CERCLL

CercLL d'Entraide et Réseau Coopératif Autour des Logiciels Libres

Posts Tagged ‘Sécurité’

Rencontres mondiales du logiciel libre : une édition 2017 marquée par la sécurité

Posted by CercLL sur 12 juillet 2017

Nous nous sommes rendus à Saint-Étienne la semaine dernière pour prendre la température des Rencontres mondiales du logiciel libre. L’occasion de rencontrer nombre de projets, d’explorer les problèmes que pose la sécurité des objets connectés et d’aborder le difficile sujet du design de ces outils.

Les RMLL s’approchent doucement de leur vingtième anniversaire. Créées par l’Association bordelaise des utilisateurs de logiciels libres (ABUL) en 2000, elles ont eu lieu à leurs débuts à Bordeaux et plus généralement dans le sud-ouest. Depuis quelques années, elles prennent place dans d’autres villes de France. Cette fois-ci, elles avaient lieu à Saint-Étienne, jugée pratique par sa position centrale et la proximité de Lyon.

L’évènement permet avant tout d’échanger avec de nombreux acteurs, qu’il s’agisse de passionnés, d’entreprises ou d’associations diverses, comme l’April. Des chercheurs en sécurité, la CNIL et des enseignants sont également présents, car les RMLL permettent de suivre de nombreuses conférences sur des sujets très variés. Cette année, la sécurité était au cœur de nombreuses conversations et tables rondes.

Et puisque l’on parle de logiciel libre, il était tout à fait logique de commencer par une conférence de Richard Stallman sur la question, histoire d’en rappeler les bases philosophiques.

Richard Stallman, un discours bien rôdé

Sa conférence était conçue pour être une initiation générale au logiciel libre. L’expression même peut d’ailleurs être un problème, comme il l’a indiqué, puisqu’elle est assez régulièrement confondue avec « open source », malgré les nuances.

Une bonne partie du discours de celui que beaucoup considèrent comme le père du logiciel libre était consacrée aux différences entre ce dernier et, face à lui, le logiciel privateur. Un logiciel libre est donc un programme pleinement contrôlé par les utilisateurs, quand le privateur, à l’inverse, est un programme qui contrôle les utilisateurs.

La conférence appuie sur le noyau philosophique et éthique qui guide les concepteurs de logiciels libres, en rappelant plusieurs libertés fondamentales, donc celles de lire le code source, de le copier, de le modifier et de le redistribuer. Liberté ne signifiant pas obligation, chacun est donc libre de faire ce qu’il souhaite… dans les limites définies par la licence.

Il note par ailleurs qu’un logiciel privateur n’est pas nécessairement un programme local, mais peut être un service distant centralisé, aggravant d’ailleurs le problème selon Stallman (voir notre analyse de l’initiative Dégooglisons de Framasoft).

richard stallmanrichard stallman

Le conférencier insistait sur le « potentiel de séduction » des logiciels privateurs, promettant souvent d’être « commodes » (un mot qu’il apprécie particulièrement), et sur les efforts que les utilisateurs s’intéressant à leur propre liberté devraient faire pour les éviter. Une problématique aussi évoquée à Pas Sage En Seine (PSES).

Évidemment, une telle problématique ne touche qu’une partie des personnes éventuellement concernées, beaucoup n’ayant pas conscience de ces questions sous-jacentes. Le sujet intéresse néanmoins, puisque le public présent à la conférence de Stallman était diversifié : hommes et femmes de tout âge, et même des enfants.

Une accessibilité sur laquelle Stallman capitalise par une présentation très bien rodée, avec assez de traits d’humour pour que l’attention ne baisse pas, et par l’utilisation presque impeccable du français pour tout son discours.

L’éducation au centre des préoccupations

Mais l’éducation (thème récurrent aux RMLL) constituait un gros morceau de la conférence. Stallman pointe ainsi la manière dont les écoles et gouvernements se servent de logiciels privateurs, sans que les citoyens ou les élèves/étudiants n’aient leur mot à dire.

Le père du logiciel libre s’inquiète tout particulièrement de l’habitude donnée aux plus jeunes de se servir de ces solutions, créant une forme de dépendance à des produits fermés et payants qui « laissent leurs utilisateurs captifs ». Une question aussi évoquée par Frédéric Veron à PSES avec l’exemple de Framinetest.

