Les développeurs de Ruby on Rails (aka RoR, un framwork de développement web open source populaire et basé sur Ruby) viennent d'émettre une alerte concernant une faille de sécurité de type injection SQL touchant toutes les versions de Ruby on Rails. Selon l'annonce, la faille se situe dans l'interface de requêtage d'ActiveRecord et plus précisément dans la manière dont les dynamic finders extraient les options des paramètres de méthodes. Un paramètre peut être utilisé en tant que scope et en manipulant ce dernier, il devient possible d'injecter du SQL. Des appels tels que Post.find_by_id(params[:id]) sont vulnérables. Nous vous laissons consulter l'annonce pour plus de détails.

Les mainteneurs ont sorti des nouvelles versions hier – 3.2.10, 3.1.9 and 3.0.18 – corrigeant le problème et il est fortement recommandé de mettre à jour dès que possible. Pour ceux qui ne peuvent se permettre une mise à jour, des patches sont aussi disponibles pour les branches supportées (3.1.x et 3.2.x), mais aussi des branches plus anciennes et non supportées officiellement (3.0 et 2.3). Dans ce dernier cas, il faut vraiement mettre à jour car les correctifs de sécurité ne sont pas garantis à l'avenir.

LinuxFr.org, qui, rappelons-le, est basé sur RoR, est déjà passé en 3.2.10 !

Un hackathon contre la surveillance ! C'est le thème de la soirée organisée mercredi 19 décembre à Paris autour du tout nouveau site paris.sous-surveillance.net. Au menu, le développement de nouvelles applications ou l'amélioration de l'existante, à partir du code du site et de son apli mobile, ou des données récupérées par ce projet de cartographie participative de la vidéo-surveillance.

Le projet sous-surveillance propose le déploiement facile et rapide de sites locaux à toute personne intéressée. Il est développé à partir de Spip 3 et de Leaflet qui affiche les cartes de manière légère (fond de carte Mapquest basé sur les données d'OSM).

Depuis septembre, une dizaine de villes ont rejoint le projet initié à Lyon, dont Marseille, Toulouse, Rennes, Nice ou le Luxembourg. Le projet a l'ambition de répertorier toutes les caméras publiques comme privées filmant la voie publique. Il présente également, de manière schématique, le champ de vision des caméras (en activant la couche "zones surveillées"). Parallèlement à la cartographie, une veille documentaire est proposée sur tous les sites. L'objectif est à la fois de réintroduire un débat sur la vidéo-surveillance et de sensibiliser largement sur la question.

Le code du site ainsi que celui de l'appli mobile sont libres et disponibles via Git. Le mercredi 19 décembre, à 19h, après la présentation du projet et l'intervention de Jean-Marc Manach, vous êtes invités à proposer vos idées, améliorations et poser vos questions ou à nous rencontrer pour participer à Paris sous surveillance.

Téïcée vous invite le jeudi 6 décembre 2012 à 18h00 à une soirée-conférence.

Le programme :

• 1er temps fort : conférence du Lieutenant-Colonel Eric Filiol, Directeur du Laboration de cryptologie et de virologie opérationnelle.

• 2ème temps fort : table-ronde Témoignages de chefs d'entreprises

• Un cocktail dînatoire suivra cette rencontre !

Le lieu : IRTS Basse-Normandie
11, rue Guyon de Guercheville - 14200 Hérouville Saint-Clair

NdM : les logiciels libres ne sont pas explicitement mentionnés, mais vu leur importance dans le domaine de la sécurité, ils feront sûrement partie de la soirée.

Enfin débarrassés du battage médiatique autour des dernières élections, vous pensiez pouvoir chasser de votre esprit la problématique du vote électronique jusqu'à la prochaine fois ? Cette petite sélection d'actualités sur le sujet permet de revenir sur divers articles autour du vote électronique (par ordinateurs de vote ou par Internet).

Dans la seconde partie de la dépêche, il sera notamment question de votes modifiés, de patchs de la dernière minute, de mauvais design, de conflit d'intérêt, de vote par courriel/fax, de contentieux électoral et des questions écrites parlementaires et sénatoriales.

En 2007, le NIST (National Institute of Standards and Technology) a lancé une compétition internationale pour choisir une fonction de hachage de nouvelle génération.

