Se certifier soi même ?

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
11
mai
2001
Sécurité
Le ministère des finances commence à mettre en oeuvre des procédures de déclaration et paiement en ligne de certaines taxes & impots, comme teletva pour la TVA.

Pour y participer, il faut bien sur une clef publique, à la norme X509 mais surtout reconnue officiellement : en créer une c'est facile et gratuit par openssl mais il faut pour s'en servir pour les impots qu'elle soit absoluement passée par une autorité de certification... elle payante.

Joli business plan : "./openssl x509 ...."

Ne serait-il pas plus simple et plus facile de créer son certificat et d'en donner une copie au ministère ? Avec pgp ou gpg on met sa clef sur un site public et tout est si simple.... Pourquoi ne pas faire sinon une asso 1901 de certification ? Ou pourquoi ne pas tout simplement se servir d'une structure existante comme les mairies, qui font déjà cette certification pour la demande de carte d'identité ?

Lorsque un acte gratuit comme la création de certificats devient un business de l'aveu même du ministère ("faisant appel à des autorités de certification du marché, dans un esprit d?ouverture favorisant la concurrence.") qui privatise une mission de service public, ce n'est pas dans le plus grand intérêt des contribuables...

rapport sur la sécurité informatique

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
10
mai
2001
Sécurité
Un "web agency" vient de sortir un rapport plutôt intéressant que pas mal de personnes qui affirment que "Internet est sûr" devraient lire. Ce n'est pas technique et tout le monde devrait comprendre (même le directeur marketing ;-)
Voici les points testés :
1. Utilisation de SSL
2. Niveau de cryptographie : taille de la clé
3. Date des certificats
4. Informations sur le cryptage
5. Début du cryptage
6. Vérification de la cryptographie

Je cite un extrait de la conclusion :
« Ces résultats permettent de souligner que la majorité des sites de e-commerce, de banque et de bourse français n'intègrent pas la confiance dans leur stratégie Internet. Ils négligent les attentes des internautes en matière de sécurité et de protection de leur vie privée.
Cette négligence s'exprime :
- dans des choix techniques laxistes en matière de sécurité (cryptographie à 40 bits plutôt qu'à 128, cryptage des informations de carte bancaire au détriment des autres informations personnelles) ;
- dans l'absence de pédagogie qu'ils mettent en place pour compenser l'inquiétude des internautes liées à Internet, ;
- dans un design qui déroute l'internaute et l'empêche de vérifier facilement la sécurité du site.

Les sites des banques, qui pourtant devraient montrer l'exemple dans ce domaine, font preuve d'un laxisme paradoxal.»

A lire avant de faire des achats en ligne ...

Article de recherche sur la prédiction de séquence TCP/IP

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes : aucune
0
3
mai
2001
Sécurité
Michael Zalewski vient de publier un article de recherche sur l'utilisation des méthodes mathématiques des systèmes formels (désolé pour ceux qui sont déjà lachés; les fans de chaos me comprendront) pour la prédiction des numéros de séquence TCP/IP : "Strange Attractors and TCP/IP Sequence Number Analysis".

Cet article est très intéressant pour la sécurité TCP/IP et montre que notre OS favori ainsi que OpenBSD ont les implémentations TCP/IP les pus sûres contre ce type d'attaque.

Espionnage par internet.

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
2
mai
2001
Sécurité
Dans Les Echos.net, supplément du journal les echos du 30 Avril 2001, un article intéressant sur les "Web bugs", des espions invisibles installés sur les sites marchands. C'est en première page et page 17.
En prime quelques articles sur le piratage des DVD.

SmoothWall: un routeur? un firewall? une distribution?

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
23
avr.
2001
Sécurité
Vous avez besoin d'un routeur ou d'un firewall, mais vous êtes fauché, ou radin, et en plus feignant. Vous voudriez bien utiliser le vieux clou et son disque dur de 200 Mo...

Smoothwall est fait pour vous: téléchargez une petite iso, brûlez là, et voilà! Le CD est autoboot, s'installe en un clin d'oeil, reconnait automatiquement le materiel PCI, se configure par une page web... Le travail est tout mâché...

Merci qui?

Alcatel: après les démentis les recommendations

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
20
avr.
2001
Sécurité
D'abord c'était pas vrai, leurs modems étaient nickels...

Suite à la publication de l'avis du CERT, les gens d'Alcatel ont
soudain revu leur communication. Les marketoides on encore tout
compris :-/

Grosso modo, ils préconisent la vérification de la conf du modem, l'usage d'un FW et confirment la technique du bounce.

Dans la page "UPDATE ON ALCATEL SPEED TOUCH MODEM" il y a un détail
qui me chiffone:


"According to recent tests, the primary vulnerability referred
to in the advisories do not apply to the vast majority of
mainstream operating systems used by residential and
small business subscribers, such as Windows 95, 98,
98se, ME, and typical installations of NT4.0 Workstation,
2000 Professional and the latest commercial releases of Linux"

Sans commentaires...

