La dernière dépêche de cette catégorie LinuxFr.org qui ne soit pas une dépêche récurrente type « Les meilleurs journaux du mois » ou « Les prix du mois » ou « Les statistiques de l'année » remonte à mai 2014 pour une mise à jour du serveur. Voici donc, à l'aube de l'été, quelques actualités de type « en coulisses ».
Une faille nommée « shellshock »
« ShellShock », une faille dans l'usage du shell Bash, est sous les projecteurs depuis quelques jours. Le terme est un jeu de mot entre la stupeur propre à l'obusite des combattants de la première guerre mondiale et l'interface système shell. Nous vous proposons des explications sur cet évènement particulier, son périmètre, les conditions de son exploitation, les surfaces d'attaques, et les solutions proposées, déjà mises en œuvre ou à venir. Enfin, une revue de presse sera dressée, cette faille s'étant transformée en évènement.
Journal Mets à jour ton bash. Maintenant.
Bonjour, Nal
Un journal bookmark pour signaler : faut mettre à jour bash
Voilà, c'est tout. Vous pouvez reprendre une activité normale.
Pour les autres, qui ne vont pas reprendre une activité normale de suite, on pourra résumer cela en "c'est sérieux, urgent, et mérite peut être une campagne de patch au pied levé". Cette découverte, qui date d'une vingtaine de jours aujourd'hui, vient d'avoir ses correctifs validés, à priori (…).
Sans cela, il est possible de faire, par exemple (…)
Wapiti 3.0.0 : Nouvelle version du scanneur de vulnérabilités Web
Wapiti est un scanneur de vulnérabilités Web publié sous licence GNU GPL v2.
Il permet de détecter la présence de failles courantes (injection SQL, XSS, inclusion de fichier, exécution de code ou de commande, etc.) sur les sites Internet et les applications Web via différents modules d’attaque. L’exploitation des failles remontées n’est pas gérée par le logiciel, l’utilisateur doit donc procéder à l’exploitation lui‐même ou s’en remettre à un logiciel spécifique (comme sqlmap pour les failles SQL).
Wapiti génère des rapports de vulnérabilités dans différents formats (HTML, texte, JSON, XML). C’est un outil en ligne de commande qui a peu de dépendances et s’installe facilement.
LinuxFr.org : rétrospective des dépêches et journaux 2014
Basé sur les dépêches et journaux les mieux notés par nos visiteurs, voici un petit retour sur l'année 2014 sur LinuxFr.org.
Mentions particulières
La dépêche collaborative sur le noyau Linux a remporté un grand succès tout au long de l'année, avec les diverses versions parues : 3.13, 3.14, 3.15, 3.16, 3.17 et 3.18.
La saga Je créé mon jeu vidéo de rewind a placé ses 6 épisodes de l'année dans la sélection (fiche de lecture de « L'Art du game design » par Jesse Schell, techniques de C++11 appliquées au système à entités, génération procédurale de carte (partie 1), génération procédurale de carte (partie 2), interfaces physiques et graphiques et un an, premier bilan ), et a fêté son premier anniversaire.
On notera aussi d'autres sujets régulièrement traités, comme Firefox (28, 29, 30, 31, 32, 33, 34, Firefox en GTK3, et côté Firefox OS un avis et un test de création de jeu), rust (0.9, 0.10, 0.11, 0.12) ou systemd (là y en a vraiment trop pour les citer tous).
Journal Fuzzing : éprouver les entrées de vos développements
Wikipedia donne pour le fuzzing, la définition suivante (https://fr.wikipedia.org/wiki/Fuzzing) :
Le fuzzing (ou test à données aléatoires) est une technique pour tester des logiciels. L'idée est d'injecter des données aléatoires dans les entrées d'un programme. Si le programme échoue (par exemple en plantant ou en générant une erreur), alors il y a des défauts à corriger. Exemples de points d'entrée d'un programme :
- Fichiers
- Périphériques (clavier, souris, etc.)
- Variables d'environnement
- Réseau
- Limitation des (…)
31c3 : le Chaos Communication Congress de retour avec « A New Dawn »
Le Chaos Communication Congress, célèbre rassemblement de hackers buvant du Club Mate, organisé par le Chaos Computer Club revient cette année pour sa 31e mouture (aussi nommée 31c3).
Au cours des seules deux dernières années, l’événement a vu Jacob Appelbaum offrir une keynote abordant la surveillance avant les révélations de Snowden, puis révéler l’année suivante le catalogue Tailored Access Operations de la NSA ; William Binney, Thomas Drake et Jesselyn Radack parler de leurs activités de lanceurs d’alertes ; Glenn Greenwald intervenir au sujet des révélations de Snowden ; et de nombreux autres activistes et hackers du monde entier venir parler de leurs recherches et activités.
La 31e édition se déroulera comme à l’accoutumée au Congress Center Hamburg dans la ville de Hambourg, au nord de l’Allemagne, du 27 au 30 décembre 2014.
Journal Sécurité de l'open source Vs closed source: MS14-066
Bonjour,
Une fois n'est pas coutume, je vais commencer par parler de microsoft sur ce site francophone linuxien.
Vous le savez, microsoft prend la sécurité de ses produits très au sérieux depuis une dizaine d'année (windows XP SP2 environ). Ils ont mis en place un système de patch à date fixe, le second mardi du mois, surnommé rapidement "patch tuesday". Les équipes opérationnelles peuvent prévoir des astreintes supplémentaires ce mardi pour tester/qualifier et pousser les patchs.
