Grosse faille de sécurité (grub2) sur les systèmes Linux actuellement en production !

 

Une très grosse faille de sécurité a été mise en evidence sur les systèmes Linux utilisant Grub.

Pour être plus précis il s’agit de la version Grub2 et les versions touchées sont comprises entre la version 1.98 et 2.02. Plus d’information sur Grub2 ici: http://www.linuxpedia.fr/doku.php/expert/grub2

Grub2 est un boot loader utilisé par la majorité des systèmes Linux, ce boot loader intègre un mode particulier, le mode “grub rescue” – Il s’avère que ce mode st accessible simplement en executant la marche suivante:

– démarrage de l’OS (pas en mode graphique, en mode tty1)

– vous arrivez à la mire de login

– vous appuyez 28 fois sur la touche “retour arrière”

– et c’est magique, vous vous retrouvez dans le mode “grab rescue shell” vous permettant d’avoir un accès sans autentification au système

hack-linux-grub-password

Les différentes distributions Linux ont publié un correctif pour cette faille. (voir aussi ici http://git.savannah.gnu.org/cgit/grub.git/commit/)

Pour vérifier la version de grub2 que vous utilisez, il suffit d’éxécuter (debian/ubuntu): ‘grub-install –version’

grub2_version

Cette “mésaventure” nous indique à quel point il est important de:

[1] – Protéger l’accès physique aux machines

[2] – D’avoir un système de protection au boot (BIOS password, loader sécurisé, etc.)

Plus d’information sur la faille sur ces articles:

http://www.securityweek.com/password-bypass-flaw-found-grub2-linux-bootloader

http://thehackernews.com/2015/12/hack-linux-grub-password.html

Gestion des systèmes Unix & Linux depuis SCCM 2012R2

Comme vous le savez si vous suivez assidument les articles de mon blog, les solutions qui permettent l’interopérabilité des plateformes Windows et Unix/Linux font parties de mes dadas. Depuis quelques années, Microsoft fait des efforts considérables pour permettre à ses solutions d’inter opérer avec les mondes Unix & Linux. Dans ce sens, une des solutions qui a fait le plus de progrès est SCCM, qui permet réellement depuis a version 2012R2 de gérer des systèmes Unix et Linux, avec des nouveautés quasiment tous les trimestres en termes de plateformes supportées ou de fonctionnalités.

Microsoft a publié un article recensant les erreurs communes que l’on retrouve lors que l’on veut utiliser SCCM 2012R2 avec des systèmes Unix & Linux – Vous trouverez cet article [ ici ]

Merci à Hervé Thibault pour le lien !

Une backdoor dans Linux ???

icon_linux

 

Il faut regarder cette vidéo, à partir de la 24ème minute… soudain une question du “monsieur loyal” qui amène les “panelists” à une situation inconfortable, la gène est perceptible…. et les démentis d’après conférence n’y feront rien… Si la NSA a une backdoor côté Windows, il n’y a aucune raison qu’il n’y en est pas côté Linux, Android etc… La négation orale conjointe à l’affirmation gestuelle de Linus Torvalds ne nous rassurent guère…

La priorité aux logiciels libres dans l’éducation va disparaitre !

Mortderire2

Je ne résiste pas au bonheur de vous donner de “bonnes” nouvelles du logiciel “libre” (libre de quoi au fait ?), sans déconner, mais c’est vraiment n’importe quoi, un jour c’est noir, un autre blanc, et le lendemain gris…

Plutôt que de changer de cap toutes les cinq minutes, il vaudrait mieux regarder quel est le vrai coût global des logiciels, c’est à dire, leur acquisition, leur déploiement, leur utilisation, etc. Bref le coût de possession global et pas simplement le prix d’achat de la licence, remise comprise.

J’ai en tête une grande administration française qui jette au feu quotidiennement des milliers d’euros à vouloir s’entêter à utiliser Linux pour ce qu’il n’est pas fait… et pourtant je suis le premier à reconnaître que Linux à de gros intérêts, mais encore une fois, chaque chose à sa place…

Les bonnes nouvelles à lire (sources: Le MagIT):

” Les députés ont finalement voté en faveur d’une amendement du gouvernement qui ne donne plus la priorité aux logiciels libres dans le numérique éducatif. Le libre doit être seulement pris en compte, et quand l’offre existe. Un revers cinglant.

Le logiciel libre n’est plus une priorité pour le gouvernement dans son projet de loi de refonte de l’éducation. Ce mardi 4 juin, les députés ont voté en seconde lecture, un amendement qui vient vider de sa substance, comme anesthésié, un précédent amendement qui donnait la priorité aux logiciels libres ainsi qu’aux formats ouverts dans le numérique éducatif. Un revirement de situation et un cinglant revers pour la communauté du Libre en France, qui avait pourtant poussé un léger soupir de soulagement lors de la publication de la circulaire Ayrault – qui rappelons-le, invite les ministères à considérer les logiciels libres dans leur politique d’achats.

