ka.da - Tag - sécurité

ssh : supprimer une entrée du fichier known_hosts

er:k — Thu, 30 Aug 2007 23:46:00 +0200

pour ne pas rechercher sans fin cette astuce quand j'en ai besoin...

Sous Debian, quand on se connecte à un serveur ssh, avec les options par défaut, il y a une vérification de la signature de la clé du serveur. Ces signatures sont enregistrés dans le fichier ~/.ssh/known_hosts et lorsqu'on se connecte à un serveur auquel on s'est déjà connecté, le client vérifie si la clé du serveur n'a pas changé, cela afin d'éviter des problèmes de sécurité (connexion à un serveur usurpateur).
Le problème se pose lorsqu'on sait que la clé a changé, par exemple si c'est un serveur qu'on gère et qu'on vient de le réinstaller, et que le client ssh n'arrête pas de se plaindre que la clé est mauvaise et ne veut à aucun prix s'y connecter. Dans ce cas, il faut éditer le fichier et enlever l'entrée correspondante qui pose problème... hum... malheureusement, maintenant c'est difficile à faire le fichier étant hashé. La commande magique c'est donc

ssh-keygen -R <nom_du serveur_SSH>

[vu sur linuxfr]

un peu de tout

er:k — Thu, 30 Aug 2007 23:42:00 +0200

De retour de vacances, un petit billet concernant quelques informations intéressantes sorties pendant que j'étais offline :

Democracy Player, un lecteur libre de vidéo permettant d'agréger à la fois votre collection personnelle de vidéos et celles disponibles sur le web, et basé sur la technologie XUL^[1], change de nom et devient Miro [via]. À essayer pour passer à une autre dimension dans le visionnage de vidéos. À comparer à Songbird dans le domaine de la musique;
j'ai eu récemment l'occasion de tester Alfresco, la solution de référence GED/ECM dans le monde du libre, lors d'un déploiement professionnel. C'est un bon outil avec une très bonne ergonomie et qui me semble bien conçu. Le seul vrai défaut à mon goût est la complexité de déploiement si on ne veut pas utiliser le package complet mais utiliser les paquets MySQL, Java, Tomcat de sa distribution (Debian dans mon cas). En tout cas, Alfresco vient de sortir en version 2.1 et propose un rapport intéressant sur l'utilisation de cet outil, on y voit par exemple :
- que Alfresco est testé à égalité sous Linux que sous Windows mais majoritairement déployé sous Linux;
- que ces déploiements se font plus en utilisant les serveurs d'applications libres Tomcat ou JBoss que les solutions propriétaires de Sun, IBM ou BEA;
- MySQL et PostgreSQL sont les deux bases de données les plus utilisées (sachant que la base par défaut est HSQL) et Oracle la première propriétaire.
il semble que la fameuse "affaire SCO"^[2] soit enfin terminée... 4 années de FUD de la part de SCO et ses alliés (Microsoft en tête) contre le logiciel libre et Linux qui semblent enfin se terminer... ouf !^[3]
un comparatif de solutions de filtrage de virus sous Linux révèle que ClamAV une solution libre tient la route aux côtés de Kaspersky et Norton, ces trois étant les seuls à détecter 100% des virus soumis;
et le propriétaire de Snort (un IDS libre), la société Sourcefire vient justement d'acquérir ClamAV;
pendant que Citrix achète la société XenSource, l'éditeur de Xen [via]
la guerre des formats bureautiques^[4] continue avec la saga de normalisation ISO de OpenXML (dont j'avoue avoir peu parlé ces temps-ci), je vous renvoie vers ces 2 articles sur linuxfr : 1 2 et un article intéressant Microsoft Office XML formats ? Defective by design;

Notes

[1] comme Firefox, Songbird

[2] plus d'infos sur Wikipedia EN ou sur la partie consacrée du site Groklaw

[3] en tout cas, déjà une bonne nouvelle : "l'action SCO côtée au NASDAQ (SCOX) a chûté de 71.79% à 0,44$ aujourd'hui 13 août (sa cotation suit d'ailleurs une courbe descendante depuis plusieurs années)", je pense qu'il ne devrait plus rester grand chose de cette société dans quelques mois