Ce mardi a été (…)
Tails 1.2, une distribution pour votre anonymat
La distribution Tails (The Amnesic Incognito Live System) est un media de type live-CD et live-USB, basé sur Debian GNU/Linux, visant à protéger votre anonymat et votre vie privée quand vous vous connectez à Internet.
La sortie de la version 1.2 a été annoncée le 16 octobre dernier par l'équipe de développement.
Plus de détails dans la suite de la dépêche sur cette version 1.2, ainsi que sur les
versions mineures 1.1.1 et 1.1.2 sorties depuis la dépêche précédente.
Journal Série télé : Mr Robot
C'est l'histoire d'un toxico mais pas trop, white hat le jour, justicier hacker la nuit (Néo c'est toi ?). Il utilise ses «pouvoirs» de hacker pour démasquer les méchants et les livrer à la justice (parfois), il a un ami imaginaire qui lui dit quoi [ne pas] faire(Dexter c'est toi ?)
La journée donc, il est ingénieur sécurité dans une SSII qui a pour client une énorme multinationale "Evil Corp" (Google c'est toi ?). Bien sûr il n'aime pas ce fait car ce (…)
pkgsrc 2014Q3 est disponible
Dans un message à des listes de diffusion pkgsrc et NetBSD, Alistair Crooks a annoncé la disponibilité de la branche pkgsrc-2014Q3. Pkgsrc (prononcer package source) est une infrastructure de construction de logiciels tiers pour NetBSD, ainsi que pour d’autres systèmes de type UNIX. Il permet donc à NetBSD et à d’autres systèmes d’exploitation de disposer de nombreux logiciels sous forme source, mais aussi sous forme binaire.
Les développeurs pkgsrc fournissent une nouvelle version stable chaque trimestre. Comme son nom l’indique, pkgsrc 2014Q3 est donc la troisième sur les quatre de 2014 et est disponible depuis le 2 octobre dernier.
Plus de détails sur cette version en particulier en seconde partie de dépêche, qui reprend grandement le courriel d'annonce.
Podcast francophone dédié à la cybersécurité : No Limit Secu
Un épisode sur NAXSI un WAF — parefeu applicatif pour le web — open-source avec Thibault Koechlin et Sébastien Plot : quoi de mieux comme occasion pour porter à votre connaissance l'existence d'un podcast (ou bala(do)diffusion) dédié à la cybersécurité ?
No Limit Secu est un podcast indépendant, animé par des personnes passionnées qui sont parties prenantes dans le domaine de la cybersécurité à des rôles et dans entreprises diverses.
L'équipe du podcast prend beaucoup de plaisir à réaliser ces épisodes et souhaite partager cela avec la communauté LinuxFr.org. Dans la mesure du possible, un nouvel épisode est publié chaque semaine. C'est donc aussi l'occasion de vous proposer de contribuer à un épisode si vous souhaitez aborder une problématique ou traiter d'un sujet dans lequel vous êtes impliqué(e) (bien entendu, dans le domaine de la cybersécurité). Pour cela, vous pouvez contacter l'équipe via Twitter : @nolimitsecu.
Journal Auto-hébergement: pas toujours évident...
L'auto-hébergement a toujours été défini comme une alternative saine aux offres de stockage en ligne proposées par exemple par Amazon, Google ou Microsoft. Héberger chez soi ses propres données est un gage de sécurisation et de préservation de la confidentialité de ses données personnelles.
Il y a eu une période au cours de laquelle on trouvait toute une panoplie d'applications Libres pour réussir son auto-hébergement. On avait du choix, les applications étaient techniquement abouties et complètes. Puis il y a (…)
Revue de presse de l'April pour la semaine 39 de l'année 2014
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
Sommaire
- [Slate.fr] Shellshock, la nouvelle faille qui inquiète Internet, est-elle pire qu'Heartbleed? Difficile de le savoir
- [Next INpact] La ministre de l’Éducation veut que les enfants soient initiés au code
- [Next INpact] Fleur Pellerin consacre la Hadopi en enterrant son transfert au CSA
- [ZDNet] Pratique: le guide du logiciel libre pour les TPE-PME
- [Framablog] Enercoop: libérer les énergies
- [WSJ.com] Hard Times for Software Patents
- [France Culture] Nous et nos données
- [Marianne] Traité transatlantique: le gouvernement demande enfin la transparence!
Revue de presse de l'April pour la semaine 40 de l'année 2014
La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.
Sommaire
- [Numerama] Victoire contre le vote par Internet à l'Assemblée Nationale
- [Next INpact] Le bras d'honneur de la Hadopi à Fleur Pellerin et aux ayants droit
- [Le Monde.fr] Shellshock, la faille de sécurité majeure découverte «presque par hasard» par un Français
- [La Tribune de Diego] Campus Numérique Francophone d’Antsiranana: journée du logiciel libre
- [Numerama] Les signaux très inquiétants du futur commissaire européen au numérique
- [Direction Informatique] Bonnes pratiques, gouvernance et logiciel libre
- [ZDNet] Dépenses en logiciels de l'Etat: 207 millions d'euros en 2013, pas d'infos sur le libre
- [Canal+] Vu à la télé: le lobbying de Microsoft à l'école dévoilé dans un documentaire
- [Next INpact] Projet de loi Terrorisme: l'avis de la CNCDH que voulait éviter l'Intérieur