Salut, On 25/11/2011 18:41, Stéphane Blondon wrote: > Propositions et corrections en pièces jointes. Intégrées, merci, et merci d'avance pour les dernières remarques. Amicalement David
? french/security/audit/advisories.fr.html ? french/security/audit/auditing.fr.html ? french/security/audit/faq.fr.html ? french/security/audit/index.fr.html ? french/security/audit/maintainers.fr.html ? french/security/audit/packages.fr.html ? french/security/audit/tools.fr.html ? french/security/audit/2002/index.fr.html ? french/security/audit/2003/index.fr.html ? french/security/audit/2004/index.fr.html ? french/security/audit/2005/index.fr.html ? french/security/audit/2006/index.fr.html ? french/security/audit/2007/index.fr.html ? french/security/audit/2008/index.fr.html ? french/security/audit/2009/index.fr.html ? french/security/audit/2011/index.fr.html ? french/security/audit/examples/RATS.fr.html ? french/security/audit/examples/flawfinder.fr.html ? french/security/audit/examples/index.fr.html ? french/security/audit/examples/pscan.fr.html Index: french/security/audit/advisories.wml =================================================================== RCS file: /cvs/webwml/webwml/french/security/audit/advisories.wml,v retrieving revision 1.11 retrieving revision 1.12 diff -u -r1.11 -r1.12 --- french/security/audit/advisories.wml 30 Jul 2009 18:14:51 -0000 1.11 +++ french/security/audit/advisories.wml 19 Nov 2011 15:13:27 -0000 1.12 @@ -1,16 +1,21 @@ #use wml::debian::template title="Annonces de l'audit de sécurité" #use wml::debian::recent_list -#use wml::debian::translation-check translation="1.19" maintainer="Simon Paillard" +#use wml::debian::translation-check translation="1.21" maintainer="Simon Paillard" -<p>Cette page liste les annonces de sécurité qui ont été publiées cette année +<p> +Cette page offre une liste des dernières annonces de sécurité qui ont été publiées par le projet suite aux efforts d'audit.</p> -#include "$(ENGLISHDIR)/security/audit/data/2007.inc" +#include "$(ENGLISHDIR)/security/audit/data/2011.inc" +#include "$(ENGLISHDIR)/security/audit/data/2009.inc" <p>Les annonces publiées les années précédentes sont également disponibles :</p> <ul> +<li><a href="/security/audit/2006">2011</a></li> +<li><a href="/security/audit/2006">2009</a></li> +<li><a href="/security/audit/2006">2008</a></li> <li><a href="/security/audit/2006">2006</a></li> <li><a href="/security/audit/2005">2005</a></li> <li><a href="/security/audit/2004">2004</a></li> Index: french/security/audit/faq.wml =================================================================== RCS file: /cvs/webwml/webwml/french/security/audit/faq.wml,v retrieving revision 1.12 retrieving revision 1.13 diff -u -r1.12 -r1.13 --- french/security/audit/faq.wml 26 May 2011 10:06:25 -0000 1.12 +++ french/security/audit/faq.wml 19 Nov 2011 12:22:59 -0000 1.13 @@ -1,4 +1,4 @@ -#use wml::debian::translation-check translation="1.27" maintainer="Simon Paillard" +#use wml::debian::translation-check translation="1.30" maintainer="Simon Paillard" #use wml::debian::template title="FAQ de l'audit de sécurité de Debian" #use wml::debian::toc @@ -84,8 +84,9 @@ <p>La <a href="auditing">présentation de l'audit</a> devrait vous donner une bonne idée de la manière de travailler — pour toute question supplémentaire, vous devriez la poser sur la -<a href="http://shellcode.org/mailman/listinfo/debian-audit";>liste de diffusion -debian-audit</a>.</p> +<a href="http://lists.debian.org/debian-security/";>liste de diffusion +debian-security</a>. +</p> <toc-add-entry name="mailinglist">Puis-je discuter de paquets spécifiques sur la liste de diffusion ?</toc-add-entry> @@ -124,10 +125,10 @@ <toc-add-entry name="moreinfo">Où puis-je trouver plus d'informations ?</toc-add-entry> -<p>Il existe une liste de diffusion à laquelle vous pouvez vous abonner et sur -laquelle vous pouvez poser des questions.</p> - -<p>Veuillez consulter la -<a href="http://shellcode.org/mailman/listinfo/debian-audit";>page de la liste -de diffusion debian-audit</a> pour plus de détails.