[4] dont j'ai déjà parlé ici ou là

chiffrement de disque dur... la suite

er:k — Sun, 08 Jul 2007 18:34:00 +0200

Je vous parlais l'autre jour de la sécurité qu'apporte un chiffrement complet de disque dur. Mais malheureusement, actuellement, sous Linux, vous êtes obligé de garder une partie non chiffrée qui est /boot, et l'intégrité de celle-ci devient essentielle pour assurer la sécurité de l'ensemble des données. On trouve justement sur ce billet un rapide howto sur les modifications à faire sur votre système Debian pour le faire booter sur un cdrom contenant le kernel et tout ce qui va bien tiré de /boot.

non testé

sécurité informatique

er:k — Sat, 09 Jun 2007 19:43:00 +0200

Une série de billets (datant de fin 2006 mais bien évidemment toujours d'actualité) de Russell Cooker concernant la sécurité informatique (des données surtout) en environnement professionnel (les commentaires sont à lire également) :

les commentaires m'ont renvoyé vers des sites comme :

libgfshare -- A secret sharing library qui est une bibliothèque permettant de séparer un secret (comme une clé privée GPG) en plusieurs morceaux dont un certain nombre sont indispensables pour recomposer le secret;
une réponse aux billets de Russell;
security engineering - the book un livre sur l'ingénierie de la sécurité consultable en ligne.

Le principe du chiffrement de disque dur est aujourd'hui un moyen simple et efficace de protéger des données pouvant être volées (sur des ordinateurs portables bien sûr mais également sur des postes fixes). Heureusement aujourd'hui les plus grandes distributions Linux le supportent nativement, et c'est bien sûr le cas de Debian. Si vous devez donc en installer une, je vous conseille d'activer le chiffrement du disque dur. C'est ce que j'ai fait pour mon portable en suivant le petit guide disponible sur le blog de Uwe Hermann.

mise à jour OpenBSD

er:k — Sat, 26 May 2007 19:49:00 +0200

J'avais pris un peu de retard sur ma version d'OpenBSD donc j'ai rattrapé celui-ci ces derniers jours :

migration de 3.9 vers 4.0 en suivant le guide officiel et en utilisant la même méthode qu'indiqué ici;
migration de 4.0 vers 4.1 : guide officiel;
ensuite pour être complètement à jour, j'ai suivi le guide pour suivre -stable.

des nouvelles de Microsoft et Windows

er:k — Tue, 15 May 2007 16:32:00 +0200

un article qui explique comment Microsoft paye certaines grandes entreprises pour que celles-ci coupent l'accès de leurs employés à Google. Ceci afin de relancer leur moteur de recherche Windows Live Search (qui détient 8,9% du marché contre 54% pour Google). Pathétique, mais quand on a pas la meilleure techno, les meilleures idées ou la meilleure image de marque, heureusement qu'on a le meilleur compte en banque...;
Microsoft is dead;
le système de mise à jour automatique de Windows utilisé pour télécharger du code malveillant;
un nouveau cheval de troie : le processus d'activation Windows
un écran bleu Vista : cool, ça nous manquait ;-)

c'est toujours aussi drôle les billets sur Microsoft/Windows, il faut que je m'y mette plus régulièrement.

ps : j'ai oublié Selon Microsoft, les logiciels libres utilisent 235 de ses brevets. (mais SCO a également dit ça... ;-)

de la pertinence de l'industrie de la sécurité informatique

er:k — Fri, 04 May 2007 17:32:00 +0200

Bruce Schneier a publié un billet intéressant à propos de l'industrie de la sécurité informatique. Il suit une interview qu'il a donné et qui a provoqué quelques remous, nécessitant donc quelques compléments d'explication.

