https://www.ssi.gouv.fr/uploads

ARNO* @arno ART LIBRE 23/04/2023

Encore une alerte de mon hébergeur qui me dit de résoudre ceci (au risque de voir mon serveur désactivé) :
Madame, Monsieur,
L’Agence nationale de la sécurité des systèmes d’information (ANSSI : [▻https://www.ssi.gouv.fr/]) vous contacte car un service LemonLDAP-NG présent sur des réseaux vous appartenant sont susceptibles d’être concernés par une vulnérabilité critique.
Le CERT-FR vous recommande de prendre en compte ces informations dans les meilleurs délais. Cette vulnérabilité pourrait être exploitée de façon imminente, le risque de compromission est donc élevé, c’est pourquoi nous prenons l’initiative de vous transmettre ce signalement.
Références :
Avis de sécurité LemonLDAP-NG du 28 mars 2023
▻https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng/-/releases/v2.16.1
Publication de CERT-FR CERTFR-2023-AVI-0300 du 12 avril 2023
▻https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0300
Systèmes affectés
L’éditeur indique que les systèmes suivants sont affectés :
LemonLDAP-NG versions antérieures à 2.16.1
Détails de la vulnérabilité et conséquences
La vulnérabilité CVE-2023-28862 permet à un attaquant de contourner l’authentification multifacteur. Son score CVSSv3 est de 9,8 (sur 10).
Evolution de la menace
En date du 19 avril 2023, l’ANSSI n’a connaissance ni de code d’exploitation public, ni d’exploitation active de la vulnérabilité CVE-2023-28862.
Recommandations
L’ANSSI recommande fortement de procéder aux opérations suivantes :
appliquer la mise à jour dans les meilleurs délais.
Rappels
Le guide d’hygiène informatique : ▻https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf

Sauf que je ne trouve aucune trace de ce LemonLDAP-NG sur ma machine. En fait, je ne suis même pas certain de ce qu’il faut faire pour vérifier que ce n’est pas sur la machine (j’ai fait par exemple un locate lemonldap, qui ne me retourne rigoureusement rien).

ARNO* @arno ART LIBRE
- Bourbaki @emanuel 23/04/2023
  
  C’est développé par la gendarmerie nationale.
  Si tu es sous debian regarde si le paquet lemonldap-ng est installé.
  Pour passer en 2.16 c’est un paquet testing en stable on est en version 2.0.11.
  
  Bourbaki @emanuel
- ARNO* @arno ART LIBRE 23/04/2023
  
  C’est bien une Debian, mais si je fais :
  apt-get remove lemonldap-ng
  
  ça me dit que je l’ai pas.
  Je ne comprends pas comment eux détecteraient que j’ai ce package installé sur mon serveur ? Il y a une méthode pour le savoir de l’extérieur ? (Que je pourrais donc tester ?) Ou bien que j’ai une Debian, et du coup ils écrivant à tous les gens qui ont une Debian ?
  
  ARNO* @arno ART LIBRE
- klaus++ @klaus 24/04/2023
  
  J’ai eu un message comparable de la part de notre BSI (▻https://www.bsi.bund.de) à cause d’une instance Owncloud qui n’était pas accessible publiquement. Je leur ai écrit en les remerciant en ajoutant que mon installation n’était pas concernée par la faille de sécurité connue de la version en question. Ceci m’a valu une réponse prèsque agressive de leur part.
  Depuis je les considère comme « just another spammer » et j’ai envoié un message d’avertissement à mon hébergeur afin de l’empêcher de suivre leurs ordres et recommandations en ce qui me concerne. Toutefois on ne peut jamais savoir comment et s’il prend en compte mon message, alors je suis obligé de me coltiner le maintien de clônes des sites du serveur public afin de pouvoir les activer au cas où.
  C’est le genre d’ennuis qui te font arrêter de fournir des services internet à des clients.
  cf. ►https://cfenollosa.com/blog/after-self-hosting-my-email-for-twenty-three-years-i-have-thrown-in-the-
  :-(
  #internet de #merde
  
