Le navigateur Tor mise sur le langage sécurisé Rust

Le navigateur Tor se tourne vers le langage sécurisé Rust, conçu pour éviter les corruptions de mémoire. Dans la lignée de Firefox, dont le code source sert de socle au projet Tor.

Le browser Tor, une version modifiée de Firefox afin d’inclure des fonctions préservant la vie privée, va se tourner davantage vers le langage de développement sécurisé Rust. Développé par la fondation Mozilla, ce langage est une version remaniée de C++ visant notamment à proscrire les erreurs de développement aboutissement à des corruptions de mémoire.

Mozilla a commencé à livrer de premiers composants écrits dans ce langage au cours de l’été 2016 et il doit prendre une place grandissante dans le développement du navigateur de la fondation, en remplaçant des parties de code aujourd’hui écrites en C et C++.

Réécrire le code C++ en Rust

Une évolution qu’il est donc logique de retrouver dans le projet Tor, dont les développeurs s’étaient déjà intéressés à Rust en 2014 sans que cette première marque d’intérêt ne débouche alors sur rien de concret. Au cours d’une réunion, qui s’est tenue la semaine dernière à Amsterdam, les développeurs de Tor se sont mis d’accord pour réécrire en Rust le code C++, conçu en complément de Firefox.

« Nous ne nous sommes pas affrontés à propos de Rust, Go ou du C++ moderne. Au lieu de cela, nous nous sommes concentrés sur nos objectifs pour migrer Tor vers un langage protégeant la mémoire et sur la façon de parvenir à ce résultat, écrit Sebastian Hahn, un développeur Tor. Avec ce cadre de référence, Rust faisait figure de candidat extrêmement fort pour les améliorations que nous considérions comme nécessaires. » S’il ajoute que les équipes de Tor ont encore beaucoup à apprendre sur ce nouveau langage, il mentionne quelques essais préliminaires encourageants sur de premières intégrations.

Source silicon.fr

Firefox 55 bloquera la géolocalisation pour les sites sans HTTPS

Dans trois versions, Firefox bloquera par défaut tout envoi de position géographique à un site qui ne bénéficierait pas du HTTPS. Un important changement, aligné avec la position actuelle de Mozilla sur la sécurité et une année qui s’annonce très chargée pour le navigateur.

L’année 2017 sera particulièrement importante pour Firefox. Outre une politique de sécurité qui se durcit, comme on a pu le voir encore avec la version 52, le navigateur prépare de très gros changements techniques pour l’arrivée de Quantum, son nouveau moteur de rendu basé en partie sur le projet Servo.

Firefox 53 marquera également l’obligation de passer par l’API WebExtensions pour proposer des modules sur la boutique officielle. Quelques mois plus tard, Firefox 55 enfoncera le clou sur la sécurité. Cette fois, plus question d’autoriser un site HTTP classique à réclamer la position géographique.

Si Firefox ne détecte pas de connexion chiffrée (y compris pour WebSocket), il bloquera purement et simplement cette possibilité. Un moyen d’accroitre encore une fois la pression sur les développeurs ne passant toujours pas au HTTPS. Mozilla s’est appuyé en partie sur sa télémétrie pour prendre sa décision.

L’éditeur indique qu’actuellement, un tel blocage provoquerait des problèmes dans 0,188 % des chargements de page. Sur ce chiffre finalement très faible, 57 % des sites se servent de requêtes getCurrentPosition et 2,48 % de watchPosition. Les utilisateurs de la version Nightly (déjà en branche 55) peuvent activer manuellement la fonction dans about:config en cherchant la ligne geo.security.allowinsecure.

Firefox ne sera pas le premier à bloquer de tels échanges. Chrome le fait depuis bientôt un an, dans les mêmes conditions.

Source nextinpact.com

Firefox : deux nouvelles expérimentations à tester par plugin

Snoozetabs et Pulse sont deux nouveautés dont Firefox teste les fonctionnalités expérimentales. Elle pourraient un jour être implémentées au sein du nouveau navigateur.

Firefox continue d’égrener ses nouveautés à travers son programme test pilot, qui permet aux utilisateurs inscrits de tester des fonctionnalités expérimentales à travers une extension. Firefox a ainsi présenté Snoozetabs, une fonctionnalité qui permet de réserver pour plus tard des onglets afin de pouvoir les consulter ultérieurement.

