BlackHat attacks RedHat

Après la faille de sécurtié dans Debian, c’est au tour d’un autre grand géant de Linux ! Le 22 Août était un très mauvais jour pour Fedora et RedHat. Ils ont subi une intrusion et ils ne savent pas exactement où est le problème … ou ne disent pas encore où est la faille.

Voici deux liens qui en parlent :

• http://linuxfr.org/~patrick_g/27082.html
• http://linux.slashdot.org/article.pl?sid=08/08/22/1341247
• et l’avis CERTA http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-428/index.html

Le premier donne un récapitulatif des faits et le second est juste une alerte avec quelques liens vers le site de RedHat où on dit qu’il y a effectivement un problème.

Pour l’instant, RedHat a fait deux actions :

1. Faire un script openssh-blacklist-1.0.sh qui permet de détecter les paquets défaillants. L’intrus aurait signé sur les serveurs compromis des paquets d’OpenSSH. Le script a donc la liste des signatures des paquets compromis et regarde si l’un des paquets est sur votre système.
2. Mettre à jour les paquets d’OpenSSH (en corrigeant au passage un vieux bug concernant un cookie X11 non sécurisé, mais rien à voir avec l’histoire).

Pour l’instant, RedHat ne sait donc pas (d’après les éléments publiés) où est exactement la faille exploitée par l’intrus ! Elle a donc juste mis à jour les versions des paquets OpenSSH en croisant les doigts et en priant pour que la faille en question ne soit pas dans la nouvelle version uploadée.

C’est assez grave … vaut mieux mettre à jour son système, même si le correctif actuel est assez ridicule (à mon avis), mieux vaut ne pas tenter le diable :p

J’espère qu’on aura dans un futur proche le fin mot de cette histoire.

[1] http://www.redhat.com/security/data/openssh-blacklist.html

[1] http://www.infoworld.com/article/08/06/19/Red_Hat_Summit_panel_Who_won_OOXML_battle_1.html

Vuestar Technologies logoSelon Vuestar Technologies, les honoraires sont calculés en fonction de l’usage, du trafic et de la fréquence d’utilisation des images. Il faudra de plus négocier le paiement pays par pays, et ce, chaque année. De plus, toutes les images sont concernées, du logo à la photo, en passant par la simple icône ou même une animation.

« Si votre site comporte seulement du texte et n’a pas d’images ou d’icônes avec un lien, aucune licence n’est nécessaire. » Merci Vuestar Technologies.

Selon le cabinet d’avocat Keystone Law, qui demande à ses clients de prendre un maximum de précautions avant de rémunérer des entreprises comme Vuestar, cette dernière aurait déjà contacté des sociétés singapouriennes afin de leur demander 5000 $ locaux (soit 2345 €). Selon le site singapourien The Electric New Paper, les sommes demandées peuvent varier de 200 à 10 000 $ singapouriens, soit de 94 à 4687 €.

D’après The Electric New Paper, Stuart Tan, détenteur de Internetmarketingsingapore.com, aurait lui aussi une facture de 2 600 $ locaux (1220 €). Jugeant cette demande ridicule, Stuart Tan compare cette situation à sa manière : « C’est comme si une entreprise déposait le brevet d’aller à l’école, exigeant de l’argent à ceux qui le font ».

Source: http://www.pcinpact.com/actu/news/43855-Lier-site-image-brevet.htm

Cette fois-ci, je suis tombé sur une documentation autour de XHTML et CSS qui faite par Google et hébergée sur Google Code. La documentation semble être presque complète (et elle le sera davantage au fur et à mesure) et contient entre autres des HOWTOs. Ce projet de documentation se nomme Doctype et les informations intéressantes sont disponibles sur le wiki du projet en question.

Le seul problème avec cette documentation c’est que la navigation reste pénible : à chaque fois qu’on choisit une page, on est obligé de faire “précédent” pour revenir à la page d’accueil et choisir une autre page. Certes, c’est une manière de faire. Mais, il est possible d’éviter ce genre de navigations quant il s’agit d’une documentation d’un projet hébergé sur Google Code. Vous pouvez donc l’utiliser pour le projet Doctype et profiter de la documentation.

Pour le format des URLs de Docreader, il faut consulter cette page URL Format.

Pour vos visiteurs, ils n’auront pas à se créer un n-ième compte sur votre site pour pouvoir utiliser les nouvelles fonctionnalités ; ils devront juste se connecter avec leur compte Facebook, MyScpace, Google ou autre. Ils n’ont donc pas de nouveau mot de passe à mémoriser ou un autre pseudo.