</p> - +<p> +Il n'existe pour l'instant aucune liste de diffusion à laquelle s'abonner +pour poser des questions. +En attendant, veuillez utiliser la <a +href="http://lists.debian.org/debian-security/";>\ +liste de diffusion debian-security</a>. +</p> Index: french/security/audit/maintainers.wml =================================================================== RCS file: /cvs/webwml/webwml/french/security/audit/maintainers.wml,v retrieving revision 1.4 retrieving revision 1.7 diff -u -r1.4 -r1.7 --- french/security/audit/maintainers.wml 30 Jul 2009 18:14:52 -0000 1.4 +++ french/security/audit/maintainers.wml 26 Nov 2011 02:48:45 -0000 1.7 @@ -1,26 +1,66 @@ -#use wml::debian::template title="Auditer pour les responsables de paquets" +#use wml::debian::template title="Audit pour les responsables de paquets" #use wml::debian::recent_list -#use wml::debian::translation-check translation="1.7" maintainer="DFS Task Force" +#use wml::debian::translation-check translation="1.9" maintainer="David Prévot" + +# Translators: +# Thomas Marteau, 2004. +# David Prévot, 2011. <p>Si vous êtes le responsable d'un paquet qui est dans l'archive Debian, -veuillez considérer de regarder le code vous-même.</p> +veuillez penser à regarder le code vous-même. +</p> -<p>La disponibilité du code source des outils d'audit peut faciliter ce +<p> +La disponibilité du <a href="tools">code source +des outils d'audit</a> peut faciliter ce processus de manière significative. Même si vous n'avez pas le temps de mener un audit minutieux vous-même, vous pouvez trouver des zones qui sont potentiellement problématiques.</p> -<p>Si vous avez besoin d'aide, veuillez rejoindre la -<a href="http://shellcode.org/mailman/listinfo/debian-audit";>liste de -diffusion de debian-audit</a> et demander à un volontaire qu'il regarde votre -paquet.</p> +<p> +Si vous avez besoin d'aide, veuillez contacter l'<a +href="$(HOME)/security/#contact">équipe en charge de la sécurité de +Debian</a> ou la <a href="http://lists.debian.org/debian-security/";>\ +liste de diffusion debian-security</a> (publique) pour demander +de l'aide sur la façon de mener un audit du code source. +</p> + + +<h2>Sources pour les responsables</h2> +<p> +Les responsables désirant vérifier le code source +pourraient être intéressés par l'article <a +href="http://people.debian.org/~jfs/debconf6/security/weeding_security_bugs.pdf";>\ +Ã?liminer les bogues de sécurité dans Debian (en anglais)</a> (<a +href="http://people.debian.org/~jfs/debconf6/security/slides/weeding_security_bugs.slides.pdf";>\ +diapositives</a>) de Debconf 6 ou les notes <a +href="http://people.debian.org/~jfs/debconf6/security/common-problems.txt";>\ +Tour d'horizon rapide et pratique sur la façon de +découvrir quelques erreurs habituelles dans les programmes +écrits dans différents langages (en anglais)</a> (les deux +documents ont été écrits par des membres du projet d'audit). +</p> + +<p> +L'article <q>Ã?liminer les bogues de sécurité dans Debian</q> a été +présenté à Mexico lors de Debconf 6 et faisait partie d'un atelier. + +Les responsables non familiers avec l'audit pourraient être intéressés par +les <a href="http://people.debian.org/~jfs/debconf6/security/samples/";>\ +exemples de code</a> et les <a +href="http://meetings-archive.debian.net/pub/debian-meetings/2006/debconf6/";>\ +vidéos de l'atelier</a>. +</p> + <h2>Nouvelles sorties</h2> -<p>Dans le fait d'être un responsable réactif, il y a aussi le fait d'avoir un +<p> +Pour être un responsable réactif, il faut aussi avoir un Å?il sur les sorties des nouvelles versions du code original. Si le journal des changements mentionne un problème de sécurité, vous devriez tester si la version dans la distribution stable est vulnérable.</p> <p>Si la version disponible dans la distribution stable est vulnérable, -il faut alors contacter l'équipe de sécurité (comme décrit -<a href="$(HOME)/security/faq">dans la FAQ de l'équipe de sécurité)</a>.</p> +il faut alors contacter l'équipe de sécurité (comme décrit dans la +<a href="$(HOME)/security/faq">FAQ de l'équipe de sécurité)</a>. +</p> Index: french/security/audit/packages.wml =================================================================== RCS file: /cvs/webwml/webwml/french/security/audit/packages.wml,v retrieving revision 1.5 retrieving revision 1.7 diff -u -r1.5 -r1.7 --- french/security/audit/packages.wml 30 Jul 2009 18:14:52 -0000 1.5 +++ french/security/audit/packages.wml 20 Nov 2011 14:12:13 -0000 1.7 @@ -1,4 +1,4 @@ -#use wml::debian::translation-check translation="1.10" maintainer="Simon Paillard" +#use wml::debian::translation-check translation="1.14" maintainer="Simon Paillard" #use wml::debian::template title="Recommandations sur la priorité d'audit des paquets" #use wml::debian::recent_list @@ -12,16 +12,20 @@ <p>Comme premières recommandations simples, voici les paquets qui valent la peine d'être examinés :</p> -<ol> <li>Tout binaire installé en mode <tt>setuid</tt> ou <tt>setgid</tt>.