Cette fonctionnalité est évidemment pensée pour les utilisateurs qui ont la mauvaise habitude d’accumuler les onglets dans leur navigateur. Grâce à Snoozetabs, on peut ainsi sereinement fermer un onglet intéressant tout en programmant celui-ci pour qu’il réapparaisse à l’horaire défini. Plusieurs créneaux présélectionnés sont disponibles, mais il est également possible de paramétrer un horaire spécifique. À la date convenue, la page réapparaîtra dans la barre d’onglet de Firefox.

Les pages rouvertes via ce biais après avoir été « snoozées » sont signalées par une icône spécifique dans la barre d’onglet.

L’autre fonctionnalité présentée au sein du programme test pilot s’appelle Pulse. Celle-ci permet aux utilisateurs d’envoyer un feedback à Firefox sur le comportement d’une page en particulier. Cette fonctionnalité permet en effet de noter sur cinq une page afin d’envoyer aux équipes de Firefox un retour sur la façon dont celle-ci s’affiche au sein du navigateur.

Cette information devrait permettre à Firefox de mieux ajuster ses ressources afin de pouvoir répondre aux problèmes les plus fréquemment rencontrés par ces utilisateurs.

Source zdnet.fr

Tor Browser disponible en version Sandboxed 0.0.2, avec une isolation en mémoire

Les développeurs de Tor Browser travaillent sur une version « sandboxée » du navigateur, qui doit le rendre moins perméable aux exploitations de failles et à certaines attaques. Une préversion est disponible, pour l’instant uniquement sur Linux.

 

Tor Browser est un navigateur basé sur Firefox. Le socle technique est donc le même, ce qui ne signifie pas forcément qu’il en reprend l’intégrabilité des fonctions. En l’occurrence, Tor Browser ne possède aucune sandbox, alors que Firefox en dispose pourtant.

La sandbox (littéralement bac à sable) est un mécanisme de protection que l’on retrouve dans pratiquement tous les navigateurs récents. Elle isole dans un espace mémoire clos les données pour empêcher les communications classiques avec le reste du système. Les instructions, fonctionnalités et autres passent par des « portes » soigneusement contrôlées. Principal intérêt : empêcher l’exploitation des failles de sécurité quand celles-ci pourraient appeler des fonctions du système. À moins bien sûr de posséder le moyen de contourner la sandbox, avec une autre brèche par exemple.

Une sandbox pour Tor Browser

Les développeurs de Tor Browser travaillent sur une nouvelle version de leur navigateur, accompagnée cette fois d’une sandbox. Le processus est long et pour l’instant se limite à Linux. Ce « Sandboxed Tor Browser » est disponible dans une première mouture de test 0.0.2. Le numéro de version en dit long sur l’état d’avancement du projet : l’ensemble fonctionne, mais les bugs sont nombreux et la compatibilité limitée.

Puisque l’on parle uniquement de version Linux pour l’instant, le développeur « Yawning Angel » indique que l’interface d’installation et de mise à jour est désormais en GTK3+. Il s’agit en quelque sorte d’un « launcher » qui se charge d’exécuter Tor Browser dans une série de conteneurs logiciels. Ces derniers sont basés sur Linux seccomp-bpf et les espaces de noms utilisateurs. L’ensemble tourne autour de bubblewrap, un projet libre de sandbox.

Une compatibilité limitée

Cette version 0.0.2 ne pourra pas non plus être installée sur n’importe quelle distribution. Par exemple, Ubuntu n’est pas compatible à cause d’une version de bubblewrap trop ancienne. Le développeur prévient : la mouture présente dans le dépôt Universe ne doit pas être installée, elle ne fonctionnera pas. Par ailleurs, il faut que le système soit intégralement en 64 bits, le kernel comme l’espace utilisateur. Un mélange des binaires 32 et 64 bits ne sera pas suffisant.

Les importants enjeux d’une version isolée

Même encore à un stade peu avancé, le projet est important. Bloquer ou réduire l’exploitation des failles revêt un aspect crucial pour la sécurité des utilisateurs de Tor Browser. On rappellera en effet que le FBI a démantelé en 2015 un réseau d’échanges de contenus pédopornographiques en exploitant une faille de Firefox. Or, si des failles sont lancées ouvertes aux quatre vents, elles peuvent être trouvées et donc exploitées pour des raisons beaucoup moins « nobles ».

