L'OpenSource dynamise la sécurité

Posté par  (site web personnel) . Modéré par Amaury.
Étiquettes : aucune
0
20
fév.
2002
Sécurité
Un groupe de développeurs issus de l'OpenSource s'échine à mettre au point un standard industriel en ce qui concerne les tests de sécurité. Leur laborieux travail, le OSSTMM (Open Source Security Testing Methodology Manual) ou Manuel de Méthodologie de Tests de sécurité OpenSource, sortira dans sa nouvelle version courant du mois.

Ideahamster.org (nom de leur groupe/organisation) a commencé à travailler sur ce manuel l'année dernière. Ils en avaient assez de lire des descriptions de méthodologies de tests sans intérêt ou trop superficielles.

Le groupe, qui comprend en outre les experts en sécurité et des développeurs, prone le fait que l'établissement d'un standard industriel en terme de sécurité sera un premier pas pour évaluer les produits de sécurité.

NdR: la version 1.5 est disponible en téléchargement (.ps, .pdf, .rtf, .html), tandis que la version 2.0 draft n'est disponible qu'au format .rtf et .html.

Aller plus loin

  • # enfin...

    Posté par  . Évalué à 10.

    ...peut-etre que comme ca on aura finalement un proftpd et wuftpd sans trou de sécurité à répétition :-)

    Swix, qui en a marre de devoir mettre à jour ses proftpd's tout le temps... (comparé à qmail-1.03 par exemple: pas un seul probleme depuis 4 ans!)
    • [^] # Re: enfin...

      Posté par  . Évalué à 4.

      si je puis me permetre une suggestion un peu hors sujet quoi que...
      enfin tout ca pour dire que pureftpd marche tres bien permet de faire du monitoring, du controle d'upload-download,du ftp securisé, tout ca ... et il a pas de trou de securitée
      http://pureftpd.sourceforge.net(...)
      voila
      • [^] # Re: enfin...

        Posté par  . Évalué à 1.

        et il a pas de trou de securitée

        Non: On ne lui connait pas de trous de sécurité, nuance ;)
    • [^] # [HS] QMail

      Posté par  (site web personnel) . Évalué à 2.

      "comparé à qmail-1.03 par exemple: pas un seul probleme depuis 4 ans"

      C'est vrai que Qmail n'a pas de problèmes de sécurité depuis 4 ans et que c'est un super serveur de mail. Mais on peut critiquer l'attitude de son développeur principal DJ Bernstein, qui refuse le nombreux patchs utiles à inclure dans les sources de Qmail. C'est aussi pour cela que Qmail n'a pas de "trous" de sécurité !!! Pas de modifs des sources officielles ==> pas de problèmes de sécurité !!!
      • [^] # Re: [HS] QMail

        Posté par  . Évalué à 1.

        oui c'est sur que le comportement de DJB ne convient pas à tout le monde, mais c'est son choix, et du moment que ses programmes fonctionnent convenablement, pourquoi pas... Ca n''empeche pas l'existance de dizaines de patches.

        Quant à pureftpd, est-ce que le support sql fonctionne bien? J'etais resté à propftpd justement en raison du support sql.
        • [^] # Re: [HS] Proftpd

          Posté par  . Évalué à -2.

          > J'etais resté à propftpd justement en raison du support sql.

          Qu'appelles tu 'support sql' ? La possibilite de gerer les utilisateurs et leurs droits via une base ?
          • [^] # Re: [HS] Proftpd

            Posté par  . Évalué à 1.

            exactement. sous proftpd avec mod_sql...
            • [^] # Re: [HS] Proftpd

              Posté par  . Évalué à -2.

              et ca ne ralentit pas trop le temps de connexion ?
              par exemple sur un serveur tres sollicite comme pour des hebergements ?
      • [^] # [HS] QMail

        Posté par  . Évalué à 1.

        Pas de modifs des sources officielles ==> pas de problèmes de sécurité !!!

        Argh... Pas de nouveaux trous de sécurité causés par l'introduction de bugs dans les patchs.
        Il y a des trous de sécurité dans Qmail! On ne les connaît pas, c'est tout...
  • # Libre = sécurité

    Posté par  (site web personnel) . Évalué à 10.

    C'est l'image qui se répand inexorablement dans les médias et les entreprises.
    Je pense que dans deux ans, on riera au nez de toute personne qui présentera un dispositif de sécurité basé sur du code fermé.
    • [^] # libre = méthodes = sécurité améliorée

      Posté par  (site web personnel) . Évalué à 10.

      Le code ouvert ne suffit pas.
      C'est avant tout un problème de méthode, de coopération et de code de conduite qui font que la sécurité peut exister.

      C'est bien beau de n'utiliser que ssh pour se connecter, il ne faut pas cependant écrire son mot de passe sur un post-it à coté du terminal.

      c'est de plus en plus une question de méthode parce qu'il s'agit de penser globalement, d'apprendre, de s'adapter et de moins en moins une question de technique pure.
      • [^] # Re: libre = méthodes = sécurité améliorée

        Posté par  . Évalué à 10.

