D'après ce post, le trojan injecté dans l'Iso modifiée serait "tsunami", dont l'une des fonctions est de faire rejoindre un botnet, et pourrait servir à récupérer des données ou mots de passe.
La base du forum LM aurait également été piratée et circulerait sur le darknet. Des serveurs miroirs auraient également diffusé la mauvaise Iso.
Après effectivement, MD5 + Wordpress non patché, pour les mainteneurs d'une distro se voulant diffusée auprès du plus grand nombre, ça fait mal…
Excellente nouvelle et chapeau aux organisateurs et structures pour cet effort !
Même si la période est effectivement tragique, ne pas continuer de vivre serait une défaite. Et en ces moments d'état d'urgence parlementaire, j'ai encore plus envie que d'habitude d'assister aux conférences sur la vie privée, la protection des Libertés etc…
Vu le timing très réduit, n'hésitez pas à demander si vous avez besoin d'aide pour la mise en place / la communication :)
J'ai eu la même réaction : envie de participer mais un doute sur la réalité de cette cagnotte virtuelle - tellement facile de créer une telle page et de récupérer l'argent en jouant sur un sujet "populaire".
Il y a ces quelques échanges sur Twitter qui tendent à montrer que l'équipe de Payname a vérifié auprès du syndicat de Radio France que c'est bien un lien officiel :
Donc ça a l'air bon, mais l'interrogation est légitime. Payname est apparemment plutôt destiné à des petites communautés se connaissant (familles, amis, groupes) pour faciliter (comme beaucoup d'autres start-ups dans ce secteur) les petits paiements collectifs sans frais abusifs, d'où le choix sans doute de CGT Radio France, mais l'absence totale de profil / page membre / lien vers le créateur sur leur site laisse un peu démuni effectivement…
Je n'ai effectivement pas commenté le point clivant de cette nouvelle, à savoir le fait que cette signature et la validation seront obligatoires et en théorie impossibles à bypasser, car j'attends - au-delà d'un post de blog - de connaître la décision finale de Mozilla et la manière dont ce sera réellement implanté.
Je soulignais déjà qu'ils passaient d'un extrême (laxisme total, même après des retours précis sur les abus de quelques addons) à l'autre (verrouillage complet et contrôle décisionnel).
En fait je suis partagé et ma première réaction est la même que toi : bien sur le principe de vérifier les extensions, pas d'accord avec le fait de rendre l'option non désactivable hors version nightly, effectivement cela me fait penser à la "censure" préalable d'Apple que je critique vigoureusement (qu'elle s'applique pour des raisons techniques, de licence ou de morale pudibonde).
Après je me dis que, notamment sur Windows, ça ne doit pas être simple de trouver une solution qui ne soit pas trop aisément contournable par les malwares ou M. Michu en cliquant juste sur "oui, I don't care, installer l'extension".
De là à empêcher tout le monde de le faire et de priver l'utilisateur d'une certaine liberté (autre que les 4 fondamentales du LL), oui c'est ennuyeux.
Déjà, si Mozilla veut vraiment protéger l'utilisateur de base, la 1ère chose, avant même de rendre forcée une validation et signature, c'est juste tout simplement de supprimer de leur site d'extensions celles posant souci : ça évitera à la grande majorité des internautes de les installer, la plupart allant principalement là-bas pour en trouver.
Et force est de constater que, jusqu'à aujourd'hui, ils n'en avaient rien à faire, c'était ce que je voulais souligner dans mon commentaire. Donc tant mieux qu'ils changent d'avis sur une meilleure relecture (même si pour le moment celles problématiques sont encore présentes en ligne), mais oui à la possibilité d'une option laissant le choix d'installer un addon de source tierce si c'est fait volontairement (et non de manière automatique cachée en même temps qu'un autre programme).
Et il faut avouer qu'un logiciel libre qui d'un côté entend protéger ses utilisateurs et, de l'autre, laisse des développeurs d'extensions malintentionnés leur pourrir la vie et violer leur vie privée, ça n'est pas vraiment ce qu'il y a de mieux pour le commun des mortels, qui ne s'attend probablement à se faire enfler ainsi. Que Mozilla décide enfin d'écarter les raclures de bidet de son produit, ça me semble être une excellente chose, et une raison supplémentaire de conseiller Firefox dans mon entourage, parce que je n'aurai ainsi plus à nettoyer tout le bordel des addons véreux.
Tout à fait d'accord, et même pas besoin d'aller sur un site tiers ou d'installer un logiciel, la page officielle des addons Mozilla suffit hélas pour se faire infecter.
Comme sur Chrome (je dois en "réparer" de plus en plus souvent), certaines extensions Firefox très populaires ont été "rachetées" et servent à injecter des publicités ou des scripts malveillants de traçage : ex. Autocopy ou Quick Locale Switcher.
