Un épisode sur NAXSI un WAF — parefeu applicatif pour le web — open-source avec Thibault Koechlin et Sébastien Plot : quoi de mieux comme occasion pour porter à votre connaissance l'existence d'un podcast (ou bala(do)diffusion) dédié à la cybersécurité ?

No Limit Secu est un podcast indépendant, animé par des personnes passionnées qui sont parties prenantes dans le domaine de la cybersécurité à des rôles et dans entreprises diverses.

L'équipe du podcast prend beaucoup de plaisir à réaliser ces épisodes et souhaite partager cela avec la communauté LinuxFr.org. Dans la mesure du possible, un nouvel épisode est publié chaque semaine. C'est donc aussi l'occasion de vous proposer de contribuer à un épisode si vous souhaitez aborder une problématique ou traiter d'un sujet dans lequel vous êtes impliqué(e) (bien entendu, dans le domaine de la cybersécurité). Pour cela, vous pouvez contacter l'équipe via Twitter : @nolimitsecu.

Il s'est passé quelque chose d'assez extraordinaire ces derniers jours pour GnuPG, alors j'aimerais en parler pour que tout le monde soit au courant.

Voici la suite des « études » des leaks (fuites) de Snowden menées pour NSA-Observer. Dans cet article, nous allons revenir sur les révélations du Spiegel datant de fin décembre lors du 31c3 (Chaos Computer Congress) et du 17 janvier 2015 portant sur les moyens offensifs de la NSA ainsi que d'autres agences concernant la cryptographie.

La conférence « Reconstructing narratives » de Laura Poitras et Jacob Appelbaum présentant ces documents est visible ci-dessous (mais aussi sur le site du CCC) :

• mp4
• webm

BULLRUN, qu'est ce que c'est ?

BULLRUN est un « programme » de la NSA exploitant différents moyens pour accéder à du contenu chiffré. Le New York Times avait abordé le sujet fin 2013 dans son article « Secret Documents Reveal N.S.A. Campaign Against Encryption » mais sans aucun détail (comme The Guardian ou encore propublica).

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

• [ZDNet France] Les SI en 2014: entre rétrospective et perspective
• [LeMonde.fr] Ouvrir les algorithmes pour comprendre et améliorer les traitements dont nous sommes l’objet
• [Libération] Un internaute, ça nage énormément
• [Numerama] L'Europe débloque 1 million d'euros pour auditer ses logiciels open-source
• [ludomag] Un appel en faveur des formats ouverts dans l’Education Nationale

Basé sur les dépêches et journaux les mieux notés par nos visiteurs, voici un petit retour sur l'année 2014 sur LinuxFr.org.

Mentions particulières

La dépêche collaborative sur le noyau Linux a remporté un grand succès tout au long de l'année, avec les diverses versions parues : 3.13, 3.14, 3.15, 3.16, 3.17 et 3.18.

La saga Je créé mon jeu vidéo de rewind a placé ses 6 épisodes de l'année dans la sélection (fiche de lecture de « L'Art du game design » par Jesse Schell, techniques de C++11 appliquées au système à entités, génération procédurale de carte (partie 1), génération procédurale de carte (partie 2), interfaces physiques et graphiques et un an, premier bilan ), et a fêté son premier anniversaire.

On notera aussi d'autres sujets régulièrement traités, comme Firefox (28, 29, 30, 31, 32, 33, 34, Firefox en GTK3, et côté Firefox OS un avis et un test de création de jeu), rust (0.9, 0.10, 0.11, 0.12) ou systemd (là y en a vraiment trop pour les citer tous).

Depuis quelques années, la correction dématérialisée du baccalauréat a été mise en place dans certains établissements français à l'étranger (dépendants de l'AEFE) - mais aussi pour certains concours semble-t-il).
Cette dépêche propose — en seconde partie — de faire un point, non exhaustif, sur ce procédé et de voir les problèmes induits par cette technique.

Suite à la découverte des failles sur OpenSSL, les développeurs d’OpenBSD ont publié les premières versions de leur fork LibreSSL : d’abord la 2.0.0 le 11 juillet 2014, puis la 2.1.0 le 12 octobre et la 2.1.1 le 16 octobre. Elles sont disponibles sur leur site FTP.
Les buts sont de moderniser la base de code, améliorer la sécurité, et appliquer les bonnes pratiques de développement (modernizing the codebase, improving security, and applying best practice development processes).

Plusieurs projets ont déjà cherché à remplacer OpenSSL. Par exemple, LibreSSL est censé fonctionner sous GNU/Linux, Solaris, Mac OS X ou FreeBSD.

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

• [Slate.fr] Shellshock, la nouvelle faille qui inquiète Internet, est-elle pire qu'Heartbleed? Difficile de le savoir
• [Next INpact] La ministre de l’Éducation veut que les enfants soient initiés au code
• [Next INpact] Fleur Pellerin consacre la Hadopi en enterrant son transfert au CSA
• [ZDNet] Pratique: le guide du logiciel libre pour les TPE-PME
• [Framablog] Enercoop: libérer les énergies
• [WSJ.com] Hard Times for Software Patents
• [France Culture] Nous et nos données
• [Marianne] Traité transatlantique: le gouvernement demande enfin la transparence!

« ShellShock », une faille dans l'usage du shell Bash, est sous les projecteurs depuis quelques jours. Le terme est un jeu de mot entre la stupeur propre à l'obusite des combattants de la première guerre mondiale et l'interface système shell. Nous vous proposons des explications sur cet évènement particulier, son périmètre, les conditions de son exploitation, les surfaces d'attaques, et les solutions proposées, déjà mises en œuvre ou à venir. Enfin, une revue de presse sera dressée, cette faille s'étant transformée en évènement.

Haka est un framework/langage basé sur Lua et destiné à appliquer des règles sur du trafic réseau en temps réel. Il permet aussi bien de faire un pare-feu classique, filtrant « bêtement » sur les ports, qu'un pare-feu applicatif. Il utilise la notion de dissecteur qui, une fois la grammaire du langage décrite, permet de définir différents événements qui pourront être utilisés dans les règles définies.

Il faut noter que ce n'est que le tout début du langage, il manque encore certaines fonctionnalités critiques.

Haka est sous licence MPL 2.