</li> - -<li>Tout élément fournissant un service accessible par le réseau.</li> - -<li>Tout script CGI/PHP accessible à distance.</li> - -<li>Tout élément contenant une tâche <em>cron</em> ou un autre type de script -automatisé qui fonctionne avec les droits du superutilisateur.</li> - - +<ol> +<li> +tout binaire installé en mode <tt>setuid</tt> ou <tt>setgid</tt> ; +</li> +<li> +tout élément fournissant un service accessible par le réseau ; +</li> +<li> +tout script CGI/PHP accessible à distance ; +</li> +<li> +tout élément contenant une tâche <em>cron</em> ou un autre type de script +automatisé qui fonctionne avec les droits du superutilisateur. +</li> </ol> <p>Les paquets couramment utilisés devraient être traités plus prioritairement, @@ -51,12 +55,20 @@ <p>Afin de faciliter la recherche, une liste des binaires en mode <tt>setuid</tt> ou <tt>setgid</tt> de l'actuelle distribution stable est -disponible sous la forme d'un formulaire de recherche :</p> +disponible : +</p> <ul> -<li><a href="http://shellcode.org/Setuid/";>Recherche des binaires en mode -<tt>setuid</tt> ou <tt>setgid</tt></a></li> +<li> +<a href="http://lintian.debian.org/tags/setuid-binary.html";>compte-rendu +de Lintian pour les binaires <tt>setuid</tt> dans Debian</a> ; +</li> + +<li> +<a href="http://lintian.debian.org/tags/setgid-binary.html";>compte-rendu +de Lintian pour les binaires <tt>setgid</tt> dans Debian</a>. +</li> </ul> Index: french/security/audit/tools.wml =================================================================== RCS file: /cvs/webwml/webwml/french/security/audit/tools.wml,v retrieving revision 1.10 retrieving revision 1.13 diff -u -r1.10 -r1.13 --- french/security/audit/tools.wml 30 Jul 2009 18:14:52 -0000 1.10 +++ french/security/audit/tools.wml 26 Nov 2011 02:48:45 -0000 1.13 @@ -1,4 +1,4 @@ -#use wml::debian::translation-check translation="1.18" maintainer="Simon Paillard" +#use wml::debian::translation-check translation="1.19" maintainer="Simon Paillard" #use wml::debian::template title="Outils d'audit de sécurité" #use wml::debian::recent_list @@ -26,24 +26,33 @@ </ul></li> </ul> -<p>Max Vozeler a écrit un ensemble de modules perl pour quelques uns de ces -outils, qui pourrait vous être utile si vous vous intéressez à l'audit +<p> +Max Vozeler a écrit un ensemble de modules Perl pour quelques-uns de ces +outils, qui pourraient vous être utiles si vous vous intéressez à l'audit automatique des performances. Vous pouvez trouver tous ces modules sur sa page <a href="http://hinterhof.net/~max/audit-perl/";>Audit::Source</a>.</p> <p>De plus, il existe d'autres outils spécifiques à un domaine spécifique des vulnérabilités, qui n'ont pas encore été empaquetés pour Debian mais peuvent -néanmoins être utiles à auditeur, notamment :</p> +néanmoins être utiles à un auditeur, notamment : +</p> <ul> -<li>Outils relatifs aux bogues XSS : +<li> +outils relatifs aux bogues XSS : <ul> -<li><a href="http://freshmeat.net/projects/xsslint/";>Xsslint</A></li> -<li><a href="http://www.devitry.com/screamingCSS.html";>ScreamingCSS</A></li> +<li> +<a href="http://freshmeat.net/projects/xsslint/";>Xsslint</a> ; +</li> +<li> +<a href="http://www.devitry.com/screamingCSS.html";>ScreamingCSS</a> ; +</li> </ul></li> -<li>Outils de test de navigateur web : +<li>outils de test de navigateur web : <ul> -<li><a href="http://www.securityfocus.com/archive/1/378632";>MangleMe</a></li> +<li> +<a href="http://www.securityfocus.com/archive/1/378632";>MangleMe</a>. +</li> </ul></li> </ul> @@ -94,13 +103,15 @@ <h2>RATS</h2> -<p>RATS est un outil similaire à ceux listés ci-dessus, excepté qu'il supporte -plus de langages. Actuellement sont supportés : C, C++, Perl, PHP et +<p> +RATS est un outil similaire à ceux de la liste ci-dessus, excepté qu'il prend +en charge plus de langages. Sont actuellement gérés : C, C++, Perl, PHP et Python.</p> <p>Cet outil utilise un simple fichier XML pour obtenir les vulnérabilités, ce qui en fait l'outil le plus simple à modifier. De nouvelles fonctions peuvent -être ajoutées facilement pour chaque langage supporté.