La France en pointe d’un combat d’arrière garde

Madame la député Marland-Militello a une fâcheuse tendance à pourrir mon agrégateur RSS d’énormités ces derniers temps. La dernière en date se trouve ici et fait référence à l’adoption du rapport Gallo qui déroule des positions pro ACTA particulièrement dangereuses où des ayatollahs du copyright entendent mettre en place des horreurs, avec tous les risques que cela comporte. Madame Marland-Militello nous explique que grâce à Nicolas Sarkozy, la France est en pointe de la lutte contre le piratage… désolé madame la député, mais là, on est surtout à la pointe de la propagande risible et j’ai beaucoup de mal à m’ôter cette image que j’ai de vous entrain d’écrire ce billet la main sur le coeur et sur fond de musique des choeurs de l armée rouge. En fait, grâce à Nicolas Sarkozy, notre Internet est surtout au bord de l’insurrection et l’image pitoyable que nous offrons au monde est le produit direct de votre incompétence et du déni démocratique dont vous avez su faire preuve à maintes reprises.

On retrouve dans le billet de madame Marland-Militello TOUS les clichés les plus éculés de la propagande de bas étages :

  • Une illustration choc sensées vous terroriser afin de réveiller votre fibre patriotique face à l’ennemi, ici les « pirates » qui tuent les artistes ;
  • Un soutien inconditionnel et aveugle d’un texte même devant les manipulations les plus évidentes … mais bon c’est pas la première fois qu’on cautionne des bidonnages éhontés à la gloire du saint copyright, c’est en fait même devenu une véritable tradition;
  • le culte du chef, Nicolas Sarkozy, à qui notre député affirme toute sa dévotion ;
  • un vocable d’infostratège sans les données ni les arguments que l’exercice impose…

« …les eurodéputés ont montré qu’ils ne sont pas dupes de la campagne de désinformation menée par ceux qui, en France, se sont déjà illustrés par leur opposition dogmatique à l’HADOPI.

C’est très amusant cette expression : « l’opposition dogmatique à l’HADOPI »… en suivant les quelques liens ci-dessus, vous verrez qu’en plus du dogmatisme on a surtout des preuves incontestables de ces grossières manipulations. Madame Militello passe également à coté de deux ou trois choses très factuelles :

1° le texte qu’elle a défendu avec tant d’ardeur, de négation des évidences et de déni démocratique manifeste n’est toujours, à ce jour, pas appliqué ;

2° cette semoule législative à laquelle elle n’a d’ailleurs elle même pas compris grand chose, et là les exemples sont légion, comme par exemple cette énormité de la « sécurisation de la connexion internet », une chouette marmelade que j’invite madame Marland-Militello à nous définir, fait d’HADOPI un texte plus que bancal… ah non excusez moi … « étonnamment subtil » ;

3° Faut-il rappeler à madame la député que si le projet de loi initial s’est fait recaler au Conseil Constitutionnel c’est parque elle et certains de ses camarades, bien qu’élus de la République ont oublié ce vieux texte de 1789… la base de la base. Dans le privé, on appellerait ça une faute lourde. Aussi je vais me permettre de lui rafraîchir la mémoire :

12. Considérant qu’aux termes de l’article 11 de la Déclaration des droits de l’homme et du citoyen de 1789 :  » La libre communication des pensées et des opinions est un des droits les plus précieux de l’homme : tout citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l’abus de cette liberté dans les cas déterminés par la loi  » ; qu’en l’état actuel des moyens de communication et eu égard au développement généralisé des services de communication au public en ligne ainsi qu’à l’importance prise par ces services pour la participation à la vie démocratique et l’expression des idées et des opinions, ce droit implique la liberté d’accéder à ces services ;

4° Rejetant systématiquement les propositions pourtant sensées de députés de sa propre majorité et en opposant à notre « opposition dogmatique » une godilloterie à toute épreuve dont elle n’arrive pas à démordre encore aujourd’hui, Madame Marland-Militello nous livre ici une réflexion de haut vol, digne de ce que l’on peut attendre d’un élu de la république (attention ne pas lire la citation suivante si vous ne vous êtes pas préalablement échauffé le neurone, un clacage est si vite arrivé…) :

Grâce au Président de la République, la France se place comme étant la pionnière de la lutte en faveur de la culture et de la création.

COMBO ! Comment peut-on, en si peu de mots, cumuler autant d’absurdités ? La France serait donc passée du rang de championne du monde du piratage (et si c’est pas de la propagande ça), à un modèle pour la culture et la création… rien que ça !  Il va falloir nous expliquer, madame la député, quel article de ce texte défend la création et qui fait aujourd’hui de la France un modèle pour le monde. J’ai beau chercher, je n’y trouve RIEN. S’il y a ici un seul artiste qui me lit et qui peut confirmer les dires de madame Marland-Militello en affirmant que depuis HADOPI il vit mieux, alors je m’inclinerai.