Les attaques sur SHA-1 avaient généré une certaine inquiétude et les experts pensaient que la famille SHA-2 (SHA-256, SHA-384, SHA-512) serait menacée à plus ou moins longue échéance. Cela a donc conduit à l’organisation d’une compétition SHA-3 sur le modèle de celle ayant conduit à la sélection de l’algorithme de chiffrement AES.

Plus de 64 propositions ont été reçues et soumises, au fil des années, aux tentatives de cassages de la communauté cryptographique mondiale. Cette longue compétition vient enfin de s’achever puisque le NIST a désigné Keccak comme l’algorithme gagnant. Ce dernier devient donc officiellement SHA-3.

Plus de détails dans la suite de la dépêche.

Hier, une porte dérobée (backdoor) a été trouvée dans le paquet PhpMyAdmin qui se trouvait sur le miroir cdnetworks-kr-1 de SourceForge.net. Cette porte dérobée se trouve dans le fichier server_sync.php. Elle autorise l’exécution de code à distance. À noter qu’un autre fichier, js/cross_framing_protection.js, a aussi été modifié. Le paquet modifié, phpMyAdmin-3.5.2.2-all-languages.zip, semble l’avoir été le 22 septembre dernier. 400 personnes l’auraient téléchargé.

Pour le moment, un seul fichier modifié a été détecté, mais il est probable que d’autres paquets présents sur ce miroir aient été modifiés pour inclure des portes dérobées. Il est donc suggéré de vérifier et revérifier la source de vos différents paquets si vous en avez téléchargés depuis SourceForge.net dernièrement. Le miroir incriminé a été retiré de la liste des miroirs disponibles.

NdM : merci à pasBill pasGates pour son journal.

Depuis la découverte de Stuxnet en juin 2010 et son analyse, les experts se sont aperçu que certaines des failles utilisées par le malware étaient inconnues (0-day) et de très haut niveau, et que certaines autres étaient au contraire connues et relativement triviales, cette dernière catégorie est majoritairement représentée parmi celles affectant les systèmes SCADA Siemens WinCC (Supervisory Control And Data Acquisition, télésurveillance et acquisition de données).

Depuis, beaucoup de personnes se sont intéressées à la sécurité des systèmes de contrôle industriel au sens large. Les systèmes SCADA sont dorénavant bien connus pour être vulnérables mais ils ne sont pas les seuls.

Le monde de la sécurité informatique découvre depuis peu ce que beaucoup de gens savent déjà, les systèmes de contrôle industriel sont de vraies passoires et la mise en péril d'un processus industriel est relativement simple.

Prelude OSS est de retour sur Internet avec une nouvelle version 1.0.1.

Prelude est un logiciel SIEM (Security Information & Event Management) qui permet de superviser la sécurité de votre système d'information. Prelude collecte, normalise, trie, agrège, corrèle et affiche tous les événements de sécurité indépendamment des types d'équipements surveillés. Au-delà de sa capacité de traitement de tous types de journaux d’événements (logs système, syslog, fichiers plats, etc.), Prelude est nativement compatible avec de nombreuses sondes anti-intrusion open-source (snort, suricata, ossec, samhain, etc.) grâce à l'utilisation du format IDMEF (RFC 4765).

Démarré en 1998 sous la forme d'un projet libre d'une sonde IDS, Prelude devient le premier SIEM hybride open-source à partir de 2003, année à laquelle se crée la société Prelude Technologies qui commercialise la version Entreprise.

Prelude sera repris en 2009 par la société Edenwall et sera malheureusement entraîné dans sa mise en faillite. Le logiciel est alors racheté par la société CS, intégrateur de systèmes critiques, en début d'année 2012, société qui propose déjà une solution open-source de supervision de performances complémentaire avec Vigilo. Suite au rachat, le site Prelude est remis en ligne mais sans les sources de la version OSS. Cette nouvelle version signe donc le retour de Prelude OSS sur Internet.

