Année : 2010

Publié le

Ministère de la Culture : des p’tits trous, des p’tits trous toujours des p’tits trous

J’attends toujours avec une grande impatience les décrets d’application d’HADOPI. Celui que j’attends le plus, c’est évidemment celui qui désignera le délit de négligence caractérisée, cette hérésie que j’ai tenté de vous expliquer modestement dans ce petit livre blanc sur la sécurisation des connexions wifi.

Le Ministère de la Culture, qui est à l’origine de ce fantasme qui voudrait que Madame Michu devienne admin système, est comme tout le monde le sait, irréprochable … la négligence caractérisée, c’est pas leur truc … leur truc à eux c’est plutôt ça :

… et ça

Publié le

Hackable:1 et OpenMoko : souplesse, liberté et convivialité

Après les bidouilles matinales sur mon téléphone de commercial. et comme j’étais parti pour geeker sur du matériel après une journée et et une nuit d’intégration KSS/CSS et ZPT, je me suis penché sur le Freerunner que j’avais plantouillé il y a quelques semaines. Pour le reflasher, point de pirouettes et de bidouilles de baseband, celui là il est hackable … B.I.D.O.U.I.L.L.A.B.I.L.I.T.É !

La souplesse

On commence par se rendre sur le site d’Hackable:1 et on récupère l’image à flasher. Cette Rev5 porte le doux nom de Chuck puisque peu de choses lui sont impossibles. L’auteur du splash screen c’est bibi 😉
On appuie simultanément sur les boutons power et aux pour arriver au boot menu, avec aux on sélectionne Set console to USB, et hop on lance le flash , il existe sur mac un outil graphique et libre qui vous évitera les galères d’interfaces réseau avec cet os quand on flashouille avec la méthode Linux sur un Mac…

Openmoko flasher

ce qui nous amène tout droit direct à la … détente.

La détente

Hackable:1 est une distribution embarquée basée sur Debian GNU/Linux, du coup c’est assez royal niveau packages et ça permet de faire des choses intéressantes tout de suite… sans avoir à cracker quoi que ce soit, tout en finesse, on se concentre uniquement sur les objectifs et plus trop la manière d’y arriver… ça coule de source. Hackable:1 utilise Gnome Mobile et propose un environnement relativement bien utilisable.

Et la convivialité

Bon ok, ça reste pour les développeurs, c’est assez expérimental, le device lui même n’est plus tout récent et manque cruellement d’un chip 3G, mais le Freerunner n’en reste pas moins une plate-forme de développement idéale et Hackable:1 est destinée à être utilisée sur d’autres matériels embarqués … portabilité …;

Cette semaine à la Cantine, c’est la semaine anniversaire et il va se passer des choses. En cette occasion, Deubeuliou, release manager d’Hackable:1 y donne rendez-vous pour un HOUM : Hackable:1 et Openmoko User Meeting le vendredi 29 Janvier, de 19h à 22h .

Publié le

iPhone : upgrade en 3.1.2 à la bourin

iphone hacksCa faisait un bail que je n’avais pas joué avec l’iPhone, mais là, trop de lenteurs et des fixs de sécurité importants ont finit par me convaincre de l’utilité d’upgrader le machin. C’est une opération que je fais rarement car mon iPhone est jailbreaké et j’y ai collé un max d’applications après l’avoir correctement partitionné.

Voici ma méthode de migration, elle s’adresse à des personnes qui savent ce qu’elles font et connaissent déjà la procédure de jailbreak, ssh et les commandes Unix de base … Il explique juste une procédure pour le backup et la restauration qui permet de passer très simplement outre iTunes et donc qui fonctionne avec GNU/Linux ou un autre OS propre. Les outils de jailbreak utilisés ne sont malheureusement pas disponibles sous GNU/Linux et je n’ai pas testé ceci mais à mon avis c’est du super expérimental vu les dernières dates de commit.

Notez que nous partons d’un iPhone déjà jailbreaké en 3.0 et qu’on souhaite l’upgrader en 3.2.1.

En tout cas voici un petit truc qui fonctionne sous toutes les plates-formes et qui vous fera gagner beaucoup de temps si vous avez plein d’applications, même si c’est long, c’est toujours plus rapide qu’une réinstallation des applications unes par unes.

Voilà le monde qu’il y a chez moi dans le répertoire Applications :

Backupper ses données :

On commence par connecter son iphone à son Lan en wifi et on s’assure qu’on ssh est bien activé, il s’installe normalement avec Cydia en fonction du profil que vous sélectionnez.