Début 2014, j'avais (comme bien d'autres) alerté Mozilla et entamé une discussion avec l'auteur du sujet de blog sur la future validation obligatoire, Jorge Villalobos : il m'avait répondu que les versions publiées avaient bien été vérifiées par Mozilla et n'enfreignaient aucune règle, malgré toutes les remontées négatives des utilisateurs, les problèmes posés pour la vie privée ne les dérangeaient apparemment pas…
Ils semblent avoir révisé leur opinion, tant mieux, à suivre tout de même, car avec ces adwares le navigateur peut devenir un cauchemar.
Un moyen de protection (incomplet car plus mis à jour) : Extension Defender.
Effectivement je n'ai pas été assez précis. En fait, ils ont modifié à trois reprises leur licence :
La première et la deuxième fois en introduisant ce concept boiteux de "double licence" selon l'utilisation : If you want to sell WPScan you can pay for a commercial license, otherwise you can use it under the GNU GPL.
Mais, de la même manière que cela a été fort justement noté ici, cette clause est de fait incompatible avec la GNU GPL, ce qu'on leur a fait remarquer.
Ils ont donc migré sur une licence propre qu'eux-même admettent ne plus être libre.
Quant au transfert de copyright et à l'autorisation préalable des contributeurs : l'un deux témoigne sur le blog de Delve Labs en disant que "non, il n'a pas été contacté au sujet de ce changement et n'a jamais donné son accord, il suggère un retour à la GPL".
Et j'ai aussi corrigé complètement le sujet identique posté sur Numérama, grâce justement aux infos données par les contributeurs ici-même, que je remercie :)
Il semblerait que ce soit effectivement ça : non un code malveillant inséré dans le projet upstream de OpenSSH, mais une version modifiée et patchée qui, si elle est installée, ouvre l'accès par cette porte…
_They are not talking about the official OpenSSH code.
To save everyone a bit of time (and hassle with a PDF), from the same document:
"It allows a public key to be embedded in the sshd binary and will then always grant a root login shell if presented with the proper key pair for that key. […] authorized_keys as a quick-and-easy method of persistence […] obviously isn't very stealthy […] The goal for this project was to provide the same level of persistence but embedded in the sshd binary itself (obviously, assuming root access, as before)"
In other works, no backdoor in sshd unless the system has already been rooted by other means and sshd replaced with a bugged binary. Boohoo._
Au temps pour moi. L'info sur cette possibilité n'en est pas moins inintéressante sur le principe.
Est-il possible de modifier le titre d'un journal après publication pour le rendre plus proche de la vérité (par un modérateur peut-etre) : Comment introduire une backdoor dans OpenSSH
Comme le souligne le commentaire précédent, le seul lien dont je dispose pour le moment (après une rapide recherche ce matin) est celui du pdf sur le site du Spiegel, partagé sur Twitter, et il est dans mon post initial.
N'ayant pas plus de données, c'est la raison pour laquelle le titre est une question et non une affirmation.
Peut-être, au vu des réponses apportées par ailleurs sur ce thread, s'agit-il plutôt d'une vulnérabilité potentielle que d'une porte dérobée, ou que celle-ci, si elle existe, n'est pas dans le programme d'origine tel que distribué par OpenSSH, mais dans un binaire que l'on essaie de faire installer par sa cible…
Auquel cas je me serais emballé un peu vite et aurais participé au FUD régulier dont je parlais justement en conclusion.
Oui, comme je l'ai dit, je ne possède pas le niveau technique pour comprendre le pdf, tout ce que j'ai vu passer, c'est le lien vers ce document et le commentaire repris par chaque relayeur sur le réseau social en copier-coller :
The #NSA's #OpenSSH backdoor: pubkey embedded in sshd binary allows root access.
ou
Report of an NSA Employee about a Backdoor in the OpenSSH Daemon (2012)
Ce qui m'a fait penser à une backdoor plus qu'à un binaire modifié et distribué par ailleurs dans un premier temps.
De plus, je l'ai précisé aussi, ce genre d'info alarmiste il en sort quasi-une par semaine (on a eu droit aussi à Debian infiltré il y a quelques temps…), sauf qu'un jour il est possible que l'une d'elle soit vraie, et dans ce cas il faut le savoir.
Donc le but de mon journal n'était pas de faire du clic ni du sensationnalisme (même si le titre peut effectivement le laisser penser), mais justement d'obtenir des éclairages tel que celui-ci :)
Toute la partie de la conférence sur la fibre et la manière dont elle est déployée en dépit du bon sens en France était extrêmement intéressante également.
On n'a pas vu le temps passer, et Adrienne Charmet a brillamment pris le relais de Jérémie Zimmermann aux côtés de Benjamin Bayart.
Ayant co-animé un stand cette année, j'attends avec impatience les vidéos des autres conférences pour les regarder, ainsi que celles de l'Ubuntu-Party.