Les développeurs ne donnent pour l’instant aucune indication sur la sortie d’une version finale. Le projet va continuer à progresser, mais il est probable que le rythme soit lent.

Les utilisateurs intéressés pourront télécharger les sources du projet depuis le dépôt Git associé. Il n’y a pour l’instant aucun binaire déjà compilé et il faudra donc procéder manuellement.

Source nextinpact.com

Accélération pour Firefox 50

La nouvelle version de Firefox a mit l’accent sur la vitesse. On l’a beaucoup dit, c’est vrai, mais cette fois… c’est un succès.

Firefox 50 n’est pas une version majeure et on constate peu de changements. Malgré tout, certaines choses s’améliorent. Le démarrage est nettement plus rapide, 35 % de mieux que la mouture précédente d’après la Fondation Mozilla. Et ce chiffre passe à 65 % si des extensions sont chargées également. C’est un net progrès qui était attendu depuis longtemps par les utilisateurs.

L’autre changement intéressant concerne la gestion des certificats de Let’s Encrypt. Firefox devient le premier navigateur à reconnaître le certificat racine de Let’s Encrypt. C’est donc un progrès pour la sécurité, mais également pour l’indépendance car il n’y a plus besoin de passer par un certificat intermédiaire.

Liens :

Le projet Let’s Encrypt
Les notes de version de Firefox 50
Télécharger Firefox

Source toolinux.com

Dégooglisons Internet : Framasoft lance six nouveaux services cette semaine

Framasoft, qui avait lancé en 2014 l’initiative « Dégooglisons Internet », revient pour la troisième vague de services. L’idée est toujours la même : proposer des alternatives à des solutions centralisées existantes afin que l’utilisateur récupère le pouvoir sur ses données.

La « Saison 3 » de la campagne « Dégooglisons Internet » (voir notre entretien) est donc officiellement lancée. Ce sont désormais 30 services qui sont proposés en tout, dont six nouveaux. Comme pour tous les autres, Framasoft ne vise pas un remplacement général des habitudes, mais une sensibilisation des utilisateurs à la thématique des données face aux GAFAM : Google, Apple, Facebook, Amazon et Microsoft.

Six nouveaux services pour boucler l’initiative

De fait, les nouveaux services concurrencent directement des solutions existantes et souvent largement utilisées. Framalistes, basé sur Sympa, propose ainsi de remplacer Google Groupes pour créer des listes de diffusion pour les emails. Framanotes s’attaque à Evernote en permettant de créer des notes synchronisées accompagnées d’images, de fichiers divers, de marque-pages et autres. Une fois le compte créé, il pourra être exploité par les applications Turtl.

On continue avec Framaforms. Basé sur Webforms et Drupal, il autorise la création de formulaires divers, les réponses n’étant pas transmises à un quelconque éditeur. Framagenda s’en prend aux solutions de calendriers d’Apple, Google et Microsoft. Il reprend le code d’ownCloud/Nextcloud et permet de noter les rendez-vous, plannings et autres évènements. Privés par défaut, les agendas peuvent devenir publics ou semi-publics. Enfin, Framatalk se pose en solution alternative de Skype ou même de Discord. Il permet de se connecter aux serveurs de Framasoft, sur lesquels est installé Jitsi Meet.

À cette liste de concurrents, Framasoft en ajoute un sixième en « bonus » : My Frama. Basé sur Shaarli, il s’agit d’un collecteur de lien, à la manière de Del.icio.us. Cette version spécifique a été modifiée pour trier automatiquement les liens correspondant à des services de l’association, l’utilisateur pouvant alors les retrouver plus facilement.

Notez que ces services seront proposés un par un chaque jour de la semaine. Aujourd’hui, c’est Framalistes qui ouvre le bal. Puis viendront Framanotes, Framaforms, Framatalk et Framagenda. MyFrama, quant à lui, sera lancé le lundi 10 octobre. Il s’agit de la troisième et dernière année de la campagne. D’autres services sortiront, la liste étant disponible sur le site officiel.

