Catégorie : Geek

Geekeries (on ne se refait pas)

Publié le

Les Google cars de Google Street view récupéraient des données qui passaient en clair sur les réseaux wifi

On a beau nous expliquer que ceci était accidentel, personnellement, je n’y crois pas un instant. Je ne sais pas si vous vous souvenez d’un billet dans lequel je m’inquietais de voir tourner une voiture autour d’une installation d’un réseau openmesh que j’avais déployé.

Il s’agissait d’une Google car, suréquipée (antenne wifi, gps, laptops embarqués). Cela laissait peu de doute, il y avait bien une cartographie wifi en cours.

Mais ce n’est pas tout, une simple cartographie n’aurait pas nécessité le curieux manège que j’ai pu observer. Les équipements que l’on pouvait observer sur les Google car à l’époque n’embarquaient pas de cameras Elphel utilisées pour Google Street View mais le parfait équipement du wardriver.

Et bien devinez quoi ? Google nous apprend aujourd’hui, que ces petites voitures auraient « accidentellement » collecté des données passant en clair sur les réseaux ouverts. Les Google car sniffaient les connexions et récupéraient les données qui transitaient en clair sur ces réseaux (pages web, texte, images, mais aussi mots de passe …). J’ai pu constater, pendant plusieurs jour, le manège de cette voiture qui s’arretait plusieurs minutes, tournaient autour de l’installation plusieurs fois. C’est pour cela que j’affirme que Google savait très bien qu’il collectait illégalement ces données, une simple cartographie n’aurait jamais nécessité de si fréquents arrêts. Ces stationnements attestent de la volonté de collecter des données, cela ne fait aucun doute en ce qui me concerne.

Je cherchais quelque chose à reprocher à Google, c’est aujourd’hui chose faite, cette société a employé des méthodes de voyous et a collecté soit disant accidentellement vos données personnelles.

Publié le

PES 2010 Jour 2 : Hacking GSM, Hacktivisme et Hacker space

Si vous n’étiez pas à la Cantine hier Pas Sage en Seine hier, vous avez raté des conférences géniales, comme celle de Fabrice Epelboin et Jean-Marc Manach qui en a laissé plus d’un sur les fesses, l’intarissable Benjamin Bayart, ou encore l’excellent Khorben qui nous remet son workshop aujourd’hui. Peut être avez vous pu vous connecter au stream pour les voir en live, si ce n’est pas le cas, il faudra prendre un peu votre mal en patience pour que nous mettions en ligne les plusieurs gigas de video de Pas Sage en Seine.

Aujourd’hui, la journée s’annonce aussi palpitante que celle d’hier avec en ce moment même un workshop de développement sur Android animé par Deubeuliou, la suite du workshop chiffrement SMS avec Khorben, Philippe Langlois et Guizmo qui viendront nous parler des Hacker Spaces, Jérémie Zimmerman et Benjamin Ooghe-Tabanou qui sont deux figures incontournables de l’hacktivisme et de la néo cyber citoyenneté, enfin c’est Kitetoa, pizza hacker since 1998, qui viendra nous retracer les évolutions de l’Internet.

Follow the black Rabbit

Publié le

Deux ou trois choses, comme ça … en vrac

Désolé si vous vous demandiez où j’étais passé, les derniers jours ont été sportifs, mais c’est pas pour ça qu’il ne s’est rien passé dans votre Internet quasi neutre. Je dois avouer que je me suis un peu volontairement retenu d’écrire suite à la dernière performance de la HADOPI où elle exposait ses plans pour fliquer Internet. C’est finalement pas plus mal, je pense que j’aurais perdu mon calme.

Il s’est d’abord passé que la Quadrature du Net et FDN ont déposé un recours devant le conseil d’Etat portant sur le traitement automatisé des données personnelles induites par le dispositif de la HADOPI. Plus exactement le décret 2010-236 publié au JO le 5 mars dernier sur lequel, l’avis de l’ARCEP, pourtant obligatoire, n’ a pas été demandé. Il s’agit d’un vice de forme assez conséquent dans lequel FDN s’est engouffré en sa qualité de fournisseur d’accès Internet. Comme quoi HADOPI, depuis le début, c’est n’importe quoi, tant sur la forme que sur le fond.

