Diffusée avec une régularité saisissante, voici la nouvelle version de
Mandriva : Mandriva 2009 Spring (ou 2009.1)
dans Linux Identity Duo Pack le plus récent. Pour connaitre mieux un
compte-rendu de cette nouvelle édition, suivez les pages du magazine,
riches en contenu utile, destiné à tout
public. Deux DVD joints à cette issue vous permettront d'installer la
distribution sur votre disque et de vous lancer dans l'aventure que
la nouvelle Mandriva vous offre.

Pour en savoir plus, visitez le site officiel de Linux Identity :

http://www.linuxidentity.com/index.php?name=News&file=article&sid=58

Il y a un article fort intéressant sur aviationweek.com

L'article traite du développement de cyber armement par l'armée américaine.

On y parle du fait que la plupart des attaques terrestres sont de plus en plus coordonnées avec des cyber-attaques.

C'est en ce sens que l'armée américaine veut doter ses soldat de petites unités portatives pouvant lancer des cyberattaques sans que le soldat ait une rigoureuse connaissance de l'informatique.

En espérant que ces engins ne tombent pas entre de mauvaises mains...

Vous pouvez lire l'article en anglais ici:
http://www.aviationweek.com/aw/generic/story_channel.jsp?channel=defense&id=news/CYBER052109.xml

Ce nouveau numéro de Linux Identity Kit, consacré à openSUSE 11.1, vous guidera à travers l'installation, la configuration, l'utilisation et la personnalisation de cette nouvelle et très prometteuse version 11.1 d'openSUSE. Le magazine vous offre les versions DVD pour les systèmes 32 et 64 bits.

À acheter sur la boutique en ligne de Linux Identity

Je vous averti tout de suite, cet article ne debattra pas de la pertinence pour quelqu'un qui travaille en TI de s'ouvrir un compte sur les reseaux sociaux 2.0 tel facebook.

Ces reseaux existent et il serait fou d'ignorer leur impact qu'il soit bon ou mauvais.

Or, bien que ceux-ci soient snobés par une partie des travailleurs en TI, une autre partie s'en donne à coeur joie!

En effet, la quantité de groupes traitant de sécurité informatique présente sur facebook ne fait que confirmer ce que beaucoup savaient déjà: l'industrie de la sécurité possède une communauté dynamique qui aime tisser des liens.

Pas surprenant donc d'y retrouver de nombreuses pages et groupes d'utilisateurs mais aussi d'entreprises tel Cisco, sonicwall, vmware, etc.

À ce sujet, voici quelques groupes et pages d'intérêt:

IT Security: ce groupe comporte un forum ou ont lieu de nombreuses discussions sur le sujet.

CEH (Certified Ethical Hackers): Un groupe pour les professionels de l'industrie qui détiennent ou souhaiteraient détenir cette certification.

Facebook CISSP's: Un groupe pour les gens qui travaillent en sécurité de l'information. Le titre est souhaitable mais non-obligatoire.

Cisco Systems® Security: On y trouve des annonces du manufacturier, des nouvelles sur les vulnérabilités et menaces, des événements, etc.

Il faut noter que tout comme sur le web, les réseaux sociaux contiennent leur lot d'individus nébuleux. On trouvera ainsi quelques groupes ayant des noms aussi spontanés que brillant tel "Learn Hacking -- The Ethical Way" et "The Hacking Service - We hack so you don't need to". Même le célèbre magazine 2600 y est représenté. 

Enfin, bien qu'un court survol de ces groupes présente un contenu maigre, souvent disponible ailleurs sur le web notez qu'il permet tout de même de prendre le pouls de la communauté. Même les groupes nébuleux ont leur intérêt: Ils permettent de voir ce qui se trame chez les "script kiddies".

Des normes ISO aux référentiels de qualité reconnus au niveau national, les DSI disposent d'un large choix lorsqu'il s'agit de sélectionner des modèle de processus pour améliorer leurs performances. Il existe des référentiels, des modèles, des normes, des méthodes, des pratiques et des outils : chacun étant considéré, à un moment ou un autre, comme la solution la plus adaptée pour obtenir des résultats prévisibles, des niveaux de service garantis et une optimisation des coûts démontrable, de la part du service informatique.

