Pass  the SALT 2019 : le programme est en ligne et la billetterie arrive !

Posté par  (site web personnel) . Édité par Pierre Jarillon, Davy Defaud, palm123, claudex et ZeroHeure. Modéré par Pierre Jarillon. Licence CC By‑SA.
Étiquettes :
16
3
mai
2019
Sécurité

La seconde édition de Pass the SALT, conférence dédiée à la sécurité et aux logiciels libres (ou aux protocoles et formats ouverts), a publié son programme !

La billetterie (gratuite) sera ouverte autour de la mi‐mai.

Pass the SALT se déroule à l’école Polytech de Lille du 1er au 3 juillet 2019. Son accès est gratuit. Les interventions se font en anglais afin de permettre la venue la plus confortable possible aux conférenciers et participants non francophones (le Benelux et l’Allemagne ne sont pas loin !).

Parution d’OpenSSH 8.0

Posté par  (site web personnel, Mastodon) . Édité par ZeroHeure, Davy Defaud, Nÿco, Vroum, palm123, M5oul et Florent Zara. Modéré par ZeroHeure. Licence CC By‑SA.
71
24
avr.
2019
Sécurité

OpenSSH 8.0 est disponible depuis le 17 avril 2019. Ce projet, démarré par des développeurs d’OpenBSD, vise à proposer une alternative libre, sécurisée et moderne à des logiciels d’administration distante comme telnet et rlogin. Le but est d’ailleurs atteint, puisque ces deux derniers logiciels ont été relégués au rang d’antiquités depuis bien des années maintenant.

Logo d’OpenSSH

Vous trouverez en deuxième partie de cet article une sélection des changements apportés, reprenant grandement les notes de version.

Sortie de Wireshark 3.0.0

Posté par  (site web personnel) . Édité par Davy Defaud, ZeroHeure et palm123. Modéré par Xavier Teyssier. Licence CC By‑SA.
56
10
mar.
2019
Sécurité

Le 28 février 2019 est parue la version 3.0.0 de Wireshark, un logiciel libre d’analyse de paquets réseau (depuis plus de 20 ans). C’est un outil précieux pour apprendre, comprendre, analyser et déboguer des problèmes réseau ou protocolaires.

Logo

Pass the SALT 2019 : sécurité et logiciels libres reviennent à Lille

Posté par  (site web personnel) . Édité par Davy Defaud, ZeroHeure, Nÿco et Benoît Sibaud. Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
16
6
fév.
2019
Sécurité

Après une première édition réussie en juillet dernier, Pass the SALT, conférence dédiée à la sécurité et aux logiciels libres, revient à l’école Polytech Lille du 1er au 3 juillet 2019.

Son accès est gratuit et les conférences seront données en langue anglaise afin de permettre la participation la plus ouverte et accessible possible aux conférenciers et conférencières étrangers.

Pass the SALT a pour but de favoriser l’exposition et la coopération autour des logiciels libres dans le domaine de la sécurité. En 2018, elle a accueilli vingt‐huit interventions et cinq ateliers. Ces interventions ont couvert neuf thématiques différentes comme le reverse, la sécurité réseau, la réponse à incident, l’offensif ou la sécurité Web.

Logo Pass the salt 2019

L’appel à soumissions est ouvert jusqu’au 31 mars 2019. Le site pour déposer votre proposition d’intervention (présentation de 35 min, 20 min ou atelier) est ici : https://cfp.pass-the-salt.org/.

N’hésitez pas à soumettre, la relecture des soumissions est bienveillante et nous sommes disponibles pour donner conseils et avis. :-)

Et si vous êtes une entreprise, vous pouvez soutenir l’événement en le sponsorisant. Merci par avance !

