Re: Sécurité informatique : mots de passe

[hamster]

Le 10/04/2024 à 17:29, Alex PADOLY a écrit :

Bonsoir à tous,


Je souhaiterais savoir ce que DEBIAN recommande en termes de mots de passe


Je ne sais pas ce que debian recommande, j'aime bien ce que dit cette dame :

https://video.passageenseine.fr/w/10f0fa30-b11f-4d0e-87c6-4e41c7363bbf

Re: Sécurité informatique : mots de passe

[Yves Rutschle]

On Wed, Apr 10, 2024 at 05:55:18PM +0200, Stephane
Bortzmeyer wrote:
> > Enfin, comment expliquez-vous que des sociétés qui ont
> > des moyens beaucoup plus importants qu'un particulier se
> > fassent voler des données.
> 
> Il y a beaucoup de raisons différentes.

Et il ne faut pas oublier que les particuliers se font
*aussi* voler leur données, ou de l'argent. Mais quand ma
tante se fait voler 500 euros, Le Monde n'en parle pas.
Quand des mutuelles de santé se font voler les donnés de
millions de clients, les médias s'y intéressent.

Y.

Re: Sécurité informatique : mots de passe

[Stephane Bortzmeyer]

On Wed, Apr 10, 2024 at 06:29:21PM +0300,
 Alex PADOLY  wrote 
 a message of 51 lines which said:

> Je souhaiterais savoir ce que DEBIAN recommande en termes de mots de passe :

Je ne crois pas que Debian, organisation qui développe un système
d'exploitation, ait des recommandations particulières pour les mots de
passe.

On peut suivre les recommandations de l'ANSSI
 :

Utilisez un mot de passe différent pour chaque accès (messagerie,
banque en ligne, comptes de réseaux sociaux, etc.) : en cas de
compromission de l’un de vos comptes, cela évitera l’effet boule de
neige.

Créez un mot de passe suffisamment long, complexe et inattendu :
de 8 caractères minimum et contenant des minuscules, des
majuscules, des chiffres [conseil discutable, cf. celui du NIST]
et des caractères spéciaux [sic].

Ne communiquez jamais votre mot de passe à un tiers : aucune
organisation ou personne de confiance ne vous demandera de lui
communiquer votre mot de passe.

Utilisez un gestionnaire de mots de passe : pas simple de retenir tous
ses codes de connexion ! Heureusement des outils de type « coffres
forts de mots de passe » existent. Ces derniers mémorisent tous vos
mots de passe et vous permettent d’en générer de manière aléatoire.

Ou du NIST (en anglais)  :

Are password composition rules no longer recommended?
A-B06:

SP 800-63B Section 5.1.1.2 paragraph 9 recommends against the use of 
composition rules (e.g., requiring lower-case, upper-case, digits, and/or 
special characters) for memorized secrets. These rules provide less benefit 
than might be expected because users tend to use predictable methods for 
satisfying these requirements when imposed (e.g., appending a ! to a memorized 
secret when required to use a special character). The frustration they often 
face may also cause them to focus on minimally satisfying the requirements 
rather than devising a memorable but complex secret. Instead, a blacklist of 
common passwords prevents subscribers from choosing very common values that 
would be particularly vulnerable, especially to an online attack.

Composition rules also inadvertently encourage people to use the same 
password across multiple systems since they often result in passwords that are 
difficult for people to memorize.

> On voit apparaitre des sociétés qui vous proposent de gérer les mots de
> passes de leurs clients.

Ayez confiance (avec la voix du serpent dans le Livre de la Jungle).

> Enfin, comment expliquez-vous que des sociétés qui ont des moyens beaucoup
> plus importants
> qu'un particulier se fassent voler des données.

Il y a beaucoup de raisons différentes. Cela peut être la négligence
(après tout, aucune entreprise n'a jamais fait faillite, aucun PDG n'a
jamais été viré pour une fuite de données : cela n'encourage pas à
faire attention). Cela peut être l'ignorance (on rencontre encore des
gens déconseillant les gestionnaires de mots de passe, ou demandant un
changement tous les N mois). Cela peut être que l'attaquant était
particulièrement compétent. Cela peut être que la société avait
tellement de process et de règles rigides que les employés ne
faisaient plus d'efforts. Etc.

Re: Sécurité informatique : mots de passe

[Dethegeek]

Bonjour

Les sociétés qui gèrent les.mots de passe de client sont infiniment plus
convoitées que la petite ou moyenne entreprise. Ou même un grosse. Pourquoi
? Parce que les sociétés doivent être attaquées une par une, avec des
forces et faiblesses différentes. Donc beaucoup d'efforts pour quelques
dizaines de mots de passe. En revanche une société qui stocke les mots de
passe de plusieurs milliers de clients (ce qui inclut des sociétés) est une
meilleure cible, même si la difficulté a des chances d'être plus élevée.

Du coup les pirates vont déployer plus d'efforts ou d'ingéniosité pour
pénétrer les système avec une forte concentration de mots de passe. Et la
difficulté ne sera pas des milliers de fois plus élevée. Le rapport
difficulté/profit me paraît plus intéressant.

Le mer. 10 avr. 2024 à 17:39, Alex PADOLY  a
écrit :

> Bonsoir à tous,
>
>
> Je souhaiterais savoir ce que DEBIAN recommande en termes de mots de passe
> :
>
> - pour un poste de travail ;
>
> - un serveur ;
>
> - sur des sites Internet.
>
> On voit apparaitre des sociétés qui vous proposent de gérer les mots de
> passes de leurs clients.
>
>
> Enfin, comment expliquez-vous que des sociétés qui ont des moyens beaucoup
> plus importants
>
> qu'un particulier se fassent voler des données.
>
>
> MERCI POUR VOS CONSEILS
>

Sécurité informatique : mots de passe

[Alex PADOLY]

Bonsoir à tous,

Je souhaiterais savoir ce que DEBIAN recommande en termes de mots de 
passe :


- pour un poste de travail ;

- un serveur ;

- sur des sites Internet.

On voit apparaitre des sociétés qui vous proposent de gérer les mots de 
passes de leurs clients.


Enfin, comment expliquez-vous que des sociétés qui ont des moyens 
beaucoup plus importants


qu'un particulier se fassent voler des données.

MERCI POUR VOS CONSEILS

Re: Bulleye sécurité

[Polyna-Maude Racicot-Summerside]

Bonjour,

On 2021-08-18 3:42 a.m., Sébastien NOBILI wrote:
> Bonjour,
> 
> Le 2021-08-16 12:50, MERLIN Philippe a écrit :
>> Depuis deux jours j'ai ce message lorsque je lance  apt update :
>>
>> Le dépôt http://security.debian.org stable/updates Release ne contient
>> plus de fichier Release .
> 
> Je ne reviens pas sur ce qui a déjà été écrit, mais je rebondis sur le
> contexte de ton problème.
> 
> Ton sources.list référence la distribution "stable". Ça signifie que ton
> système basculer automatiquement
> lorsqu'une nouvelle stable est publiée.
> 
Surtout que si tu es actuellement sur Buster et que tu utilises ce type
de référence dans *sources.list* alors tu te retrouves maintenant à
référencer Bullseye. Bonjour les problèmes car tu feras pas une mise à
jour mais plus un mélange des deux versions, vraiment pas conseillé.

> Personnellement je préfère choisir le moment (ce qui ne m'empêche pas de
> le faire dès la publication). Si
> c'est aussi ton cas, alors tu devrais remplacer le "stable" par le nom
> de la version que tu cibles. Par
> exemple :
> 
>     deb http://deb.debian.org/debian/ bullseye main contrib non-free
>     deb https://deb.debian.org/debian-security bullseye-security main
> contrib non-free
> 
> Sébastien
> 

-- 
Polyna-Maude R.-Summerside
-Be smart, Be wise, Support opensource development



OpenPGP_signature
Description: OpenPGP digital signature

Re: Bulleye sécurité

[Sébastien NOBILI]

Bonjour,

Le 2021-08-16 12:50, MERLIN Philippe a écrit :

Depuis deux jours j'ai ce message lorsque je lance  apt update :

Le dépôt http://security.debian.org stable/updates Release ne contient 
plus de fichier Release .


Je ne reviens pas sur ce qui a déjà été écrit, mais je rebondis sur le 
contexte de ton problème.


Ton sources.list référence la distribution "stable". Ça signifie que ton 
système basculer automatiquement

lorsqu'une nouvelle stable est publiée.

Personnellement je préfère choisir le moment (ce qui ne m'empêche pas de 
le faire dès la publication). Si
c'est aussi ton cas, alors tu devrais remplacer le "stable" par le nom 
de la version que tu cibles. Par

exemple :

deb http://deb.debian.org/debian/ bullseye main contrib non-free
deb https://deb.debian.org/debian-security bullseye-security main 
contrib non-free


Sébastien

Re: Bulleye sécurité

[MERLIN Philippe]

Le lundi 16 août 2021, 13:09:05 CEST Patrick ZAJDA a écrit :
> Bonjour,
> 
> 
> C'est parce que le nom a changé, maintenant il faut utiliser
> stable-security à la place de stable/update
C'est bien la solution à mon problème.
Merci à tous.
Philippe Merlin
^
 

Bulleye sécurité

[MERLIN Philippe]

Bonjour,
Depuis deux jours j'ai ce message lorsque je lance  apt update :
Le dépôt http://security.debian.org stable/updates Release ne contient plus de 
fichier Release .
Ce message ne m'inquiéterai pas trop si je n'avais eu lors d'une mise à jour 
hier un message disant que le nom d'une release n'était pas Bullseye mais je 
ne m'en rappelle plus exactement un nom contenant ...Worn il fallait répondre 
par O ou N N étant proposé par défaut j'ai répondu O.
Avez vous le même problème.
Merci d'avance.
Philippe Merlin

Re: Bulleye sécurité

[Th.A.C]

Le 16/08/2021 à 12:50, MERLIN Philippe a écrit :

Bonjour,

Depuis deux jours j'ai ce message lorsque je lance  apt update :

Le dépôt http://security.debian.org stable/updates Release ne contient 
plus de fichier Release .


Ce message ne m'inquiéterai pas trop si je n'avais eu lors d'une mise à 
jour hier un message disant que le nom d'une release n'était pas 
Bullseye mais je ne m'en rappelle plus exactement un nom contenant 
...Worn il fallait répondre par O ou N N étant proposé par défaut j'ai 
répondu O.


Avez vous le même problème.

Merci d'avance.

Philippe Merlin




le nom de la future version 12 de debian: BookWorm
https://www.debian.org/releases/bookworm/

Tu dois avoir un dépot (/etc/apt/sources.list) qui n'est pas bon suite à 
la sortie de Bullseye en version stable.


Le message devait probablement te demander si tu voulais garder ou 
modifier  cette ligne alors qu'elle ne pointe plus sur le bon endroit...


Tu es Buster ou en BullSeye?

Re: Bulleye sécurité

[Frédéric MASSOT]

Le 16/08/2021 à 12:50, MERLIN Philippe a écrit :

Bonjour,

Depuis deux jours j'ai ce message lorsque je lance  apt update :

Le dépôt http://security.debian.org stable/updates Release ne contient 
plus de fichier Release .


Ce message ne m'inquiéterai pas trop si je n'avais eu lors d'une mise à 
jour hier un message disant que le nom d'une release n'était pas 
Bullseye mais je ne m'en rappelle plus exactement un nom contenant 
...Worn il fallait répondre par O ou N N étant proposé par défaut j'ai 
répondu O.


Le nom de contenant Worn est "Bookworm", la prochaine version de Debian, 
celle qui succède à Bullseye.


