Juillet 2004, sur OS News, le commentaire suivant est publié :
"Je suppose que les fondations du logiciel libre vont se mettre à employer des gens à partir de maintenant. Ce sont ces mêmes méga-corporations diaboliques qui emploient des centaines de milliers de gens et font marcher l'économie mondiale. Rendez-les "plus petites, plus faibles et plus facile à tenir en respect" et faites passer le taux de chômage à deux chiffres, sans parler de la réduction du niveau de vie. Je suggère de voter NON à la Démocratie vue par RMS."
David Adams a alors pris sa plume et son cerveau pour rédiger un document intéressant sur l'économie et l'open source : Free Can Mean Big Money: The Open Source Economy.
Questionnaire de la CNIL sur la carte bancaire et Internet
« A l'occasion de la 6e édition de la fête de l'internet, la CNIL lance un appel à contributions dans le cadre de sa réflexion sur la conservation et l'utilisation du numéro de carte bancaire dans le secteur de la vente à distance »
Il y a un petit formulaire à remplir, ça prend trois minutes, pas plus.
Il y a un petit formulaire à remplir, ça prend trois minutes, pas plus.
MISC 6 : (in)sécurité du wireless
Je viens de le recevoir :)
Cette fois, nous avons opté pour un dossier sur les réseaux wireless. Comme cette technologie est encore peu répandue, nous avons surtout insisté sur sa présentation.
Vous y retrouverez également toutes les rubriques habituelles (cryptographie, virus, science, système, réseau ...)
Cette fois, nous avons opté pour un dossier sur les réseaux wireless. Comme cette technologie est encore peu répandue, nous avons surtout insisté sur sa présentation.
Vous y retrouverez également toutes les rubriques habituelles (cryptographie, virus, science, système, réseau ...)
HS LMF 12 : Le firewall, votre meilleur ennemi
La sortie d'un nouveau hors-série de Linux Magazine, le n°12, consacré aux firewalls. Ce premier volet présente ce qu'est le filtrage, les mécanismes internes de Netfilter, pourquoi firewall et application web ne font pas bon ménage, comment gérer des logs hétérogènes, et enfin la pénétration de réseaux à l'aide de backdoors réellement furtives.
Il sea suivi en Janvier d'un second volet détaillant différents types de firewalls (organisation réseau, FW matériels, FW personnels, FW bridges), comment déterminer et contrôler les règles d'un FW, voire les contourner.
Il sea suivi en Janvier d'un second volet détaillant différents types de firewalls (organisation réseau, FW matériels, FW personnels, FW bridges), comment déterminer et contrôler les règles d'un FW, voire les contourner.
MISC 4 : Internet, un chateau construit sur du sable ?
MISC, le magazine de la sécurité informatique, est sorti. Un peu en retard, certes, mais avec une nouvelle PAO tout en conservant le même contenu : virus, droit (un scan de port est-il légal ?), programmation, réseau, etc.
Le dossier est consacré aux protocoles réseau, et aux problèmes liés à leur structure même. En particulier, nous étudions les cas de DHCP et de DNS. Cependant, il existe aussi des attaques plus générales : l'homme du milieu et les dénis de services.
Le dossier est consacré aux protocoles réseau, et aux problèmes liés à leur structure même. En particulier, nous étudions les cas de DHCP et de DNS. Cependant, il existe aussi des attaques plus générales : l'homme du milieu et les dénis de services.
MISC 3
MISC est une revue consacrée à la sécurité
informatique, pour tous les systèmes. Dans ce numéro, vous
trouverez :
- Champ libre : cross site scripting et protocoles textuels, Chernobyl, le partage de secret, la guerre de l'information.
- Dossier : la détection d'intrusion
- principes algorithmiques
- problèmes des IDS actuels/li>
- contourner les IDS
- Prelude-IDS : un IDS hybride open-source
- Programmation : les fonctions strn*
- Système : classes d'authentification physique, sécuriser Irix
- Réseau : jouer avec le protocole ARP, protection de l'infrastructure en réseau IP (protocoles de routage et MPLS)
- Science : PGP, comment éviter les mauvaises surprises ?
