L'idée d'un système d'exploitation français revient sur la table avec cet article de nextinpact. S'il semble que la question de fond porte sur les logiciels libres, ce qui est très bien, j'aimerais tout de même revenir sur l'idée de base.

L'objectif est de rendre notre pays indépendant en ayant un contrôle total sur les logiciels afin d'éviter tout espionnage par un pays tiers, et même garantir le respect de la vie privée des utilisateurs. L'idée est bonne, en revanche le projet est mauvais, c'est même une bêtise. En effet je vois les objections suivantes :

1. Le système d'exploitation d'un ordinateur n'est qu'un maillon de la chaîne. Computrace démontre que le matériel d'un PC lui-même n'est pas digne de confiance. OpenBSD et FreeBSD se méfient des générateurs de nombres aléatoires implantés dans le matériel Intel. Donc avoir un OS 100% libre et maîtrisé ne garantit pas que la machine est digne de confiance. Il faut également du matériel et des firmwares libres. Après la machine, c'est le réseau internet lui même qui est potentiellement compromis. Les routeurs peuvent contenir des backdoor introduites volontairement pour espionner ce qui transite.
2. Notre pays a lui aussi des services de renseignements, on peut donc supposer que le gouvernement n'a pas intérêt à lui compliquer la tâche, surtout que ce domaine s'étend bien au delà des frontières. Ne risque-t-on pas de se faire taper sur les doigts par les autres pays si on ampute nos services de renseignements de ces outils ? En gros, pourquoi devrait-on faire d'avantage confiance à un logiciel français qu'à un logiciel américain ?
3. Enfin, créer un OS de A à Z et une tâche insurmontable, ou alors le coût et la durée de développement seraient prohibitifs. On imagine donc que cet OS français va essayer de "customiser" une distribution existante, en payant au passage grassement de nombreuses sociétés de services, et que l'ensemble sera abandonné lorsque le gouvernement changera. A partir de là il semble plus judicieux de soutenir des projets existants et crédibles. Pourquoi ne pas encourager le développement de matériel de confiance, constitué de composants et firmware libres, fonctionnant sous Debian, ou n'importe quelle distribution capable de fonctionner sans blobs propriétaires ?

Le système d'exploitation français est donc une idée pompeuse et ridicule, qui fait bien rire les milieux spécialisés. Rien de concret n'en sortira. Les solutions sont déjà là, il suffit d'avoir les bonnes idées et les mettre en place. Utiliser des systèmes d'exploitation et du matériel libre dénués de firmwares propriétaires, rappeler à l'ordre les acteurs du réseau et des différents services pour interdire l'inspection du trafic (DPI), et promouvoir le chiffrement et les bons comportements serait déjà plus crédible et plus efficace.

Je réalise que je parle comme un libriste de la FSF, ce qui est plutôt effrayant...

Original post of Xavier Chotard.Votez pour ce billet sur Planet Libre.

Ces dernières semaines furent passablement dures et mouvementées : dernières balades en Inde sur fond de The Doors et retour en France. Cela va bientôt faire 4 jours que je suis rentré et le choque des cultures n'est pas encore passé. Un an en Inde, ça marque un peu quand même.

Malgré tout, je reviens doucement à la vie européenne. Dans les choses importes que je m'étais promises de faire à mon retour, il y avait le passage sous FirefoxOS et l'abandon d'Android.

C'est chose faite !

Je me lance dans un changement de cap qui me rappel mon passage de Microsoft Windows à GNU/Linux dans les années 2006. Je quitte Android que tout le monde connait pour me nicher au cœur de FirefoxOS avec le Flame.

Les caractéristiques de la bête ne semblent pas impressionnantes, d'après les dires de mes amis accro aux téléphones dernière génération mais elles me conviennent parfaitement.

