tag:linuxfr.org,2005:/users/cbrocasLinuxFr.org : les contenus de christophe brocas2022-06-01T19:59:37+02:00/favicon.pngtag:linuxfr.org,2005:News/410452022-06-01T19:59:37+02:002022-06-01T19:59:37+02:00Pass the SALT 2022 : programme et réservation des places (gratuites !) sont en ligneLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Pass the SALT est une conférence dédiée aux Logiciels Libres (ou aux protocoles/formats ouverts) et à la Sécurité.</p>
<p>Cette 5ᵉ édition se déroulera à l’école Polytech de Lille du <strong>4 au 6 juillet 2022</strong>. Son <strong>accès est gratuit (inscription requise)</strong>. Les interventions sont données en <strong>langue anglaise</strong> afin de permettre une participation confortable aux conférenciers, conférencières et spectateurs non francophones. Et, enfin, un social event est organisé le 5 juillet au soir.</p>
</div><ul><li>lien nᵒ 1 : <a title="https://cfp.pass-the-salt.org/pts2022/schedule/#" hreflang="en" href="https://linuxfr.org/redirect/110552">Le programme</a></li><li>lien nᵒ 2 : <a title="https://pretix.eu/passthesalt/2022/" hreflang="en" href="https://linuxfr.org/redirect/110553">Le site de réservation</a></li><li>lien nᵒ 3 : <a title="https://2022.pass-the-salt.org/" hreflang="en" href="https://linuxfr.org/redirect/110554">Le site de l'édition 2022</a></li><li>lien nᵒ 4 : <a title="https://www.pass-the-salt.org/" hreflang="en" href="https://linuxfr.org/redirect/110555">Les archives des années précédentes</a></li></ul><div><p><img src="//img.linuxfr.org/img/68747470733a2f2f61726368697665732e706173732d7468652d73616c742e6f72672f5061737325323074686525323053414c542f323031392f70686f746f732f50686f746f73505453323031392d6362726f6361732f32303139303730315f3135313030372e6a7067/20190701_151007.jpg" alt="édition 2019" title="Source : https://archives.pass-the-salt.org/Pass%20the%20SALT/2019/photos/PhotosPTS2019-cbrocas/20190701_151007.jpg"></p>
<p>Cette année, il y aura <strong>26 conférences et 5 ateliers</strong>. Les conférences sont regroupées en <strong>7 sessions</strong> (reverse, pentest, réseaux, blueteam, système, matériel, communications sécurisées).</p>
<p>L’objectif est que vous puissiez apprendre et pratiquer pendant ces deux jours et demi de conférences et ateliers auprès d’experts reconnus en Sécurité.</p>
<p>Ces derniers apprécient tout particulièrement l’<strong>ambiance décontractée</strong> de la conférence et sont en retour très accessibles pour le public participant! En plus de l’atmosphère, <strong>le niveau de la conférence est aussi reconnu par ces experts</strong> comme ici, par Orange Tsaï :</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f323031392e706173732d7468652d73616c742e6f72672f696d672f6f72616e67652e706e67/orange.png" alt="thanks Orange" title="Source : https://2019.pass-the-salt.org/img/orange.png"></p>
<p>Il ne vous reste plus qu’à :</p>
<ul>
<li>consulter le programme ;</li>
<li>
<strong>vous inscrire gratuitement</strong> ;</li>
<li>et être parmi nous début juillet à Lille !</li>
</ul>
<p>À très bientôt !</p>
</div><div><a href="https://linuxfr.org/news/pass-the-salt-2022-programme-et-reservation-des-places-gratuites-sont-en-ligne.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/127883/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/pass-the-salt-2022-programme-et-reservation-des-places-gratuites-sont-en-ligne#comments">ouvrir dans le navigateur</a>
</p>
christophe brocasYsabeau 🧶 🧦Xavier Teyssierhttps://linuxfr.org/nodes/127883/comments.atomtag:linuxfr.org,2005:News/392072019-05-03T11:35:58+02:002019-05-03T11:49:20+02:00Pass the SALT 2019 : le programme est en ligne et la billetterie arrive !Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>La seconde édition de Pass the SALT, <strong>conférence dédiée à la sécurité et aux logiciels libres</strong> (ou aux protocoles et formats ouverts), a publié son programme !</p>
<p>La billetterie (gratuite) sera ouverte autour de la mi‐mai.</p>
<p>Pass the SALT se déroule à l’école Polytech de Lille du <strong>1<sup>er</sup> au 3 juillet 2019</strong>. Son accès est <strong>gratuit</strong>. Les interventions se font en <strong>anglais</strong> afin de permettre la venue la plus confortable possible aux conférenciers et participants non francophones (le Benelux et l’Allemagne ne sont pas loin !).</p>
</div><ul><li>lien nᵒ 1 : <a title="https://2019.pass-the-salt.org/" hreflang="en" href="https://linuxfr.org/redirect/104036">Site web de l’édition 2019</a></li><li>lien nᵒ 2 : <a title="https://2019.pass-the-salt.org/schedule/" hreflang="en" href="https://linuxfr.org/redirect/104037">Programme 2019</a></li></ul><div><p><img src="//img.linuxfr.org/img/68747470733a2f2f323031392e706173732d7468652d73616c742e6f72672f696d672f32303138303730335f3136313231312d30312e6a706567/20180703_161211-01.jpeg" alt="Exemple de vie pendant Pass the SALT" title="Source : https://2019.pass-the-salt.org/img/20180703_161211-01.jpeg"></p>
<p>Sur deux jours et demi, vous pourrez suivre <strong>vingt‐six interventions</strong> longues ou courtes regroupées en <strong>sept sessions</strong> allant du <em>hacking</em> de bas niveau à la sensibilisation et l’entraînement (ex. : contribution du CERT de la Société Générale) en passant par de l’offensif, les API, la sécurité à l’échelle, celle sur Internet ou enfin les challenges de la vie privée en 2019.</p>
<p>La session offensive verra par exemple Orange Tsaï expliquer comment il a corrompu et pris le contrôle de Jenkins, et J.B. Kempf nous faire découvrir comment VLC gère sa sécurité et son programme de <em>bug bounty</em>.</p>
<p>En parallèle, vous pourrez découvrir et vous former à de nombreux logiciels libres de sécurité en pratiquant lors des <strong>neuf ateliers</strong> que propose cette édition 2019.</p>
<p>Un grand merci à tous les auteurs (retenus ou pas !), une bonne découverte du programme, et rendez‐vous à Lille en juillet 2019 !</p>
</div><div><a href="https://linuxfr.org/news/pass-the-salt-2019-le-programme-est-en-ligne-et-la-billetterie-arrive.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/117110/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/pass-the-salt-2019-le-programme-est-en-ligne-et-la-billetterie-arrive#comments">ouvrir dans le navigateur</a>
</p>
christophe brocasPierre JarillonDavy Defaudpalm123claudexZeroHeurehttps://linuxfr.org/nodes/117110/comments.atomtag:linuxfr.org,2005:News/390452019-02-06T23:16:07+01:002019-02-08T16:01:31+01:00Pass the SALT 2019 : sécurité et logiciels libres reviennent à LilleLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Après une première édition réussie en juillet dernier, <em>Pass the SALT</em>, conférence dédiée à la sécurité et aux logiciels libres, revient à l’école Polytech Lille du <strong>1<sup>er</sup> au 3 juillet 2019</strong>.</p>
<p>Son <strong>accès est gratuit</strong> et les conférences seront données <strong>en langue anglaise</strong> afin de permettre la participation la plus ouverte et accessible possible aux conférenciers et conférencières étrangers.</p>
<p><em>Pass the SALT</em> a pour but de favoriser l’exposition et la coopération autour des logiciels libres dans le domaine de la sécurité. En 2018, elle a accueilli vingt‐huit interventions et cinq ateliers. Ces interventions ont couvert neuf thématiques différentes comme le reverse, la sécurité réseau, la réponse à incident, l’offensif ou la sécurité Web.</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f7777772e706173732d7468652d73616c742e6f72672f696d672f70747331392e6a7067/pts19.jpg" alt="Logo Pass the salt 2019" title="Source : https://www.pass-the-salt.org/img/pts19.jpg"></p>
<p>L’<strong>appel à soumissions</strong> est ouvert jusqu’au 31 mars 2019. Le site pour déposer votre proposition d’intervention (présentation de 35 min, 20 min ou atelier) est ici : <a href="https://cfp.pass-the-salt.org/">https://cfp.pass-the-salt.org/</a>.</p>
<p>N’hésitez pas à soumettre, la relecture des soumissions est bienveillante et nous sommes disponibles pour donner conseils et avis. :-)</p>
<p>Et si vous êtes une entreprise, vous pouvez soutenir l’événement en le sponsorisant. Merci par avance !</p>
</div><ul><li>lien nᵒ 1 : <a title="https://2019.pass-the-salt.org/" hreflang="fr" href="https://linuxfr.org/redirect/103527">Site Web de l’édition 2019</a></li><li>lien nᵒ 2 : <a title="https://cfp.pass-the-salt.org/" hreflang="fr" href="https://linuxfr.org/redirect/103528">Le site de l’appel à soumissions 2019</a></li><li>lien nᵒ 3 : <a title="https://2019.pass-the-salt.org/#sponsors" hreflang="fr" href="https://linuxfr.org/redirect/103529">Sponsoring</a></li><li>lien nᵒ 4 : <a title="https://passthesalt.ubicast.tv/channels/#2018" hreflang="fr" href="https://linuxfr.org/redirect/103530">Vidéos des conférences 2018</a></li><li>lien nᵒ 5 : <a title="https://2018.pass-the-salt.org/files/talks/" hreflang="fr" href="https://linuxfr.org/redirect/103531">Supports des conférences 2018</a></li><li>lien nᵒ 6 : <a title="https://2018.pass-the-salt.org/feedback/" hreflang="fr" href="https://linuxfr.org/redirect/103532">Bilan de l’édition 2018</a></li></ul><div></div><div><a href="https://linuxfr.org/news/pass-the-salt-2019-securite-et-logiciels-libres-reviennent-a-lille.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/116376/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/pass-the-salt-2019-securite-et-logiciels-libres-reviennent-a-lille#comments">ouvrir dans le navigateur</a>