Framasoft ne veut pas de SSO pour ses solutions

L’éditeur ne considère par ailleurs pas que ses services (presque tous basés sur des solutions open source existantes) soient faits pour être utilisés ensemble. Les utilisateurs sont libres d’en choisir un, plusieurs, ou même aucun.  Il indique en outre être conscient que de nombreuses demandes sont faites sur le SSO (single sign-on), à savoir un compte unique pour tous les services. Mais il ne le souhaite pas, pour des raisons de sécurité et de coûts notamment.

Il souligne un souci pluriel d’identité devant une telle quête. D’une part, l’idée de la campagne est de freiner les services centralisés. La mise en place d’un SSO irait donc dans le sens opposé. Par ailleurs, cela risquerait de provoquer un afflux massif d’utilisateurs, les infrastructures de Framasoft n’étant pas prévues pour des millions de personnes. En clair, l’éditeur ne veut pas « devenir ce qu’il combat ».

L’association revient de loin

Framasoft en profite pour lancer un remerciement général, en rappelant notamment qu’en lançant sa campagne en 2014, l’association était au bord du gouffre : « Nous n’avions plus de sous ! ». Le nombre de membres ayant fortement diminué, l’initiative ressemblait presque à un chant du cygne. Au final, l’équipe parle maintenant de « coup de fouet » et d’une nouvelle « mobilisation des énergies internes ».

Elle rappelle enfin que la campagne se terminera dans un an. « Dégooglisons Internet » n’a pas été pensée comme une pression permanente, mais un simple moyen de mettre l’accent sur l’idée d’alternatives. Évidemment, tous les produits proposés resteront en place. Mais Framasoft a d’autres projets à gérer en même temps, notamment ses CHATONS, pour promouvoir les hébergeurs responsables.

Source nextinpact.com

Des images pour ProtonMail

La messagerie chiffrée passe en version 3.4 et apporte de nouvelles fonctionnalités.

ProtonMail vient de dévoiler sa version 3.4. Ce service de messagerie sécurisée avec un chiffrement de bout en bout apporte de nouvelles fonctions. Il y a principalement l’intégration des images dans les messages, à l’aide d’un simple glisser / déposer dans le champ texte. On peut également les utiliser en signature, et choisir ou non de les afficher automatiquement. Autre amélioration notable, l’utilisation de filtres pour trier les messages. Par contre, pour la version gratuite, l’utilisateur n’a droit qu’à un seul filtre.

L’équipe de développeurs travaille en ce moment sur l’amélioration de la gestion des contacts ainsi que sur la synchronisation POP / IMAP. Cela devrait arriver d’ici la fin de l’année, s’il n’y a pas de nouveau retard.

Liens :

Le site de ProtonMail
Les notes de version
Discussion sur l’ajout de POP / IMAP
Discussion sur d’autres fonctionnalités à venir

Source toolinux.com

Mozilla aide à sécuriser le web

Mozilla vient de dévoiler un nouveau service qui permet de scanner un site pour chercher des vulnérabilités.

Observatory, développé par Mozilla en accès libre et gratuit pour tous, scanne les sites web à la recherche de failles et de risques de sécurité. Il attribue ensuite une note de 0 à 100 qu’il convertit ensuite en note globale de A à F. Le site est analysé pour chercher des mécanismes de sécurité tels que CSP, CORS, HSTS, XFO et d’autres encore. Il donne également des informations sur la présence d’un certificat SSL ou une redirection automatique. Plus de 1,3 millions de sites auraient déjà été analysés par Observatory et la sécurité n’est pas vraiment au rendez-vous pour une grande majorité. D’ailleurs, ce service a même aidé Mozilla à sécuriser ses propres sites.

Les développeurs sont appelés à participer pour améliorer cet outil sur un dépôt Github. Il s’agit d’une bonne initiative au vu des résultats, même si ce n’est pas le premier service proposant cela.

Liens :

Annonce du projet Observatory
Le site Observatory
Le dépôt Github

Source toolinux.com

Tor perd un de ses pionniers et un nœud critique

Lucky Green un des pionniers du réseau Tor abandonne et ferme un des noeuds critiques du réseau d’anonymisation.

Un des premiers contributeurs au projet Tor connu sous le pseudonyme Lucky Green a décidé de quitter le navire et de fermer les passerelles Tor sous sa tutelle. Parmi ceux-là, il y a un serveur central qui gère les passerelles (Bridge Authority).