On root l’iphone :

$ ssh root@ipdemoniphone

Si vous n’avez pas changé votre mot de passe root par défaut vous me ferez 50 pompes … et le pass c’est « alpine ».

puis

$ cd /var/mobile

$ scp -r * Applications monuser@mamachine:/mon/bureau

Et hop, voici vos applications backuppées. On va faire pareil avec les médias vu que j’ai pas trop envie de passer par iTune pour gérer ça :

$ cd /private/var/mobile/
$ scp -r Media

C’est assez long en fonction du volume de musiques que vous aviez là dedans.

On lance maintenant mise à jour, on récupère le firmware ici

Et on lance Pwnagetool. Si vous avez un 3G sur l’interface graphique sélectionnez l’iPhone de droite 3G(S). On passe en mode expert, on double clic sur général, partition appli à 7go (au max pour moi), on se downloade l’intégrale des packages de Cydia, puis dans sélection des packages on fait notre shopping, on oublie évidement pas le cydia intaller et les trucs utiles, comme les BSD tools ou le gestionnaire de package Debian. J’installe L’installer Cydia et lcy. Seule feinte ici pour moi, comme je suis chez orange, je désactive l’activation.
Je modifie mon logo de démarage et je sélectionne générer pour lancer le build de mon firmware et repartitionner notre iPhone.
Bon là c’est super long, ça reste bloqué très longtemps, genre une vingtaine de minutes, sur la préparation du téléphone (sûrement le partitionnement)… laissez le faire, ne touchez à rien si vous n’avez pas explicitement de message d’erreur.

Une fois le firmware custom injecté, il ne reste qu’à synchroniser l’iPhone. Si vous avez un soucis sur l’activation, fermez iTune débranchez le téléphone et rebranchez le.
Enfin lancez Cydia, mettez à jour les essentiels et surtout unue fois que le terminal ne plantouille plus (après la mise à jour des essentiels, de core utils, d’OpenSSH…), lancez le et changez votre pass root :

$ su root

Le mot de passe par défaut est « alpine »

puis :

$ passwd

entrez votre mot de passe et nous voilà fins prêts.

Puis on scp nos applications sur l’iPhone en mode bourin :

$ scp -r Applications/ root@ipdemoniphone:/var/mobile/

Une fois achevé le transfert, on reboot le device et là Oh joie, toutes vos applications alternatives (mêmes celles installées avec hackulo.us) sont restaurées, seul inconvénient, l’ordre des icônes n’a pas été conservé (ne riez pas j’ai 10 pages d’apps … ça peut être long à trier).

Et à la question … oui Installous et Hackulo.us fonctionnent. Il y a maintenant un programme de backup d’apps qui est même proposé dans leur dépôt mais je ne l’ai pas encore testé et je ne sais pas trop ce qu’il restaure. En plus du repository cydia.hackulo.us, il vous faudra ajouter apt.modmyi.com dans les sources.

Publié le

LOPPSI : une loi martiale pour Internet

La loi d’orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI) va finalement être discutée _en urgence_ à partir du 27 janvier… ou comment s’entêter dans la stratégie de l’échec. Il faut reconnaitre une certaine opiniâtreté à Nicolas Sarkozy… notre président a le don de faire des boulettes, et de les faire vite … c’est un don inné chez lui. LOPPSI dans de telles conditions entérine définitivement l’idée que le Gouvernement déclare la guerre à nos libertés fondamentales.

Il y a bien évidemment derrière cet empressement une stratégie politique d’asphyxie du débat parlementaire. Échaudé par l’échec cuisant d’HADOPI 1, le gouvernement a donc fait le choix de prendre les parlementaires pour des cons de vitesse en leur laissant un délai très sensiblement réduit pour déposer des amendements, la limite de dépôt est donc fixée au samedi 23 janvier. Rarement un gouvernement aura fait voter des lois d’un tel impact avec si peu de démocratie, c’est une véritable honte, une insulte à ceux qui sont morts pour nos libertés, une insulte à la République et à la démocratie. Le constat est terrible car ce genre de pratiques totalitaristes appliquées à un sujet aussi grave que le filtrage, qui est rappelons le un flicage dans les règles de toute la population, sont les prémices d’une dictature qui ne se voile même plus la face.