« La lutte contre le piratage est une priorité. Elle doit être menée à l’échelon mondial. La France a été pionnière en Europe, l’Europe doit maintenant être pionnière dans le monde.« 

Une véritable priorité pas de doute ! Enrichir les majors c’est une véritable priorité nationale… en temps de crise, fallait oser, bravo. Ça nécessite une police du Net, le viol du secret des communications, et la mise en place de dispositifs pouvant porter atteinte à la sécurité nationale… bravo madame la député, aucun doute, ce sont bien vos compétences sur ces domaines qui ont fait de vous le rapporteur de cette loi qui est un franc succès ! … il ne manque plus qu’à l’appliquer maintenant.

On attend donc avec impatience une mise en pratique des pistes fumeuses défendues dans le rapport Gallo à coup de routage BGP et d’inspection en profondeur de paquets, la création de la police mondiale du Net pour lutter contre les assassins d’artistes… et de reproduire sur toute l’Europe un truc qu’on ne sera même pas fichu d’appliquer en France tant le travail parlementaire a été bâclé… effectivement la France est en pointe, aucun doute là dessus madame la député. Mais le jour où vous aurez décidé de cesser de singer le comportement d’un supporter du PSG afin de faire le travail que vos administrés attendent de vous, peut-être pourrons nous passer à des choses plus constructives.

ATILD : un appel ouvert au DDoS sur HADOPI.fr

Je viens de voir un truc complètement ahurissant, une fois de plus…  L’ATILD, dont on avait pas entendu reparler depuis l’épilogue tragi-comique de la campagne de soutien à Zac, et à qui je dois parraît-il (merci, les mecs, je suis touché) l’arrêt des dénis de service sur mon blog, revient à la charge… c’est tout en finesse que l’association, exhibe un appel au Raid sur le site Hadopi.fr en page d’accueil.

C’est donc sous les couleurs des anonymous que cette association, appelle à porter atteinte à un système de traitement automatisé de données… et je suis franchement mort de rire. Outre l’anglais approximatif du communiqué pour faire comme les grands, je suis assez surpris de voir une association parait-il légalement déclarée inviter à ce genre de procédés dont elle se défendait il y a peu.

atild ddos
L'ATILD appelle au DDOS

Un refresh plus tard, Aurelien Boch, ancien président de l’ATILD et qui se revendique pourtant des anonymous sur les forums de wawamania, appelle, lui, au calme, et pour le coup, c’est tout à son honneur :

Aurelien Boch appelle au calme

Encore une situation complètement ubuesque à laquelle l’ATILD nous a habitué… bref, c’est toujours pas fini. Et on attend avec impatience le communiqué de l’association qui devrait nous expliquer que son site web a été piraté et qu’elle n’a jamais appelé au DDoS sur HADOPI.fr … du grand n’importe quoi !

Hadopi.fr : un intérêt manifeste

Parmi les outils de veille sur le réseau que j’affectionne, il y a Pastebin, on y trouve vraiment de tout, et pas que du code. Numerama signalait hier que le site Hadopi.fr, alors qu’il n’est toujours pas officiellement en ligne (même si le cache Google parle…), attirais déjà de nombreux curieux. Bien entendu, Pastebin atteste de la véracité de ces propos, on y trouve par exemple :

Rien de bien méchant, mais effectivement, Hadopi.fr fait l’objet d’attentions particulières, des attaques par déni de services avaient été annoncées aussitôt après les bruits sur la date de mise en ligne du site.

L’intérêt de ce DDoS est comme je vous le disais à mon sens limité et probablement dangereux en terme d’image… tout comme le serait un défacement, qui donnerait du pain béni aux personnes qui veulent policer l’internet en utilisant des outils autrement plus dangereux qu’une machine à spam, aussi coûteuse soit-elle. Espérons maintenant que les politiques éviteront les attaques inconsidérées qui attisent encore les crispations des uns et des autres… même  des plus modérés.

Oui c’est compliqué, mais il n’y a pas de pédagogie vaine, il en restera toujours quelque chose… ce qui me permet d’enchaîner sur le billet suivant, dans lequel je vais tenter d’expliquer à madame Marland-Militello le combat d’arrière garde dont elle se gargarise ici… je pensais pas dire ça un jour mais je commence à regretter Frédéric Lefèbvre, ses attaques contre l’Internet étaient argumentées de manière bien plus drôles.

HADOPI : le jeu concours de la Quadrature du Net

Grand Jeu HADOPI imageAlors que la HADOPI s’apprête à lancer les premiers mails ( si, si … ça arrive), La Quadrature du Net lance un grand jeu concours pour désigner le vainqueur, à savoir la première personne qui recevra son mail d’avertissement. Une manière originale de marquer le coup, qui devrait en inciter plus d’un à vouloir jouer.

Le gagnant qui se verra remettre un bundle exceptionnel « même pas peur » :

  1. un π-shirt (même moi j’en ai pas… et rien que pour ça je sens que je vais allumer la mule et bittorrent à fond les ballons pour downloader en boucle un ou deux blockbuster… mais vu que les premières adresses IP ont été fournies, je n’ai malheureusement que bien peu de chances d’être sélectionner),
  2. Un exemplaire du considérant 12 de la décision 2009-580 du Conseil Constitutionnel, censurant l’HADOPI 1 et liant libertés d’expression à accès au Net, sorti d’une presse à imprimer du XIXè siècle … ça aussi… need <3;
  3. Une IP de la société de police privée du Net Trident Media Guard … si le remote shell est fournit, need aussi <3;
  4. Un coup à boire sur Paris ou ailleurs ;
  5. Une suggestion de réponse à l’HADOPI.