Les nouveautés de la v1.0.1 :

• Correction de nombreux bugs
• Rafraîchissement des interfaces Web
• Amélioration des traductions
• Ajout de nouvelles règles LML
• Mise à jour des copyrights
• Transfert des fonctions relaying dans la version Entreprise

Profitons de la torpeur estivale et de la chaleur accablante (mais pas ici) pour revenir sur plein de petites actualités autour du vote électronique (par ordinateurs de vote ou par Internet). Dans la seconde partie de la dépêche, il sera notamment question d'ordinateurs de vote à la benne, de scrutin annulé, d'effet Streisand, de contentieux électoral, des RMLL 2012, des questions écrites sénatoriales, des blagues potaches et d'open data sur les villes françaises avec ordinateurs de vote.

Cette semaine est sortie une nouvelle version majeure de LemonLDAP::NG : la version 1.2.0. Annoncée et attendue depuis plusieurs mois, elle est enfin disponible et propose de nombreuses améliorations.

LemonLDAP::NG est un logiciel de WebSSO, contrôle d'accès et fédération des identités. Ses principales fonctionnalités sont :

• Portail d'application, affichant dynamiquement les applications autorisées
• Réinitialisation du mot de passe par un challenge par mail
• Interface d'administration Web
• Explorateur de sessions
• Notifications
• Gestion de nombreux moyens d'authentifications (LDAP, SQL, certificat SSL, Kerberos, etc.)
• Prise en charge des protocoles CAS, OpenID et SAML
• Propagation de l'identité par en-têtes HTTP, variables d'environnement ou rejeu de formulaires
• Identification des URL à protéger par expressions régulières

Nous sommes presque deux mois après le World Backup Day mais il n'est jamais trop tard pour faire une sauvegarde. C'est une réalité qu'il faut accepter, votre disque dur va vous lâcher et certainement au moment où cela vous embêtera le plus. Et cela même si vous n'avez pas investi dans un superbe SSD OCZ (jusqu'à 15,58% de taux de panne !).

Subir une défaillance d'un disque dur devient aussi de plus en plus grave à mesure qu'un nombre croissant de types de données se retrouve sous format numérique (musique, photos, messages, rapports, etc.), et que leur volume augmente.

C'est pourquoi le monde du logiciel (libre ou propriétaire) regorge de solutions pour sauvegarder vos précieuses données.

Cette dépêche (voir la seconde partie) n'abordera pas des solutions traditionnelles et éprouvées telles que le très connu Amanda, le moins connu mais tout autant excellent DAR et les solutions « maison » à base de rsync. Elle n'abordera pas non plus des solutions trop restreintes à une plate-forme ou à un système de fichier (ZFS + snapshot par exemple). Elle va plutôt s'intéresser aux logiciels libres prenant en charge la déduplication.

Sous licence CC by-sa par Mrs. Gemstone

L'équipe d'Inverse est fière d'annoncer la disponibilité immédiate de la version 3.4 de PacketFence.

Nouveautés à 3.4

La version 3.4 de PacketFence offre plusieurs nouvelles fonctionnalités comme :

• le support du système d'exploitation Debian 6.0 (« Squeeze »)
• le contrôle d'accès à base de rôles (RBAC) pour les équipements sans fil de Cisco
• il est dorénavant possible de définir plus de 100 VLAN personalisés
• amélioration du processus d'importation massive de noeuds
• la prise en charge de nouveaux équipements de Brocade et Hewlett-Packard (H3C)

Plusieurs améliorations de performance ont été apportées, de même que certains correctifs.

Malgré un peu de retard (la sortie était le 21 mai) sur LinuxFr.org, les développeurs du projet nmap sont heureux d'annoncer la sortie de la version 6.0 du célèbre scanner de ports et de sa suite d'outils compagnons ! La principale nouveauté est la prise en charge complète d'IPv6 : tous les types de scans sont dorénavant pris en charge. Un nouveau moteur de prise d'empreinte de pile TCP/IP a spécialement été écrit, utilisant des techniques d'apprentissage machine.

De nouveaux scripts pour l'analyse en détail des réseaux audités, des dizaines de nouvelles bibliothèques. À noter ici le travail incroyable de Patrik Karlsson qui est à lui seul l'auteur d'environ la moitié des 348 scripts du projet. De très nombreuses améliorations des scripts et bibliothèques existantes, ainsi que de l'interface du moteur de script.