Lucky Green est une figure emblématique de Tor, il a fait partie du projet avant que le réseau ne soit connu sous son nom actuel. Il a également été à l’origine d’un des 5 premiers nœuds fondateurs du réseau Tor. Au fil du temps, il a gagné la confiance de la communauté pour pouvoir gérer des nœuds sensibles au sein du réseau.

Ces nœuds, baptisés Bridge Authorities, ont leur adresse IP codée en dur dans les applications Tor et donnent la possibilité au réseau Tor d’éviter les interdictions et les blocages des FAI. Ils détiennent également des informations importantes concernant les autres noeuds Tor.

Trouver une alternative au 31 août 2016

Lucky Green a donné au projet jusqu’au 31 août 2016 pour publier une mise à jour des applications Tor et supprimer l’adresse IP de son nœud, connu en interne sous le nom Tonga. Il prévoit également de fermer 5 autres serveurs Tor.

Les raisons de son départ restent elliptiques. « Compte tenu des évènements récents, il ne me semble plus approprié de contribuer matériellement au projet Tor, soit de manière financière comme je l’ai été généreusement pendant de longues années, soit en offrant des ressources informatiques ». Les évènements récents auxquels fait allusion Lucky Green sont au nombre de deux. Le projet Tor a été secoué en juin par le départ de son responsable Jacob Applebaum accusé de harcèlement sexuel et par la nomination d’un nouveau conseil d’administration la semaine dernière. « Je pense que je n’ai pas de moyens raisonnables pour partir de manière éthique, mais d’annoncer l’arrêt de tous les services basés sur Tor hébergés sur l’ensemble des systèmes sous mon contrôle ».

Source silicon.fr

Tor, visé par des relais-espions ?

Une étude publiée par deux chercheurs vient remettre en cause l’anonymat conféré par le réseau Tor. Selon l’analyse menée par les auteurs du document, plus d’une centaine de relais-espions chercheraient à activement cartographier les « services cachés » présents sur le réseau.

La DefCon approche et avec elle, les chercheurs en cybersécurité commencent à présenter leurs résultats de recherches avec un peu d’avance. L’un des sujets fréquemment traités à l’occasion de cette conférence sur la cybersécurité est celui de la sécurité du réseau Tor, ce protocole web ayant recours à des outils de chiffrement et d’anonymisation des utilisateurs. Celui-ci a connu plusieurs attaques d’ampleur contre ses systèmes d’anonymisation, mais deux chercheurs américains soupçonnent une nouvelle attaque exploitant des relais-espions.

Guevara Noubir et Amirali Sanatinia présenteront les résultats détaillés de leurs analyses lors de leur conférence prévue à l’occasion de la DefCon, mais ont déjà expliqué une partie de leurs conclusions au site américain MotherBoard. Ces deux chercheurs ont déployé des services cachés sur Tor sous la forme de honeypot afin de détecter d’éventuelles tentatives de percer à jour ces services.

Ce réseau leur a permis de détecter l’existence d’une centaine de relais Tor jugés malicieux : ceux-ci ne se contentent pas en effet de rediriger simplement le trafic, mais sont configurés pour analyser en profondeur les services cachés qu’ils détectent sur le réseau. Ces relais disposent du flag HSdir, qui est utilisé par plus de 3000 relais Tor pour indiquer qu’ils possèdent des informations sur les services cachés et sont en mesure de rediriger les utilisateurs vers ceux-ci. Correctement configurés, ces relais ne sont pas censés collecter de données, mais certains d’entre eux ne jouent pas le jeu.

Relais peu fair play

Dans l’exemple pris par les chercheurs, l’adresse exacte de leurs services cachés restait entièrement confidentielle. En théorie, ces services n’auraient donc pas dû recevoir de visites, mais les chercheurs ont détecté plusieurs tentatives de connexions et estiment qu’environ 110 relais Tor ont été configurés afin de détecter et cartographier les services cachés de ce type.

Ces relais malicieux ne se contentent pas de répertorier les services qu’ils découvrent, mais certains en profitent pour scanner les services afin de découvrir d’éventuelles vulnérabilités dans les sites. Les chercheurs expliquent également que la majorité de ces relais-espions semblent être situés aux États Unis, en Allemagne et en France ainsi que dans d’autres pays européens.