Pourtant ce texte était bien parti. La semaine dernière, la commission de la culture, de l’éducation et de la communication avait voté, en première relecture au Sénat, l’ajout d’un amendement au texte initial, transformant des logiciels libres et des formats ouverts en une «priorité» pour le service public éducatif. Le texte avait ensuite été adopté par la commission des Affaires culturelles et de l’Éducation à l’Assemblée. La partie semblait donc bien engagée.

Pourtant en séance publique, le gouvernement bascule et vote en faveur d’une modification du texte : d’une priorité, les logiciels libres ainsi que les formats ouverts ne sont désormais que «pris en compte», et à condition qu’une offre existe. Le nouveau texte, adopté par les députés, dit : «Dans le cadre de ce service public, la détermination du choix des ressources utilisées tient compte de l’offre de logiciels libres et de documents au format ouvert, si elle existe.» Comme chloroformé.

Il faut dire que Syntec et l’Afdel, les deux instances représentatives des éditeurs et des SSII en France, dans une levée de bouclier magistrale, avaient décidé de monter au créneau. S’insurgeant contre cet amendement qu’ils jugeaient tour à tour discriminatoire, considérant comme une atteinte au principe de neutralité des achats des marchés publics, évoquant même «le risque de recours contentieux entre les opérateurs privés du secteur et les administrations».

Des arguments qui semble-t-il, ont fait leur chemin auprès du ministre de l’Education nationale Vincent Peillon. Selon lui, inscrire les logiciels libres et les formats ouverts et en faire une priorité aurait ainsi provoqué des «difficultés juridiques et non politiques». Ce que l’April, l’association de promotion du logiciel libre en France, dénonce dans un communiqué : « La priorité au logiciel libre introduite par le Sénat est parfaitement légale, et validée par le Conseil d’État dans sa décision du 30 septembre 2011. Nous demandons au gouvernement de publier une analyse juridique étayant ses propos », souligne Jeanne Tadeusz, responsable des affaires publiques à l’April.

Le texte du projet de loi doit encore passer en seconde lecture au Sénat.”

Mandriva va ou va pas ?

Nouveaux rebondissements autour de la société Mandriva. Faites vos jeux…Rien de va plus… La société Mandriva SA ne va plus gérer le développement de l’OS Mandriva… et laisse donc à la “communauté” le soin de gérer les futures évolutions. Quelle future cohabitation attendre avec le fork Mageia ? mystère et boule de gomme.

Au delà des dysfonctionnements évidents de la société Mandriva SA, ce nouvel évènement met sous la lumière la difficulté du modèle économique de distribution Linux.

La société Mandriva avait commencé une initiative intéressante consistant en la création d’un package Annuaire des Identités, il est vraiment dommage que ce “produit” n’est pas évolué depuis plusieurs années, car il y a de la place à prendre sur ce secteur…

Néanmoins, très bonne chance à eux (j’ai un copain là-bas…).

Open, mais pas trop…

  je tiens en quelques lignes à vous faire partager mon expérience avec les organisateurs du salon “Solution Linux Open Source” qui se déroulera au CNIT les 19, 20 et 21 juin prochains.  En effet, étant membre de certains “cercles” , j’ai reçu une invitation à déposer un dossier afin de présenter une session sur l’un des thèmes abordés pendant le salon. Trouvant dans la liste des thématiques, la section “Sécurité / Identité”, j’ai tout naturellement proposé deux conférences techniques abordant les thèmes de l’interopérabilité (déjà abordé pendant les Microsoft Techdays 2012) et concernant la gestion des identités en environnement poste de travail Linux.

Après avoir patiemment renseigné un dossier de candidature, expliqué mon background, mes propositions, les intérêts d’une session basée sur le thème de la gestion des identités (cela me semble tout de même un thème important dans un environnement professionnel…) j’ai alors attendu une réponse des organisateurs. Je tiens bien sur à préciser que ce type de participation en tant que Speaker est complètement gratuite, et que cela me coute même un peu d’argent pour me “téléporter” sur Paris (“Scotty ? Téléportation !”).

Quelques jours après le dépôt du dossier, j’ai reçu l’appel d’un “collaborateur du salon” m’indiquant la bonne réception de mon dossier et me proposant de “prendre” (comprendre “acheter”) un emplacement en tant qu’exposant sur le salon, m’indiquant que bien évidement, la plupart des speakers “faisaient partis de sociétés exposantes”… L’obligation d’avoir un stand exposant (et donc de payer) pour devenir speaker n’était pas exposée frontalement, mais… clairement explicite.

Après un refus poli de ma part, mon interlocuteur coupa court à la conversation en me souhaitant tout de même une très bonne journée. Merci.

