« Allo ?… Brice ? Y’a de la friture ! … ah ben on a été coupés »

brice de loppsi
LOPPSI : ça va saigner !

Vous vous demandez peut être pourquoi je ne cause que très rarement de la LOPPSI ici ? C’est tout simplement parce que j’en cause un peu plus par là. Et aujourd’hui c’était le grand retour de la LOPSSI devant le Sénat, en session extraordinaire s’il vous plait.

Brice Hortefeux en a profité, comme ça, dés le premier jour, alors que personne ne lui avait encore rien fait, pour plaider sans réserve en faveur d’un blocage des sites web sans l’intervention d’un juge. Et ceci a le don de m’agacer au plus haut point, car on sait depuis longtemps que les techniques de blocage en plus d’être inefficaces entrainent un important risque de sur-blocage. Et quand on lui demande comment contester un blocage si ce dernier fait 300 victimes en plus du domaine ciblé ?… On obtient une réponse pleine de lucidité et de bon sens bien politique d’une personne pour qui taper un email est un travail de secrétaire :  « A posteriori ! ».

Une atteinte à vos libertés individuelles ça va, c’est quand il y en a plusieurs qu’on a des problèmes

Comprenez que si votre Magento qui cartonne à mort est sur le même serveur mutualisé OVH ou 1&1 que le site de Jean-Kevin qui s’essaye à la fabrication de détonateurs sur son blog, le ministère de la police, en ordonnant, le filtrage de l’adresse IP du serveur qui héberge Jean-Kevin, rendra votre gagne pain inaccessible. Et vous pourrez vous plaindre par courrier recommandé à une Haute Autorité de circonstance en expliquant que ce sur-blocage a ruiné votre entreprise… de toutes façons, tant qu’il n’y aura pas eu de martyres, ça ne rentrera pas dans le crâne…

J’en viens presque à espérer que la LOPPSI passe dans sa version la plus hardcore pour assister à la boucherie de la mise en application.

DRM : on confine toujours à l’absurde

Les DRM ou Digital Right Management sont un échec assez emblématique de la politique de fermeture par les constructeurs au nom du copyright des contenus dématérialisables. Les DRM sont arrivés dans notre corpus législatif par le biais de la loi DADVSI (elle-même issue d’une transposition d’une directive européenne, l’EUCD) qui sanctionnait jusqu’à 6 mois de prison et 30 000 euros d’amende toute personne diffusant ou facilitant la diffusion d’un logiciel destiné à casser ces mesures techniques de protection de médias. Décriés depuis le début, ils ont été en grande partie responsables de l’accélération du déclin du disque en France puisque de nombreux acheteurs de disques se retrouvaient frustrés de ne pouvoir lire ce CD dans leur voiture ou sur leur ordinateur pour le mettre dans leur baladeur MP3… une véritable invitation au téléchargement illicite.

Ici l’usage justifiait le contournement de ces mesures de protection pour pouvoir disposer d’un bien pourtant légalement acheté. Ainsi, il devenait souvent plus aisé de télécharger les MP3 sur les réseaux peer to peer que s’amuser à tenter de contourner une mesure technique de protection.

Pendant les débats sur la HADOPI, de nombreuses voix se sont faites entendre pour que, comme promis par le gouvernement de l’époque, une étude d’inpact du DADVSI soit publiée. Réponse du gouvernement « l’heure n’est plus à ça, passons à autre chose« . Si j’étais mauvaise langue, je dirais que cette étude nous aurait peut être permis de faire l’économie d’une mauvaise HADOPI.

Aux USA, les DRM sont aussi allègrement contournés. Fin juillet dernier, un tribunal américain légalisait même le jailbreak de l’iPhone, c’est à dire le contournement de ses mesures de protection pour en prendre le contrôle.

Aujourd’hui la justice américaine s’apprête à publier une liste de protections pouvant être légalement contournées. Un son de cloche très différemment perceptible de la part des négociateurs de l’ACTA qui plaident pour la généralisation de ces mêmes DRM entre d’autres frictions avec l’Union Européenne..