Si vous pensez que j’exagère, je vais vous expliquer ce que prévoit LOPPSI avec des mots très simples :

  • Imaginez qu’à chaque fois que vous décrochez votre téléphone, votre conversation soit écoutée .. juste comme ça, juste parce que tout le monde est présumé coupable ;
  • Imaginez que la Poste ouvre SYSTÉMATIQUEMENT le courrier pour s’assurer que ce que contient l’enveloppe ne comporte rien d’illégal … et bientôt de subversif …
  • Imaginez qu’à chaque fois que vous prenez votre véhicule, un GPS affiche votre position en temps réel, votre vitesse (…) au ministère des transports … juste comme ça, pour votre « sécurité »…

Vous ne rêvez plus, souriez, voici la LOPPSI !

Lors de la présentation de Tweest la semaine dernière à la Cantine, Nathalie Kosciusko-Morizet, très fière de son bon mot a lâché une bombe que personne ne semble avoir relevé… une énormité justifiant son soutien pour les mesures de filtrage ! Je cite : « le filtrage permet des cybers écoutes et non cybers perquisitions ». Rarement une tentative de justification de l’injustifiable n’est apparue à mes yeux aussi ridicule… j’en avais rêvé, NKM l’a fait…

Dans cette petite perle, je sais pas pour vous, mais moi ce qui me choque, c’est que :

1° Une perquisition est quelque chose de très encadré, nécessitant l’intervention d’un juge et l’obtention d’une commission rogatoire. En toute logique, une perquisition se justifie donc par un besoin réel de l’autorité judiciaire de contrôle d’une personne sur laquelle sont portés des soupçons légitimes, fruits d’une enquête judiciaire.

2° Une cyber écoute généralisée est issue de la volonté des politiques de restreindre les libertés de tous les citoyens (j’ai beau chercher, je ne trouve AUCUNE autre justification). Le filtrage, comme le défend maintenant très ouvertement Nathalie Kosciusko-Morizet, c’est bien une cyber écoute généralisée… prenez le dans tous les sens, vous arriverez aux mêmes conclusions que les miennes. Ce simple état de fait ne peut être toléré dans une démocratie, si le Conseil Constitutionnel laisse passer un tel affront, c’est qu’il y a bien quelque chose de pourri dans notre « démocratie ».

Ainsi, il convient de dénoncer cette nouvelle urgence que s’est subitement découvert le gouvernement godillot de Nicolas Sarkozy après ses quelques tentatives d’enfumage, d’ici sur l’identité nationale, de là sur la taxe Google qui nous a fait passer pour des crétins dans le monde entier…

Il va falloir AGIR contre LOPPSI, et agir :

Vous l’aurez compris, l’heure est grave, c’est le moment de se remuer. Enfin, j’ai beau n’être pas grand chose sur cette toile, j’appelle de toutes mes forces les internautes, les journalistes, les députés de droite comme de gauche, les artistes, vous simples citoyens,  à ouvrir les yeux sur ce qui est en train de se passer, nous avons tous un rôle un jouer, et c’est tout de suite !

Publié le

Filtrage du Net : petit Sarkozy peut-il devenir un grand Berlusconi ?

censure en italieLes bras m’en tombent, l’Italie  vient de voter la loi la plus débile de l’histoire de l’Internet européen (encore un domaine ou la France n’arrive pas à innover, et c’est pas faute d’essayer). Un décret impose à compter du 27 janvier 2010 une autorisation du ministère italien des communications pour pouvoir publier des vidéos sur le Net ! C’est l’une des plus fantastiques entraves à la Neutralité du Net qu’il nous est donnée de voir pour le moment près de chez nous… c’est vraiment tout près là, à tel point que ça risque de donner des idées à certains… d’ailleurs Copé l’a bien annoncé : « Il faudra qu’un jour ou l’autre on assume un débat public sur internet et la liberté ». « Cet immense espace qu’est internet, dans lequel on peut finalement diffuser n’importe quelle image, la tronquer dans tous les sens… » dormez tranquilles internautes français, les politiques s’occupent de tout, c’est pour vous protéger on vous dit.

DADVSI, HADOPI, LOPPSI … faut dire que ça sonne bien rital tout ça !

J’ai une bonne et une mauvaise nouvelle :

  • La bonne : la France n’a pas le monopole de la cyber connerie.
  • La mauvaise : on pourrait très bien être les prochains.