Pour Stallman, ce problème est une « négation du principe même d’éducation ». Il se pose également à l’échelle gouvernementale, les données publiques étant victimes elles aussi de ce « hold-up ». Difficile de ne pas penser ici au contrat open bar négocié par l’armée en France avec Microsoft ou à celui signé avec le ministère de l’Éducation.

La thématique exposée par Stallman illustre à la fois les choix personnels et ceux de structures sur lesquelles les utilisateurs n’ont aucun contrôle. Elle implique cependant des choix de vie auxquels beaucoup ne sont pas prêts. Il indique lui-même renoncer à bien des services et produits que beaucoup estiment comme faisant partie de leur quotidien tels que Spotify et Netflix ou un Kindle d’Amazon qui permet à ce dernier de savoir qui lit quoi.

Les exemples sont nombreux, mais l’un d’entre eux synthétise l’ensemble de sa philosophie : il ne possède pas de smartphone, quintessence selon lui de tout ce qui cloche actuellement dans le monde informatique. Richard Stallman ne manque cependant pas d’humour, et c’est habillé d’une toge brune et auréolé d’un disque brillant qu’il déclamera finalement : « Il n’y a de vrai système que GNU, et Linux est l’un de ses noyaux ». Les fans apprécieront (et ont apprécié).

Mozilla se prépare une intense fin d’année pour Firefox

Lors de notre passage à Saint-Étienne nous avons aussi eu l’occasion de discuter avec Christophe Villeneuve, représentant de la Mozilla Foundation et contributeur notamment sur les WebExtensions. Évoquant Firefox et les améliorations à venir pour les prochains mois, un constat s’est imposé : la fin 2017 marquera une étape très importante pour le navigateur.

Firefox 57 s’annonce en effet comme une version majeure à plusieurs égards, même si le calendrier de certains éléments reste à confirmer. Ce sera d’abord la mouture activant par défaut les WebExtensions et coupant les anciens modules. Dans de nombreux cas, ils utilisent déjà ce standard du W3C, mais il n’est pas certain que tous soient compatibles d’ici novembre, à la sortie de cette version.

Il faut savoir que le travail de conversion peut être parfois long, nécessitant dans certaines situations de profondes réécritures. NoScript par exemple ne prévoit ainsi pas de remaniement dans l’immédiat, même si un groupe s’est attaqué au projet. En clair, il est possible qu’une partie des utilisateurs aient la mauvaise surprise de voir des extensions disparaître, même si la situation ne devrait pas être courante.

Firefox 57 pourrait aussi être l’officialisation de Quantum (voir notre analyse), le nouveau moteur de rendu qui doit remplacer Gecko et doit arriver d’ici la fin de l’année. L’un de ses objectifs est de permettre une hausse des performances, en se voulant nettement plus moderne. Certaines parties sont actuellement présentes dans les moutures Nightly du navigateur, mais il faudra attendre encore un peu pour le tester intégralement.

Quantum est un chantier majeur, un navigateur ne changeant pas de moteur de rendu comme on change d’extensions. Les enjeux sont importants pour Mozilla, puisque l’éditeur veut revenir dans la course aux performances, en créant un moteur en langage Rust (tiré du projet Servo) pour répondre aux besoins modernes du web, notamment pour les applications. L’efficacité concrète de Quantum reste bien entendu encore à confirmer.

Firefox 57 pourrait aussi être la première version à proposer en standard les onglets contextuels. Derrière ce titre énigmatique se cache une fonction sur laquelle Mozilla n’a que très peu communiqué. Il s’agit ni plus ni moins d’onglets fonctionnant dans des conteneurs logiciels.

Utilisables dans les actuelles versions Nightly, ils se récupèrent dans la personnalisation de la barre d’outils, en déplaçant un bouton qui y donne accès. Lorsque l’on clique dessus, une liste de thèmes généraux apparaît : Personnel, Professionnel, Bancaire et Achats en ligne. Ils ne sont qu’indicatifs, l’utilisateur pouvant en créer autant qu’il souhaite.

firefox onglets contextuels

Une fois ouvert, un onglet contextuel agit comme un conteneur logiciel. Il applique bien le profil utilisateur en cours (historique, marque-pages, mots de passe…) et accède aux extensions, mais il ne peut pas communiquer avec les autres onglets. Il est donc isolé et se destine très clairement aux sites sur lesquels on souhaite une couche de sécurité complémentaire. Les cookies, le stockage local, la base de données IndexedDB et le cache de navigation sont ainsi séparés du reste du navigateur.