Cependant, il reste encore des questions en suspend pour les services informatiques :
1. Comment réussir l'intégration des modèle de processus pour atteindre l'excellence du système d'information ?
2. Les modèle de processus vont-ils démontrer l'alignement du SI sur les besoins et les objectifs de l'entreprise ?

Dans un cas comme dans l'autre, ces modèle de processus rappellent que ce sont souvent les cordonniers les plus mal chaussés. Il est impératif de disposer d'un modèle holistique offrant un processus de gouvernance "explicite". Ce modèle doit extraire les meilleures pratiques des modèle de processus, les intégrer et les exploiter pour faciliter et gérer l'efficacité du SI.

Définition de la gouvernance informatique

La gouvernance informatique est définie par l'ITGI (IT Governance Institute) comme "une structure constituée de relations et de processus visant à diriger et contrôler l'entreprise pour qu'elle atteigne ses objectifs ; en produisant de la valeur ajoutée tout en équilibrant les risques par rapport au retour sur investissement de l'informatique et ses processus".

Selon cette définition, toutes les entreprises appliquent une certaine forme de gouvernance informatique. Malheureusement, pour bon nombre d'entre elles, le processus de gouvernance est un processus ad hoc et informel. La responsabilité est limitée, voire inexistante, et aucun mécanisme formel n'est mis en place pour mesurer et contrôler les impacts des décisions prises.

La mise en œuvre d'une bonne gouvernance informatique harmonise les modèle de processus afin d'atteindre l'excellence. Elle comprend trois éléments clefs :
- Structures de gouvernance (par exemple : centres de compétence fondés sur les processus),
- Mesures de la gouvernance (par exemple : tableaux de bord affichant les performances des processus),
- Principes de gouvernance (par exemple : architectures informatiques d'entreprise fondées sur les processus).

Voir l'article au complet en cliquant sur le lien ci-dessous:

http://www.journaldunet.com/solutions/expert/33560/l-harmonisation-des-processus-grace-a-la-gouvernance-informatique.shtml

Ubuntu 8.10 alias Intrepid Ibex, encore plus esthétique, plus facile à installer, plus simple à utiliser et riche en améliorations, est désormais disponible dans
Linux Identity Set. Les DVD qui accompagnent cette issue comportent 4 versions Desktop de Ubuntu : Ubuntu, Kubuntu, Xubuntu et Mythbuntu, à utiliser sur l'ordinateur personnel.

Pour en savoir plus, visitez le site web de Linux Identity

Vous pouvez acheter ce numéro dans la boutique en ligne Linux Identity

L'ASIMM est heureuse d'accueillir M. Ira Winkler, expert en sécurité et auteur à succès, lors de son dîner de Noël qui se tiendra mercredi le 10 décembre 2008.

À cette occasion, M. Winkler nous entretiendra sur l'ingénierie sociale, technique permettant d'exploiter la confiance et l'imprudence des gens pour accéder à l'information confidentielle. Il s'agit de l'une des menaces les plus importantes pour la sécurité de l'information au sein de nos entreprises. C'est la première visite de M. Winkler au Québec. La conférence se déroulera en anglais.

L'événement se tiendra au Club St-James de Montréal et sera précédé d'un cocktail de bienvenue.

Pour en savoir plus..

En effectuant des recherches, je suis retombé sur un épisode de TigerTeam: une émission présentée à TruTV en décembre 2007. L’émission était si bonne que je pense qu’ils ont bien fait de ne pas en faire une série. On ne voudrait surtout pas que ce genre de techniques soit enseignée au grand public!

Si vous désirez voir comment une équipe de pirates éthiques travaillent, cette émission vous en mettra plein la vue!

Le premier épisode est disponible en anglais seulement a l'adresse suivante:

http://www.trutv.com/video/tiger-team/tiger-team-101-1-of-4.html

Linux Identity Duo Pack fête la dixième année d'existence de Mandriva dans son numéro entièrement consacré à la version 2009 de cette célèbre distribution Linux. Le magazine est accompagné de 2 DVD qui contiennent l'édition Free de Mandriva 2009, en version 32 ou 64 bits. Ces DVD vous permettront d'installer les trois bureaux majoritaires sous GNU/Linux : KDE, GNOME et XFCE. Les articles du magazine vous donneront une connaissance complète de ce passionnant système d'exploitation.


