DPI : une réponse officielle de l’HADOPI

J’ai reçu ce soir une réponse de la haute autorité concernant ce billet sur le Deep Packet Inspection, dans lequel je vous faisais part des inquiétudes que je partage avec de nombreux internautes. Il s’agit donc d’une réponse officielle de l’HADOPI, et elle est relativement… surprenante. Pour ne pas mélanger les genres, je ne la commenterai pas dans ce billet.

Je vous laisse découvrir cette réponse :

De très nombreux fantasmes circulent sur d’hypothétiques tests par l’Hadopi des technologies de deep packet inspection (DPI) dans le cadre de la mission confiée à la Haute Autorité par le législateur. Ils nourrissent une inquiétude certaine auprès d’internautes. Une clarification s’impose. Les questions posées dans ce billet la permettent.

1-     L’affirmation selon laquelle « Hadopi prévoit dans son dispositif des tests sur les technologies de deep packet inspection » est fausse. Il n’entre pas dans la mission légale de l’Hadopi d’effectuer de tels tests qui sont, donc, totalement exclus.

2-     La loi confie à la Haute Autorité la mission d’évaluer « les expérimentations conduites dans le domaine des technologies de reconnaissance des contenus et de filtrage par les concepteurs de ces technologies, les titulaires de droits sur les œuvres et objets protégés et les personnes dont l’activité est d’offrir un service de communication au public en ligne ».

3-     Si de telles expérimentations étaient conduites par l’une ou l’autre des personnes mentionnées ci-dessus, elles devraient donc naturellement être portées à la connaissance de la Haute Autorité au plus tôt pour que celle-ci soit à en mesure de remplir de façon éclairée la mission que lui a confié le législateur, et ce d’autant que ces évaluations doivent être présentées au législateur et au public dans le rapport d’activité de la Haute Autorité.

4-     A ce jour, aucune expérimentation n’a été portée à sa connaissance. Si des résultats venaient à lui être présentés sans qu’elle n’ait eu la possibilité de connaître le lancement de telles expérimentations et d’en suivre le déroulement en toute transparence et dans la forme et avec les partenaires qu’elle déciderait, la Haute Autorité émettrait naturellement de fortes réserves sur la méthode même de l’expérimentation conduite et les résultats présentés.

5-     Bien que le protocole d’évaluation ne soit pas encore déterminé, la Haute Autorité rappelle qu’elle a d’emblée indiqué que celle-ci se conduirait dans le cadre du « Lab » réseaux et techniques qu’elle s’apprête à ouvrir, que la totalité du travail des « Labs » serait conduite dans la plus totale transparence, et que tous les documents portés sur la table des « Labs » serait publiquement accessibles à tous. Il s’agit là d’un engagement ferme et largement rendu public.

La Haute Autorité réaffirme l’impérative nécessité de protéger sur internet les droits des œuvres et de tous ceux qui contribuent à leur création. Pas plus que l’absence d’offre répondant à la totalité des attentes ne justifie le pillage, la protection des œuvres ne justifie pas l’usage de technologies disproportionnées.

Débattre avec Franck Riester ? Ouai mais non…

Je suis tombé sur la charmante proposition de l’ami Skhaen et relayée par Spyou qui lançait l’idée d’un débat avec Franck Riester…. et bien très franchement, c’est hors de question, et je vais vous expliquer pourquoi.

Un débat entend que des personnes aient une volonté réciproque d’échanger. Franck Riester à 90 heures de preuves à charge en vidéo à son encontre (vous les trouverez dans le médiakit de la Quadrature du Net, il s’agit des débats parlementaires sur Hadopi 1 et 2 … anéfé.. rejeté…), il n’écoute que lui même, y compris quand il sait qu’il raconte n’importe quoi, qu’il désinforme, et qu’il sert sa propagande pour diaboliser le Net.

Ensuite, la langue de bois, quand elle est maniée avec art, peut être distrayante… là même pas… Franck Riester ne m’amuse pas le moins du monde. Ni sur le fond, ni sur la forme… bon ok, un cours de firewalling Open Office avec Christine Albanel, vaut bien une certification Cisco… Mais voilà, je préfère me concentrer sur un dialogue sérieux avec des interlocuteurs autrement plus cortiqués.