Samedi, Bullseye est passé de testing à stable, et Bookworm est devenu 
la nouvelle testing.



--
==
|  FRÉDÉRIC MASSOT   |
| http://www.juliana-multimedia.com  |
|   mailto:frede...@juliana-multimedia.com   |
| +33.(0)2.97.54.77.94  +33.(0)6.67.19.95.69 |
===Debian=GNU/Linux===

Re: Bulleye sécurité

[Pierre Malard]

RTFM ;-)

Il est indiqué dans ma documentation sur Bullseye 
(https://www.debian.org/releases/bullseye/amd64/release-notes/ch-information#security-archive)
 :
5.1.3. Changement de l’organisation de l’archive security

For bullseye, the security suite is now named bullseye-security instead of 
codename/updates and users should adapt their APT source-list files accordingly 
when upgrading.

La ligne de sécurité dans votre configuration APT devrait ressembler à :

deb https://deb.debian.org/debian-security bullseye-security main contrib

If your APT configuration also involves pinning or APT::Default-Release, it is 
likely to require adjustments as the codename of the security archive no longer 
matches that of the regular archive. An example of a working 
APT::Default-Release line for bullseye looks like:

APT::Default-Release "/^bullseye(|-security|-updates)$/";
which takes advantage of the undocumented feature of APT that it supports 
regular expressions (inside /).

That’s falks…


> Le 16 août 2021 à 12:50, MERLIN Philippe  a 
> écrit :
> 
> Bonjour,
> Depuis deux jours j'ai ce message lorsque je lance  apt update :
> Le dépôt http://security.debian.org stable/updates Release ne contient plus 
> de fichier Release .
> Ce message ne m'inquiéterai pas trop si je n'avais eu lors d'une mise à jour 
> hier un message disant que le nom d'une release n'était pas Bullseye mais je 
> ne m'en rappelle plus exactement un nom contenant ...Worn il fallait répondre 
> par O ou N N étant proposé par défaut j'ai répondu O.
> Avez vous le même problème.
> Merci d'avance.
> Philippe Merlin
> 

--
Pierre Malard
Responsable architectures système GeoSUD
IRD - UMR Espace-Dev - UMS CPST
Maison de la Télédétection
500 rue Jean-François Breton
34093 Montpellier Cx 5
France

   « L'émancipation politique doit marcher de pair avec l'émancipation
sociale ou les résultats sont désastreux »
Romain Gary - "Les racines du ciel"
   |\  _,,,---,,_
   /,`.-'`'-.  ;-;;,_
  |,4-  ) )-,_. ,\ (  `'-'
 '---''(_/--'  `-'\_)   πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-  ) )-,_. ,\ 
(  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'  `-'"'"'\_): 
24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--



signature.asc
Description: Message signed with OpenPGP

Re: Bulleye sécurité

[Patrick ZAJDA]

Bonjour,


C'est parce que le nom a changé, maintenant il faut utiliser 
stable-security à la place de stable/update



Sources :

https://www.debian.org/releases///bullseye/s390x/release-notes/ch-information.fr.html#security-archive

https://wiki.debian.org/fr/DebianBullseye#FAQ



Le 16/08/2021 à 12:50, MERLIN Philippe a écrit :


Bonjour,

Depuis deux jours j'ai ce message lorsque je lance  apt update :

Le dépôt http://security.debian.org stable/updates Release ne contient 
plus de fichier Release .


Ce message ne m'inquiéterai pas trop si je n'avais eu lors d'une mise 
à jour hier un message disant que le nom d'une release n'était pas 
Bullseye mais je ne m'en rappelle plus exactement un nom contenant 
...Worn il fallait répondre par O ou N N étant proposé par défaut j'ai 
répondu O.


Avez vous le même problème.

Merci d'avance.

Philippe Merlin



--
Patrick ZAJDA

Re: Debian stable - la dernière mise à jour de sécurité rend les boards ARM non-bootables

[Jean-Marc]

Bon.  Après avoir arrêté mon cubie, sorti la carte pour recréer un boot.scr 
pour démarrer sur le noyau 4.19.0-6, tout remis en ordre, j'ai ré-essayé de 
démarrer sur le noyau 4.19.0-8 pour avoir plus de détails sur le problème en 
loggant la sortie de l'UART.

Et le board démarre.  Sans soucis.

Les 2 tentatives précédentes de redémarrage ont toutes les deux échoué.

Je n'y ai rien compris.


Jean-Marc 
https://6jf.be/keys/ED863AD1.txt


Wed, 29 Apr 2020 11:58:36 +0200
Jean-Marc  écrivait :

> je viens de rebooter mon cubieboard suite à la mise à jour de sécurité de ma 
> Debian stable et il ne démarre plus.
> 
> Faites passer l'info.
> 
> Jean-Marc 
> https://6jf.be/keys/ED863AD1.txt


pgpQueII7isDj.pgp
Description: PGP signature

Debian stable - la dernière mise à jour de sécurité rend les boards ARM non-bootables

[Jean-Marc]

je viens de rebooter mon cubieboard suite à la mise à jour de sécurité de ma 
Debian stable et il ne démarre plus.

Faites passer l'info.

Jean-Marc 
https://6jf.be/keys/ED863AD1.txt


pgpEmiqCbXVs_.pgp
Description: PGP signature

Resolu: Question sécurité dans un réseau, concernant l'accès de matériels extérieurs.

[contact]

Merci pour ces retours.


François-Marie BILLARD
Le 18/02/2020 à 17:54, contact a écrit :

Bonjour,

je m'interroge sur la politique qui est mise en place dans un réseau, 
concernant l'intégration d'appareils extérieurs à un établissement et 
de manière ponctuelle.


Exemple :  Dans une entreprise, un client intervient avec un 
équipement qui doit être connecté au réseau (un enregistreur par 
exemple), avec un accès extérieur possible.


Quelle sont les politiques suivies en entreprise, afin de garantir la 
sécurité du réseau.


Imposer une IP fixe, ou bien est il possible de disposer d'adresse en 
DCHP réservée pour ces matériels. Un port de communication est il 
dédié pour ce type d'opération ?


Enfin bref, si quelqu'un a de l'expérience dans ce domaine, je le 
remercie par avance.

Re: Question sécurité dans un réseau, concernant l'accès de matériels extérieurs.

[Rand Pritelrohm]

On 2020-02-18 at 17:54(+0100),
contact  wrote:

>Bonjour,
>
>je m'interroge sur la politique qui est mise en place dans un réseau, 
>concernant l'intégration d'appareils extérieurs à un établissement et de 
>manière ponctuelle.
>
>Exemple :  Dans une entreprise, un client intervient avec un équipement 
>qui doit être connecté au réseau (un enregistreur par exemple), avec un 
>accès extérieur possible.
>
>Quelle sont les politiques suivies en entreprise, afin de garantir la 
>sécurité du réseau.
>
>Imposer une IP fixe, ou bien est il possible de disposer d'adresse en 
>DCHP réservée pour ces matériels. Un port de communication est il dédié 
>pour ce type d'opération ?
>
>Enfin bref, si quelqu'un a de l'expérience dans ce domaine, je le 
>remercie par avance.
>


Bonsoir,

Pour ma part, la solution la plus simple que j'ai trouvée, aussi bien terme
d'infrastructure que d'administration :
  — Switch administrable pour créer un VLAN afin d'isoler le réseau de 
production du réseau "invité" (plan d'adressages différents);
  — Pas de DHCP mais attribution d'une IP fixe tournante. Enregistrer
l'attribution de cette IP dans un fichier (texte, tableur BDD etc.) : qui,
quand, jusqu'à quand. L'enregistrement est important pour pouvoir tracer
toutes les connexions en cas d'éventuels problèmes ultérieurs ; en effet,
celui qui met à disposition une connexion est en partie responsable du
trafic qui s'y effectue. Cette solution d'enregistrement d'IP est
acceptable si le nombre d'"invités" n'est pas important.

--
Rand.

Re: Question sécurité dans un réseau, concernant l'accès de matériels extérieurs.

[NoSpam]

Le 18/02/2020 à 17:54, contact a écrit :

Bonjour,

Bonjour


je m'interroge sur la politique qui est mise en place dans un réseau, 
concernant l'intégration d'appareils extérieurs à un établissement et 
de manière ponctuelle.


Exemple :  Dans une entreprise, un client intervient avec un 
équipement qui doit être connecté au réseau (un enregistreur par 
exemple), avec un accès extérieur possible.


Quelle sont les politiques suivies en entreprise, afin de garantir la 
sécurité du réseau.


Imposer une IP fixe, ou bien est il possible de disposer d'adresse en 
DCHP réservée pour ces matériels. Un port de communication est il 
dédié pour ce type d'opération ?


Enfin bref, si quelqu'un a de l'expérience dans ce domaine, je le 
remercie par avance.


Un ou des VLAN distincts qui ne sont qu'autoriser à aller vers le net 
sans oublier d'interdire à ces équipements de parler entre eux et à 
fortiori aux réseaux de l'entreprise. De même ces derniers doivent avoir 
leurs VLAN (ex un pour la data, un pour la téléphonie, un pour la vidéo, 
un pour l'administration réseau (routeurs, commutateurs, etc) et ainsi 
de suite)


--

Daniel

Question sécurité dans un réseau, concernant l'accès de matériels extérieurs.

[contact]

Bonjour,

je m'interroge sur la politique qui est mise en place dans un réseau, 
concernant l'intégration d'appareils extérieurs à un établissement et de 
manière ponctuelle.


Exemple :  Dans une entreprise, un client intervient avec un équipement 
qui doit être connecté au réseau (un enregistreur par exemple), avec un 
accès extérieur possible.


Quelle sont les politiques suivies en entreprise, afin de garantir la 
sécurité du réseau.


Imposer une IP fixe, ou bien est il possible de disposer d'adresse en 
DCHP réservée pour ces matériels. Un port de communication est il dédié 
pour ce type d'opération ?


Enfin bref, si quelqu'un a de l'expérience dans ce domaine, je le 
remercie par avance.


--
François-Marie BILLARD

Re: alerte de sécurité concernant php7-fpm sur un serveur nginx

[Basile Starynkevitch]

On 11/20/19 1:33 PM, Bernard Schoenacker wrote:

bonjour,

voici l'article :

https://github.com/neex/phuip-fpizdam/

documentation du cert france :

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-014/



Preferez donc ocsigen  à PHP7. Pour des raisons à 
la fois techniques (ocsigen est mieux) et sociales (très peu 
d'entreprises utilisent ocsigen, donc ce n'est pas la cible préférée des 
vilains hackeurs).


--
Basile STARYNKEVITCH   == http://starynkevitch.net/Basile
opinions are mine only - les opinions sont seulement miennes
Bourg La Reine, France; 
(mobile phone: cf my web page / voir ma page web...)

Re: alerte de sécurité concernant php7-fpm sur un serveur nginx

[JC.EtiembleG]

Le 20/11/2019 à 13:33, Bernard Schoenacker a écrit :

documentation du cert france :

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-014/


nouvelle fraîche du 29 octobre 2019
Il y a un flux RSS pour être informé ;)

--
J-C Etiemble

alerte de sécurité concernant php7-fpm sur un serveur nginx

[Bernard Schoenacker]

bonjour,

voici l'article :

https://github.com/neex/phuip-fpizdam/

documentation du cert france :

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-014/


l'article sur debian security :
https://security-tracker.debian.org/tracker/CVE-2019-11043


merci pour votre aimable attention


bien à vous
bernard

Re: faille de sécurité sur firefox en date du 18 Juin 2019

[Jean-Pierre Giraud]

Bonjour,

Le 19/06/2019 à 05:55, Bernard Schoenacker a écrit :
> bonjour,
>
>
> une faille de sécurité critique a été découverte sur firefox :
>
>
> https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/
>
> merci
>
> slt
> bernard

et elle est corrigé sur le dépôt de Debian de même que la faille
affectant Vim cf. DSA-4466 et 4467 en cours de parution et  ... de
traduction.