Pour en savoir plus, visitez le site web de www.linuxidentity.com

Vous avez la possibilité d'acheter ce numéro dans boutique en ligne

Par Vincent Birebent
ZDNet France
13 octobre 2008

- Les États-Unis souhaitent sécuriser leurs serveurs DNS en adoptant le protocole de signature numérique DNSSEC. Son déploiement, préconisé depuis des années par des experts, n'est pas sans soulever quelques problèmes.

Suite aux failles constatées dans le système DNS (Domain Name Service) en juillet par le chercheur Dan Kaminsky, l'administration américaine a choisi le protocole DNSSEC (Domain Name and Adressing System Security Extensions) pour sécuriser ses serveurs hébergeant les sites en .gov. Un protocole qui permet de signer numériquement les serveurs DNS.

Rappelons que le système de nom de domaine, ou DNS, permet de traduire les adresses web en adresses IP compréhensibles par les routeurs et constitue un véritable annuaire d'internet. En exploitant ses failles, il était possible, par exemple, de rediriger un internaute ayant entré une adresse web légitime vers un site malveillant.

ça tient toujours, cette histoire de failles DNS? Il me semblait qu'il était possible de...

Commentaire de Grunt

Le protocole cryptographique DNSSEC est préconisé depuis de nombreuses années par des experts en sécurité, mais son application reste sujette à problèmes. Outre les serveurs DNS qu'il faut mettre à jour pour les sécuriser à l'aide d'une clef, les registres de domaine, les fournisseurs d'accès Internet et les internautes auront eux aussi à s'adapter à ce protocole.

Qui détiendra les clefs de cryptagte ?

Pour le moment, quelques opérateurs ccTLD (country-code Top-Level Domains) qui gèrent les serveurs DNS en Suède, au Brésil, à Porto-Rico et en Bulgarie ont adopté ce protocole, mais sans vraiment entraîner un mouvement de fond au niveau mondial.

Autre souci en perspective, la détention des clefs de cryptage. Face-à-face, l'Icann, l'organisme intenational en charge de la gestion des noms de domaine, et Verisign, la société américaine en charge de la gestion des noms de domaine en .com, proposent chacun leur solution : l'administration américaine n'a pas encore tranché, mais en toile de fond, se repose la question de la gouvernance de l'Internet.

Le Département du Commerce, en charge de cette question, a ouvert une consultation publique jusqu'au 24 novembre afin de savoir comment déployer au mieux le système DNSSEC.

Voici quelques liens pratiques. Ces sites peuvent être utilisés pour effectuer différentes vérifications sur vos serveurs publics. Allant de l'analyse du nom de domaine, aux zones dns mais également au balayage de ports et autres vérifications de sécurité.

http://serversniff.net/

Un site particulièrement intéressant pour effectuer des vérifications sur ses serveurs publics. L'information est présentée sous forme de rapport contenant beaucoup de détails. Idéal pour effectuer de la collecte d'informations.

http://www.robtex.com/

A des outils qui ressemblent beaucoup au site précédent mais organise l'information dans des tables plutôt que des rapports. Concis, propre et utile.

http://mydnstools.info/

Contient un générateur de mots de passes: utile lorsque vous manquez d'inspiration!

http://www.w3dt.net/

Bien que tous les autres liens offrent des informations intéressantes, W3dt.net pousse un peu plus loin en mettant tous ces outils sur une seule page. Ce site contient probablement l'arsenal le plus complet. Il ne contient malheureusement pas tous les outils c'est pourquoi je les ai tous inclus.

http://web-sniffer.net/

Ce site permet d'identifier le système d'exploitation de votre serveur web. Du moins, il permet de voir si un attaquant pourrait le faire. Entrez simplement votre url et observez l'information qui en ressortira!

Hakin9 HS 2/2008(2)
''Cisco - guide de sécurisation réseaux''
déjà dans vos kiosques !

Chers lecteurs !

C'est avec un grand plaisir que nous vous annon­çons la sortie de la deuxième édition hors série du magazine hakin9, dédié aux solutions de sécurité de CISCO ! Dans ce numéro nous vous expliquerons comment configurer et utiliser les routeurs Cisco, ainsi que la mise en place et configuration du serveur Cisco Secure ACS. Vous apprendrez comment sécuriser les péripheriques en travaillant sur IOS et configurer les différentes types d'ACL. Vous connaîtrez les nouvelles fonctionnalités du firewall ASA , le fonctionnement du IPS et beaucoup plus.

