Réaction à l’interview de Michel Zumkeller : Seedfuck, c’est juste l’apéritif…

Une interview de Michel Zumkeller a aujourd’hui été publiée sur 01Net. Le député a récemment demandé au ministre de la culture, de s’expliquer sur un problème laissé en suspend depuis bientôt un an qui est le risque important de voir de nombreux innocents accusés à tort par la HADOPI d’avoir illégalement téléchargé des oeuvres. Le journaliste de 01Net titille un peu Michel Zumkeller sur Seedfuck et j’abonde dans la démarche de Michel Zumkeller qui sans éluder la menace pose son regard sur le problème de fond sans plonger dans la psychose des vilains pirates, c’est franchement tout à son honneur.

Les faits à propos de Seedfuck:

  • Seedfuck est un proof of concept et non un logiciel hostile (ce que ces successeurs pourraient devenir).
  • Seedfuck n’est que l’apéritif, l’INRIA a par exemple validé la thèse des attaques par scan DHT pour confondre des utilisateur du P2P derriere le réseau TOR, à n’en pas douter, cette attaque se retournera contre les sociétés mandatées part les majors. Peu de temps avant la publication de cette étude, j’en parlais d’ailleurs dans ce billet.
  • Seedfuck n’est pas une arme technique mais une arme psychologique qui est là pour rappeler la faiblesse de la seule adresse IP comme preuve : ça c’est le premier problème majeur.
  • Seedfuck pourrait très vite faire grimper substantiellement la facture de la collecte des adresses ip que le gouvernement souhaitait complètement automatisée, « comme avec des radarts sur une autoroute », sans l’intervention d’un juge pour ceux qui n’ont pas la mémoire courte. On s’est donc orienté vers des ordonnances pénales, ce qui est une manière détournée d’évacuer le problème.

Mais il y a bien pire que Seedfuck…

Si on peut trouver une parade à un proof of concept, il y a un adage, chez nous qui dit la chose suivante : « There Is No Patch To Human Stupidity »… on ne patch pas la bêtise. J’y ajouterai que patcher l’ignorance a un cout financier social et humain que la HADOPI (donc le contribuable) risque de sentir passer avec ce qui va suivre.

Je vous en ai longuement parlé dans ce livre blanc. Il s’agit du WiFi, aujourd’hui présent dans toutes les box des founisseurs d’accès à Internet, livré par activé par défaut de manière non sécurisé chez certains fournisseurs d’accès (comme Numéricable).

Chaque année, depuis 5 ans maintenant, je me fais une session de wardriving. Il s’agit de recencer les réseaux WiFi et d’observer le chiffrement qu’ils utilisent. Cette année, les chiffres n’ont pas évolués, près de 60% des réseaux sans fil que j’ai relevé peuvent être pus ou moins facilement crackés. Le fichier de dump contenant les noms des réseaux et les adresses mac des points d’accès, je ne sais pas si j’ai le droit de les diffuser publiquement, toutefois si vous êtes journaliste et que votre demande est motivée par le besoin de vérifier mes propos dans un but d’information je vous invite à m’en faire la demande. En voici un court extrait (le fichier comporte plus de 2000 points d’accès recensés (non crackés, je précise) :

L’étape suivante, que je ne pratique pas car elle ne m’intéresse pas, c’est de géolocaliser ces réseaux, il suffit de brancher un GPS sur la machine qui réalise le wardriving (tout comme Google lui même le fait). Et vous devinez la suite ?

Imaginez une carte Google, qui serait mise à jour par des milliers d’internautes et qui recenserait des réseaux WiFi avec

  • leur position exacte,
  • leur SSID (nom de réseau)
  • leur clef WEP ou WPA qu’une personne aurait déja cracké

Les logiciels de sniffing WiFi incluent déjà tout ce qu’il faut pour cette pratique, comme l’export du dump pour Google Earth ou la visualisation géolocalisée des réseaux :

Enfin, WiFi ou pas WiFi, avec plus de 90% du parc informatique sous Windows (et plus de 40% dans des versions obsolètes, crackées ou pas à jour), le délit de négligence caractérisée devient une présomption de culpabilité et il n’est toujours pas proposé aux internautes une défense équitable ni un moyen de sécurisation absolu … car il n’existe pas. Dans ces conditions je ne m’étonne pas un instant de n’avoir encore vu passer la moindre bribe de spécification du logiciel de sécurisation de Christine Albanel et voté dans HADOPI 2 (le « Anéfé réjeté, gogogadjeto’firewallopenoffice« , ça marche à l’Assemblée Nationale, mais dans la vie réelle, c’est une autre paire de manches). C’est bien là toute l’absurdité de la loi HADOPI que nous dénonçons depuis le début.

Les récentes et consternantes déclarations de Franck Riester sont la pour nous rappeler qu’HADOPI est une guerre perdue d’avance car la loi elle même, comme les personnes qui l’ont rédigé, ne connaissent pas leurs ennemis ni leurs alliés.

HADOPI était sourde dans l’Hémicycle, elle est aujourd’hui aveugle.