Amicalement

jipege

faille de sécurité sur firefox en date du 18 Juin 2019

[Bernard Schoenacker]

bonjour,


une faille de sécurité critique a été découverte sur firefox :


https://www.mozilla.org/en-US/security/advisories/mfsa2019-18/

merci

slt
bernard

Re: failles de sécurité sur vim et neovim

[Eric Degenetais]

Le mer. 12 juin 2019 4:05 PM, BERTRAND Joël  a
écrit :

> Nisar JAGABAR a écrit :
> > Ou en mieux :
> > bash# apt autoremove --purge vim* && apt install emacs
>
> Faut pas exagérer, je n'ai que 32 Go de mémoire sur mon poste de
> travail !...


Déjà vendredi ?
Wow, je n'ai pas vu passer la semaine :p

Éric Dégenètais

Re: failles de sécurité sur vim et neovim

[fab]

'lut,


Faut pas exagérer, je n'ai que 32 Go de mémoire sur mon poste de
travail !...

Le vendredi arrive de plus en plus vite sur cette liste!

Tant mieux, ça nous rapproche du we ;)

f.

Re: failles de sécurité sur vim et neovim

[BERTRAND Joël]

Nisar JAGABAR a écrit :
> Ou en mieux :
> bash# apt autoremove --purge vim* && apt install emacs

Faut pas exagérer, je n'ai que 32 Go de mémoire sur mon poste de
travail !...

Re: failles de sécurité sur vim et neovim

[Nisar JAGABAR]

Ou en mieux :
bash# apt autoremove --purge vim* && apt install emacs


Le 11/06/2019 à 18:08, Florian Blanc a écrit :

en plus rapide :
editez le fichier ~/.vimrc
insérez ceci :
:set modelines=0
:set nomodeline

chmod 600 ~/.vimrc


Le mar. 11 juin 2019 à 18:03, Florian Blanc > a écrit :



https://www.techrepublic.com/blog/it-security/turn-off-modeline-support-in-vim/




Le mar. 11 juin 2019 à 10:43, Bernard Schoenacker
mailto:bernard.schoenac...@free.fr>> a
écrit :

bonjour,

voici la nouvelle ainsi que l'explication
de la faille :


http://www.global-informatique-securite.com/2019/06/failles-de-securite-pour-les-utilisateurs-de-vim-neovim.html



merci

slt
bernard



--
Nisar JAGABAR
 ,= ,-_-. =.
((_/)o o(\_))
 `-'(. .)`-'
 \_/

Re: failles de sécurité sur vim et neovim

[steve]

Le 11-06-2019, à 19:04:11 +0200, Florian Blanc a écrit :


  steve, si tu utilises cette fonctionnalité go build, le patch est présent
  : [1]https://github.com/vim/vim


Already done my friend :)

vim --version
VIM - Vi IMproved 8.1 (2018 May 18, compilé Jun 11 2019 11:00:51)
Rustines incluses : 1-1517

Re: failles de sécurité sur vim et neovim

[Étienne Mollier]

Bonjour,

Je peux me tromper, mais d'après /usr/share/vim/vim81/debian.vim,
il me semble que cette vulnérabilité déjà mitigée par défaut dans
Debian, et que cette option ne date pas d'hier :
> " modelines have historically been a source of security/resource
> " vulnerabilities -- disable by default, even when 'nocompatible' is set
> set nomodeline

Ceci étant, un petit rappel comme quoi il est dangereux d'activer
les modelines est toujours bienvenu.  Un coup d'œil à l'aide de
l'option « secure » est également bienvenu si vous utilisez vim en
tant que root pour éditer vos fichiers de configuration :

:h secure

Bien à vous,
-- 
Étienne Mollier 

Re: failles de sécurité sur vim et neovim

[Florian Blanc]

steve, si tu utilises cette fonctionnalité go build, le patch est présent :
https://github.com/vim/vim

Le mar. 11 juin 2019 à 18:40, steve  a écrit :

> Le mardi 11 juin 2019, Florian Blanc (florian.blanc@gmail.com) a
> écrit :
>
> >   en plus rapide :
> >   editez le fichier ~/.vimrc
> >   insérez ceci :
> >   :set modelines=0
>
> Autant utiliser notepad… :)
>
>

Re: failles de sécurité sur vim et neovim

[steve]

Le mardi 11 juin 2019, Florian Blanc (florian.blanc@gmail.com) a écrit :


  en plus rapide :
  editez le fichier ~/.vimrc
  insérez ceci :
  :set modelines=0


Autant utiliser notepad… :)

Re: failles de sécurité sur vim et neovim

[Florian Blanc]

en plus rapide :
editez le fichier ~/.vimrc
insérez ceci :
:set modelines=0
:set nomodeline

chmod 600 ~/.vimrc


Le mar. 11 juin 2019 à 18:03, Florian Blanc  a
écrit :

>
> https://www.techrepublic.com/blog/it-security/turn-off-modeline-support-in-vim/
>
>
> Le mar. 11 juin 2019 à 10:43, Bernard Schoenacker <
> bernard.schoenac...@free.fr> a écrit :
>
>> bonjour,
>>
>> voici la nouvelle ainsi que l'explication
>> de la faille :
>>
>>
>> http://www.global-informatique-securite.com/2019/06/failles-de-securite-pour-les-utilisateurs-de-vim-neovim.html
>>
>> merci
>>
>> slt
>> bernard
>>
>>

Re: failles de sécurité sur vim et neovim

[Florian Blanc]

https://www.techrepublic.com/blog/it-security/turn-off-modeline-support-in-vim/


Le mar. 11 juin 2019 à 10:43, Bernard Schoenacker <
bernard.schoenac...@free.fr> a écrit :

> bonjour,
>
> voici la nouvelle ainsi que l'explication
> de la faille :
>
>
> http://www.global-informatique-securite.com/2019/06/failles-de-securite-pour-les-utilisateurs-de-vim-neovim.html
>
> merci
>
> slt
> bernard
>
>

Re: failles de sécurité sur vim et neovim

[Florian Blanc]

:o la classe !
nice info merci

Le mar. 11 juin 2019 à 10:43, Bernard Schoenacker <
bernard.schoenac...@free.fr> a écrit :

> bonjour,
>
> voici la nouvelle ainsi que l'explication
> de la faille :
>
>
> http://www.global-informatique-securite.com/2019/06/failles-de-securite-pour-les-utilisateurs-de-vim-neovim.html
>
> merci
>
> slt
> bernard
>
>

failles de sécurité sur vim et neovim

[Bernard Schoenacker]

bonjour,

voici la nouvelle ainsi que l'explication
de la faille :

http://www.global-informatique-securite.com/2019/06/failles-de-securite-pour-les-utilisateurs-de-vim-neovim.html

merci

slt
bernard

Re: alerte de sécurité sur apt : 1.4.9

[Pascal Hambourg]

Le 30/01/2019 à 19:22, ajh-valmer a écrit :



apt -o Acquire::http::AllowRedirect=false update;
apt -o Acquire::http::AllowRedirect=false upgrade
modifier le fichier sources.list et mettre ceci:
http://security-cdn.debian.org/debian-security/
https://lists.debian.org/debian-security-announce/2019/msg00010.html


Choses que je n'ai pas faites...


Ton système est donc potentiellement compromis.


Mais, de toutes façons, bien d'autres comme moi
avaient utilisé avant apt version 1.4.8,
donc possibilité de contamination.


A une différence près : c'était avant la publication de la faille, donc 
son exploitation serait un "0-day". Après la publication de la faille, 
le risque de tentative d'exploitation augmente.

Re: alerte de sécurité sur apt : 1.4.9

[ajh-valmer]

> > Sauf erreur,
> > Je n'ai pas vu la méthode idoine pour upgrader apt,
> > de 1.4.8 vers 1.4.9.

> tout es expliqué sur ce site :
> https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-001/
> apt -o Acquire::http::AllowRedirect=false update;
> apt -o Acquire::http::AllowRedirect=false upgrade
> modifier le fichier sources.list et mettre ceci:
> http://security-cdn.debian.org/debian-security/
> https://lists.debian.org/debian-security-announce/2019/msg00010.html

Choses que je n'ai pas faites...

Mais, de toutes façons, bien d'autres comme moi
avaient utilisé avant apt version 1.4.8,
donc possibilité de contamination.

Un rkhunter (rootkit) sur mon DD a donné un résultat négatif.

Re: alerte de sécurité sur apt : 1.4.9

[Étienne Mollier]

Moi-même, à l'instant:
> On 1/30/19 1:46 PM, roger.tar...@free.fr wrote:
> > est-il possible de passer simplement à une version de
> > apt >= 1.4.9
[...]
> Oui, c'est possible

Hum, à la relecture, j'aurais dû me contenter de dire que apt,
version 1.0.9.8.5, corrige le problème en Jessie; il y a matière
à comprendre mon message initial de travers.

Amicalement,
-- 
Étienne Mollier 


> Pour Jessie la version apportant les
> correctifs est la 1.0.9.8.5.  Voir :
>
>   https://security-tracker.debian.org/tracker/CVE-2019-3462

Re: alerte de sécurité sur apt : 1.4.9

[Étienne Mollier]

On 1/30/19 1:46 PM, roger.tar...@free.fr wrote:
> Bonjour
> avec une machine encore en Jessie qui a une version plus ancienne de apt, 
> en plus de la mani expliquée, est-il possible de passer simplement à une 
> version de apt >= 1.4.9 et sans créer d'autres problèmes ?
> Merci

Bonjour,

Oui, c'est possible.  Pour Jessie la version apportant les
correctifs est la 1.0.9.8.5.  Voir :

https://security-tracker.debian.org/tracker/CVE-2019-3462

Amicalement,
-- 
Étienne Mollier 

Re: alerte de sécurité sur apt : 1.4.9

[Yves Rutschle]

On Tue, Jan 29, 2019 at 05:42:58PM +0100, ajh-valmer wrote:
> Je n'ai pas vu la méthode idoine pour upgrader apt,
> de 1.4.8 vers 1.4.9.

Ce que je dis, c'est que le problème n'est pas dans la mise
à jour d'APT. Si ton système a fait l'objet d'une attaque,
alors l'attaquant a pu utiliser APT pour installer ce qu'il
veut. Peu importe que l'on mette ensuite à jour APT. Et la
seule contre-mesure face à ça, c'est la réinstallation
complète car tu ne peux plus avoir confiance en rien dans
ton système.

(Après, faut pas non plus psychoter: l'attaquant doit quand
même avoir été capable de se placer entre ton système et le
repository que tu utilises.)

Y.