</p> +être ajoutées facilement pour chaque langage pris en charge. +</p> <p>Vous pouvez voir un exemple d'utilisation de RATS et le rapport généré dans la <a href="examples/">section des exemples d'audit</a>.</p> @@ -142,17 +153,21 @@ vérifiez-les et tronquez-les à une taille raisonnable. »</p> <p>Si vous avez besoin de conseils avancés sur la manière de corriger une -vulnérabilité rapportée, vous devriez étudier un ouvrage sur la manière de +vulnérabilité signalée, vous devriez étudier un ouvrage sur la manière de programmer sûrement, tel que <a href="http://www.dwheeler.com/secure-programs/";>Secure Programming for Linux and Unix HOWTO</a> par David A. Wheeler.</p> -<p>(Rappelez-vous qu'une rustine bouchant le trou de sécurité est grandement -appréciée lorsque vous rapportez un bogue de sécurité)</p> +<p> +(Rappelez-vous qu'un correctif au trou de sécurité est grandement +appréciée lorsque vous signalez un bogue de sécurité.) +</p> <p>Des discussions portant sur la correction de portions de code particulièrement problématiques peuvent également se tenir sur la <a -href="http://shellcode.org/mailman/listinfo/debian-audit";>liste de diffusion -debian-audit</a>. Veillez simplement à ne pas rendre évident le nom du +href="http://lists.debian.org/debian-security/";>liste de diffusion +debian-security</a>. +Comme il s'agit d'une liste de diffusion publique avec des archives +publiques, veillez simplement à ne pas rendre évident le nom du programme concerné par le défaut.</p>
#use wml::debian::template title="Audit pour les responsables de paquets" #use wml::debian::recent_list #use wml::debian::translation-check translation="1.9" maintainer="David Prévot" # Translators: # Thomas Marteau, 2004. # David Prévot, 2011. <p>Si vous êtes le responsable d'un paquet qui est dans l'archive Debian, veuillez penser à regarder le code vous-même. </p> <p> La disponibilité du <a href="tools">code source des outils d'audit</a> peut faciliter ce processus de manière significative. Même si vous n'avez pas le temps de mener un audit minutieux vous-même, vous pouvez trouver des zones qui sont potentiellement problématiques.</p> <p> Si vous avez besoin d'aide, veuillez contacter l'<a href="$(HOME)/security/#contact">équipe en charge de la sécurité de Debian</a> ou la <a href="http://lists.debian.org/debian-security/";>\ liste de diffusion debian-security</a> (publique) pour demander de l'aide sur la façon de mener un audit du code source. </p> <h2>Sources pour les responsables</h2> <p> Les responsables désirant vérifier le code source pourraient être intéressés par l'article <a href="http://people.debian.org/~jfs/debconf6/security/weeding_security_bugs.pdf";>\ Ã?liminer les bogues de sécurité dans Debian (en anglais)</a> (<a href="http://people.debian.org/~jfs/debconf6/security/slides/weeding_security_bugs.slides.pdf";>\ diapositives</a>) de Debconf 6 ou les notes <a href="http://people.debian.org/~jfs/debconf6/security/common-problems.txt";>\ Tour d'horizon rapide et pratique sur la façon de découvrir quelques erreurs habituelles dans les programmes écrits dans différents langages (en anglais)</a> (les deux documents ont été écrits par des membres du projet d'audit). </p> <p> L'article <q>Ã?liminer les bogues de sécurité dans Debian</q> a été présenté à Mexico lors de Debconf 6 et faisait partie d'un atelier. Les responsables non familiers avec l'audit pourraient être intéressés par les <a href="http://people.debian.org/~jfs/debconf6/security/samples/";>\ exemples de code</a> et les <a href="http://meetings-archive.debian.net/pub/debian-meetings/2006/debconf6/";>\ vidéos de l'atelier</a>. </p> <h2>Nouvelles sorties</h2> <p> Pour être un responsable réactif, il faut aussi avoir un Å?il sur les sorties des nouvelles versions du code original. Si le journal des changements mentionne un problème de sécurité, vous devriez tester si la version dans la distribution stable est vulnérable.</p> <p>Si la version disponible dans la distribution stable est vulnérable, il faut alors contacter l'équipe de sécurité (comme décrit dans la <a href="$(HOME)/security/faq">FAQ de l'équipe de sécurité)</a>. </p>