Tout est ici

La menace Deep Packet Inspection : analyse de la compromission d’un FAI

backboneL’analyse en profondeur de paquets (DPI) en coeur de réseau est le nouveau fantasme de la SCPP. Marc Guez son directeur ne doute pas un instant que grâce à cette solution miracle, il pourra reconnaître la légalité des octets qui transitent sur les réseaux des fournisseurs d’accès. En théorie, il n’est pas loin d’avoir raison. En pratique, c’est un peu moins sur… et du coup, je vais vous raconter une bien belle histoire, celle de Samir, aka sam_synack… une histoire encore parfaitement inconnue du grand public.

Ceci remonte à 2006, à l’époque, le fournisseur d’accès SFR s’appelait 9Télécom. Il distribuait des Neufbox à ses clients. À cette époque les Neufbox n’étaient pas équipées en GNU/Linux, le firmware était fermé et propriétaire. Mais un firmware fermé… ça s’ouvre. C’est bien ce qui est arrivé. Ce billet est assez technique, il dissèque la compromission du réseau d’un fournisseur d’accès Internet. Le détail du hack est ici relaté, vous comprendrez donc qu’il ne s’agit pas d’une fiction… c’est bien réel.

Analyse de la compromission de 300 000 Neufbox et du coeur de réseau d’un fournisseur d’accès par un gus dans son garage

Samir Bellabes, qui s’ennuyait en luttant contre ses insomnies, a eu la curiosité de commencer à causer avec sa Neufbox, fraîchement achetée quelque heures plus tôt… dramatiquement banal ? Attendez un peu, ce qui va suivre l’est un peu moins. La Neufbox se montre peu bavarde, mais animé par cette curiosité maladive qui anime tout hacker, Samir ne se décourage pas, il lui en faut bien plus. Sa méthode, simple et imparable, sniffer sur son réseau le trafic entre sa Neufbox et le Net et ainsi localiser le serveur depuis lequel elle se met à jour, récupérer ce firmware lors d’une mise à jour en dumpant les paquets. Appréciez la beauté du hack :

  • Samir scanne sa Neufbox : pas de résultat, pas grand chose à se mettre sous la dent hormis peut-être un port TCP 1287 à l’écoute à garder sous le coude :

sam@urg:~$ sudo nmap -sT  192.168.1.1 -p 1-65535
Starting Nmap 5.00 ( http://nmap.org ) at 2010-09-22 14:58 CEST
Interesting ports on 192.168.1.1:
Not shown: 65530 filtered ports
PORT     STATE  SERVICE
53/tcp   open   domain
80/tcp   open   http
1287/tcp open   unknown
1288/tcp open   unknown
8080/tcp closed http-proxy

sam@urg:~$ telnet 192.168.1.1 1287
Trying 192.168.1.1…
Connected to 192.168.1.1.
Escape character is ‘^]’
.Foxconn VoIP TRIO 3C, F01L010.00_LDCOM MAC: , VOIP FLG=1
Login:

  • Il éteint sa Neufbox et la raccorde en ethernet à sa machine sur laquelle il lance tcpdump ;
  • La Neufbox effectue une requête « ARP, Request who-has 10.0.0.1 » vers sa machine, donc la neufbox recherche le serveur 10.0.0.1;
  • Bien entendu, sa machine ne peut répondre à cette requête ;
  • Samir débranche le RJ11 sur lequel le signal ADSL arrive dans la box,  configure sa machine pour prendre l’adresse 10.0.0.1 et rallume la neufbox ;
  • Bingo, sa machine répond cette fois ci à la requête ;
  • Cette requête servait pour la box à déterminer où se trouve Internet et où se trouve le réseau local … Samir vient de tromper la Neufbox … sans une seule ligne de code ;
  • Une série de requêtes UDP et TCP se sont alors lancées depuis la Neufbox (recherche des serveurs de VoIP par exemple);
  • Mais le plus intéressant : une connexion UDP vers un serveur d’adresse publique  80.118.192.97, et vers un port de destination identifié comme du TFTP ;
  • Sur sa machine, Samir monte donc un serveur TFTP en écoute en attribuant arbitrairement à l’interface en écoute cette adresse publique ;
  • Il rallume sa box, et alors que la Neufbox cherche le serveur public,  c’est sa machine qui répond, la Neufbox s’y connecte donc naturellement ;
  • La Neufbox demande à sa machine le fichier LatestVersion.general (listant les firmwares disponibles comme on le découvre plus tard);
  • Samir a donc maintenant assez d’informations pour aller chercher le vrai serveur public TFTP qui gère les mises à jour ;
  • Le firmware est capturé :

sam@fin:~/tmp$ tftp 80.118.192.97
tftp> get F01L010.00_LDCOM-V1.6.19_AV225165_V060419_00_full.tar
Received 1666745 bytes in 6.4 seconds
tftp> quit
sam@fin:~/tmp$ file *
F01L010.00_LDCOM-V1.6.19_AV225165_V060419_00_full.tar: data
LatestVersion.general:                                 ASCII text