Re: alerte de sécurité sur apt : 1.4.9

[roger . tarani]

Bonjour
avec une machine encore en Jessie qui a une version plus ancienne de apt, 
en plus de la mani expliquée, est-il possible de passer simplement à une 
version de apt >= 1.4.9 et sans créer d'autres problèmes ?
Merci

- Original Message -
> From: "Bernard Schoenacker" 
> To: "ajh-valmer" 
> Cc: debian-user-french@lists.debian.org
> Sent: Tuesday, January 29, 2019 5:48:44 PM
> Subject: Re: alerte de sécurité sur apt : 1.4.9
> 
> > Sauf erreur,
> > Je n'ai pas vu la méthode idoine pour upgrader apt,
> > de 1.4.8 vers 1.4.9.
> > 
> > A. Valmer
> > 
> bonjour,
> 
> tout es expliqué sur ce site :
> https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-001/
> 
> voici ce qu'il faut retenir :
> 
> apt -o Acquire::http::AllowRedirect=false update;
> apt -o Acquire::http::AllowRedirect=false upgrade
> 
> modifier le fichier sources.list et mettre ceci:
> 
> http://security-cdn.debian.org/debian-security/
> 
> Bulletin de sécurité Debian du 22 janvier 2019 :
> 
> https://lists.debian.org/debian-security-announce/2019/msg00010.html
> 
> merci
> 
> slt
> bernard
> 
> 

Re: alerte de sécurité sur apt : 1.4.9

[Bernard Schoenacker]

> Sauf erreur,
> Je n'ai pas vu la méthode idoine pour upgrader apt,
> de 1.4.8 vers 1.4.9.
> 
> A. Valmer
> 
bonjour,

tout es expliqué sur ce site :
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-001/

voici ce qu'il faut retenir :

apt -o Acquire::http::AllowRedirect=false update;
apt -o Acquire::http::AllowRedirect=false upgrade

modifier le fichier sources.list et mettre ceci:

http://security-cdn.debian.org/debian-security/

Bulletin de sécurité Debian du 22 janvier 2019 :

https://lists.debian.org/debian-security-announce/2019/msg00010.html

merci

slt
bernard

Re: alerte de sécurité sur apt : 1.4.9

[ajh-valmer]

On Monday 28 January 2019 16:19:27 Yves Rutschle wrote:
> Solution à quoi? Un attaquant qui se serait amusé à faire
> une attaque MitM pour pourrir ton APT, y'a quand même de
> bonnes chances pour qu'il ai installé une backdoor ailleurs
> dans ton système, non?

Sauf erreur,
Je n'ai pas vu la méthode idoine pour upgrader apt,
de 1.4.8 vers 1.4.9.

A. Valmer

Re: alerte de sécurité sur apt : 1.4.9 résolu

[Pascal Hambourg]

Le 28/01/2019 à 15:40, Stephane Ascoet a écrit :


Sur la liste Devuan, ils ont dit que telecharger le paquet apt 
manuellement depuis les depots etait une solution possible.


A condition de vérifier l'authenticité du fichier, parce qu'un MitM est 
encore plus facile à réaliser sur une connexion HTTP entre un navigateur 
et un serveur web.


Ils ont 
aussi indique l'adresse du depot principal qui ne connait aucune 
redirection et ne peut dont pas etre un vecteur


Le site originel n'a pas besoin de faire une redirection pour que la 
faille soit exploitable. Le principe du MitM est que l'attaquant se 
substitue au site originel, donc il peut répondre n'importe quoi.

Re: alerte de sécurité sur apt : 1.4.9 résolu

[Yves Rutschle]

On Mon, Jan 28, 2019 at 03:40:15PM +0100, Stephane Ascoet wrote:
> > Comme toujours en cas de suspicion de compromission, la seule méthode
> > fiable est la réinstallation.
> > 
> Sur la liste Devuan, ils ont dit que telecharger le paquet apt manuellement
> depuis les depots etait une solution possible.

Solution à quoi? Un attaquant qui se serait amusé à faire
une attaque MitM pour pourrir ton APT, y'a quand même de
bonnes chances pour qu'il ai installé une backdoor ailleurs
dans ton système, non?

Y.

Re: alerte de sécurité sur apt : 1.4.9 résolu

[Stephane Ascoet]

Le 24/01/2019 à 20:33, Pascal Hambourg a écrit :


Comme toujours en cas de suspicion de compromission, la seule méthode
fiable est la réinstallation.

Allez, en pratique, c'est très improbable que tu sois visé par une
attaque de ce type.


Sur la liste Devuan, ils ont dit que telecharger le paquet apt 
manuellement depuis les depots etait une solution possible. Ils ont 
aussi indique l'adresse du depot principal qui ne connait aucune 
redirection et ne peut dont pas etre un vecteur(mais c'est specifique a 
Devuan, inutile donc que je mette le lien ici).

--
Cordialement, Stephane Ascoet

Re: alerte de sécurité sur apt

[G2PC]

> Annonce fournie par votre distribution préférée (comme l'ensemble des 
> annonces de
> sécurité affectant Debian) à l'adresse :
> https://www.debian.org/security/2019/index.fr.html
>
> Cette faille de sécurité a provoqué la publication de la révision 9.7 de 
> Stretch :
>
> https://www.debian.org/News/2019/20190123
>
> Amicalement,
> jipege


Aille ! Traduction ...

Cette mise à jour intègre la récente mise à jour de sécurité pour APT
<https://packages.debian.org/src:APT>, afin d'assurer que les nouvelles
installations de Stretch ne sont pas vulnérables. Aucune autre mise à
jour n'est incluse.

Cette mise à jour intègre la récente mise à jour de sécurité pour APT
<https://packages.debian.org/src:APT>, afin d'assurer que les nouvelles
installations de Stretch ne SOIENT pas vulnérables. Aucune autre mise à
jour n'est incluse.

Re: alerte de sécurité sur apt : 1.4.9 résolu

[hamster]

Le 24/01/2019 à 20:33, Pascal Hambourg a écrit :
>> et comment remédier ?
>
> Comme toujours en cas de suspicion de compromission, la seule méthode
> fiable est la réinstallation.

En prenant soin d'utiliser une image iso générée après correction de la
faille.

Re: alerte de sécurité sur apt : 1.4.9 résolu

[Pascal Hambourg]

Le 24/01/2019 à 22:55, ajh-valmer a écrit :



la seule méthode fiable est la réinstallation :

La réinstallation complète du système ?

Et un ? :
apt-get install --reinstall apt


Qu'est-ce qui n'est pas clair dans "apt est compromis" ?

Re: alerte de sécurité sur apt : 1.4.9 résolu

[ajh-valmer]

On Thursday 24 January 2019 20:33:46 Pascal Hambourg wrote:
>>>> Résolu en faisant un apt-get upgrade.

> Bravo, tu peux donc considérer que ton système est compromis.
> Parce que la faille d'apt permet de lui faire télécharger et installer 
> autre chose que le paquet voulu. Tu n'as donc pas lu l'annonce de sécurité ?
> Comme toujours en cas de suspicion de compromission, la seule méthode 
> fiable est la réinstallation.
> Allez, en pratique, c'est très improbable que tu sois visé par une 
> attaque de ce type.

> la seule méthode fiable est la réinstallation :
La réinstallation complète du système ?

Et un ? :
apt-get install --reinstall apt

Re: alerte de sécurité sur apt : 1.4.9 résolu

[Pascal Hambourg]

Le 24/01/2019 à 20:20, ajh-valmer a écrit :

On Thursday 24 January 2019 20:09:42 Pascal Hambourg wrote:

Le 24/01/2019 à 18:17, ajh-valmer a écrit :

Résolu en faisant un apt-get upgrade.



Bravo, tu peux donc considérer que ton système est compromis.


Pas bravo alors :-(

Pourquoi


Parce que la faille d'apt permet de lui faire télécharger et installer 
autre chose que le paquet voulu. Tu n'as donc pas lu l'annonce de sécurité ?



et comment remédier ?


Comme toujours en cas de suspicion de compromission, la seule méthode 
fiable est la réinstallation.


Allez, en pratique, c'est très improbable que tu sois visé par une 
attaque de ce type.

Re: alerte de sécurité sur apt : 1.4.9 résolu

[Pascal Hambourg]

Le 24/01/2019 à 20:18, Eric Degenetais a écrit :



La méthode spécifique de la CVE est elle censée résoudre une compromission
déjà arrivée


Non, c'est trop tard puisqu'une version compromise d'apt est installée.


ou empêcher que le système soit compromis à l'avenir en
admettant qu'il ne le soit pas encore ?


Voilà.

Re: alerte de sécurité sur apt : 1.4.9 résolu

[ajh-valmer]

On Thursday 24 January 2019 20:09:42 Pascal Hambourg wrote:
> Le 24/01/2019 à 18:17, ajh-valmer a écrit :
> > Résolu en faisant un apt-get upgrade.

> Bravo, tu peux donc considérer que ton système est compromis.

Pas bravo alors :-( 

Pourquoi et comment remédier ?

Re: alerte de sécurité sur apt : 1.4.9 résolu

[Étienne Mollier]

Bonsoir,

On 1/24/19 6:17 PM, ajh-valmer wrote:
> Résolu en faisant un apt-get upgrade.

Gaffe, étant donné que c'est le gestionnaire de paquets qui
est affecté, la procédure est un peu particulière :

apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade

-- 
Étienne Mollier 

Re: alerte de sécurité sur apt : 1.4.9 résolu

[Eric Degenetais]

Le jeu. 24 janv. 2019 20:09, Pascal Hambourg  a
écrit :

> Le 24/01/2019 à 18:17, ajh-valmer a écrit :
> > On Thursday 24 January 2019 14:45:46 ajh-valmer wrote:
> >> On Thursday 24 January 2019 14:17:13 Jean-Pierre Giraud wrote:
> >>> Cette faille de sécurité a provoqué la publication de la révision 9.7
> >>> de Stretch :
> >>> https://www.debian.org/News/2019/20190123
> >
> >> Je suis sous Stretch.
> >> apt-cache show apt
> >> Version: 1.4.8
> >> Nouvelle version corrigée : 1.4.9
> >
> > Résolu en faisant un apt-get upgrade.
>
> Bravo, tu peux donc considérer que ton système est compromis.
>
La méthode spécifique de la CVE est elle censée résoudre une compromission
déjà arrivée, ou empêcher que le système soit compromis à l'avenir en
admettant qu'il ne le soit pas encore ?

Éric Dégenètais

Re: alerte de sécurité sur apt : 1.4.9 résolu

[Pascal Hambourg]

Le 24/01/2019 à 18:17, ajh-valmer a écrit :

On Thursday 24 January 2019 14:45:46 ajh-valmer wrote:

On Thursday 24 January 2019 14:17:13 Jean-Pierre Giraud wrote:

Cette faille de sécurité a provoqué la publication de la révision 9.7
de Stretch :
https://www.debian.org/News/2019/20190123



Je suis sous Stretch.
apt-cache show apt
Version: 1.4.8
Nouvelle version corrigée : 1.4.9


Résolu en faisant un apt-get upgrade.


Bravo, tu peux donc considérer que ton système est compromis.

Re: alerte de sécurité sur apt : 1.4.9 résolu

[ajh-valmer]

On Thursday 24 January 2019 14:45:46 ajh-valmer wrote:
> On Thursday 24 January 2019 14:17:13 Jean-Pierre Giraud wrote:
> > Cette faille de sécurité a provoqué la publication de la révision 9.7 
> > de Stretch : 
> > https://www.debian.org/News/2019/20190123

> Je suis sous Stretch.
> apt-cache show apt
> Version: 1.4.8
> Nouvelle version corrigée : 1.4.9

Résolu en faisant un apt-get upgrade.

Merci.