Suit une description plus détaillée des principaux changements. Peut être celle-ci incitera Batman, utilisateur héroïque mais pas à jour, à mettre à jour pour la v6.0 !

NdM : merci à Nÿco, Christophe Turbout, Yves Bourguignon et Benoît pour leur participation à l'écriture de cet article.

Le lundi 21 mai au soir, à Paris, se tiendra une conférence organisée par Parinux, expliquant les principes de base de la cryptographie et leur application dans les systèmes SSL et PGP. Cette conférence sera suivie par une signing-party PGP et CAcert.

• Contenu : explications sur la cryptographie, SSL et PGP puis signing-party
• Lieu : EPN la Bourdonnais, 105 avenue de la Bourdonnais, 75007 Paris
• Date : 2012-05-21 18:45+02:00
• Durée : 02:15

Pour le déroulement de la signing-party, il est demandé de :

1. générer un paire de clefs si vous n'en avez pas déjà une ;
2. envoyer votre clef publique et vous inscrire ;
3. imprimer quelques exemplaires de votre empreinte de clef ;
4. imprimer la liste des participants qui vous sera envoyée ;
5. venir munis de tout cela ainsi qu'un stylo et d'une (ou plusieurs) pièce d'identité.

Un nouveau venu fait son apparition dans le monde des VPN peer-to-peer sur Internet : Freelan. Ce logiciel libre licencié sous GPL permet d'établir un réseau VPN entre différents hôtes selon, au choix, un modèle peer-to-peer, client-serveur ou hybride. N'importe quelle topologie réseau est possible.

Plus de détails dans la suite de la dépêche

L'équipe d'Inverse est fière d'annoncer la disponibilité immédiate de la version 3.3 de PacketFence.

Nouveautés à 3.3

La version 3.3 de PacketFence offre plusieurs nouvelles fonctionnalités comme :

• Le contrôle d'accès à base de rôles (RBAC) pour les équipements d'AeroHIVE, Aruba, Meru et Motorola
• Les invités peuvent dorénavant s'enregistrer d'avance ou être parrainés
• La simplification dans l'utilisation du mode inline
• La prise en charge de nouveaux équipements d'Allied Telesis, Cisco et Hewlett-Packard

Plusieurs améliorations de performance ont été apportées, de même que certains correctifs.

Qu'est-ce que PacketFence ?

PacketFence est une solution sous licence GPLv2 de conformité réseau (NAC, c'est-à-dire qu'il permet de filtrer les appareils qui se connectent au réseau) entièrement libre, supportée et reconnue. Procurant une liste impressionante de fonctionnalités, elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Pastebin.com est un service qui permet à n'importe qui de partager des informations sous forme de texte. Jusqu'à peu, on pouvait partager tout et n'importe quoi, mais cela va changer ! Le propriétaire, Jeroen Vader, a en effet annoncé qu'il allait embaucher des employés pour modérer le contenu du site, sous la pression des nombreuses plaintes qu'il recevait (en moyenne 1200 par jour).

Partant de là, Seb Sauvage a commencé à développer un outil qui permettrait d'empêcher ce type d'auto-censure, dans un service similaire à pastebin. Le résultat est ZeroBin.

Le département informatique de l'IUT de Bordeaux en association avec l'UFR Math-Info de l'Université de Bordeaux, va ouvrir en septembre 2012, une licence professionnelle Spécialiste en Sécurité des Réseaux et Logiciels dans le domaine de la sécurité des réseaux et des logiciels (bac + 3).

Cette ouverture permettra de faire face à une crise importante en matière de formation et de recrutement dans ce domaine.

Une large part des contenus proposés dans cette formation s'appuie sur des logiciels libres et sur des systèmes basés sur le noyau Linux.
Cette formation s'appuie sur l’expérience acquise par l’équipe du Master Cryptologie et Sécurité Informatique et complétera les deux autres offres de licence professionnelle « Systèmes Informatiques et Logiciels » proposées depuis plus de 8 ans :

• Assistant Chef de Projet Informatique
• Développeur en Applications Web et Images Numériques

Access Road est un simulateur universel des contrôles d'accès logiques, pour améliorer la conception et l'audit de la sécurité. Une meilleure maîtrise de MySQL Server est la première utilisation pratique de Access Road.