Je ne vais pas détailler le contenu du billet^[1] mais juste en faire une petite citation :

The primary reason the IT security industry exists is because IT products and services aren't naturally secure. If computers were already secure against viruses, there wouldn't be any need for antivirus products. If bad network traffic couldn't be used to attack computers, no one would bother buying a firewall. If there were no more buffer overflows, no one would have to buy products to protect against their effects. If the IT products we purchased were secure out of the box, we wouldn't have to spend billions every year making them secure.

dont une traduction approximative serait

La raison principale de l'existence de l'industrie de la sécurité informatique est que les produits et services informatiques ne sont pas naturellement sûrs. Si les ordinateurs étaient protégés des virus, il n'y aurait pas besoin de produits antivirus. Si le mauvais trafic réseau ne pouvait être utilisé pour attaquer les ordinateurs, personne ne s'inquièterait d'acheter un pare-feu. Si il n'y avait plus de débordement de tampon, personne n'aurait besoin d'acheter des produits pour se protéger contre leurs effets. Si les produits informatiques que nous achetons étaient sûrs par défaut, nous n'aurions pas besoin de dépenser des milliards chaque année pour les rendre plus sûrs.

C'est marrant parce que c'est exactement la théorie que je défend avec les utilisateurs de Windows quand ils me parlent d'antivirus, d'antispyware, de parefeu, etc. et qu'ils me soutiennent qu'ils sont absolument nécessaires...
Bien entendu, je leur dit qu'ils n'ont qu'à passer sous Linux ;-)

Notes

[1] je vous laisse le lire, ça vous permet de réviser votre anglais en plus... ;-)

Firefox^WIceweasel 2 est sorti...

er:k — Tue, 19 Dec 2006 09:57:36 +0000

Comme vous le savez sûrement^[1] Mozilla Firefox 2.0 est sorti. Je vous passe la liste des nouveautés, vous renvoyant plutôt vers la page officielle, néanmoins en voici quelques-unes que j'ai remarqué plus particulièrement :

Firefox possède maintenant un restaurateur de session. Quand vous fermez celui-ci avec des onglets ouverts, il vous les rouvrira au prochain lancement (paramétrable dans les préférences) :
la gestion des flux RSS est améliorée puisque vous pouvez avoir un aperçu avant de l'insérer dans le gestionnaire interne de Firefox ou l'envoyer vers une application sur votre ordinateur ou même un service en ligne ;
Firefox possède maintenant un détecteur de phishing ;
la possibilité d'annuler la la fermeture d'un onglet (bouton droit sur un onglet) est une fonctionnalité très intéressante.

Plus d'infos sur les choix faits sur l'ergonomie des onglets

J'en ai profité pour faire le tour du site dédié aux extensions et thèmes des produits Mozilla pour découvrir les dernières (extensions) indispensables, dont beaucoup liées à la sécurité ou la protection de la vie privée ('privacy'), en voici quelques unes :

CookieSafe est l'extension indispendable pour gérer les cookies sous Firefox, offrant (enfin !) une ergonomie comparable à celle de Mozilla Suite/Seamonkey ;
NoScript vous offre une protection accrue en désactivant par défaut Javascript et vous permettant de l'activer que pour certains domaines de confiance ;
Flashblock pour désactiver les animations flash qui polluent les pages web (pubs principalement, entêtes...) et les réactiver ponctuellement ;
SafeHistory et SafeCache pour des protections supplémentaires quand vous surfez ;
CFG.Search est l'extension indispensable si vous utilisez Gmail ou tout autre service Google mais que vous ne voulez pas laisser des cookies à chaque recherche... je ne l'ai pas encore testée, mais elle semble très intéressante ;
Foxtor pour facilement basculer entre utilisation de Tor ou pas ;
Stealther pour temporairement désactiver TOUT (cache, historique, cookies, referer...) et Distrust pour la même chose ;
et bien sûr l'extension pour Beagle.

