Stéphane Bortzmeyer a écrit 645 commentaires

En 2014, un hébergeur de courrier qui n'a pas TLS ? Cela me parait une raison largement suffisante pour en changer.

Et, en français, un excellent article sur LinuxFr https://linuxfr.org/news/une-faille-nommee-shellshock

Maintenant que c'est un peu calmé, on peut lire quelques bons articles :

• Une très bonne explication par le découvreur de la faille lui-même, ainsi qu’une discussion de ce que bash aurait dû faire pour ne pas nous mettre dans cette situation,
• Une autre discussion technique sur comment réparer le problème proprement, argumentant qu’ajouter automatiquement toute fonction contenue dans une variable d’environnement quelconque était de la folie,
• Pour éviter d’avoir cinquante mille PoC (Proof of Concept, une exploitation de la faille pour montrer qu’elle est réelle), un projet les regroupe toutes sur Github.

Euh, si l'attaquant peut écrire le script à volonté oui, mais, en pratique, dans une attaque à distance, l'attaquant n'a pas le choix, il doit exploiter les scripts existants sur le serveur :-)

Ou d'autres bons articles techniques comme http://lcamtuf.blogspot.fr/2014/09/quick-notes-about-bash-bug-its-impact.html ou https://news.ycombinator.com/item?id=8361574

En effet, ce serait tout à fait inutile. Le shell interactif de l'utilisateur n'est pas le problème (puisqu'on exécute le script avec ses privilèges), le problème est le /bin/sh du système, qui est appelé à des tas d'occasions.

Tous les script-kiddies de la planète sont à l'attaque depuis hier soir, notamment contre les sites Web : https://gist.github.com/anonymous/929d622f3b36b00c0be1

Quand on signale une faille de sécurité, cela vaut vraiment la peine d'indiquer le CVE. Cela permet de retrouver plus facilement. Donc, CVE-2014-6271

En effet, et un nouveau CVE a été attribué pour suivre cette vunérabilité dans la vulnérabilité, CVE-2014-7169. Attendez vous à un patch du patch http://seclists.org/oss-sec/2014/q3/685

Je peux dire en tout cas pourquoi j'utilise Twitter :

• le fait que ce soit public est un avantage Pas de réglages très compliqués de la vie privée (Facebook…) que personne ne comprend, et que de toute façon Facebook change quand il veut et viole encore plus souvent (PRISM…) Avec Twitter, le modèle de sécurité est simple à expliquer : tout est public (j'ignore les DM, assez peu utilisés).

• la limite de taille est plutôt un avantage. Cela évite les longs bla-blas et la créativité s'épanouit bien quand il y a des contraintes (alexandrins, haikus, limericks…)

"Reiter complained of having to wait weeks for an external mail server to be set up just so that he could get mail on his smartphone" Bon, si c'est vrai, il faut changer les informaticiens d'urgence, mon smartphone fait du courrier avec un serveur Debian et ça m'a pris une heure…

Il me semble que ces difficultés d'échange avec le reste du monde sont justement un très fort argument pour passer sur Linux. Cela illustre bien le manque d'indépendance de l'informatique par rapport à Microsoft, et la nécessité de secouer le joug.

Bien sûr que si, qu'OTR v3 demande toujours une authentification. Autrement, on serait trivialement vulnérable aux attaques de l'homme du milieu. La nouveauté d'OTR v3 est simplement d'ajouter une nouvelle possibilité d'authentification, fondée sur un secret partagé (les deux premières étant question/réponse et vérification du condensat de la clé publique). Il faut donc se mettre d'accord sur un secret commun (en utilisant un canal de communication sûr !), ne pas le perdre, etc. Pas vraiment Michu-compliant. https://securityinabox.org/en/pidgin_securechat#3.3

BitMessage est un protocole spécifique. On ne peut parler qu'aux utilisateurs de BitMessage. CaliOpen utilise les normes de l'Internet (IMF, SMTP, etc) et on peut donc parler aux gens qui n'utilisent pas CaliOpen.

C'est normal, on était au même atelier aux RMLL :-)

Avant de faire la publicité de ce rapport, il faudrait noter qu'il contient plein d'énormités nationalistes et, surtout, qu'il prône la censure (p. 65, soutien au gouvernement islamo-conservateur de Turquie, le félicitant d'avoir censuré Twitter).

Ouh là là, beaucoup d'erreurs et d'approximations dans ce message ! Commençons par les adresses IP : http://www.lemonde.fr/pixels/article/2014/07/01/couper-l-iran-du-web-la-mission-impossible-d-une-avocate-israelienne_4448267_4408996.html

Ensuite, pour le DNS, le DNS étant décentralisé, le domaine de M. Michu (mettons mmichu.fr) ne se trouve pas dans les serveurs racine et ne peut donc pas en être retiré.

Les domaines No-IP ont été rendus et remarchent à nouveau (deux bémols : certains domaines, comme no-ip.org, sont toujours chez Microsoft et les caches DNS feront que la réparation ne sera pas immédiate pour tout le monde).

Aucune communication publique à ce sujet, je ne sais pas si la justice US a changé d'avis ou bien si Microsoft a cédé.

Petite précision : c'est surtout difficile, dans le contexte de l'espionnage, d'exfiltrer toutes les données (ça se voit si le routeur copie tout son trafic à l'extérieur).

Dans le contexte du déni de service (arrêter les routeurs à distance), c'est sans doute plus facile d'avoir une porte dérobée peu détectable.

Pour un serveur, pas mal de composants ont leur propre ordinateur+OS, non libre, non audité, et qui a accès à tout le matos (la carte RAID, qui peut écrire partout en DMA, a son propre OS).

Les États-Unis n'ont pas d'alliés. Uniquement des vassaux et des ennemis.

Sérieusement, les types qui croient que Washington les considère comme des alliés (ce qui suppose un peu d'égalité et de respect mutuel), euh, comment dire, ils se font des illusions graves.

La plupart des mesures ne font pas de différence entre sondes installées dans un cœur de réseau et sondes installées chez un particulier. Ce n'est dailleurs que depuis très récemment (trois semaines ?) que l'hébergeur d'une sonde a la possibilité d'indiquer le type d'hébergement, via des "tags" qu'il met dans l'interface Web de gestion des sondes.

Il est important qu'il y ait des sondes aux divers endroits : cela donne des points de vue différents. Partout où il y a de l'Internet, il faut qu'il y ait des sondes :-)

Non, l'amer semble avoir été éteint depuis.

L'Atlas n'a pas de privilèges particuliers : elle envoie des paquets IP et prie qu'ils arrivent. Il ne servirait donc à rien de la brancher dans un réseau fasciste où seul TCP/80 est autorisé en sortie.

Pour trouver où c'est le plus utile, le mieux est d'utiliser le moteur de recherche https://atlas.ripe.net/results/maps/network-coverage/ qui permet de chercher par localisation physique, par numéro d'AS, par préfixe.