</p>
christophe brocasDavy DefaudZeroHeureNÿcoBenoît Sibaudhttps://linuxfr.org/nodes/116376/comments.atomtag:linuxfr.org,2005:News/385922018-05-09T11:01:14+02:002018-05-09T11:59:57+02:00Pass the SALT 2018 : programme et billetterie Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Pass the SALT (<em>Security And Libre Talks</em>) est une conférence gratuite dédiée à la sécurité et aux logiciels libres se déroulant à Lille du 2 au 4 juillet 2018. La billetterie sera ouverte le 16 mai à 10 h, 200 places (orateurs et organisateurs compris), toutes gratuites, seront disponibles.<br><img src="//img.linuxfr.org/img/68747470733a2f2f706173732d7468652d73616c742e6f72672f696d672f53637265656e73686f742d776562736974652e706e67/Screenshot-website.png" alt="Logo Pass the SALT" title="Source : https://pass-the-salt.org/img/Screenshot-website.png"><br>
Son programme est désormais en ligne : <strong>28 présentations</strong> pour en apprendre plus sur huit thématiques sécurité : sécurité des distributions, rétro‐ingénierie et bas niveau, sécurité réseau, sécurité Web, gestion d’accès et identité, <em>blue team</em> (équipe sécurité défensive), code et administration sécurisé, sécurité de l’Internet des objets et <em>red team</em> (équipe sécurité offensive). <strong>Cinq ateliers</strong> pour mettre les mains dans les octets de FreeIPA, Suricata et Scirius, Bro, AIL et Faup. Nous détaillons les différentes thématiques et quelques unes des présentations dans la suite de la dépêche.</p></div><ul><li>lien nᵒ 1 : <a title="https://2018.pass-the-salt.org/accueil/" hreflang="fr" href="https://linuxfr.org/redirect/101981">Site Web de Pass the SALT</a></li><li>lien nᵒ 2 : <a title="https://2018.pass-the-salt.org/programme/" hreflang="fr" href="https://linuxfr.org/redirect/101982">Le programme en ligne</a></li></ul><div><p>Quelques présentations que l’on peut mettre en avant :</p>
<ul>
<li>la <strong>keynote de Pablo Neira Ayuso</strong>, le leader de l’équipe Netfilter : <em>"a 10 years journey in Linux firewalling"</em> ;</li>
<li>la conférence sur <strong>r2frida</strong> par les leaders des deux projets Radare2 et Frida, Sergi Alvarez aka <strong>Pancake et Ole André V. Ravnås</strong> ;</li>
<li>la venue de <strong>Stefan Eissing</strong>, le développeur de Mod_md qui implémente le <strong>prise en charge de Let’s Encrypt dans Apache</strong> sous forme de module.</li>
</ul><p>Tout d’abord, les <strong>cinq ateliers</strong> occuperont chacun une demi‐journée. L’inscription (gratuite) se fera sur place. Les sujets des ateliers seront : l’IDS Bro, l’analyseur d’URL Faup, FreeIPA le gestionnaire d’identités et de droits, le cadriciel AIL de détection des fuites de données et, enfin, l’IDS/IPS Suricata et SELKS.</p>
<p>La première demi‐journée des conférences, lundi 2 juillet après‐midi, commencera, quant à elle, par une présentation du <strong>fonctionnement de l’équipe de sécurité de la distribution Debian</strong> par un de ses membres, Yves‐Alexis Perez.</p>
<p>L’après‐midi se poursuivra avec plusieurs conférences sur la rétro‐ingénierie et la sécurité de bas niveau :</p>
<ul>
<li>avec notamment Axelle Apvrille pour l’<strong>évaluation du risque de Spectre en environnement ARM</strong> ;</li>
<li>Jakub Kroustek, concepteur de <strong>RetDec</strong>, pour présenter ce décompilateur dont Avast a libéré le code source fin 2017 ;</li>
<li>Romain Thomas nous parlera d’<strong>instrumentation statique de binaires</strong> ;</li>
<li>ou Antide Petit pour <strong>Cutter</strong>, l’interface graphique de Radare 2. </li>
</ul><p>Le mardi matin sera entièrement dédié à la sécurité réseau avec notamment des présentations abordant les problématiques de filtrage sous forte charge :</p>
<ul>
<li>si vous aviez des questions sur BPF, XDP et consorts, <strong>Éric Leblond</strong> (Suricata <em>core team</em>) et François Serman (OVH) seront là pour vous éclairer ;</li>
<li>on finira avec Xavier Mertens qui vous proposera de faire de la <strong>capture de masse avec des solutions libres</strong>.</li>
</ul><p>L’après‐midi enchaînera sur la sécurité Web avec des présentations sur :</p>
<ul>
<li>
<strong>Snuffleupagus et la sécurité de PHP 7</strong> ;</li>
<li>le pare‐feu applicatif <strong>Vulture</strong> ;</li>
<li>ou les outils à destination des sources des journalistes avec les développeurs de <strong>SecureDrop</strong>.</li>
</ul><p>On clôturera cette seconde journée sur de la gestion d’identités :</p>
<ul>
<li>de l’authentification à deux facteurs avec <strong>LemonLDAP::NG</strong> et <strong>FreeIPA</strong> ;</li>
<li>et un retour d’expérience sur la <strong>conception de librairies cryptographiques</strong>, ici JOSE.</li>
</ul><p>La dernière journée démarrera sur :</p>
<ul>
<li>
<strong>collaboration et Threat Intel</strong>, avec Alexandre Dulaunoy et Andras Iklody du CIRCL ;</li>
<li>et un voyage au sein de l’<strong>automatisation de l’investigation numérique</strong>, par Thomas Chopitea.</li>
</ul><p>Développeurs et architectes trouveront ensuite leur bonheur :</p>
<ul>
<li>
<strong>Landlock</strong>, par Mickaël Salaün ;</li>
<li>
<strong>optimisation de programmation sécurisée</strong>, par Pierre Chifflier ;</li>
<li>et <strong><em>immutable architecture and zero trust networking</em></strong>, par Geoffroy Croupie.</li>
</ul><p>La dernière demi‐journée verra d’abord trois conférences autour de l’Internet des objets :</p>
<ul>
<li>une plongée dans les <strong>honeypots IoT</strong> (simulation d’une station‐service ici) par Sébastien Tricaud ;</li>
<li>une <strong>année d’investigation sur des objets connectés</strong>, par Rayna Stamboliyska ;</li>
<li>et un <strong>cadriciel d’attaque d’IoT</strong> par Aseem Jakhar.</li>
</ul><p>Nous terminerons avec de la sécurité offensive avec des conférences sur :</p>
<ul>
<li>
<strong><em>Freedom Fighting Mode</em></strong>, par Ivan Kwiatkowski, un cadriciel facilitant le travail du <em>pentester</em> ;</li>
<li>des vulnérabilités trouvées dans <strong>ShadowSocks</strong>, par Niklas Abel, et dans <strong>Glassfish</strong>, par Jérémy Mousset ;</li>
<li>et les <strong>possibilités offertes par le matériel libre pour les <em>pentesters</em></strong>, par Antoine Cervoise.</li>
</ul></div><div><a href="https://linuxfr.org/news/pass-the-salt-2018-programme-et-billetterie.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/114416/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/pass-the-salt-2018-programme-et-billetterie#comments">ouvrir dans le navigateur</a>
</p>
christophe brocasZeroHeureDavy Defaudpalm123Nils Ratusznikhttps://linuxfr.org/nodes/114416/comments.atomtag:linuxfr.org,2005:News/384202018-01-31T15:30:31+01:002018-02-01T11:59:11+01:00Pass the SALT 2018 : une conférence dédiée à la sécurité et au logiciel libreLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Après dix années de bons et loyaux services passés à l’animation du thème <em>Sécurité</em> des RMLL, l’équipe a décidé de passer la main et de se lancer dans une nouvelle aventure : Pass the SALT (<em>Security And Libre Talks</em>), une conférence dédiée à la sécurité et au logiciel libre.</p>
<p>Cet événement sera gratuit, libre d’accès et se déroulera du 2 au 4 juillet 2018 à l’école Polytech de Lille [N. D. M. : pour mémoire, les RMLL 2018 auront lieu à Strasbourg du 7 au 12 juillet 2018].</p>
<p>Les conférences seront données en langue anglaise afin de permettre la participation la plus ouverte et accessible possible aux conférenciers et conférencières étrangers.</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f323031382e706173732d7468652d73616c742e6f72672f696d672f53637265656e73686f742d776562736974652e706e67/Screenshot-website.png" alt="SALT2018" title="Source : https://2018.pass-the-salt.org/img/Screenshot-website.png"></p>
<p>L’appel à soumissions est ouvert jusqu’au 31 mars 2018. Ne soyez pas timides, participez ! Promis, l’accueil sera bienveillant et pour toute question, c’est par ici : <a href="mailto:cfp@pass-the-salt.org">cfp@pass-the-salt.org</a>. :-)</p>