Re: alerte de sécurité sur apt

[ajh-valmer]

On Thursday 24 January 2019 14:17:13 Jean-Pierre Giraud wrote:
> Cette faille de sécurité a provoqué la publication de la révision 9.7 
> de Stretch : 
> https://www.debian.org/News/2019/20190123

Je suis sous Stretch.

apt-cache show apt
Version: 1.4.8

Nouvelle version corrigée : 1.4.9

apt-get install apt
Lecture des listes de paquets... Fait
apt is already the newest version (1.4.8)

newest version (1.4.8) ? non : 1.4.9

Re: alerte de sécurité sur apt

[Eric Degenetais]

Étrange :

> @:~$ apt policy apt
> apt:
>   Installé : 1.4.9   <==  ;)
>   Candidat : 1.4.9   <==  ;)
>  Table de version :
>  *** 1.4.9 500
> 500 http://ftp.fr.debian.org/debian stretch/main amd64 Packages
> 500 http://security.debian.org/debian-security stretch/updates/main 
> amd64 Packages
> 500 http://deb.debian.org/debian stretch/main amd64 Packages
> 100 /var/lib/dpkg/status
> @:~$

Cordialement
__
Éric Dégenètais
Henix

http://www.henix.com
http://www.squashtest.org

__
Éric Dégenètais
Henix

http://www.henix.com
http://www.squashtest.org



Le jeu. 24 janv. 2019 à 14:46, ajh-valmer  a écrit :
>
> On Thursday 24 January 2019 14:17:13 Jean-Pierre Giraud wrote:
> > Cette faille de sécurité a provoqué la publication de la révision 9.7
> > de Stretch :
> > https://www.debian.org/News/2019/20190123
>
> Je suis sous Stretch.
>
> apt-cache show apt
> Version: 1.4.8
>
> Nouvelle version corrigée : 1.4.9
>
> apt-get install apt
> Lecture des listes de paquets... Fait
> apt is already the newest version (1.4.8)
>
> newest version (1.4.8) ? non : 1.4.9
>

Re: alerte de sécurité sur apt

[Jean-Pierre Giraud]

Bonjour,
Le jeudi 24 janvier 2019 à 12:46 +0100, Bernard Schoenacker a écrit :
> bonjour,
> 
> voici le billet d'origine :
> 
> https://lists.debian.org/debian-security-announce/2019/msg00010.html
> 
> et sa traduction en français sur le site du certa :
> 
> https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-001/
> 
> merci
> slt
> bernard
Annonce fournie par votre distribution préférée (comme l'ensemble des annonces 
de
sécurité affectant Debian) à l'adresse :
https://www.debian.org/security/2019/index.fr.html

Cette faille de sécurité a provoqué la publication de la révision 9.7 de 
Stretch :

https://www.debian.org/News/2019/20190123

Amicalement,
jipege

alerte de sécurité sur apt

[Bernard Schoenacker]

bonjour,

voici le billet d'origine :

https://lists.debian.org/debian-security-announce/2019/msg00010.html

et sa traduction en français sur le site du certa :

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-001/

merci

slt
bernard

Re : Faille de sécurité dans le GNU libc avec les requêtes DNS

[merkedanke]

 ou ici https://www.debian.org/ en bas de page !
[HS]le bug patché n'est que le pretexte à nous inciter à cliquer sur le 
lien où l'on voit que la lumière ne brille pas pour tout le monde.
bref, c'est pas une alerte , c'est de l'humour/ironie et c'est très 
drôle à mon sens.

Re: Re : Faille de sécurité dans le GNU libc avec les requêtes DNS

[Fabien R]

On 17/02/2016 22:58, merkeda...@vmail.me wrote:
> "Pour information, la mise à jour est passée dans Debian stable et sid.
De manière plus générale, les alertes sont ici:
https://www.debian.org/security/2016

--
Fabien

Re : Faille de sécurité dans le GNU libc avec les requêtes DNS

[merkedanke]

"Pour information, la mise à jour est passée dans Debian stable et sid. 
Les versions de la glibc qui contiennent la correction de bug, et donc 
qui ne sont pas affectées par la vulnérabilité sont les suivantes:


Stable: 2.19-18+deb8u3
Sid: 2.21-8

Vous pouvez utiliser dpkg -l libc-bin pour vérifier quelle version 
tourne sur votre système. Pensez également à relancer les 
serveurs/services qui utilisent la libc"


PATCHÉ

*les commentaires sont cinglants et instructifs.

Faille de sécurité dans le GNU libc avec les requêtes DNS

[Bernard Schoenacker]

bonjour,

voici la nouvelle rédigée par un co-listier :

https://linuxfr.org/users/bortzmeyer/journaux/faille-de-securite-dans-le-gnu-libc-avec-les-requetes-dns

bonne lecture

slt
bernard

Re: Sécurité serveur Debian

[Sébastien NOBILI]

Bonjour,

Le jeudi 09 avril 2015 à  9:45, Jean-Michel OLTRA a écrit :
> Le jeudi 09 avril 2015, sal...@cryptolab.net a écrit...
> > je fais face à un dilemne. Je veux installer un serveur web donc avec
> > apache, postgresql, php. Il semblerait qu'il soit conseillé pour des raisons
> > de sécurité de toujours utiliser la dernière version (si ce n'est la
> > dernière mise à jour de la version utilisée).
> 
> Debian stable inclue les mises à jour de sécurité logicielles. Donc tu
> n'as rien à craindre de ce côté ci, à condition de réaliser les mises à
> jour…

Pour compléter/nuancer cette réponse, étant donné que tous les correctifs de
toutes les failles identifiées n'arrivent pas instantanément, il existe
plusieurs moyens de se faire une idée de l'état de son système.

On peut installer le paquet « debsecan » qui liste l'ensemble des failles
auxquelles le système est vulnérable, dont certaines (beaucoup ?) tellement
spécifiques qu'elles ne sont pas vraiment exploitables.

On peut aussi consulter la liste des vulnérabilités connues.
Pour stable :
https://security-tracker.debian.org/tracker/status/release/stable
Pour testing :
https://security-tracker.debian.org/tracker/status/release/testing

Sébastien

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/20150409115645.ga13...@sebian.nob900.homeip.net

Re: Sécurité serveur Debian

[Jean-Michel OLTRA]

Bonjour,


Le jeudi 09 avril 2015, sal...@cryptolab.net a écrit...


> je fais face à un dilemne. Je veux installer un serveur web donc avec
> apache, postgresql, php. Il semblerait qu'il soit conseillé pour des raisons
> de sécurité de toujours utiliser la dernière version (si ce n'est la
> dernière mise à jour de la version utilisée).

Debian stable inclue les mises à jour de sécurité logicielles. Donc tu
n'as rien à craindre de ce côté ci, à condition de réaliser les mises à
jour…

En revanche, Debian Stable ne va pas corriger ton code php si celui ci
est vulnérable. Ni aucune version de Debian, ni de php, ni de quoi que
ce soit, d'ailleurs.

Pour un serveur, pour des raisons de stabilité, il vaut mieux une Stable
qu'une Testing. D'autres diront certainement le contraire…

-- 
jm

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20150409074541.GA2905@espinasse

Sécurité serveur Debian

[salim5]

Bonjour,

je fais face à un dilemne. Je veux installer un serveur web donc avec 
apache, postgresql, php. Il semblerait qu'il soit conseillé pour des 
raisons de sécurité de toujours utiliser la dernière version (si ce 
n'est la dernière mise à jour de la version utilisée).
Hors avec Debian on est très loin des version à jour. Je me demande si 
debian ne va pas finir avec une version php obsolète dans la version qui 
vient après jessie. Et pourtant on me dit que d'utiliser les paquets de 
la version stable seraient plus sûr que de télécharger la dernière 
version de php par exemple parce.


Donc, serait-il plus sécurisé pour un site internet d'utiliser les dépôt 
de Debian stable ou d'utiliser les dernières mises à jour pour (apache, 
postgresql, phppgadmin, php..) ou bien est ce que les deux solutions se 
valent?


Je vous remercie.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/bdf372fd978777801981ba4696bb2...@inventati.org

Re: Faille de sécurité Freak

[Vincent Lefevre]

On 2015-03-09 11:32:58 +0100, Vincent Lefevre wrote:
> On 2015-03-06 19:37:02 +0100, andre_deb...@numericable.fr wrote:
> > Y a t-il une action à faire sur le serveur pour passer de SHA-1 vers
> > SHA-2 ?
> 
> Je ne pense pas. L'action à faire, c'est juste la mise à jour du
> certificat. Mais que la fonction de hachage utilisée pour le nouveau
> certificat soit SHA-1 ou SHA-2, c'est la même manipulation.

J'ai oublié de dire... Le passage de SHA-1 à SHA-2, cela concerne
en fait toute la chaîne de certification. (Il est peut-être possible
de mixer, mais ce serait un problème de sécurité à cause d'une
vulnérabilité potentielle au point le plus faible, SHA-1.)

Donc ne pas oublier de mettre aussi à jour le certificat
intermédiaire! Cela fait deux fois que je vois cet oubli
(Nerim sur un de ses serveurs IMAP il y a quelques mois,
et Inria pour sa forge avec la mise à jour d'hier).

Les certificats root aussi, mais il sont fournis automatiquement
par le système ou le navigateur. Apparemment, c'est surtout ça
qui pose problème: certains vieux navigateurs n'ont pas tous les
certificats root SHA-2 nécessaires en pratique.

Pour être sûr que tout est OK, tester avec l'outil SSL Labs ou
des clients locaux (OpenSSL...), mais pas des navigateurs web
comme Firefox: apparemment le certificat intermédiaire peut
être en cache car un autre site l'utilise, et on ne se rend
alors pas compte de la mauvaise config du serveur.

-- 
Vincent Lefèvre  - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20150310093849.ga17...@xvii.vinc17.org

Re: Faille de sécurité Freak

[Vincent Lefevre]

On 2015-03-06 19:37:02 +0100, andre_deb...@numericable.fr wrote:
> Y a t-il une action à faire sur le serveur pour passer de SHA-1 vers
> SHA-2 ?

Je ne pense pas. L'action à faire, c'est juste la mise à jour du
certificat. Mais que la fonction de hachage utilisée pour le nouveau
certificat soit SHA-1 ou SHA-2, c'est la même manipulation.

En revanche, si le but est de configurer le serveur pour proposer deux
certificats (un SHA-1 pour compatibilité avec les vieux navigateurs et
un SHA-2), c'est tout autre chose...

> (ou c'est un problème de navigateur ?)

Oui: si le navigateur ne supporte pas SHA-2, il ne pourra pas vérifier
les certificats en question.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20150309103258.ga26...@xvii.vinc17.org

Re: Faille de sécurité Freak

[andre_debian]

On Friday 06 March 2015 17:01:27 Vincent Lefevre wrote:
> On 2015-03-06 12:57:50 +0100, andre_deb...@numericable.fr wrote:
> > > > Le seul message alarmant est que mon certificat officiel SSL,
> > > > non autosigné, serait "weak" (faible).
> > > > Il s'agit d'un certificat gratuit StartSSL.
> > > > (sa gratuité en serait la  cause ?)

> > > Non, c'est le cas de tous les anciens certificats.
> >
> > Mais il date de 9 mois...
> > (c'est pas si ancien)

> Si. :-) La véritable transition de SHA-1 vers SHA-2 semble avoir
> débuté en septembre 2014, donc il y a 6 mois:
> http://googleonlinesecurity.blogspot.fr/2014/09/gradually-sunsetting-sha-1.
>html
> https://community.qualys.com/blogs/securitylabs/2014/09/09/sha1-deprecation
>-what-you-need-to-know
> Note que certains navigateurs web pouvaient avoir des problèmes avec
> certains sites utilisant des certificats SHA-2:
 > https://www.gandi.net/news/en/2014-10-21/2460-sha-2_certificates_are_now_av
>ailable/

Y a t-il une action à faire sur le serveur pour passer de SHA-1 vers SHA-2 ?
(ou c'est un problème de navigateur ?)

Merci.