En rejoignant votre nouvelle communauté, leur réseau social en est informé et pourront à leur rejoindre votre réseau.

Pour voir ce nouvel outil en action, vous pouvez voir cette petite démo :

Une liste de sites web utilisant Google Frient Connect est disponible sur la page Examples. Pour les gens qui sont intéressés par cet outil, ils decvront encore attendre un peu car Google Friend Connect n’est pas encore disponible pour tout le monde. Mais ca ne va pas tarder En tous cas, j’ai hâte de tester !

Si Linux vous effraie toujours et que vous vous dîtes que c’est difficile à maîtriser pour vous, alors je vous recommande d’aller assister à Install Party (une manifestation qui conciste à accueillir des gens et leur expliquer et montrer comment marche Linux ; et surtout, apprendre à l’installer !). Pour connaître les prochaines Install Party près de chez vous, vous pouvez consulter :

• Agenda du Libre TuNisien
• Agenda du Libre, qui est l’agenda des évènements du Logiciel Libre en France

Notez aussi qu’avec la dernière version d’Ubuntu (la version Hardy Heron 8.04), on peut installer Ubuntu directement sous Windows et le désinstaller exactement comme une application normale. Vous pourrez ainsi tester aisément Linux sans vous poser de questions à propos du partitionnement des disques, etc … Pour ce faire, visitez ces liens qui parlent de Wubi (l’installeur Windows de Linux) :

• http://wubi-installer.org/, le site officiel
• http://doc.ubuntu-fr.org:81/wubi, un article très complet sur comment installer, qu’est ce qu’il faut faire, et comment s’en sortir
• http://fr.wikipedia.org/wiki/Wubi_(Ubuntu), la page Wikipedia de Wubi.

Heureusement, Yahoo! a refusé l’offre de Microsoft jugée trop basse (Il s’agissait de 45 milliards de dollars). Et j’ai pu enfin souffler ! Mais, après qu’ils aient annoncé que toutes les négociations étaient finies, l’action de Yahoo! a chuté de près de 20%. J’imagine qu’il y avait plein d’actionnaires mécontents ; car les actionnaires, c’est bien connu, défendent leur argent et pas un idéal, ni une stratégie technologique. Pour détendre l’atmosphère (j’imagine), Yahoo! a commencé à discuter sur un éventuel partenariat avec Google (ou l’inverse). Bref, la vie reprenait son cours et on commençait à oublier cet horrible épisode

Mais aujourd’hui, en lisant les journaux que j’ai l’habitude de regarder, je suis tomber sur un article de Le Monde qui parle de la suite de l’histoire et ce qui se passe pourrait être l’idée d’un film : Carl Icahn est un riche milliardaire américain et il vient d’acheter pour 50 millions d’actions chez Yahoo!, soit 3,6% du capital. Son idée : entrer dans le conseil d’administration et faire pressions sur les autres actionnaires pour que les négociations avec Microsoft reprennent.

On revient donc dans la même situation : attente, suspense et rumeurs ! Personnellement, ca ne me rassure pas du tout et le fait de Microsoft devenir encore plus grand me fait peur. En attendant, je vais aller regarder le dernier épisode de Naruto Je suis sûr que ca va me changer les idées

Pour plus de détails sur ce bug, vous pouvez consulter l’annonce de sécurité faite par Debian : http://lists.debian.org/debian-security-announce/2008/msg00152.html. Profitez-en pour télécharger le programme dowkd.pl pour vérifier si vous avez des clés faibles sur votre système.

Mieux vaut donc mettre à jour votre système avec les nouveaux paquets corrigés et tous les programmes qui en dépendent (comme openssh-server, openvpn). Il est important de noter que cette faille affecte toutes les autres distributions basées sur Debian (etch/lenny/sid), même Ubuntu (Toutes les versions à partir de la 7.04). N’oubliez surtout pas donc vos clés SSH (RSA/DSA), votre fichier ~/.ssh/authorized_keys, les clés de votre serveur SSH, vos certificats, etc …

Beaucoup de gens semblent vraiment en vouloir au mainteneur du paquet d’OpenSSL. Julien BLACHE veut carrément une nouvelle équipe pour ce paquet critique. Mais, avant de prendre de telles décisions, il faut remarquer qu’il y avait un bug #332498 RFH (Request For Help). Les mainteneurs avaient clairement besoin d’aide et personne (ou presque) ne s’est proposé pour les aider. Donc à qui la faute finalement ? Je ne pense pas que le mainteneur soit le seul fautif. En fait, sa seule faute, (d’après moi), c’est de ne pas avoir montré le patch qu’il avait fait à l’équipe d’OpenSSL. Je pense qu’ils auraient vu le problème et auraient averti le mainteneur.