Peut-on dire pour autant que ceci sonne le glas du DRM ? Malheureusement non, et je prédis qu’en France certains ayants-droit ne sont pas prêts d’en démordre, ils nous resserviront du DRM en complément d’autres mesures absurdes et coûteuses du même cru avec un résultat toujours aussi nul sur la création.

Lawtech : le full disclosure passe en procès à la Cantine

lawtech
Law Tech à la Cantine

C’est une rentrée chargée pour la Cantine, donc prenez en date, ça se tiendra le 30 Septembre 2010 de 19h30 à 21h30. La soirée organisée par le Cercle Azimov vous présentera un cas fictif de procès sur le full disclosure, plaidé par de véritables experts en la matière. Un scénario assez drôle permettra de lever le voile sur la complexité de la pratique du full disclosure pour des failles dites sensibles, et du déroulement d’un procès en conditions réelles sur ce thème technique complexe, autant techniquement que juridiquement.

Composition du « Tribunal et des Parties au procès » :
Pour la demande :
Pour la défense :
  • prévenu : Philippe Langlois, expert en sécurité informatique, P1 Security
  • témoin : M. Eric Filiol, expert en sécurité informatique, ESIEA
  • avocat : Me Ambroise Soreau, avocat, cabinet Henri Leclerc & Associés
Tribunal :

Le cas pratique :

Serge Bitnick est post-doctorant en biochimie et fait de la recherche de failles informatiques à ses heures perdues. Il découvre une faille dans le système d’information d’un hôpital. Il se rend compte qu’il existe un risque que tout le système d’information de l’hôpital soit compromis et cesse de fonctionner. Il tente immédiatement de prévenir le RSSI (Responsable de la sécurité des systèmes d’information) de l’hôpital mais, après 30 minutes de recherche sur Google, il ne trouve pas l’adresse email de celui-ci et décide d’envoyer le message suivant via le formulaire de contact présent sur le site web de l’hôpital :

« Bonjour,
J’ai remarqué que votre système informatique était victime d’une très grosse faille de sécurité. Il s’agit d’une faille du type Stack Overflow permettant un accès en lecture au Memcache de votre application web en Django-CMS. Le système SCADA est compromis et tous les respirateurs artificiels ainsi que le monitoring des salles de réveil post-opératoire de l’hôpital peuvent être contrôlés depuis une interface web rendue publique et indexée par Google. Cette faille peut être très facilement exploitée. Il y a un risque que tout votre système saute !  Il faut réparer ça très vite. Je n’ai pas trouvé le contact de votre RSSI. Contactez-moi si vous avez besoin d’aide.
Serge B.

Le lendemain, il reçoit l’email suivant :
« Cher Monsieur,
Merci de votre démarche. Je transmets votre message.
Cordialement,
Damien Champagne »

15 jours plus tard, la faille n’a toujours pas été comblée. Serge Bitnick la divulgue sur son blog et son fil Twitter (1.042 abonnés dont une poignée de journalistes spécialisés) :
« Grosse faille dans le SI de l’hosto de Tataouine http://ow.ly/17OrX2 #UBER_FAIL ! »
De fil en aiguille, l’information est reprise 3 jours plus tard dans l’édition web d’un journal national puis dans les éditions papier de différents journaux et magazines. Des familles de personnes hospitalisées dans l’hôpital concerné (et dans d’autres hôpitaux) paniquent et inondent le standard de l’hôpital pour s’assurer que tout va bien, voire se rendent à l’hôpital pour ramener chez eux leurs parents. L’hôpital porte plainte contre X pour intrusion dans un système de traitement automatisé de données et mise en danger de la vie d’autrui (la divulgation a paralysé le fonctionnement de l’hôpital pendant 2 jours mais aucun décès survenu à l’hôpital au cours de cette période n’a pu être rattaché aux suites de la divulgation). L’hôpital demande en outre des dommages et intérêts à Serge Bitnick pour le préjudice que la révélation de la faille lui aurait causée.
Serge Bitnick prétend pour sa part avoir agi uniquement pour faire prendre conscience aux gens des risque liés à une mauvaise sécurisation des systèmes informatiques, de traitement automatisé de données et mise en danger de la vie d’autrui (la divulgation a paralysé le fonctionnement de l’hôpital pendant 2 jours mais aucun décès survenu à l’hôpital au cours de cette période n’a pu être rattaché aux suites de la divulgation). L’hôpital demande en outre des dommages et intérêts à Serge Bitnick pour le préjudice que la révélation de la faille lui aurait causé.