La Fondation Gnome n'a peut-être pas choisi ce jour (11 novembre, en plus du symbole de la lutte pour la liberté ou du jour partiellement férié en Europe, donc plus propice à la mobilisation pour certains) totalement par hasard pour rendre le conflit public ;)
Rajouter toutes les fonctionnalités et options de configuration retirées à Gnome et Nautilus ?
Troll mis à part, sans un énorme bad-buzz mondial (guerre éclair de moins d'un jour quand même), sans doute Groupon n'aurait rien fait, apparemment cela fait des mois que Gnome leur demande justement et simplement d'utiliser un autre nom.
Tant mieux pour eux, campagne de dons rondement menée et qui servira, cette victoire doit aussi surtout montrer à d'autres rapaces éventuels la force de la communauté open-source, la capacité à se défendre, juridiquement et en terme de comm'.
1/ Gnome a protégé sa marque pour les usages suivants :
http://tsdr.uspto.gov/#caseNumber=76368848&caseType=SERIAL_NO&searchType=statusSearch
"Downloadable computer software tools and libraries used for the development of other software applications; downloadable computer software development tools; downloadable computer software for creating and managing a computer desktop; downloadable computer software for use as a graphical user interface; downloadable computer software for word processing, database management, and use as a spreadsheet ; Computer software development; computer software design; computer programming for others; technical consulting services in the field of computer software; licensing of intellectual property"
Après je ne suis pas juriste US en propriété intellectuelle pour savoir si les dépôts de Groupon empiètent sur ceux-ci.
2/ Post de Groupon justement, où ils admettent bien "communiquer avec la Fondation Gnome depuis des mois" et envisagent de chercher un autre nom si aucun accord n'est trouvé - effet bad buzz du jour sans doute…
https://engineering.groupon.com/2014/misc/gnome-foundation-and-groupon-product-names/
"There is some recent confusion around Groupon’s intended use of a product name that the Gnome Foundation believes infringes on their trademarks.
We love open source at Groupon. We have open sourced a number of projects on Groupon github. Our relationship with the open source community is more important to us than a product name. We’ve been communicating with the Gnome Foundation for months to try to come to a mutually satisfactory resolution, including alternative branding options, and we’re happy to continue those conversations. And if we can’t come up with a resolution, we’ll be glad to look for another name.
We will continue to have an open line of communication with the Gnome Foundation until this matter is resolved."
Gnome vient effectivement de mettre manuellement la page à jour, juste sous le bouton Paypal et le lien vers les autres moyens de paiement, ils ont déjà récolté 1/4 de la somme nécessaire en quelques heures :
So far, we have raised 21093.90 USD. We would like to thank our donors for their generous support.
OK merci, et il semble effectivement que, même en cas de victoire, Gnome n'aura droit à aucun "remboursement" (pas de "dépens" aux US). Don effectué pour ma part.
Ça va être intéressant, outre l'aspect juridique, de suivre un bad-buzz et une stratégie de communication au niveau mondial, Groupon étant implanté partout et Gnome soutenu de la même manière.
Effectivement, excellente initiative, merci, je vais regarder ça, je veux depuis quelques mois m'installer un petit serveur comme sauvegarde supplémentaire (j'ai déjà des comptes dans les nuages, dont un Owncloud via un fournisseur payant, mais Ubuntu One s'arrête) et surtout pour le plaisir de tester l'auto-hébergement.
Mais je n'y connais rien et, si la ligne de commande ne me fait pas peur, se lancer sans formation IRL (le cahier admin de Debian est très bien mais c'est comme pour R Statistique, seul je lâche assez vite malheureusement) est compliqué, surtout l'étape de sécurisation.
Yunohost fait partie des solutions que je comptais suivre attentivement, Host@home peut être une alternative. J'aurais une question : comptez-vous ajouter Seafile à la liste des services supportés SVP ? C'est moins complet qu'un Owncloud mais pour de la synchro pure de fichiers uniquement, semble plus performant : http://linuxfr.org/news/seafile-un-dropbox-like-libre-a-heberger-sort-en-version-3
Ça fonctionne bien avec Nginx + Postgresql (ou MariaDB), Python, c'est libre, existe sur Android, ce serait parfait de l'avoir également (en sus d'Owncloud déjà cité et Pydio). Pour le reste, tout semble déjà proposé.
Autre point, que couvre l'installation minimale de sécurité et quelles sont les autres étapes indispensables à finaliser (fail2ban & Co…) pour un utilisateur lambda non spécialiste ?
Il nie toute intervention de la NSA sur celle-ci (en même temps si c'était le cas il ne pourrait le dire publiquement) et sur OpenSSL en général (mais évidemment reconnaît qu'elle a pu être exploitée par l'agence), il assume son "erreur involontaire", et admet que vues les dernières révélations il est logique d'avoir des soupçons, même s'ils sont infondés dans ce cas précis selon lui.