<p>Et enfin, si vous êtes une entreprise impliquée dans la sécurité et/ou les logiciels libres, nous serions heureux de vous compter parmi nos soutiens !</p></div><ul><li>lien nᵒ 1 : <a title="https://2018.pass-the-salt.org/accueil/" hreflang="fr" href="https://linuxfr.org/redirect/101343">Site Web de Pass the SALT</a></li><li>lien nᵒ 2 : <a title="https://2018.pass-the-salt.org/pass-the-salt-est-lancee/" hreflang="fr" href="https://linuxfr.org/redirect/101344">Pourquoi créer Pass the SALT ?</a></li><li>lien nᵒ 3 : <a title="https://2018.pass-the-salt.org/resultats/#results" hreflang="fr" href="https://linuxfr.org/redirect/101345">Collaborations issues du thème Sécurité RMLL</a></li><li>lien nᵒ 4 : <a title="https://2018.pass-the-salt.org/cfp/" hreflang="fr" href="https://linuxfr.org/redirect/101346">L’appel à soumissions</a></li><li>lien nᵒ 5 : <a title="https://2018.pass-the-salt.org/accueil/#sponsors" hreflang="fr" href="https://linuxfr.org/redirect/101347">Sponsoring</a></li></ul><div><p>Les deux principales motivations derrière <em>Pass the SALT</em> sont de :</p>
<ul>
<li>faciliter la <strong>pollinisation croisée des idées au sein des différentes communautés de la sécurité</strong> (rétro‐ingénierie, tests d’intrusion, cryptographie, système et réseau, etc.) ;</li>
<li>
<strong>concrétiser ces échanges sous la forme de collaborations</strong> entre les <em>hackers</em> présents. Une liste non exhaustive des collaborations nées au cours du thème <em>Sécurité</em> des RMLL est disponible dans les liens. Que <em>Pass the SALT</em> amplifie cette dynamique est notre plus grand souhait !</li>
</ul></div><div><a href="https://linuxfr.org/news/pass-the-salt-2018-une-conference-dediee-a-la-securite-et-au-logiciel-libre.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/113635/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/pass-the-salt-2018-une-conference-dediee-a-la-securite-et-au-logiciel-libre#comments">ouvrir dans le navigateur</a>
</p>
christophe brocasDavy DefaudBenoît SibaudZeroHeurepalm123https://linuxfr.org/nodes/113635/comments.atomtag:linuxfr.org,2005:News/380572017-06-14T14:39:48+02:002017-06-15T14:54:16+02:00Thème Sécurité RMLL 2017 : de la confidentialité à l'IoT en passant par…Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Les RMLL sont de retour cette année et cela se passera du 1<sup>er</sup> au 7 juillet à Saint‐Étienne. Pour ce qui concerne le thème <em>Sécurité</em>, ce sera deux jours et demi de conférences, tables rondes et ateliers du lundi 3 au mercredi 5 juillet.</p>
<p>Les thématiques couvertes cette année seront des plus diverses et nous espérons que cette diversité attisera votre intérêt.</p>
<p>Nous avons aussi besoin de vous : mardi en fin d’après‐midi, un créneau d’une heure est ouvert aux présentations courtes (5 min max). Vous avez des choses novatrices à dire sur la sécurité et le logiciel libre ? Venez !</p>
<p>Mais prenons le temps de parcourir ensemble le menu…</p>
<p><img src="//img.linuxfr.org/img/68747470733a2f2f323031372e726d6c6c2e696e666f2f7468656d652f706963747572652f42616e6e69657265732f62616e6e696572655f677265656e5f3733307839302e706e67/banniere_green_730x90.png" alt="Logo RMLL" title="Source : https://2017.rmll.info/theme/picture/Bannieres/banniere_green_730x90.png"></p></div><ul><li>lien nᵒ 1 : <a title="https://prog2017.rmll.info/spip.php?page=rmll_progall&lang=fr&t=2" hreflang="fr" href="https://linuxfr.org/redirect/100060">Programme du thème Sécurité RMLL 2017</a></li><li>lien nᵒ 2 : <a title="https://prog2017.rmll.info/programme/securite-entre-transparence-et-opacite/article/entretien-clementine-maurice" hreflang="fr" href="https://linuxfr.org/redirect/100061">Entretien avec Clémentine Maurice (attaques canaux auxiliaires, cachés depuis des navigateurs)</a></li><li>lien nᵒ 3 : <a title="https://prog2017.rmll.info/programme/securite-entre-transparence-et-opacite/entretien-sara-dickinson?lan=fr" hreflang="fr" href="https://linuxfr.org/redirect/100062">Entretien avec Sara Dickinson (DNS, Privacy, IETF)</a></li></ul><div><h2 id="programme">Programme</h2>
<h3 id="lundi-3juillet-aprèsmidi">Lundi 3 juillet après‐midi</h3>
<p>Conférences et atelier sur la <strong>confidentialité</strong> et une table ronde sur les <strong>objets connectés</strong> :</p>
<ul>
<li>Laurent Chemla puis <em>sva</em> couvriront la problématique de la confidentialité dans les correspondances numériques en parlant respectivement de <a href="https://prog2017.rmll.info/spip.php?article22&lang=fr">Caliopen</a> et <a href="https://prog2017.rmll.info/spip.php?article146&lang=fr">p≡p</a> ;</li>
<li>Adrien Béraud traitera cette thématique sur le <a href="https://prog2017.rmll.info/spip.php?article155&lang=fr">versant vidéo et audio</a> (projet Ring) ;</li>
<li>Ivan terminera le tour d’horizon par un <a href="https://prog2017.rmll.info/spip.php?article63&lang=fr">atelier sur la distribution Heads</a>.</li>
</ul><p>S’ajoutera à cela, une <a href="https://prog2017.rmll.info/spip.php?article1220&lang=fr">table ronde sur les objets connectés</a> réunie et animée par Chantal Bernard‐Putz.</p>
<h3 id="mardi-matin">Mardi matin</h3>
<p>Nous nous concentrerons sur le <strong>chiffrement, la cryptographie et les attaques bas niveau</strong> :</p>
<ul>
<li>Édouard Lopez et Guillaume Vincent parleront de <a href="https://prog2017.rmll.info/spip.php?article46&lang=fr">mots de passe</a> ;</li>
<li>Caleb James De Lisle, de <a href="https://prog2017.rmll.info/spip.php?article107&lang=fr"><em>Zero Knowledge</em></a> ; </li>
<li>Cryptie et Olivier Blazy, de <a href="https://prog2017.rmll.info/spip.php?article97&lang=fr">cryptographie académique</a>, mais pas que ;</li>
<li>et Clémentine Maurice nous achèvera<code>^W</code> parlera d’<a href="https://prog2017.rmll.info/spip.php?article38&lang=fr">attaques par canaux cachés ou auxiliaires depuis des navigateurs</a>. </li>
</ul><p>Pour en savoir plus sur le parcours de Clémentine Maurice et ce sujet pas si commun, <a href="https://prog2017.rmll.info/programme/securite-entre-transparence-et-opacite/article/entretien-clementine-maurice">une interview est à votre disposition</a>.</p>
<h3 id="mardi-aprèsmidi">Mardi après‐midi</h3>
<p>Benjamin Sontag vous propose de le rejoindre pour un <a href="https://prog2017.rmll.info/spip.php?article1221&lang=fr">atelier d’auto‐défense numérique</a>. Quel que soit votre niveau, vous serez le bienvenu et vous tirerez à coup sûr de cet atelier beaucoup d’enseignements pour sécuriser toutes vos pratiques numériques (stockage, communication, authentification, publication…).</p>
<p>En parallèle, les <strong>objets connectés</strong> et l’<strong>analyse de binaires</strong> seront au cœur des débats :</p>
<ul>
<li>
<a href="https://prog2017.rmll.info/spip.php?article84&lang=fr">hydrabus</a>, par Benjamin Vernoux et Nicolas Oberli ;</li>
<li>méthodes d’<a href="https://prog2017.rmll.info/spip.php?article56&lang=fr">investigations numériques sur IoT</a> par Damien Cauquil et Nicolas Kovacs </li>
<li>et <a href="https://prog2017.rmll.info/spip.php?article158&lang=fr">Frida</a> par Ole André Vadla Ravnås.</li>
</ul><p>Point spécial : des <strong>présentations éclairs</strong> (5 minutes) seront données en fin d’après‐midi. Nous publierons l’adresse de soumission sur les réseaux sociaux. :)</p>
<h3 id="mercredi">Mercredi</h3>
<p>Nous couvrirons les <strong>versants système, réseau</strong> :</p>
<ul>
<li>
<a href="https://prog2017.rmll.info/spip.php?article59&lang=fr">passerelle d’accès SSH (PaSSHport)</a>, par Raphaël Berlamont, Erwan Le Gall ;</li>
<li>sécurisation grâce à <a href="https://prog2017.rmll.info/spip.php?article131&lang=fr">Systemd</a>, par Timothée Ravier de l’ANSSI (une première aux RMLL !) ;</li>
<li>donnez du sens à vos traces grâce à <a href="https://prog2017.rmll.info/spip.php?article76&lang=fr">Syslog-NG</a>, par Peter Czanik de Balabit ;</li>
<li>découvrez le <a href="https://prog2017.rmll.info/spip.php?article111&lang=fr">routeur Turris Omnia</a>, avec Václav Zbránek du NIC.CZ ;</li>
<li>et l’on parlera enfin de <a href="https://prog2017.rmll.info/spip.php?article45&lang=fr">DNS et confidentialité</a>, avec Sara Dickinson (voir un entretien avec Sara par ailleurs).</li>
</ul><h3 id="mardi-aprèsmidi-1">Mardi après‐midi</h3>
<p>L’après‐midi nous emmènera :</p>
<ul>
<li>visiter le <a href="https://prog2017.rmll.info/spip.php?article14&lang=fr">SANS Internet Storm Center</a> avec Xavier Mertens ;</li>
<li>discuter d’<a href="https://prog2017.rmll.info/spip.php?article79&lang=fr">échanges de données de sécurité (projet MISP)</a> avec Raphaël Vinot du CIRCL ;</li>
<li>parler d’<a href="https://prog2017.rmll.info/spip.php?article78&lang=fr">antivirus (projet Armadito)</a> avec François Déchelle. </li>
</ul><p>Si vous préférez manipuler, <a href="https://prog2017.rmll.info/spip.php?article1217&lang=fr">Hydrabus</a> sera de retour avec ses concepteurs Benjamin Vernoux et Nicolas Oberli, pour un atelier. :-)</p>