Vous serez les témoins et les juges du dénouement de cette affaire, affûtez vos arguments et venez nombreux @La Cantine le 30 septembre 2010, 19h30. 151, rue Montmartre, Passage des Panoramas, 75002 Paris(métro Grands Boulevards ou Bourse).

Vous pouvez vous inscrire ici à cet événement.

SOS-HADOPI : lancement à la Cantine le 13 Septembre 2010

sos hadopi
SOS Hadopi

C’est le 13 septembre prochain que se tiendra le lancement de SOS HADOPI à la Cantine à Paris. Ce service proposé par le groupe APIADOPI et porté par Renaud Veeckman, Jérôme Bourreau-Guggenheim et Christophe Berhault. Il vise à apporter une aide technico juridique aux personnes qui seraient victimes d’une coupure de connexion par le biais de ce dispositif .

SOS HADOPI n’est pas encore lancé qu’il s’attire de son côté les foudres de la Haute Autorité qui condamne l’initiative. On pourra lui porter le crédit que cette dernière, n’ayant pas commencé son travail, ni présenté son label de sécurisation décrié par SOS HADOPI et qualifié de mouchard, on reste dans pour le moment dans le procès d’intention… On les attend de pied ferme ces spécifications…. Rappelons enfin que Renaud Veckman a eu la bonne idée de déposer la marque HADOPI avant que l’État ne s’en préoccupe et que nous saurons, le 19 novembre prochain si l’utilisation du terme HADOPI peut lui être accordé étant le titulaire légitime de cette marque et disposant de la jouissance de son utilisation pour un champs d’action déterminé.

Le projet semble assez intéressant pour qu’il justifie votre présence à sa présentation à la Cantine le 13 Ssptembre 2010 de 14h00 à 16h30.

Nexus One : un utilisateur mécontent de la 3G poursuit Google

nexus one
Nexus One by Google

Un utilisateur mécontent de l’utilisation de la 3G sur le Nexus One veut poursuivre Google. Le téléphone aurait une fâcheuse tendance à dropper la connexion 3G quand il arrive à en accrocher une selon Nathan Nabors qui a du coup déposé une plainte en recours collectif auprès de la cour fédérale de Californie.

Nathan Nabors estime que Google l’a trompé lui et des milliers d’autres utilisateurs car il est dans l’incapacité de jouir des performances haut débit affichées dans la publicité. Et ce qui ne passe pas pour cet habitant d’Orlando, Floride, c’est l’absence totale de support de Google. De son côté Google argue de la mauvaise couverture de l’opérateur de l’utilisateur, T-Mobile. En réparation, l’accusation demande au géant américain (en plus d’un gros chèque comme c’est la pratique là bas) de « mener une campagne d’information pour informer le grand public quant au caractère illégal des pratiques de Google » arguant que le Nexus One est impropre à l’utilisation décrite dans la publicité, et qu’il est en fait défectueux.

CensorCheap : le crowdsourcing pour monitorer la censure du Net

censorcheapC’est à Paul Da Silva (qui s’est déjà illustré avec l’extension Firefox IPfuck) que nous devons cette nouvelle extension Firefox destinée à lutter contre la censure du Net : CensorCheap.

Censorcheap a un fonctionnemment complètement transparent pour l’utilisateur, elle sert à envoyer des données sur un serveur qui dresse un état des lieux de la censure du Net dans le monde. Ainsi si votre fournisseur d’accès bloque par exemple un site de jeux en ligne auquel vous tentiez d’accéder, l’extension communique au serveur ces données qui sont ensuite compilées pour restituer une cartographie de la censure dans le monde.