Le mécanisme ne bloque pas toute tentative de piratage mais doit permettre de lutter efficacement contre certains scénarios d’attaque, notamment celles de type XSS (cross-site scripting) et CSRF (Cross-Site Request Forgery). Notez également que le fonctionnement de ces onglets n’est pas encore tout à fait arrêté et qu’il peut donc encore changer dans les mois qui viennent.

Distributions Linux : de quoi trouver son bonheur

Qui dit logiciel libre dit nécessairement distributions GNU/Linux, bien que toutes ne soient pas 100 % libres, comme l’évoquait Richard Stallman. Rencontres mondiales oblige, beaucoup étaient sur place, représentées par des passionnés, contributeurs ou encore associations.

  • Debian

Difficile de parler de Linux sans évoquer Debian, tant la distribution est connue et utilisée, pour elle-même ou comme base pour d’autres systèmes, dont le plus connu est Ubuntu. Nous avons discuté avec Nicolas Dandrimont, président de l’association Debian France, et lui-même contributeur.

Projet débuté en 1993, Debian compte actuellement environ un millier de développeurs, tous ayant la possibilité de voter sur les choix d’évolution du système. Lorsque des débats techniques s’éternisent ou ne trouvent pas de solution évidente, un comité technique de huit personnes peut toutefois trancher.

Nous en avons profité pour aborder les grandes évolutions qui attendent le projet, désormais en marche vers sa version 10, qui n’arrivera sans doute pas avant deux ans : Buster. Comme un nombre croissant de distributions, Debian fera ainsi en sorte de proposer une session utilisateur qui soit par défaut sous Wayland, le serveur d’affichage qui remplace progressivement le très vieux X.org. Une transition de longue haleine, notamment pour résoudre les soucis de compatibilité avec certains pilotes graphiques.

Autre grand chantier en cours, mais beaucoup plus avancé celui-là, la compatibilité avec SecureBoot. Comme Nicolas Dandrimont nous l’a indiqué, la plupart des éléments sont déjà en place, notamment les signatures numériques utilisées pour contrôler l’intégrité de la chaine de démarrage.

Le shim est ainsi prêt depuis un moment. Ce composant, parfois appelé « logiciel de calage », est auto-certifié et utilisé pour s’assurer que le bootloader – le plus souvent GRUB – dispose de la bonne signature. GRUB va répéter l’opération pour le noyau Linux et ainsi de suite, l’idée globale étant de s’assurer que rien n’est venu s’insérer dans la chaine.

Puisque l’on parle de sécurité, Debian 10 vise également les 100 % de paquets reproductibles. Dans l’actuelle version 9, sortie le mois dernier, ils le sont déjà à 90 %. Traduction, ces paquets source sont capables de construire des binaires strictement identiques. L’intérêt pour l’utilisateur est de s’assurer qu’aucune attaque n’est venu altérer le compilateur ou la chaine de construction.

Source nextinpact.com

Publicités

Posted in Uncategorized | Tagué: , , , | Commentaires fermés sur Rencontres mondiales du logiciel libre : une édition 2017 marquée par la sécurité

Tails 3.0

Posted by CercLL sur 25 juin 2017

Tails 3.0 est basée sur Debian 9. Outre un soin particulier apporté à l’expérience utilisateur et à l’esthétique, la sécurité a été revue en profondeur et de nombreux logiciels ont eu des mises à jour majeures.

Pour la première fois, Tails sort en même temps que la nouvelle Debian, pour le plus grand bien de nos utilisateurs qui profitent des nouveautés plus tôt ! Mais aussi pour le bénéfice de Debian, avec qui nous renforçons nos liens, car nous avons pu détecter et réparer des problèmes pendant le développement de Stretch.

Bien sûr, cette version répare aussi de nombreux problèmes de sécurité ; les utilisateurs devraient mettre à jour leur système au plus vite.

Nouveau démarrage et nouvel arrêt

L’ergonomie de Tails Greeter, l’application qui configure Tails au démarrage, a été complètement revue par des bénévoles avec l’aide de l’équipe UX de NUMA Paris :

  • toutes les options dans une seule fenêtre ;
  • les paramètres de langues et de régions s’affichent en premier ;
  • l’accessibilité se règle dès le démarrage.

