Category Archives: Sécurité

Let’s Encrypt – Nouvelle autorité de certification gratuite, automatisée et ouverte

« Let’s Encrypt » est un service fourni par l’Internet Security Research Group (ISRG – Mozilla, Akamai, Université du Michigan, Ecole de Droit de Standford, Cisco, Electronic Frontier Foundation, CoreOS, OVH…).

Les principes clés de Let’s Encrypt sont :

  • Gratuité : n’importe quel possesseur de nom de domaine peut utiliser Let’s Encrypt pour obtenir un certificat de confiance à un prix nul
  • Automatisation : les logiciels fonctionnant sur un serveur web peuvent interagir avec Let’s Encrypt pour obtenir un certificat sans effort, le configurer de facon sécurisé pour son utilisation, et s’occuper automatiquement de son renouvellement
  • Securité : Let’s Encrypt sert de plateforme pour promouvoir les bonnes pratiques de sécurité de TLS, aussi bien du côté de l’autorité de certification (CA) qu’en aidant les opérateurs de site à sécuriser correctement leurs serveurs
  • Transparence : tout certificat délivré ou révoqué est enregistré publiquement et disponible à la consultation par tous
  • Ouverture : le protocole de délivrance et de révocation automatique est publié comme un standard ouvert
  • Coopération : de la même façon que les protocoles internet, Let’s Encrypt est un effort commun pour un bénéfice communautaire, au delà du contrôle de toute organisation.

Il existe plusieurs clients permettant d’automatiser plus ou moins les tâches d’installation/délivrance.

Linux Pratique n°94 Mars/Avril 2015 comporte 8 pages d’introduction par Christophe Brocas (p.30 « Let’s Encrypt : Le chiffrement gratuit, ouvert et automatisé sur Internet »)

Recommandations de sécurité relatives à un système GNU/Linux, par l’ANSSI

« Des règles de configuration incontournables, recommandées par l’Agence Nationale de la Sécurité des Systèmes d’Information, permettent d’obtenir un système raisonnablement sûr, tout en conservant les fonctionnalités requises, par le respect et l’application de certains principes fondamentaux. »

Elles se répartissent en 2 documents :

  • Recommandations de configuration d’un système GNU/Linux (50 pages, dernière version publiée en janvier 2016)
  • Recommandations de sécurité relatives à un système GNU/Linux (7 pages, publiées en juillet 2012)

FreeIPA : une solution intégrée de gestion des informations de sécurité

« Cette solution combine :

  • une distribution GNU/Linux
  • un serveur LDAP
  • un système d’authentification Kerberos
  • un serveur de temps NTP
  • un serveur de nom DNS
  • des outils d’administration web et ligne de commande
  • un systeme de certification Dogtag
  • une intégration Active Directory
  • un intégration avec les serveurs Weblogic »

Une introduction à l’outil est faite dans GNU/Linux Magazine N°186 (oct 2015) dans l’article « Gestion d’Identité avec FreeIPA » par Fabien Dupont, p39

Les IDS, c’est bien, mais sans SIEM, c’est pas pratique

Les IDS (Système de Détection d’Intrusion) peuvent remonter beaucoup d’information.

Pour normaliser et corréler ces données, et donc y voir plus clair, les SIEM (Security Information and Event Management) sont un petit plus à ne pas négliger.

Pour bien saisir l’intérêt des SIEM, voir l’article « SIEM/IDS : L’union fait-elle la force? » par Adrien Vernois et Alexandre DELOUP, MISC N°69 – Septembre/Octobre 2013, p35, ou consulter le site de l’outil libre testé dans ce numéro : OSSIM