J’étais ce matin à la Cantine pour l’annonce du cru 2010 des Big Brother Arwards dont on fête cette année les 10 ans, le 29 mai pour un barcamp exceptionnel. Figurez vous que TMG et Thierry Lhermitte ont remporté un Big Brother Award dans la catégorie Entreprises Internet.

Enfin, ce weekend, c’est Pas Sage en Seine (n’hésitez pas à vous inscrire sur le site de la Cantine) édition 2010 que j’ai hacktivement préparé aux côtés de Bearstech (attention peinture fraiche). Le programme est venu s’enrichir de nouvelles performances de la HZV Team, Bugcore et Albertine Meunier. J’espère que vous serez nombreux à nous rejoindre dés le début des hostilités, par exemple à l’occasion de la conférence de Serge Humpich qui ouvre la Session de cette année.

Publié le

Toile-Libre a besoin de vous

Dans le réseau des gens bien qui font de l’Internet propre, il y a Toile-Libre, un réseau de passionnés, amoureux d’Internet, constitué en association et proposant entre autres des services d’hébergement associatifs de grande qualité et adaptés à des besoins spécifiques que l’on ne trouve pas chez des hébergeurs grand public à un coût raisonnable.

Aujourd’hui, pour continuer à proposer ces services, Toile-Libre a besoin de financement et organise un week-end festif les 21, 22 et 23 mai à Paris au 14-16 Quai de Charente, dans le 19e. En cette occasion, une Assemblée Générale Extraordinaire aura lieu le samedi 22 mai 2010 à partir de 14 heures.

Pour soutenir Toile-Libre, vous pouvez donc tout simplement venir faire la fête et si vous n’êtes pas disponible ce week-end, faire un don, et même, adhérer à l’association.

Il est crucial que des associations comme Toile-Libre perdurent, il en va de la propreté de notre Internet.

Publié le

Pas Sage en Seine 2010 Co-Hacking Space : Le programme

Cette année, pour la seconde édition de Pas Sage en Seine, nous vous avons concocté un programme fort sympathique : hackers, artistes, hacktivistes et activistes, vous donnent rendez-vous à la Cantine du vendredi 14 au dimanche16 mai et vous invitent à venir découvrir leur hacktivités pas toujours très sages.

Vous y retrouverez cette année des intervenants qui vous parleront d’ouverture et de liberté sur des sujets pas forcément techniques mais toujours motivés par la passion comme Benjamin Bayart (FDN), Jérémie Zimmerman (La Quadrature du Net), Benjamin Roux (NosDéputés.fr), Jean-Marc Manach (Bug Brother), Serge Humpich (Bearstech), Kitetoa, Philippe Langlois (/TMP/LAB), Fabrice Epelboin (Read Write Web France), Guyzmo (La suite Logique), Sam Synack, Zitune (Hackable-Devices), Babozor (La Grotte du Barbu), Deubeuliou (Hackable:1), Paul Guermonprez (Intel Software), Fo0, Kazey, Khorben (Defora), Bluetouff (Bearstech / Toonux)…

Cette année, nous aborderons de nombreux thèmes comme le hacking hardware, l’hacktivisme politique, l’ouverture et la liberté numérique, les problématiques de filtrage et d’analyse du trafic Internet, Hackerspaces, Fablab… Le tout dans le cadre convivial de la Cantine, le co-working space qui se tranformera pour l’occasion en co-hacking space.

Les partenaires, Bearstech, La Cantine, Silicon Sentier, la Suite Logique, le /TMP/LAB et Toonux sont heureux de vous  présenter cette affiche exceptionnelle qui devrait encore de venir s’enrichir. Et si le coeur vous en dit, sachez qu’il est pas trop tard et que vous pouvez encore proposer d’intervenir.