Sinon, à côté de ça, sachez que sur Debian (et donc potentiellement toutes les dérivées, telle Ubuntu) Firefox, Thunderbird et Mozilla Suite/Seamonkey ont été remplacées par respectivement IceWeasel, IceDove et IceApe. Sans entrer dans les détails et encore moins sur la polémique que l'on a vu fleurir sur les blogs des divers "camps", sachez que ces "forks" sont dûs à des problèmes de copyright de la Fondation Mozilla sur ses produits. Ces copyrights interdisent de distribuer ces logiciels avec leur nom et les icônes associés si le code source a été modifié... ce qui est une hérésie du point de vue Linux et open source (à quoi sert le code source si on ne peut le modifier ?) et une impossibilité pour Debian (qui corrige les failles de sécurité pendant toute la durée de vie de sa branche stable, celle-ci étant énormément plus longue que le support offert par la MoFo/MoCo^[2]). Je vous encourage à parcourir les sites de news et les blogs pour découvrir plus en détail cette affaire si elle vous intéresse, je pense que vous trouverez assez facilement...

[Vous pouvez trouver plus d'infos par ex sur cette page qui semble être celle du mainteneur Debian des paquets Mozilla/GnuZilla/IceLizard]

Notes

[1] vu le retard que je prends au niveau des billets de ce blog... le manque d'internet à la maison n'aidant pas...

[2] Mozilla Foundation/Mozilla Corporation

patcher OpenBSD

er:k — Sun, 05 Nov 2006 19:04:27 +0000

À la suite de ce billet, voyons maintenant comment patcher notre serveur OpenBSD de façon plus simple, en procédant patch par patch, une fois qu'on a récupéré les sources complètes.

Sur la page d'errata de notre version (3.9 en l'occurence), on trouve les patchs par alerte de sécurité.

Prenons comme l'exemple, la dernière concernant OpenSSH, datée du 12 octobre^[1].

On récupère le patch concerné par exemple dans /tmp

# cd /tmp;
# ftp ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.9/common/015_ssh.patch

on lit l'entête du fichier pour connaître les instructions de déploiement du patch, et on les suit

# more /tmp/015_ssh.patch

on applique le patch

# cd /usr/src
# patch -p0 < /tmp/015_ssh.patch

on recompile et on installe

# cd usr.bin/ssh
# make obj
# make cleandir
# make
# make install

et, même si ce n'est pas indiqué, on arrête et redémarre le service ssh

# ps ax | grep sshd
 <pid> ??  Is      0:00.07 /usr/sbin/sshd
# kill <pid>; /usr/sbin/sshd

Notes

[1] tiens... anniversaire de la découverte de l'Amérique par Christophe Colomb en 1492 (cf Wikipedia)

un peu de tout (ça faisait longtemps...)

er:k — Mon, 25 Sep 2006 22:39:16 +0000

Une série de news et de liens intéressants recoltés sur le web... (sans classement ni hiérarchie)

décoder un signal morse envoyé sous forme de fichier audio [via]
la photo d'une femme... pas mal, mais complètement numérique, faites sous Photoshop [via]
Pourquoi Apple ne dominera pas la traduction d'un article anglais [via]
Windows Vista, le matraquage commence ! entre ça et les élections de l'année prochaine...
Les machines de votes électroniques installées dans certains endroits des Etats-Unis sont vulnérables aux attaques de hackers.... ça mériterait un billet entier...
Debian Etch n'est pas prêt pour sortir, en effet, tout marche du premier coup ! :)
un blog intéressant parlant de Ubuntu et Debian (par ex 10,000 bugs away from World Domination)
Wikipedia forke soit disant pour améliorer la qualité... on verra ce que ça peut donner
créer vos mini-cartes de visite à partir de vos photos flickr avec moo, magnifique ! [via]
le baladeur Microsoft Zune ne permettrait pas de lire le contenu Microsoft 'Play For Sure' : risible... ou pathétique... [via]
des serveurs Tor se font saisir en Allemagne mais c'est un "effet de bord"^[1] [via]
La MPAA utilise des labradors contre le piratage j'ai dit quoi au dessus ? ah oui "risible... ou pathétique..."^[2]
un nouveau concept de logiciel photo by Microsoft : l'idée c'est de réunir les photos de tous les internautes en regroupant les photos du même sujet, permettant ainsi une vraie visualisation de celui-ci... il faut voir l'implémentation... [via]
La seule chose dont je suis incapable et le chômeur est-il coupable ?