Je ne vais pas ouvrir un journal juste pour ça, d'autant que l'info est connexe à celle-ci (Elie vient de poster au-dessus le même lien pendant que je rédigeais ma réponse), et que sans preuve formelle on est pour le moment plutôt dans le domaine du troll ultime que de la démonstration, mais cette accumulation de failles critiques peut rendre parano et ouvrir la porte à la théorie du complot.
En effet, outre Heartbleed (avec les polémiques sur sa découverte, la date de diffusion publique…) et les deux autres listées en fin de dépêche (Gnu TLS, Apple), celle plus ancienne touchant déjà OpenSSL sur les alertes Valgrind, voilà maintenant que ressort la rumeur du "contrôle" de Debian et autres distributions Linux par la NSA, conférence donnée par le fondateur de Wikileaks Julian Assange :
En l'état bien sûr, impossible d'affirmer quoi que ce soit, à moins que le Guardian ne publie prochainement un slide issu des documents sourcés par Snowden - là je devrais être bon question mots clés sensibles !
De plus, nul besoin d'une taupe gouvernementale pour introduire un bug, nulle nécessité non plus de croire que c'est forcément volontaire, au contraire.
Le code évoluant constamment, à tout moment il peut y avoir des régressions, la sécurité devenant de plus en plus vitale les programmes open-source sont régulièrement audités attentivement, d'où la découverte des failles majeures. Toujours est-il que cela fait beaucoup en peu de temps et que cela alimente les suspicions.
Mais espérons que cela fasse progresser la sécurisation globale des serveurs et outils informatiques, tout comme la prise de conscience des usagers et entreprises de veiller à leur intégrité (surveillance, mise à jour, sauvegardes).
Une explication potentielle lue sur Numérama et via cette discussion de la présence de cette fonctionnalité serait de permettre à Samsung de gérer son propre service de localisation et d'effacement à distance du mobile en cas de perte ou vol.
Mais attendons effectivement leurs explications qui ne devraient pas tarder, et même si c'est le cas rien n'empêche d'activer d'autres usages moins justifiables…
Un OS libre tel que Firefox (ou le futur Ubuntu Touch) est en effet nécessaire mais non suffisant, il faudrait aussi pouvoir s'assurer que le matériel est clean et chiffrer tous ses échanges / communications / fichiers…
# PDF Mod
Posté par Xavier G. . En réponse au journal Abandonware, un orphelinat pour projets OSS abandonnés. Évalué à 2.
Excellente initiative ! Je viens de tester en proposant PDF Mod, un programme que j'espère voir repris un jour.
# Diaspora : financement participatif pour la migration de comptes
Posté par Xavier G. . En réponse au journal Diaspora: financement participatif pour la migration de comptes. Évalué à 2.
Merci d'avoir posté le journal - ça fait plusieurs jours que je procrastinais de faire le même appel…
Le financement semblait stagner un peu, là ça s'est de nouveau accéléré, c'est bien parti a priori !
# Précisions
Posté par Xavier G. . En réponse au journal Attention si vous avez téléchargé l'ISO Linux Mint 17.3 sur leur site depuis le 20-02 !. Évalué à 8.
D'après ce post, le trojan injecté dans l'Iso modifiée serait "tsunami", dont l'une des fonctions est de faire rejoindre un botnet, et pourrait servir à récupérer des données ou mots de passe.
La base du forum LM aurait également été piratée et circulerait sur le darknet. Des serveurs miroirs auraient également diffusé la mauvaise Iso.
Après effectivement, MD5 + Wordpress non patché, pour les mainteneurs d'une distro se voulant diffusée auprès du plus grand nombre, ça fait mal…
# Bazar du Libre
Posté par Xavier G. . En réponse au journal Bazar du Libre. Évalué à 4.
Excellente nouvelle et chapeau aux organisateurs et structures pour cet effort !
Même si la période est effectivement tragique, ne pas continuer de vivre serait une défaite. Et en ces moments d'état d'urgence parlementaire, j'ai encore plus envie que d'habitude d'assister aux conférences sur la vie privée, la protection des Libertés etc…
Vu le timing très réduit, n'hésitez pas à demander si vous avez besoin d'aide pour la mise en place / la communication :)
[^] # Re: L'étude en elle même
Posté par Xavier G. . En réponse au journal Encfs déclaré relativement peu sûr. Évalué à 2.
Apparemment, la mise à jour de EncFS en version 1.8 va corriger une partie des vulnérabilités identifiées par l'audit.
[^] # Re: Qui sont les bénéficiaires ?
Posté par Xavier G. . En réponse au journal Redevance Radio France. Évalué à 2.
J'ai eu la même réaction : envie de participer mais un doute sur la réalité de cette cagnotte virtuelle - tellement facile de créer une telle page et de récupérer l'argent en jouant sur un sujet "populaire".