Analyses et prédictions de séquences par la modélisation
  • Thème : Sécurité
  • Niveau : ☠☠☠☠
  • Intervenant : Sam_Synack
  • Description : Utilisation d’outils de modélisation en 3D pour la prédiction de séquences. Méthode avancée d’attaque et de filtrage par visualisation de trafic.
  • Statut : CONFIRME
  • Date : pending
Hackable devices
  • Thème : Hardware Hacking
  • Niveau : ☠☠
  • Intervenant : Zitune (Bearstech / Hackable:Devices)
  • Description : Le projet hackable-devices est né de la volonté de hackers de mettre à la disposition des autres hackers le matériel qui leur correspond. Beaucoup plus qu’une simple boutique en ligne, hackable-devices est une plateforme technique d’échanges autour du matériel et des appareils dont vous pouvez prendre le contrôle, que vous pouvez adapter, modifier, bidouiller ou améliorer.
  • Statut : CONFIRME
  • Date : Dimanche 16 à 16h00
DIY ISP : devenez votre propre fournisseur d’accès à Internet
  • Thème : Internet Propre
  • Niveau : ☠
  • Intervenant : Benjamin Bayart (FDN)
  • Description : Pourquoi et comment devenir votre propre fournisseur d’accès Internet
  • Statut : CONFIRME
  • Date : Vendredi 14 mai à 19h00
Développement Natif sur Android
  • Thème : Développement embarqué
  • Niveau : ☠☠☠☠
  • Intervenant : Deubeuliou (Bearstech / hackable:1)
  • Description : faites vous plaisir sur votre Android.
  • Statut : CONFIRME
  • Date : Samedi 15 mai à 10H00
Meego : Développement pour SetTopBox, téléphones et Netbooks
  • Thème : Hardware hacking et développement
  • Niveau : ☠☠☠
  • Intervenant : Paul Guermonprez (Intel Software)
  • Description : Développer une application libre qui tourne à la fois sur des SetTopBox, des netbooks et votre téléphone, ça vous tente ? Découvrez Meego, la distribution linux pour processeurs Atom par Intel et Nokia.
  • Statut : CONFIRME
  • Date : pending
« Chérie, j’ai rooté la Télévision »
  • Thème : Hardware Hacking
  • Niveau : ☠☠
  • Intervenant : Serge Humpich (Bearstech)
  • Description : Bidouiller du matériel est un loisir très gratifiant et ludique.
  • Statut : CONFIRME
  • Date : Vendredi 14 mai à 11H00
« Dis papa, c’est quoi cet Internet ?
  • Thème : Internet propre
  • Niveau : ☠
  • Intervenant : Kitetoa
  • Description : Internet avant, en quoi il a évolué, pas forcément en bien, quels problèmes de sécurité ça pose, comment les éviter si possible, mythologie du Net, problèmes juridiques, virtualitude, P2P, vie privée, motif légitime, couteaux de cuisine, idées connes, droit à l’oubli…
  • Statut : CONFIRME
  • Date : Samedi 15 mai à 18h00
Les Hackerspaces
  • Thème : Life Hackers
  • Intervenants : Philippe Langlois (/tmp/lab), Guyzmo (LaSuite Logique)
  • Niveau : ☠
  • Description : Hackerspaces, hacklabs, labo d’innovation indépendants, fablabs, incubateurs sociaux, bricolabs, société civile electronique. Une multitude de définitions existe pour ces espaces, et correspond à une variété de lieux physiques, d’activités, de buts et de modes de fonctionnements. Nous décrirons l’histoire ainsi que les différents exemples de hacklabs dans le monde et en France ainsi que leur role dans les grands débats actuels des TIC: neutralité du net, droit à la recherche libre en sécurité et ingénierie inverse, écoute des réseaux et protection contre les écoutes de toutes natures, réseaux peer to peer et défense contre leur « flicage », etc… Nous discuterons aussi des passerelles avec les autres domaines de la R&D, notamment avec les nouveaux paradigmes de l’éducation, de l’entrepreneuriat social (ONGs), de la recherche, de la fabrication locale (fablabs).
  • Statut : CONFIRME
  • Date : Samedi 15 mai à 14h00
La Grotte du barbu
  • Thème : Casual hacking
  • Niveau : ☠☠☠
  • Intervenant : Babozor (La Grotte du Barbu)
  • Description : tournage à la Cantine d’une épisode de la Grotte du barbu
  • Statut : CONFIRME
  • Date : Dimanche 16 mai à 14h00
Hacking the law
  • Thème : hacktivisme
  • Niveau : ☠
  • Intervenants : Jérémie Zimmerman (La Quadrature du Net) / Benjamin Ooghe-Tabanou (aka Roux) (Nos Députés).
  • Description : une loi mal fichue, c’est comme un code percé
  • Statut : CONFIRME
  • Date : Samedi 15 mai à 15H30
Atelier : The Seedfuckerz
  • Thème : blackhat
  • Intervenants : Kasey et fo0
  • Niveau : ☠☠☠☠
  • Description : Exploitation de BitTorrent avec Seedfuck, identification faiblesses de BitTorrent et problématique de la valeur légale de  l’adresse ip.
  • Statut : CONFIRME
  • Date : Dimanche 16 mai à 10h00