Notes

[1] Tor est un logiciel permettant de se promener anonymement sur internet

[2] la MPAA est l'équivalent de la SACEM pour le cinéma américain

RFID : les passeports électroniques ne sont pas sécurisés

er:k — Tue, 05 Sep 2006 13:31:20 +0000

Vu sur vnunet.fr

test de pénétration informatique

er:k — Wed, 12 Jul 2006 11:01:35 +0000

Une page avec une représentation du déroulement d'un test de pénétration informatique, depuis la recherche de vulnérabilité ou le scan de ports, jusqu'au cracking de password. Tout cela représenté sous forme d'un graphique avec des liens permettant d'obtenir des détails. Sympa.

[via LiveMarks]

mise à jour de sécurité pour Dotclear

er:k — Tue, 06 Jun 2006 23:00:27 +0000

La version 1.2.5 de Dotclear corrigeant une faille de sécurité vient de sortir. Quelqu'un ayant déjà publié un exploit, il est fortement^[1] conseillé de mettre à jour. Vous pouvez télécharger la nouvelle version sur le site ou regardez sur le forum pour plus de détails.^[2]

[via neokraft]

Notes

[1] même si les conditions pour pouvoir exploiter la faille sont assez particulières

[2] il n'est en effet pas nécessaire de tout réinstaller si vous êtes déjà en version 1.2.4, seuls quelques fichiers nécessitant une mise à jour

règles PF OpenBSD pour le Freeplayer

er:k — Mon, 22 May 2006 19:46:47 +0000

Si vous êtes vous aussi un abonné Free, vous connaissez probablement déjà le Freeplayer^[1], mais savez-vous configurer votre firewall OpenBSD (placé bien évidemment derrière la Freebox) pour laisser passer le flux nécessaire... hum, peut-être pas, alors voici les règles de base nécessaires :

on définit d'abord quelques macros dans /etc/pf.conf

net_if = "xl0"         # nom de l'interface connectée à internet via la Freebox
lan_if = "xl1"         # nom de l'interface connectée à votre LAN

free_net_host = 212.27.38.253   # c'est l'adresse de mafreebox.freebox.fr
free_lan_host = xxx.xxx.xxx.xxx # l'adresse IP du poste lançant VLC sur le réseau local
free_dst_tcp_ports = "{ 8080 }"
free_dst_udp_ports = "{ 1234 }"

on ajoute une redirection de ports

rdr on $net_if proto tcp from $free_net_host to ($net_if) port $free_dst_tcp_ports -> $free_lan_host

puis les règles de filtrage

pass in quick on $net_if proto tcp from $free_net_host to $free_lan_host port $free_dst_tcp_ports flags S/SA keep state
pass out quick on $lan_if proto tcp from $free_net_host to $free_lan_host port $free_dst_tcp_ports flags S/SA keep state

Ces règles sont bien évidemment à adapter à votre configuration, et à votre politique de sécurité^[2], mais dans l'idée c'est ça !

Notes

[1] la plus grande source d'informations se trouve sur freeplayer.org

[2] par ex. vous pouvez avoir un blocage des flux sortants, et ils vous faudra donc des règles supplémentaires pour laisser passer les flux UDP vers le port 1234

Punishment Park, de Peter Watkins

er:k — Tue, 16 May 2006 20:03:59 +0000

Ça y est j'ai enfin vu complètement Punishment Park, de Peter Watkins.