<p><strong>C’est libre, c’est sécurisé, c’est à Sainté : venez !</strong></p></div><div><a href="https://linuxfr.org/news/theme-securite-rmll-2017-de-la-confidentialite-a-l-iot-en-passant-par.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/112081/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/theme-securite-rmll-2017-de-la-confidentialite-a-l-iot-en-passant-par#comments">ouvrir dans le navigateur</a>
</p>
christophe brocasDavy Defaudpalm123claudexBenoît Sibaudhttps://linuxfr.org/nodes/112081/comments.atomtag:linuxfr.org,2005:News/378222017-02-09T13:05:41+01:002017-02-09T16:07:30+01:00RMLL 2017 : l’appel à contributions est ouvert !Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Les Rencontres mondiales du logiciel libre 2017 se dérouleront cette année à Saint‐Étienne du 1<sup>er</sup> au 7 juillet 2017. L’appel à contribution est désormais ouvert et ce, jusqu’au 31 mars 2017 inclus. Le fil rouge qui a été choisi cette année est « Libre et Change ».</p>
<p>Le calendrier est le suivant :</p>
<ul>
<li>ouverture de l’appel à contributions : 8 février 2017 ;</li>
<li>fin de l’appel à contributions : 31 mars à minuit ;</li>
<li>notification des conférencier(e)s : courant avril 2017 ;</li>
<li>publication du programme : début mai 2017.</li>
</ul><p><img src="//img.linuxfr.org/img/68747470733a2f2f323031372e726d6c6c2e696e666f2f7468656d652f706963747572652f42616e6e69657265732f62616e6e696572655f677265656e5f3733307839302e706e67/banniere_green_730x90.png" alt="Bannière RMLL 2017" title="Source : https://2017.rmll.info/theme/picture/Bannieres/banniere_green_730x90.png"></p>
<p>Vous pouvez soumettre des conférences ou des ateliers. Vous pouvez soumettre une intervention d’une forme différente en la spécifiant dans le descriptif de l’intervention. Nous verrons comment donner suite pour exploiter au mieux le potentiel de l’intervention soumise. De la même manière, si aucun thème ne semble correspondre à votre soumission, sélectionnez le choix « Autre » dans la liste des thèmes et nous ferons notre possible pour trouver une solution.</p>
<p>Bonne soumission à toutes et tous. :-)</p></div><ul><li>lien nᵒ 1 : <a title="https://2017.rmll.info/fr/pages/whatsnew2017.html" hreflang="fr" href="https://linuxfr.org/redirect/99240">Appel à soumissions</a></li><li>lien nᵒ 2 : <a title="https://2017.rmll.info/" hreflang="fr" href="https://linuxfr.org/redirect/99241">Site Web des RMLL 2017</a></li></ul><div></div><div><a href="https://linuxfr.org/news/rmll-2017-l-appel-a-contributions-est-ouvert.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/111220/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/rmll-2017-l-appel-a-contributions-est-ouvert#comments">ouvrir dans le navigateur</a>
</p>
christophe brocasDavy Defaudpalm123Benoît SibaudNils Ratusznikclaudexhttps://linuxfr.org/nodes/111220/comments.atomtag:linuxfr.org,2005:News/377162016-12-09T10:02:18+01:002016-12-09T10:26:19+01:00Appel à candidatures responsables de thèmes RMLL 2017Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Les RMLL 2017 (Rencontres Mondiales du Logiciel Libre) se dérouleront à Saint‐Étienne du 1<sup>er</sup> au 7 juillet 2017. La liste des thèmes présents pour cette édition a été finalisée (lien plus bas) et un bon nombre de responsables de thèmes sont déjà présents pour s’en occuper. Mais, afin d’amener un surplus d’énergie, de diversité et d’idées neuves, nous faisons un appel ouvert à candidature pour de nouveaux responsables de thèmes.</p>
<p>Intérêts de cette mission :</p>
<ul>
<li>en tant que contact privilégié, vous aurez des échanges riches avec les conférenciers ;</li>
<li>au sein de l’organisation de cette conférence généraliste et ouverte, vous rencontrerez des personnes aux parcours et aux motivations variées mais toujours enthousiastes, ce qui permet un véritable enrichissement.</li>
</ul><p>Donc, si vous souhaitez participer à l’animation d’un des thèmes en question, inscrivez‐vous sur la liste de diffusion <em>Thèmes@</em> et postez votre candidature (qui suis‐je, pourquoi je viens, pour quel thème). Accueil bienveillant assuré. :-)</p>
<p>Vous pouvez même proposer un nouveau thème, mais uniquement si vous avez une idée très claire et construite de votre proposition et que vous n’arrivez pas seul.</p>
<p>La description détaillée du travail d’un responsable de thème est disponible en lien ci‐dessous.</p></div><ul><li>lien nᵒ 1 : <a title="https://2017.rmll.info/" hreflang="fr" href="https://linuxfr.org/redirect/98796">Site des RMLL 2017 (en construction)</a></li><li>lien nᵒ 2 : <a title="https://pad.rmll.info/p/themes-2017" hreflang="fr" href="https://linuxfr.org/redirect/98797">Liste des thèmes et des responsables actuels </a></li><li>lien nᵒ 3 : <a title="https://listes2017.rmll.info/info/themes" hreflang="fr" href="https://linuxfr.org/redirect/98798">Liste de diffusion Thèmes@</a></li><li>lien nᵒ 4 : <a title="https://wiki.rmll.info/index.php/R%C3%B4le_du_responsable_de_th%C3%A8me" hreflang="fr" href="https://linuxfr.org/redirect/98799">Description du rôle de responsable de thème</a></li></ul><div></div><div><a href="https://linuxfr.org/news/appel-a-candidatures-responsables-de-themes-rmll-2017.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/110750/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/appel-a-candidatures-responsables-de-themes-rmll-2017#comments">ouvrir dans le navigateur</a>
</p>
christophe brocasDavy DefaudNÿcoNils Ratusznikhttps://linuxfr.org/nodes/110750/comments.atomtag:linuxfr.org,2005:News/364922015-06-08T10:30:31+02:002015-06-08T10:36:01+02:00Thème Sécurité RMLL 2015 : don't TRUST your USB KEY? don't be FIR, take a new one in the CONTAINERLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Cette année encore, le <a href="https://2015.rmll.info/securite">thème Sécurité des RMLL</a> revient vous proposer une variété de conférences autour de la Sécurité et des Logiciels Libres. Le thème commencera le lundi 6 Juillet 2015 à 14h et se terminera mercredi 8 Juillet 2015 après-midi. Les RMLL se <a href="https://2015.rmll.info/">déroulent cette année à Beauvais</a> du samedi 4 Juillet 2015 au vendredi 10 Juillet 2015.</p>
<p>Comme c'est désormais une habitude, les conférences du thème Sécurité sont toutes données en anglais afin d'accueillir le mieux possible aux RMLL les spectateurs mais aussi les conférenciers non francophones.</p>
<p>Alors, qu'a-t-on <strong>au menu cette année</strong> ? Vous le saurez en lisant la suite de l'article.</p></div><ul><li>lien nᵒ 1 : <a title="https://2015.rmll.info/securite" hreflang="fr" href="https://linuxfr.org/redirect/94291">Programme du thème Sécurité RMLL 2015</a></li><li>lien nᵒ 2 : <a title="https://2015.rmll.info/" hreflang="fr" href="https://linuxfr.org/redirect/94292">Site des RMLL 2015</a></li></ul><div><p>La première demi-journée dédiée à la <strong>confiance</strong> :</p>
<ul>
<li>on commencera par une <a href="https://2015.rmll.info/keynote-surprise">keynote de Fred Raynal</a> dit pappy qui vous parlera … sûrement de sécurité et de quelques autres poneys et licornes ,</li>
<li>JP Aumasson, cryptographe, passera en revue <a href="https://2015.rmll.info/open-source-crypto">les bibliothèques cryptographiques Libres</a> , </li>
<li>G. Couprie parlera de la <a href="https://2015.rmll.info/parse-everything-safely">sécurité des parsers</a> , </li>
<li>Lunar nous fera un point sur les <a href="https://2015.rmll.info/reproducible-builds-in-debian-and-everywhere">compilations reproductibles</a> ,</li>
<li>et on finira par des <a href="https://2015.rmll.info/introduction-avancee-sur-gnupg">nouvelles de GnuPG</a> par un de ses développeurs.</li>
</ul><p>La seconde journée abordera :</p>
<ul>
<li>l'<strong>open hardware en sécurité</strong> : <a href="https://2015.rmll.info/materiel-libre-pour-attaques-physiques-sur-des-mots-de-passe">cassage de mots de passe</a> avec Antoine Cervoise et <a href="https://2015.rmll.info/circlean-un-nettoyeur-de-cle-usb">nettoyage de clés USB</a> avec Raphaël Vinot du CIRCL , </li>
<li>la <strong>sécurité et la vie privée sur le web</strong> avec <a href="https://2015.rmll.info/securite-et-vie-privee-sur-le-web-en-2015">François Marier</a> de Mozilla et <a href="https://2015.rmll.info/openid-connect-un-nouveau-standard-de-sso">Clément Oudot</a> ,</li>
<li>les <strong>outils et méthodes des CERT et CISRT</strong> (<a href="https://2015.rmll.info/le-partage-d-ioc-malware-sans-tourner-autour-du-pot">MISP</a>, <a href="https://2015.rmll.info/fir-reponse-sur-incidents-rapide">FIR</a>, <a href="https://2015.rmll.info/irma-reponse-a-incident-et-analyse-de-malwares">IRMA</a>) ,</li>
<li>la <strong>sécurité des réseaux</strong> d'entreprises par <a href="https://2015.rmll.info/let-s-talk-about-selks">Eric Leblond</a> mais aussi domestiques par <a href="https://2015.rmll.info/home-sweet-home">Xavier Mertens</a>.</li>
</ul><p>Enfin, le mercredi parlera des <strong>serveurs</strong> :</p>