  • Et là, c’est le drame, une petite recherche dans le firmware sur la chaine de caractères « password » lui renvoit ceci :

httpd_username1=tibma
httpd_password1=ambit
httpd_username2=root
httpd_password2=aEzebRAWiF

  • Ces login/pass sont fonctionnels sur l’interface web de la Neufbox. Mais surtout retournons voir le CLI sur le port TCP 1287 et son prompt login, et là encore pas de souci, le mot de passe root permet d’être root sur la Neufbox.
  • Immédiatement on trouve le nom du CLI : ISOS et sa doc http://89.96.243.158/download/USERGUIDE/985_a02-ra3_cli.pdf
  • Il y a 2 interfaces (WAN et LAN) et l’interface WAN possède un adresse IP de classe privée du sous-réseau 172.16.0.0/12. (disons 172.16.42.42) … Curieux.
  • C’est là que Samir se rend compte qu’il peut envoyer du trafic à l’adresse IP voisine (par exemple 172.16.42.43, c’est à dire à une possible autre Neufbox. Un seul moyen de vérifier, se logger et éteindre cette Neufbox. C’est fait, le modem voisin ne répond plus.

La Neufbox de Samir est rootée, ainsi que plus de 300 000 de ses petites sœures !

En même temps qu’il recherche un mécanisme pour exploiter à grande échelle ces informations, il continue ses recherches basées sur les informations du firmware : les noms des serveurs donnant des adresses IP qui donnent des plages de réseau : 212.94.162.0, tftp.neufbox.neuf.fr, dhcp.neufbox.neuf.fr, ..

Et ce n’est pas fini…

  • Il scanne la plage IP, extrait :

Host pradius-dsl-2.gaoland.net (212.94.162.16) is up (0.039s latency).
Host mrtg.gaoland.net (212.94.162.5) is up (0.030s latency).
Host dns1.gaoland.net (212.94.162.1) is up (0.025s latency).
Host pippin.gaoland.net (212.94.162.15) is up (0.039s latency).
Host babar.gaoland.net (212.94.162.67) is up (0.027s latency).

  • Sur ce dernier serveur, le navigateur demande une authentification pour un mécanisme de sauvegarde à des routeurs BB IP … BACKBONE pwn3d !

Samir vient de taper à la porte du backbone… tout juste là où les partisans de la DPI souhaiteraient placer leurs équipements ! Le tout est accessible depuis le Net…. magnifique non ?

  • Et là vous vous dites que c’est blindé, pas moyen de passer ? Voici ce que trouve Samir :  Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny8 with Suhosin-Patch Server at babar.gaoland.net … Blindé en effet … enfin presque.
  • Dans la suite de la recherche, une autre plage intéressante est aussi apparue :

inetnum:        80.118.192.0 – 80.118.197.255
netname:        N9UF-INFRA
descr:
BIB backbone

Happy End

Samir est un hacker sympa, pas un terroriste, il avertit donc aussitôt Neuf qui corrige, il n’a pas exploité ses trouvailles, il ne les a pas revendues sur une board russe… un vrai coup de bol pour les 300 000 abonnés de Neuf qu’il avait à portée de shell. Cette histoire n’a jamais filtré, c’était il y a 5 ans, et la révéler aujourd’hui ne porte pas préjudice au fournisseur d’accès. Par contre elle soulève des question très lourdes.

Que faut il retenir de cette petite histoire ?

Il n’en a pas fallu plus pour compromettre l’infrastructure du réseau de Neuf : un ordinateur et un gus dans son garage.. sans aucune ligne de code et  toute l’infrastructure réseau d’un fournisseur d’accès est mise à nue. Cette même infrastructure au cœur de laquelle certains inconscients aimeraient placer des dispositifs d’écoute généralisée… à la portée de n’importe quel état, de n’importe quelle officine qui s’en donnerait les moyens… et d’un gus dans un garage !

Conclusion

La sécurité est un mécanisme global, qui fonctionne par des liens entres différents niveaux de couches et de services. Elle ne se résoud pas uniquement avec une boite gavée de GPU sur un lien réseau en terabit. Des entreprises voudraient utiliser les informations du réseau, vos informations, vos communications, afin de réaliser leur analyse et en déduire leur « légalité ». Il est clair que les solutions que la HADOPI a pour mission de labelliser seront des logiciels de lutte contre l’échange de fichiers. Ceci se fera au risque de compromettre la sécurité des utilisateurs et des entreprises. Là où on nous souffle le terme de  « logiciels de sécurisation » et où le mot d’ordre est un concept aussi fumeux que la protection des lignes ADSL pour éviter de se rendre coupable d’un délit de « négligence caractérisée« , il faut bien lire « surveillance généralisée ». Si le grand public a un besoin réel de sécurisation, de confiance dans le réseau et de protection, il ne faut pas non plus nous faire prendre des vessies pour des lanternes : le produit Qosmos/Vedicis n’est pas une solution de securisation, mais bien de surveillance.