Tails greeter

L’arrêt a été repensé pour être plus fiable et plus discret (l’écran est maintenant totalement noir). Pour éviter les attaques cold‐boot, les versions précédentes nettoyaient la mémoire vive à l’extinction du système. Ça ne suffisait pas. Tails utilise maintenant l’empoisonnement de la mémoire à la libération (freed memory poisoning) du noyau Linux, en la remplissant de zéros ou d’un autre motif.

Une interface délaissée (léchée ?)

Grâce aux multiples amélioration de GNOME, depuis la précédente version.
Avec la suppression de la fonction de camouflage Windows (faute de bénévoles pour s’en occuper), Tails 2 était passé à GNOME Shell en mode « Classic ». Mais c’était un peu trop voyant : Tails 2

Tails 3 bascule vers le thème sombre de GNOME, à l’aspect plus moderne et discret : Tails 3

La sécu améliorée en profondeur (jeu de mots discret)

Tails n’est plus fait pour les ordinateurs 32 bits. Se concentrer sur les matériels 64 bits a eu d’importants effets sur la sécurité et la confiance dans le système. Par exemple, on ne peut se protéger contre certains exploits de sécurité sans le support du bit NX, et la plupart des binaires sont renforcés avec PIE qui permet l’ASLR ([[address space layout randomization]], distribution aléatoire de l’espace d’adressage).

Le navigateur Tor Browser est mis à jour en version 7.0 (basée sur Firefox 52 ESR), qui est multi‐processus et nous prépare à aller vers les contenus isolés dans un bac à sable (sandboxing). Ça devrait rendre plus difficile d’exploiter les vulnérabilités du navigateur.

Logiciels mis à jour

Avec une nouvelle Debian, la plupart des logiciels sont mis à jour. On notera :

  • KeePassX (gestionnaire multi‐plate‐forme de mots de passe) en version 2.0.3, votre base de données sera migrée automatiquement dans le nouveau format KeePassX 2 ;
  • Enigmail (GPG pour Thunderbird) en version 1.9.6 ;
  • MAT (Metadata Anonymisation Toolkit) en version 0.6.1.

Changements

Quelques changements notables ont été effectués :

  • l’icône d’état de Pidgin a été retirée de la barre du haut et remplacée par des fenêtres de notification ;
  • la boîte de recherche et la recherche via la barre d’adresse ont été retirées du navigateur non sécurisé ;
  • l’option pour garder le stockage persistant en lecture seule a été retirée, car très peu de monde l’utilisait et elle provoquait confusion et bogues inattendus.

Qu’y a‐t‐il dans les tuyaux ?

Tails 3.1 est prévu pour sortir le 8 août 2017. La feuille de route indique ce vers quoi le projet se dirige. Le projet a d’ailleurs besoin de votre aide et il existe de nombreux moyens de contribuer à Tails (faire un don est une manière). N’hésitez pas à venir voir ses développeurs

Source linuxfr.org

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur Tails 3.0

OpenPGP et GnuPG : 25 ans de chiffrement pour tous, ce qu’il faut savoir avant de s’y mettre

Posted by CercLL sur 27 décembre 2016

Phil Zimmerman a créé PGP il y a 25 ans et le standard OpenPGP fêtera ses 20 ans l’année prochaine. L’occasion de faire le point sur ce qui a donné naissance à GnuPG, avant de nous attarder sur son utilisation pratique.

image dediée

Après vous avoir expliqué les concepts de base de la cryptologie et du chiffrement, nous avons décidé de revenir en détail sur un premier outil qui a l’avantage d’être open source, multiplateforme et d’exister depuis près de 20 ans : Gnu Privacy Guard, aka GnuPG ou GPG.

Nous publierons dans le cadre de ce dossier une série de guides pratiques qui permettront de l’exploiter, de la simple création d’une clef au chiffrement de vos fichiers et de vos emails.