Il y a ces quelques échanges sur Twitter qui tendent à montrer que l'équipe de Payname a vérifié auprès du syndicat de Radio France que c'est bien un lien officiel :
Discussion 1 - Discussion 2 - Discussion 3
Donc ça a l'air bon, mais l'interrogation est légitime. Payname est apparemment plutôt destiné à des petites communautés se connaissant (familles, amis, groupes) pour faciliter (comme beaucoup d'autres start-ups dans ce secteur) les petits paiements collectifs sans frais abusifs, d'où le choix sans doute de CGT Radio France, mais l'absence totale de profil / page membre / lien vers le créateur sur leur site laisse un peu démuni effectivement…
[^] # Re: Enfin ! \o/
Posté par Xavier G. . En réponse au journal Mozilla est-il en train de devenir un Google junior?. Évalué à 2.
Je n'ai effectivement pas commenté le point clivant de cette nouvelle, à savoir le fait que cette signature et la validation seront obligatoires et en théorie impossibles à bypasser, car j'attends - au-delà d'un post de blog - de connaître la décision finale de Mozilla et la manière dont ce sera réellement implanté.
Je soulignais déjà qu'ils passaient d'un extrême (laxisme total, même après des retours précis sur les abus de quelques addons) à l'autre (verrouillage complet et contrôle décisionnel).
En fait je suis partagé et ma première réaction est la même que toi : bien sur le principe de vérifier les extensions, pas d'accord avec le fait de rendre l'option non désactivable hors version nightly, effectivement cela me fait penser à la "censure" préalable d'Apple que je critique vigoureusement (qu'elle s'applique pour des raisons techniques, de licence ou de morale pudibonde).
Après je me dis que, notamment sur Windows, ça ne doit pas être simple de trouver une solution qui ne soit pas trop aisément contournable par les malwares ou M. Michu en cliquant juste sur "oui, I don't care, installer l'extension".
De là à empêcher tout le monde de le faire et de priver l'utilisateur d'une certaine liberté (autre que les 4 fondamentales du LL), oui c'est ennuyeux.
Déjà, si Mozilla veut vraiment protéger l'utilisateur de base, la 1ère chose, avant même de rendre forcée une validation et signature, c'est juste tout simplement de supprimer de leur site d'extensions celles posant souci : ça évitera à la grande majorité des internautes de les installer, la plupart allant principalement là-bas pour en trouver.
Et force est de constater que, jusqu'à aujourd'hui, ils n'en avaient rien à faire, c'était ce que je voulais souligner dans mon commentaire. Donc tant mieux qu'ils changent d'avis sur une meilleure relecture (même si pour le moment celles problématiques sont encore présentes en ligne), mais oui à la possibilité d'une option laissant le choix d'installer un addon de source tierce si c'est fait volontairement (et non de manière automatique cachée en même temps qu'un autre programme).
[^] # Re: Enfin ! \o/
Posté par Xavier G. . En réponse au journal Mozilla est-il en train de devenir un Google junior?. Évalué à 2.
Tout à fait d'accord, et même pas besoin d'aller sur un site tiers ou d'installer un logiciel, la page officielle des addons Mozilla suffit hélas pour se faire infecter.
Comme sur Chrome (je dois en "réparer" de plus en plus souvent), certaines extensions Firefox très populaires ont été "rachetées" et servent à injecter des publicités ou des scripts malveillants de traçage : ex. Autocopy ou Quick Locale Switcher.
Début 2014, j'avais (comme bien d'autres) alerté Mozilla et entamé une discussion avec l'auteur du sujet de blog sur la future validation obligatoire, Jorge Villalobos : il m'avait répondu que les versions publiées avaient bien été vérifiées par Mozilla et n'enfreignaient aucune règle, malgré toutes les remontées négatives des utilisateurs, les problèmes posés pour la vie privée ne les dérangeaient apparemment pas…
Ils semblent avoir révisé leur opinion, tant mieux, à suivre tout de même, car avec ces adwares le navigateur peut devenir un cauchemar.
Un moyen de protection (incomplet car plus mis à jour) : Extension Defender.
[^] # Re: changement de licence
Posté par Xavier G. . En réponse au journal GNU GPL et commercialisation : mauvaise compréhension des licences, l'exemple WPScan. Évalué à 6.
Merci pour les commentaires.
Effectivement je n'ai pas été assez précis. En fait, ils ont modifié à trois reprises leur licence :
La première et la deuxième fois en introduisant ce concept boiteux de "double licence" selon l'utilisation : If you want to sell WPScan you can pay for a commercial license, otherwise you can use it under the GNU GPL.
Mais, de la même manière que cela a été fort justement noté ici, cette clause est de fait incompatible avec la GNU GPL, ce qu'on leur a fait remarquer.
Ils ont donc migré sur une licence propre qu'eux-même admettent ne plus être libre.
Quant au transfert de copyright et à l'autorisation préalable des contributeurs : l'un deux témoigne sur le blog de Delve Labs en disant que "non, il n'a pas été contacté au sujet de ce changement et n'a jamais donné son accord, il suggère un retour à la GPL".