Explication dans le texte :

Attention vous allez voir ça commence à se préciser, le gouvernement italien appuie son décret sur la directive européenne 2007/65/CE qui pourrait bien donner des idées  par chez nous. Pour parfaire le tableau, rappelons que Silvio Berlusconi est le propriétaire du plus grand groupe média italien, Mediaset, et qu’il réussit là un coup double : museler l’opposition sur autorisation mnistérielle et se débarasser de la concurrence « déloyale » que représente Internet. Permettez moi d’y voir un lien assez inquiétant avec cette déclaration de Nicolas Sarkozy “ Le problème d’Internet est considérable parce que comment voulez-vous que les gens achètent leur journal en kiosque s’il est gratuit sur Internet ? ” … pourquoi ne pas interdire les blogs pour sauver la presse après tout ?

Et maintenant la très bonne nouvelle :

Avec HADOPI 1, le gouvernement français a pris une énorme claque sur le coin du nez avec la décision du Conseil Constitutionnel qui consacre Internet comme un outil indispensable à l’exercice d’un droit fondamental : la liberté d’expression. Oh ceci n’arrêtera pas Nicolas Sarkozy dans son oeuvre de filtrage et trouvera surement quelques subterfuges  pour passer outre l’avis du Conseil des Sages avec une ou deux pirouettes (comme les ordonnances pénales) ou en nous trouvant un lien de filiation entre Ossama Bin Laden et Google… mais ce sera beaucoup plus compliqué qu’en Italie !

Mais n’oublions pas :

« Quand ils sont venus chercher les communistes,
Je n’ai rien dit,
Je n’étais pas communiste.
Quand ils sont venus chercher les syndicalistes,
Je n’ai rien dit,
Je n’étais pas syndicaliste.
Quand ils sont venus chercher les juifs,
Je n’ai pas protesté,
Je n’étais pas juif.
Quand ils sont venus chercher les catholiques,
Je n’ai pas protesté,
Je n’étais pas catholique.
Puis ils sont venus me chercher
Et il ne restait personne pour protester. »

Martin Niemöller

Publié le

Le filtrage « ça marche » … le problème est toujours situé entre la chaise et le clavier

filtrageOn apprend aujourd’hui que la Turquie bloque plus de  3700 sites web … ah ils doivent avoir des supers « gros ordinateurs » comme dirait le député Myard … il doivent aussi avoir de sacrés gros boulets entre la chaise et le clavier de ces mêmes ordinateurs… ou les « encore plus boulets » qui les gouvernent. Pour une fois, il ne s’agit pas d’un filtrage accidentel .. pas comme les anglais « j’me suis trompé d’bouton, désolé, tenez je vous remets wikipedia »  … pas comme les australiens « bon ok au début c’était la pédo pornographie mais le jeux n’est il pas un pêcher capital » ? … non non … là c’est bien un filtrage politique, à la chinoise. Ah mais la Turquie c’est loin, c’est même pas l’Europe .. alors la Chine pensez vous ma petite dame … et là c’est assez près ? … comme c’est étrange, un pays ou le pouvoir et les médias entretiennent une certaine collusion … un peu comme chez nous …

Y’a pas à dire, le filtrage « ça marche », ça marche fort même… tant qu’il y aura des dictateurs.

« ils l’ont bien fait en Chine« … Allez Camarade Nicolas … plus qu’un petite loi en « i » et on sera tous turcs, tous chinois, tous pédophiles, tous terroristes … tous filtrés. Le vrai terrorisme en France, c’est celui du politique qui s’accroche à sa parcelle de pouvoir et qui est prêt à s’attaquer à des droits fondamentaux inscrits dans la Constitution pour garder sa part de galette. C’est le terrorisme de celui qui se sert au lieu de servir.

Le camarade Nicolas nous a promis que le filtrage ça sera pour les pirates, NKM jure par tous les grands dieux que ce ne sera que pour les sites pédophiles, … demain c’est quoi ? Copé qui va nous dire que finalement on va aussi l’appliquer à mon blog parce que je trouve que vous êtes une belle bande menteurs ? Si la Turquie n’a pas sa place dans l’Union Européenne, pourquoi la France aurait elle sa place au rang des nations qui pratiquent la dictature et le terrorisme culturel  ? Qui peut croire un politique qui vous dit qu’il va dresser une liste secrète qui ne contiendra que des sites x ou y  alors qu’il peut filtrer ce qu’il veut .. juste comme ça … parce que c’est facile … parce qu’il en a le pouvoir … tous les pays dotés de ces outils ont succombé à la tentation … c’est quoi qui différencie la France de ces pays ? L’intégrité de nos politiques ? Leur brillante capacité à confier à un taulard une mission ministérielle sur les prisons et leur l’incapacité à écouter les internautes parler d’Internet en confiant au ministère de la Culture le pouvoir de légiférer sur un truc auquel il est totalement étranger ? Mais comment voulez vous que l’on vous prenne au sérieux ? Give a monkey a brain and he’ll swear he’s the center of the universe, give a politician net filtering and he’ll swear he’s chinese …

Le problème est toujours entre la chaise et le clavier … toujours. Heureusement dans tous les filtres .. y’a plein de petits trous, ça évite le moisit.