<ul>
<li>
<a href="https://2015.rmll.info/ssh-tips-and-tricks">tips and tricks SSH</a> ,</li>
<li>
<a href="https://2015.rmll.info/docker-conteneurs-securite-ou-en-est-on">sécurité, containers et Docker : où en est-on ?</a> : où en est-on ? par Jérôme Petazzoni (Docker) ,</li>
<li>
<a href="https://2015.rmll.info/analyse-forensic-d-un-serveur-web-linux">forensics sur serveur web Linux</a> par des auditeurs de NBS.</li>
</ul><p>L'après midi, vous pourrez participer à un <a href="https://2015.rmll.info/atelier-irma-reponse-a-incident-et-analyse-de-malwares">atelier sur IRMA</a> et peut être un atelier surprise…</p>
<p><strong>Want more?</strong> </p>
<p>4 interviews : <a href="https://2015.rmll.info/entretien-avec-fred-raynal-aka-pappy-quarkslab?lang=fr">Fred Raynal</a> dit pappy, <a href="https://2015.rmll.info/interview-thomas-chopitea-cert-societe-generale">Thomas Chopitea</a> dit tomchop, <a href="https://2015.rmll.info/interview-xavier-mertens-aka-xme">Xavier Mertens</a> dit xme et <a href="https://2015.rmll.info/interview-francois-marier-mozilla">François Marier</a> de Mozilla.</p>
<p><strong>Venez, c'est Libre, c'est Gratuit et c'est… Sécurisé :-)</strong></p></div><div><a href="https://linuxfr.org/news/theme-securite-rmll-2015-don-t-trust-your-usb-key-don-t-be-fir-take-a-new-one-in-the-container.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/105971/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/theme-securite-rmll-2015-don-t-trust-your-usb-key-don-t-be-fir-take-a-new-one-in-the-container#comments">ouvrir dans le navigateur</a>
</p>
christophe brocasBenoît SibaudPierre Jarillonpalm123https://linuxfr.org/nodes/105971/comments.atomtag:linuxfr.org,2005:News/355042014-06-24T14:03:53+02:002014-06-24T14:03:53+02:00Thème "Sécurité" RMLL 2014 : vous n'aurez pas Tor de reprendre du Kiwi à (nf)table(s) !Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<div><p>Comme chaque année, le <a href="https://2014.rmll.info/theme26?lang=fr">thème "Sécurité" des RMLL</a> vous propose un tour des logiciels libres, des technologies et des concepts de la sécurité informatique. Le thème se déroulera cette année du lundi 7 Juillet au jeudi 10 Juillet 2014 à Montpellier tandis que les RMLL commencent le samedi 5 et s'achèvent le vendredi 11 Juillet.</p>
<p>Vous aurez donc au menu :</p>
<ul>
<li>découvrir <a href="https://2014.rmll.info/conference311">les défis sécurité auxquels Tor fait face</a> par Lunar ;</li>
<li>
<a href="https://2014.rmll.info/conference230">sécuriser sa messagerie instantanée</a> par Koolfy ;</li>
<li>
<a href="https://2014.rmll.info/conference334">jouer comme jamais avec la crypto</a> par Ange Albertini ;</li>
<li>ou mieux <a href="https://2014.rmll.info/conference130">connaître votre ennemi aka l'obfuscation</a> par Ninon Eyrolles. </li>
</ul><p>Mais, vous pourrez aussi :</p>
<ul>
<li>voyager, sans avoir à aller à BlackHat à Vegas ;-) , au sein de la <a href="https://2014.rmll.info/conference80">mémoire du service d'authentification Windows</a> (oui, aux RMLL !) par Benjamin Delpy ;</li>
<li>jouer avec des <a href="https://2014.rmll.info/conference168">clés</a> par Franck Hofmann et Maxime De Roucy, du <a href="https://2014.rmll.info/conference136">SSO</a> par Clément Oudot ou des <a href="https://2014.rmll.info/conference220">malwares</a> par Xavier Mertens ;</li>
<li>découvrir le regard d'<a href="https://2014.rmll.info/conference300">un aveugle sur la Sécurité</a> par Sébastien Hinderer ;</li>
<li>ou jongler avec Suricata par Eric Leblond et <a href="https://2014.rmll.info/conference195">DNSSEC</a> par Stéphane Bortzmeyer.</li>
</ul><p>Un atelier sur le langage de sécurité réseau Haka est aussi <a href="https://2014.rmll.info/theme26?lang=fr&day=2014-07-10#schedule">au programme le jeudi matin</a>. Vous en voulez encore ? La suite est <a href="https://2014.rmll.info/theme26?lang=fr">à découvrir dans le menu</a>, bande de petits curieux ;-) </p>
<p><strong>Evènement cette année :</strong> la tenue aux RMLL du <a href="http://workshop.netfilter.org/2014/">Netfilter Workshop</a>, la rencontre annuelle des développeurs Netfilter avec toute la core team. </p>
<p>Lors du <a href="https://2014.rmll.info/theme26?lang=fr&day=2014-07-07#schedule">Netfilter Workshop User day</a> le lundi après midi, les développeurs Netfilter vous présenteront donc leurs dernières avancées avec notamment une <a href="https://2014.rmll.info/conference357">présentation de Nftables</a> par les deux derniers Netfilter team leaders, Patrick McHardy et Pablo Neira.</p>
<p>Enfin, afin de pouvoir mieux connaître nos conférenciers, nous vous proposons deux entretiens :</p>
<ul>
<li>
<a href="https://2014.rmll.info/+Interview-de-Ninon-Eyrolles+">entretien avec Ninon Eyrolles</a>, chercheuse en Sécurité ("Obfuscation, connaissez votre ennemi") ;</li>
<li>
<a href="https://2014.rmll.info/+Interview-de-Lunar-Defis-passes-et+">entretien avec Lunar</a>, contributeur au projet Tor ("Défis passés et futurs pour Tor").</li>
</ul><p>C'est Libre, c'est gratuit, c'est sécurisé ;-) <strong>Venez !</strong></p></div><ul><li>lien nᵒ 1 : <a title="https://2014.rmll.info/theme26?lang=fr" hreflang="fr" href="https://linuxfr.org/redirect/90935">Programme du Thème Sécurité RMLL 2014</a></li><li>lien nᵒ 2 : <a title="http://workshop.netfilter.org/2014/" hreflang="en" href="https://linuxfr.org/redirect/90936">Netfilter Workshop 2014</a></li><li>lien nᵒ 3 : <a title="https://2014.rmll.info/" hreflang="fr" href="https://linuxfr.org/redirect/90937">RMLL 2014 à Montpellier du 5 au 11 Juillet 2014</a></li></ul><div></div><div><a href="https://linuxfr.org/news/theme-securite-rmll-2014-vous-n-aurez-pas-tor-de-reprendre-du-kiwi-a-nf-table-s.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/102602/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/theme-securite-rmll-2014-vous-n-aurez-pas-tor-de-reprendre-du-kiwi-a-nf-table-s#comments">ouvrir dans le navigateur</a>
</p>
christophe brocasNils RatusznikXavier Teyssierclaudexpalm123https://linuxfr.org/nodes/102602/comments.atomtag:linuxfr.org,2005:News/330832012-06-18T11:12:31+02:002012-06-18T11:14:15+02:00Programme thème Sécurité RMLL 2012 & 2 entretiens avec Werner Koch et Eric LeblondLicence CC By‑SA http://creativecommons.org/licenses/by-sa/3.0/deed.fr<div><p>Dans le cadre des <a href="http://2012.rmll.info/">RMLL 2012</a> qui se déroulent à Genève du 7 au 12 Juillet, le thème Sécurité vous propose trois demi-journées autour des thématiques suivantes : </p>
<ul><li>sécurité réseau ; </li>
<li>reverse engineering (une conférence et un atelier) ;</li>
<li>fonctions d'appui à la sécurité ;</li>
<li>et enfin, préservation de la vie privée et des données personnelles.</li>
</ul><p>
<strong>Lundi 09 Juillet 2012 :</strong>
<br />
<em>Après midi :</em>
</p>
<ul><li><a href="http://schedule2012.rmll.info/spip.php?article11&lang=fr">Avancées récentes de l’IDS/IPS Suricata</a> par Eric LEBLOND</li>
<li><a href="http://schedule2012.rmll.info/spip.php?article10&lang=fr">Scan réseau avancé avec nmap 6</a> par Henri DOREAU </li>
<li><a href="http://schedule2012.rmll.info/spip.php?article12&lang=fr">Naxsi - une approche positive du filtrage applicatif Web</a> par Didier CONCHAUDRON, Sébastien BLOT</li>
<li><a href="http://schedule2012.rmll.info/spip.php?article8&lang=fr">Le WebSSO LemonLDAP::NG : présentation et nouveautés de la version 1.2</a> par Clément OUDOT </li>
<li><a href="http://schedule2012.rmll.info/spip.php?article6&lang=fr">Reverse Engineering sur plateforme open source</a> par Paul RASCAGNERES </li>
</ul><p>
<strong>Mardi 10 Juillet 2012 :</strong>
<br />
<em>Matin :</em>
</p>
<ul><li><a href="http://schedule2012.rmll.info/spip.php?article4&lang=fr">Introduction aux antivirus et présentation de ClamAV</a> par Antoine CERVOISE </li>
<li><a href="http://schedule2012.rmll.info/spip.php?article5&lang=fr">Atelier : Reverse Engineering sur plateforme libre</a> par Paul RASCAGNERES </li>
<li><a href="http://schedule2012.rmll.info/spip.php?article2&lang=fr">Simplifier l’authentification avec Kerberos : du mono-poste à la PME</a> par Matthieu CERDA </li>
<li><a href="http://schedule2012.rmll.info/spip.php?article7&lang=fr">Construire son application web de gestion de contenu d’annuaire LDAP</a> par Clément OUDOT</li>
</ul><p>
<em>Après midi :</em>
</p>
<ul><li><a href="http://schedule2012.rmll.info/spip.php?article1&lang=fr">OpenPGP and S/MIME are both on the STEED</a> par Werner KOCH </li>
<li><a href="http://schedule2012.rmll.info/spip.php?article3&lang=fr">Mozilla BrowserID/Persona et la vie privée sur le Web</a> par Jean-Yves PERRIER </li>
<li><a href="http://schedule2012.rmll.info/spip.php?article9&lang=fr">Elections en ligne vérifiables avec Helios</a> par Stéphane GLONDU </li>
<li><a href="http://schedule2012.rmll.info/spip.php?article13&lang=fr">L’accès à internet est un sport de combat</a> par Kevin DENIS </li>