Big Brother

Posté par  . Modéré par Fabien Penso.
Étiquettes : aucune
0
18
avr.
2001
Sécurité
Un article intéressant sur www.technosphere.tm.fr va réveiller les paranos que nous sommes. Souriez vous êtes tracé! fiché, cookifié et espionné!
La version francaise des Big Brother Award s'est déroulée en décembre 2000, et n'a rien à envier à celle des Etâts Unis...
Brrrr ça fait froid dans le dos...

Bastille 1.2.0rc2 dispo

Posté par  (site web personnel) . Modéré par trollhunter.
Étiquettes : aucune
0
17
avr.
2001
Sécurité
Il a été souvent question de sécurité ces derniers temps concernant linux et sécuriser sa petite boîte n'est pas chose aisée. Réjouissez-vous, le projet libre Bastille arrive dans sa nouvelle version. Elle supporte presque totalement mandrake 8 beta ainsi que redhat 7.1 dans sa version 1.2.0rc2.

Cette version ajoute précisemment les derniers rafinements en matière de sécurité mais aussi une interface graphique en tk/Perl fort sympathique. Le setup vous permet de paramétrer votre machine sous trois types de sécurite : faible, moyenne ou paranoïaque et ensuite le type de machine : station de travail ou serveur. C'est bien fait, le projet est mis à jour régulièrement et la finale ne saurait tarder !

Faille de sécurité dans Netfilter

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
17
avr.
2001
Sécurité
Une faille de sécurité vient d'etre découverte dans le firewall des noyaux 2.4 (Netfilter) . Si vous utilisez le module ip_conntrack_ftp, un attaquant est en mesure de s'affranchir du filtrage vers le serveur sur n'importe quels ports. Il peut par exemple se connecter en telnet sur la machine hébergeant un FTP depuis l'extérieur, meme si cette règle a été interdite. Les machines effectuant du masquerading sont tout aussi touchées.

la reponse d'Alcatel concernant le speedtouch adsl

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
16
avr.
2001
Sécurité
La réponse d'Alcatel... Il y avait pas de quoi s'inquiéter. Toutes les failles indiquées ne pouvaient être utilisées que de l'intérieur et les OS Win95/98/2000/NT et Linux n'ont pas de port "bounce". De plus, aucune démonstration d'infiltration n'a été faite pour l'instant.
On peut quand même admirer la rapidité de la réponse d'Alcatel ...

ADSL : Big Brother is watching you.

Posté par  . Modéré par trollhunter.
Étiquettes :
0
10
avr.
2001
Sécurité
Si l'on en croit cet article de libération, nos chers modems Alcatel ADSL ont une backdoor. Le découvreur de cette "fonctionalité" n'est pas exactement un plaisantin puisqu'il a largement contribué à l'arrestation d'un certain Kevin M.

Faille majeure dans Ipfilter

Posté par  (site web personnel) . Modéré par Fabien Penso.
Étiquettes :
0
9
avr.
2001
Sécurité
IPFilter, qui est aux *BSD ce que IPChains est à Linux (mais en beaucoup plus puissant), comporte une faille dans la gestion des paquets fragmentés.

Par exemple, si le Firewall autorise les connexion vers le port 80 d'un serveur web dans une DMZ, l'exploitation de cette faille permet de se connecter à TOUS les ports ouverts sur cette machine, outrepassant les règles du firewall.

Les détails sont dans un post de Bugtraq, et la version 3.4.17 d'IPFilter corrige ce problème.

Faille de Sécurité Linux

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
9
avr.
2001
Sécurité
A vérifier, mais une faille de sécurité assez cruciale, semble avoir été découverte dans les noyaux 2.2, comme l'article date du 28 Mars on ne peux exclure un poisson d'avril, je suis tombé sur la news et j'ai rien eu le temps de vérifier, à vos remarques ....
Note du modérateur: Effectivement il faut upgrader en 2.2.19.
Frédéric Raynal nous dit:
« D'après les messages que j'ai lus rapidement, l'idée est d'utiliser la fonction ptrace(). Le programme crée un processus fils puis le remplace avec le progamme SUID à exploiter (n'importe quel prog suid convient) via un execl(). Le processus fils conserve donc le même PID. Un signal est envoyé au processus père pour lui signaler que le prog suid est lancé. Dès lors, le père change les registres du processus fils de sorte à ce que le registre d'instruction %eip pointe sr le shellcode à exécuter. »

debordement de pile dans ntpd

Posté par  . Modéré par Yann Hirou.
Étiquettes :
0
6
avr.
2001
Sécurité
Bon je sais que c'est pas un scoop puisque vous lisez vous aussi bugtraq tous les jours ...
Mais cette faille me paraît d'importance puisqu'elle touche les daemon ntp livrés avec nos distributions linux et bsd... mais aussi celles de certains unix proprietaires (sun...).
L'exploit livré sur bugtraq ne concerne que linux et bsd sur x86, mais quelqu'un de pas trop c.n pourra le porter sur sun, linux pour alpha...
De plus on peut craindre que l'accès public aux serveurs NTP sur internet ne soit coupé pendant un certain temps... voir peut-être coupé tout simplement.