• Processeur : Qualcomm MSM8210 Snapdragon, 1.2GHZ Dual core processor
• Résolution : 4.5” screen (FWVGA 854×480 pixels)
• Photo : arrière : 5MP with auto-focus avec flash / Avant : 2MP
• Fréquence : GSM 850/900/1800/1900MHz
• UMTS 850/900/1900/2100MHz
• 8GB de mémoire, MicroSD slot
• 256MB – 1GB RAM (ajustable par le développeur)
• A-GPS, NFC
• Dual SIM Support
• Batterie: 1,800 mAh
• WiFi: 802.11 b/g/n, Bluetooth 3.0, Micro USB

Autant dire que, personnellement, après des années avec un Samsung Galaxy Ace première génération, ça fait un choque.

J'avais dit que je prendrais certainement le ZTE Open C, mais le Flame me permettra de développer pour FirefoxOS, et ça, ça n'a pas de prix.

Anecdote : lorsque je suis allée voir sur le site de précommande, WOT m'a carrément sauté à la figure en me disant qu'il n'était pas fiable. A priori, la commande c'est bien passée et j'espère que je recevrais mon nouveau jouet d'ici juillet, comme prévu. J'vous tiendrais au courant et n'hésitez à suivre Fla : il a aussi commandé la bête.

Original post of dada.Votez pour ce billet sur Planet Libre.

Notre association CLibre participera au Festival des Sciences de Monastir qui se déroulera du 13 au 15 juin 2014 au Palais des Sciences de Monastir. Le programme complet du festival est disponible ici : Programme.

CLibre sera présente tout au long du festival avec un stand permanent et une exposition des photos du concours Wiki Loves Monuments 2013. De plus CLibre assurera 3 ateliers :

1. Présentation Wikimedia Commons, le samedi 14 juin de 14h00 à 16h00, par Habib M’henni.
2. Édition Wikipédia, le samedi 14 juin de 16h00 à 18h00, par Yamen Bousrih.
3. Ubuntu et les logiciels libres, le dimanche 15 juin de 09h00 à 11h00, par Nizar Kerkeni.

Soyez au rendez-vous…

Original post of Nizar Kerkeni.Votez pour ce billet sur Planet Libre.

L’Assemblée se dote d’une commission sur le numérique - Chambres à part

Vie privée : Yahoo arrête de prendre en compte le Do Not Track - Numerama

Opposés à YouTube, les indépendants saisissent la Commission européenne - Next INpact

Edward Snowden, futur citoyen d'honneur de la république française ? - Numerama

Reset The Net - LinuxFR.org

Caliopen, encourager le chiffrement - LinuxFR.org

L'écosystème fermé d'Apple critiqué en chanson - Numerama

Un an après Prism, Reset the Net veut mobiliser autour de la vie privée - Next INpact

Se passer de Google, Facebook et autres big brothers 2.0 #1 - les moteurs de recherche - LinuxFR.org

Traité transatlantique : quels enjeux pour le numérique ? - L'Humanité

Encourager les DRM favorise le monopole : double peine pour Hachette - ActuaLitté

Tizen en force chez Samsung : smartphone Z, TV connectées et Galaxy Gear - Next INpact

Original post of Planet Libre.Votez pour ce billet sur Planet Libre.

Let's rump

Benjamin Morin, comme chaque année, présente la première rump au nom du CO du SSTIC. Cette année, les 450 places se sont vendues en 8 minutes (nouveau record) ce qui a un peu augmenté la trésorerie de l'association.

Le mode de soumission des conférences a changé cette année, c'est désormais « soumission libre » (au lieu de l'article de 10 pages minimum des années précédentes), et pourtant les actes ont battu des records cette année : 450 pages au total (ça fait lourd dans le sac 😉).

L'organisation des rumps a également été un peu modifiée : chaque rump dure 3 minutes et, si le public veut que l'orateur continue, il ne doit pas applaudir. Si au contraire le public veut que l'orateur s'arrête, il doit applaudir et un applaudimètre couplé à un petit lance-missile tire une flechette en mousse sur le speaker !