</ul><p>Enfin, vous trouverez dans la suite de la dépêche <strong>2 entretiens avec Werner Koch</strong> d'une part (GnuPG, STEED et la vie privée sur le net) <strong>et avec Eric Leblond</strong> d'autre part (Suricata, IDS/IPS et la Sécurité).</p>
<p>
<strong>Venez nombreux : c'est du lourd, c'est du libre, et … c'est gratuit !</strong>
</p></div><ul><li>lien nᵒ 1 : <a title="http://schedule2012.rmll.info/-Securite-" hreflang="fr" href="https://linuxfr.org/redirect/82505">Programme Sécurité RMLL 2012 par le détail</a></li><li>lien nᵒ 2 : <a title="http://schedule2012.rmll.info/Entretien-avec-Werner-Koch-sur-STEED-et-GnuPG?lang=en" hreflang="en" href="https://linuxfr.org/redirect/82506">Version originale (EN) de l'entretien avec Werner Koch</a></li></ul><div><h2 id="sommaire">Sommaire</h2>
<ul><li>
<a href="#toc_0">Entretien avec Werner Koch sur STEED et GnuPG</a>
</li>
<li>
<a href="#toc_1">Entretien avec Eric Leblond sur Suricata, les IDS et la Sécurité</a>
</li>
</ul><h2 id="toc_0">Entretien avec Werner Koch sur STEED et GnuPG</h2>
<p><strong>Introduction :</strong><br />
Le thème Sécurité des RMLL 2012 accueillera 2 conférences qui parleront de vie privée et de gestion des données personnelles sur Internet.</p>
<p>La première sera donnée par Jean-Yves Perrier de Mozilla. Jean-Yves présentera le projet Persona/BrowserID de Mozilla. La seconde conférence sera donnée par Werner Koch qui nous parlera de STEED, un projet STEED, un projet de simplification et de généralisation de l’usage du chiffrement et de la signature du courrier électronique.</p>
<p>Échangeons maintenant avec Werner, le créateur et développeur principal de GnuPG et fondateur de g10code.</p>
<p><strong>Question :</strong> <em>Bonjour Werner. Votre collègue, Marcus Brinkmann, est venu l’an passé aux RMLL 2011 donner une conférence débutant par "Pourquoi le chiffrement pour la messagerie a échoué" et a exposé les premières idées qui seraient derrière STEED, le projet que vous avez lancé en Octobre 2011. Pour les créateurs de GnuPG, le standard de fait du chiffrement pour la messagerie, une telle introduction est un message assez fort. Pouvez vous expliquer quelles sont vos idées là dessus et nous présenter le projet STEED ?</em></p>
<p><strong>Werner Koch :</strong> Il y a quelque temps, Marcus et moi avons travaillé sur l’intégration de la cryptographie au sein de téléphones portables. Ce travail incluait de nombreux et longs voyages en train qui nous ont donné l’opportunité de parler de l’aspect inutilisable du chiffrement de bout en bout. Depuis que Phil (ndt : Philippe Zimmermann, créateur de PGP) est arrivé avec PGP il y a 20 ans, les bases techniques pour un bon chiffrement sont vraiment disponibles. Même aujourd’hui où la plupart des gens sont accros au net, l’utilisation du chiffrement pour les communications privées est pratiquement inexistante. Nous, les hackers, avons voulu rendre ce chiffrement aussi bon et sûr que possible, mais nous n’avions que les mathématiques et l’ingénierie à l’esprit. Nous avons négligé le monde réel de la communication : les attaques ciblées par courrier sont très rares pour la plupart des gens, il n’y a généralement pas d’interception de communication (ndt : « no man in the middle »). Ainsi, nous pouvons faire sans toutes les techniques pointues de sécurité auxquelles nous sommes habitués. Nous n’avons pas besoin de moyens ultra sécurisés pour communiquer avec quelqu’un que nous ne connaissons pas encore vraiment.</p>
<p>Nous avons examiné quelques idées existantes comme SSH et les infrastructures de clés publiques pour concevoir une système permettant de rendre le chiffrement la plupart du temps invisible. STEED est notre concept visant à faire fonctionner ces idées ensemble et à les intégrer aux logiciels de messagerie existants. L’idée de base est simple : si votre programme de messagerie voit que vous n’avez pas avoir une clé pour votre compte de messagerie actuel, il en crée une en arrière plan. La clé publique sera ensuite envoyée à une base de données mondiale. En fin de processus, vous recevez un mail de notification de cette base de données vous indiquant que votre clé est maintenant disponible mondialement. Désormais, lorsque vous êtes sur le point d’envoyer un mail, les logiciels de messagerie compatible Steed vont chercher la clé du destinataire dans cette base de données mondiale. Si une clé a été trouvée, le message sera chiffré, sinon, il est envoyé en clair. Plus tard, quand vous envoyez un autre mail, la base de données mondiale est interrogée comme d’habitude, mais le résultat sera également comparé avec une base de données locale, afin de vérifier si la clé renvoyée par la base globale correspond à celle utilisée lors de l’envoi précédent. Si ce n’est pas le cas, une alerte est émise et un court message d’explication expliquera qu’une possibilité d’interception type « man in the middle » existe.</p>
<p><strong>Question :</strong> <em>À quelle étape de votre feuille de route en êtes vous rendu : des premiers articles, des preuves de concepts, des échanges avec des fournisseurs d’identité du marché ?</em></p>
<p><strong>Werner Koch :</strong> J’ai donné plusieurs conférences sur le projet et nous avons produit des versions revues de nos articles pour la conférence GUUG de ce printemps. LWN a publié un article sur elle et je suis heureux qu’à cette occasion nous ayons pu gagner un peu d’attention. Il n’y a pas pour l’instant beaucoup de nouveau code, parce que nous avons à peu près tout mis en œuvre dans GnuPG. La prochaine étape sera d’implémenter ce concept dans un client de messagerie. Cependant, avant que nous puissions le faire, nous avons besoin d’avoir un moyen de stocker les clés.</p>
<p><strong>Question :</strong> <em>Dans votre article initial, la base de données utilisée pour stocker les clés était le DNS. Avez-vous été en mesure d’échanger avec certains fournisseurs de DNS pour voir s’ils seraient enclins à ouvrir leur infrastructure afin de permettre à leurs utilisateurs de stocker ce genre d’information ? Avez-vous besoin de plus de contacts avec des fournisseurs d’infrastructure ?</em></p>
<p><strong>Werner Koch :</strong> Malheureusement, je n’ai pas eu de succès dans cette entreprise. J’ai parlé à certains fournisseurs, mais la tendance générale semble être : aucune expérimentation. Ils attendent un effet direct en termes de retour sur investissement et ne voient pas comment le chiffrement pourrait y aboutir. Pour être honnête, je comprends cette position. Au cours de ces 15 dernières années, la promesse a été que le chiffrement serait bientôt utilisé de manière banalisée pour le courrier électronique. Nous savons tous que cela ne s’est pas produit. C’est comme la promesse depuis 25 ans d’aboutir à une organisation en entreprise zéro papier. Nous avons besoin de changer de stratégie. S'il n’y a aucun moyen direct d’obtenir l’attention des fournisseurs de messagerie, nous devons fournir une infrastructure de secours agissant en tant que fournisseur d’identité proxy, infrastructure qui serait gérée par nous.</p>
<p><strong>Question :</strong> <em>Pour l’architecture Persona/BrowserID de Mozilla qui va également être présentée aux RMLL 2012, Mozilla gère un service BrowserID.org qui contribue à l’amorçage du projet et donc, pour ne pas avoir à attendre l’ouverture généralisée de l’infrastructure des fournisseurs d’identité (dans leur cas, les fournisseurs de messagerie). Serait-ce une idée intéressante pouvant être réutilisée pour STEED ? Si oui, de quelle manière ?</em></p>
<p><strong>Werner Koch :</strong> Exactement. J’ai réfléchi à l’idée de mettre en place un groupe de fournisseurs d’identité sous le domaine gnupg.net où chacun pourrait s’occuper d’un groupe entier d’adresses mail. Cela pourrait se faire en hachant l’adresse, en encodant ce hash en Base32 et en utilisant cela comme clé dans le DNS. Nous aurions besoin d’écrire un système facile à installer pour fournir cette infrastructure et la déléguer à des personnes de confiance. Évidemment, Mozilla, confrontée aux mêmes problématiques, a eu la même idée. Je suis heureux que vous m’ayez orienté vers browserid.org ; il est beaucoup plus simple de se greffer sur un système comme celui-ci que de commencer à concevoir un programme similaire. Il donne même une meilleure expérience utilisateur. BrowserID pourrait être une incitation à essayer STEED. Techniquement, nous pourrions implémenter cela en interrogeant un champ spécial auprès du fournisseur de messagerie qui permettrait de savoir si le fournisseur est compatible STEED. Si le résultat est négatif, nous nous reposerions sur une base de données des clés publiques basée sur browserid.org.</p>