Confidences par SMS (et plus si affinités)

  • Thème : Crypto / GSM
  • Intervenants : Khorben (Defora)
  • Niveau : ☠☠☠☠
  • Description : Cet atelier propose l’implémentation de communications chiffrées sur réseau GSM, en commençant par les SMS. L’équivalent pour les communications vocales serait un plus, dont l’utilisation de l’Openmoko Freerunner en boitier dédié pourrait en faciliter la réalisation.
  • Statut : CONFIRME
  • Date : Vendredi 14 mai à 15h00
Anonymat, identités numériques et réseaux sociaux
  • Thème : privacy
  • Intervenant : Jean-Marc Manach (Bug Brother) / Fabrice Epelboin (Read Write Web France)
  • Niveau : ☠☠
  • Description : Anonymat, identité numérique, peut on encore aspirer à une vie privée quand on est présent sur les réseaux sociaux.
  • Statut : CONFIRME
  • Date : Vendredi 14 mai à 17h00
Salon Creative Commons
  • Thème : Droit / Propriété inetellectuelle
  • Niveau : ☠
  • Intervenant : Creative Commons
  • Description :
  • Statut : pending
  • Date : pending
Publié le

BitTorrent: De Seedfuck à TMGKicker ?

Alors que le Net est toujours en ébullition autour de Seedfuck, ce petit proof of concept continue son bonhomme de chemin et intéresse des experts du P2P. Tout le monde s’accorde à dire que tuer les réseaux P2P n’est pas la bonne solution, du coup, la cible identifiée devient TMG, marquant ainsi une nouvelle étape dans la préparation de la cyber guerilla qui se profile et qui fait maintenant peu de doutes.

Un simple élément du protocole d’échange P2P Bittorent pourrait permettre le développement d’un nouveau proof of concept visant à éjecter du réseau les IP identifiées et surtout les paquets DHT issus des serveurs de TMG. Notez qu’il existe déja des serveurs de TMG qui diffusent de faux paquets DHT sur le réseau déclarant ainsi de fausses Inodes (leur permettant de récupérer les IP des gens qui s’y connectent).

Les amateurs apprécieront cette simple ligne de Python qui en dit long :

from BitTorrent.Rerequester import DHTRerequester

L’élement visé est donc la requête DHT, qui permettrait, dans certaines conditions d’éjecter du réseau BitTorrent par scans répétés. Même si TMG change rapidement d’IP, cette nouvelle méthode s’avère être un SPOF (Single Point of Failure) du dispositif de TMG. Tout semble indiquer que TMG a mis le premier le doigt dans un engrenage qui sera exploité et retourné contre lui.