La question des relais-espions n’est pas nouvelle pour Tor : ce type d’attaque est connue depuis 2014 et avait déjà fait l’objet de plusieurs présentations détaillant la façon dont ces machines pouvaient être utilisées pour briser l’anonymat offert par le réseau en oignon. L’étude menée par les chercheurs de l’université Northeastern de Boston vient donc montrer que cette technique est activement utilisée par certains acteurs connectés au réseau.

Les développeurs de Tor expliquent de leur côté connaître ce problème et travaillent activement à développer une nouvelle architecture pour le réseau en oignon afin de couper court à ce type d’attaques.

Source zdnet.fr

Tor Browser 6.0 supprimera les certificats SHA1

Tor Browser 6.0, disponible en téléchargement, est une version importante du navigateur sécurisé. Voici ce qui change.

Tor Browser 6.0 est disponible. Cette nouvelle mouture apporte plusieurs améliorations significatives. La principale, c’est le passage à Firefox 45 ESR, qui est donc une version avec un support étendu. Conséquence : une sécurité renforcée, selon ses concepteurs. De plus, l’alignement sur Firefox 45 apporte de nouvelles fonctionnalités.

Autre point important, l’abandon du support des certificats de sécurité SHA1. Dans le courant de 2017, tous les principaux navigateurs l’abandonneront aussi.

De nombreux bugs ont été corrigés évidemment, mais certains correctifs n’étant pas encore appliqués, des fonctionnalités ont été désactivées pour le moment.

Signalons également que le système de mises à jour a été renforcé et que la vérification se fera désormais sur la signature du paquet ainsi que sur le « hash ».

Liens :

Le site de Tor

Télécharger Tor Browser pour Linux

Source toolinux.com

 

Un possible repreneur pour Thunderbird

La Fondation Pretty Easy Privacy avait rapidement répondu à Mozilla lorsque celle-ci avait annoncée qu’elle se séparait de Thunderbird, son client de messagerie. Elle proposerait d’en reprendre le développement.

Récente et encore peu connue, cette fondation souhaiterait reprendre la gestion et le développement de Thunderbird, un logiciel phare du monde du libre qui risque de disparaître. Et elle a un atout de taille pour cela : PEP. Ce système de chiffrement open source utilise la technologie du peer-to-peer, il est donc décentralisé, et ce n’est pas une application, mais un greffon que l’on pourrait intégrer aux logiciels existants, contrairement à ce qui se fait actuellement. Autre avantage non négligeable, il se veut le plus simple possible.

Alex Antener précise qu’avec PEP, « des gens équipés de systèmes différents pourront communiquer et déchiffrer leurs messages respectif »s. Il pourrait donc être intégré directement dans Thunderbird.

Liens :

La proposition de reprise par PEP
La fondation PEP
La société PEP

Source toolinux.com

Les sites cachés Tor exposés grâce au serveur Apache

Un paramétrage par défaut dans les serveurs web Apache divulgue la configuration des sites cachés sur Tor. Une transparence problématique.

Les sites web, qui s’appuient sur le réseau d’anonymisation Tor pour masquer leur adresse serveur, doivent se méfier d’un paramétrage par défaut dans les serveurs Apache. Ces derniers largement utilisés sur le web ont fait l’objet d’une attention particulière de la part d’un hacker qui a donné sur un site les détails de la faille.

Sur cette page, il rend d’abord hommage à d’autres hackers pour leurs travaux sur les serveurs Apache. Il explique ensuite que « si vous utilisez un serveur Apache pour faire tourner un site caché Tor, assurez-vous de désactiver mod_status  avec l’instruction: $ a2dismod status ». Il poursuit son explication en précisant : « Dans plusieurs distributions, Apache est livré avec une fonctionnalité pratique appelée mod_status qui est activée. C’est une fonctionnalité située à /server-status qui donne quelques statistiques comme la disponibilité, l’utilisation des ressources, le trafic total, les hôtes virtuels activés et les requêtes actives HTTP. Pour des raisons de sécurité, elle est accessible uniquement depuis localhost par défaut. »

Un espionnage en toute transparence

Dès lors, si le daemon Tor fonctionne sur le localhost, le site caché sur Tor a donc sa page /server-status et expose plusieurs statistiques pouvant intéresser des gens malintentionnés. Un pirate peut ainsi déduire à partir du fuseau horaire la longitude approximative du service ou déterminer l’adresse IP du site. Adieu donc anonymat.