S’il fallait trouver un moyen efficace d’offrir l’opportunité à des personnes mal intentionnées de mettre la main sur les données personnelles de millions de particuliers et d’entreprises, nous ne pourrions pas mieux nous y prendre qu’en plaçant des équipements de DPI en cœur de réseau…

Voulez vous vraiment vous rendre coupable d’une négligence caractérisée mettant en péril notre sécurité nationale Monsieur Guez ? Pensez vous que la défense de vos intérêts (et non ceux des artistes) en vaut les risques encourus ?

Être conscient des peurs sur la DPI est une chose, prendre conscience des risques en est une autre. Il est grand temps que nos responsables politiques sifflent la fin de la récréation. Si les libertés individuelles ont une fâcheuse tendance à devenir un produit d’exportation, il est impératif que ces dispositifs dangereux pour la sécurité de nos concitoyens le restent.

HADOPI : DDoS annoncé pour accueillir Hadopi.fr

/b/Cette fois ça y’est, le site de la HADOPI devrait ouvrir ses portes  dés demain… et la riposte pas franchement graduée est en train de s’organiser sur les boards. Un appel on ne peut plus explicite au Raid a été lancé. C’était bien prévisible, Read Write Web avait même parlé de cette escalade très récemment. Selon les information de PcInpact, c’est Extelia qui pourrait bien déguster du /b/ (j’ai presque l’envie de vous dire qu’il s’agirait d’une réponse du berger à la bergère, mais mes propos pourraient être mal interprétés).  L’appel aux armes lancé sur 4chan et déjà largement relayé porte les couleurs des Anonymous. En anglais, il atteste que le conflit est en train de s’internationaliser, et ça c’est une très mauvaise nouvelle pour les ayants droit.

Personnellement, je suis très réservé sur le bien fondé de ce raid…. Je comprends bien que ça nous démange tous, mais à l’heure actuelle ceci ne ferait que nous porter préjudice. Ce qui me dérange sur ce coup, c’est que j’ai l’impression qu’on se trompe de cible. Ce sont les ayants droit qui sont la cause du bridage de l’Internet, la HADOPI est une émanation de leur lobbying et ce serait donner ici à l’Autorité un argument de plus pour clore tout dialogue et de se lancer dans une application aussi stricte qu’absurde de la loi.

… et sarcastiquement, on pourrait aussi vous renvoyer que la bande passante cramée pour ce DDoS est sponsorisée par vos impôts.

HADOPI : 800 gagnants pour le premier tirage… combien au grattage ?

mailAujourd’hui, la Haute Autorité a communiqué une liste de 800 adresses IP pour identification en vue des premiers envois de mails. Ce sont donc 800 foyers qui devraient prochainement recevoir (ou pas) les premiers mails certifiés conformes (ou pas) de la HADOPI. Contrairement à ce que beaucoup prédisaient (moi le premier), le taux de faux positifs sur les premiers envois devrait être minime. On m’a assuré que les ip « flashées » avaient fait l’objet d’une attention toute particulière, et on comprend pourquoi : d’importants couacs sur les premiers heureux gagnants seraient un mauvais, un très mauvais signal. Tout a donc été fait pour minimiser la part d’aléas inéluctables.

Là où ça coince :

  • Toujours pas l’ombre d’un début de piste de procédure formelle de contestation en cas d’erreur ;
  • Toujours pas l’ombre d’un début de négociation avec les ayants droit pour une offre légale ;
  • Toujours pas l’ombre d’une définition de la connexion internet que l’on est sensé sécuriser ;
  • Toujours pas l’ombre d’une solution miracle de sécurisation ;
  • Toujours pas l’ombre d’une garantie quelconque contre une sanction injuste ;
  • Toujours pas l’ombre d’une preuve que les soit disant pirates se sont enrichis en téléchargeant René la Taupe ;
  • Toujours pas d’obligation légale faite à mon FAI chéri d’arrêter de livrer ses points d’accès avec du Wep activé par défaut.

… vu d’ici, on dirait presque que la charrue ait été placée avant les boeufs et on s’oriente plus vers une réponse dégradée à un problème non mesuré, que vers une riposte graduée.

Notez qu’on se fiche bien de savoir si vous avez téléchargé un MP3 d’Enrico Macias et êtes devenu le 18e internaute à ainsi contribuer à sa ruine, ce qu’on sanctionne ici c’est une négligence caractérisée. Non pas que vous ayez téléchargé ce MP3 par inadvertance en tentant de vous procurer une ouverture de Bach passée dans le domaine public, mais bien que vous êtres trop crétin pour savoir qu’un flaw dans TKIP permet un Man in the Middle… sombre crétin que vous êtes, je vous l’avais pourtant expliqué ici !