Enfin, nous avons rencontré quelques problèmes de PAO dans ce numéro, veuillez nous excuser.
kitetoa condamné
Après avoir montré l'existence d'une faille de sécurité sur le site de tati.fr, kitetoa se voit poursuivi en justice. Bilan, le TGI de paris condamne avec sursis kitetoa à payer 1000 pour fraude informatique.
Moralité : si vous découvrez une faille, gardez-vous bien de faire quoi que ce soit. Kitetoa prévient toujours les admins du serveur avant de publier quoi que ce soit sur leur site.
Multi-systems & Internet Security Cookbook (MISC)
J'ai le plaisir de vous annoncer la sortie de MISC, revue consacrée à la sécurité informatique. Suite au succès du HS8 de LinuxMag, nous avons repris la même formule : des articles écrits par des experts dont la sécurité est le métier.
Vous trouverez au menu un gros dossier sur le web, de la programmation, du réseau, des sciences, du virus, du pur zipiz, ...
A cette occasion, je remets sur ma page des articles du hors-série en ligne (ça devrait être fait dans la journée).
Vous trouverez au menu un gros dossier sur le web, de la programmation, du réseau, des sciences, du virus, du pur zipiz, ...
A cette occasion, je remets sur ma page des articles du hors-série en ligne (ça devrait être fait dans la journée).
Quel est le point commun entre HackerZ Voice et le HS8 de LinuxMag ?
Réponse : la page 14 !
Hackerz Voice (HZV pour les intimes ... il y en a ?) sort son numéro 6 : ce journal (et ça me fait mal d'employer ce mot) ne mérite pratiquement aucun commentaire vu le niveau de son contenu.
Pratiquement ? Oui, pratiquement !
Eric Detoisien a écrit un article intitulé "Les attaques externes" pour le HS8 de Linux Magazine sur la sécurité informatique. Si vous jetez un coup d'oeil dans HZV, vous trouverez en page 14 un article de XstaZ intitulé "La bible des attaques réseau".
Et alors ? ...
Bref, ces gens sont de vrais pirates :(
Hackerz Voice (HZV pour les intimes ... il y en a ?) sort son numéro 6 : ce journal (et ça me fait mal d'employer ce mot) ne mérite pratiquement aucun commentaire vu le niveau de son contenu.
Pratiquement ? Oui, pratiquement !
Eric Detoisien a écrit un article intitulé "Les attaques externes" pour le HS8 de Linux Magazine sur la sécurité informatique. Si vous jetez un coup d'oeil dans HZV, vous trouverez en page 14 un article de XstaZ intitulé "La bible des attaques réseau".
Et alors ? ...
Bref, ces gens sont de vrais pirates :(
Un nombre premier exécutable ... illégal ?
DeCSS refait parler de lui ...
Il y a qq temps, Phil Carmody avait réussit à convertir le code de DeCSS en un nombre premier (nombre divisible que par 1 et lui-même).
Il revient, toujours plus fort, avec un nombre premier exécutable en tentant de répondre à la passionnante question : est-ce tous les programmes sont <<exprimables>> sous forme d'un nombre premier exécutable ?
A titre d'exemple scientifique, il travaille sur le nombre premier qui représente DeCSS ... mais que va dire la MPAA ?
Il y a qq temps, Phil Carmody avait réussit à convertir le code de DeCSS en un nombre premier (nombre divisible que par 1 et lui-même).
Il revient, toujours plus fort, avec un nombre premier exécutable en tentant de répondre à la passionnante question : est-ce tous les programmes sont <<exprimables>> sous forme d'un nombre premier exécutable ?
A titre d'exemple scientifique, il travaille sur le nombre premier qui représente DeCSS ... mais que va dire la MPAA ?
Hors-série sécurité en avance
Il est en avance d'un mois et demi :)
Le hors-série sur la sécurité de LinuxMag est dans les kiosques.
Le sommaire :
Introduction :
- Introduction à la cryptographie
- Sécuriser un réseau hétérogène avec des outils libres
Sécurité des données :
- Virus : nous sommes concernés !