Quelques jours après ce coup de téléphone, je reçu un e-mail de la part des organisateurs du salon m’indiquant que ma candidature en tant que speaker n’était pas retenue dans la thématique “Sécurité / Identité”. Comme vous l’imaginez, ce refus ne m’a pas surpris outre mesure tant la conversation précédente fut explicite…

Décapitons immédiatement les malentendus, bien sur je me serais fait une joie de participer à un tel salon en tant que speaker, et bien évidement je comprends tout à fait que les choix de speakers soient cornéliens et que mon CV ne soit pas le plus adapté à une présentation sur le salon “Open Source” – néanmoins, deux faits totalement dé corrélés de mon ego possiblement surdimensionné ne sont pas discutables:

1/ Le rentre dedans du commercial me “conseillant fortement” de payer un stand pour améliorer mes chances d’être retenu en tant que speaker

2/ Au 18/05/2012, la pauvreté de la track “Sécurité / Identité” – je vous laisse seul juge – en fait il n’y a rien…

 

 

 

Ne vous inquiétez pas (si si je vous sens inquiets là…) l’intervenant unique sur la thématique “Sécurité / Identités”  travaille bien pour une société qui expose… ouf !!!

Bref, au delà de cette anecdote (au final ce n’est que cela…), certains éléments me désolent:

  • Le peu d’ouverture d’esprit des organisateurs (pour un salon dit “Open” c’est un comble) ainsi que la “méthode” de sélection ou d’enrôlement (au choix)
  • Le peu de vision de ce que Linux peut apporter dans l’entreprise, même sur le poste de travail (et il peut apporter beaucoup) et la non connaissance des implications de cette vision sur la gestion des identités de façon globale
  • Le sectarisme affiché pour des profils “d’origine non-Linux” ; pour rappel, sans le support de Microsoft, pas sur que le salon existerait encore…

Je rajouterai, que malgré des attaques parfois très ouvertes de ma part envers Microsoft, je n’ai jamais, je dis bien jamais reçu en retour la moindre remarque, menace ou pression – cela n’est JAMAIS arrivé, et pourtant je ne me gène pas.

Bref, certains penseront que ce billet n’est ici que pour me venger de n’avoir pas été retenu et que j’ai un ego gros comme une citrouille, mais ceux qui me connaissent bien savent plutôt que si j’ai pris 15 minutes pour écrire ces qq mots, c’est que l’attitude de certains me désole franchement… Il y a tant à faire avec Linux et il y a tant à faire en faisant cohabiter le monde Microsoft et le monde Linux, et pour le bien de tous. Tant pis.

 

Les sessions des Techdays 2012 sont en ligne !

  Les sessions des Microsoft Techdays 2012 sont en ligne ! Vous pourrez notamment retrouver mes deux sessions sur l’intégration Linux et Unix dans Active Directory et sur le déploiement d’AD RMS en entreprise. Il est également possible de télécharger les fichiers Powerpoint rattachés à ces présentations. N’hésitez pas à les visionner et à donner votre avis sur l’interface de gestion des commentaires et de notation.

# Session ” Windows & Linux: plus forts ensemble !

# Session ” Protéger le patrimoine informationnel de l’entreprise grâce à AD RMS

Microsoft Techdays 2012: Windows et Linux, plus fort ensemble !

  Une bonne nouvelle n’arrivant jamais seule, une deuxième session aux Microsoft Techdays 2012 vient de m’être accordée !

Cette deuxième session aura pour thème une problématique qui m’est chère: La cohabitation des environnements Linux et Windows au sein de la DSI, et ce depuis un angle technique ET organisationnel.

Vous trouverez des détails sur la session et le moyen de vous enregistrez sur le site des Techdays.

Venez très nombreux pour échanger sur cette problématique, les débats risquent d’être animés !

Etude comparative des solutions d’intégration gratuites à Active Directory pour les systèmes Unix et Linux

Une étude extrêmement intéressante a été réalisée par Rodney Ruddock, consultant au sein de la société Interop Systems, qui est un cabinet d’expertise Américain spécialisé dans les études de marché techniques en ce concerne les problématiques d’interopérabilité.

Cette excellente étude compare les différentes solutions logicielles gratuites permettant d’intégrer les systèmes Unix, Linux et Mac dans Active Directory, et qui permettent aux organisations d’utiliser Active Directory comme annuaire centralisant pour les authentifications des utilisateurs quel que soit le système utilisé. cette approche apportant de nombreux avantages tels que: unicité du nom utilisateur et du mot passe utilisateur sur l’ensemble des systèmes, centralisation des logs d’authentification sur les contrôleurs de domaine AD, stratégie de politique et de complexité de mot de passe unifiée sur l’ensemble des systèmes, etc.

En substance, voila les conclusions de Rodney Ruddock dans le tableau suivant, les cases en jaune indiquant les éléments significatifs et importants selon Rodney Ruddock:

Rodney Ruddock préconisant donc Centrify Express comme la solution idéale pour l’intégration gratuite des environnements hétérogènes dans Active Directory.

L’étude complète est accessible [ ICI ]