Mais tout ceci reste un déroulement logique dans le calendrier de la mise en place des procédures induites par la loi, on ne peut donc s’en étonner. En revanche,  il va y avoir un risque important de voir certains fournisseurs d’accès Internet proposer leur Hadopipoware. Au menu je vous prédis :

Les risques sont bien réels , on a déjà vu ce que ceci pouvait donner et franchement, ceci n’est pas fait pour rassurer. Il faut espérer que la Haute Autorité mette un point d’honneur à prendre des distances avec ce qui représente une véritable menace pour tous, tant sur le plan des libertés individuelles que sur le plan de la sécurité. C’est donc maintenant, plus que jamais, qu’il va falloir observer les ayants droit qui nous promettent du DPI, les fournisseurs d’accès qui se verraient bien le vendre, et les équipementiers qui vont nous sortir leurs solutions miracles dans peu de temps.

3615 Militello Show

gagadopiVous vous souvenez peut être de Muriel Marland Militello qui expliquait que ce n’était pas les internautes qui comptaient dans une démocratie mais les concitoyens (toi l’internaute qui me lit, tu es un citoyen en carton), ou encore de ses prestations dans l’hémicycle pendant les débats sur HADOPI… moi, anéfé, je me souviens parfaitement d’une incompétence crasse d’un élu en service commandé qui soutenait des positions martiennes argumentées par un néant abyssal. Ses précieux avis font d’HADOPI un texte inapplicable … et inappliqué… Madame Militello n’en est pourtant pas peu fière, et passer de la protection des animaux à Internet semble vécu par la député comme une promotion naturelle et bien méritée (il est acquis qu’Internet étant peuplé de zoophiles, il ne s’agit là que d’une extension de son combat au numérique).

Dans sa dernière sortie, Muriel Marland Militello s’en prend au référé de FDN devant le Conseil d’État que je vous laisse découvrir ici. Je vous invite à le mettre en perspective de ce splendide billet, qui aussi inconsistant soit-il, a le mérite de mettre en exergue, une fois de plus le décalage qui existe entre les promesses d’un texte vide : « on va sauver les artistes », et la réalité « on chouchoute la SCPP et quelques organismes parasites… et on laisse crever les artistes». J’aimerais sincèrement, madame le député, que vous m’expliquiez comment votre oeuvre sauve les artistes que les pirates flagellent à coup de modem, à en croire l’illustration de votre magnifique billet. Tous les artistes que je connais n’attendent rien de votre texte. Pouvez vous donc nous développer ce que vous soutenez avoir à leur offrir ?

Vous noterez que j’ai eu la courtoisie d’attendre vendredi pour répondre à ce billet, je ne troll que ce jour là. L’ami Spyou a d’ailleurs su réagir plus vite, de mon côté, j’ai du me résoudre à me calmer un peu avant d’écrire ce billet, tant il est compliqué de ne pas répondre à la bêtise par la bêtise

En voiture Muriel !

Madame Marland Militello commence dans son billet par nous rappeler que sa grande expertise d’Internet et du numérique lui a valu le poste de « rapporteure pour avis » sur la loi HADOPI (un peu comme si on m’avait nommé hier chirurgien). Certains y verront l’une des raisons de l’inapplicabilité de ce texte, je me contenterai ici de souligner sa chance car l’avis des gens qui y connaissent quelque chose n’a, lui, jamais été pris en compte.

Dans un Etat de droit… où on fait tout de travers

J’aime beaucoup le couplet de madame le député sur l’État de droit qu’elle a visiblement un peu compris de travers, où elle assimile la protection de la propriété intellectuelle à un concept effrayant, le « cleanternet»…  Je le retourne sous tous les sens… rien à faire, je ne comprends pas comment madame Militello arrive à la conclusion qu’HADOPI (allez je vous le redis encore une fois pour que ça rentre… toujours inappliquée et inapplicable) « contribue à développer un Internet civilisé, respectueux des libertés et des droits et devoirs de chacun ». N’oubliez pas que pour que tout ce petit monde soit civilisé, ça passe forcément par restreindre la liberté de la presse. A ce jour, outre un climat délétère que madame Militello aime à entretenir, HADOPI contribue surtout à enrichir des marchands d’octets au kilo.

Madame le député, il y a ici deux choses particulièrement choquantes dans cette petite éructation de pixels bien peu inspirée :

  • vous entérinez le fait qu’HADOPI est un dispositif de surveillance visant à rendre une jungle civilisée (vous avez du confondre avec la LOPPSI, HADOPI n’est qu’une coûteuse machine à spam… qui n’a toujours pas envoyé un seul mail). Vous offrez là une caricature parfaite qui colle à une certaine classe d’élus et qui est la principale raison de l’échec qui vous attend sur ce dossier.
  • vous affirmez ensuite, qu’HADOPI contribue au développement de l’offre légale… vous avez du louper l’épisode Jiwa, soit, mais j’aimerai vraiment ici que vous me citiez UNE SEULE mesure visant à développer l’offre légale dans HADOPI… on ne doit vraiment pas vivre sur la même planète, ou alors c’est que nous n’avons pas le même texte sous les yeux.

C’était là vos deux seuls arguments, c’est franchement léger pour une personne qui se gargarise ainsi d’avoir contribué à sauver la « création sur Internet » si je me fie au titre de la rubrique dans laquelle se trouve votre chef d’oeuvre.

Mais pourquoi ce billet ?