Enfin, je n’ai pas pour vocation à instruire une personne ultra compétente en son domaine, puisque comme la député Marland-Militello, il a été rapporteur sur Hadopi… c’est donc qu’il connait parfaitement internet… Comme la député Marland Militello… “Je veux une république irréprochable” disait notre président… et un Internet civilisé dans lequel Franck Riester lutte contre les hackers

Ça va ? Vous en avez beaucoup attrapé des hackers Monsieur Riester depuis votre brillante sortie ? Parce qu’en attendant, les pirates, eux, ils sont morts de rire.

Donc non franchement, je vais laisser monsieur Riester débattre tout seul et continuer à être l’un des artisans majeurs de la défaite de Nicolas Sarkozy et de la désaffection des jeunes pour l’UMP, il se débrouille parfaitement sans moi.

D’ailleurs monsieur Riester a surement mieux à faire… Il pourrait par exemple tenter d’aider le ministre de la culture à répondre aux questions des parlementaires qui trainent depuis plus d’un an !

Surveillermonsalarié.com est un superbe canular

Bad cop

Vous l’avez peut-être découvert comme moi le weekend dernier, le site Surveillermonsalarié.com a pointé son nez sur la toile. Proposant pour 790 euros HT et par poste un logiciel de surveillance capable d’intercepter des données des salariés en entreprise avec sa fonction keylogger ou encore capable de prendre un screenshot par seconde et par écran… de quoi remplir le cloud d’Amazon… ce logiciel prétend faire gagner 2 mois de productivité et par salarié aux patrons d’entreprises.

Plusieurs scénarios possibles :

  • Soit l’ami Damour est un très bon communicant qui a réussi un joli coup de pub pour sa société avec un logiciel qui n’a jamais existé (ce que les captures de cette solution tendent à prouver);
  • Soit ce logiciel qui semble totalement illégal existe bien, dans quel cas c’est vraiment de l’inconscience de sa part ;
  • Soit il s’agit d’une arnaque… tout simplement ;
  • Soit c’est un splendide piège pour les patrons qui manifestent de l’intérêt pour cette solution… attention c’est comme ça qu’on se retrouve sur 4chan.

Ma conviction est qu’il s’agit surtout d’un canular, comme expliqué ici. Désolé Korben, Guillaume, 01Net…. vous vous êtes fait piéger 😉

Hadopi.fr déjà détourné et parodié

hadobiPendant que certains perdent du temps à recoder des trojans gratuits pour les vendre à prix d’or à des entreprises en surfant sur une vague assez nauséabonde, d’autres, non moins enjoués, s’adonnent à la parodie du site hadopi.fr. PCInpact a d’ailleurs initié un concours. Les talents commencent donc à s’exprimer, plusieurs initiatives sont en cours de réalisation et devraient assez vite régaler la presse et 4 ou 5 gus.

Quand on cherche à bâillonner Internet, inéluctablement, ce dernier reprend la parole, c’est un peu la théorie de l’iceberg, quand on tente de l’enfoncer dans l’océan, il finit toujours par vous revenir en plein tronche. J’ai une petite pensée émue pour Frédéric Mitterrand qui affirmait quelques jours après le vote d’Hadopi 2 : “dans 3 mois on entendra plus parler d’Hadopi“… mon petit doigt me dit qu’on entendra encore parler d’Hadopi bien après qu’il ait quitté le gouvernement.

Côté détournements, j’ai par exemple beaucoup ri en découvrant la super popup quand on clique en haut à droite, sur la “version Albanel” du site Hadobi.fr, affichant une superbe erreur 301 :

C’est quand même bien plus drôle qu’un DDoS et cette dérision a le mérite de replacer le débat au niveau de l’utilité d’un texte absurde dont nous connaîtrons, soyez en assuré une troisième mouture. Comprenez que chaque acte, chaque initiative, si elle est porteuse de sens, pourrait avoir un impact sur les modifications en profondeur que le texte nécessite… si ce n’est une abrogation pure et simple, on peut toujours rêver. De manière plus pragmatique, quand on y pense, il y a quelque chose d’assez amusant, toujours relatif à la “sécurisation de la connexion Internet”. Une sécurisation de bout en bout de la connexion est envisageable quand on utilise un dispositif susceptible de tromper les sociétés mandatées par les ayants-droit… ou comment un simple mot peut tout faire basculer.