De PGP 1.0 à GnuPG 2.1 : 25 ans de chiffrement

Pour rappel, Phil Zimmerman a créé Pretty Good Privacy (PGP) en 1991, un projet qui s’était exporté hors des États-Unis (malgré les lois en vigueur à l’époque) à travers une solution ingénieuse : le code source avait été distribué sous la forme d’un livre, édité par MIT Press et qui nécessitait ensuite d’utiliser un outil d’OCR. Un épisode qu’il avait raconté en 2013 dans le cadre du reportage Une contre-histoire des internets :

À l’occasion du lancement de sa troisième version, le projet a été pris en charge par la société PGP Inc, rachetée plusieurs fois puis intégrée à Symantec en 2010. Mais c’est dès 1997 que le besoin de la création d’un standard qui n’était soumis à aucune licence ni aucun brevet s’est fait sentir. OpenPGP était alors né à travers la RFC2240 de l’Internet Engineering Task Force (IETF). Désormais, il s’agit de la RFC4880.

GnuPG est donc une implémentation open source de ce standard, dont la première version stable a vu le jour deux ans plus tard, en 1999. Un outil de référence, tant pour le chiffrement de documents que des emails dans de nombreuses applications. Fin 2013, peu après les révélations d’Edward Snowden, l’équipe faisait appel au financement participatif pour donner un nouvel élan au projet et mettre sur pieds la version 2.1. Sur 24 000 euros demandés, 36 732 euros ont été obtenus.

Aujourd’hui, OpenPGP et GnuPG sont contestés par certains (comme Moxie Marlinspike, co-auteur du protocole Signal) pour leur complexité, notamment lorsqu’il s’agit de messagerie instantanée ou de gestion depuis un appareil mobile. L’histoire retiendra en effet que lorsqu’Edward Snowden a cherché à contacter le journaliste Glenn Greenwald pour la première fois, celui-ci ne savait pas utiliser ces outils. Il a ensuite contacté Laura Poitras, plus habituée à ce genre de pratiques.

signalSignal Desktop
Signal, une messagerie électronique qui mise sur un chiffrement efficace, mais simple et transparent

Mais GnuPG reste un outil flexible, autorisant de nombreux usages dans le domaine du chiffrement. Si beaucoup voient en des applications comme Signal des remplaçants, il s’agit plutôt de bons compléments pour des besoins spécifiques, comme le rappelait récemment Neal H. Walfield, qui travaille sur GnuPG.

Bien qu’imparfait et sans doute pas assez « clef en main », il reste néanmoins important à connaître et à maîtriser dès lors que l’on s’intéresse à cette problématique, avec l’espoir de comprendre un minimum ce que l’on fait. Après tout, ce n’est pas parce que les voitures autonomes existent qu’il ne faut plus apprendre à conduire.

Trois branches et de nombreux outils

GnuPG est distribué seul, via deux branches principales : stable et moderne. La première est conservatrice dans ses fonctionnalités et intègre en général surtout des correctifs. La seconde implémente de nombreuses nouveautés. Il existe aussi une branche classique (1.4) pour ceux qui veulent assurer une compatibilité avec d’anciens systèmes.

Actuellement vous avez le choix entre la 2.0.30 – qui sera considérée comme en fin de vie le 31 décembre 2017 – et la 2.1.17. Cette dernière ne supporte plus les clef PGP-2 mais propose le support des algorithmes de cryptographie sur les courbes elliptiques (ECC), une procédure de création de clefs par défaut plus simple, des procédures de création et de signature de clef rapides, des correctifs et autres améliorations diverses.

Notez que l’équipe de GnuPG distribue plusieurs outils, notamment des bibliothèques pour les développeurs. Gnu Privacy Assistant (GPA) est aussi disponible pour la gestion de vos clefs et smartcards, ainsi que pour le chiffrement de textes. Le site d’OpenPGP, lui, présente avant tout le standard et son histoire, ainsi que des outils qui l’exploitent pour différents usages.

Clef publique, clef privée, WOT et TOFU

Comme nous l’avons évoqué dans notre article sur le chiffrement, GPG propose un fonctionnement dit asymétrique. Ainsi, vous disposez d’une paire de clefs, l’une publique et l’autre privée.

La première est à diffuser largement, elle permettra à des tiers de chiffrer des documents de manière à ce que vous seul puissiez les lire. De manière générale, il est recommandé de la mettre en avant dans des espaces qui vous appartiennent et où vous êtes clairement identifié : votre bio sur un réseau social, votre blog, etc.

Chiffrement asymétrique

Crédits : Roumanet/WikipédiaCette identification est nécessaire car n’importe qui peut créer une paire de clefs pour n’importe quel nom/email. C’est pour cela que le concept de « web of trust » a été mis en place, permettant à tout utilisateur d’indiquer qu’il certifie qu’une clef donnée correspond bien à personne précise. Une action favorisée par les « key signing party ».

