malicieuse de faire un peu tout et n'importe quoi sur votre machine.
Conclusion: tous à vos patchs, ou bien désactivez java au niveau de votre butineur habituel si vous naviguez sur des sites douteux...
Après les bugs "off by one" & "zlib double free", l'équipe d'OpenSSH est en train de travailler à une nouvelle version qui la rendrait insensible à ce type de bug, grâce à une séparation des privilèges.
De l'avis des développeurs :
"Previously any corruption in the sshd could lead to an immediate remote root compromise if it happened before authentication, and to local root compromise if it happend after authentication. Privilege Separation will make such compromise very difficult if not impossible."
Le code est actuellement utilisable sur OpenBSD, mais le portage vers d'autre *nix ne sera pas difficile.
Source : OpenBSD journal
Un trou de sécurité a été
découvert dans plusieurs versions de OpenSSH qui permet
aux utilisateurs ayant un compte de passer r00t !
L'exploit pour cela n'a pas encore été publié...
Le PINE-CERT recommande une mise à jour rapide et
classe ce risque comme HIGH (le patch est déja disponible et
intégré dans le CVS d'OpenSSH).
Le pirate connu Adrian Lamo, a réussis à pénétrer les systèmes du New-York Times. Banal vous me direz mais il avait sous la main la liste de tous les contributeurs du New-York Times incluant les anciens présidents, etc. Il a même pris le soin de se rajouter à la liste en tant que "Hacker" professionel ;)
Un gros bravo à ce monsieur puisqu'il n'a pas propagé la nouvelle, il a préféré se rendre au New-York Times afin de démontrer sa découverte. Ceux-ci ont apprécié le geste et l'auraient même engagé afin de colmater la faille.
Lu sur 01net :
"Baptisé W32/Sharpei@mMM, le premier virus attaquant l'infrastructure .Net et écrit en langage C# a été créé par une jeune fille de 17 ans."
Pas de grands nouveautés, hormis l'ajout d'un composant .Net à un script VBS. Le risque de diffusion de ce vers est faible. La politique de "Sécurité" promise par Bill Gates commence bien.
Une news fait beaucoup de bruit dans le monde de la cryptographie depuis quelques jours. En effet, le mathématicien DJ Berstein a publié un article de recherche donnant une technique théorique sur la factorisation de nombres entiers en facteurs premiers, permettant de "casser" le RSA 4x plus vite qu'actuellement.
Dans son article, il propose aussi une application pratique permettant de construire un "RSA breaker" 4x plus performant à coût égal. En conséquence, les clés PGP/RSA de taille plus petite que 2048 bits seraient cassables "facilement".
Et certains en profitent pour ajouter que "nos amis" de la NSA ont déjà ça dans leur carton (gravés dans le silicium) depuis un moment :-(