Toulouse Hacking Convention : 8 mars 2019

Posté par  (site web personnel) . Édité par BAud, Davy Defaud et bubar🦥. Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
11
1
fév.
2019
Sécurité

Le 8 mars 2019, l’ENSEEIHT de Toulouse accueillera la troisième édition de la Toulouse Hacking Convention. Il s’agit d’une journée de conférences tournant autour de la sécurité, dans une ambiance conviviale et avec des membres de la communauté du Libre. :)

Il s’agit de la troisième édition, les deux précédentes ont été un franc succès avec autour de cent‐cinquante participants. Contrairement aux années passées, il n’y aura en revanche pas de CTF cette année (manque de bénévoles motivés). Cette année, nous accueillerons exclusivement des conférenciers francophones. Les sujets iront de la modification de micrologiciel de clavier à la sécurité informatique pour les ONG et les journalistes. Le programme complet est disponible sur le site Web.

Les vidéos des conférences de l’année dernière sont disponibles sur YouTube (nous n’avons pas encore de PeerTube…)

Inscrivez‐vous rapidement, les inscriptions vont fermer d’ici peu !

En janvier 2019, l’Union européenne ouvre la chasse aux failles dans les logiciels libres

Posté par  . Édité par Pierre Jarillon et Davy Defaud. Modéré par patrick_g. Licence CC By‑SA.
43
24
jan.
2019
Sécurité

EU-FOSSA,ou European Union Free and Open Source Software Auditing, est un projet initié par les eurodéputés Max Anderson et Julia Reda — après la découverte de la faille de sécurité Heartbleed et porté par la Commission européenne depuis 2015. En 2017, le projet a été reconduit pour trois ans sous le nom de EU-FOSSA 2 et, après un premier Bug Bounty en novembre 2017, une prime pour la détection de failles de sécurité pour le lecteur média libre VLC, la Commission a annoncé en janvier 2019 quinze nouvelles primes pour des logiciels libres utilisés par les institutions européennes.

Julia Reda explique fort bien les fondements et les buts de cette action européenne…

🎦 Présentation de ShinobiCCTV Community Edition 👁️

19
31
déc.
2018
Sécurité

ShinobiCCTV Community Edition est un serveur de vidéo‐surveillance multi‐plate‐forme, dont les finitions se situent quelque part entre ZoneMinder et Kerberos.io.
Voyons ensemble ses particularités, ses avantages et inconvénients.

Tableau de bord de Shinobi 2017

Sortie de LemonLDAP::NG 2.0

Posté par  (site web personnel, Mastodon) . Édité par yadd, ZeroHeure, bubar🦥, Xavier Teyssier, paucur, Davy Defaud et M5oul. Modéré par Xavier Teyssier. Licence CC By‑SA.
Étiquettes :
34
6
déc.
2018
Sécurité

LemonLDAP::NG est un logiciel libre d’authentification unique pour applications Web (WebSSO), de contrôle d’accès et de fédération d’identités, écrit en Perl et publié sous licence GPL. Cette nouvelle version majeure apporte de grands changements au logiciel comme le prise en charge de Node.js, des seconds facteurs d’authentification (OTP, U2F, Yubikey…), un mécanisme de greffons, la protection de micro‐services et bien d’autres qui seront développés dans la suite de cet article.
logo LemonLDAP::NG

PacketFence version 8.2 est disponible

Posté par  (site web personnel) . Édité par bubar🦥, Davy Defaud et Benoît Sibaud. Modéré par bubar🦥. Licence CC By‑SA.
21
12
nov.
2018
Sécurité

Inverse annonce la sortie de la version 8.2 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. Procurant une liste impressionnante de fonctionnalités, telles un portail captif pour l’enregistrement ou la remédiation, une gestion centralisée des réseaux filaires et sans fil, le prise en charge du 802.1X, l’isolation niveau 2 des composantes identifiées comme problématiques, l’intégration aux détecteurs d’intrusions tels Snort et Suricata, la reconnaissance d’appareils avec Fingerbank et plus encore.

PacketFence peut être utilisé pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Bien qu’étant une version « mineure », cette version 8.2 est une mise à jour importante, qui apporte de nombreux ajouts et de nombreuses améliorations, listés dans la suite de cette dépêche.