[^] # Re: Correction
Posté par Xavier G. . En réponse au journal Une backdoor de la NSA dans OpenSSH ?. Évalué à 4.
Tout à fait, plus d'un même, ex. :
https://twitter.com/valeryan24/status/557092663191928832
https://twitter.com/ppsticino/status/557074726871265280
Et j'ai aussi corrigé complètement le sujet identique posté sur Numérama, grâce justement aux infos données par les contributeurs ici-même, que je remercie :)
[^] # Re: RAS
Posté par Xavier G. . En réponse au journal Une backdoor de la NSA dans OpenSSH ?. Évalué à 5.
Il semblerait que ce soit effectivement ça : non un code malveillant inséré dans le projet upstream de OpenSSH, mais une version modifiée et patchée qui, si elle est installée, ouvre l'accès par cette porte…
https://news.ycombinator.com/item?id=8905581
http://www.mail-archive.com/misc@openbsd.org/msg135510.html
_They are not talking about the official OpenSSH code.
To save everyone a bit of time (and hassle with a PDF), from the same document:
"It allows a public key to be embedded in the sshd binary and will then always grant a root login shell if presented with the proper key pair for that key. […] authorized_keys as a quick-and-easy method of persistence […] obviously isn't very stealthy […] The goal for this project was to provide the same level of persistence but embedded in the sshd binary itself (obviously, assuming root access, as before)"
In other works, no backdoor in sshd unless the system has already been rooted by other means and sshd replaced with a bugged binary. Boohoo._
Au temps pour moi. L'info sur cette possibilité n'en est pas moins inintéressante sur le principe.
Est-il possible de modifier le titre d'un journal après publication pour le rendre plus proche de la vérité (par un modérateur peut-etre) : Comment introduire une backdoor dans OpenSSH
[^] # Re: Avec le lien
Posté par Xavier G. . En réponse au journal Une backdoor de la NSA dans OpenSSH ?. Évalué à 4.
Comme le souligne le commentaire précédent, le seul lien dont je dispose pour le moment (après une rapide recherche ce matin) est celui du pdf sur le site du Spiegel, partagé sur Twitter, et il est dans mon post initial.
N'ayant pas plus de données, c'est la raison pour laquelle le titre est une question et non une affirmation.
Peut-être, au vu des réponses apportées par ailleurs sur ce thread, s'agit-il plutôt d'une vulnérabilité potentielle que d'une porte dérobée, ou que celle-ci, si elle existe, n'est pas dans le programme d'origine tel que distribué par OpenSSH, mais dans un binaire que l'on essaie de faire installer par sa cible…
Auquel cas je me serais emballé un peu vite et aurais participé au FUD régulier dont je parlais justement en conclusion.
[^] # Re: Titre accrocheur :-)
Posté par Xavier G. . En réponse au journal Une backdoor de la NSA dans OpenSSH ?. Évalué à 2.
Oui, comme je l'ai dit, je ne possède pas le niveau technique pour comprendre le pdf, tout ce que j'ai vu passer, c'est le lien vers ce document et le commentaire repris par chaque relayeur sur le réseau social en copier-coller :
The #NSA's #OpenSSH backdoor: pubkey embedded in sshd binary allows root access.
ou
Report of an NSA Employee about a Backdoor in the OpenSSH Daemon (2012)
Ce qui m'a fait penser à une backdoor plus qu'à un binaire modifié et distribué par ailleurs dans un premier temps.
De plus, je l'ai précisé aussi, ce genre d'info alarmiste il en sort quasi-une par semaine (on a eu droit aussi à Debian infiltré il y a quelques temps…), sauf qu'un jour il est possible que l'une d'elle soit vraie, et dans ce cas il faut le savoir.
Donc le but de mon journal n'était pas de faire du clic ni du sensationnalisme (même si le titre peut effectivement le laisser penser), mais justement d'obtenir des éclairages tel que celui-ci :)
[^] # Re: Remarquable
Posté par Xavier G. . En réponse au journal Capitole du Libre 2014 - Conférence de clôture. Évalué à 4.
Toute la partie de la conférence sur la fibre et la manière dont elle est déployée en dépit du bon sens en France était extrêmement intéressante également.
On n'a pas vu le temps passer, et Adrienne Charmet a brillamment pris le relais de Jérémie Zimmermann aux côtés de Benjamin Bayart.
Ayant co-animé un stand cette année, j'attends avec impatience les vidéos des autres conférences pour les regarder, ainsi que celles de l'Ubuntu-Party.
[^] # Re: Illuminati sionistes !
Posté par Xavier G. . En réponse au journal Gnome lance un financement et une action en Justice contre Groupon pour protéger sa marque !. Évalué à 1.
Je crois que le coup de pub recherché par Groupon cette semaine était plutôt celui-ci :
http://techcrunch.com/2014/11/10/groupon-getaways-travel-app
La Fondation Gnome n'a peut-être pas choisi ce jour (11 novembre, en plus du symbole de la lutte pour la liberté ou du jour partiellement férié en Europe, donc plus propice à la mobilisation pour certains) totalement par hasard pour rendre le conflit public ;)
[^] # Re: Ca a l'air bon.