<p><strong>Question :</strong> <em>Quel genre d’aide avez vous vraiment besoin de la part de la communauté afin d’accélérer le développement du projet ?</em></p>
<p><strong>Werner Koch :</strong> Tout d’abord, dites à vos amis que le chiffrement des messages est important, même à l’âge de Facebook. Ils regretteront peut-être plus tard d’avoir négligé de prendre un peu de soin de leur vie privée. Deuxièmement, s’impliquer à partir du moment où l’outillage sera développé. J’entends par là, d’utiliser effectivement le système et d’aider à l’intégrer au sein d’autres clients de messagerie. Nous avons également besoin d’idées pour faire face au spam de manière décentralisée.</p>
<p><strong>Question :</strong> <em>Quelle est votre prochaine étape dans ce projet ?</em></p>
<p><strong>Werner Koch :</strong> Trouver un moyen de financer la maintenance et le développement de GnuPG. C’est une condition sine qua non à l’implémentation de STEED.</p>
<p><strong>Dernière question :</strong> <em>vous venez aux RMLL 2012. Qu’attendez-vous d’une présentation dans un événement comme les RMLL où les participants viennent d’horizons très éclectiques (militants du logiciel libre, des développeurs noyaux, des administrateurs système, etc) ?</em></p>
<p><strong>Werner Koch :</strong> Les concepts soutenant STEED ne sont pas encore assez connus. Je suis heureux d’avoir l’occasion de présenter STEED à une grande conférence technique et nous espérons attirer l’attention d’autres personnes créatives. Parler en personne est souvent mieux qu’échanger uniquement par courrier électronique. Je suis allé aux RMLL 3 ou 4 fois dans le passé et je me rappelle de bons échanges avec d’autres personnes intéressantes. Il est dommage que je ne puisse rester que 2 jours.</p>
<h2 id="toc_1">Entretien avec Eric Leblond sur Suricata, les IDS et la Sécurité</h2>
<p><strong>Question :</strong> <em>Bonjour Eric Tu viens présenter l’avancement du projet d’IDS/IPS open source Suricata pour lequel tu es un des développeurs principaux. Peux-tu, tout d’abord, nous présenter rapidement ce projet et ses principaux éléments différenciateurs avec ses concurrents libres ou propriétaires ?</em></p>
<p><abbr title="Note des modérateurs">NdM</abbr> : <em>IDS: Intrusion Detection System, système de détection d'intrusion</em></p>
<p><strong>Eric Leblond :</strong> Suricata est un IDS/IPS réseau qui a été développé depuis zéro sous l’impulsion de Victor Julien qui reste développeur principal et leader du projet. Il appartient à la même famille d’IDS/IPS que snort dont il a repris le langage de signatures. L’idée derrière ce choix était de permettre de reprendre les jeux de signatures existant qui sont souvent la vraie richesse d’un IDS de ce type. Avec un développement commencé en 2008, Suricata a une base de code moderne et a pris le parti d’utiliser des technologies récentes. Une des principales conséquences a été l’utilisation du multithreading. Suricata est ainsi capable de tirer avantage des architectures multicores qui sont incontournables actuellement. Un des autres points forts de Suricata est la détection automatique de protocoles et les mots clés protocolaires. Pour donner un exemple concret, Suricata va déterminer automatiquement qu’un flux sur le port 3456 est du HTTP et il appliquera alors les signatures HTTP sur le flux. Celles-ci peuvent utiliser des mots clés comme http_body ou http_uri qui recherche des correspondances dans les versions normalisées des flux pour ce protocole. Il n’y a donc pas besoin de chercher manuellement le décalage pour ces champs dans les requêtes et toutes les subtilités du protocole HTTP (comme le chuncking) sont gérées de manière transparente.</p>
<p><strong>Question :</strong> <em>quels sont les axes sur lesquels tu interviens le plus ? quels outils et langages utilises-tu ?</em></p>
<p><strong>Eric Leblond :</strong> Je suis responsable de la partie acquisition de paquets, ce qui signifie que je gère les modes IPS et IDS et le support des différents modules d’entrées (pcap, AF_PACKET, pf_ring, Netfilter, ipfw). J’interviens aussi sur la partie journalisation et je participe avec Pierre Chifflier au développement du support du protocole TLS. Au niveau du langage c’est exclusivement du C. L’intégralité de Suricata étant développée avec ce langage si l’on excepte la partie système de build qui utilise les autotools et leur fabuleux m4. Un des points plus mineurs et exotiques sur lesquels je sois intervenu est l’ajout de tests sur le code. Il s’agit de tests utilisant l’excellent logiciel coccinelle (<a href="http://coccinelle.lip6.fr">http://coccinelle.lip6.fr</a>) et qui réalise une vérification de la conformité du code à des règles de programmation définies lors du développement (non utilisation de certaines fonctions interdites, utilisation conforme de certaines structures complexes).</p>
<p><strong>Question :</strong> <em>De par tes développements précédents, tu es un développeur Netfilter expérimenté. As-tu beaucoup réinvesti de cette expérience dans Suricata ? Est-ce qu’il y a eu des échanges entre les 2 communautés ?</em></p>
<p><strong>Eric Leblond :</strong> C’est plus mon expérience sur le projet NuFW qui m’a servi pour les développements sur Suricata qui a parfois des « problèmes » que nous avions dû régler sur NuFW. Concernant Netfilter, il y a effectivement un réel échange. J’ai notamment exposé lors du dernier Netfilter Workshop certains des besoins de Suricata.</p>
<p><strong>Question :</strong> <em>De manière plus globale, toi qui est un professionnel de la sécurité depuis longtemps maintenant, penses tu que les IDS/IPS ont prouvé leur utilité en entreprises ou pour les gouvernements ? Doivent ils en partie se réinventer ? Ou le succès du déploiement d’un IDS/IPS dépend-il finalement que des objectifs que l’on fixe à ce projet (ex. : syndrome de l’outil unique qui doit tout résoudre en termes de sécurité) ?</em></p>
<p><strong>Eric Leblond :</strong> L’IDS est bien loin de pouvoir prétendre à être un outil unique. Les informations remontées par les serveurs et notamment les journaux contiennent énormément d’informations précieuses. Je pense qu’il est nécessaire de concevoir la surveillance des systèmes de manière globale. Je suis peut-être marqué par mon expérience avec Prelude mais je ne pense pas être dans le faux. Cette façon de voir implique des coûts. Le traitement des alertes et la mise à jour des signatures (incluant l’écriture de signature dédiée) sont deux taches cruciales. Elles doivent être effectuées de manière régulière pour être vraiment utile. Sans temps et sans compétence réelles affectées sur ces taches, un IDS est complètement inutile. Il peut même être néfaste dans le cas d’un IPS mal configuré ou non maintenu.</p>
<p><strong>Question :</strong> <em>Ce projet a une particularité notable dans le fait qu’il a été fondé et est soutenu par un certain nombre d’agences gouvernementales et d’éditeurs. Peux tu nous éclairer sur ce point ainsi que sur les avantages et les inconvénients éventuels que tu y vois, toi qui est à l’intérieur du projet ?</em></p>
<p><strong>Eric Leblond :</strong> Je trouve le financement et la gouvernance de ce projet particulièrement captivants. En arrivant dans le projet je ne pensais pas qu’ils seraient aussi indépendants. Être dans le consortium ne donne ainsi pas de droits sur la gestion des évolutions et de la feuille de route du projet. Celle-ci est discutée lors de réunions publiques (retransmise sur Internet dans la mesure du possible). Tout le monde peut y participer et apporter ses idées. Concernant le financement, l’apport initial a été fait par le projet HOST du Homeland qui sponsorise des projets Open Source. La seule exigence de cette puissante et redoutée institution a été que l’argent investi soit bien utilisé. Ils n’ont à ma connaissance jamais tenté d’influer sur des décisions techniques. Ceci s’explique en partie par la finalité de cette intervention : le Homeland a initié le projet en indiquant dès le départ qu’il souhaitait qu’un écosystème industriel se forme autour du projet pour assurer sa pérennité et son financement. La part relative ainsi que le montant absolu donné par le Homeland baisse ainsi régulièrement. Ce n’est que mon avis mais ce mode de financement et de développement me semble particulièrement intelligent.</p>
<p><strong>Question :</strong> <em>Enfin, toi qui à la fois est un orateur régulier aux RMLL mais aussi au SSTIC ou à CanSecWest par exemple : comment pourrais tu comparer ces différentes conférences sur les sujets de sécurité (les RMLL à la différence des 2 autres est généraliste) : apports sécurité de la conférence, échanges avec les autres intervenants et le public, relations qui en découlent à posteriori, ambiance etc ?</em></p>