Publié le

Filtrage : ne nous faisons pas plus cons que les e-gnares

net neutrality nowDepuis quelques jours, le filtrage par DPI (Deep Paquet Inspection) est très en vogue dans les blogs de France et de Navarre. Il convient cependant d’en causer avec des pincettes pour plusieurs raisons.

Premier point : on y est pas encore ! Si Nicolas Sarkozy appelle « sans délai » à des expérimentations de filtrage, peut être n’est-ce après tout que pour parfaire sa culture personnelle sur un sujet qu’il maîtrise comme nous le savons tous parfaitement.

Second point : on ne parle pas de filtrer le marc de café, mais des communications électroniques. Contrairement à ce qu’à pu nous raconter le député Myard dans ses errements aux relents totalitaires, il ne suffit pas d’avoir de « très gros ordinateurs ». S’il suffisait d’avoir de très gros ordinateurs … les barbus n’essaieraient pas de faire péter leurs godasses dans les avions.

Troisième point : filtrer, c’est bien mais on filtre quoi ? Là, croyez moi, on va rigoler. J’étais hier à la présentation de Tweest, celle où NKM, pressée par les questions sur lesquelles tout le Net attend des réponses depuis un an, a finalement lâché le morceau. Elle s’est déclarée en faveur du filtrage des sites pédo-pornographiques, et UNIQUEMENT de ces sites, suite dénonciation sur le portail gouvernemental dédié à cet effet … Ce côté « bisounours hémiplégique » qui hémiplégie de l’autre hémisphère que Benjamin Bayart a quelque chose de sympathique, de naif et de touchant. Attention séquence émotion, voici le workflow d’un filtrage pour NKM.

  • Mr Dupont reçoit un email lui indiquant qu’il a gagné 100 millions de dollars à la loterie Microsoft, il n’a jamais joué à ça, d’ailleurs il ne savait pas que Microsoft donnait dans le PMU … mais c’est pas grave … il clique … et là c’est le drame.
  • Il s’empresse d’aller signaler, comme 15 000 personnes l’ont fait cette année, ce site web aux autorités compétentes, via le site web  dédié.
  • Loic Le Meur est alerté, et paff il passe un coup de fil à Google
  • .. clap clap finit les pédo nazis, Mr Dupont est un héro.

… je ne vais pas vous en dire plus pour le moment, mais croyez moi, on va en reparler dans peu de temps …

Écartons nous un instant des considérations techniques et revenons à ce qui est dit, maintenant, par notre président qui appelle au filtrage « sans délai ». Dans ses vœux au ministère de la Culture, après une chouette opération d’enfumage avec sa taxe Google, Nicolas Sarkozy a quand même réussit l’exploit de rentrer en contradiction avec NKM pourtant docile sur la question … Nicolas lui les pédophiles c’est une chose, mais il faut aussi filtrer les sites qui permettent l’échange de fichier … les contenus « pirates »… et là du coup je m’interroge …

  • Qu’est ce qu’un site qui permet l’échange de fichiers ? … réponse conne à la question con … tous.
  • Le workflow reposant sur la dénonciation s’appliquera t-il aussi à ces sites ?
  • Quel est le rôle du juge ? On se fait un p’tit coup d’ordonnance pénales histoire de ne pas laisser moisir le corpus législatif d’HADOPI ?
  • Est ce que les blogs de politiques qui violent la GPL et les Creative Commons en virant la mention du footer des auteurs sur les thèmes graphiques qu’ils utilisent seront eux aussi filtrés sur simple dénonciation ? (croyez moi y’en a un paquet).

… Ben ouai, le « sans délai » c’est bien mais faut pas oublier son neurone en route.

Rappelons nous enfin que ces vociférations du président ne sont pas sans rapport avec la démagogie ambiante qui précède chaque élection, là encore, nous sommes face à un phénomène d’une affligeante banalité… faut bien rentrer dans le lard de quelque chose quand on a rien à dire, et pour ça, les pirates, c’est un bon client … pour les présidentielles, vous allez voir qu’on en reviendra à nos bons vieux hackers chinois, une valeur sûre !