- Root-kit et intégrité
- Sécuriser ses connexions avec ssh
Sécurité des serveurs :
- Les attaques externes
- Le filtrage de paquets sous Linux
- Tests d'intrusion
- Détection et tolérance d'intrusions
Fiches techniques
- postfix
- bind
- proFTPD
- Apache
N'hésitez pas à nous envoyer vos commentaires, tant sur la forme que le fond.
Le hors-série sur la sécurité de LinuxMag est dans les kiosques.
Le sommaire :
Introduction :
- Introduction à la cryptographie
- Sécuriser un réseau hétérogène avec des outils libres
Sécurité des données :
- Virus : nous sommes concernés !
- Root-kit et intégrité
- Sécuriser ses connexions avec ssh
Sécurité des serveurs :
- Les attaques externes
- Le filtrage de paquets sous Linux
- Tests d'intrusion
- Détection et tolérance d'intrusions
Fiches techniques
- postfix
- bind
- proFTPD
- Apache
N'hésitez pas à nous envoyer vos commentaires, tant sur la forme que le fond.
"Y a-t-il un pirate en F1 ?"
«Bourrées d'informatique, les voitures peuvent être la cible de manipulation extérieures.
A une époque où les hackers, comme on appelle les pirates de l'informatique, s'introduisent dans les ordinateurs du pentagone ou menacent de piller d'un simple clic de souris les plus grandes banques, la libéralisation de l'électronique récemment intervenue pour les F1 - et certaines pannes bizarres - peut faire craindre qu'elles soient prises pour cible»
Voici donc un article passionnant à la fin de l'Equipe. On y apprend entre autre que certains évoques un complot pour clouer les Mac Laren sur place sur la grille de départ.
Beaucoup plus amusant, deux petites anecdotes issues de l'article :
1. Une classe S fut inopérente à de nombreuses reprises avant que Mercedes ne se rende compte que ce phénomène était causé par le stationnement du véhicule le long d'une ligne de TGV.
2. Sur l'ile de Ré, le phare des baleines bloque la condamnation électromagnétique des portes de véhicules (en position ouverte pour les voitures haut-de-gamme, et fermées pour les bas-de-gamme) à cause des ondes émises par un système de navigation.
Bref, ils sont partout ...
A une époque où les hackers, comme on appelle les pirates de l'informatique, s'introduisent dans les ordinateurs du pentagone ou menacent de piller d'un simple clic de souris les plus grandes banques, la libéralisation de l'électronique récemment intervenue pour les F1 - et certaines pannes bizarres - peut faire craindre qu'elles soient prises pour cible»
Voici donc un article passionnant à la fin de l'Equipe. On y apprend entre autre que certains évoques un complot pour clouer les Mac Laren sur place sur la grille de départ.
Beaucoup plus amusant, deux petites anecdotes issues de l'article :
1. Une classe S fut inopérente à de nombreuses reprises avant que Mercedes ne se rende compte que ce phénomène était causé par le stationnement du véhicule le long d'une ligne de TGV.
2. Sur l'ile de Ré, le phare des baleines bloque la condamnation électromagnétique des portes de véhicules (en position ouverte pour les voitures haut-de-gamme, et fermées pour les bas-de-gamme) à cause des ondes émises par un système de navigation.
Bref, ils sont partout ...
rapport sur la sécurité informatique
Un "web agency" vient de sortir un rapport plutôt intéressant que pas mal de personnes qui affirment que "Internet est sûr" devraient lire. Ce n'est pas technique et tout le monde devrait comprendre (même le directeur marketing ;-)
Voici les points testés :
1. Utilisation de SSL
2. Niveau de cryptographie : taille de la clé
3. Date des certificats
4. Informations sur le cryptage
5. Début du cryptage
6. Vérification de la cryptographie
Je cite un extrait de la conclusion :
« Ces résultats permettent de souligner que la majorité des sites de e-commerce, de banque et de bourse français n'intègrent pas la confiance dans leur stratégie Internet. Ils négligent les attentes des internautes en matière de sécurité et de protection de leur vie privée.