  klaus++ @klaus
Écrire un commentaire
Simplicissimus @simplicissimus 15/01/2020

1

1

Locked Shields
▻https://ccdcoe.org/exercises/locked-shields
Locked Shields is a unique international cyber defence exercise offering the most complex technical live-fire challenge in the world
This annual exercise, organised by CCDCOE since 2010, enables cyber security experts to enhance their skills in defending national IT systems and critical infrastructure under real-time attacks. The focus is on realistic scenarios, cutting-edge technologies and simulating the entire complexity of a massive cyber incident, including strategic decision-making, legal and communication aspects.
It is a Red team vs. Blue Team exercise, where the latter are formed by member nations of CCDCOE. The participating Blue Teams play the role of national rapid reaction teams that are deployed to assist a fictional country in handling a large-scale cyber incidents and all their multiple implications. In addition to maintaining around 4000 virtualised systems while experiencing more than 2500 attacks, the teams must be effective in reporting incidents, executing strategic decisions and solving forensic, legal and media challenges. To keep up with technology developments, Locked Shields focuses on realistic scenarios and cutting-edge technologies, relevant networks and attack methods.
New Challenges in 2019
This year, Locked Shields introduced new challenges, technologies and specialised systems. In 2019 the exercise was highlighting the need for improved dialogue between experts and decision-makers. For that purpose, the CCDCOE integrated the technical and strategic game, enabling participating nations to practise the entire chain of command in the event of a severe cyber incident, from strategic to operational level and involving both civilian and military capabilities. Reflecting real world cyber threats, the exercise addressed the protection of vital services and critical infrastructure. Many of the business IT-systems and military relevant systems used in the exercise were taken to a new level of complexity as compared to last year, for example the power distribution system had this year also power generation component.
According to the scenario, a fictional country, Berylia, was experiencing a deteriorating security situation, where a number of hostile events coincide with coordinated cyber attacks against a major civilian internet service provider and maritime surveillance system. The attacks caused severe disruptions in the power generation and distribution, 4G communication systems, maritime surveillance, water purification plant and other critical infrastructure components. While the aim of the tech game was to maintain the operation of various systems under intense pressure, the strategic part addresses the capability to understand the impact of decisions made at the strategic and policy level.
More than 1200 experts from nearly 30 nations took part in Locked Shields 2019. While the organisers of the exercise gathered in Tallinn, Estonia, the participating Blue Teams set up secure online access from their nations. The French team emerged as the winner of Locked Shields 2019.

Simplicissimus @simplicissimus
- Simplicissimus @simplicissimus 15/01/2020
  
  Victoire 2019 passée très largement inaperçue…
  La France remporte l’exercice international de cyberdéfense Locked Shields 2019 | Agence nationale de la sécurité des systèmes d’information
  ▻https://www.ssi.gouv.fr/publication/la-france-remporte-lexercice-international-de-cyberdefense-locked-shields-2
  L’équipe française composée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et le ministère des Armées est arrivée à la première place de l’édition 2019 du plus grand exercice international de cyberdéfense en situation réelle, Locked Shields, organisé par le NATO Cooperative Cyber Defence Centre of Excellence de Tallinn. La République tchèque et la Suède complètent le podium.
  A l’issue d’une compétition qui s’est déroulée du 7 au 12 avril 2019, ce sont plus de 1200 experts en cyberdéfense de 23 nations qui ont dû faire face à plus de 2 500 cyberattaques. La France a mobilisé 60 spécialistes (civils, militaires et réservistes) du domaine provenant des différentes sous-directions de l’ANSSI, et, pour la partie des armées : les composantes cyber des armées, directions et services placées sous la responsabilité du Commandement de la cyberdéfense (COMCYBER), avec le soutien de la Direction Générale de l’Armement, qui ont oeuvré ensemble à déjouer ces cyberattaques.
  Madame Florence Parly, ministre des Armées félicite l’ensemble de la délégation française : « il s’agit d’une victoire collective, avant tout. Nous avons en France une expertise indéniable dans le domaine cyber, et surtout des personnels de talents. Nos spécialistes cyber par le biais de la préparation opérationnelle apprennent à travailler ensemble, testent leurs compétences tout au long de l’année. Cette victoire montre également que nos investissements, nos efforts, ainsi que notre proximité avec l’ANSSI sont gagnants. »
  Le directeur général de l’ANSSI, Guillaume Poupard salue également cet effort collectif : « ce succès à l’exercice Locked Shields 2019 est une très grande fierté et démontre la capacité des acteurs de la cyberdéfense française, tant au sein du ministère des armées que de l’ANSSI, à coordonner leurs expertises respectives pour répondre efficacement à des enjeux de sécurité internationaux majeurs. Nous pouvons féliciter nos joueurs français qui, cette année encore, ont été brillants et remporté la première place ! »
  