André

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/201503061937.02628.andre_deb...@numericable.fr

Re: Faille de sécurité Freak

[Vincent Lefevre]

On 2015-03-06 12:57:50 +0100, andre_deb...@numericable.fr wrote:
> On Thursday 05 March 2015 20:06:35 Vincent Lefevre wrote:
> > On 2015-03-05 19:16:29 +0100, andre_deb...@numericable.fr wrote:
> > > Le seul message alarmant est que mon certificat officiel SSL,
> > > non autosigné, serait "weak" (faible).
> > > Il s'agit d'un certificat gratuit StartSSL.
> > > (sa gratuité en serait la  cause ?)
> >
> > Non, c'est le cas de tous les anciens certificats.
> 
> Mais il date de 9 mois...
> (c'est pas si ancien)

Si. :-) La véritable transition de SHA-1 vers SHA-2 semble avoir
débuté en septembre 2014, donc il y a 6 mois:

  
http://googleonlinesecurity.blogspot.fr/2014/09/gradually-sunsetting-sha-1.html
  
https://community.qualys.com/blogs/securitylabs/2014/09/09/sha1-deprecation-what-you-need-to-know

Note que certains navigateurs web pouvaient avoir des problèmes avec
certains sites utilisant des certificats SHA-2:

  
https://www.gandi.net/news/en/2014-10-21/2460-sha-2_certificates_are_now_available/

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20150306160127.gb10...@ypig.lip.ens-lyon.fr

Re: Faille de sécurité Freak

[andre_debian]

On Thursday 05 March 2015 20:06:35 Vincent Lefevre wrote:
> On 2015-03-05 19:16:29 +0100, andre_deb...@numericable.fr wrote:
> > puis j'ai testé mon serveur https : https://freakattack.com/

> Il y a 2 tests: le SSL Labs et le Freak.
>
> > Le seul message alarmant est que mon certificat officiel SSL,
> > non autosigné, serait "weak" (faible).
> > Il s'agit d'un certificat gratuit StartSSL.
> > (sa gratuité en serait la  cause ?)
>
> Non, c'est le cas de tous les anciens certificats.

Mais il date de 9 mois...
(c'est pas si ancien)

André

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/201503061257.50425.andre_deb...@numericable.fr

Re: Faille de sécurité Freak

[Jean-Marc]

Thu, 5 Mar 2015 20:06:35 +0100
Vincent Lefevre  écrivait :

> On 2015-03-05 19:16:29 +0100, andre_deb...@numericable.fr wrote:
> > puis j'ai testé mon serveur https : https://freakattack.com/
> 
> Il y a 2 tests: le SSL Labs et le Freak.
> 

Et un self-test :

$ openssl s_client -connect linuxfr.org:443 -cipher EXPORT
CONNECTED(0003)
140334384354960:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert 
handshake failure:s23_clnt.c:770:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 111 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

Si ce test échoue, vous êtes OK puisque FREAK est basé, entre autre, sur le 
fait de forcer une renégociation utilisant un chiffrement plus faible.

Jean-Marc 


pgpRSQ9AJw8Zf.pgp
Description: PGP signature

Re: Faille de sécurité Freak

[Vincent Lefevre]

On 2015-03-05 19:16:29 +0100, andre_deb...@numericable.fr wrote:
> puis j'ai testé mon serveur https : https://freakattack.com/

Il y a 2 tests: le SSL Labs et le Freak.

> Le seul message alarmant est que mon certificat officiel SSL,
> non autosigné, serait "weak" (faible).
> Il s'agit d'un certificat gratuit StartSSL.
> (sa gratuité en serait la  cause ?)

Non, c'est le cas de tous les anciens certificats.

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20150305190635.ga29...@xvii.vinc17.org

Re: Faille de sécurité Freak

[andre_debian]

On Thursday 05 March 2015 15:06:32 honeyshell wrote:
> Bonjour la team,
> un article plus simple et plus complet sur le problème :
> http://pro.clubic.com/it-business/securite-et-donnees/actualite-757073-frea
>k-export-rsa-navigateur-ssl-securite.html
> nb: je sais... un lien Clubic c'est pas très sérieux, mais il reste
> abordable à la lecture pour le commun des mortels!
> les recommandations officielles : https://freakattack.com/
> tester son serveur : https://freakattack.com/
> "If you run a web server, you should disable support for any export
> suites. However, instead of simply excluding RSA export cipher suites,
> we encourage administrators to disable support for _all known insecure
> ciphers_ (e.g., there are export cipher suites protocols other than
> RSA) and enable forward secrecy."
> Pourquoi Apache :
> "You see, it turns out that generating fresh RSA keys is a bit costly.
> So modern web servers don't do it for every single connection. In
> fact, Apache mod_ssl by default will generate a single export-grade
> RSA key when the server starts up, and will simply re-use that key for
> the lifetime of that server.
> What this means is that you can obtain that RSA key once, factor it,
> and break every session you can get your 'man in the middle' mitts on
> until the server goes down. And that's the ballgame."
> ref:
> http://blog.cryptographyengineering.com/2015/03/attack-of-week-freak-or-fac
>toring-nsa.html
> Le mod_ssl pour APACHE :
> http://httpd.apache.org/docs/current/fr/mod/mod_ssl.html
> La solution est donc de désactiver le mod_ssl mis par défaut dans
> Apache. Voici une solution qui semble viable :
> https://www.sslshopper.com/article-how-to-disable-weak-ciphers-and-ssl-2.0-
>in-apache.html
> Soit dit en passant, ce problème est connu depuis longtemps (2010 pour
> cet article de sécu).

J'ai fait ce qui est préconisé, 
puis j'ai testé mon serveur https : https://freakattack.com/

Le seul message alarmant est que mon certificat officiel SSL,
non autosigné, serait "weak" (faible).
Il s'agit d'un certificat gratuit StartSSL.
(sa gratuité en serait la  cause ?)

Le certificat TLS du serveur de mails, autosigné (si c'est bien celui là),
est indiqué correct (sans message d'alarme).

Voilà le topo.

André

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/201503051916.29075.andre_deb...@numericable.fr

Re: Faille de sécurité Freak

[honeyshell]

Bonjour la team,


un article plus simple et plus complet sur le problème :
http://pro.clubic.com/it-business/securite-et-donnees/actualite-757073-freak-export-rsa-navigateur-ssl-securite.html

nb: je sais... un lien Clubic c'est pas très sérieux, mais il reste
abordable à la lecture pour le commun des mortels!

les recommandations officielles : https://freakattack.com/
tester son serveur : https://freakattack.com/

"If you run a web server, you should disable support for any export
suites. However, instead of simply excluding RSA export cipher suites,
we encourage administrators to disable support for _all known insecure
ciphers_ (e.g., there are export cipher suites protocols other than
RSA) and enable forward secrecy."

Pourquoi Apache :
"You see, it turns out that generating fresh RSA keys is a bit costly.
So modern web servers don't do it for every single connection. In
fact, Apache mod_ssl by default will generate a single export-grade
RSA key when the server starts up, and will simply re-use that key for
the lifetime of that server.
What this means is that you can obtain that RSA key once, factor it,
and break every session you can get your 'man in the middle' mitts on
until the server goes down. And that's the ballgame."
ref: 
http://blog.cryptographyengineering.com/2015/03/attack-of-week-freak-or-factoring-nsa.html

Le mod_ssl pour APACHE :
http://httpd.apache.org/docs/current/fr/mod/mod_ssl.html

La solution est donc de désactiver le mod_ssl mis par défaut dans
Apache. Voici une solution qui semble viable :
https://www.sslshopper.com/article-how-to-disable-weak-ciphers-and-ssl-2.0-in-apache.html

Soit dit en passant, ce problème est connu depuis longtemps (2010 pour
cet article de sécu).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/cajehwdz8jijnx3v51l61veznoezx8j3x8hs0pjz8ezp3nh1...@mail.gmail.com

Faille de sécurité Freak

[andre_debian]

Factoring RSA Export Keys

Faut-il s'en inquiéter ? :
http://www.solutions-logiciels.com/actualites.php?actu=15430

Si oui, que faire sur un serveur Web Apache2 (https) ?

André

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/201503051240.21854.andre_deb...@numericable.fr

Re: Mise à jour de sécurité

[Belaïd]

bonsoir,
tu as un script apt qui est exécuté par cron (/etc/cron.daily/apt). il est
configurable a travers de variable dans /etc/apt/apt.conf.d
Le 20 févr. 2015 17:27, "Alex PADOLY"  a écrit :

>  Bonsoir à tous,
>
>
>
> Existe-t-il un paquet Debian qui permet de m'informer sur le bureau ou par
> email des mises à jour de sécurité et qui propose de les installer?
>
> Je vous remercie.
>
> Alex PADOLY
>
>

Re: Mise à jour de sécurité

[Nicolas KOWALSKI]

On Fri, Feb 20, 2015 at 04:27:25PM +, Alex PADOLY wrote:
> Existe-t-il un paquet Debian qui permet de
> m'informer sur le bureau ou par email des mises à jour de sécurité et
> qui propose de les installer? 

J'utilise cron-apt depuis des lustres, sans souci. Sa configuration est 
des plus simples:

petole:~# egrep -v '(^$|#)' /etc/cron-apt/config
MAILTO="root"
MAILON="upgrade"
SYSLOGON="error"

Avec ceci, si une mise à jour est disponible, je reçois un mail le 
matin. 

-- 
Nicolas

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20150220203959.gb3...@petole.demisel.net

Re: Mise à jour de sécurité

[Sébastien NOBILI]

Le vendredi 20 février 2015 à 17:33, Christophe Moille a écrit :
> Le Friday 20 Feb 2015 à 16:27:25 (+), Alex PADOLY a écrit :
> > Existe-t-il un paquet Debian qui permet de m'informer sur le bureau ou par
> > email des mises à jour de sécurité et qui propose de les installer?
> 
> Oui, apticron
> http://debian-handbook.info/browse/fr-FR/stable/sect.regular-upgrades.html

Sinon, pour avoir une notification sur le bureau, il y a « update-notifier ».

Normalement il est installé par défaut et chargé au démarrage de session.

Seb

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20150220201920.gl11...@serveur.nob900.us.to

Re: Mise à jour de sécurité

[cont...@baal.fr]

y'a pas déjà sa d'origine .
Le 20/02/2015 17:27, Alex PADOLY a écrit :


Bonsoir à tous,

Existe-t-il un paquet Debian qui permet de m'informer sur le bureau ou 
par email des mises à jour de sécurité et qui propose de les installer?


Je vous remercie.

Alex PADOLY



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/54e76d3b.10...@baal.fr

Re: Mise à jour de sécurité

[Christophe Moille]

Le Friday 20 Feb 2015 à 16:27:25 (+), Alex PADOLY a écrit :
> Bonsoir à tous,
> 
>  
> 
> Existe-t-il un paquet Debian qui permet de m'informer sur le bureau ou par
> email des mises à jour de sécurité et qui propose de les installer?
> 
> Je vous remercie.

Oui, apticron
http://debian-handbook.info/browse/fr-FR/stable/sect.regular-upgrades.html


-- 
« It’s basic politeness, providing internet access to guests is 
kind of like providing heat and electricity, or a hot cup of tea. »
Bruce Schneier


signature.asc
Description: Digital signature

Mise à jour de sécurité

[Alex PADOLY]

 

Bonsoir à tous, 

Existe-t-il un paquet Debian qui permet de
m'informer sur le bureau ou par email des mises à jour de sécurité et
qui propose de les installer? 

Je vous remercie. 