En 1950, le McCarran Internal Security Act est promulgué permettant au Président des États-Unis de suspendre le système judiciaire normal pour arrêter et emprisonner toutes les personnes susceptibles d'être un risque pour l'État.
Ce documentaire fiction de 1971 nous retrace donc l'histoire de quelques jeunes "rebelles" qui, pour leurs opinions politiques (contre la guerre du Vietnam, pour l'émancipation des femmes ou des noirs) ou leur refus de marcher droit (refus d'aller à l'armée), se retrouvent dans un camp appelé "Punishment Park" au milieu du désert, pendant 4 jours, avec comme seul objectif de marcher 80kms et atteindre un drapeau américain, avec les policiers et l'armée à leur trousse pour les en empêcher.
Je vous laisse imaginer la suite, et surtout vous conseille fortement de le voir.

Quelques liens (comme d'habitude) pour en savoir plus :

le site officiel;
la page dédiée sur imdb.com (the internet movie database, une base énorme sur le cinéma, ma référence quand je cherche des infos);
une biographie du réalisateur sur zalea.org (une télévision libre sur internet);
la page Wikipedia assez complète;
une critique du film par le New York Times

Ah, j'étais tombé sur ce film il y a déjà plusieurs années par hasard sur Arte à une heure tardive, alors encore merci Arte !

news sécurité

er:k — Wed, 03 May 2006 09:33:34 +0000

Quelques news concernant la sécurité informatique :

c'est la valse des vulnérabilités du mois d'avril pour IE : 4 avril, 11 avril, 25 avril, 27 avril et encore 27 avril, ce qui rappelle à Ed Skoudis la situation dans les années 90 où Sendmail avait son "bug du mois" et propose de créer maintenant un club "bug de la semaine" pour IE :-);
une nouvelle méthode pour tester les navigateurs internet : générer du code aléatoirement (code "mutilé"), résultat : de nombreux crashs et des bugs de sécurité trouvés;
The Register nous explique qu'un portable volé peut ouvrir les portes du réseau d'entreprise. Il existe divers moyens de récupérer le mot de passe BIOS Cisco. En résumé, rien ne sert de super-protéger les serveurs internet de l'entreprise, si les portables se promènent avec des informations aussi sensibles et non protégées...;
dans la série "on vous a dit qu'il y aurait ça dans Vista, mais en fait...", le pare-feu (firewall) de la prochaine version de Windows : Vista, a été annoncé ayant par défaut un blocage des flux sortants, mais finalement rien n'est moins sûr;
Bruce Schneier nous rapporte l'histoire de ce chef de la Mafia sicilienne qui protégait ses données sensibles avec un mode de chiffrement vieux de 2000 ans appelé le code César, je vous laisse voir sa puissance...;
il nous envoie également vers plusieurs articles très intéressants sur la "sécurité" incluse dans Vista, appelée User Account Protection (UAP). Ces articles très intéressants (marrants ?) nous racontent que le nouveau leimotiv de Microsoft est de balancer des avertissements de sécurité... hum... les utilisateurs ne les lisent déjà pas beaucoup maintenant, que feront-ils si on en abuse ?...;
je vous ai parlé dans un billet précédent de la sécurité des mots de passe, si vous êtes intéressé par le sujet, je vous envoie vers cet essai [via];
un article qui conclut que l'intégration complète de Internet Explorer avec le système d'exploitation Windows sous-jacent est une des pires erreurs (si ce n'est la pire...) faite par Microsoft. Il est intéressant de constater qu'il a fallu attendre 2006 pour qu'un magazine grand public en arrive à cette conclusion et important de faire remarquer que Microsoft reste sur la même logique pour Windows Vista et IE7... [via];
un post un peu plus vieux rappelant que protéger son portable avec un cadenas Kensington n'apporte pas vraiment de garantie.

pour vous amuser un peu, participez au Star Hacks, Episode V: The Empire Hacks Back [via]

mise à jour de OpenBSD 3.8 vers 3.9

er:k — Mon, 01 May 2006 19:50:46 +0000

Aujourd'hui, c'est le 1er mai et c'est non seulement la fête du travail^[1] mais également le jour de sortie de la nouvelle version de OpenBSD en l'occurence la 3.9.