Posté par Xavier G. . En réponse au journal Gnome lance un financement et une action en Justice contre Groupon pour protéger sa marque !. Évalué à 5.
Oui, confirmé par Gnome :
http://www.gnome.org/news/2014/11/groupon-has-agreed-to-change-its-product-name/
Une analyse très intéressante également d'un spécialiste américain de l'opensource et de la PI (notamment pour la GPL) :
http://ebb.org/bkuhn/blog/2014/11/11/groupon.html
[^] # Re: Groupon ferait un signe
Posté par Xavier G. . En réponse à la dépêche La marque Gnome convoitée par la société Groupon. Évalué à 10.
Rajouter toutes les fonctionnalités et options de configuration retirées à Gnome et Nautilus ?
Troll mis à part, sans un énorme bad-buzz mondial (guerre éclair de moins d'un jour quand même), sans doute Groupon n'aurait rien fait, apparemment cela fait des mois que Gnome leur demande justement et simplement d'utiliser un autre nom.
Tant mieux pour eux, campagne de dons rondement menée et qui servira, cette victoire doit aussi surtout montrer à d'autres rapaces éventuels la force de la communauté open-source, la capacité à se défendre, juridiquement et en terme de comm'.
[^] # Re: Que de naïveté
Posté par Xavier G. . En réponse au journal Gnome lance un financement et une action en Justice contre Groupon pour protéger sa marque !. Évalué à 6.
1/ Gnome a protégé sa marque pour les usages suivants :
http://tsdr.uspto.gov/#caseNumber=76368848&caseType=SERIAL_NO&searchType=statusSearch
"Downloadable computer software tools and libraries used for the development of other software applications; downloadable computer software development tools; downloadable computer software for creating and managing a computer desktop; downloadable computer software for use as a graphical user interface; downloadable computer software for word processing, database management, and use as a spreadsheet ; Computer software development; computer software design; computer programming for others; technical consulting services in the field of computer software; licensing of intellectual property"
Après je ne suis pas juriste US en propriété intellectuelle pour savoir si les dépôts de Groupon empiètent sur ceux-ci.
2/ Post de Groupon justement, où ils admettent bien "communiquer avec la Fondation Gnome depuis des mois" et envisagent de chercher un autre nom si aucun accord n'est trouvé - effet bad buzz du jour sans doute…
https://engineering.groupon.com/2014/misc/gnome-foundation-and-groupon-product-names/
"There is some recent confusion around Groupon’s intended use of a product name that the Gnome Foundation believes infringes on their trademarks.
We love open source at Groupon. We have open sourced a number of projects on Groupon github. Our relationship with the open source community is more important to us than a product name. We’ve been communicating with the Gnome Foundation for months to try to come to a mutually satisfactory resolution, including alternative branding options, and we’re happy to continue those conversations. And if we can’t come up with a resolution, we’ll be glad to look for another name.
We will continue to have an open line of communication with the Gnome Foundation until this matter is resolved."
[^] # Re: Progression
Posté par Xavier G. . En réponse au journal Gnome lance un financement et une action en Justice contre Groupon pour protéger sa marque !. Évalué à 3.
Gnome vient effectivement de mettre manuellement la page à jour, juste sous le bouton Paypal et le lien vers les autres moyens de paiement, ils ont déjà récolté 1/4 de la somme nécessaire en quelques heures :
[^] # Re: Fonds
Posté par Xavier G. . En réponse au journal Gnome lance un financement et une action en Justice contre Groupon pour protéger sa marque !. Évalué à 3.
OK merci, et il semble effectivement que, même en cas de victoire, Gnome n'aura droit à aucun "remboursement" (pas de "dépens" aux US). Don effectué pour ma part.
Ça va être intéressant, outre l'aspect juridique, de suivre un bad-buzz et une stratégie de communication au niveau mondial, Groupon étant implanté partout et Gnome soutenu de la même manière.
# Et Seafile ?
Posté par Xavier G. . En réponse au journal Host@home : faciliter l'auto-hébergement. Évalué à 3.
Effectivement, excellente initiative, merci, je vais regarder ça, je veux depuis quelques mois m'installer un petit serveur comme sauvegarde supplémentaire (j'ai déjà des comptes dans les nuages, dont un Owncloud via un fournisseur payant, mais Ubuntu One s'arrête) et surtout pour le plaisir de tester l'auto-hébergement.
Mais je n'y connais rien et, si la ligne de commande ne me fait pas peur, se lancer sans formation IRL (le cahier admin de Debian est très bien mais c'est comme pour R Statistique, seul je lâche assez vite malheureusement) est compliqué, surtout l'étape de sécurisation.