Quand le législateur ne sait pas faire la différence entre son système d’exploitation et le contenu de son navigateur, il ne faut pas s’étonner de le voir confondre “connexion Internet” et réseau local.

Naissance du Parti Pirate Tunisien

pptnC’est aujourd’hui un jour à marquer d’une pierre blanche pour les internautes de Tunisie : le Parti Pirate Tunisien est né ! C’est dans un contexte politique particulièrement délicat, où de jour en jour les libertés numériques s’amenuisent… et les libertés tout court, que cette formation politique, portée et soutenue par une organisation internationale, est née. La création d’un Parti Pirate Tunisien est donc un acte courageux qu’il convient de saluer à sa juste valeur. Il porte un élan démocratique nouveau auquel on ne peut être indifférent dans le contexte politique agité de ce pays. La censure des réseaux sociaux et du net en général en Tunisie est un fait, Facebook y est par exemple attaqué et la liberté d’expression se limite à ce que le pouvoir daigne y tolérer. Fabrice de Read Write Web a d’ailleurs pu tester la conception de la démocratie du pouvoir tunisien, ce qui lui aura valu quelques fatwas et Read Write Web est maintenant inaccessible dans ce pays.

Mais on le sait bien, la censure du Net ou l’art d’arrêter l’océan avec les mains, ça ne fonctionne pas, il suffit de s’équiper correctement pour contourner les systèmes de filtrage mis en place.

Autant vous dire que nous sommes ici quelques blogeurs qui seront très attentifs à  l’évolution de cette nouvelle formation politique et de ses membres qui portent la liberté d’expression et la défense des droits de l’homme en Tunisie.

Longue vie au Parti Pirate Tunisien !

SCADA et Stuxnet ou les prémices d’une scadastrophe

Propagation de Stuxnet

Voici un thème dont j’aimerai beaucoup vous parler librement, mais voilà, ça ne va pas être possible. Sans pratiquer la langue de bois et en essayant de faire très court, je vais simplement ici vous faire part de mon sentiment sur une infection qui cible en ce moment l’Iran, l’Inde, le Pakistan et une poignée d’autres pays en Asie du sud est, mais aussi dans une moindre mesure, les continents européens et américains (voir la carte de la propagation).

SCADA, ou Supervisory Control And Data Acquisition, est un système de surveillance et d’acquisition de données qui existe maintenant depuis plusieurs décennies. SCADA opère le monitoring d’infrastructures, depuis la gestion de l’énergie dans un immeuble jusqu’à la température du noyau d’un réacteur nucléaire en passant par les ponts, les tunnels, les gazoducs, les oléoducs … Ça ne vous rappelle rien ? Moi comme ça, je pense un peu au scénario de Die Hard 4.

En clair, si un pays cherchait à paralyser un autres pays, en vue d’une attaque, SCADA serait une cible de choix. Quand j’ai commencé à m’intéresser au délit de négligence caractérisée, je me suis demandé ce que SCADA était devenu puis l’arrivée du web… et bien c’est une … scadastrophe. On trouve certains systèmes accessibles depuis le Net, dont certains sans authentification. Ils ne sont certes pas simples à trouver, ce ne sont certainement pas les plus sensibles… mais on en trouve, et l’apparition des iPhone et autres blackberry y est surement pour quelque chose. On trouve même des clients lourds SCADA sur Megaupload pour tout vous dire… Certains chefs d’entreprises qui déploient ce genre de systèmes de contrôle aiment bien, en mobilité, garder un oeil sur leur production. Je n’irais pas plus loin pour l’instant sur le sujet et je vous donne, peut être, rendez-vous l’été prochain, pour un talk sur ce thème.

Depuis quelques mois maintenant, une infection virale, Stuxnet, cible des équipements SCADA du constructeur SIEMENS. Sa propagation, particulièrement ciblée sur, semble t-il, les infrastructures iraniennes, a de quoi soulever quelques interrogations. Les autorités iraniennes affirment que le worm n’a pour l’instant pas fait de dégâts, mais ne prépare t-il pas une attaque qui risque d’en faire bien plus (embarque t-il une bombe logique ?). Ce sont plus 30 000 machines en Iran qui en sont actuellement victimes.