Concrètement, vous visitez un site et que vous obtenez une erreur 404 ou une erreur de domaine, l’extension demande au serveur de vérifier s’il s’agit d’une erreur « naturelle » ou non. En fonction des réponses reçues et de leur nombre, il devient donc aisé de savoir si un site est bloqué ou uniquement inaccessible temporairement depuis un point du réseau. Vous pourrez librement accéder aux données compilées sur le serveur et ainsi vous rendre compte par vous même des sites censurés en fonction des pays et des fournisseurs d’accès. Des fonctionnalités d’exports en XML et en CSV sont également au programme.

Un moyen original et redoutablement efficace, basé sur une collecte de données transparente en mode crowdsourcing, de savoir qui censure quoi et ainsi d’en savoir plus les intentions des censeurs.

Censorcheap sera prochainement disponible pour d’autres navigateurs que Firefox… stay tuned !

« Qui surveillera les surveillants? » comme s’interroge souvent Jean-Marc Manach sur BugBrother. La réponse offerte par CensorCheap est : « tout le monde ».

Visitez CensorCheap

Wawa-Mania et Atild : l’épilogue… logique

Culture MacDonald
Culture MacDonald

Je n’avais plus spécialement envie d’en recauser mais voilà, l’actualité semble m’avoir donné raison, il se cachait bien une opération assez douteuse entre Wawa-Mania et l’ATILD, même si aujourd’hui, tout porte à croire que c’est bien la board Warez qui a orchestré l’affaire. L’ATILD, et surtout son ancien président auraient été de simples outils. En tout cas les manipulations dont je parlais ici, ou encore ici … prennent tout leur sens à la lumière des derniers événements.

Numerama vient de publier un billet très instructif où l’on apprend qu’un membre de l’ATILD se serait étonné d’un virement offshore de provenance douteuse. Le 20 août dernier, l’ATILD s’est vue octroyer un virement de plus de 8700 euros qui tombait à pic et dont Zac lui même serait l’émetteur… on parle donc bien de soupçons de blanchiment comme j’en avais émis l’hypothèse depuis le début.

Je vous laisse découvrir la suite dans l’article de Guillaume, c’est juste pathétique et dramatiquement prévisible. Ça valait bien quelques commentaires haineux, des intimidations, des menaces physiques … n’en déplaise à l’ami Keeg Skywalker, mais le terme d’organisation structurée de cyber délinquants risque de prendre tout son sens à la mi septembre quand Zac passera devant le juge. Je ne commenterai pas plus cette histoire, la justice fera son travail.

Les majors continuent les pleurnicheries à propos d’Apple

emiConséquence inéluctable de l’inadaptation des majors face aux défis de l’Internet, elles sont en train de perdre la bataille de la distribution dématérisalisée. Le grand vainqueur, pour le moment, c’est Apple avec son iTunes store, ce qui agaçait déjà la SACEM il y a bientôt deux ans. C’est maintenant à EMI d’y aller de son petit couplet contre le géant américain à l’occasion de la publication de son rapport financier. EMI met en garde contre « la dépendance substantielle envers un nombre restreint de magasins de musique en ligne, en particulier l’iTunes Store (…)» Et ZDNet de souligner qu’EMI n’a rien à proposer et ne reverra sans doute pas les montants exhorbitants qui sont demandés à de nouveaux acteurs pour que ces derniers puissent accèder au catalogue.

Bref les majors se plaignent d’une situation dont elles sont les seules responsables, et très franchement, c’est pas moi qui vais m’apitoyer sur leur sort. J’en viens même à espérer qu’elles continuent à donner dans le répressif sans rien proposer en contrepartie, à ce rythme, on en sera débarrassé définitivement dans quelques années.