Pour ceux qui veulent aller plus loin, notez qu’un nouveau modèle de confiance dévoilé l’année dernière commence à être mis en place : Trust On First Use (TOFU). Il a notamment été détaillé dans ce journal de LinuxFR et vise à faciliter les échanges lors d’un premier contact.

La clef privée doit rester secrète. Elle vous permettra de signer des éléments pour prouver que vous en êtes à l’origine et qu’ils n’ont pas été modifiés, ou de déchiffrer ceux qui vous sont envoyés. Attention, si vous la perdez, elle sera impossible à remplacer. De plus, si vous changez de clef, la nouvelle ne permettra pas de déchiffrer les documents et emails chiffrés pour la précédente.

Une clef privée est toujours protégée par une phrase de passe qui permettra de la déverrouiller. Ainsi, si quelqu’un venait à la découvrir, tout ne sera pas perdu (mais il faudra éviter d’oublier cette phrase ou qu’elle soit trop facile à deviner). Une clef privée prend la forme d’une longue suite de caractères, vous pouvez donc la « sauvegarder » sous la forme papier (certains outils permettant de générer un PDF spécifique).

Identités, photos, commentaires et empreintes

Chaque paire de clefs peut être liée à une ou plusieurs identités. Celles-ci se composent de trois éléments liés à votre paire de clefs : un nom, un email et un commentaire. Vous pouvez aussi ajouter des photos permettant de vous identifier. Bien entendu, cela ne doit pas forcément se faire sous votre vrai nom, et vous pouvez décider d’avoir un fonctionnement plus discret, avec une identité sous pseudonyme.

Chaque clef est identifiée par une empreinte de 40 caractères ou un ID qui se compose des huit derniers caractères de cette dernière. Lorsque vous voulez permettre d’identifier votre clef, veillez à bien communiquer l’empreinte complète pour éviter tout problème.

En effet, des cas de collisions sur l’ID ont été rencontrés ces derniers mois, il ne peut donc être considéré comme suffisant. L’idéal est d’ailleurs de proposer un lien vers le contenu complet de votre clef

Détail clef GnuPG macOS GPG Keychain

Quelle taille de clef choisir ?

Passons à la taille de la clef. Avec RSA – l’algorithme recommandé (ECC n’est proposé qu’en mode expert) – on considère que celle-ci est sécurisée à partir de 2048 bits, mais il est souvent conseillé d’utiliser une valeur supérieur. Le maximum est actuellement fixé à 4096 bits.

Utiliser cette valeur est donc le choix le plus « sécuritaire », qui devrait permettre de protéger votre contenu même si une solution venait à être trouvée pour casser le RSA 2048 bits (ce qui est encore loin d’être le cas). Attention néanmoins, certains outils sont limités à un fonctionnement sur 2048 bits et des appareils peu performants (smartphones par exemple) peuvent ne pas apprécier de devoir fournir une puissance de calcul importante pour une clef de 4096 bits.

Des éléments à prendre en compte au moment de faire votre choix.

Date d’expiration et révocation

Le dernier point à prendre en compte est la date d’expiration. Celle-ci ne concerne que votre clef publique. Une clef privée ne peut, par essence, pas expirer.

Il s’agit là d’une protection utile, notamment si vous veniez à perdre l’accès à votre clef privée. Dans ce cas, vous ne pourrez plus modifier la date d’expiration de la clef publique, et celle-ci finira par apparaître comme invalide. Dans ses dernières versions, GPG utilise une durée de deux ans par défaut. N’hésitez pas à raccourcir cette limite.

Il peut aussi être intéressant de changer régulièrement de clef. En effet, si vous chiffrez cinq ans d’échanges avec une même clef privée et que celle-ci vient à être découverte, c’est l’ensemble des messages qui pourra être déchiffré. Alors qu’en changeant régulièrement de clef, le risque sera plus limité.

Une notion notamment développée dans le concept de Perfect Forward Secrecy, comme nous l’évoquions dans notre précédent article, dont il peut être intéressant de s’inspirer. Tout dépend de votre besoin et du niveau de protection que vous voulez assurer à vos documents et emails.