Autre interrogation légitime, qui a pu mettre en place une stratégie de propagation aussi ciblée si ce n’est un État ? Certains n’hésitent pas à affirmer qu’il s’agit d’une attaque bien dirigée contre les infrastructures nucléaires iraniennes, et très franchement, je doute qu’elle soit l’oeuvre de militants Greenpeace. S’il est encore un peu tôt pour parler d’une cyber guerre, vu d’ici, ça y ressemble quand même drôlement. Israël et la Russie sont même pointés du doigt, mais à ce jour, rien ne nous autorise à l’affirmer avec certitude. Quoi qu’il en soit, le spectre d’une agence gouvernementale plane sur Stuxnet et il semble que des moyens considérables aient été déployés pour rendre cette infection possible (des moyens humains pour toucher les infrastructures sensibles en leur coeur et des moyens techniques pour coder ce worm).

Techniquement, Stuxnet exploiterait non pas un mais 4 0day (une véritable débauche de moyens !) pour s’engouffrer dans la faille LNK découverte en juin dernier et présente dans pratiquement toutes toutes les versions de Windows (jusqu’à Seven… “c’était mon idée”). Il embarquerait un rootkit et un chiffrement très complexe à casser pour cibler le Simatic WinCC de Siemens, ses systèmes SCADA et tendrait à tenter d’infecter la base de données à laquelle ces solutions se connectent. L’exécution du payload rendue possible par l’exploitation de la faille LNK permet, depuis une simple clef USB liant un appel de lien .ink, de compromettre le système en exécutant du code malicieux… c’est assez imparable et particulièrement élaboré.

Stuxnet inquiète et à juste titre, sa persistance n’est pas faite pour rassurer et on se demande qui pourrait déployer autant de moyens pour compromettre un système aussi sensible, et surtout, dans quel but.

En tout, cas… moi je dis ça mais je dis rien hein… j’en connais qui devraient sérieusement se pencher sur cette question au lieu de faire la chasse aux téléchargeurs de mp3. La compromission de SCADA, c’est tout sauf de la science fiction, et c’est tout sauf rigolo… des vies sont en jeu, et là je ne parle pas des pirates qui tuent les artistes en provocant des AVC par DDoS… mais de vrais méchants qui pourraient tuer de vrais gens.

Imprimante 3D Thing-O-Matic! : Le MakerBot nouveau est arrivé

makerbot thingomaticDans les gros jouets avec lesquels les geeks et les hackers peuvent s’éclater, il y a les imprimantes 3D. Le concept est de réaliser vous mêmes des objets usuellement produits avec des procédés industriels lourds, dans votre propre garage (… et même dans votre salon si votre conjoint(e) supporte cet objet étrange au quotidien). MakerBot Industries propose un kit complet, à monter vous même : une véritable imprimante 3D avec laquelle vous allez pouvoir produire des formes que vous aurez préalablement conceptualisé avec des gabarits 3D. L’électronique est en partie assurée par des composants Arduino, du matériel le plus ouvert possible, le plus hackable possible.

Le MakertBot nouveau, le Thing-O-Matic! est une petite révolution, il est maintenant capable de réaliser consécutivement plusieurs impressions 3D d’un objet là où une seule était possible avec le premier modèle de MakerBot. Le Thing-O-Matic! c’est aussi une précision accrue, des axes d’impression plus robustes, et une qualité globale sensiblement améliorée. Les mécanismes  ont été rendus plus précis, vous permettant de réaliser des formes encore plus délirantes. Le Thing-O-Matic! est aussi 6 fois plus rapide que la version précédente !

Niveau accessibilité, si ce matériel reste pour bidouilleurs relativement avertis, l’accent a aussi été mis sur la facilité de montage et de paramétrage global. A l’utilisation, c’est donc plus simple, plus rapide plus précis … et non, ce n’est pas l’iPhone 5 !

L’engin est actuellement proposé pour la somme de 1225$ et un délai de livraison de 7 semaines (et oui c’est du fait main !), mais je suis persuadé que John et Wim sont en train de lorgner sur la bestiole, aussi vous devriez pouvoir très prochainement vous les procurer en Europe sur le store d’Hackable-Devices.

Je vous invite également, si vous découvrez cet univers dans ce billet, d’aller jeter un oeil attentif sur ce que certains hackers font avec leur RepRap et surtout de prendre connaissance des travaux d’Alexandre sur Usinette et du projet Fablab, dont on espère tous que vous entendrez très vite parler.