<p><strong>Eric Leblond :</strong> Pour moi, l’une des spécificités du track sécurité des RMLL est de ne convier quasi exclusivement que des développeurs de solutions, libres de surcroît, et non d’attaques ou d’exploits. Cet environnement me convient parfaitement puisqu’il correspond à mon expérience et à mes réalisations. Au niveau de l’apport en sécurité, il découle un aspect plus défensif des RMLLs par rapport aux autres conférences souvent plus axées sur l’offensif et le reverse.</p>
<p>Les RMLL sont un événement généraliste sur le Logiciel Libre et le public comporte donc des non spécialistes. Ce côté généraliste se ressent particulièrement lors des échanges hors thème (le public du thème sécurité est généralement assez spécialisé). En étant sur un stand l’an dernier, j’ai eu des échanges très variés allant d’un discours éducatif à une discussion entre ’experts’ pour envisager une future collaboration entre projets. Celle-ci porte ses frais puisque Henri Doreau (ndr : contributeur Nmap et OpenVAS, orateur depuis 2 ans aux RMLL) est en train d’encadrer un Google Summer of Code dont une des tâches est de développer dans nmap l’attaque que je viens de présenter à SSTIC et qui était encore privée à l’époque des dernières RMLL.</p>
<p>
<em>Entretiens de Werner Koch et d'Eric Leblond réalisées par email en Juin 2012 par Christophe Brocas, co-responsable du thème Sécurité des RMLL 2012.</em>
</p></div><div><a href="https://linuxfr.org/news/programme-theme-securite-rmll-2012-2-entretiens-avec-werner-koch-et-eric-leblond.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/94548/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/programme-theme-securite-rmll-2012-2-entretiens-avec-werner-koch-et-eric-leblond#comments">ouvrir dans le navigateur</a>
</p>
christophe brocasbaud123claudexXavier Teyssierhttps://linuxfr.org/nodes/94548/comments.atomtag:linuxfr.org,2005:News/283032011-06-17T11:28:25+02:002021-07-11T19:08:55+02:00RMLL 2011 — programme du thème sécurité & entretiensLicence CC By‑SA http://creativecommons.org/licenses/by-sa/3.0/deed.fr<div><p>Comme chaque année, les <em>Rencontres Mondiales du Logiciel Libre</em> proposent conférences, ateliers, tables rondes ou spectacles à des milliers de participants.</p>
<p>Un thème « <a href="http://2011.rmll.info/-Securite-">sécurité</a> » y figure depuis le début. Cette année, nous avons souhaité promouvoir les thématiques suivantes :</p>
<ul>
<li>l’accès au système d’information ;</li>
<li>les vulnérabilités et les intrusions ;</li>
<li>la gestion d’identités.</li>
</ul>
</div><ul><li>lien nᵒ 1 : <a title="http://2011.rmll.info/" hreflang="fr" href="https://linuxfr.org/redirect/72389">RMLL 2011</a></li><li>lien nᵒ 2 : <a title="http://2011.rmll.info/-Securite-" hreflang="fr" href="https://linuxfr.org/redirect/72390">Le thème Sécurité</a></li><li>lien nᵒ 3 : <a title="http://2011.rmll.info/spip.php?page=rmll_progall&lang=fr&t=19" hreflang="fr" href="https://linuxfr.org/redirect/72391">Le programme du thème sécurité</a></li><li>lien nᵒ 4 : <a title="http://2011.rmll.info/Entretien-avec-Ludovic-Poitou-ForgeRock-conference-OpenAM" hreflang="fr" href="https://linuxfr.org/redirect/72392">Entretien avec Ludovic Poitou</a></li><li>lien nᵒ 5 : <a title="http://2011.rmll.info/Entretien-avec-Eric-Filiol-conference-Librairie-Perseus" hreflang="fr" href="https://linuxfr.org/redirect/72393">Entretien avec Éric Filiol</a></li></ul><div><h2 id="toc-programme">Programme</h2>
<h3 id="toc-lundi-11-juillet">Lundi 11 juillet</h3>
<ul>
<li>
<a href="http://2011.rmll.info/spip.php?article200&lang=fr">Bibliothèque Perseus</a>, par Éric Filiol </li>
<li>
<a href="http://2011.rmll.info/spip.php?article95&lang=fr">Certificats OpenSSH : gérez les identités dans l’espace et dans le temps</a>, par Kevin DENIS </li>
<li>
<a href="http://2011.rmll.info/spip.php?article91&lang=fr">Passerelle SSHgate : sécurisez l’administration de vos serveurs</a>, par Patrick Guiran </li>
<li>
<a href="http://2011.rmll.info/spip.php?article97&lang=fr">Kerberos</a>, par Nicolas Grenèche</li>
</ul>
<h3 id="toc-mardi-12-juillet-nb-aprèsmidi-en-anglais">Mardi 12 juillet (<em>N.B.</em> après‐midi en anglais)</h3>
<ul>
<li>
<a href="http://2011.rmll.info/spip.php?article98&lang=fr">Introduction à la cryptographie</a>, par Xavier Belanger (matin)</li>
<li>
<a href="http://2011.rmll.info/spip.php?article87&lang=fr">syslog-ng : corrélation de logs et au-delà</a>, par Marton Illes (après‐midi)</li>
<li>
<a href="http://2011.rmll.info/spip.php?article282&lang=fr">Suricata : repensez les IDS / IPS</a>, par Éric Leblond </li>
<li>
<a href="http://2011.rmll.info/spip.php?article89&lang=fr">Gestion des vulnérabilités avec OpenVAS 4</a>, par Henri Doreau</li>
</ul>
<h3 id="toc-mercredi-13-juillet">Mercredi 13 juillet</h3>
<ul>
<li>
<a href="http://2011.rmll.info/spip.php?article99&lang=fr">Open-UDC : implémentation et usage</a>, par Glenn Rolland, Jean‐Jacques Brucker, Stéphane Laborde (matin)</li>
<li>
<a href="http://2011.rmll.info/spip.php?article92&lang=fr">CAS, OpenID, Shibboleth, SAML : concepts, différences et exemples</a>, par Clément Oudot (après‐midi)</li>
<li>
<a href="http://2011.rmll.info/spip.php?article88&lang=fr">Sécurité des applications Web avec OpenAM</a>, par Ludovic Poitou</li>
<li>
<a href="http://2011.rmll.info/spip.php?article217&lang=fr">Perspectives de la gestion d’identité par les technologies Web</a>, par Mikaël Ates, Benjamin Dauvergne</li>
<li>
<a href="http://2011.rmll.info/spip.php?article94&lang=fr">État des lieux des systèmes de protection contre les <em>buffer overflows</em> sous Linux</a>, par Paul Rascagnères</li>
<li>
<a href="http://2011.rmll.info/spip.php?article90&lang=fr">Méthode de propagation des <em>malwares</em> dans le logiciel libre</a>, par Dominique Bleus</li>
</ul>
<p>À ces conférences, nous avons ajouté <strong>deux entretiens</strong> avec deux des conférenciers :</p>
<ul>
<li>Ludovic Poitou, spécialiste de la gestion d’identités et responsable produit chez ForgeRock ;</li>
<li>Éric Filiol, chercheur en cryptologie et virologie.</li>
</ul>
<p>Rendez‐vous à Strasbourg… :)</p>
</div><div><a href="https://linuxfr.org/news/rmll-2011-programme-du-theme-securite-entretiens.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/86486/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/rmll-2011-programme-du-theme-securite-entretiens#comments">ouvrir dans le navigateur</a>
</p>
christophe brocashttps://linuxfr.org/nodes/86486/comments.atomtag:linuxfr.org,2005:News/267052010-04-07T20:31:02+02:002010-04-07T20:31:02+02:00Qubes : environnement de travail Xen sécurisé<div>InvisibleThings et plus précisément Joanna Rutkowska, chercheuse polonaise en sécurité, vient d'annoncer Qubes, un environnement Xen de travail sécurisé. J. Rutkowska a publié de nombreuses attaques (avec leur implémentation) sur Xen, la virtualisation matérielle ou plus récemment TrueCrypt.
<br />
<br />
L'objectif du projet est de fournir un environnement sécurisé par isolation (une VM pour le travail, une pour le surf, une pour le surf sécurisé etc) tout en fournissant les fonctionnalités nécessaires à sa réelle exploitation au quotidien.</div><ul><li>lien nᵒ 1 : <a title="http://qubes-os.org/" hreflang="en" href="https://linuxfr.org/redirect/66452">Qubes : le site</a></li><li>lien nᵒ 2 : <a title="http://qubes-os.org/files/doc/arch-spec-0.3.pdf" hreflang="en" href="https://linuxfr.org/redirect/66453">Qubes : architecture détaillée</a></li><li>lien nᵒ 3 : <a title="http://theinvisiblethings.blogspot.com/" hreflang="en" href="https://linuxfr.org/redirect/66454">Blog de Johanna Rutkowska avec ses publications</a></li></ul><div>La mise en oeuvre de la sécurité par isolation s'accompagne des concepts suivants afin de garantir utilisabilité et sécurité :<ul><li> Isolation dans trois VM dédiées et non privilégiées des fonctions de stockage, de réseau et de GUI/administration de la solution ;
<br />
</li><li> Partage en lecture seule entre toutes les VM du système de fichiers root (/boot, /usr et /bin) ;
<br />
</li><li> Mécanisme de partage de fichiers sécurisé ;
<br />
</li><li> Mécanisme de copier/coller inter VM sécurisé. Toutes les opérations sont déclenchées depuis Dom0 par l'utilisateur.
<br />
</li></ul>
<br />
<br />
Le document d'architecture est très détaillé et est vraiment centré sur la sécurité de la solution.
<br />
<br />
Cette initiative, menée par des chercheurs indépendants et plutôt pointus (euphémisme !), est vraiment à tester car il s'agit d'une implémentation (et non une preuve de concept) entièrement centrée sur la sécurité et son utilisabilité.</div><div><a href="https://linuxfr.org/news/qubes-environnement-de-travail-xen-securise.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/25698/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/news/qubes-environnement-de-travail-xen-securise#comments">ouvrir dans le navigateur</a>
</p>
christophe brocashttps://linuxfr.org/nodes/25698/comments.atom