Logo de PacketFence

OpenSSH 7.9

Posté par  (site web personnel, Mastodon) . Édité par Davy Defaud, Benoît Sibaud, palm123 et theojouedubanjo. Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
62
25
oct.
2018
Sécurité

OpenSSH 7.9 est disponible depuis le 19 octobre 2018. Ce projet, démarré par des développeurs d’OpenBSD, vise à proposer une alternative libre, sécurisée et moderne à des logiciels d’administration distante comme telnet et rlogin. Le but est d’ailleurs atteint, puisque ces deux derniers logiciels ont été relégués au rang d’antiquités depuis bien des années maintenant.

Logo d’OpenSSH

Vous trouverez en deuxième partie de cet article une sélection des changements apportés, reprenant grandement les notes de version.

mat2 0.4.0

72
11
oct.
2018
Sécurité

mat2 est la nouvelle itération du défunt MAT, une suite logicielle pour nettoyer les métadonnées d’une multitude de formats de fichiers.

La récente sortie de la version 0.4.0 (3 octobre 2018) est l’occasion de faire découvrir ce projet, en deuxième partie de dépêche.

Logo de mat2

Snuffleupagus version 0.3.0 Dentalium elephantinum

Posté par  (site web personnel) . Édité par Nils Ratusznik, k3y, LucieS, Davy Defaud, BAud et Benoît Sibaud. Modéré par bubar🦥. Licence CC By‑SA.
43
21
juil.
2018
Sécurité

Snuffleupagus est un module pour PHP (version 7.0 et supérieures) qui a pour but d’augmenter drastiquement la difficulté des attaques contre les sites Web. Cela s’obtient, entre autres, via la désactivation de fonctions et de classes, et en fournissant un système de correctifs virtuels, permettant à l’administrateur de corriger des vulnérabilités spécifiques sans modifier le code PHP.

La version 0.3.0, disponible depuis le 18 juillet 2018, est un excellent prétexte pour parler de ce projet sur LinuxFr.org, avec des détails juteux en deuxième partie de dépêche.

PiaLab version 1.2, l'accompagnement dans le RGPD

24
18
juil.
2018
Sécurité

Dans le cadre du RGPD, la CNIL fournit un outil open source nommé PIA pour faciliter et accompagner la conduite d’une analyse d’impact relative à la protection des données. En simplifiant beaucoup, ces analyses d’impact sont à réaliser lorsque l’on exécute des traitements sur des données à caractère personnel afin d’évaluer les risques que ces traitements peuvent provoquer.

PiaLab, un projet issu d’une divergence (« fork ») du code source de PIA de la CNIL, revisité au point qu’il finit par ne ressembler à son parent que visuellement, est sorti en version 1.2. Après une première version 1.0 sortie il y a un mois, la divergence avec PIA de la CNIL se fait maintenant largement ressentir : l’infrastructure (back‐end) est sous Symfony 4, la partie frontale (« front‐end ») a fait l’objet d’une migration sous Angular 5.2 et réécrit à 75 %, des tests automatisés ont été ajoutés… Le projet n’attend plus que de voir la CNIL fusionner le code de PiaLab dans PIA… Qui sait ?

PiaLab en version 1.2 (et en particulier par rapport à PIA), c’est une gestion de profils utilisateurs (DPD, responsable de traitement, etc.), une implémentation des flux de travaux (« workflow ») PIA / ISO 29134, l’utilisation de modèles de traitement pour faciliter le démarrage de la mise en conformité, l’intégration de fonctionnalités spécifiques multi‐structures ou de DPD externalisés‐mutualisés, la cartographie des traitements et leur organisation par catégorie d’activités de traitement.

En bref, si PiaLab atteint son but, il deviendra l’outil indispensable de votre DPD, dès que vous en mesurerez les potentiels. Structuration de la mise en conformité alignée sur les recommandations CNIL, robustesse, souplesse, évolutions régulières, couverture fonctionnelle qui avance par secteur en allant au fond de chaque question, une feuille de route lisible… Pour le vérifier, une seule solution : essayez PiaLab !

Sortie de LDAP Tool Box Self Service Password 1.3

Posté par  (site web personnel, Mastodon) . Édité par Davy Defaud et bubar🦥. Modéré par ZeroHeure. Licence CC By‑SA.
22
12
juil.
2018
Sécurité

Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4, ainsi que leur clef SSH.

Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS. Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe ou à l’identifiant.

Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.3 est sortie le 10 juillet 2018.

La suite de l’article présente les changements majeurs de cette version.

Gnuk, NeuG, FST-01 : entre cryptographie et matériel libre

Posté par  . Édité par ZeroHeure, Benoît Sibaud, palm123 et Davy Defaud. Modéré par ZeroHeure. Licence CC By‑SA.
50
30
juin
2018
Sécurité

Depuis quelques années, la Free Software Initiative of Japan (FSIJ, association de promotion des logiciels libres au Japon) travaille sur un ensemble de projets à la croisée des chemins entre cryptographie, informatique embarquée et matériel libre.

Ces projets sont l’œuvre de Niibe Yutaka (Gniibe ou g新部), qui, entre autres casquettes, est président de la FSIJ, coordinateur des traductions japonaises du projet GNU, développeur Debian et contributeur à GnuPG (où il travaille notamment sur la cryptographie à courbes elliptiques et la gestion des cartes à puce — deux aspects qui sont directement liés aux projets dont il va être question dans cette dépêche).

Votre serviteur avait déjà très brièvement évoqué l’existence de deux de ces projets (Gnuk et le FST-01) dans une dépêche précédente consacrée à la carte OpenPGP (dont la lecture est recommandée avant de poursuivre), mais sans donner aucun détail, ce que la présente dépêche va corriger.

Faille Lazy FPU state restore

62
21
juin
2018
Sécurité

Intel est de nouveau confronté à la découverte d’une faille, le Lazy FPU State Restore flaw.
Cette fois, seule la famille des Intel Core serait concernée.

Pass the SALT 2018 : programme et billetterie

Posté par  (site web personnel) . Édité par ZeroHeure, Davy Defaud, palm123 et Nils Ratusznik. Modéré par ZeroHeure. Licence CC By‑SA.
17
9
mai
2018
Sécurité

Pass the SALT (Security And Libre Talks) est une conférence gratuite dédiée à la sécurité et aux logiciels libres se déroulant à Lille du 2 au 4 juillet 2018. La billetterie sera ouverte le 16 mai à 10 h, 200 places (orateurs et organisateurs compris), toutes gratuites, seront disponibles.
Logo Pass the SALT
Son programme est désormais en ligne : 28 présentations pour en apprendre plus sur huit thématiques sécurité : sécurité des distributions, rétro‐ingénierie et bas niveau, sécurité réseau, sécurité Web, gestion d’accès et identité, blue team (équipe sécurité défensive), code et administration sécurisé, sécurité de l’Internet des objets et red team (équipe sécurité offensive). Cinq ateliers pour mettre les mains dans les octets de FreeIPA, Suricata et Scirius, Bro, AIL et Faup. Nous détaillons les différentes thématiques et quelques unes des présentations dans la suite de la dépêche.

RGPD et logiciels libres pour accompagner les mises en conformité

Posté par  (site web personnel) . Édité par ZeroHeure, Davy Defaud, Nils Ratusznik et Benoît Sibaud. Modéré par Nÿco. Licence CC By‑SA.
Étiquettes :
31
1
mai
2018
Sécurité

Le Règlement général sur la protection des données (RGPD, General Data Protection Regulation — GDPR —, en anglais) entre en vigueur le 25 mai 2018. C’est l’occasion pour la société civile (comme La Quadrature du Net) de pouvoir lancer des actions de groupe. C’est également l’occasion pour les groupes mondiaux amateurs de données d’expatrier hors Union européenne les données personnelles qu’ils voudront exploiter après cette date. Et c’est surtout le moment, pour toutes les entreprises et administrations européennes, de se mettre à l’heure.

La suite de la dépêche présente les nouvelles obligations et compare les deux outils qui aideront à les gérer.