Il contient la modélisation de Linux (composants et droits sur les fichiers) et de MySQL Server (composants et privilèges). Il simule aussi une application générique utilisant des rôles, selon le modèle 'Role Based Access Control'.

Access Road est pour le moment en anglais. Il est destiné aux administrateurs techniques, experts ou non en sécurité, et aux administrateurs d'application, même débutants.

Root Me est une plateforme d'apprentissage dédiée à la sécurité de l'information, avec l'émulation (dans tous les sens du terme). Sa communauté met à disposition de tous un nouveau système permettant d'appréhender dans un environnement réel, sans limites et sans simulation, les techniques les plus couramment employées.

Le principe est simple : les joueurs attaquent tous la même cible représentée par une machine virtuelle. Le premier ayant réussi à compromettre le système, c'est à dire ayant obtenu les droits d'administration a gagné.

LinID OpenLDAP Manager est une interface Web de configuration du produit d'annuaire LDAP OpenLDAP.

En effet, depuis peu, OpenLDAP permet de gérer sa configuration non plus dans un fichier plat (slapd.conf) mais dans un arbre LDAP (l'arbre cn=config). Cela rend possible l'utilisation de navigateurs LDAP standards pour l'édition de la configuration ; toutefois ces navigateurs atteignent vite leurs limites sur ce type de données techniques.

La société Linagora développe depuis plusieurs années un framework Java, nommé LinID Directory Manager, permettant de créer des interfaces Web de gestion de données LDAP. Ce framework est basé sur Tapestry 5 et Spring, entre autres. Ce framework a été utilisé pour créer une interface de configuration d'OpenLDAP, nommée donc LinID OpenLDAP Manager.

Elle est publiée sous licence AGPLv3.

Cette interface permet d’administrer plusieurs annuaires LDAP et peut se déployer soit comme une application standard dans Tomcat, soit en mode autonome (avec Jetty intégré).

Bien qu'encore assez récente, cette application permet d'effectuer les principales tâches d'administration de l'annuaire. La version 0.6 est sortie le 10 février dernier.

Inverse, société spécialisée en développement et déploiement de logiciels libres, annonce la sortie de la version 3.1 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre, supportée et reconnue. Procurant une liste impressionnante de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaire et sans fil, la prise en charge de 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

Une vulnérabilité vient d'être trouvée dans l'utilitaire sudo. Pour rappel, la commande sudo permet à l'administrateur système d'accorder à certains utilisateurs (ou groupes d'utilisateurs) la possibilité de lancer une commande en tant qu'administrateur ou un autre utilisateur. Cette vulnérabilité est présente dans la fonction sudo_debug où un appel à getprogname() est effectué. Or le nom de l’exécutable étant contrôlé par l'utilisateur, il est possible d'induire un comportement non voulu.

Les versions concernées sont les versions 1.8.0 à 1.8.3p1. La version 1.8.3p2 corrige la faille. Apprécions la rapidité de la correction : soumise le 24 janvier dernier au mainteneur de sudo (Todd C. Miller, programmeur OpenBSD), celui-ci propose un patch le 27 janvier et une nouvelle version corrigée le 30 janvier. Soit moins d'une semaine entre la découverte et la version corrigée. Il ne reste plus aux distributions qu'à mettre à jour leurs dépôts pour propager cette correction.

NdM : merci à erdnaxeli pour son journal.

Il y a quelques mois on apprenait la liquidation de la société Edenwall (ex INL) qui ayant racheté Prelude-IDS (solution de gestion des événements du système d'information, alias SIEM) en 2009 emportait ce dernier dans sa descente en enfer Edenwall : la descente en enfer et entraînant la fermeture du site.

Bonne nouvelle, Prelude-IDS est de retour. Lisez la suite de la dépêche !

Parmi d'autres mauvaises nouvelles concernant les libertés en général et le numérique en particulier, la dernière lettre de l'organisation EDRi (European Digital Rights) revient sur les compteurs électriques dits intelligents (qui remontent des informations sur votre consommation à votre fournisseur d'électricité).

Lors d'une conférence au congrès 28C3 en décembre dernier, deux chercheurs, Dario Carluccio et Stephan Brinkhaus, ont montré les failles d'un modèle de la société Discovergy, utilisé en Allemagne.