J'ai donc mis à jour mon routeur/firewall de 3.8 vers 3.9. Je me suis aidé de la procédure d'upgrade.
Quelques détails :

j'ai utilisé (comme je l'avais fait pour l'installation de 3.8) une installation par réseau avec un serveur dhcp et tftp
l'installation s'est ensuite faite tranquillement en répondant aux quelques questions dont les réponses sont assez évidentes
il faut ensuite télécharger le fichier etc39.tgz et faire la mise à jour des fichiers de configuration en faisant attention de ne pas perdre ses configurations persos, comme c'est indiqué sur la procédure d'upgrade.

Le tout m'a pris à peu près une heure... magnifique, non ?! :) Il ne me restera plus qu'à réinstaller mes packages^[2], ceux-ci n'étant pas encore tous dispo sur les FTP... c'est ça d'être trop à la pointe :)

ps : la page d'errata de OpenBSD 3.9 semble indiqué que cette version est sujette au même bug de sécurité de sendmail que la version précédente, donc si vous l'utilisez n'oubliez pas d'appliquer le patch.

Notes

[1] les manifestations ont dû pleuvoir cette année...

[2] mon package en fait : ddclient

sécurité informatique

er:k — Tue, 11 Apr 2006 11:52:01 +0000

Quelques liens concernant la sécurité informatique :

quelques trucs pour sécuriser une machine Linux;
combien de temps faut-il pour cracker un password ? : aïe, ça fait mal !
David Latapie rebondit sur cet article : comment choisir un bon mot de passe ? : j'avoue que certains des miens (ceux pas trop importants bien entendus !-) mériterait un changement/allongement;
deux articles concernant Microsoft : un gourou sécurité conseille aux grands comptes d'avoir une procédure pour automatiser la réinstallation de machines infectées admettant qu'il n'y a pas vraiment moyen de les nettoyer complètement, et Microsoft a complètement abandonné la sécurité de Windows. En effet, ils n'ont aucune expertise interne pour gérer ce problème qui concernent leurs 60000 employés... inquiétant, non ?!^[1]
le Département Américain de la Sécurité Intérieure (DHS sur wikipedia) a financé une étude sur la qualité des logiciels open source les plus utilisés, avec Coverity spécialisée dans la recherche de bugs, Symantec et l'Université de Stanford. Il ressort de cette étude que la moyenne de bugs pour les logiciels libres est de 0,434 pour 1000 lignes de code, à comparer aux 20 à 30 bugs pour 1000 lignes de bugs pour les logiciels commerciaux selon une étude précédente.

[via standblog et Somewhere out there! et Linux y libertad]

Notes

[1] je vais dire une connerie, mais... empêcher que les problèmes se produisent ça ne serait pas mieux ?!... ça y est, j'ai dit une connerie !-)

actu informatique

er:k — Sun, 02 Apr 2006 19:27:38 +0000

tout d'abord : alors que OpenBSD 3.9 est sur le point de sortir, le projet souffre de graves problèmes financiers qui compromette sa viabilité. Ce projet est largement financé par la vente de CD et de T-shirts, malheureusement, augmentation de la bande passante aidant, très peu de personnes achètent désormais les CD utilisant plutôt les serveurs FTP disponibles.
Il faut pourtant comprendre que l'argent sert non seulement à financer le développement de OpenBSD mais aussi celui de OpenSSH que l'on retrouve sur tous les Unix (dont ceux d'IBM, Sun, SCO), Linux, *BSD ainsi qu'un grand nombre de produits commerciaux (comme les routeurs Cisco et les nombreuses appliances de sécurité que l'on retrouve partout), il est bien regrettable qu'aucune des sociétés profitant du code développé par OpenBSD ne ressente le besoin/l'envie de donner un peu d'argent. Retrouvez l'avis de Theo De Raadt, le leader du projet, sur cette interview. (lisez également cet article)
Alors, si vous aussi, vous utilisez OpenBSD et/ou OpenSSH et que vous avez envie de les aider, faites un don et/ou achetez des CD/t-shirts/posters (perso, j'ai acheté un t-shirt dont j'avais envie depuis quelque temps déjà... c'était la bonne occasion);