Ensuite … et seulement après s’être posé ces quelques questions, on peut décider (ou pas) de théoriser sur l’application éventuelle d’un filtrage qui portera la griffe de notre exception culturelle : il sera hybride, coûteux et inefficace.

« Dis papa c’est quoi le DPI ? »

– Ça fiston, c’est un truc super cool qui permet à papa de faire la traque aux virus pour protégéer les neuneux qui cliquent partout comme Monsieur Dupont. C’est un bidule uber puissant qui est capable de reconnaitre un choux d’une carotte dans un caddie de supermarché et de ne placer que les carottes dans le panier du lapin.

« Mais comment il fait le lapin s’il a envie de manger un choux ? »

– Ben il ne décide pas, et puis les choux c’est pas bon pour le lapin, ça lui donne des gaz.

« Et s’il veut manger un navet il fait comment ? »

– Là encore il ne décide pas, son docteur, le bienveillant Nicolas décide pour lui et papa applique l’ordonnance du docteur.

« C’est pas super sympa pour le lapin qui aime le chocolat … »

– Mais si c’est super sympa, parce qu’à chaque fois qu’il revient au supermarché, le lapin est maintenant automatiquement guidé au rayon des carottes, on peut lui envoyer des tickets de promotions sur tous les modèles de carottes qu’on a en supermarché, c’est ça le DPI, un outil qui permet de cibler les carottes qui conviendront le mieux au lapin et donc de faire en sorte qu’il passe le moins de temps à chercher dans les rayons du supermarché… c’est pour son bien !

« Et que se passe t-il si le lapin change de magasin ? »

– Ah … ben là le DPI de papa il marche plus, pour que ça marche il faut que le lapin vienne dans le même magasin, avec le même caddie, avec la même voiture, prenne la même route, qu’il aille tout le temps dans le même rayon et paye à la même caisse … sinon ça fout en l’air tous les supers algos de papa …

« Ben c’est nul ton truc si tu peux pas empêcher le lapin de changer de supermarché »

– c’est pour ça que papa a un autre jouet … il s’appelle BGP… avec ça papa il peut empêcher l’accès à tous les autres supermarchés. DPI n’est pas fait pour interdire au lapin d’aller chez les concurrents, par contre avec BGP je peux détruire l’autoroute qui mène à la ville voisine où se trouvent les autres supermarchés.

« Et ça coute cher tes jouets papa ? »

– oui très, et en plus ça marche pas toujours

« Ah bon ? »

– il arrive des fois que le lapin change de voiture, ou pire … qu’il change de route ! … et dans ce cas là, impossible de le reconnaitre, c’est pour ça que le mieux, ça reste quand même de détruire les routes et de faire un dôme au dessus de notre ville pour être sur que notre lapin n’aille pas à la concurrence.

« Mais comment ils font tout ceux qui ne sont pas lapins et qui mangent pas de carottes »

– Là tu fais chier avec tes questions !

Publié le

Google Chinagate : le Net bridé se débride

google chinagateVous n’avez certainement pas pu passer à côté de ce qui agite les relations Googlo chinoises ces deux derniers jours… le ton monte sérieusement. Factuellement, nous avons bien peu d’informations, juste assez pour comprendre la gravité de la situation et la bêtise sans borne de tout filtrage. Replaçons nous dans le contexte. La Chine n’a jamais crié sur tous les toits qu’elle accordait aux internautes la liberté d’expression sur le Net, et encore moins la liberté de s’informer de sources diverses et variées, on ne plaisante pas avec la subversion en Chine.

Fort de la connaissance des attentes de ce client particulier, Google ne pouvait cependant pas délaisser le plus grand marché en volume du monde. Etre présent en Chine était tout ce qu’il y a de plus normal pour le géant américain, quitte à laisser à la frontière ce qu’il défend ailleurs, la Neutralité du Net (vous savez ce truc « fourre tout » aux yeux de Nathalie Kosciusko-Morizet). Du coup, Google, se pliant aux volontés du gouvernement Chinois a filtré, pendant plusieurs années de nombreux sites étrangers ou locaux en rapport de prêt ou de loin avec les droits de l’Homme (ONG, opposants …).

