Le KeyMaze 300 est un petit GPS vendu par Décathlon. Celui-ci est doté d'une puce sifrII, la même que celle qui équipe les GPS Magellan. Doté d'une autonomie de 48h (non testé), il est capable d'enregistrer les trajets réalisés, ou de vous indiquer la direction des waypoints que vous lui avez donnés.

Ce GPS est aussi capable de restituer vos trajets sur un ordinateur muni d'une prise USB en format texte ou au format kml, visualisable dans GoogleEarth ou dans marble ou WorldWind. Le fichier texte restitué initialement et le format kml sont tous les deux des formats ouverts et on comprend que Décathlon (dont ce n'est pas forcément la préoccupation) ne se soit pas embêté à développer un logiciel complet, ni à payer (ou faire payer à l'utilisateur final) un jeu complet de cartes.

Mais, le logiciel fourni est un logiciel spécifique à Windows ; par conséquent, il faut disposer de Windows pour extraire les données du GPS. Décathlon fournit même un pilote USB->Serial prolific2303, celui-là même qui est présent dans tous les noyaux Linux récents (via l'option CONFIG_USB_SERIAL_PL2303=y).

À partir de là est né gpsd4, un projet libre sous licence GPLv3, en python, qui permet de télécharger les données du GPS KeyMaze 300 sous Linux. Son interface laisse encore un peu à désirer et le projet n'est pas documenté pour le moment, mais cela ne va pas tarder à arriver. Si des heureux propriétaires de cet équipement veulent en profiter, il suffit d'aller le télécharger (et éventuellement de nous renvoyer des remarques). Si vous désirez contribuer, toutes les compétences sont les bienvenues.

Le 13 mai, un message publié sur la liste de sécurité Debian identifiait une anomalie impactant le paquet openssl. Ce bug a été introduit par un mainteneur Debian, qui a eu la main lourde en voulant "corriger" des alertes remontées par Valgrind (un logiciel qui audite le code). Résultat des courses : le générateur de nombres aléatoires, composant critique de nombreux systèmes de chiffrements, n'est au final pas si aléatoire que ça, voire carrément prévisible.
En conséquence, tous les certificats et clefs SSL/SSH générés sur une Debian (ou dérivée) depuis 2006 l'ont été à partir d'un univers des possibles très restreint (environ 250 000 clefs, à confirmer) et présentent donc un niveau de sécurité largement inférieur à celui estimé.

Cette vulnérabilité touche Debian ainsi que toutes les distributions utilisant des paquets Debian (Ubuntu, Xandros...).

Pour prendre un exemple parlant, imaginez Securor, un fabricant de serrures qui seraient utilisées un peu partout sur la planète. Au bout de deux ans, alors que des millions de personnes ont installé des serrures pour protéger leur maison, on se rend compte qu'en fait il n'existe que 3 modèles uniques de clefs, les autres ne sont que des copies d'un des 3 modèles d'origine. Si bien qu'un voleur peut très facilement concevoir un trousseau contenant les 3 modèles de clefs, en ayant la certitude que toute serrure rencontrée pourra être ouverte avec l'une de ces clefs...

Concrètement, si vous utilisez une Debian, ou dérivée, vos VPN peuvent être cassés (adieu confidentialité des échanges), des faux certificats peuvent être signés (adieu confiance en votre système de PKI), votre serveur SSH ne filtre plus grand monde (adieu système sécurisé)...

Que faire ?

1. Mettre à jour votre distribution Debian pour installer les nouveaux paquet.
   
2. Vérifier sur tous vos systèmes qu'une clef faible n'est pas présente. Pour cela, un outil est disponible : dowkd.pl
   Si une clef faible est présente, il sera nécessaire de la générer à nouveau, avec tous les impacts que cela peut avoir (fichiers authorized_keys & know_hosts obsolètes...). Même problème pour les certificats : j'espère que personne n'a mis en place de PKI sous Debian depuis 2006, il va falloir regénérer les certificats...
   
3. lire le wiki Debian http://wiki.debian.org/SSLkeys qui vous guidera pas à pas en fonction des logiciels installés sur votre machine.

Reste à savoir quelles seront les conséquences de cette affaire : depuis 2 ans, un bug introduit par un contributeur et impactant un système critique est resté indétecté dans une des distributions les plus utilisées au monde...

NdM : lire également les articles sur Planet Debian-Fr.

Après Saint Martin en Vercors, la GUILDE et G3L s'allient avec le Parc Régional du Vercors, le cybercentre et l'association Wake on Lan pour organiser une après-midi de présentation du Libre à Pont en Royans, le samedi 24 mai2008.

Cette rencontre aura lieu au Musée de l'Eau de Pont en Royans et permettra d'assister à des conférences, de voir fonctionner et de manipuler des logiciels libres, et de se les faire installer sur son matériel personnel. Des CD de distributions GNU/Linux et de logiciels libres seront mis à la disposition des participants.