En se réjouissant de la sorte, la député Militello se rappelle aussi au bon souvenir du Président de la République pour lui signifier qu’elle a été un bon soldat… je pense que le message est passé pas de problème là dessus… enfin pas de problème s’il y avait une seule once d’argumentation, une seule référence valide… pour infirmer un FAIT : HADOPI favorise le commerce illicite d’oeuvres culturelles sur le dos des artistes :

  • En enrichissant Megaupload, Rapidshare etc …
  • Si vous preniez le métro vous découvriez même que grâce à HADOPI, on peut s’y offrir toutes les dernières productions hollywoodiennes en Divx pour un coût dérisoire (au moins ça permet à quelques personnes de vivre…. mais surement pas les artistes).

Bravo madame Militello d’avoir tué l’échange de fichiers sur les réseaux P2P pour encourager une économie criminelle, nous n’y serions pas parvenu sans vous.

La moindre des choses quand on lance ce genre de billet d’humeur est de l’argumenter un minimum pour qu’il ne soit pas perçu comme une stupide provocation totalement inutile. Enfin, se réjouir d’une conclusion affirmant l’inutilité de consulter l’ARCEP est ici encore d’une grande maladresse, je doute que le gendarme des télécoms apprécie ces gargarismes.

HADOPI : tu sécurises ou tu fliques ?

Au détour d’un commentaire lu sur Numérama en référence à l’amalgame volontairement fait dans ce billet entre la « sécurisation d’une connexion Internet » et la « sécurisation d’un site web », j’ai pu me rendre compte de l’efficacité de la propagande menées par le Ministère de la Culture… ils ont réussi à mettre un sacré bazar dans nos cerveaux. Je me suis donc essayé à un petit exemple fictif pour illustrer un fait : le dispositif prévu dans le texte de loi n’est pas fait pour sécuriser, mais bien pour fliquer.

Je vais donc reprendre ici cet exemple, une fiction pour le moment mais je suis prêt à vous parier que si le texte était en l’état appliqué au pied de la lettre, la réalité pourrait même dépasser la fiction. C’est l’une des raisons pour lesquelles j’expliquais l’année dernière sur TechToc.tv que nous avions déjà gagné et qu’HADOPI telle que nous la connaissons ne sera probablement jamais appliquée car comme le dit l’adage : à l’impossible nul n’est tenu. Et l’impossible, c’est justement sécuriser une connexion Internet, ce qu’on essaye de nous faire passer pour une obligation légale. Maître Capello ? Pas mieux que trois lettres ? L.O.L.

Voici le commentaire qui a motivé ma réponse :

« C’est quoi le rapport entre la non-sécurisation de sites Internet et la sécurisation de la ligne d’un abonné à Internet pour empêcher les téléchargements illégaux ?
Ah oui, il y a le mot « sécurisation » dans les deux parties de la phrase. Donc de manière simpliste, on fait un raccourci : du moment qu’ils ne sécurisent pas leurs sites, alors ils ne peuvent pas nous demander de sécuriser nos lignes. Alors que les techniques, les moyens et les enjeux n’ont strictement rien à voir.
Bien évidemment qu’une base SQL non protégée sur un site gouvernemental, ce n’est pas très sérieux. Mais quel est le rapport avec Hadopi et ses dispositions législatives ? Ce n’est pas parce qu’ils sont en faute que cela vous dédouanne d’appliquer la loi ! »

Notez que ce n’est pas le seul de ce cru, j’ai même pu en lire sur Read Write Web ou d’autres sites, ce qui justifie à mon sens une explication dont le but sera de dépoussiérer quelques notions et faire un peu le ménage dans les idées stupides que notre bon législateur a tenté de vous mettre dans le crâne (et il y est dans de nombreux cas parvenu).

Les faits

  • La loi Création et Internet mentionne une contravention pour non sécurisation d’une connexion Internet, sans pour autant définir le périmètre précis (essayez vous au Quizz, vous allez vite comprendre que juridiquement nous sommes là en face d’un concept particulièrement fumeux).
  • Pour que les données d’un serveur web soient accessibles il faut ? … une connexion Internet.
  • Pour qu’une machine se fasse compromettre, généralement, sur le Net, il faut … une connexion Internet et une vulnérabilité exploitable à distance (allant de l’utilisateur lui même qui ira cliquer sur un « i love you.exe jusqu’à une faille kernel… et entre ces deux extrêmes… il n’y a pas de limites.
  • C’est justement parce qu’entre ces deux extrêmes les limites n’existent pas, qu’AUCUNE solution logicielle de sécurisation au monde ne protègera jamais les utilisateurs de l’intégralité des risques liés à la nature du réseau… et à la nature du cerveau humain. Affirmer le contraire serait une bêtise.

La fiction

Une entreprise x dispose d’un extranet, son robots.txt indique un répertoire sensé être protégé qui ne l’est pas (au pif avec un beau .sh qui affiche en clair le mot de passe de la base de données Oracle du dit extranet). Un pirate y accède et pénètre l’extranet de l’entreprise, par escalation de privilèges ou en dumpant la base de données, il en prend le contôle de tout le réseau local de l’entreprise. Pour ce faire, rien de plus simple, avec un petit coup de dsniff, il s’empare de tous les mails du serveur de mail Exchange (assez pratique pour se faire renvoyer les passwords non ?), il a tous les mots de passe, tous les accès… voici un scénario malheureusement dramatiquement réaliste d’une compromission.