Puis un jour, comme ça, sans raison apparente, le loup montre les crocs. Google dénonce une attaque d’une ampleur impressionnante et surtout, utilisant des techniques très sophistiquées … aussi sophistiquées que celles qu’emploirait un Etat qui pratique la cyber guerre offensive. Des comptes mails d’opposants politiques du gouvernement chinois auraient été la cible de ces attaques. Ce, peu après la condamnation du Dr Liu Xiaobo à 11 ans de prison pour « subversion ».

Y’a comme de l’eau dans le gaz …

Google.cn a décidé en réaction de lever tout filtrage, les internautes chinois, bien que filtrés par le firewall gouvernemental maison (une sorte de filtre parental anti subversion un peu sur le modèle de celui qu’on souhaite nous faire avaler en France), trouvent via Google réponse à leurs questions les plus « subversives ».

En réaction, le gouvernement chinois répond par ce qu’il sait faire le mieux … la censure.

Je sais pas vous mais moi, j’ai comme envie de demander des comptes au député Myard sur le modèle de société numérique qu’il défend.

Alors ça veut dire quoi une attaque « hautement sophistiquée » ?

Loin de moi l’idée de mettre en cause les conclusions de experts en sécurité que Google et les 32 autres sociétés étrangères qui ont été la cible de ces attaques, mais il convient cependant de comprendre de quoi on parle avant de se faire sa propre opinion.

Depuis fin décembre, une poignée d’importantes vulnérabilités ont été découvertes dans le format PDF de l’éditeur logiciel américain Adobe (qui comte lui aussi parmi les cibles de ces attaques). La vulnérabilité exploitée par les assaillants n’aurait été patchée par Adobe que mardi dernier… mais nous allons revenir là dessus un peu plus loin.

Le format d’Adobe aurait donc été exploité pour inoculer un cheval de Troie, et collecter d’impressionnantes quantités d’information de ces cibles, ce trojan nommé Trojan.Hydraq , stocké sous forme de dll sur les systèmes cibles ouvre un backdoor (une porte dérobée) et collecte tout ce qu’il peut sur la machine infectée. Jusque là rien que de l’hyper classique en somme… Sauf que la cible, à en croire ce qui s’est écrit ici ou là, c’était le code sources d’applications (dont certaines applications web de Google… comme Gmail), révélant ainsi des informations sensibles exploitables par les intrus en vue de récupérer des informations personnelles ciblées, celles de militants en faveurs de la protection des des droits de l’Homme.

Disclose or not disclose ?

Cette petite histoire nous démontre, une fois de plus, que la sécurité par l’obscurantisme et le manque de correctif immédiat à une vulnérabilité peut couter cher, très cher. Aussi je me permet de revenir sur l’interessant, car factuel, billet d’Eric Freyssinet relatif à la décision de la cour de Cassation qui réprime “le fait sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données”. Derrière cette décision, le full disclosure, ou le fait de dévoiler au public les mécanismes et le code en vue de l’exploitation d’une faille de sécurité est dans une certaine mesure directement visé. Tout est dans l’intention pourrait on retenir. Cependant, le responsible disclosure (dévoiler publiquement l’exploit après que la vulnérabilité ai été patchée), ça ne fonctionne pas toujours. Ainsi, il peut se passer plusieurs jours, semaines, mois ou années avant qu’une réponse ne soit apportée. C’est ce laps de temps qu’il convient de réduire un maximum, mais que beaucoup trop d’éditeurs logiciels (propriétaires ou libres), laissent filer… si la faille n’est pas publique, après tout … pourquoi se presser ? Le full disclosure, quoi qu’on en dise a une vertu, il agit comme un véritable coup de pied aux fesses et contraint à la réponse rapide, avant une éventuelle exploitation.

Attention, je ne dis pas que si le zero day exploit qui a été utilisé pour les attaques dont nous parlons ici avait été rendu public, ceci ne serait pas arrivé… Le format PDF suscitte l’attention de beaucoup d’experts en sécurité informatique depuis environ un an. Nombreux sont ceux qui s’accordaient à dire que ceci allait arriver, l’histoire leur a donné raison … faut dire qu’ils avaient de sérieux arguments (null, mais sérieux … humour de geek … désolé)  et les yeux se portaient alors sur JBIG2…. Bravo Cédric, une fois de plus, tu ne t’étais pas planté. Les tâtonnements des uns et des autres ont finalement permis à des personnes pas super bien intentionnées d’aboutir à ce zero day exploit qui aurait été utilisé pour attaquer Google et une trentaines de sociétés poids lourds du Net.