#use wml::debian::translation-check translation="1.19" maintainer="Simon Paillard" #use wml::debian::template title="Outils d'audit de sécurité" #use wml::debian::recent_list <p>Plusieurs paquets disponibles dans l'archive Debian sont destinés à faciliter les audits de code source. Sont inclus :</p> <ul> <li><a href="http://packages.debian.org/flawfinder";>Flawfinder</a> <ul> <li><a href="examples/flawfinder">Exemple d'utilisation de flawfinder</a></li> </ul></li> <li><a href="http://packages.debian.org/its4";>ITS4</a> <ul> <li>Il n'y a pas d'exemple fourni pour ITS4 puisque celui-ci a été enlevé de la distribution instable (<em>Sid</em>).</li> </ul> </li> <li><a href="http://packages.debian.org/rats";>RATS</a> <ul> <li><a href="examples/RATS">Exemple d'utilisation de RATS</a></li> </ul></li> <li><a href="http://packages.debian.org/pscan";>pscan</a> <ul> <li><a href="examples/pscan">Exemple d'utilisation de pscan</a></li> </ul></li> </ul> <p> Max Vozeler a écrit un ensemble de modules Perl pour quelques-uns de ces outils, qui pourraient vous être utiles si vous vous intéressez à l'audit automatique des performances. Vous pouvez trouver tous ces modules sur sa page <a href="http://hinterhof.net/~max/audit-perl/";>Audit::Source</a>.</p> <p>De plus, il existe d'autres outils spécifiques à un domaine spécifique des vulnérabilités, qui n'ont pas encore été empaquetés pour Debian mais peuvent néanmoins être utiles à un auditeur, notamment : </p> <ul> <li> outils relatifs aux bogues XSS : <ul> <li> <a href="http://freshmeat.net/projects/xsslint/";>Xsslint</a> ; </li> <li> <a href="http://www.devitry.com/screamingCSS.html";>ScreamingCSS</a> ; </li> </ul></li> <li>outils de test de navigateur web : <ul> <li> <a href="http://www.securityfocus.com/archive/1/378632";>MangleMe</a>. </li> </ul></li> </ul> <p>Aucun de ces outils n'est parfait. Ils ne peuvent être utilisés que comme point de départ pour des études plus poussées. Mais étant donné leur simplicité d'utilisation, cela vaut le coup de passer du temps à les essayer.</p> <p>Chaque outil a ses avantages et ses inconvénients. C'est pourquoi il est recommandé d'en utiliser plus d'un.</p> <h2>Flawfinder</h2> <p>flawfinder est un outil codé en Python destiné à analyser du code source C et C++ à la recherche de défauts de sécurité potentiels.</p> <p>Lorsqu'il est exécuté dans un répertoire contenant du code source, la liste des problèmes potentiels détectés est générée, triés par risque (où la variable <i>risk</i> est un entier entre 1 et 5). Pour ignorer les risques mineurs, il est possible de configurer le programme pour ne pas lister les défauts en dessous d'un certain niveau de risque. Par défaut, la sortie sera formatée en texte brut, mais une sortie au format HTML est également disponible.</p> <p>Le programme fonctionne en parcourant le code à la recherche de fonctions connues pour être couramment mal utilisées.</p> <p>Afin de faciliter la lecture du rapport, il est possible de générer un rapport contenant la ligne du code source, contenant la fonction utilisée. Cela peut être utile pour détecter immédiatement un problème, ou également l'éliminer.</p> <p>Vous pouvez voir un exemple de la façon dont est utilisé flawfinder, ainsi que le rapport qu'il génère dans la <a href="examples/">section des exemples d'audit</a>.</p> <h2>ITS4</h2> <p>ITS4 est un outil appartenant à la section <i>non-free</i> de l'archive Debian, qui est disponible uniquement pour l'ancienne distribution stable (<em>Woody</em>).</p> <p>ITS4 peut être utilisé pour chercher dans du code source C et C++ de potentielles failles de sécurité, de même que flawfinder.</p> <p>Le rapport généré essaie d'être pertinent, en excluant une partie des cas où les appels à des fonctions dangereuses ont été faits avec précaution.</p> <h2>RATS</h2> <p> RATS est un outil similaire à ceux de la liste ci-dessus, excepté qu'il prend en charge plus de langages. Sont actuellement gérés : C, C++, Perl, PHP et Python.</p> <p>Cet outil utilise un simple fichier XML pour obtenir les vulnérabilités, ce qui en fait l'outil le plus simple à modifier. De nouvelles fonctions peuvent être ajoutées facilement pour chaque langage pris en charge. </p> <p>Vous pouvez voir un exemple d'utilisation de RATS et le rapport généré dans la <a href="examples/">section des exemples d'audit</a>.</p> <h2>pscan</h2> <p>pscan diffère des outils précédemment décrits, car ce n'est pas du tout un scanner généraliste. Au contraire, c'est un programme qui vise spécifiquement la détection de bogues dans le format des chaînes de caractères.</p> <p>L'outil essaiera de trouver des problèmes potentiels dans l'utilisation des fonctions variadiques (pouvant accepter un nombre variable d'arguments) dans du code C et C++, par exemple les fonctions <tt>printf</tt>, <tt>fprintf</tt> et <tt>syslog</tt>.