Puis, il se trouve que l’entreprise en question a une super bande pasante, du 100megas symétriques. Le pirate decide donc de se servir du NAS pour se faire sa médiathèque en ligne qu’il consulte en streaming via un flux chiffré sur un port non standard. Pour télécharger, il s’installe un client torrent en mode console, bien planqué là ou personne ne va jamais fouiller … dans le /opt par exemple.
La HADOPI envoie un mail que l’entreprise ne reçoit pas car elle ne le lit jamais, d’ailleurs, dans l’entreprise, personne ne sait si ce mail existe (le mail d’inscription utilisé pour ouvrir la connexion Internet chez le fournisseur d’accès).

A la réception du courrier recommandé (l’étape 2 de la procédure super pédagogique prévue par le texte), l’entreprise débusque le pirate sur son réseau mais n’a pas compris par ou il est arrivé. Elle supprime donc l’utilisateur ou change le mot de passe du compte utilisé par le pirate. Mais, souvenez vous, comme le pirate a dumpé la base de données et qu’il a récupéré des centaines de mots de passe en sniffant le réseau local de l’entreprise… et que l’entreprise n’a pas changé TOUS les passwords, notre pirate, pas décidé à abandonner sa connexion très haut débit depuis le fin fond de la Lozère, revient… puis un jour, après plusieurs incursions, un recommandé, et 3 audits internes (il faut pas que ça s’ébruite ce genre de choses vous comprenez, ça affolerait les clients de notre entreprise), l’entreprise se retrouve déconnectée du net.

Même l’Hadopipohardware, le Firewall Zyxel, acheté par l’entreprise et qui promettait une protection idéale contre HADOPI en filtrant les applications de peer to peer n’a rien vu venir.

Tout le système d’information de l’entreprise est donc rendu inaccessible depuis l’extérieur et ses salariés sans connexion dans les locaux se retrouvent au chômage technique.

Comme une circulaire de la chancellerie indique que tout cas un peu compliqué ne devra surtout pas être envoyé devant un tribunal… et que même si c’était possible la connexion est déjà coupée.. et que l’entreprise n’a pas le droit de souscrire à une autre offre… l’entreprise ferme ses portes et fait faillite incapable d’honorer une communication basique avec ses clients. Il reste le télétravail et peut être aller faire les rendez-vous clients au Mc Donald du coin.

Que nous apprend cette petite histoire ?

Il s’agit d’un constat évident, que malheureusement trop peu de personnes semblent avoir assimilé :

  • La sécurité ce n’est pas un produit mais ensemble de processus
  • HADOPI propose l’élaboration de solutions de « sécurité » dont la fonction n’est pas de prévenir de risques d’intrusion externes mais bien de fliquer des usages internes… ce qui inéluctablement conduit à un risque sécuritaire, c’est à dire, tout le contraire de ce qu’on tente de vous vendre.

Pour vous faire passer des vessies pour des lanternes, notez qu’il aura fallu :

  • 577 gus dans un hémicycle (en théorie), beaucoup moins en pratique
  • 2 HADOPI
  • un recallage au Conseil Constitutionnel
  • un site web de propagande à 80 000 euros pour 1 mois d’uptime (jaimelesartistes.fr)
  • la machine à spam la plus chère du monde…

… j’ai donc encore beaucoup de route à parcourir pour expliquer ça à qui veut l’entendre, je n’ai pas les mêmes moyens que ceux déployés par l’Etat, mais aidé par quelques gus, nous devenons tous des créateurs de possible… non ?

SOS-HADOPI : lancement à la Cantine le 13 Septembre 2010

sos hadopi
SOS Hadopi

C’est le 13 septembre prochain que se tiendra le lancement de SOS HADOPI à la Cantine à Paris. Ce service proposé par le groupe APIADOPI et porté par Renaud Veeckman, Jérôme Bourreau-Guggenheim et Christophe Berhault. Il vise à apporter une aide technico juridique aux personnes qui seraient victimes d’une coupure de connexion par le biais de ce dispositif .

SOS HADOPI n’est pas encore lancé qu’il s’attire de son côté les foudres de la Haute Autorité qui condamne l’initiative. On pourra lui porter le crédit que cette dernière, n’ayant pas commencé son travail, ni présenté son label de sécurisation décrié par SOS HADOPI et qualifié de mouchard, on reste dans pour le moment dans le procès d’intention… On les attend de pied ferme ces spécifications…. Rappelons enfin que Renaud Veckman a eu la bonne idée de déposer la marque HADOPI avant que l’État ne s’en préoccupe et que nous saurons, le 19 novembre prochain si l’utilisation du terme HADOPI peut lui être accordé étant le titulaire légitime de cette marque et disposant de la jouissance de son utilisation pour un champs d’action déterminé.

Le projet semble assez intéressant pour qu’il justifie votre présence à sa présentation à la Cantine le 13 Ssptembre 2010 de 14h00 à 16h30.