Cette négligence s'exprime :
- dans des choix techniques laxistes en matière de sécurité (cryptographie à 40 bits plutôt qu'à 128, cryptage des informations de carte bancaire au détriment des autres informations personnelles) ;
- dans l'absence de pédagogie qu'ils mettent en place pour compenser l'inquiétude des internautes liées à Internet, ;
- dans un design qui déroute l'internaute et l'empêche de vérifier facilement la sécurité du site.
Les sites des banques, qui pourtant devraient montrer l'exemple dans ce domaine, font preuve d'un laxisme paradoxal.»
A lire avant de faire des achats en ligne ...
Voici les points testés :
1. Utilisation de SSL
2. Niveau de cryptographie : taille de la clé
3. Date des certificats
4. Informations sur le cryptage
5. Début du cryptage
6. Vérification de la cryptographie
Je cite un extrait de la conclusion :
« Ces résultats permettent de souligner que la majorité des sites de e-commerce, de banque et de bourse français n'intègrent pas la confiance dans leur stratégie Internet. Ils négligent les attentes des internautes en matière de sécurité et de protection de leur vie privée.
Cette négligence s'exprime :
- dans des choix techniques laxistes en matière de sécurité (cryptographie à 40 bits plutôt qu'à 128, cryptage des informations de carte bancaire au détriment des autres informations personnelles) ;
- dans l'absence de pédagogie qu'ils mettent en place pour compenser l'inquiétude des internautes liées à Internet, ;
- dans un design qui déroute l'internaute et l'empêche de vérifier facilement la sécurité du site.
Les sites des banques, qui pourtant devraient montrer l'exemple dans ce domaine, font preuve d'un laxisme paradoxal.»
A lire avant de faire des achats en ligne ...
Siemens et le CCC
Le CCC (Chaos Computer Club - groupe de hackers allemand) vient de remettre à Siemens le "Chaos CeBIT Award 2001" à Hanovre pour son logiciel de filtrage des contenus internet baptisé Smartfilter.
Je cite : « Monsieur Siemens, votre filtre pue ! »
Quand la technique nous aide à "bien penser" ... affligeant :(
Je cite : « Monsieur Siemens, votre filtre pue ! »
Quand la technique nous aide à "bien penser" ... affligeant :(
ShareSniffer - Hacking for Dummies
Une startup basée à Nashville propose une solution originale en remplacement de Napster : ShareSniffer
NetBios facilite le partage de fichiers et d'imprimantes sous Windows, mais il est assez facile, par inadvertance, de rendre un disque dur accessible à l'univers entier. De plus, si l'utilisateur n'a pas mis de mot de passe, ce disque est accessible à toute personne connaissant simplement l'IP de la machine.
ShareSniffer recherche dans les newsgroups de telles IP. Les concepteurs prétendent que si des personnes ne laissent aucune protection sur leurs données, c'est volontairement ... et que donc il est normal d'en favoriser l'accès à tout l'Internet.
Comme ça n'intéresse personne, je donne mon avis : je trouve ceci déplorable ! Heureusement, le logiciel n'est pas opensource et, de plus, est payant (de 5$ à 100$).
Malheureusement, ça n'est pas encore assez cher pour le petit ZipiZ qui voudra faire le guignol :(
NetBios facilite le partage de fichiers et d'imprimantes sous Windows, mais il est assez facile, par inadvertance, de rendre un disque dur accessible à l'univers entier. De plus, si l'utilisateur n'a pas mis de mot de passe, ce disque est accessible à toute personne connaissant simplement l'IP de la machine.
ShareSniffer recherche dans les newsgroups de telles IP. Les concepteurs prétendent que si des personnes ne laissent aucune protection sur leurs données, c'est volontairement ... et que donc il est normal d'en favoriser l'accès à tout l'Internet.
Comme ça n'intéresse personne, je donne mon avis : je trouve ceci déplorable ! Heureusement, le logiciel n'est pas opensource et, de plus, est payant (de 5$ à 100$).
Malheureusement, ça n'est pas encore assez cher pour le petit ZipiZ qui voudra faire le guignol :(