Professionnel en sécurité, développeur et entrepreneur
actualité
Décision du CRTC sur la concurrence des services Internet
Aug 30th
Aujourd’hui, le CRTC rendait public certaines décisions concernant la concurrence dans les services internet soit la « Politique réglementaire de télécom CRTC 2010-632 », j’ai remarqué aucun article dans les médias francophones ( il faut croire qu’une décision du CRTC c’est moins intéressant que la commission Bastarache).
De façon générale, la décision est satisfaisante, elle:
- permet aux fournisseurs de services indépendants d’offrir des vitesses équivalentes aux gros joueurs;
- facilite l’accès aux technologies utilisant le câble (J’espère que cela permettra à des services tels que SpeedCable d’être plus compétitifs);
- offre des accès compétitifs aux nouveaux réseaux tels que la fibre (si le prix coutant sur lequel se base la tarification n’est pas gonflé artificielement par les gros joueurs).
Par contre, je partage l’avis du conseiller Timothy Denton sur le fait que le CRTC aurait pu aller plus loin dans les possibilités de contrôle et de gestion de trafic par les fournisseurs indépendants. Effectivement, peu de FAI offre des services Internet adaptés à des micro-marchés, par contre c’est un marché qui pourrait stimuler la diversité des offres de connectivité Internet et il est dommage que la règlementation n’aie pas été adapté en ce sens.
Par exemple, au Royaume-Uni, l’entreprise Demon, offre un service optimisé (Demon Game Pro) pour les joueurs via de la qualité de service et des liens directs avec certains fournisseurs de jeux en ligne. Il va s’en dire que ses offres devraient être fait dans un contexte de “net neutrality” (accès équitable) c’est-à-dire sans réduire la qualité des services des compétiteurs.
<ironie>C’est dommage, imaginez un fournisseur conforme au rfc3514, offrant une sécurité intégrée au niveau IP. C’est encore plus efficace que les trousse de sécurité vendus par certains fournisseurs.</ironie>
La décision complète est disponible à l’adresse suivante : http://www.crtc.gc.ca/fra/archive/2010/2010-632.htm
Securité sous AsteriskNow
Aug 24th
Dans le monde de la téléphonie open source utilisant Asterisk, trois distributions majeures sont basées sur CentOS sont disponible : Trixbox, Elastix et AsteriskNow, j’ai plusieurs réserves envers la première (sécurité très discutable…), beaucoup moins pour la seconde et très peu pour la dernière qui est ma favorite dans le cadre de déploiement de téléphonie.
Malheureusement, favorite ne veut pas dire parfaite 
Surtout lorsque l’aspect sécurité passe avant celui des fonctionnalités car un des problèmes des distributions linux spécialisés est le partage des configurations sensibles (mots de passe, utilisateur, etc.) de façon générique.
C’est dans ce contexte j’ai publié un script dont l’objectif est d’automatiser un premier niveau de sécurité sous la distribution AsteriskNow : Changement des mots de passes par défault, sécurité du mode console, déconnexion automatique, etc… Ce script ne remplace pas un durcissement en profondeur adapté au type de déploiement requis, mais offre un niveau de sécurité minimal.
Pour plus de détail, visitez la page du script en question : http://medsecure.ca/produits/asterisknow-hardeningbootstraping-script/ (anglais)
Publication de la version 0.6 de WikiHelp
Jun 27th
Avec quelque jour d’avance, la version 0.6 de WikiHelp vient d’être publié.
- Utilisation de jquery : Notification, AJAX (get/post), menu contextuelle, utilisation de json, fenètre modal, etc.
- Gestion des utilisateurs : Possibilité d’octroyer des droits différents à “admin” et aux utilisateurs qui s’enregistrent.
- Un nouveau menu contextuelle pour les pages
- Un support préliminaire pour l’annotation de page
- La gestion des traductions de pages (Un noeud peut être disponible dans plusieurs languages)
- Gestion multi-wiki
- Un éditeur graphique (WYM Editor)
- Filtre anti XSS via htmlpurifier
- Meilleur gestion des tags
À mi chemin pour la version 1.0 prévu pour septembre. Plus de détails des les prochains posts.
- Windows : wikihelp-0.6.zip
- Linux : wikihelp-0.6.tar.gz
- Site de développement : http://medsecure.ca/trac/wikihelp/wiki
Implication dans le Hackfest 2010
Jun 16th
Je devrais m’impliquer encore cette année dans le concours de sécurité du hackfest 2010 (http://www.hackfest.ca/). Plus de détails suivront au cours de l’été. La période d’inscription est ouverte (http://www.hackfest.ca/?a=ins) alors inscrivez-vous en grand nombre (pour 30$ c’est surement le meilleur investissement en infosec que vous ferez cette année ! ).
Nouveau projet : WikiHelp
May 31st
Depuis quelques semaines je travail sur WikiAide (WikiHelp) qui est un logiciel collaboratif de procédures et de documentation basée sur le logiciel WikiWebHelp. Pour les curieux vous pouvez consulter la présentation ci-dessous.
Wiki aide presentation de la solution
View more presentations from Harvey Francois.
Pour plus de détails consulter le site de développement : medsecure.ca/trac/wikihelp
MS Virus Scanning Recommendations or Trend Micro FUD ?
Dec 22nd
Lot of talk today about this post on trend micro blog : http://blog.trendmicro.com/microsoft-virus-scanning-recommendations-bring-risks/…
Following the recommendations does not pose a significant threat as of now but it has a very big potential of being one. Cybercriminals may strategically drop or download a malicious file into one of the folders that are recommended to be excluded from scanning or use a file name extension that is also in the excluded list.
But… Haven’t trend micro created a document about this, two years ago (march 2008), if you haven’t read it, go take a look at http://trendedge.trendmicro.com/pr/tm/te/document/OSCE_8_0_MS_File_Exclusions.pdf.
Maybe Trend researcher should look at their own whitepaper before citing some 4 years old kb article.
Hash de gravatar… rien d’alarmant
Dec 16th
Un article est paru et a été repris par différent médias concernant le service gravatar, qui est notamment un service que j’utilise sur ce blog pour afficher les contributeurs. Le fonctionnement de gravatar est l’utilisation d’un hash (md5) du courriel utilisateur. L’article (http://www.developer.it/post/gravatars-why-publishing-your-email-s-hash-is-not-a-good-idea).
Personnellement je considère qu’un courriel est un identifiant et non un authentifiant… L’objectif de gravatar c’est de mettre une identité visuelle cohérente pour identifier la même personne peut importe le blog. Je trouve néanmoins que la solution de mitigation énoncé, est pas vraiment plus géniale…. (pour la storer ca prend un identifiant unique de toute facon)
“”A possible line of defense against this type of attacks is storing the images locally (which was suggested on a thread on stackoverflow). As a website owner wanting to use gravatars, you download them once when the user subscribes and serve them with an URL not giving up additional information (e.g. /avatar/username.png) “”
Si vous désirez vraiment préserver la confidentialité de votre gravatar et de votre adresse courriel, il existe un moyen simple… Dans une adresse courriel il est possible d’utiliser le caractère + pour ajouter un suffixe qui n’est pas utilisé pour la distribution, mais qui est est calculé dans le hash. Par exemple plutot que “nom_utilisateur@example.org” il est possible d’utiliser “nom_utilisateur+truc_compliqué_a_trouver@example.org” qui va générer un hash pouvant survivre à une attaque de dictionnaire.
Cela dit, mon nom de domaine et mon username correspond passablement à mon nom et mon gravatar est ma photo, alors un hash de md5 sur mon adresse courriel, ca fait parti des risque acceptables