</p> <p>Les bogues de format des chaînes de caractères sont facilement détectables et réparables. Ainsi, bien qu'ils constituent la nouvelle génération d'attaques logicielles, la majorité d'entre eux ont sans doute déjà été trouvés et corrigés.</p> <p>Vous pouvez voir un exemple d'utilisation de pscan et le rapport généré dans la <a href="examples/">section des exemples d'audit</a>.</p> <h2>Comprendre les résultats du scanner</h2> <p>Tous les outils généralistes de recherche fournissent des résultats incluant la description du défaut détecté, et dans certains cas un conseil pour corriger le code.</p> <p>Par exemple, ce qui suit est tiré du rapport généré par RATS et décrit les dangers de <tt>getenv</tt> :</p> <p>« Les variables d'environnement sont des paramètres d'entrée auxquels on ne peut pas faire confiance. Ils peuvent être de toute taille, et contenir n'importe quelles données. Ne faites pas d'hypothèse sur leur contenu ou leur taille. �vitez si possible de les utiliser, et si cela est nécessaire, vérifiez-les et tronquez-les à une taille raisonnable. »</p> <p>Si vous avez besoin de conseils avancés sur la manière de corriger une vulnérabilité signalée, vous devriez étudier un ouvrage sur la manière de programmer sûrement, tel que <a href="http://www.dwheeler.com/secure-programs/";>Secure Programming for Linux and Unix HOWTO</a> par David A. Wheeler.</p> <p> (Rappelez-vous qu'un correctif au trou de sécurité est grandement appréciée lorsque vous signalez un bogue de sécurité.) </p> <p>Des discussions portant sur la correction de portions de code particulièrement problématiques peuvent également se tenir sur la <a href="http://lists.debian.org/debian-security/";>liste de diffusion debian-security</a>. Comme il s'agit d'une liste de diffusion publique avec des archives publiques, veillez simplement à ne pas rendre évident le nom du programme concerné par le défaut.</p>
#use wml::debian::translation-check translation="1.14" maintainer="Simon Paillard" #use wml::debian::template title="Recommandations sur la priorité d'audit des paquets" #use wml::debian::recent_list <p>Lors de l'audit de la distribution Debian, l'un des premiers problèmes est de décider quels paquets il faut examiner.</p> <p>Idéalement, tous les paquets devraient être examinés, mais la taille manifeste de l'archive nécessite de trouver un moyen simple d'ordonner le travail.</p> <p>Comme premières recommandations simples, voici les paquets qui valent la peine d'être examinés :</p> <ol> <li> tout binaire installé en mode <tt>setuid</tt> ou <tt>setgid</tt> ; </li> <li> tout élément fournissant un service accessible par le réseau ; </li> <li> tout script CGI/PHP accessible à distance ; </li> <li> tout élément contenant une tâche <em>cron</em> ou un autre type de script automatisé qui fonctionne avec les droits du superutilisateur. </li> </ol> <p>Les paquets couramment utilisés devraient être traités plus prioritairement, puisqu'un problème toucherait un plus grand nombre d'utilisateurs.</p> <p>Le <a href="http://popcon.debian.org/";>concours de popularité Debian</a> a pour rôle de montrer quels sont les paquets les plus populaires chez les volontaires participant au sondage.</p> <p>En particulier, jetez un coup d'œil aux <a href="http://popcon.debian.org/by_vote";>paquets triés par vote</a>. La liste <q>par vote</q> classe les paquets par fréquence d'utilisation chez les gens participant au sondage.</p> <p>Si un paquet est important du point de vue de sa sécurité, plus particulièrement s'il remplit un des critères ci-dessus, et qu'il est populaire (d'après un sondage comme celui-ci), c'est <em>définitivement</em> un candidat à l'audit.</p> <h2>Les binaires en mode <tt>setuid</tt> ou <tt>setgid</tt></h2> <p>Les binaires en mode <tt>setuid</tt> ou <tt>setgid</tt> sont les cibles habituelles des audits de sécurité, puisque la compromission d'un binaire avec de telles permissions permet à un utilisateur local d'accéder à des privilèges qu'il n'aurait pas atteints autrement.