Pour vérifier que toutes les bibliothèques sont bien utilisées dans leur dernière version.

Tiens, je ne connaissais pas ce bouton derrière certaines box française. Comique.

La faille "Ghost" a été corrigée chez Debian. La version "2.13-38+deb7u7" est correcte.

Pour vérifier la version de la lib sur votre machine, il faut la trouver et puis l'exécuter :
Sur un serveur (64bits)
| ========
simon@ordi$ $ locate libc.so
/lib/x86_64-linux-gnu/libc.so.6
/usr/lib/x86_64-linux-gnu/libc.so

simon@ordi$ /lib/x86_64-linux-gnu/libc.so.6
GNU C Library (Debian EGLIBC 2.13-38+deb7u7) stable release version 2.13, by Roland McGrath et al.
(...)
| ========

Sur une machine en 32 bits:
| ========
simon@ordi$ locate libc.so.6
/lib/i386-linux-gnu/libc.so.6
/lib/i386-linux-gnu/i686/cmov/libc.so.6
/opt/AutoScan/usr/lib/libc.so.6

simon@ordi$ /lib/i386-linux-gnu/libc.so.6
GNU C Library (Debian EGLIBC 2.13-38+deb7u7) stable release version 2.13, by Roland McGrath et al.
(...)
| ========

Si la version que vous avez sur votre machine n'est pas la bonne, faites une mise à jour rapidement!
[Edit: J'ai oublié de le dire mais il faut redémarrer la machine ensuite (ou utiliser CheckRestart [ https://www.octopuce.fr/checkrestart-outil-pratique-de-debian-goodies-et-version-octopuce/ ] ?).

Diverses sources à propos de la faille Ghot :
http://www.undernews.fr/alertes-securite/ghost-cve-2015-0235-une-faille-serieuse-touche-linux.html
http://www.nextinpact.com/news/92886-ghost-nouvelle-faille-critique-qui-fait-trembler-linux.htm
http://www.bortzmeyer.org/ghost-getaddrinfo.html
https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability

Parfois j'aimerais retourner à l'école pour avoir l'occasion d'expliquer pourquoi je ne donnerai aucun mot de passe à qui que ce soit...

Surtout que quand j'étais en secondaire, ils gardaient tous les mots de passes des utilisateurs dans un fichier .xls accessible par tout le monde dans le dossier du professeur chargé de l'infrastructure... C'était "normal" qu'on ait accès aux dossiers des profs pour y récupérer des exercices. Mais ceux-ci l'oubliaient souvent... (Ouais ouais, je déconne pas! J'ai peut-être encore le fichier dans mes vieux mails...)

Un Keylogger dans un chargeur USB pour espionner les claviers sans fils et envoyer tout ce qui est tapé sur le clavier par sms ou sur internet. Joli. :-)

(via http://sebsauvage.net/links/?xiIOVw , http://liens.strak.ch/?TGJCOA , http://links.qth.fr/?Xu3Dqg , http://www.cochisette.com/links/?mlnvfQ , ... )

Après les récents événements, nombreux sont ceux qui crient pour plus de sécurité (au détriment de la liberté). Il va falloir être vigilants...

Je cite:
| ========
Et de ce fait toujours garder en tête que votre pire ennemi n'est pas que la NSA ou autre, ça peut être votre collègue de bureau, qui a un accès en réseau à votre machine.
| ========

Surtout si vous travaillez sous Windows et que vos dossiers sont partagés sur le réseau...

C'est dingue, il y a des milliers de caméras IP qui ne sont pas protégées ou qui sont protégées avec les mots de passe par défaut. (Autant dire "en libre accès"...) Il y a de tout, caméra à l'extérieur pour surveiller un garage jusqu'à des caméras à l'intérieur. (On se demande à quoi ça sert de filmer dans son salon...)

(via pas mal de monde)

Autre lien : http://www.raspberrypi.org/kittengroomercirclean-data-security-for-journalists-and-activists/

KittenGroomer permet apparemment de nettoyer une clé usb et vérifier s'il n'y a pas de virus/malwares et autres saloperies sur une clé usb. On peut installer KittenGroomer sur une Raspberry Pi et ensuite l'utiliser pour nettoyer les clés USB. Il y a ensuite moins de risques d'utiliser la clé USB sur son ordinateur.
Il faut que je teste, ça peut être intéressant. :-)

( via une conférence à Pas Sage En Seine : http://numaparis.ubicast.tv/videos/security-nightmare/ )

Je ne connaissais pas ce protocole SSDP... Il y a vraiment plein de méthodes de DDoS, je ne pensais pas.

Apple et Google tenteraient de mieux sécuriser les données utilisateurs et cela compliquerait la tâche du FBI pour accéder aux données. Soit les choses avancent dans le bon sens et les firmes comme Google et Apple se rendent compte qu'ils ont besoin de la confiance de leurs utilisateurs pour continuer à vivre, quitte à embêter le FBI, soit c'est juste du cinéma et le FBI a toujours autant d'accès aux données...

