John Cartwright a annoncé la fermeture de la liste de diffusion Full disclosure. Cette liste était destinée à la publication de failles de sécurité et à la discussion sur ce sujet. Dans son message de fermeture, John Cartwright annonce qu'il en a marre des membres de la « communauté » qui demandent la modération d'anciens messages et pense que ça devient de plus en plus difficile de maintenir un forum ouvert dans le climat légal actuel.

La liste a été créée le 9 juillet 2002 par Len Rose, et était administrée par John Cartwright. Elle était sponsorisée par Secunia, une boîte de sécurité elle aussi créée en 2002.

Wikipédia cite trois failles 0 day révélées initialement sur cette liste concernant Microsoft Windows Help and Support Center en 2010, Apache HTTP Server en 2011 et la base de données Oracle en 2012. Une petite recherche sur LinuxFr.org en signale aussi une sur FreeBSD en 2009, parmi diverses autres failles évoquées touchant des logiciels libres ou non.

Éternelle question autour du « full disclosure », de la divulgation publique opposée à la sécurité par l'obscurité ? 2002, procès Kitetoa, 2004, procès Guillermito « C'est le procès du full-disclosure », 2004, adoption de la loi sur la confiance dans l'économie numérique en France « Quel avenir pour le full-disclosure en France ? » Etc., etc.

Une nouvelle version du logiciel libre (licence MIT) Modoboa est disponible. Modoboa est un outil visant à simplifier l’administration et l’utilisation d’une plate‐forme d’hébergement de courriel. Il est disponible dans neuf langues (anglais, français, allemand, espagnol, portugais, suédois, italien, russe et tchèque). Il est majoritairement écrit en Python/Django (avec un peu de JavaScript quand même pour la partie « dynamique »).

Il s'agit d'une version majeure pour plusieurs raisons. Tout d'abord, un certain nombre de fonctionnalités ont été ajoutées comme :

• Le support des domaines relais (un mode gateway en quelque sorte) ;
• Diverses améliorations au niveau de la quarantaine ;
• Le support d'une date de démarrage pour les réponses automatiques ;
• Activation/désactivation des réponses automatiques par les administrateurs ;
• Le renforcement des algorithmes utilisés pour chiffrer les mots de passe ;
• Le déploiement silencieux.

D'autre part, le code source a subit une restructuration importante et les tests de non-régression ont été complétés.

La chasse aux bogues continue et le russe fait désormais partie des langues disponibles pour afficher l'interface web. Faute d'équipe, la traduction portugaise est incomplète dans cette version, nous cherchons d'ailleurs des repreneurs ;)

Au chapitre des changements importants mais indépendants du code, Github est désormais utilisé pour la gestion du code source et des tickets, l'ancienne instance Redmine est donc obsolète.

ConFoo est à la recherche de professionnels du web avec une connaissance approfondie du développement avec PHP, Python, Ruby, Java, DotNet, HTML5, Databses, Cloud et le dévelopement mobile souhaitant partager leurs connaissances et expériences lors du prochain ConFoo. Soumettez vos propositions entre le 26 août et le 22 septembre.

ConFoo est une conférence de développeurs qui a bâti une réputation en tant que destination de choix pour explorer de nouvelles technologies, plonger davantage dans les sujets familiers et éprouver le meilleur de la communauté et de la culture.

• ConFoo 2014 se déroulera du 26 au 28 février à Montréal, à l’Hôtel Hilton Bonaventure.
• Nous prenons un grand soin de nos conférenciers en couvrant la majorité des dépenses incluant le déplacement, l’hébergement, le lunch, le billet complet de la conférence, etc.
• Les présentations sont d’une durée de 35min + 10min de questions et peuvent être présentées en français ou en anglais.
• ConFoo est un environnement ouvert où tout le monde est invité à soumettre. Nous cherchons simplement des propositions de qualité par des personnes qualifiées et agréables.

Si vous voulez simplement assister à la conférence, nous avons un rabais de 230$ en vigueur jusqu’au 16 octobre.

Prelude OSS est de retour sur Internet avec une nouvelle version 1.0.1.

Prelude est un logiciel SIEM (Security Information & Event Management) qui permet de superviser la sécurité de votre système d'information. Prelude collecte, normalise, trie, agrège, corrèle et affiche tous les événements de sécurité indépendamment des types d'équipements surveillés. Au-delà de sa capacité de traitement de tous types de journaux d’événements (logs système, syslog, fichiers plats, etc.), Prelude est nativement compatible avec de nombreuses sondes anti-intrusion open-source (snort, suricata, ossec, samhain, etc.) grâce à l'utilisation du format IDMEF (RFC 4765).

Démarré en 1998 sous la forme d'un projet libre d'une sonde IDS, Prelude devient le premier SIEM hybride open-source à partir de 2003, année à laquelle se crée la société Prelude Technologies qui commercialise la version Entreprise.

Prelude sera repris en 2009 par la société Edenwall et sera malheureusement entraîné dans sa mise en faillite. Le logiciel est alors racheté par la société CS, intégrateur de systèmes critiques, en début d'année 2012, société qui propose déjà une solution open-source de supervision de performances complémentaire avec Vigilo. Suite au rachat, le site Prelude est remis en ligne mais sans les sources de la version OSS. Cette nouvelle version signe donc le retour de Prelude OSS sur Internet.

Les nouveautés de la v1.0.1 :

• Correction de nombreux bugs
• Rafraîchissement des interfaces Web
• Amélioration des traductions
• Ajout de nouvelles règles LML
• Mise à jour des copyrights
• Transfert des fonctions relaying dans la version Entreprise

HTTPS Everywhere est une extension Firefox éditée par l'Electronic Frontier Foundation qui permet de remplacer automatiquement l'URL d'un site web par son équivalent HTTPS. Ce n'est pas forcément simple parce que pour beaucoup de sites, il ne suffit pas d'ajouter un s à http. Par exemple, jusqu'à récemment, la version HTTPS de Google n'était accessible que sur https://encrypted.google.com.

L'extension maintient donc une base de données pour effectuer les correspondances. Cette version 2.0.1 apporte une base plus grande (404 nouvelles règles depuis la version 1.2.2) mais aussi un Decentralized SSL Observatory (observatoire SSL décentralisé) qui permet d'envoyer de manière anonyme les certificats à une base de données de l'EFF pour qu'ils soient étudiés par cette dernière afin de détecter les éventuelles failles. L'observatoire permet aussi de signaler les éventuels problèmes en temps réel. Pour l'instant seuls les certificats qui ont été générés à partir d'une clef privée faible — à cause d'une machine ayant un générateur de nombre aléatoire buggé — sont signalés. Enfin, cette version 2 fonctionne désormais aussi sur le navigateur de Google : Chrome.

NdA : Merci à detail_pratique pour son aide lors de la rédaction de cette dépêche.