Pour plus d'informations sur ce numéro spécial visitez notre site : http://www.hakin9.org/fr

Nous vous proposons un concours pour toutes les personnes sont actives sur le forum. Le prix sera un magazine de votre choix en version pdf. Pour recevoir ce prix, vous devriez avoir 25 points pour une semaine (le concours dure 4 semaines). Comment on compte les points ?

                                                                                C'est très simple :

1 point – pour un nouveau message (sur vos expériences, questions, problèmes, conseils)
1 point – pour une réponse au message d'un autre membre
5 points – pour commencer le nouveau message avec 3 réponses mises par les autres membres
2 points – pour chaque réponse supplémentaire (3+) écrite par
                un autre membres

                     Dépêchez vous à participer : http://forum-fr.hakin9.org/

La distribution Gentoo Linux a développé une réputation d'excellence pour la qualité de sa documentation.
De l'installation à la mise en place d'un serveur MySQL en passant par l'étape de la configuration système, Gentoo vous propose
une multitude de guides permettant de devenir vire familier avec votre système et d'en exploiter toutes les possibilités.


Pour en savoir plus :

http://www.linuxidentity.com/fr/index.php?name=News&file=article&sid=43

La version bêta publique de Memopal est disponible en ligne pour Unbuntu, Debian, Fedora et CentOS. Il n'est pas exclu que la solution Open Source soit bientôt mise en ligne.

Vous pouvez télécharger la version Bêta publique de Memopal pour Linux. Ce lancement a lieu presque immédiatement après la mise en ligne de la version pour MAC et fait partie du grand projet de stratégie dont l'objectif est de rendre la Sauvegarde en ligne accessible au plus grand nombre possible de systèmes d'exploitation. Les développeurs Memopal travaillent déjà sur le logiciel pour Iphone qui sera disponible dans les plus brefs délais.

"Nous voulons que tout le monde puisse avoir accès à la Sauvegarde en ligne, indépendamment du système d'exploitation utilisé ou de la langue parlée. Donc, nous n'excluons pas la future mise en ligne d'une solution Open Source ou d'une "API” – déclare Marco Trombetti, Administrateur Délégué.

La version Linux donne continuellement l'occasion aux utilisateurs, développeurs, et analystes de systèmes… de comparer leurs expériences. À ce propos, récemment une petite communauté de Bêta-Tester s'est créée et fournit un retour d'information important. (http://betatest.memopal.com) "Grâce à elle" - déclare Gianluca Granero, Chef de la Technologie Memopal - "nous réussirons, à court terme, à obtenir une version pour Linux compatible avec un grand nombre de distributions".

La version d'essai gratuite est disponible à l'adresse suivante : http://www.memopal.com/fr/telechargez-memopal.htm

Memopal est un logiciel de sauvegarde et de stockage des données en ligne qui archive les fichiers de l'utilisateur sur un serveur à distance. Contrairement à d'autres services de sauvegarde en ligne Memopal :

A) A développé sa propre plate-forme (MGFS) en mesure d'exploiter la similitude des données des utilisateurs pour une compression plus importante.
B) Exécute la sauvegarde et la restauration des fichiers en temps réel.
C) Permet d'archiver les fichiers de plus d'un ordinateur sur un seul compte.
D) Les fichiers ne sont jamais effacés sauf sur demande de l'utilisateur (chaque personne pourra garder ses propres fichiers en sécurité, le temps qu'il faudra).
E) Son prix par Gb est très compétitif (moins de 0,33 USD par Gb et par an).

 Pour toute information concernant Memopal, veuillez consulter www.memopal.com ou nous contacter directement :

Lucia Bracci
Responsable du service de presse
Téléphone :   + 39 06.90254250 
Portable :   + 39 349.5565037 
Adresse électronique:  press@memopal.com

Davide De Guz
Directeur du marketing et de la communication
Téléphone :   + 39 06.90254255 
Portable :   + 39 338.8691424 
Adresse électronique: davide.deguz@memopal.com