Journal Security quotes of the (past) week

Posté par  .
Étiquettes :
12
6
avr.
2012

Lu sur LWN :
“We wouldn’t share this with Google for even $1 million,” says [Vupen's Chaouki] Bekrar. “We don’t want to give them any knowledge that can help them in fixing this exploit or other similar exploits. We want to keep this for our customers.”

Those customers, after all, don’t aim to fix Google’s security bugs or those of any other commercial software vendor. They’re government agencies who ­purchase such “zero-day” exploits, or hacking techniques that use undisclosed flaws (…)

Journal Les avantages du paiement sans contact.

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
21
5
avr.
2012

Ave

Vous avez un téléphone dernier cri, avec le NFC/paiement sans contact ?

Bravo.

Retenez-vous encore un peu de l'utiliser, parce que c'est moyennement sécurisé (ça me rappelle ceux qui parlaient de sécurité totale avec le WEP, à une époque pas si lointaine.

Un article qui détaille tout cela
http://www.securityvibes.fr/produits-technologies/visa-mastercard-carte-sans-contact/

L'expression "chérie, je vais retirer de l'argent dans le métro et je reviens" va devenir populaire.

Je m'étais marré à la lecture du hors-série de MISC sur les cartes à (…)

Sécurité des Réseaux et licence professionnelle à Bordeaux

Posté par  (site web personnel) . Édité par baud123. Modéré par Florent Zara.
16
27
mar.
2012
Sécurité

Le département informatique de l'IUT de Bordeaux en association avec l'UFR Math-Info de l'Université de Bordeaux, va ouvrir en septembre 2012, une licence professionnelle Spécialiste en Sécurité des Réseaux et Logiciels dans le domaine de la sécurité des réseaux et des logiciels (bac + 3).

Cette ouverture permettra de faire face à une crise importante en matière de formation et de recrutement dans ce domaine.

Une large part des contenus proposés dans cette formation s'appuie sur des logiciels libres et sur des systèmes basés sur le noyau Linux.
Cette formation s'appuie sur l’expérience acquise par l’équipe du Master Cryptologie et Sécurité Informatique et complétera les deux autres offres de licence professionnelle « Systèmes Informatiques et Logiciels » proposées depuis plus de 8 ans :

  • Assistant Chef de Projet Informatique
  • Développeur en Applications Web et Images Numériques

HTTPS Everywhere en version 2.0.1

Posté par  . Édité par Florent Zara, Nÿco et detail_pratique. Modéré par Lucas Bonnet. Licence CC By‑SA.
42
6
mar.
2012
Internet

HTTPS Everywhere est une extension Firefox éditée par l'Electronic Frontier Foundation qui permet de remplacer automatiquement l'URL d'un site web par son équivalent HTTPS. Ce n'est pas forcément simple parce que pour beaucoup de sites, il ne suffit pas d'ajouter un s à http. Par exemple, jusqu'à récemment, la version HTTPS de Google n'était accessible que sur https://encrypted.google.com.

Logo HTTPS Everywhere

L'extension maintient donc une base de données pour effectuer les correspondances. Cette version 2.0.1 apporte une base plus grande (404 nouvelles règles depuis la version 1.2.2) mais aussi un Decentralized SSL Observatory (observatoire SSL décentralisé) qui permet d'envoyer de manière anonyme les certificats à une base de données de l'EFF pour qu'ils soient étudiés par cette dernière afin de détecter les éventuelles failles. L'observatoire permet aussi de signaler les éventuels problèmes en temps réel. Pour l'instant seuls les certificats qui ont été générés à partir d'une clef privée faible — à cause d'une machine ayant un générateur de nombre aléatoire buggé — sont signalés. Enfin, cette version 2 fonctionne désormais aussi sur le navigateur de Google : Chrome.

NdA : Merci à detail_pratique pour son aide lors de la rédaction de cette dépêche.