Des outils comme Peerguardian pourraient donc se voir dotés de nouvelles fonctionnalités qui rendraient la vie bien plus compliquée à TMG. Les serveurs DHT se certifient entre eux et une création massive de serveurs DHT pourrait vite polluer l’écoute de TMG et même forcer au drop (une déconnexion sans ménagement) du réseau… et oui, il existe bien un début de proof of concept. Il ne s’agit encore que du début de la réponse des internautes partageurs à TMG, quand ces derniers auront clairement identifié les faiblesses de l’infrastructure de TMG, ils pourraient bien leur donner beaucoup de fil à retordre. En pratiquant comme on le soupçonne une pollution DHT/PeX (Peer Exchange), TMG a involontairement ouvert la porte à l’utilisation d’une arme qui risque de se retourner contre lui.

Source (for l33tz Hackers)

Publié le

Pas Sage en Seine 2010 : Call for Hacks

Pas Sage en Seine édition 2010, c’est un rendez-vous pour hackers, artistes, créateurs et amateurs, au sens large du terme, de la bidouille. Musiciens, plasticiens, électroniciens, programmeurs, hackers et hacktivistes exposent leurs activités au grand jour pour vous donner, vous aussi, l’envie de vous lancer dans un projet où la DIY et bidouillabilité sont les maîtres mots.

On y parlera Free Culture, Art Libre, sécurité, électronique, activisme, partage des connaissances, détournement d’utilisation d’objets ou de concepts dans le but d’innover, de rendre accessible et d’ouvrir de nouvelles portes.

Le Passage des Panorama à Paris et La Cantine se transformeront en CoHacking Space et accueilleront cette manifestation qui se tiendra du Vendredi 14 au Dimanche 16 mai. Des conférences et des ateliers s’y tiendront, vous pouvez vous faire une idée du programme toujours en cours de préparation ici :

http://www.passageenseine.org/pes-2010

Bidouilles software et Hardware, Android, Freerunner, Darknets, hacktivime, guerillas numériques … L’édition de 2010 de Pas Sage en Seine propose une variété de thèmes importante pour tous les niveaux, quelque soit votre domaine de prédilection.

Call For Hacks

Cet événement est totalement libre et ouvert, vous pouvez donc, si vous le désirez, venir partager avec nous vos propres bidouilles, rencontrer d’autres personnes pour faire progresser vos projets. Vous pouvez proposer des interventions via ce formulaire.

Les partenaires :
Publié le

Les cons, ça ose tout … c’est même à ça qu’on reconnait l’INPI

EDIT :

Lire la réponse de l’INPI (à laquelle j’accorde peu de crédit car son véritable auteur est inconnu et sous entend que ce qui a été donné comme excuse à Isabelle n’a jamais existé).

Celle ci, elle commence comme ça :

« notre partenaire principal, l’INPI, est farouchement opposé à ce que l’exposition donne la parole aux défenseurs du « libre ». Nous avons essayé de discuter et d’argumenter avec eux mais l’INPI reste intransigeant sur sa position. Nous sommes donc obligés, avec grand regret, de ne pas présenter votre parole que vous aviez, aimablement, accepté de rédiger et d’enregistrer. »

On m’a très rapidement signalé cette histoire au sujet de d’une expo organisée à la Cité des Sciences et de l’Industrie de la Villette à Paris. Au début, j’ai pensé à un malentendu, puis comme j’ai l’habitude de me rendre à la Cité des Sciences pour pas mal d’évènements relatifs aux logiciels libres comme le PyCon-fr ou les Ubuntu parties, je me suis dit que tout ceci était de toutes façons un malentendu, vu que la Cité des Sciences a TOUJOURS accueilli les communautés du Logiciel Libre TRES chaleureusement. Donc nous allons bien faire la différence, il s’agit bien de l’INPI qui est responsable de cette connerie et non la Cité des Sciences et de l’Industrie de la Villette.