On verra bien comment cette histoire va évoluer au sein du projet Debian. J’espère qu’il en ressortira du bien …

Update: Le patch proposé par le mainteneur a bien été discuté sur la liste de développement OpenSSL-dev. Et l’équipe d’OpenSSL n’avait pas trouvé quelques chose de louche dans le code modifié. L’équipe OpenSSL de Debian n’a donc rien à se reprocher. Le lien : http://marc.info/?l=openssl-dev&m=114651085826293&w=2

Update 2 : Décidément, cette histoire ne va pas finir. En fait, le développeur Debian aurait bien discuté la modification avec les développeurs de OpenSSL (comme vous le montre le lien dans le premier Update). Mais, il a fait la même modification à d’autres endroits du code où ca crée un problème.

Update 3 : Quelques explications sont sur cette page SSLKeys. Et les patch intéressants : patch contenant le bug et patch correcteur. Notez que le patch correcteur date du 7 mai, soit 5 jours avant l’annonce du bug !

La lampe a la forme d’une colonne transparente, haute de près de 1,3 mètre. Elle contient des LEDs et il y a un plateau qui descend très doucement, grâce à la gravitation. En descendant, les LEDs s’allument, produisant ainsi 600 à 800 lumens (équivalent d’une lampe ordinaire de 40 Watts), pendant 4 heures et sans aucun bruit. Une fois que le plateau atteint le bas de la lampe, on renverse la lampe en mettant le haut en bas. Et après quelques secondes, la lampe se remet à produire de nouveau de la lumière. L’inventeur estime que la lampe peut éclairer pendant 200 ans, si elle est utilisée 8 heures par jour et 365 jours par an.

Un des problèmes majeurs de cette lampe est son poids … non, vous ne voulez pas savoir combien elle pèse. Des fois, il vaut mieux garder une bonne appréciation de cette invention. Mais il est sûr, qu’avec un peu de temps et de recherche, qu’on aura un jour une lampe utilisant ce même principe mais qui serait plus maniable. Pour le moment, si vous êtes curieux, le rapport de recherche [2] de l’étudiant inventeur en question, Clay Moulton, est accessible sur internet.

En attendant, je suis content de voir ce genre d’inventions apparaître …

[1] http://www.pesn.com/2008/02/19/9500471_Gravity_Lamp/

[2] http://scholar.lib.vt.edu/theses/available/etd-08292007-103115/

Quand vous faîtes des achats sur internet, vérifiez toujours l’adresse de la page que vous êtes en train de consulter. Vous éviterez ainsi d’être victime de Phishing (cela réduit, au moins, considérablement les risques) ! Le Phishing (dit Hameçonnage en français) est une technique de plus en plus utilisée par des gens mal intentionnés et qui consiste à copier un site et inciter des utilisateurs à rentrer leurs codes d’accès sur le faux site. L’utilisateur croit que c’est le site original et entre ses informations sans se rendre compte de l’arnaque. La personne derrière le faux site récupérer ainsi les codes d’accès des autres et accédé des informations, éventuellement, confidentielles et critiques. Notre jeune homme de 17 ans a décidé de copier le site du service PayPal. Il a donc pu prendre l’argent des gens qu’il a pu escroquer.

Ci-dessous, un exemple d’un faux site paypal visant à récupérer les numéros de comptes bancaires des utilisateurs :

Tout le monde, en lisant ce genre de nouvelles, que ca ne peut pas lui arriver ! Mais je vous conseille quand même de faire attention. Pour prévenir ce genre de problèmes : sachez qu’une banque ne vous envois jamais d’e-mail en vous demandant de vous connecter sur leur site pour une quelconque raison ; accédez toujours à vos sites critiques à partir de vos favoris, vous vous assurez ainsi de consulter le bon site web (une petite vérification peut servir, des plaisantins peuvent faire de mauvaises blagues).

Les blagues de Phishing peuvent être trompeuses. Quelques clients de CitiBank en ont fait les frais car ils ont reçus un mail en leur demandant de se connecter, l’adresse dans le mail contient un vrai lien vers une page de la banque mais la cible du lien est http://218.64.134.145/verify/citipop.htm, qui est le site du pirate. Il faut donc vérifier les liens sur lesquels vous cliquez et l’orthographe car citibank ressemble à citybank mais l’un des deux est un faux !

De plus en plus, je me dis que le titre de mon blog est bien choisi

[1] http://origine2.liberation.fr/actualite/societe/324725.FR.php