ensuite quelques nouvelles de google : je vous avais parlé de l'hypothèse d'un google calendar, il semblerait que ça se précise (via standblog), que l'hébergement de pages et l'e-commerce soient également dans sa ligne de mire, et l'apparition d'une suite bureautique en ligne se fait de plus en plus probable après le rachat de Writely. Google pourrait également proposer bientôt un service d'e-mail pour les professionnels, basé sur gmail;

avant même la généralisation des étiquettes RFID, la possibilité de virus est de plus en plus probable, un "proof of concept" a déjà été fait, cf securityfocus et le blog de Secure Labs;

alors que le CERTA vient de lancer une alerte de vulnérabilité concernant Internet Explorer conseillant même d'utiliser Opera ou Firefox le temps que les patchs existent, que plus d'une centaine de sites essaient d'exploiter cette faille critique, qu'un patch ''non officiel'' est sorti (déjà téléchargé par plus de 70000 personnes ne pouvant attendre le patch officiel...), on apprend qu'également que le prochain Windows, le bien nommé Vista est également repoussé à cause de problèmes de sécurité... ^[1];

Amazon semble vouloit diversifier son offre et se lancer dans le stockage en ligne;

le format ODF, libre et standardisé par l'OASIS, et présent dans de nombreuses applications bureautiques (dont OpenOffice.org, KOffice, Abiword) est actuellement en cours de standardisation par l'ISO, ce qui est un danger pour Microsoft et sa vache à lait Office. Microsoft pousse donc son propre format OpenXML (qui lui n'est pas libre, même si il en a l'apparence^[2]) et vient d'intégrer le processus de standardisation de ODF probablement afin de le ralentir;

Sun continue à faire le jeu de l'open source^[3] et annonce l'ouverture d'un site dédié à son processeur UltraSPARC (basé sur la technologie SPARC) dont la licence vient de basculer vers la GPL. Les premières spécifications disponibles sont celles de l'UltraSPARC T1, le dernier processeur Sun en date, multi-core et multi-threadé, et à faible consommation électrique. Il semblerait également que, suite à la proposition de Sun, IBM ait accepté d'offrir l'OS Solaris sur ses BladeCenter. (cf sur blog.sun.com). [via linuxfr.org]

Notes

[1] sachant qu'il a déjà été repoussé une ou deux fois déjà, et qu'une partie des fonctionnalités qui devaient y être incluses on été retirées, que va-t-il lui rester ?

[2] là, j'aurais aimé faire pointer sur un article très intéressant qui expliquait pourquoi, mais je ne l'ai pas retrouvé... vous pouvez toujours lire ceci

[3] probablement pas de gaité de coeur, mais pour donner un nouveau souffle à son business

le passeport biométrique : la sécurité ?

er:k — Fri, 03 Feb 2006 14:12:52 +0000

Un article de The Register nous explique que le passeport biométrique et RFID danois a déjà été craqué. En effet une entreprise spécialiste de la sécurité des cartes a réussi a pénétré le système inclus dans la carte et à en extraire des données comme la data de naissance, la photographie et l'empreinte digitale. Les passeports danois sont protégés par de la cryptographie malheureusement il semblerait que l'implémentation souffre de plusieurs failles de sécurité.
Vous trouverez plus d'informations sur le site de Riscure.

En tout cas, cela fait pas mal réfléchir au moment où les passeports biométriques se répandent dans la plupart des pays occidentaux (souvent sur pression des États-Unis d'ailleurs...) et que l'on nous les vend comme un moyen de garantir notre sécurité face au terrorisme.

[via]