Mais voilà à l’INPI, il y a des cons. Et les cons, une fois de plus ont osé ! Pour vous situer correctement le truc, l’INPI (Institut National de la Propriété Industrielle) c’est le machin où on va enregistrer des idées et tenter de les faire breveter pour s’assurer une rente à vie sur 12 générations (petit jeu auquel nous sommes d’ailleurs tellement nuls que dès qu’un français a une idée, aussi conne soit-elle, il va la faire breveter à l’étranger).

L’exposition intitulée  «Contrefaçon, la vraie expo qui parle du faux », est le faux évènement qui aura réussi à me mettre dans une vraie colère en censurant la Free Culture (attention Free au sens de libre, et non de gratuit). Cette histoire me rend hystérique car la personne que l’on a censuré, Isabelle Vodjani est une personne que je connais personnellement pour ses activités autour de l’art libre et que j’apprécie beaucoup. Je vous invite donc tout particulièrement à lire ceci, où Isabelle explique avec quelle stupidité, l’organisme national sensé protéger les créateurs en tous genres et favoriser l’innovation, se tourne en ridicule en censurant une pratique légale et respectueuse du droit de la propriété intellectuelle, fondatrice de l’Internet, reniant ainsi toute une génération d’entrepreneurs qui ne manqueront pas de s’en rappeler le jour où ils auront un choix de société à faire pour diffuser et vivre de leurs idées.


Publié le

blippy.com expose les données bancaires de ses clients

On pensait que les boulettes d’admins de ce genre étaient d’une époque révolue… mais non. Blippy est un réseau social sur lequel on partage des avis sur des achats, manque de bol, on partage aussi les données bancaires des membres. C’est un peu comme ce qu’on avait vu à une époque sur beaucoup de sites bancaires, sauf que là c’est 2.0 avec du social et de l’ajax dedans. Le point commun ? Des données des clients/membres sont accessibles sur le net, via un simple navigateur, dans le cache de Google (c’était encore le cas il y a quelques minutes).

Blipy est un réseau social se définissant comme par ces mots : « Blippy is a fun and easy way to see and discuss what everyone is buying. » soit comme « un moyen amusant est simple de voir et discuter de ce que tout le monde achète ». Aujourd’hui, suite une « petite boulette » expliquée ici, Blippy a laissé fuiter une poignée de numéros de cartes de crédit de ses membres ce qui nous donne à peu près ceci :

La petite boulette confessée par l’un des co-fondateurs a été nous assure t-on réparée suite à une intervention pour faire retirer ces résultats de recherche du cache de Google. C’est une mésaventure qui peut arriver à beaucoup de startups manipulant des données personnelles, et ce genre de petits incidents est également là pour nous rappeler l’intérêt d’organismes comme la CNIL ou les structures gouvernementales de veille comme l’ANSSI dont les rôles sont encore à la fois méconnus et peu valorisés au près de nombreux entrepreneurs du Net. Bref, rien de bien méchant, rien de bien grave, mais si ceci arrive pour un réseau social US qui en plus fonctionne pas trop mal, vous imaginez aisément le genre d’horreurs que l’on trouve sur le Net en France comme dans plein d’autres pays (non nous ne sommes pas les plus ridicules). Si l’acte d’achat sur le Net est aujourd’hui quelque chose de très courant en France, l’utilisation de certaines technologies non adaptées à l’informatique de confiance et quelques erreurs de conception font encore le bonheur de voleurs à la petite semaine qui n’hésitent pas à piller des victimes avec de simples requêtes sur des moteurs de recherche (et dans le domaine, Google est loin d’être le pire, Yahoo se montre souvent encore plus bavard).

Bonne chance à Blippy pour que ses membres oublient rapidement cet incident, le principe du site en lui même n’est pas mauvais et mérite que l’on s’y intéresse, on a vu des projets réussir avec des idées plus bêtes. En tout cas, Blippy a su communiquer de manière intelligente et agir promptement (et ça c’est nouveau, car en France, on a vu beaucoup d’entreprises comme Tati pour ne pas les citer) avoir une atitude bien plus stupide que Blippy pour tenter de justifier ce qu’il convient d’appeler depuis HADOPI, un « délit de négligence caractérisée« .