</p> <p>Afin de faciliter la recherche, une liste des binaires en mode <tt>setuid</tt> ou <tt>setgid</tt> de l'actuelle distribution stable est disponible : </p> <ul> <li> <a href="http://lintian.debian.org/tags/setuid-binary.html";>compte-rendu de Lintian pour les binaires <tt>setuid</tt> dans Debian</a> ; </li> <li> <a href="http://lintian.debian.org/tags/setgid-binary.html";>compte-rendu de Lintian pour les binaires <tt>setgid</tt> dans Debian</a>. </li> </ul> <p>Quand vient le choix de ces binaires, il est important de se rappeler que certains binaires sont plus sensibles que d'autres. Les binaires <tt>setuid root</tt> devraient être examinés avant ceux <tt>setgid games</tt> ou <tt>setuid bugs</tt> par exemple.</p> <h2>Les serveurs de réseau</h2> <p>Les serveurs de réseau sont un autre objet évident d'attention lors d'un audit de sécurité, puisqu'une faille permettrait la compromission des machines à distance.</p> <p>Les compromissions distantes sont généralement plus graves que les locales.</p> <h2>Scripts accessibles en ligne</h2> <p>La sécurité des scripts en ligne, spécialement les scripts CGI, est vraiment aussi importante que celle des serveurs de réseau. En effet, bien que le serveur web lui-même puisse être sécurisé, la sécurité des scripts qui y tournent est aussi importante.</p> <p>Un bogue dans un script disponible par le réseau est aussi grave qu'un bogue dans un serveur à l'écoute des connexions : les deux peuvent compromettre une machine aussi sérieusement.</p> <h2>Les tâches <em>cron</em> et les services systèmes</h2> <p>Bien qu'ils ne soient pas très nombreux, cela vaut la peine de regarder les scripts automatiques, les tâches <em>cron</em>, etc., qui sont inclus dans les paquets.</p> <p>Beaucoup d'outils de support se lancent par défaut en tant que superutilisateur pour le nettoyage des journaux d'événements.</p> <p>Une attaque de type lien symbolique réussie peut mener à une compromission locale.</p>
#use wml::debian::template title="Annonces de l'audit de sécurité" #use wml::debian::recent_list #use wml::debian::translation-check translation="1.21" maintainer="Simon Paillard" <p> Cette page offre une liste des dernières annonces de sécurité qui ont été publiées par le projet suite aux efforts d'audit.</p> #include "$(ENGLISHDIR)/security/audit/data/2011.inc" #include "$(ENGLISHDIR)/security/audit/data/2009.inc" <p>Les annonces publiées les années précédentes sont également disponibles :</p> <ul> <li><a href="/security/audit/2006">2011</a></li> <li><a href="/security/audit/2006">2009</a></li> <li><a href="/security/audit/2006">2008</a></li> <li><a href="/security/audit/2006">2006</a></li> <li><a href="/security/audit/2005">2005</a></li> <li><a href="/security/audit/2004">2004</a></li> <li><a href="/security/audit/2003">2003</a></li> <li><a href="/security/audit/2002">2002</a></li> </ul>
#use wml::debian::translation-check translation="1.30" maintainer="Simon Paillard" #use wml::debian::template title="FAQ de l'audit de sécurité de Debian" #use wml::debian::toc <p>Cette page liste les questions habituelles des visiteurs qui entendent parler de ce projet pour la première fois.</p> <toc-display> <toc-add-entry name="what">Qu'est-ce que le projet d'audit de sécurité de Debian ?</toc-add-entry> <p>Le projet d'audit de sécurité de Debian est un petit projet mené au sein du projet Debian, destiné à avoir une démarche proactive vis à vis de la sécurité, en effectuant des audits du code source des paquets mis à disposition des utilisateurs de Debian.</p> <p>L'audit se focalise sur la distribution stable de Debian, le travail d'audit étant orienté par les <a href="packages">recommandations sur la priorité d'audit des paquets</a>.</p> <toc-add-entry name="start">Quand le projet d'audit de sécurité de Debian a-t-il démarré ?</toc-add-entry> <p>La première annonce de sécurité est sortie en décembre 2002, suivie par une série d'annonces supplémentaires avec le temps.</p> <p>Le projet a continué sous forme officieuse jusqu'à ce qu'il soit officialisé en mai 2004 par le chef du projet Debian, Martin Michlmayr.</p> <toc-add-entry name="advisories-from-audit">Quelles annonces proviennent de l'effort d'audit ?</toc-add-entry> <p>Il y a eu de multiples annonces diffusées en tant que résultats du travail d'audit. Celles diffusées avant que le projet devienne officiel sont listées sur la <a href="advisories">page des annonces de l'audit de sécurité</a>.</p> <p>On espère dans un futur proche que les annonces connues comme issues du projet pourront être trouvées en cherchant <q>Debian Security Audit Projet</q> dans les rapports des annonces de sécurité de Debian.</p> <toc-add-entry name="advisories">Tout le travail d'audit porte sur les annonces de sécurité ?