Alex PADOLY 
 

Re: Quel type de failles de sécurité pour ces requêtes :

[BERTRAND Joël]

Philippe Gras a écrit :

Bonjour,


Bonjour,


depuis quelques jours, j'ai des requêtes formulées ainsi sur les logs de
mon serveur :
=
trucmuchecmoi:/var/log/nginx# grep "192.64.81.197" access.log
192.64.81.197 - - [05/Nov/2014:02:05:58 +0100] "" 400 0 "-" "-"
192.64.81.197 - - [05/Nov/2014:18:08:44 +0100] "" 400 0 "-" "-"
=

Que viennent-elles chercher comme type de failles qui n'aurait pas
encore été traitées
chez Debian ?

J'ai pris des mesures pour rejeter d'entrée de jeu les IP trop
insistantes, mais comme
c'est nouveau chez moi ce petit jeu, et que j'ai reçu pas mal d'alertes
de sécurité ces
derniers jours sur la liste Debian dédiée, je pose la question par
curiosité.


	Je constate cela même depuis des postes sur mon LAN. Je n'ai pas 
investigué plus.


Cordialement,

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/545b3ee5.5010...@systella.fr

Quel type de failles de sécurité pour ces requêtes :

[Philippe Gras]

Bonjour,

depuis quelques jours, j'ai des requêtes formulées ainsi sur les logs  
de mon serveur :

=
trucmuchecmoi:/var/log/nginx# grep "192.64.81.197" access.log
192.64.81.197 - - [05/Nov/2014:02:05:58 +0100] "" 400 0 "-" "-"
192.64.81.197 - - [05/Nov/2014:18:08:44 +0100] "" 400 0 "-" "-"
=

Que viennent-elles chercher comme type de failles qui n'aurait pas  
encore été traitées

chez Debian ?

J'ai pris des mesures pour rejeter d'entrée de jeu les IP trop  
insistantes, mais comme
c'est nouveau chez moi ce petit jeu, et que j'ai reçu pas mal  
d'alertes de sécurité ces
derniers jours sur la liste Debian dédiée, je pose la question par  
curiosité.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/14b0ddbf-bb63-4b26-87c3-5aebcb43e...@worldonline.fr

Re: Mettez à jour IceWeasel/IceDove/SeaMonkey - avis de sécurité Mozilla

[Louis]

25 Septembre, nouvelle journée internationale de la faille ?

Merci a toi !

On 09/25/2014 12:46 PM, Sébastien NOBILI wrote:

Bonjour,

Le jeudi 25 septembre 2014 à  6:08, Fabián Rodríguez a écrit :

Cet avis important m'est parvenu ce matin:
https://www.mozilla.org/security/announce/2014/mfsa2014-73.html

Il est important de noter que cette faille a déjà été corrigée dans Iceweasel et
qu'il n'est pas nécessaire de passer aux versions supérieures pour en profiter :

 https://lists.debian.org/debian-security-announce/2014/msg00222.html

Seb



--
---
Louis Solofrizzo.
d...@ne02ptzero.me
---

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/5423f30e.7070...@ne02ptzero.me

Re: Mettez à jour IceWeasel/IceDove/SeaMonkey - avis de sécurité Mozilla

[Sébastien NOBILI]

Bonjour,

Le jeudi 25 septembre 2014 à  6:08, Fabián Rodríguez a écrit :
> Cet avis important m'est parvenu ce matin:
> https://www.mozilla.org/security/announce/2014/mfsa2014-73.html

Il est important de noter que cette faille a déjà été corrigée dans Iceweasel et
qu'il n'est pas nécessaire de passer aux versions supérieures pour en profiter :

https://lists.debian.org/debian-security-announce/2014/msg00222.html

Seb

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
https://lists.debian.org/20140925104651.gc14...@sebian.nob900.homeip.net

Mettez à jour IceWeasel/IceDove/SeaMonkey - avis de sécurité Mozilla

[Fabián Rodríguez]

Bonjour,

Cet avis important m'est parvenu ce matin:
https://www.mozilla.org/security/announce/2014/mfsa2014-73.html

J'avais écrit cet article concernant les meilleures pratiques pour
mettre à jour IceWeasel dans Debian:
http://fabianrodriguez.com/blog/2013/08/16/installer-la-toute-derniere-version-diceweasel-firefox-dans-debian

Si comme moi vous mettez à jour IceWeasel / IceDove dans Thunderbird
quand vous installez un système, cette information semble toujours à jour:
http://mozilla.debian.net/

Si vous voyez des améliorations possibles, n'hésitez pas à les partager ici.

A+

Fabian

-- 
Fabián Rodríguez - XMPP/Jabber+OTR: magic...@member.fsf.org
http://fsf.magicfab.ca

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/5423e982.5030...@member.fsf.org

Re: oldstable et sécurité

[David Soulayrol]

On 2014.05.05 10:22:48 +0200, daniel huhardeaux wrote:

> Obsolète peut être, dangereuse non. Ce sont les versions 1.0 inférieure à
> 1.0.1g qui ont été touchée. Squeeze est OK

Merci pour ta réponse.

Je vois effectivement que Heartbleed c'est CVE-2014-0160, qui n'affecte
pas Squeeze. Restent CVE-2014-0076 ou le moins jeune CVE-2012-4929 qui
restent ouverts sur Squeeze. J'en déduis donc qu'il s'agit là de
problèmes non corrigés, et que le support est toujours bien actif.

Bonne journée.
-- 
Dans le domaine de la science, le hasard ne favorise que
les esprits qui ont été préparés.  
-+- Louis Pasteur -+-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20140505090327.gd3...@david-pc.nexcom.bzh

Re: oldstable et sécurité

[daniel huhardeaux]

Le 05/05/2014 10:11, David Soulayrol a écrit :

Bonjour,


Bonjour

[...]
Et là je m'interroge. Selon la page donnée ci-dessus, et de manière plus
détaillée sur 
https://security-tracker.debian.org/tracker/source-package/openssl,
j'observe que Debian Squeeze (oldstable) semble posséder une version
passablement obsolète et dangereuse de openssl.


Obsolète peut être, dangereuse non. Ce sont les versions 1.0 inférieure 
à 1.0.1g qui ont été touchée. Squeeze est OK



  Pourtant, il me semble
que la fin de support pour Squeeze est la fin de ce mois, et même qu'il est
envisagé un support de longue durée pour cette version.


Il n'est pas envisagé, c'est effectif, jusqu'en 02/2016, uniquement pour 
i386 et amd64




Quelle procédure me conseilleriez-vous pour disposer des sources d'une
version empaquetée à jour de openssl ?
[...]

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/53674a58.3090...@tootai.net

oldstable et sécurité

[David Soulayrol]

Bonjour,

Je dois recompiler un paquetage dont openssl est une dépendance. La
cible est Debian Squeeze. Pour ce faire, j'utilise apt-get build-dep,
apt-get source, dpkg-buildpackage... Je travaille une image de Squeeze
dédiée et configurée avec les sources suivantes :

  deb http://ftp.fr.debian.org/debian/ squeeze main
  deb-src http://ftp.fr.debian.org/debian/ squeeze main

  deb http://security.debian.org/ squeeze/updates main
  deb-src http://security.debian.org/ squeeze/updates main

  deb http://ftp.fr.debian.org/debian/ squeeze-updates main
  deb-src http://ftp.fr.debian.org/debian/ squeeze-updates main

apt-cache me retourne les disponibilités suivantes pour openssl, ce qui
est conforme à http://packages.qa.debian.org/o/openssl.html.

  # apt-cache policy openssl
  openssl:
Installed: 0.9.8o-4squeeze1
Candidate: 0.9.8o-4squeeze14
Version table:
   0.9.8o-4squeeze14 0
  500 http://ftp.fr.debian.org/debian/ squeeze/main amd64 Packages
  500 http://security.debian.org/ squeeze/updates/main amd64 Packages
   *** 0.9.8o-4squeeze1 0
  100 /var/lib/dpkg/status

Et là je m'interroge. Selon la page donnée ci-dessus, et de manière plus
détaillée sur 
https://security-tracker.debian.org/tracker/source-package/openssl,
j'observe que Debian Squeeze (oldstable) semble posséder une version
passablement obsolète et dangereuse de openssl. Pourtant, il me semble
que la fin de support pour Squeeze est la fin de ce mois, et même qu'il est
envisagé un support de longue durée pour cette version.

Quelle procédure me conseilleriez-vous pour disposer des sources d'une
version empaquetée à jour de openssl ?

Merci.
-- 
Si vous ne pouvez, à la longue, faire savoir à tout le monde
ce que vous avez fait, c'est que ça vaut rien.
-+- Erwin Schrödinger -+-

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/20140505081113.gb3...@david-pc.nexcom.bzh

Re: [sécurité / maj] Rkhunter, message inquiétant

[Adrien]

Le 14/12/2013 13:42, Sébastien NOBILI a écrit :
> Indépendamment de l'interface utilisée (aptitude ou apt-get), on
> trouve ça dans les fichiers suivants : /var/log/apt/history.log
> /var/log/dpkg.log
>>> 2) Il n'y a rien dans le crontab pour apt ; comment savoir où sont
>>> définies les mises à jour automatiques ?
>> Tu aurais une application de mise à jour automatique paramétrée pour la
>> mise à jour forcée (cron-apt ? apt-watch ?)
> À partir des dates et heures trouvées dans les fichiers ci-dessus, tu peux
> recouper avec les enregistrements CRON dans /var/log/syslog
>
> Faire la mise-à-jour de manière automatisée n'est pas vraiment recommandé, 
> même
> si ça se passe bien dans la plupart des cas, il suffit que quelque chose 
> échoue
> et ton système se retrouve dans un état douteux.
>
> Seb
>

Hello,

Après des vérifications dans /var/log/apt/history.log, je me rends
compte qu'un dist-upgrade avait été fait il y a quelques jours... par moi.
Donc pas de problème de ce côté-là (ouf).
Je n'ai pas mis de MAJ automatique, je préfère faire ça de mon côté.

Merci pour vos réponses qui ont été fort rapides !

--
Adrien.



signature.asc
Description: OpenPGP digital signature

Re: [sécurité / maj] Rkhunter, message inquiétant

[Sébastien NOBILI]

Bonjour,

Le samedi 14 décembre 2013 à  9:55, Jean-Michel OLTRA a écrit :
> Le samedi 14 décembre 2013, Adrien a écrit...
> > 1) Comment avoir l'historique des mises à jour d'APT ?
> 
> Dans /var/log/qqch ?
> Chez moi, utilisant aptitude qqch=aptitude

Indépendamment de l'interface utilisée (aptitude ou apt-get), on trouve ça dans
les fichiers suivants :
/var/log/apt/history.log
/var/log/dpkg.log

> > 2) Il n'y a rien dans le crontab pour apt ; comment savoir où sont
> > définies les mises à jour automatiques ?
> 
> Tu aurais une application de mise à jour automatique paramétrée pour la
> mise à jour forcée (cron-apt ? apt-watch ?)

À partir des dates et heures trouvées dans les fichiers ci-dessus, tu peux
recouper avec les enregistrements CRON dans /var/log/syslog

Faire la mise-à-jour de manière automatisée n'est pas vraiment recommandé, même
si ça se passe bien dans la plupart des cas, il suffit que quelque chose échoue
et ton système se retrouve dans un état douteux.

Seb

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20131214124226.gm10...@serveur.nob900.us.to

Re: [sécurité / maj] Rkhunter, message inquiétant

[Jean-Michel OLTRA]

Bonjour,


Le samedi 14 décembre 2013, Adrien a écrit...


> 1) Comment avoir l'historique des mises à jour d'APT ?