Tuto Miasm par Serpi (Fabrice Desclaux)

Il paraît que miasm est dur à installer. Serpi reçoit souvent (je cite) des mails lui disant que « Installer miasm c'est pire que de se mettre des caillous dans le c.l ».

Il montre en 2 slides et trois commandes qu'en fait, c'est pas si compliqué :]

Cloud ISO 14001 (v2) par Arnaud Ebalard

L'année dernière, en rump, Arnaud Ebalard montrait comment se créer son petit cloud perso pas cher et conforme à la norme ISO 14001. Il a poursuivi l'expérience en développant les patchs nécessaires pour faire tourner des Linux sur des NAS Netgear.

Il a mis en ligne sur natisbad.org les images du kernel Linux pour 6 NAS différents (il remercie d'ailleurs Netgear pour lui avoir filé du matos). Son prochain gros travail est le développement d'un SoC securisé.

SELKS par Eric Leblond

Slides

Eric Leblond, membre de la core team de Suricata déplore que tous les trucs un peu sexy en infosec soient tournés sur l'offensif. Il essaye de corriger ça en nous montrant une brique orientée défense : SELKS.

SELKS, pour « Suricata - ElastikSearch - Logstash - Kibana - Scirius », est une distribution basée sur Debian qui embarque Suricata 2 et tout ce qu'il faut pour avoir une interface Web un peu classe pour visualiser les évènements et surtout créer des règles qui vont lancer des actions en fonction des events reçus.

Par exemple, si un client SSH ne me plaît pas je le bloque, etc.

Kerby@parsifal par Olivier Levillain

Olivier Levillain avait présenté l'an dernier dans une présentation courte Parsifal, un outil qui permettait d'écrire très rapidement des parseurs pour des protocoles réseaux.

Il a refait une démo, cette fois-ci en prenant comme exemple les requêtes Kerberos envoyées par Aurélien Bordès dans sa présentation.

ssticy par Pierre Bienaimé

ssticy est un «truc poisseux en python » pour faciliter la résolution des challenges. C'est un framework à la Scapy, avec plusieurs modules (crypto, useful, useless, network, etc), autocomplétion et tout ce qu'il faut.

Pas de code source public, mais un bon conseil donné : écrire ses propres outils c'est pas compliqué et c'est très formateur.

Sinon, en marge de ça, j'avais trouvé pwntools, dans le numéro 73 de MISC, qui fait la même chose.

J'ai cru voir un grosminet par P.M. Ricordel & P. Capillon

Cette rump était indéniablement une des plus intéressantes ! Quand les machines infectées sont isolées du réseau ou que, plus généralement, l'exfiltration de données est impossible, une autre solution existe : faire fuiter des informations à travers des ultrasons.

Un programme C encode les informations à exfiltrer (texte ou images) dans des ultrasons et, comme par magie, les informations deviendront visibles quand on écoutera le son ambiant dans Audacity.

Une configuration spéciale est à appliquer dans Audacity :

En lisant le fichier son avec un iPhone, on peut s'écarter d'une bonne dizaine de mètres et recevoir les infos encore proprement sur un Mac Book Pro. Avec des enceintes correctes, on doit pouvoir aller vachement plus loin.

Il est donc possible d'envoyer des petits chats dans des ultrasons \\o/

My prefered rump at #SSTIC: kittens transmitted over ultrasound from a smartphone and displayed as a FFT in auhacity pic.twitter.com/dx2L8WaGfn

— Aurélien Francillon (@aurelsec) 6 Juin 2014

Les sources ne sont pas encore disponible sur Github, mais elles peuvent être émises dans un .wav d'1h26 et de quelques Go 😉 Et oui, ça a effectivement été développé avec l'argent de vos impôts (les orateurs sont de l'ANSSI).

L'obfuscation dont vous êtes le héros par Serge Guelton

Jeu de rôle rapide en quelques slides basé sur les Livres dont vous êtes le héros où un code source a été obscurssi suivant les choix du public.

