DRM : on confine toujours à l’absurde

Les DRM ou Digital Right Management sont un échec assez emblématique de la politique de fermeture par les constructeurs au nom du copyright des contenus dématérialisables. Les DRM sont arrivés dans notre corpus législatif par le biais de la loi DADVSI (elle-même issue d’une transposition d’une directive européenne, l’EUCD) qui sanctionnait jusqu’à 6 mois de prison et 30 000 euros d’amende toute personne diffusant ou facilitant la diffusion d’un logiciel destiné à casser ces mesures techniques de protection de médias. Décriés depuis le début, ils ont été en grande partie responsables de l’accélération du déclin du disque en France puisque de nombreux acheteurs de disques se retrouvaient frustrés de ne pouvoir lire ce CD dans leur voiture ou sur leur ordinateur pour le mettre dans leur baladeur MP3… une véritable invitation au téléchargement illicite.

Ici l’usage justifiait le contournement de ces mesures de protection pour pouvoir disposer d’un bien pourtant légalement acheté. Ainsi, il devenait souvent plus aisé de télécharger les MP3 sur les réseaux peer to peer que s’amuser à tenter de contourner une mesure technique de protection.

Pendant les débats sur la HADOPI, de nombreuses voix se sont faites entendre pour que, comme promis par le gouvernement de l’époque, une étude d’inpact du DADVSI soit publiée. Réponse du gouvernement « l’heure n’est plus à ça, passons à autre chose« . Si j’étais mauvaise langue, je dirais que cette étude nous aurait peut être permis de faire l’économie d’une mauvaise HADOPI.

Aux USA, les DRM sont aussi allègrement contournés. Fin juillet dernier, un tribunal américain légalisait même le jailbreak de l’iPhone, c’est à dire le contournement de ses mesures de protection pour en prendre le contrôle.

Aujourd’hui la justice américaine s’apprête à publier une liste de protections pouvant être légalement contournées. Un son de cloche très différemment perceptible de la part des négociateurs de l’ACTA qui plaident pour la généralisation de ces mêmes DRM entre d’autres frictions avec l’Union Européenne..

Peut-on dire pour autant que ceci sonne le glas du DRM ? Malheureusement non, et je prédis qu’en France certains ayants-droit ne sont pas prêts d’en démordre, ils nous resserviront du DRM en complément d’autres mesures absurdes et coûteuses du même cru avec un résultat toujours aussi nul sur la création.

Lawtech : le full disclosure passe en procès à la Cantine

lawtech
Law Tech à la Cantine

C’est une rentrée chargée pour la Cantine, donc prenez en date, ça se tiendra le 30 Septembre 2010 de 19h30 à 21h30. La soirée organisée par le Cercle Azimov vous présentera un cas fictif de procès sur le full disclosure, plaidé par de véritables experts en la matière. Un scénario assez drôle permettra de lever le voile sur la complexité de la pratique du full disclosure pour des failles dites sensibles, et du déroulement d’un procès en conditions réelles sur ce thème technique complexe, autant techniquement que juridiquement.

Composition du « Tribunal et des Parties au procès » :
Pour la demande :
Pour la défense :
  • prévenu : Philippe Langlois, expert en sécurité informatique, P1 Security
  • témoin : M. Eric Filiol, expert en sécurité informatique, ESIEA
  • avocat : Me Ambroise Soreau, avocat, cabinet Henri Leclerc & Associés
Tribunal :

Le cas pratique :

Serge Bitnick est post-doctorant en biochimie et fait de la recherche de failles informatiques à ses heures perdues. Il découvre une faille dans le système d’information d’un hôpital. Il se rend compte qu’il existe un risque que tout le système d’information de l’hôpital soit compromis et cesse de fonctionner. Il tente immédiatement de prévenir le RSSI (Responsable de la sécurité des systèmes d’information) de l’hôpital mais, après 30 minutes de recherche sur Google, il ne trouve pas l’adresse email de celui-ci et décide d’envoyer le message suivant via le formulaire de contact présent sur le site web de l’hôpital :

« Bonjour,
J’ai remarqué que votre système informatique était victime d’une très grosse faille de sécurité. Il s’agit d’une faille du type Stack Overflow permettant un accès en lecture au Memcache de votre application web en Django-CMS. Le système SCADA est compromis et tous les respirateurs artificiels ainsi que le monitoring des salles de réveil post-opératoire de l’hôpital peuvent être contrôlés depuis une interface web rendue publique et indexée par Google. Cette faille peut être très facilement exploitée. Il y a un risque que tout votre système saute !  Il faut réparer ça très vite. Je n’ai pas trouvé le contact de votre RSSI. Contactez-moi si vous avez besoin d’aide.
Serge B.