Le site du Grand Paris distribue toujours des malwares

Nous en avions discuté ici en pleine polémique sur le site France.fr. Le site du projet du « Grand Paris », un des sujets brûlant des dernières élections régionales a été compromis. Une mauvaise configuration aurait ouvert la porte à un cross site scripting et surement d’autres joyeusetés, résultant à une compromission du site qui n’est aujourd’hui qu’un nid à malware.

J’avais à l’époque prévenu OVH en sa qualité d’hébergeur mais ce dernier, malgrés les plusieurs tentatives de contact (mail/twitter), n’a jamais daigné répondre, il était bien plus bavard sur le topic chaud du moment, France.fr, qu’il s’est proposé d’héberger… surement plus porteur en terme de communication. C’est dans un sens plutôt normal car OVH n’infogère pas ce site, son rôle se limitant à l’hébergement, il n’est donc pas missionné pour réparer les sites du gouvernement.

Quinze jours après, la situation n’a pas changé. Le site du Grand Paris, hébergé en sous domaine de celui du ministère la culture présente toujours les mêmes vulnérabilités et distribue toujours autant de malwares.

Mais s’il n’y avait que ça …

Le ministère de la culture dispose de 2 domaines principaux (culture.fr et culture.gouv.fr).Le domaine culture.fr propose plus d’une centaine de sous domaines. Les solutions techniques déployées sont très hétérogènes et certaines datent de Mathusalem. C’est par exemple le cas du catalogue partagé du réseau documentaire de l’administration centrale. Le Tomcat 4.1.18 est en proie à plusieurs vulnérabilités plus ou moins importantes, exploitables à distance, comme une RequestDispatcher directory traversal vulnerability, des vulnérabilités xss sur les servlets (utilisables pour du vol de session par exemple),  j’en passe et des meilleurs…

Je ne m’attends donc pas spécialement à plus de réponse des services concernés, mais il serait bienvenu de la part du ministère de la culture, qui a porté le délit de négligence caractérisée pendant les débats sur HADOPI, qu’il montre le bon exemple. Rien que pour le domaine *.culture.fr, il y a de quoi présenter une nouvelle vulnérabilité critique par jour pendant 1 an.

TorrentReactor s’offre une ville en Russie

torrent reactor villageTorrentReactor, l’un des poids lourds du Peer to Peer au niveau mondial, annonce sur son site web qu’il se serait payé un petit village en Russie anciennement nommé Gar pour la modique somme de  $ 148 000. TorrentReactor se serait même permis de le renommer à son propre nom (ТОРРЕНТРЕАКТОР). Le coin est un peu paumé, en Sibérie occidentale, pas loin de la centrale nucléaire de Seversk. Il n’y fait pas particulièrement bon vivre et vous n’avez surement jamais rêvé de passer vos vacances aux côtés des 214 âmes qui peuplent le bourg, mais ici au moins, le tracker torrent est à l’abris de la RIAA. Les autorités russes ne sont pas trop regardantes concernant l’échange de fichiers sur Internet, le laisser faire y est la règle, comme pour des crimes numériques plus graves que le partage. TorrentReactor confie avoir choisi parmi une liste de lieux un endroit en rapport avec son nom, il était donc évident que ce soit proche d’installations nucléaires… c’est qu’un datacenter ça consomme ma petite dame.

Toorentreactor.net est constitué en société et fait savoir que la somme investie servira à réparer les routes, équiper l’école ou encore ou à investir dans de nouvelles machines agricoles qui sont le fond de commerce des habitants de cette petite commune rurale, une providence pour ses habitants dont le revenu annuel moyen n’excède pas $42 ! Autre effet bénéfique, pour que ce petit bled ne devienne aux yeux du geek une parfaite destination de vacances, TorrentReactor viendra avec sa fibre arroser les champs en très haut débit.

Torrentfreak rappelle que The Pirate Bay avait envisagé de réunir les fonds nécessaires (750 millions d’euros) au rachat de l’île de Sealand, le projet avait rapidement été abandonné et les îles proposant un accès très haut débit ne sont pas si nombreuses que ça.