Dans /var/log/qqch ?
Chez moi, utilisant aptitude qqch=aptitude

> 2) Il n'y a rien dans le crontab pour apt ; comment savoir où sont
> définies les mises à jour automatiques ?

Tu aurais une application de mise à jour automatique paramétrée pour la
mise à jour forcée (cron-apt ? apt-watch ?)

> 3) Je préfèrerais que APT fasse l'update automatiquement et me signifie
> quand il y a des mises à jour disponibles.

C'est possible avec cron-apt (que j'utilise partout).

-- 
jm

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/20131214085520.GA5344@espinasse

[sécurité / maj] Rkhunter, message inquiétant

[Adrien]

Bonjour à tous,

Je viens de recevoir ce matin le message suivant de mon serveur :

Warning: The O/S name or version has changed since the last run:
 Old O/S value: Debian 7.1New value: Debian 7.2
 Because of the change(s) the file properties checks may give some 
false-positive results.
 You may need to re-run rkhunter with the '--propupd' option.
Warning: WARNING! It is the users responsibility to ensure that when the 
'--propupd' option
 is used, all the files on their system are known to be genuine, 
and installed from a
 reliable source. The rkhunter '--check' option will compare the 
current file properties
 against previously stored values, and report if any values differ. 
However, rkhunter
 cannot determine what has caused the change, that is for the user 
to do.
Warning: The file properties have changed:
 File: /sbin/init
 Current hash: 64d54a652c64c261742017d86599971de6e4effd
 Stored hash : 8fb700b047b7d9921ccdc55da5390f5106d6917b
 Current inode: 654107Stored inode: 654179
 Current file modification time: 1374117056 (18-juil.-2013 05:10:56)
 Stored file modification time : 1360285189 (08-févr.-2013 
01:59:49)
Warning: The file properties have changed:
 File: /sbin/runlevel
 Current hash: bda9ae712c01ac5e4e70c615b767dab918f7444d
 Stored hash : 1377af7a0a57782163e65277e06949db2c471f89
 Current inode: 654128Stored inode: 654178
 Current file modification time: 1374117056 (18-juil.-2013 05:10:56)
 Stored file modification time : 1360285189 (08-févr.-2013 
01:59:49)
Warning: The file properties have changed:
 File: /sbin/sulogin
 Current hash: 31abf98f5cb9eaef52666fdf24d9bc9fe00c0c7f
 Stored hash : 88c9eedf7f8c96e6f1cbc6bb90f81a7c1d169370
 Current inode: 654116Stored inode: 657123
 Current file modification time: 1374117056 (18-juil.-2013 05:10:56)
 Stored file modification time : 1360285189 (08-févr.-2013 
01:59:49)
Warning: The file properties have changed:
 File: /usr/bin/curl
 Current hash: 9d8b0b97bc944825fa6b8328a4a566814847ba59
 Stored hash : 1f0e6a9df7caee3e2e94e0c4a29e5270d40b03b4
 Current inode: 3145528Stored inode: 3144414
 Current file modification time: 1376624646 (16-août-2013 05:44:06)
 Stored file modification time : 1365866914 (13-avril-2013 17:28:34)
Warning: The file properties have changed:
 File: /usr/bin/dpkg
 Current hash: 5922ad97ae2f5718f11fb94017d1bce52f4979ef
 Stored hash : 6bcc74fa350ee1f7f4d955cd9b13b28a995d2d17
 Current inode: 3145762Stored inode: 3145442
 Current file modification time: 1380662243 (01-oct.-2013 23:17:23)
 Stored file modification time : 1363587383 (18-mars-2013 07:16:23)
Warning: The file properties have changed:
 File: /usr/bin/dpkg-query
 Current hash: 545e50134b5e15378a6848f8158a1a3cfdd8172d
 Stored hash : f317f2e96b14f1f83e249770fd7b6ad9aefa08a9
 Current inode: 3145765Stored inode: 3145444
 Current file modification time: 1380662243 (01-oct.-2013 23:17:23)
 Stored file modification time : 1363587383 (18-mars-2013 07:16:23)
Warning: The file properties have changed:
 File: /usr/bin/last
 Current hash: f43914f126dcba66d163710388f44217a274b115
 Stored hash : 699eec86132ec19deb0738ea8c63cec0b18a2f71
 Current inode: 3140054Stored inode: 3140366
 Current file modification time: 1374117056 (18-juil.-2013 05:10:56)
 Stored file modification time : 1360285189 (08-févr.-2013 
01:59:49)
Warning: The file '/usr/bin/links' exists on the system, but it is not 
present in the rkhunter.dat file.
Warning: The file properties have changed:
 File: /usr/bin/perl
 Current hash: ec7ce54b700d7308ac7caf663301c0a4a8f6b4e3
 Stored hash : a774afb8e0bcdfe864365471926ee9b16a71b38a
 Current inode: 3147362Stored inode: 3140120
 Current file modification time: 1380464042 (29-sept.-2013 16:14:02)
 Stored file modification time : 1365762326 (12-avril-2013 12:25:26)
Warning: Found enabled inetd service: sane-port

Il a dû y avoir une mise à jour, or je n'ai rien décidé.
1) Comment avoir l'historique des mises à jour d'APT ?
2) Il n'y a rien dans le crontab pour apt ; comment savoir où sont
définies les mises à jour automatiques ?
3) Je préfèrerais que APT fasse l'update automatiquement et me signifie
quand il y a des mises à jour disponibles.
4) Voici le type de mail que je recevais avant (bien plus court) :

Warning: The file '/usr/bin/links' e

Re: [HS] Sécurité physique d'un ordinateur personnel (dérivé de Re: Installation chiffrée, swap + / avec hibernation)

[Sébastien NOBILI]

Le jeudi 12 septembre 2013 à 21:26, stephane.garg...@laposte.net a écrit :
> D'autre part, je savais déjà qu'il existe des solutions de chiffrement - 
> peut-on également parler de cryptage ? - concernant des disques durs. Je ne 
> les ai pas choisi pour mon système car je craignais - mais ai-je tort ? - une 
> trop forte consommation de ressources (je pense, en particulier, au 
> processeur).

Chiffrement, cryptage, vaste sujet avec souvent des points de vue divergents.
Pour ma part j'ai le mien et je suis d'accord avec :-)
https://fr.wikipedia.org/wiki/Chiffrement#Terminologie
http://www.bibmath.net/forums/viewtopic.php?pid=8168#p8168

> Pour information : mon ordinateur fixe se compose, brièvement, d'un 
> processeur AMD Athlon 64 x2 3 GHz, d'une mémoire vive 8 Go DDR2 800 MHz et de 
> 2 disques durs SATA II de 1000 Go à 7200 tr/mn avec cache de 32 Mo et ne 
> contient qu'un seul système d'exploitation (Debian GNU/linux, bien sûr) .

S'agissant de la consommation de ressources, ça passera sans problème sur ta
configuration. J'utilise souvent mon système dans une machine virtuelle sur une
machine physique de configuration inférieure à la tienne et c'est surtout l'USB
qui ralentit.

> Enfin, concernant ton disque dur nomade, une solution alternative serait 
> d'utiliser un VPN (virtual private network ou, si tu préfères, un réseau 
> privé virtuel) te permettant d'accéder, avec un ordinateur portable, à des 
> données confidentielles/sensibles restées sur ton serveur (et non pas avec 
> toi pendant tes déplacements).
> 
> Mais peut-être cela n'est pas possible en mettre en place pour des raisons X, 
> Y ou Z...

Possible techniquement en effet, mais inacceptable, je ne *veux* pas me rendre
dépendant de la présence d'une connexion Internet !

Seb

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/2013091311.gi13...@sebian.nob900.homeip.net

Re: [HS] Sécurité physique d'un ordinateur personnel (dérivé de Re: Installation chiffrée, swap + / avec hibernation)

[stephane . gargoly]

Bonjour à tous les utilisateurs et développeurs de Debian :

Dans son message du 12/09/13 à 13:23, Sébastien NOBILI a écrit :
> Sauf à démarrer sur un LiveCD / LiveUSB !
> 
> Le niveau de sécurité est évidemment à adapter au contexte. Sur mon serveur, 
> les
> données sont en clair. La configuration que j'ai décrite est en place sur un
> disque 2,5" que je balade systématiquement avec moi, donc exposé aux pertes et
> au vol. D'où le chiffrement.

Dans son message du 12/09/13 à 14:49, Haricophile a écrit :
> C'est généralement désactivable dans le bios (ou l'on peut souvent
> mettre un mot de passe), on peut aussi le désactiver dans le chargeur
> d'amorçage (sur lequel on peut mettre un mot de passe)... 
> Tant qu'on ne peut pas ouvrir le boitier, c'est quand même plutôt
> sécurisé à défaut d'être inviolable.

Comme Haricophile l'a bien dit, il y a des parades contre l'amorçage d'un 
LiveCD/DVD/USB (mais aussi contre l'activation d'un shell au prompt de boot) et 
dont je les applique à mon système GNU/Linux. ;-)

Mais je suis d'accord avec toi : les exigences (en matière de sécurité, tant au 
niveau matériel que logiciel) ne sont pas les mêmes selon qu'on a affaire à un 
ordinateur privé/familial ou à un système informatique professionnel ou 
d'entreprise (serveurs, clients sédentaires/nomades).

Et, bien sûr, mes précautions que j'ai prises pour mon système personnel (que 
j'utilise à titre domestique et ludique) - et que certains peuvent juger 
inutiles ou excessives - peuvent être insuffisantes dans d'autres cadres...

D'autre part, je savais déjà qu'il existe des solutions de chiffrement - 
peut-on également parler de cryptage ? - concernant des disques durs. Je ne les 
ai pas choisi pour mon système car je craignais - mais ai-je tort ? - une trop 
forte consommation de ressources (je pense, en particulier, au processeur).

Pour information : mon ordinateur fixe se compose, brièvement, d'un processeur 
AMD Athlon 64 x2 3 GHz, d'une mémoire vive 8 Go DDR2 800 MHz et de 2 disques 
durs SATA II de 1000 Go à 7200 tr/mn avec cache de 32 Mo et ne contient qu'un 
seul système d'exploitation (Debian GNU/linux, bien sûr) .

Enfin, concernant ton disque dur nomade, une solution alternative serait 
d'utiliser un VPN (virtual private network ou, si tu préfères, un réseau privé 
virtuel) te permettant d'accéder, avec un ordinateur portable, à des données 
confidentielles/sensibles restées sur ton serveur (et non pas avec toi pendant 
tes déplacements).

Mais peut-être cela n'est pas possible en mettre en place pour des raisons X, Y 
ou Z...

Cordialement et à bientôt,

Stéphane.



Une messagerie gratuite, garantie à vie et des services en plus, ça vous tente ?
Je crée ma boîte mail www.laposte.net

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: 
http://lists.debian.org/544774889.86283.1379014004711.JavaMail.www@wwinf8315

Re: [HS] Sécurité physique d'un ordinateur personnel (dérivé de Re: Installation chiffrée, swap + / avec hibernation)

[Haricophile]

Le jeudi 12 septembre 2013 à 13:23 +0200, Sébastien NOBILI a écrit :
> Sauf à démarrer sur un LiveCD / LiveUSB !

C'est généralement désactivable dans le bios (ou l'on peut souvent
mettre un mot de passe), on peut aussi le désactiver dans le chargeur
d'amorçage (sur lequel on peut mettre un mot de passe)... 
Tant qu'on ne peut pas ouvrir le boitier, c'est quand même plutôt
sécurisé à défaut d'être inviolable.



-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: http://lists.debian.org/1378990086.15662.3.camel@jisui.aranha