Le lendemain, il reçoit l’email suivant :
« Cher Monsieur,
Merci de votre démarche. Je transmets votre message.
Cordialement,
Damien Champagne »

15 jours plus tard, la faille n’a toujours pas été comblée. Serge Bitnick la divulgue sur son blog et son fil Twitter (1.042 abonnés dont une poignée de journalistes spécialisés) :
« Grosse faille dans le SI de l’hosto de Tataouine http://ow.ly/17OrX2 #UBER_FAIL ! »
De fil en aiguille, l’information est reprise 3 jours plus tard dans l’édition web d’un journal national puis dans les éditions papier de différents journaux et magazines. Des familles de personnes hospitalisées dans l’hôpital concerné (et dans d’autres hôpitaux) paniquent et inondent le standard de l’hôpital pour s’assurer que tout va bien, voire se rendent à l’hôpital pour ramener chez eux leurs parents. L’hôpital porte plainte contre X pour intrusion dans un système de traitement automatisé de données et mise en danger de la vie d’autrui (la divulgation a paralysé le fonctionnement de l’hôpital pendant 2 jours mais aucun décès survenu à l’hôpital au cours de cette période n’a pu être rattaché aux suites de la divulgation). L’hôpital demande en outre des dommages et intérêts à Serge Bitnick pour le préjudice que la révélation de la faille lui aurait causée.
Serge Bitnick prétend pour sa part avoir agi uniquement pour faire prendre conscience aux gens des risque liés à une mauvaise sécurisation des systèmes informatiques, de traitement automatisé de données et mise en danger de la vie d’autrui (la divulgation a paralysé le fonctionnement de l’hôpital pendant 2 jours mais aucun décès survenu à l’hôpital au cours de cette période n’a pu être rattaché aux suites de la divulgation). L’hôpital demande en outre des dommages et intérêts à Serge Bitnick pour le préjudice que la révélation de la faille lui aurait causé.

Vous serez les témoins et les juges du dénouement de cette affaire, affûtez vos arguments et venez nombreux @La Cantine le 30 septembre 2010, 19h30. 151, rue Montmartre, Passage des Panoramas, 75002 Paris(métro Grands Boulevards ou Bourse).

Vous pouvez vous inscrire ici à cet événement.

Toute ta life sur Pastebin

Pastebin est un outil collaboratif initialement destiné aux développeurs. Il permet de copier du code ou n’importe quel type de texte afin qu’une ou plusieurs autres personnes puissent le modifier. Cet outil d’aspect très simple est pourtant très puissant et les usages que l’on peut en faire sont multiples. Les textes qu’un utilisateur copie colle sur Pastebin peuvent être privés comme publics et on peut également décider de la durée de vie de l’information en indiquant une date d’expiration. Du coup, on y trouve vraiment de tout, le meilleur comme le pire, le tout est évidemment indexable par les moteurs de recherche.

C’est bien du pire que nous allons parler ici avec un logiciel malveillant, un keylogger, qui fait en ce moment des ravages. Un keylogger a pour fonction d’intercepter tout ce qui est tapé sur un clavier. Ainsi, une fois installé, rien ne lui résiste, pas même un site bancaire chiffré en SSL, le mot de passe est intercepté, et la nouveauté maintenant … c’est que tout ce qui est intercepté arrive automatiquement sur Pastebin. Il est donc assez aisé de constater que des dizaines ou des centaines de milliers de personnes rien qu’en France se retrouvent avec toute leur vie sur Internet. Le site Sur La Toile avait abordé le problème début juin, et depuis la situation s’est considérablement empirée.

Si certaines données ne prêtent pas à de grosses conséquences comme ce faux mail d’avertissement de la HADOPI, on constate aussi des choses bien plus inquiétantes :

  • Des comptes mails de hauts fonctionnaires compromis,
  • des mots de passe FTP de sites gouvernementaux,
  • des bases de données complètes de mots de passe (des identifiants et des hashs de passwords) ;
  • des documents ou des contenus d’emails d’entreprises à caractère confidentiel,
  • Énormément de données bancaires…

À l’instar de certaines forums russes où l’on peut acheter des informations bancaires dérobées, Pastebin est devenu une véritable place de marché ou des personnes vendent ces données, affichant leurs taris et un moyen pour les contacter.