Sortie de Access Road 0.7

Posté par  . Édité par claudex et Nÿco. Modéré par Nÿco. Licence CC By‑SA.
Étiquettes :
15
5
mar.
2012
Sécurité

Access Road est un simulateur universel des contrôles d'accès logiques, pour améliorer la conception et l'audit de la sécurité. Une meilleure maîtrise de MySQL Server est la première utilisation pratique de Access Road.

Il contient la modélisation de Linux (composants et droits sur les fichiers) et de MySQL Server (composants et privilèges). Il simule aussi une application générique utilisant des rôles, selon le modèle 'Role Based Access Control'.

Access Road est pour le moment en anglais. Il est destiné aux administrateurs techniques, experts ou non en sécurité, et aux administrateurs d'application, même débutants.

Petits heurts (contre une porte fermée) entre amis

Posté par  (site web personnel) . Édité par dmaciejak, baud123, Benoît Sibaud, Nÿco et claudex. Modéré par tuiu pol. Licence CC By‑SA.
45
24
fév.
2012
Sécurité

Root Me est une plateforme d'apprentissage dédiée à la sécurité de l'information, avec l'émulation (dans tous les sens du terme). Sa communauté met à disposition de tous un nouveau système permettant d'appréhender dans un environnement réel, sans limites et sans simulation, les techniques les plus couramment employées.

Le principe est simple : les joueurs attaquent tous la même cible représentée par une machine virtuelle. Le premier ayant réussi à compromettre le système, c'est à dire ayant obtenu les droits d'administration a gagné.

Root Me : CTF all the day

Journal 8 mois de prison pour avoir exploité une faille de sécurité

Posté par  . Licence CC By‑SA.
Étiquettes :
33
18
fév.
2012

Glenn Mangham, un brillant étudiant britannique de 26 ans, qui avait réussi à utiliser en avril 2011 certaines failles de facebook pour passer dans une partie interne du site, et en copier des informations confidentielles, a été condamné à 8 mois de prison.

Je n'ai pas réussi à trouver s'il s'agit de 8 mois de prison ferme, ou avec sursis.

Quoi qu'il en soit, celui que son avocat décrit comme « hacker éthique » (il n'a pas tiré profit de (…)

Deux extensions originales pour Firefox

Posté par  (site web personnel) . Édité par Nÿco, Lucas Bonnet et baud123. Modéré par baud123. Licence CC By‑SA.
Étiquettes :
40
15
fév.
2012
Mozilla

Développé par la fondation Mozilla, le navigateur web Firefox est connu pour avoir un vaste écosystème d'extensions. Récemment deux nouvelles extensions originales et intéressantes sont apparues et elles méritent qu'on s'y intéresse d'un peu plus près.

Sortie de Qubes Bêta 3

Posté par  . Édité par Nÿco, baud123, Benoît Sibaud et NeoX. Modéré par Xavier Teyssier. Licence CC By‑SA.
Étiquettes :
26
9
fév.
2012
Virtualisation

Qubes sort en version Bêta 3, annoncée sur le blog de Joanna Rutkowska. Qubes O.S. est un système d'exploitation Open Source étudié pour fournir une sécurité renforcée sur un poste utilisateur par l'isolation en machines virtuelles.

État d'insécurité chez PHP

Posté par  (site web personnel) . Édité par Lucas Bonnet et Bruno Michel. Modéré par Bruno Michel. Licence CC By‑SA.
Étiquettes :
44
4
fév.
2012
PHP

Il y a quelques mois était publiée la version 5.3.7 de PHP, sans s'assurer que certains bugs critiques, comme celui de la fonction crypt(), avaient été corrigés.

Cela avait conduit a une sortie précipitée de PHP 5.3.8 contenant les correctifs nécessaires avec une alerte pour la version 5.3.7 .

Beaucoup ont alors espéré que les développeurs de PHP allaient changer de méthodes de travail.