Yunohost fait partie des solutions que je comptais suivre attentivement, Host@home peut être une alternative. J'aurais une question : comptez-vous ajouter Seafile à la liste des services supportés SVP ? C'est moins complet qu'un Owncloud mais pour de la synchro pure de fichiers uniquement, semble plus performant :
http://linuxfr.org/news/seafile-un-dropbox-like-libre-a-heberger-sort-en-version-3
Ça fonctionne bien avec Nginx + Postgresql (ou MariaDB), Python, c'est libre, existe sur Android, ce serait parfait de l'avoir également (en sus d'Owncloud déjà cité et Pydio). Pour le reste, tout semble déjà proposé.
Autre point, que couvre l'installation minimale de sécurité et quelles sont les autres étapes indispensables à finaliser (fail2ban & Co…) pour un utilisateur lambda non spécialiste ?
[^] # Re: un effet Snowden?
Posté par Xavier G. . En réponse à la dépêche Nouvelle vulnérabilité dans l’implémentation OpenSSL. Évalué à 5.
Pour ce qui est de Heartbleed, ci-dessous une explication du programmeur qui a introduit le bug en 2011 en "oubliant de valider une variable".
http://www.smh.com.au/it-pro/security-it/man-who-introduced-serious-heartbleed-security-flaw-denies-he-inserted-it-deliberately-20140410-zqta1.html
http://www.20minutes.fr/high-tech/1349037-20140411-heartbleed-erreur-triviale-selon-programmeur-responsable-bug
Il nie toute intervention de la NSA sur celle-ci (en même temps si c'était le cas il ne pourrait le dire publiquement) et sur OpenSSL en général (mais évidemment reconnaît qu'elle a pu être exploitée par l'agence), il assume son "erreur involontaire", et admet que vues les dernières révélations il est logique d'avoir des soupçons, même s'ils sont infondés dans ce cas précis selon lui.
# Debian compromis par la NSA ?
Posté par Xavier G. . En réponse à la dépêche Nouvelle vulnérabilité dans l’implémentation OpenSSL. Évalué à 4. Dernière modification le 09 avril 2014 à 22:48.
Je ne vais pas ouvrir un journal juste pour ça, d'autant que l'info est connexe à celle-ci (Elie vient de poster au-dessus le même lien pendant que je rédigeais ma réponse), et que sans preuve formelle on est pour le moment plutôt dans le domaine du troll ultime que de la démonstration, mais cette accumulation de failles critiques peut rendre parano et ouvrir la porte à la théorie du complot.
En effet, outre Heartbleed (avec les polémiques sur sa découverte, la date de diffusion publique…) et les deux autres listées en fin de dépêche (Gnu TLS, Apple), celle plus ancienne touchant déjà OpenSSL sur les alertes Valgrind, voilà maintenant que ressort la rumeur du "contrôle" de Debian et autres distributions Linux par la NSA, conférence donnée par le fondateur de Wikileaks Julian Assange :
http://igurublog.wordpress.com/2014/04/08/julian-assange-debian-is-owned-by-the-nsa/
http://cyrille-borne.com/post/2014/04/09/assange-est-il-un-trolleur-debian-est-elle-compromise
En l'état bien sûr, impossible d'affirmer quoi que ce soit, à moins que le Guardian ne publie prochainement un slide issu des documents sourcés par Snowden - là je devrais être bon question mots clés sensibles !
De plus, nul besoin d'une taupe gouvernementale pour introduire un bug, nulle nécessité non plus de croire que c'est forcément volontaire, au contraire.
Le code évoluant constamment, à tout moment il peut y avoir des régressions, la sécurité devenant de plus en plus vitale les programmes open-source sont régulièrement audités attentivement, d'où la découverte des failles majeures. Toujours est-il que cela fait beaucoup en peu de temps et que cela alimente les suspicions.
Mais espérons que cela fasse progresser la sécurisation globale des serveurs et outils informatiques, tout comme la prise de conscience des usagers et entreprises de veiller à leur intégrité (surveillance, mise à jour, sauvegardes).
[^] # Re: Belle campagne de com' de la FSF
Posté par Xavier G. . En réponse au journal Porte dérobée sur Samsung Galaxy - Projet Replicant. Évalué à 3.
Une explication potentielle lue sur Numérama et via cette discussion de la présence de cette fonctionnalité serait de permettre à Samsung de gérer son propre service de localisation et d'effacement à distance du mobile en cas de perte ou vol.
Mais attendons effectivement leurs explications qui ne devraient pas tarder, et même si c'est le cas rien n'empêche d'activer d'autres usages moins justifiables…
[^] # Re: Firefox OS
Posté par Xavier G. . En réponse au journal Porte dérobée sur Samsung Galaxy - Projet Replicant. Évalué à 1.
Un OS libre tel que Firefox (ou le futur Ubuntu Touch) est en effet nécessaire mais non suffisant, il faudrait aussi pouvoir s'assurer que le matériel est clean et chiffrer tous ses échanges / communications / fichiers…