PacketFence version 8 est disponible

Posté par  (site web personnel) . Édité par bubar🦥, Davy Defaud, claudex, Nÿco, Benoît Sibaud, Nils Ratusznik et palm123. Modéré par ZeroHeure. Licence CC By‑SA.
Étiquettes :
20
30
avr.
2018
Sécurité

Inverse annonce la sortie de la version 8 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l’enregistrement ou la remédiation, une gestion centralisée des réseaux filaires et sans fil, la prise en charge du 802.1X, l’isolation niveau 2 des composantes problématiques, l’intégration aux détecteurs d’intrusions tels Snort et Suricata, la reconnaissance d’appareils avec Fingerbank et plus encore. PacketFence peut être utilisé pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

GnuPG, OpenPGP.js & cie : quoi de neuf ?

59
15
avr.
2018
Sécurité

Le 8 mars 2018, la version 3.0.0 de la bibliothèque OpenPGP.js sortait. Elle implémente le format OpenPGP en JavaScript et est disponible sous licence LGPL 3.0. C’est l’occasion de présenter cette bibliothèque et les nouveautés apportées par cette version. C’est surtout un très bon prétexte pour parler du standard OpenPGP lui‐même, de ses principales implémentations et de ses évolutions futures.

Gestionnaires de mots de passe

68
12
avr.
2018
Sécurité

La tâche première d’un gestionnaire de mots de passe est de garder en sécurité des informations sensibles (mots de passe, identifiants, adresses URL…) et de pouvoir les restituer de façon commode.

Certains gestionnaires permettent de générer des mots de passe à la demande : l’utilisateur n’a alors même plus besoin de voir ou de connaître le mot de passe, hormis le mot de passe maître (qui donne accès à tous les autres), et peut multiplier l’opération pour créer autant de mots de passe qu’il le souhaite. Sans avoir la prétention de résoudre toutes les questions relatives à la sécurité et à l’usage de mots de passe, cette pratique pourrait contribuer à augmenter leur sûreté d’un cran en dissuadant les usagers de réutiliser le même mot de passe pour des comptes différents, réduisant ainsi l’impact de leur compromission sur les serveurs (qui est un problème concret, comme peut l’illustrer le site Have I Been Pwned).

Il existe pléthore de gestionnaires, qui se distinguent par plusieurs critères :

  • logiciel libre ou propriétaire ;
  • sécurité (audits réalisés, utilisation d’algorithmes de chiffrement sérieux et non dépassés…) ;
  • synchronisation possible ou non entre plusieurs emplacements ou appareils ;
  • facilité d’utilisation (intégration avec les navigateurs) ;
  • disponibilité sur différents systèmes d’exploitation ;
  • format de stockage (portabilité) ;
  • type d’utilisation (personnel, groupe).

Nous n’en présentons ici qu'une sélection. Notre choix s’est d’abord porté sur des logiciels libres et supportés par une communauté active ; de même, il est important qu’ils soient disponibles sur un maximum de plates‐formes avec au moins une possibilité de synchronisation (Git, WebDAV, Dropbox…) pour pouvoir fonctionner au sein d’une famille ou d’un groupe. Le choix est forcément arbitraire et dépend aussi de la disponibilité et de la bonne volonté des rédacteurs.

Pass the SALT 2018 : une conférence dédiée à la sécurité et au logiciel libre

Posté par  (site web personnel) . Édité par Davy Defaud, Benoît Sibaud, ZeroHeure et palm123. Modéré par claudex. Licence CC By‑SA.
24
31
jan.
2018
Sécurité

Après dix années de bons et loyaux services passés à l’animation du thème Sécurité des RMLL, l’équipe a décidé de passer la main et de se lancer dans une nouvelle aventure : Pass the SALT (Security And Libre Talks), une conférence dédiée à la sécurité et au logiciel libre.

Cet événement sera gratuit, libre d’accès et se déroulera du 2 au 4 juillet 2018 à l’école Polytech de Lille [N. D. M. : pour mémoire, les RMLL 2018 auront lieu à Strasbourg du 7 au 12 juillet 2018].

Les conférences seront données en langue anglaise afin de permettre la participation la plus ouverte et accessible possible aux conférenciers et conférencières étrangers.