Le 10 janvier sortait la version 5.3.9 de PHP qui contenait, entre autres, un correctif pour une vieille faille de sécurité qui permettait de fabriquer facilement des collisions dans une hashtable conduisant à un déni de service (faille déjà mentionnée ici-même).

Le hic fut que le correctif introduisait une nouvelle faille de sécurité qui, pour éviter de permettre de faire des collisions, permettait une exécution arbitraire de code.

Le 2 février fut publié la version 5.3.10, qui corrige la faille introduite par le correctif précédent.

Vulnérabilité dans sudo

Posté par  (site web personnel) . Édité par Benoît Sibaud, Florent Zara et Lucas Bonnet. Modéré par patrick_g.
Étiquettes :
36
31
jan.
2012
Sécurité

Une vulnérabilité vient d'être trouvée dans l'utilitaire sudo. Pour rappel, la commande sudo permet à l'administrateur système d'accorder à certains utilisateurs (ou groupes d'utilisateurs) la possibilité de lancer une commande en tant qu'administrateur ou un autre utilisateur. Cette vulnérabilité est présente dans la fonction sudo_debug où un appel à getprogname() est effectué. Or le nom de l’exécutable étant contrôlé par l'utilisateur, il est possible d'induire un comportement non voulu.

Les versions concernées sont les versions 1.8.0 à 1.8.3p1. La version 1.8.3p2 corrige la faille. Apprécions la rapidité de la correction : soumise le 24 janvier dernier au mainteneur de sudo (Todd C. Miller, programmeur OpenBSD), celui-ci propose un patch le 27 janvier et une nouvelle version corrigée le 30 janvier. Soit moins d'une semaine entre la découverte et la version corrigée. Il ne reste plus aux distributions qu'à mettre à jour leurs dépôts pour propager cette correction.

NdM : merci à erdnaxeli pour son journal.

Quelques aspects de la sécurité qui n'ont rien a voir avec le « Sandboxing »

Posté par  (site web personnel) . Édité par claudex et Lucas Bonnet. Modéré par claudex.
55
22
jan.
2012
Mozilla

Ceci est une traduction de mon entrée de blog récente. Quelques remarques avant de commencer :

  • Mon biais : je travaille chez Mozilla Corporation sur WebGL ;
  • le titre original de mon entrée de blog était trop long pour la limite de longueur de titres. Il ne s'agit pas seulement de « Sandboxing » ;
  • la traduction est parfois un peu libre, un peu différente de l'original.

D'autre part, comme ici on est chez les Français râleurs, je n'ai pas à prendre autant de pincettes que dans mon blog agrégé sur Planet Mozilla. Donc soyons clairs, ce texte se veut un coup de gueule. Il y a des soi-disant experts en sécurité qui prétendent que Firefox est vulnérable parce qu'il lui manque telle ou telle fonctionnalité présente chez tel concurrent. Sans vouloir nier l'utilité de ces fonctionnalités, j'ai pensé qu'il était temps de remettre les pendules à l'heure : la sécurité des navigateurs est un sujet trop vaste pour qu'une ou deux techniques en particulier puissent faire une grande différence au total, et ces « experts » et autres journalistes se ridiculisent en répétant, sans distance critique, le marketing d'une entreprise… avec laquelle je ne tiens pas à me brouiller, car si je critique son marketing, j'ai souvent eu à travailler avec ses ingénieurs dans les comités de standards, et ça se passe très bien.

Au fil de mon blog, j'ai largement dévié sur un autre sujet qui me tient à cœur : la sécurité de WebGL, qui a elle aussi été victime d'une campagne de dénigrement de la part, cette fois-ci, d'un autre concurrent, qui lui n'a vraiment pas fait dans la dentelle alors qu'ils avaient eux-mêmes une technologie avec les mêmes « failles ».

Sur ce, la traduction de ce blog se trouve en seconde partie

NdM : merci à Benoit Jacob pour son journal.