Note du modérateur : heureusement qu'un patch est sorti le jour même... donc si les admins font leur boulot, pas de risque que les accès aux serveurs soient coupés :-)

attention, encore une alerte au vers

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
5
avr.
2001
Sécurité
Un nouveau vers vient d'être découvert sous linux: Adore. Il semble dater du 1° avril. En suivant le lien, vous trouverez un script qui détecte et permet de supprimer le vers de votre système (au cas où vous en auriez besoin), et aussi les liens vers les patches corrigeant les problèmes dans LPRng, rpc-statd, wu-ftpd et BIND.

Decret Signature Electronique

Posté par  . Modéré par Yann Hirou.
Étiquettes :
0
3
avr.
2001
Sécurité
Depuis hier, notre cher pays est dote d'un decret qui permet de signer electroniquement....
Désormais, «l'écrit sur support électronique a la même force probante que l'écrit sur support papier», selon la loi votée en mars 2000. Mais il ne suffit pas de taper son nom au clavier ou de scanner une feuille avec son paraphe: le décret publié samedi précise qu'une signature électronique ne bénéficie de la même présomption de fiabilité qu'un paraphe manuscrit qu'à condition de s'appuyer sur un «prestataire de services de certification» (PSC).

La contre-attaque Echelon.

Posté par  . Modéré par I P.
Étiquettes : aucune
0
2
avr.
2001
Sécurité
Après Kioto, l'administration Bush dénonce l'accord conclu entre les Etats-Unis et l'Union européenne concernant l'application de la directive européenne de protection des données personnelles.
Une très bonne analyse est en ligne sur le site d'infoguerre.

Big Brother is watching You.

Posté par  . Modéré par trollhunter.
Étiquettes : aucune
0
29
mar.
2001
Sécurité
Avoir le Net au bureau c'est pratique, on peut surfer, écrire à plein
de gens sans bourse délier. Oui mais, la situation est elle vraiment aussi idylique qu'il y parait ? Certaines rumeurs font état de surveillance des communications électroniques par les employeurs. Si l'on en croit cet article ce sont plus que des rumeurs puique la CNIL a commis un rapport : "cybersurveillance des salariés dans l'entreprise".

Un virus compatible windows ET linux ?

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
28
mar.
2001
Sécurité
Voila qu'on nous annonce l'apparition d'un virus capable d'infecter aussi bien Windows que Linux.

Je suis très sceptique sur la chose, car je ne vois pas bien quels sont les points communs, d'un point de vue script ou éxecution de binaires, bref, quels points communs il y a entre une station Linux et une station Windows.

Alors, à part avoir installé Perl ou Java sur les deux machines, comment est-ce possible ? Ou bien sont ce deux instances différentes de virus, qui ont le même nom ? Ou bien est-ce du pipeau ?

Bref, est ce possible ?

En passant, outre responsabiliser un utilisateur à faire gaffe à son installation, aux droits d'accès, aux ports ouverts, existe t-il un projet de "surveillance" d'un poste (une sorte d'antivirus/firewall avec des fonctions de base, histoire de faciliter la vie aux utilisateurs lambda) ?

Tutoriel IPTables

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
28
mar.
2001
Sécurité
Avec le kernel 2.4 iptables (netfilter) remplace ipchains. Plus de fonctionnalités (dont un NAT fonctionnel), syntaxe un peu diffèrente.
Un petit tutoriel ne fait pas de mal ;-).

Multimania cumule !

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
24
mar.
2001
Sécurité
Depuis que l'hébergeur multimania (ex Mygale) offre l'utilisation de PHP à ces membres, les pages qui utilisent ce module sont très souvent inaccessibles. Pire encore, ce samedi, les pages utilisant PHP étaient à la disposition de tous, le code n'étant plus exécuté. Le problème, c'est que les mots de passe utilisateurs apparaissent alors dans la source à la vue de tous.
Pas pratique pour donner confiance à des membres très souvent en colère.

Note du modérateur: L'auteur de cette nouvelle proposait un lien sur un site de Multimania comme exemple, nous l'avons retiré pour éviter les abus. Ce n'est pas dur de trouver un exemple si vous voulez voir les codes des sites hébergés...