Notez enfin que lorsque vous créez une paire de clefs, il vous sera conseillé de créer une clef de révocation. Cela permet, lorsque vous publiez vos informations sur un serveur de clefs, d’indiquer que votre clef privée a été compromise. Les personnes avec qui vous échangez sauront alors qu’ils ne doivent plus l’utiliser (nous reviendrons sur ce point plus en détails dans un prochain article).

Retrouvez notre dossier Chiffrement, clefs de sécurité et cryptobidules :

Source nextinpact.com

Posted in Uncategorized | Tagué: , , | Commentaires fermés sur OpenPGP et GnuPG : 25 ans de chiffrement pour tous, ce qu’il faut savoir avant de s’y mettre

Lynis

Posted by CercLL sur 28 août 2015

Lynis est un outil d’audit de sécurité pour les systèmes UNIX. Il vérifie le système ainsi que les logiciels installés et crée un rapport sur les éventuels risques de sécurité.

lynis-f5a70

1. Présentation

Cet outil open source (licence GPL) écrit en script shell pour les systèmes UNIX, Mac OS, Solaris, GNU/Linux audite la configuration de votre machine afin d’évaluer et de vérifier sa sécurité. Une fois le scan terminé, il publie un rapport permettant de tirer profit de cette analyse. C’est un outil indispensable pour les administrateurs et les professionnels de la sécurité. Il n’y a pas besoin de l’installer, il suffit de lancer le script dans le dossier Lynis.

2. Interface

Lynis s’utilise en ligne de commande. Il suffit de le télécharger sur le site officiel, de se rendre dans le dossier, après l’avoir décompressé, puis de lancer le script exécutable lynis.

3. Fonctionnement

Le programme réalise de nombreux tests et vérifications, depuis le démarrage du script jusqu’à la publication du rapport de sécurité.

Cela se passe en six étapes :

Détermine le système d’exploitation
Recherche des outils disponibles
Vérifie les mises à jour de Lynis
Effectue les tests des plugins disponibles
Effectue les test des diverses catégories
Crée le rapport de sécurité

Il fonctionne de manière opportune, c’est à dire qu’il fait les tests suivant ce qu’il découvre sur le système et les logiciels installés.

Avant de le lancer, vérifions s’il est à jour : ./lynis update info

Lançons un scan avec la commande :

./lynis audit system

Le programme se lance et fait les tests afin de déterminer le système hôte. Ensuite viendront les différents audits de sécurité.

Puis le rapport d’audit est affiché (et tous les logs se trouvent dans /var/log/lynis.log) :

C’est un outil vraiment complet et très utile pour l’audit de la sécurité d’un système. S’il ne requiert pas de connaissances spécifiques pour l’utiliser, il en faut cependant afin de pouvoir analyser et tirer pleinement profit de son audit.

Source toolinux.com

Posted in Uncategorized | Tagué: | Commentaires fermés sur Lynis

Chkrootkit

Posted by CercLL sur 21 août 2015

Chkrootkit est un scanneur de rootkit pour système UNIX. Il permet de vérifier qu’un système n’a pas été compromis. C’est un outil de sécurité indispensable pour un administrateur.

1. Présentation

Chkrootkit, dont le développement a débuté en 1997, est publié sous licence GNU/GPL et est disponible pour les environnements UNIX, GNU/Linux, BSD, Solaris, et Mac OSX. Il cherche sur le système cible des traces d’une attaque et la présence de rootkit.

2. Interface

Présent sur les dépôts de la plus part des distributions GNU/Linux, il s’installe simplement avec le gestionnaire de paquets, et fonctionne en ligne de commande. Précision importante : il faut disposer d’un compte « root ».

3. Fonctionnement

Afin de vérifier que le système n’a pas été infecté, Chkrootkit effectue plusieurs vérifications :

Des fichiers exécutables du système ont-ils été modifiés ?
La carte réseau est-elle en mode « promiscuous » (permet d’accepter tous les paquets réseau) ?
Des vers LKM (Loadable Kernel Module) sont-ils présents ?
Des entrées de « lastlogs » ont-elles été effacées ?

4. Scan

Pour lancer un scan, il suffit de taper dans une console, en root :

chkrootkit

Pour afficher l’aide :

chkrootkit -h

Pour voir les tests qui vont être effectués :

chkrootkit -l

Lors du balayage (scan), on peut voir les tests effectués ainsi que leurs résultats. Chkrootkit fait partie des logiciels de base pour un administrateur. Il est très utile pour vérifier l’intégrité d’un poste, même si cela n’est évidemment pas suffisant et qu’il faut avoir recours à une véritable politique de sécurité.