7 réponses sur “Réaction à l’interview de Michel Zumkeller : Seedfuck, c’est juste l’apéritif…”

  1. Je me demande si les personnes souhaitant mettre en place HADOPI croient sincerement a la possibilité qu'elle puisse être un jour éfficace.
    Je n'ai peut etre pas un avis objectif , mais force est de constater qu'apres des POC et tant de remontées négatives sur le moyen comme sur le fond , il est bien difficile d'y croire.
    On fait face à une intimidation qui ne prend pas face aux internautes avertis (pas la majorité mais quand même) .

    Il est évident pour quiconque veut bien s'y intéresser qu'il existera toujours des parades au "flashage", voire des solutions pour neutraliser ou compliquer la surveillance des "reseaux P2P" et autres… C'est logique finalement lorsque l'on s'attaque à plus averti / interessé / de plus compétent (rayer la (les) mension inutile(s)) que soi.

    Ne pouvant croire à une telle bêtise de la part de nos dirigeants (du moins d'une majorité), je me dis que c'est purement de la communication, il s'agit plus d'impressionner et de faire peur, pour dissuader. C'est la technique habituelle finalement non ?

    PS : n'allez surtout pas mal interprété le début de mon dernier "paragraphe"

  2. Létape suivante, que je ne pratique pas car elle ne mintéresse pas, cest de géolocaliser ces réseaux, il suffit de brancher un GPRS sur la machine qui réalise le wardriving (tout comme Google lui même le fait). Et vous devinez la suite ? ==> GPS

  3. Ton raisonnement est loin d'être idiot et je crois le gouvernement tout a fait capable de ce genre de pari un peu crétin. Pourquoi crétin ? Tout simplment parce qu'il y a une grossière erreur de casting à la base :
    95% des internautes capables d'installer et de télécharger sur emule sont assez aguerris pour télécharger autrement (car c'est encore plus simple que le P2P (voir le direct download, le streaming et même le vpn).

    Voyez un simple exemple :
    http://lmgtfy.com/?q=dvdrip+site%3Amegaupload.com

  4. Ton raisonnement est loin d'être idiot et je crois le gouvernement tout a fait capable de ce genre de pari un peu crétin. Pourquoi crétin ? Tout simplment parce qu'il y a une grossière erreur de casting à la base :
    95% des internautes capables d'installer et de télécharger sur emule sont assez aguerris pour télécharger autrement (car c'est encore plus simple que le P2P (voir le direct download, le streaming et même le vpn).

    Voyez un simple exemple :
    http://lmgtfy.com/?q=dvdrip+site%3Amegaupload.com

    1. "95% des internautes capables d'installer et de télécharger sur emule sont assez aguerris pour télécharger autrement car c'est encore plus simple que le P2P (voir le direct download, le streaming et même le vpn). "

      Techniquement , oui.
      Cela dit, j'ai le sentiment que le P2P est un peu dépassé, je veux dire par la que bien que cette méthode de telechargement soit encore pas mal utilisée, elle existe depuis belle lurette et bien d'autres moyens ont vu le jour depuis (ceux que tu cites , auxquels je rajouterais peut etre l'utilisation de newsgroup).
      Du fait de la relative ancienneté des reseaux P2P , les gens y sont plus ou moins habitués et je ne pense pas trop m'avancer en disant que emule et devenu un des logiciel de P2P les plus utilisés…
      Du coup, bien que le direct download (pour ne citer que cette méthode) soit plus simple et plus pratique, peu de gens l'utilisent car ils sont habitués a leur bonne vieille mule qui a (plus ou moins :p ) fait ses preuves. C'est a dire que je vois ca un peu comme un changement d'OS, les personnes "satisfaites" de leur OS ne cherchent pas à en trouver un autre.
      Tout ca pour dire que le download via des reseaux P2P s'est tellement démocratisé , que je doute que le pas vers d'autres méthodes de téléchargements soit franchi dans un avenir suffisamment proche pour éviter un flashage.

      Ce qui revient finalement à dire que je pense que "leur pari crétin" va fonctionner à moitié : je vois bien les utilisateurs de reseaux P2P qui téléchargent illegalement (rappeler au passage qu'un telechargement sur un reseaux P2P n'est pas nécessairement illégal ne me parait pas anodin) risquent de se diviser en trois parties :les plus réactifs et désireux de télécharger sereinement vont probablement se tourner vers de "nouveaux" moyens de telechargement , tandis qu'une autre partie va diminuer ses activités de download tant la com' du gouvenement aura fait son effet. Enfin , Mr et Mme X à qui leur neveu a expliqué le fonctionnement d'emule en 2006 vont continuer de l'utiliser.

      Et finalement , les vrais "pirates" seront flashés pour la sortie de Duke Nukem Forever.

  5. Quand est-ce qu'on va se décider à créer un mesh gigantesque, détaché d'Internet, avec des points d'accès qui se parlent en BGP, et un équivalent du RIPE pour leur attribuer des IPs (en IPv6 directement, tant qu'à faire).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.