Merci à François pour l’info 😉

Publié le

HADOPI : Comment TMG compte réellement piéger les internautes ?

On apprenait hier que Trident Media Guard, TMG, pourrait utiliser l’injection aléatoire d’ip  fakées sur les réseaux P2P. Le procédé semble à la frontière de la légalité, mais on ne peut pas vraiment en juger, c’est justement le travail d’un juge de définir si oui ou non l’adresse IP constitue une donnée personnelle.

Mais là n’est pas le sujet du jour, nous allons plonger, techniquement, dans les entrailles du système TMG, car figurez que c’est public ! TMG a enregistré des brevets pour son système d’écoute, ce dernier est donc parfaitement spécifié, et c’est relativement bien fichu et plus élaboré que ce que l’on pensait initialement.  Mais ce qu’il y a de bien avec les brevets, c’est qu’il faut les spécifier correctement si on ne souhaite pas se voir exprimer un refus du bureau d’enregistrement… et comme je vous le disais, ces documents sont publics. Ceci n’est pas un scoop et avait été publié par PCInpact, en revanche ça redevient vraiment d’actualité avec cette histoire d’injection d’IP fakées sur les réseaux P2P.

Qui es tu TMG ?

TMG,  Trident Media Guard, est située à Nantes. Les personnes qui nous intéressent, ce n’est pas le board des associés… mais celles qui semblent constituer le noyau technique de l’équipe, ce sont celles ci :

Tout commence par une saine lecture, celle de ces deux documents.

  • Le premier : METHOD FOR REACTING TO THE BROADCAST OF A FILE IN A P2P NETWORK
  • Le second : METHOD FOR COMBATTING THE ILLICIT DISTRIBUTION OF PROTECTED MATERIAL AND COMPUTER SYSTEM FOR CARRYING OUT SAID METHOD
  • Et descriptif plus sommaire en français.

Ils s’agit d’un descriptif exhaustif du mode d’écoute des réseaux P2P par TMG, avec des beaux schémas qui représentent les cas d’utilisations en pratique. Rassurez vous nous avons quelques relations qui sont très au fait de ces technologies et que ces documents intéressent énormément.

Que controle TMG sur un réseau P2P ?

  • Les réseaux surveillés sont tous ceux basés sur le modèle GNUtella2 (BitTorrent, Emule, Edonkey …)
  • Le Client : le client est un sniffer qui récupéra les données du tracker surveillé.
  • Le tracker : l’endoit où les annonces de fichiers sont faites.
  • A peu près tous les maillons de la chaîne.

Une analyse approfondie de ces documents est nécessaire pour comprendre les faiblesses de ce système, nous en avons repéré, mais des personnes plus expertes que moi sur le P2P pourraient par exemple vous expliquer comment fonctionne les requêtes adressées par le sniffer comprenant :

  • Des faux nombres de bits reçus et envoyés (comme Seedfuck)
  • Un identifiant une adresse IP générée ALEATOIREMENT A CHAQUE CONNEXION (comme Seedfuck), du coup ceci empêche le tracker de bannir le sniffer de TMG.

Voir la section 0132 :

[0132]In order to gain authorization to access the addresses of the peers connected to the network, the request addressed by the sniffer 11 comprises a false number of bytes received, a false number of bytes sent, an identifier and an IP address that are generated randomly on each connection as well as an item of information relating to the desired file. This request, addressed in a periodic manner, allows the sniffer 11 not to be banished by the tracker 4.sub.p.

Read more: http://www.faqs.org/patents/app/20100036935#ixzz0lvBbSwuj

Donc vous n’hallucinez pas, TMG injectera bien aléatoirement des ip dans les réseaux P2P, c’est même très clairement spécifié !