</toc-add-entry> <p>En fait non. Beaucoup de problèmes de sécurité que la procédure d'audit a trouvés ne sont pas immédiatement exploitables (cependant, ils peuvent interrompre le programme). D'autres problèmes de sécurité exploitables que nous avons trouvés ne sont pas présents dans la version stable officielle de Debian, mais dans les versions de test (<i>Testing</i>) ou instable (<em>Sid</em>). Tous ces problèmes sont remontés à travers le système de suivi des bogues de Debian (et dans certains cas directement aux développeurs amont).</p> <toc-add-entry name="credit">Qui a contribué à ce travail ?</toc-add-entry> <p>Steve Kemp a démarré le projet d'audit de sécurité de Debian, créant ses premières procédures, et les a testées en trouvant de nombreuses vulnérabilités.</p> <p>Ulf Härnhammar a rejoint le projet à ses débuts non officiels et a trouvé plusieurs vulnérabilités qui ont été corrigées depuis. Ulf fut rapidement suivi par Swaraj Bontula et Javier Fernández-Sanguino qui ont également découvert des problèmes de sécurité significatifs.</p> <p><a href="http://www.dwheeler.com";>David A. Wheeler</a> incita Steve Kemp à proposer l'officialisation du projet comme projet Debian, ce qui fut rendu possible par l'implication du chef du projet Debian, Martin Michlmayr. David fit également de nombreuses suggestions utiles sur le contenu de ces pages, et contribua directement à plusieurs sections.</p> <p>L'<a href="$(HOME)/security">équipe de sécurité de Debian</a> a été très utile dans la réussite de l'audit, en s'assurant que toutes les vulnérabilités trouvées étaient rapidement corrigées et que les corrections étaient rapidement diffusées dans le monde.</p> <p>Les personnes suivantes ont déjà contribué à au moins une annonce de sécurité au nom du projet :</p> #include "$(ENGLISHDIR)/security/audit/data/credits.inc" <p>Les nouveaux contributeurs sont toujours les bienvenus !</p> <toc-add-entry name="contribute">Comment puis-je contribuer ?</toc-add-entry> <p>Si vous avez le temps et les compétences nécessaires pour auditer un paquet, alors lancez-vous !</p> <p>La <a href="auditing">présentation de l'audit</a> devrait vous donner une bonne idée de la manière de travailler — pour toute question supplémentaire, vous devriez la poser sur la <a href="http://lists.debian.org/debian-security/";>liste de diffusion debian-security</a>. </p> <toc-add-entry name="mailinglist">Puis-je discuter de paquets spécifiques sur la liste de diffusion ?</toc-add-entry> <p>Il est préférable que vous ne nommiez pas les paquets contenant les problèmes que vous avez découverts avant qu'une <a href="$(HOME)/security/">DSA</a> ne soit publiée. Cela permettrait aux utilisateurs malveillants d'exploiter les failles que vous décririez avant qu'elles soient corrigées.</p> <p>En revanche, la liste de diffusion peut être utilisée pour décrire un bout de code et demander des avis sur son caractère exploitable, et la manière de le corriger.</p> <toc-add-entry name="maintainer">Comment puis-je contribuer comme mainteneur de paquet ?</toc-add-entry> <p>Les mainteneurs de paquet peuvent aider à assurer la sécurité du logiciel qu'ils empaquettent en regardant eux-même au code, ou en demandant de l'aide.</p> <p>Veuillez regarder la page sur <a href="maintainers">l'audit pour les mainteneurs de paquets</a>.</p> <toc-add-entry name="reporting">Comment rapporter un problème que j'ai découvert ?</toc-add-entry> <p>Une section dans la <a href="$(HOME)/security/faq#discover">FAQ de l'équipe Debian sur la sécurité</a> décrit la procédure.</p> <toc-add-entry name="clean">La liste des paquets audités qui n'ont pas de problème est-elle disponible ?</toc-add-entry> <p>Non, les paquets qui ont été examinés et pour lesquels aucun problème n'a été trouvé ne sont pas listés publiquement.</p> <p>C'est en partie car des problèmes tapis pourraient avoir été oubliés, et en partie car les audits sont conduits par plusieurs personnes, sans beaucoup de coordination.</p> <toc-add-entry name="moreinfo">Où puis-je trouver plus d'informations ?</toc-add-entry> <p> Il n'existe pour l'instant aucune liste de diffusion à laquelle s'abonner pour poser des questions. En attendant, veuillez utiliser la <a href="http://lists.debian.org/debian-security/";>\ liste de diffusion debian-security</a>. </p>
Attachment:
signature.asc
Description: OpenPGP digital signature