Méditons … que ce serait il passé si ce zero day avait été dévoilé publiquement avant son exploitation ?

Encore une fois, je sais que je radote, mais la sécurité est un process, pas produit, les modèles de réponses que l’on souhaite apporter à ces problématiques, surtout quand elles concernent une vulnérabilité dont on sait que la propagation pourrait être répide et coûteuse doivent être définis par un cadre légal, cependant je m’interroge aujourd’hui sur une mesure d’interdiction… même si les arguments de la cour de Cassassion sont de bon sens.

Publié le

Twitter et les politiques

Sur l’invitation de la Cantine et de la Netscouade. je suis à la Cantine pour suivre une table ronde sur le thème « Twitter et les politiques ». L’outil de micro blogging, très en vogue chez les politiques. Parmi les invités : Nathalie Kosciusko-Morizet, Dominique Paillé (porte parole de l’UMP), Sandrine Belier (europe écologie), Alain Dolium (tête de liste IDF Modem), Lionel Tardy (Député UMP) …

La presse s’est déplacée en masse Arnaud Montebourg s’est désisté, dommage, un socialiste pro HADOPI aurait pu animer le débat, Benoit Hamon est en route, mais il a un sérieux contretemps.

Voici le live:

  • Le hashtag #tweest est créé pour l’occasion ;
  • Un flux vidéo live est également disponible  ;
  • La Netscouad nous a présenté Tweest, un outil pour suivre les discussions des tweets des politiques ;
  • NKM utilise Twitter pour prendre le poul du monde sortir des murs du ministère, créer le débat autour de l’événement ;
  • Dominique Paillé confie qu’il n’est pas le seul à écrire sur son compte Facebook ou Twitter ;
  • Alain Dolium parle du besoin d’instantanéité informatif ;
  • Lionel Tardy utilisation exclusive sur le travail parlementaire . Le député tweete beaucoup d’audition non ouvertes à la Presse ;
  • NKM : « un espace en construction il faut utiliser le meilleur sans tomber dans la dérive » ;
  • Sandrine Belier  : « le fait de voir des politiques dormir c’est pas nouveau », « préjudiciable de faire un outil de propagande » ;
  • NKM : « attirer les parlementaires vers l’Internet » ;
  • Benoit Hamon vient d’arriver (il était au procès des salariés de Continental), il est actuellement « assez abstinent », usage cyclique de Twitter, « je fais des confessions que je ne ferais pas ailleurs », c’est bien lui qui Tweet avec son compte ;
  • Question du public à NKM sur LOPPSI : la cyber manif de LOPPSI a été un petit flop (c’est vrai (96 participants).
  • NKM : débat national sur la LOPPSI. « Beaucoup de déformations sur le filtrage » « le filtrage pêrmet des cyber écoutes et non cyber perquisitions ». NKM est pour les cyber écoutes. Le filtrage n’utilisera pas Deep Paquet Inspection (normal c’est pas fait pour!), mais plutôt BGP. 15 000 personnes on dénoncé des contenus pédo porngraphiques en France cette année.
  • NKM : « la neutralité du net est un argument fourre tout » (spéciale dédicace à Numerama) ;
  • Sandrine Belier : « on commence par définir des restriction sans avoir préalablement déterminé des droits » ..
  • TECHTOC.TV monte à la charge !! : « arrêter de trouver des alibis pour filtrer les internautes » (Bravo Fred) ;
  • NKM : « on ne filtre pas du côté du récepteur : on coupe des sites sur base des signalements » … ;
  • Fabrice Epelboin : question sur le filtrage des pirates en référence à Sarkozy « dépolluer internet » : réponse de NKM à côté de la plaque qui assure que HADOPI ne filtre pas et que LOPPSI ne filtre que les sites pédophiles. NKM : « la liste noire est faite manuellement »
Publié le

Le droit d’auteur pour les nuls avec l’UMP acte 5

besson contrefaconAprès le piratage d’une chanson du groupe MGMT pour ses meeting, non sans se payer leur tronche en plus ;

Après les duplications contrefaites de DVD  copyrightés à l’Elysée ;

Après le Lipdub de l’UMP qui viole les droits de la Star Ac québécoise ;

Après le piratage de la typographie Bienvenue pour le logo de l’HADOPI ;

Voici Eric Besson,ministre de l’immigration assigné en justice pour contrefaçon

Putain les artistes qu’est ce qu’on les aime à l’UMP … c’est trop d’amour d’un coup tout ça.