SALT2018

L’appel à soumissions est ouvert jusqu’au 31 mars 2018. Ne soyez pas timides, participez ! Promis, l’accueil sera bienveillant et pour toute question, c’est par ici : cfp@pass-the-salt.org. :-)

Et enfin, si vous êtes une entreprise impliquée dans la sécurité et/ou les logiciels libres, nous serions heureux de vous compter parmi nos soutiens !

Toulouse Hacking Convention : 9 mars 2018

Posté par  (site web personnel) . Édité par Davy Defaud, plcp, bubar🦥 et Benoît Sibaud. Modéré par bubar🦥. Licence CC By‑SA.
Étiquettes :
10
21
jan.
2018
Sécurité

Le 9 mars 2018, l’ENSEEIHT de Toulouse accueillera la seconde édition de la Toulouse Hacking Convention.

Il s’agit d’une journée de conférences tournant autour de la sécurité, suivie par une soirée/nuit de capture du drapeau (Capture The Flag ou CtF) constituée d’épreuves dans de multiples domaines (cryptographie, ingénierie inverse, exploitation de vulnérabilités, failles Web…). Le tout dans une ambiance conviviale et avec des membres de la communauté du Libre. :)

Il s’agit de la seconde édition, la première ayant été un franc succès puisque nous avons accueilli autour de 150 participants aux conférences, et 80 participants au CTF.

Les conférences de l’année dernière allaient de la rétro‐ingénierie de puces en regardant leurs transistors, à la désobfuscation automatique de code, en passant par un jeu de rôle de sensibilisation à la sécurité informatique. Les vidéos sont d’ailleurs disponibles sur YouTube.

Inscrivez‐vous rapidement, les inscriptions vont fermer d’ici peu !

Le programme de cette année n’est, à ce jour, pas finalisé ; mais il sera annoncé sous peu. Vous pouvez déjà trouver une première version sur le site.

Wapiti 3.0.0 : Nouvelle version du scanneur de vulnérabilités Web

Posté par  . Édité par Benoît Sibaud, palm123, Davy Defaud et bubar🦥. Modéré par bubar🦥. Licence CC By‑SA.
48
14
jan.
2018
Sécurité

Wapiti est un scanneur de vulnérabilités Web publié sous licence GNU GPL v2.

Il permet de détecter la présence de failles courantes (injection SQL, XSS, inclusion de fichier, exécution de code ou de commande, etc.) sur les sites Internet et les applications Web via différents modules d’attaque. L’exploitation des failles remontées n’est pas gérée par le logiciel, l’utilisateur doit donc procéder à l’exploitation lui‐même ou s’en remettre à un logiciel spécifique (comme sqlmap pour les failles SQL).

Wapiti génère des rapports de vulnérabilités dans différents formats (HTML, texte, JSON, XML). C’est un outil en ligne de commande qui a peu de dépendances et s’installe facilement.

Deux failles critiques : Meltdown et Spectre

Posté par  (site web personnel) . Édité par Davy Defaud, ZeroHeure, bubar🦥, Pierre Jarillon et JN. Modéré par ZeroHeure. Licence CC By‑SA.
101
4
jan.
2018
Sécurité

Ces derniers jours, les rumeurs allaient bon train sur les réseaux sociaux suite à l’intégration en urgence d’un gros correctif dans la RC-6 du noyau Linux. Cela allait à l’encontre de toutes les habitudes de Linus Torvalds, ce qui laissait penser que les conditions étaient vraiment particulières. Et le moins que l’on puisse dire est que nous ne sommes pas déçus. Ce n’est pas une faille critique, mais deux, qui viennent d’être dévoilées : Meltdown et Spectre, de leur petit nom.

Nous vous invitons à lire le journal de Pinaraf< à ce sujet, bien qu’incomplet le jour où il l’a écrit. Depuis la date de sa publication, la faille Spectre a ensuite été révélée et, si cette dernière s’avère d’une ampleur moindre que Meltdown chez Intel, elle toucherait tous les fondeurs et la plupart de leurs produits).