Source toolinux.com

Posted in Uncategorized | Tagué: | Commentaires fermés sur Chkrootkit

Six erreurs de sécurité informatique à ne plus faire

Posted by CercLL sur 5 mai 2015

Nous analysons 6 points souvent mal compris par les internautes en matière de sécurité informatique. Comment ne plus commettre ces erreurs ?

1. Le protocole HTTPS est-il sécurisé… ou pas ?

HTTPS c’est le protocole HTTP couplé avec une couche de chiffrement comme TLS. De façon plus imagée, il s’agit de chiffrer les informations transmises sur le réseau.

Avec HTTP vous voyez passer « en clair » les données :

Avec HTTPs vous voyez passer les données chiffrées (et vous ne pouvez rien faire avec sans posséder la clé de déchiffrement) :

Seulement, et c’est là qu’est la confusion : La sécurité doit être assurée sur plusieurs niveaux.

Ici, on sécurise le niveau réseau mais on ne parle pas du niveau « humain » ni du niveau « système ».

Concernant le niveau humain, il s’agit notamment du fameux Phishing. Et il est dangereux de dire :

« Si tu vois le petit cadenas c’est que c’est bon tu peux acheter ! »

Car la page de phishing peut très bien être en HTTPS elle aussi. N’importe qui peut acheter des certificats SSL voire en obtenir gratuitement.

(…)

Les keyloggers fonctionnent de la même manière, ils récupèrent ce que vous tapez sur votre clavier peu importe si vous êtes en HTTPS ou non, peu importe le site, peu importe les programmes ouverts. Vos informations passent du clavier au système (sur lequel le keylogger s’exécute), puis du système au site web, puis du site web au réseau (via HTTPS mais c’est déjà trop tard, le pirate est parti avec votre mot de passe).

Lire la suite sur le blog du Hacker

Source toolinux.com

 

Posted in Uncategorized | Tagué: | Commentaires fermés sur Six erreurs de sécurité informatique à ne plus faire

Attention, une faille de sécurité dans bash vient d’être divulguée, il est recommandé de mettre à jour son système

Posted by CercLL sur 26 septembre 2014

linux-questions-184x138

Une faille de sécurité dans bash a été divulguée le 24 septembre 2014. Celle ci permet l’exécution de code arbitraire via l’environnement.
Cette faille est très sérieuse et permet des attaques via le réseau ainsi que des élévations de privilège en local.

Pour savoir si votre machine est affectée, lancez la commande :

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Une machine vulnérable retournera :

vulnerable
this is a test

Une machine non affectée retournera :

bash: avertissement : x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
this is a test

Un correctif de sécurité a été déployé, il suffit de mettre à jour votre système :

sudo apt-get update ; sudo apt-get upgrade

Attention, les seules versions supportées par les mises à jour de sécurité sont les suivantes :

  • 10.04 LTS (Lucid Lynx) serveur uniquement
  • 12.04 LTS (Precise Pangolin)
  • 14.04 LTS (Trusty Tahr)
  • 14.10 (Utopic Unicorn)

Cette faille n’a pas d’effet directement. Pour être exploitée elle doit être par exemple couplé à un service réseau qui utilise bash (ex. serveur web + lCGI, ssh, …) ou un exécutable local avec le bit(suid).

Détails techniques.
Pour ceux qui veulent en savoir plus, cette faille consiste en l’exploitation d’un problème du parseur de bash. Lors de la définition d’une variable il est possible d’utiliser un petit hack pour passer la définition d’une fonction shell :

VAR='() { echo plop; }' bash -c 'VAR'

Aucun code ne devrait être exécuté directement. Seules les variables et fonctions sont exportées.

Les versions de bash affectées exécutent tout code à la suite de la définition d’une fonction :

VAR='() { echo plop; }; code_malicieux' bash -c 'echo on lance un sous-shell'

Dans les versions vulnérables, le code malicieux est interprété lorsque le shell définit les variables d’environnement. Dans les version corrigées, le parseur n’interprète pas le code_malicieux.

 

Source

bouton_web_soutien_88x31

Posted in Uncategorized | Tagué: | Commentaires fermés sur Attention, une faille de sécurité dans bash vient d’être divulguée, il est recommandé de mettre à jour son système

 
%d blogueurs aiment cette page :