Mind your languages par Pierre Chifflier (@pollux)

Écrire du code sécurisé c'est bien, mais attention aux petites erreurs de conception intrinsèques aux languages utilisés. Exemples en vrac :

Les égalités en Javascript sont complètement tordues :

{} + {} // NaN
[] + {} // "[object Object]"
{} + [] // 0
({} + {}) // "[object Object][object Object]

En Java, dans certaines égalités, les nombres inférieurs à 128 sont tous égaux.

En PHP, tous les hashs calculés débuteront par un certains nombres de 0, puis un e, puis une suite de chiffres, et seront tous égaux dans les égalités en ==.

La présentation complète, Mind your languages, est déjà dispo sur le site de « L'Agence » : http://www.ssi.gouv.fr/fr/anssi/publications/publications-scientifiques/articles-de-conferences/mind-your-languages-nouvel-article-sur-l-importance-des-langages-pour-la.html

Sécurité des ADSL exotiques par Nicolas Ruff

En Suisse, les immigrés ne peuvent pas avoir de l'ADSL sans quelques recherches approfondies. Nicolas Ruff a donc pu jouer pendant 3 semaines avec son modem Swisscom avant d'avoir accès à Internet.

Quelques vulnérabilités trouvées.

Les credentials sont admin:admin (ou admin:1234).

Depuis la ligne de commande on a accès à quelques commandes, dont le ping. Du coup, on peut très vite arriver à d'autres infos à base de : ping 8.8.8.8; head /etc/passwd, les process tournent en root, etc

Bonne nouvelle par contre, leur OpenSSL n'est pas vulnérable à la faille Heartbleed. Bon, c'est parce qu'il est trop vieux, mais au moins il n'y a pas de faille ! :p

Il s'est même permis un[^1] petit troll sur sa dernière slide : « _ _ _ _ recrute » qui se transforme en un « Google recrute », petite dédicace aux slides de l'an dernier de l'ANSSI et de la DGA.

Private meeting par Aurélien Bordes

Une des forces d'Outlook c'est son calendrier intégré. Le problème, c'est que quand on partage son calendrier, tout les évènements deviennent publics, exit les rendez-vous privés. Outlook a donc ajouté une option « Privé » sur les évènements.

Problème, ces évènements ne sont pas réélement privés, ils disposent simplement d'un flag de sensibilité qui est positionné sur « Private ». Et comme EWS est requêtable en HTTP, n'importe qui peut y accéder.

Tout ceci est documenté dans MSDN, donc Microsoft ne le considère pas comme une vulnérabilité et l'affichage ou non de ces évènements reste à la discrétion des clients Exchange.

From NAND till dump

Pour éviter de devoir déssouder des composants électroniques trop chiants à manipuler, l'orateur à passé sa carte aux rayons X, à repéré les pistes électroniques puis a découpé au laser certains parties pour isoler le composant. Il a ensuite dumpé la flash comme ça, puis à ressoudé le tout pour que la carte refonctionne.

x86 anti decode (PoC) par Axel Tillequin (@bdcht)

Too much reverse, too much assembly, j'ai décroché...

Stopper l'attaque DDoS de Bryan

Une boîte qui fait de l'advertising via des cookies a subi une attaque DDoS par un méchant Kevin^WBryan. Pour éviter de pommer trop de sous, ils se sont mis derrière plusieurs reverse proxys, puis on regardé d'un peu plus près l'attaque.

Pour remonter à Bryan, ils ont décidé de placer un cookie spécial sur son navigateur dès sa prochaine attaque pour pouvoir le suivre sur tous les sites sur lesquels ils ont des pubs, et donc remonter jusqu'à lui.

Sauf qu'il fallait qu'il relance une attaque. Et c'est là que les marketeux entrent en jeu. Comme des grands, sans rien demander à l'IT, ils ont lancé une campagne de mass mailing en disant qu'ils savaient gérer ce genre d'attaque et qu'ils n'étaient pas impactés.