Ça pue aujourd'hui... La faille dans bash et apparemment aussi des soucis chez Mozilla au niveau des bibliothèques de sécurité.

Bash : http://www.01net.com/editorial/627512/la-megafaille-shellshock-secoue-le-monde-linux-et-max-os/#?xtor=RSS-20
NSS chez Mozilla : https://www.mozilla.org/security/announce/2014/mfsa2014-73.html

Mauvaise journée pour les informaticiens.

(via https://fralef.me/links/?cuoRNw )

J'ai testé chez moi :
| ========
| simon@ordi:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
| vulnerable
| this is a test
| ========

J'ai ensuite fait un "$ sudo aptitude update" , suivi d'un "$ sudo aptitude upgrade" et c'est apparemment corrigé. Ouf!
| ========
| simon@ordi:~$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
| bash: warning: x: ignoring function definition attempt
| bash: error importing function definition for `x'
| this is a test
| ========

Stéphane Bortzmeyer rappelle qu'apprendre les bases de la sécurité et du fonctionnement d'internet est indispensable, même si on doit également faire des progrès pour simplifier les choses et les rendre plus abordables. Les développeurs ont du boulot mais les utilisateurs aussi. C'est en travaillant ensemble qu'on pourra avancer.

| ======== CITATION
| (...) Dire qu'il n'est pas nécessaire d'apprendre l'Internet en 2014, c'est comme dire en 1450 qu'il n'est pas nécessaire d'apprendre à lire
| si on n'est pas un professionnel de l'édition...
| ========

Installation

1) Installer keepass2 et mono :

simon@ordi:~$ sudo aptitude install keepass2 mono-complete 

2) Installer KeeFox en le téléchargeant à cette adresse : https://addons.mozilla.org/fr/firefox/addon/keefox/

3) Redémarrer Firefox.

Après redémarrage, on arrive automatiquement sur la page chrome://keefox/content/install_mono.xul qui détaille aussi les étapes d'installation.

4) Il faut copier le fichier KeePassRPC.pglx dans le dossier de KeePass2.

simon@ordi:~$ sudo cp /home/simon/.mozilla/firefox/ajcz7x9o.default/extensions/keefox@chris.tomlinson/deps/KeePassRPC.plgx /usr/lib/keepass2/

5) Une fois le fichier copié, démarrer KeePass2. Une fenêtre s'ouvre pour avertir qu'un programme (KeeFox) veut avoir accès aux mots de passes. Cette fenêtre donne un mot de passe (6 caractères en rouge).

A program claiming to be "KeeFox" is asking you to confirm you want to allow it to access your passwords.
"KeeFox" claims that it is "Un module compl?mentaire pour Firefox qui active de mani?re s?curis?e une connexion automatique ? la plupart des sites web.".
To authorise KeeFox to access your passwords please enter this password into the box KeeFox has presented to you.

Une autre fenêtre demande un mot de passe. Copier le mot de passe pour autoriser KeeFox a avoir accès aux mots de passes.

6) Ensuite, aller dans les extensions Firefox, dans les préférences de KeeFox.
Onglet 'KeePass' :
-- Emplacement de l'installation du plugin KeePassRPC
---- /usr/lib/keepass2
-- Emplacement de l'installation de KeePass:
---- /usr/lib/keepass2
-- Emplacement de l'exécutable Mono
---- /usr/bin/mono

7) Redémarrer Firefox. C'est normalement bon ! Pour que KeeFox fonctionne, il faut que KeePass2 soit démarré. Sinon il le demandera. Plus qu'à se connecter sur un site, se logger et KeeFox demande pour enregistrer le mot de passe.

Mettre à jour

Régulièrement, l'add-on KeeFox est mis à jour et demande de recopier à nouveau le fichier KeePassRPC.plgx vers le dossier KeePass2.

1) Faire un backup de l'ancien, au cas où :

# mv /usr/lib/keepass2/KeePassRPC.plgx /usr/lib/keepass2/KeePassRPC-plgx.bak

2) Copier le nouveau :

# cp /home/simon/.mozilla/firefox/y4g53e13.default/extensions/keefox\@chris.tomlinson/deps/KeePassRPC.plgx /usr/lib/keepass2/

3) Redémarrer Firefox.

(via Strak : http://liens.strak.ch/?SCNLWA )

Un manuel de 175 pages pour apprendre à sécuriser sa Debian. De la lecture en perspective... :-)

Un article intéressant pour bien comprendre le principe des clés privées/publiques appliqué à SSH.

Quelques bases pour sécuriser son serveur GNU/Linux. Il y a pas mal de subtilités à comprendre encore mais fermer tous les ports inutilisés, installer quelques outils pour se protéger (fail2ban, portsentry..) et vérifier la configuration des programmes sur le serveur (ssh, apache, ..), c'est déjà une bonne base.

Heartbleed peut également cibler les clients et non pas seulement les serveurs...