  Simplicissimus @simplicissimus
- Simplicissimus @simplicissimus 15/01/2020
  
  L’année précédente, la France était classée seconde derrière l’OTAN, soit la première nation au classement…
  Locked Shields – La France, première nation au classement de l’exercice de Cyberdéfense organisé par l’Otan | Agence nationale de la sécurité des systèmes d’information
  ▻https://www.ssi.gouv.fr/actualite/locked-shields-la-france-premiere-nation-au-classement-de-lexercice-de-cybe
  Depuis 2010, le centre d’excellence de l’OTAN (CCD COE) organise « Locked Shields », un exercice majeur de cyberdéfense, qui réunit plus de 30 nations, dont la France. Pour cette édition, le groupe national, constitué d’agents de l’ANSSI et de membres du Commandement de la cyberdéfense (COMCYBER) du ministère des armées, s’est hissée à la seconde place du challenge, talonnant l’équipe de l’OTAN.
  Locked Shields se déroulait les 25 et 26 avril et a réuni plus de 1000 participants, au sein de 22 équipes qui représentaient 30 Nations. Il s’inscrit ainsi comme le plus grand exercice de Cyberdéfense en temps réel au monde.
  L’objectif de cet évènement d’ampleur est de renforcer le dialogue et la coopération entre les experts techniques, civils et militaires, au sein des membres de l’OTAN. Le jeu intègre un volet technique et stratégique, qui permet aux nations participantes d’éprouver toute la chaîne de commandement en cas d’incident cybernétique grave, avec pour but final de protéger des systèmes virtuels face des vagues d’attaques simulées.
  Les Nations impliquées, dont la France représentée par l’ANSSI et le COMCYBER du ministère des armées, regroupées au sein d’une « Blue Team », ont œuvré ensemble pour contrer les différentes cyber-attaques orchestrées par la « Red Team » adverse, éprouvant leurs capacités de défense collective et leurs expertises respectives, mais aussi leur coordination.
  L’équipe des défenseurs a ainsi protégé jusqu’à 4000 systèmes fictifs face à 2500 attaques.
  https://www.ssi.gouv.fr/uploads/2018/05/locked-shields_2018_exercice_visuel_credit-a.mikkor-300x199.jpg
  
  Credits : CCDCOE, photographe Arno Mikkor
  Basé sur système de comptabilisation de points, cet exercice de coopération demeure aussi une compétition entre les pays engagés, où la France a pu s’inscrire au classement comme la première des nations participantes et la deuxième au classement général.
  
  Simplicissimus @simplicissimus
- Simplicissimus @simplicissimus 15/01/2020
  
  Une seule mention de #Locked_Shields ici, annonçant l’exercice de 2015 ▻https://seenthis.net/messages/363205
  
  Simplicissimus @simplicissimus
Écrire un commentaire
ARNO* @arno ART LIBRE 4/02/2018

4

4

Dis @SPIP, on me demande de répondre à des critères de sécurité « ANSSI », est-ce que tu peux me renseigner sur ces trois points ?
– R19 - Les identifiants de session sont aléatoires et d’une entropie d’au moins 128 bits.
– R21 - Les attributs HTTPOnly et, dans le cas d’un site en HTTPS, Secure sont associés à l’identifiant de session.
– R29- Définition d’une politique de journalisation précisant notamment les modalités et les durées de conservation des différents journaux ainsi que les méthodes d’analyse et de corrélation des données produites.

ARNO* @arno ART LIBRE
- severo @severo PUBLIC DOMAIN 5/02/2018
  
  On peut les voir où ces critères ?
  
  severo @severo PUBLIC DOMAIN
- ARNO* @arno ART LIBRE 5/02/2018
  
  On me les a collés dans un appel d’offre, mais la source est ici :
  ▻https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Securite_Web_NoteTech.pdf
  
  ARNO* @arno ART LIBRE
- ARNO* @arno ART LIBRE 5/02/2018
  
  Pour R21, je vois que le httponly est passé par spip_setcookie() pour le cookie spip_session.
  
  ARNO* @arno ART LIBRE
- severo @severo PUBLIC DOMAIN 5/02/2018
  
  merci !
  
  severo @severo PUBLIC DOMAIN
- b_b @b_b PUBLIC DOMAIN 5/02/2018
  
  @arno oui pour le cookie :
  ▻https://core.spip.net/projects/spip/repository/revisions/19183
  ▻https://core.spip.net/projects/spip/repository/revisions/20501
  Reste une amélioration en attente ici : ▻https://core.spip.net/issues/3821
  
  b_b @b_b PUBLIC DOMAIN
Écrire un commentaire