Le gentil Bryan, touché dans son orgeuil, à relancé l'attaque, ce qui a permis aux équipes IT de lui envoyer le gentil cookie et de s'apercevoir que Bryan avait un compte chez eux. Ils ont fermé son compte et, depuis, plus aucune attaque.

jpg or mp4, pourquoi choisir ? par Christophe Grenier

Pas de rump sur photorec cette année, mais sur une technique permettant de créer un fichier polyglotte contenant du Jpg et du MP4.

TCP Fast Open par Synactiv

Slides

TFO est une amélioration de TCP massivement poussée par Gogole qui permet de réduire le temps d'établissement des sessions TCP. Comme généralement tout se passe bien, avec TFO on commence à envoyer de la data dès le premier SYN. Sauf que les IDS attendent d'avoir un SYN - SYNACK - ACK pour détecter des attaques.

Si on commence à envoyer des patterns malicieux dans le premier SYN, on peut pouttrer Snort et Suricata finger in the nose.

Eric Leblond attend donc le patch des ingé de Synactiv pour intégrer cette détection dans Suricata 😉

Pour info, TFO est supporté par le kernel Linux depuis la 3.6 et est activé par défaut depuis la 3.13. Il est aussi activé dans Chrome et peut l'être sur nginx (mais pas Apache pour le moment).

REbus

REbus est un bus de communication entre plusieurs outils pour faciliter le reverse des malwares. On peut ainsi coupler une analyse statique, des AV, IDA ou des analyses dynamiques pour obtenir des infos sur des malwares.

Classif

Avec toutes les informations obtenues avec REbus, il est donc possible de classer les malwares dans des grandes familles puis de générer des graphes pour visualiser les liens entre malwares.

La résolution du fameux challenge web100

Troll sur la déclaration d'impôts en ligne. Il manquait certains champs dans le formulaire en ligne. En les rajoutant à la mano dans le code HTML, l'orateur a pu déclarer toutes ses ressources et dépenses et économiser 900€ sur sa déclaration !

IRMA

Incident Response & Malware Analysis est un outil en ligne qui permet de combiner plusieurs moteurs d'analyse de fichiers pour obtenir plus d'informations, et des informations plus précises. On peut combiner des analyses anti-virus, Hashdb, des analyses statiques, des sandbox, etc

C'est disponible sous licence Apache 2.0, en ligne sur les dépôts GitHub de Quarkslab (quarkslab@github/irma-*) et une version de test est en ligne : http://frontend.irma.qb il n'y a pas encore de version de test en ligne.

Android 0dayz hunting, again

J'ai pas trop suivi...

Actes epub

Yves-Alexis Perez cherche des solutions pour transformer facilement et rapidement les actes du SSTIC qui sont au format LaTeX en fichiers epub. Pour l'instant, hormis MathML et les graphes Tikz, tout fonctionne.

Et c'est déjà en ligne.

???

Nodescan

Comment scanner Internet très simplement et avec peu de moyens. J'ai pas noté plus :/

Promo NSC

La NoSuchCon se déroulera du 19 au 21 Novembre 2014. Le CFP se termine fin septembre : http://www.nosuchcon.org/#cfp.

100% en anglais, 0% Bullshit (ou pas).

Do not make your own crypto

Une application française permettant de chiffrer ses sms utilise une crypto toute pourrie, du coup en peu de temps on a accès à tout.

A large scale analysis of the Security of Embedded Firmwares

Les orateurs ont scanné Internet pour obtenir des infos sur les firmwares utilisés sur les box, caméra IP, etc.

Encore une fois, on découvre des jolis bugs, comme la même clé privée utilisée pour toutes les caméras IP chez plusieurs fabricants, des firmwares vulnérables à des CVE connues depuis des années, etc

[^1]: Je vous rassure, ce n'était pas le seul troll ;)

Original post of Quack1.Votez pour ce billet sur Planet Libre.