ATILD : un appel ouvert au DDoS sur HADOPI.fr

Je viens de voir un truc complètement ahurissant, une fois de plus…  L’ATILD, dont on avait pas entendu reparler depuis l’épilogue tragi-comique de la campagne de soutien à Zac, et à qui je dois parraît-il (merci, les mecs, je suis touché) l’arrêt des dénis de service sur mon blog, revient à la charge… c’est tout en finesse que l’association, exhibe un appel au Raid sur le site Hadopi.fr en page d’accueil.

C’est donc sous les couleurs des anonymous que cette association, appelle à porter atteinte à un système de traitement automatisé de données… et je suis franchement mort de rire. Outre l’anglais approximatif du communiqué pour faire comme les grands, je suis assez surpris de voir une association parait-il légalement déclarée inviter à ce genre de procédés dont elle se défendait il y a peu.

atild ddos
L'ATILD appelle au DDOS

Un refresh plus tard, Aurelien Boch, ancien président de l’ATILD et qui se revendique pourtant des anonymous sur les forums de wawamania, appelle, lui, au calme, et pour le coup, c’est tout à son honneur :

Aurelien Boch appelle au calme

Encore une situation complètement ubuesque à laquelle l’ATILD nous a habitué… bref, c’est toujours pas fini. Et on attend avec impatience le communiqué de l’association qui devrait nous expliquer que son site web a été piraté et qu’elle n’a jamais appelé au DDoS sur HADOPI.fr … du grand n’importe quoi !

Hadopi.fr : un intérêt manifeste

Parmi les outils de veille sur le réseau que j’affectionne, il y a Pastebin, on y trouve vraiment de tout, et pas que du code. Numerama signalait hier que le site Hadopi.fr, alors qu’il n’est toujours pas officiellement en ligne (même si le cache Google parle…), attirais déjà de nombreux curieux. Bien entendu, Pastebin atteste de la véracité de ces propos, on y trouve par exemple :

Rien de bien méchant, mais effectivement, Hadopi.fr fait l’objet d’attentions particulières, des attaques par déni de services avaient été annoncées aussitôt après les bruits sur la date de mise en ligne du site.

L’intérêt de ce DDoS est comme je vous le disais à mon sens limité et probablement dangereux en terme d’image… tout comme le serait un défacement, qui donnerait du pain béni aux personnes qui veulent policer l’internet en utilisant des outils autrement plus dangereux qu’une machine à spam, aussi coûteuse soit-elle. Espérons maintenant que les politiques éviteront les attaques inconsidérées qui attisent encore les crispations des uns et des autres… même  des plus modérés.

Oui c’est compliqué, mais il n’y a pas de pédagogie vaine, il en restera toujours quelque chose… ce qui me permet d’enchaîner sur le billet suivant, dans lequel je vais tenter d’expliquer à madame Marland-Militello le combat d’arrière garde dont elle se gargarise ici… je pensais pas dire ça un jour mais je commence à regretter Frédéric Lefèbvre, ses attaques contre l’Internet étaient argumentées de manière bien plus drôles.

HADOPI : le jeu concours de la Quadrature du Net

Grand Jeu HADOPI imageAlors que la HADOPI s’apprête à lancer les premiers mails ( si, si … ça arrive), La Quadrature du Net lance un grand jeu concours pour désigner le vainqueur, à savoir la première personne qui recevra son mail d’avertissement. Une manière originale de marquer le coup, qui devrait en inciter plus d’un à vouloir jouer.

Le gagnant qui se verra remettre un bundle exceptionnel “même pas peur” :

  1. un π-shirt (même moi j’en ai pas… et rien que pour ça je sens que je vais allumer la mule et bittorrent à fond les ballons pour downloader en boucle un ou deux blockbuster… mais vu que les premières adresses IP ont été fournies, je n’ai malheureusement que bien peu de chances d’être sélectionner),
  2. Un exemplaire du considérant 12 de la décision 2009-580 du Conseil Constitutionnel, censurant l’HADOPI 1 et liant libertés d’expression à accès au Net, sorti d’une presse à imprimer du XIXè siècle … ça aussi… need <3;
  3. Une IP de la société de police privée du Net Trident Media Guard … si le remote shell est fournit, need aussi <3;
  4. Un coup à boire sur Paris ou ailleurs ;
  5. Une suggestion de réponse à l’HADOPI.

Tout est ici