Comme le rappelle le hacker anonyme, cette vulnérabilité n’est pas nouvelle. Mais elle est remise au goût du jour, car elle est persistante. Le projet Tor conscient du problème a tenté d’y remédier. Las, le hacker constate qu’il « a découvert plusieurs expositions à ce problème depuis 6 mois ». A chaque fois, il assure avoir contacté les personnes pour modifier ce paramètre. Pire il a trouvé un moteur de recherche de site .onion qui n’avait pas désactivé le module status et « le résultat n’est pas beau à voir ». Il recommande aux utilisateurs de vérifier leur site sur l’adresse http://your.onion/server-status : « Si vous avez une réponse autre que 404 et 403, ouvrez un shell sur votre serveur et exécutez $ sudo a2dismod status. »

La sécurité de Tor est souvent prise pour cible comme le montre les accointances entre le FBI et Carnegie Mellon pour casser le réseau d’anonymisation. Les promoteurs du projet ont lancé en décembre dernier un programme de chasse aux bugs pour renforcer cette sécurité. La faille dans les serveurs Apache souligne que la fragilité de Tor est à chercher en dehors du projet.

Source silicon.fr

Erreur 451 : un nouveau code HTTP qui expose la censure du Web

Le groupe de travail HTTP de l’IETF, l’organisme qui développe les standards internet, vient d’approuver la mise en place du code d’erreur 451 qui informera l’internaute lorsqu’un site Web est rendu inaccessible par mesure gouvernementale.

Tout le monde connaît l’erreur 404 qui s’affiche sur son navigateur Web lorsqu’une page est introuvable ou n’existe pas (Not Found). Il existe en fait des dizaines de ces codes HTTP d’erreurs, tous standardisés par le groupe de travail HTTP de l’IETF (Internet Engineering Task Force).

Mais aujourd’hui, avec la hausse considérable de la surveillance de la toile et de la censure appliquée par de plus en plus d’Etats, certains ont voulu que les pages fermées sur décision d’une autorité soient clairement identifiées, en tout cas mieux que le code 403 (accès interdit).

C’est le cas à présent avec le nouveau code d’erreur 451, en référence au roman d’anticipation Fahrenheit 451 de Ray Bradbury, décrivant une société qui brûle les livres. Ce code exposera donc la censure appliquée par les Etats, il indiquera que tel site est indisponible pour des raisons légales.

Tous les acteurs de l’internet peuvent désormais l’utiliser dès aujourd’hui même s’il n’y a rien de contraignant. « Je pense que des gouvernements restrictifs vont refuser l’utilisation du code 451 pour cacher ce qu’ils font. Nous ne pouvons pas stopper ça, mais si des gouvernements vont dans ce sens, ils enverront un signal fort à leurs citoyens sur leur intention », commente ainsi Mark Nottingham, président du groupe de travail HTTP de l’IETF.

Quelques autres codes d’erreur HTML :

400 : Bad Request

401 : Unauthorized

405 : Method Not Allowed

406 : Not Acceptable

500 : Internal Server Error

Source zdnet.fr

Vent de changement chez WordPress

WordPress.com change de peau, de code et… de licence. C’est une évolution majeure pour le célèbre CMS et sa version hébergée, wordpress.com.

WordPress.com annonce de gros changements. Tout d’abord, l’interface a été complètement revue et modernisée. Tout est « responsive », afin d’être adapté également aux mobiles. Ensuite, le code en lui-même a été réécrit. Finit le duo PHP / MySQL et place au Javascript. La nouvelle interface d’administration permettra de gérer plusieurs blogs hébergés sur WordPress.com.

Autre changement, majeure, la mise à disposition du code de cette nouvelle interface sous licence open source disponible sur Github. Dernière nouveauté, une application de bureau, reprenant la nouvelle interface, est disponible pour Mac OS X et prochainement pour Windows et GNU/Linux.

WordPress est très populaire, on le sait, mais la concurrence est tout de même présente (Drupal, Ghost). Le projet doit donc continuer à évoluer pour continuer à séduire.

Source toolinux.com