        A ce propos, il est passé il y a quelques jours sur kuro5hin un excellent article sur le mythe de la sécurité open source
        http://www.kuro5hin.org/story/2002/2/12/61225/8865(...)
        Avec à la fin une présentation de différentes approches d'audit (audit de code, étude formelle d'algorithme, tests, étude du design ...).

        Parmi les problèmes engendrés par le mythe de la sécurité open source on trouve :
        - le manque de support qui allié à un code complexe peut rendre l'audit difficile
        - l'assomption "puisque le code est ouvert, il sera audité donc c'est pas mon problème"
        - le fait qu'un contributeur va s'intéresser uniquement à la feature qu'il ajoute (c'est directement lié au point précédent AMA)

        Sinon en terme d'audit, le récent projet Sardonix, monté à partir de fond de la DARPA par les gens de WireX (Immunix, stackguard, formatguard) avec en plus des gens comme RFP, tente d'appliquer le modèle d'audit d'OpenBSD à l'ensemble de l'open source. En clair, ils se proposent de faire de l'audit systématique de code.

        Voir http://www.sardonix.org(...) (site encore en beta, projet jeune) et aussi ces slides de Theo de Raadt sur les méthodes d'audit d'OpenBSD
        http://openbsd.org/papers/mexico98-slides.ps(...)
    • [^] # Re: Libre = sécurité

      Posté par  . Évalué à -1.

      Sans vouloir etre pessimiste, si ca continue comme ca, dans 2 ans, on risque de rire plus des gens qui coryaient que le libre allait "gagner" que de rire comme tu le suggeres.( CF la news sur la commission EUropeenne)
    • [^] # Re: Libre = sécurité

      Posté par  . Évalué à 1.

      "Je pense que dans deux ans, on riera au nez de toute personne qui présentera un dispositif de sécurité basé sur du code fermé"

      Je pense que dès aujourd'hui on peut rire au nez de toute personne/société qui propose une evaluation de politique de sécurité sans évoquer une seule fois la sauvegarde/restauration.

      Il s'agit peut être d'un oubli de leur part... Mais quel oubli !
  • # Sérieux, mais pas encore standard...

    Posté par  . Évalué à -1.

    C'est bien de vouloir créer un standard sérieux, encore fait-il qu'il soit suffisament connu.

    Si ce standard est largement reconnu, ça limitera le champ des "experts" pipo-mollo dans le domaine...
    • [^] # Re: Sérieux, mais pas encore standard...

      Posté par  . Évalué à 0.

      c'est vrain mais on est pas a l'abris de trou dans la methode, sans vouloir jouer a l'ouroboros, Il fau que cette methode soit suivie de tres pres car si elle doit servir de reference a tout le monde...
    • [^] # Re: Sérieux, mais pas encore standard...

      Posté par  (site web personnel) . Évalué à -3.

      La poule ou l'oeuf ?
      On ne peut que commencer par faire quelque chose de sérieux.
      C'est difficile de commencer par quelque chose de connu et reconnu :-)
      Souhaitons bon vent à ce projet.
  • # Education

    Posté par  . Évalué à -1.

    Apparemment, beau travail. Juste un oubli : ils parlent quasiment pas des utilisateurs, à ce que j'ai vu. Et moi, au boulot, tous les jours, je rencontre partout des post-its avec des logins et des mots de passe...

    Faut pas oublier l'éducation des utilisateurs. Le système le plus sécurisés sera irrémédiablement une passoire si ses utilisateurs se moquent de la sécurité.
    • [^] # Re: Education

      Posté par  (site web personnel) . Évalué à -3.

      Comment faites-vous pour stocker tous vos mots de passe (comptes mails, pgp, login...). Personnellement ma memoire commence a faire defaut, et ces precieuses infos ont tendance a etre swappees vers le /dev/null de mon cerveau
      • [^] # Re: Education

        Posté par  . Évalué à -2.

        Facile, pour me rappeler facilement de tous ces mots de passe, j'ai mis le même partout. Comme ça j'ai juste une case du cerveau d'occupée!

        Non, je suis pas si bête :)

        Dans le cas ou je commencerais à avoir du mal à me souvenir de certains passes, je pencherais plutôt pour une solution du style petit carnet bien-caché-même-que-personne-sait-où-il-est, ou alors dans le palm/psion/Fx92collège.
      • [^] # quelques idées classiques pour t'aider

        Posté par  . Évalué à -1.

        Au choix :
        1. n'avoir qu'un mot de passe pour toutes les applis, mais dans ce cas le choisir difficile, et le changer régulièrement.
        2. utiliser des variations de tes mots de passe selon les applis.
        Ex : pour le mois de février:
        mail : mzr78!b$
        pgp : pzr78!b$
        login : lzr78!b$
        (on peut utiliser des variations + subtiles pour que ce soit efficace)
        et changer la partie "zr78!b$" tous les mois. L'intérêt est que se faire sniffer un mot de passe est pas trop grave car les autres restent inconnus.
        3. avoir dans un fichier chiffré la liste de tes mots de passe. tu n'en as plus qu'un à retenir, revient au cas 1

        Perso je préfère la 1 (avec un mot de passe différent suivant qu'il est utilisé au boulot ou qu'il est exposé quand il se ballade sur internet genre les comptes de mail FAI, les authentifications sur les sites etc), en attendant la biométrie...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.