Le plus inquiétant est que certaines données que l’on trouve sur Pastebin, peuvent en de mauvaises mains, avoir des conséquences dramatiques, j’ai pu constater quelques cas où la sécurité physique de personnes peut être engagée. On trouve par exemple des accès à des systèmes SCADA compromis ou le nécessaire pour s’introduire dans un système d’information sensible comme des entreprises d’armement ou des système d’information de la sécurité civile.

Aujourd’hui un DSI se doit donc d’organiser sa veille pour ne pas voir son système d’information compromis, et Pastebin, comme toutes les applications en ligne de ce type, doivent être surveillée afin de pouvoir détecter le plus tôt possible un risque de compromission.

Négligence caractérisée à l’Assemblée Nationale ?

Assemblée nationale négligence caractériséeBon ça va être très court, il n’y a pas de quoi en faire un plat, mais ça ne manquera pas d’en faire sourire quelques uns.

Et dire que ces gens souhaitent que madame Michu sécurise sa connexion …

Pour faire simple, le champs de recherche de l’Assemblée Nationale accepte les iframes (en fait tout et n’importe quoi, Javascript compris), le tout sans validation… la classe quoi !

C’est assez amusant même si ça n’implique pas de graves conséquences… Au moins vous pourrez faire quelques screenshots rigolos à envoyer à vos élus ou vous rappeler au bon souvenir de Monsieur Riguidel.

Allez hop, c’est par ici

Merci @gallypette et @r00tbsd pour le troll du vendredi 😉

Edit : bon je sens que ça va être un festival de screens, en voilà déjà un qui tourne sur twitter :

Le site Performances-publique.gouv.fr est lui aussi affecté par la même faille XSS, voici un screen d’un lien posté dans un commentaire assez fun lui aussi (tout un programme la performance publique… c’est dans l’acronyme de LOPPSI qu’on a introduit cette notion de performance non ?)  :

EDIT (again) : je viens de poser une petite question à Eric Walter (pour le chat La Tribune/Hadopi qui doit se tenir d’un instant à l’autre). Elle sera surement censurée donc voici la question :

Eric Walter Hadopi Négligence caractérisée La tribune

La Deep Packet Inspection en coeur de réseau

alcatel dpiDébut mai 2010, je vous expliquais sur ce blog que la Deep Packet Inspection était bien dans les bacs. Le terme de « quasi neutralité » en conclusion gouvernementale qui avait pour l’occasion savamment instrumentalisé cette vénérable institution qu’est l’ARCEP, laissait peu de doutes sur la question. Plus tard, au mois de juin, quelques recherches m’avaient amené à vous parler de techniques plus pernicieuses encore, découlant du DPI, mais qui ont le bons goûts de sembler moins intrusives que de l’analyse de paquets en profondeur, basée sur des méthodes statistiques : le stochastic packet inspection. Selon ce que j’ai pu comprendre des papiers de recherche sur lesquels j’étais tombé,  le stochastic présentait un défaut, il fallait multiplier les points de sondes pour obtenir un ratio d’acuité élevé. Mais il avait aussi un gros avantage sur la DPI, pas besoin d’analyser les paquets en profondeur et donc de violer le secret des correspondances pour appliquer des règles de routage ou de drop des paquets.

Plus récemment encore je vous parlais d’Alcatel, un acteur majeur dans les équipements réseaux professionnels, dans un billet qui faisait suite à la diffusion du rapport gouvernemental sur la neutralité du Net, que l’entreprise, comme le rapport, re-qualifiaient en un risible « Internet ouvert »… la preuve en image. La manipulation était grossière, certes, et on sentait bien la griffe d’Alcatel dans ce rapport, tant dans la terminologie, les prévisions apocalyptiques « on va tous mourir, le Net est tout saturé« , que dans les conclusions qui invitaient à un libre accès aux contenus « licites ». Seul hic, pour reconnaitre un bit légal d’un bit illégal, quoi qu’on nous raconte, il faut bien placer une forme d’intelligence sur le réseau qui jouera le rôle du douanier… en clair de la deep packet inspection.

Stochastic packet inspection : le filtrage aux extrémités… cher mais peu intrusif

Multiplier les sondes sur les routes du trafic d’un internaute implique d’importants investissements (ou d’inclure des dispositifs puissants et onéreux dans les box, ce qui est cher, mais pas impossible, et ceci pourrait dans un futur proche devenir rentable avec des FPGA ).

Deep Packet Inspection : la surveillance de vos communications au coeur du réseau

Nous allons nous replonger dans l’univers fantastique d’Alcatel Lucent pour découvrir un équipement qui risque de vous donner froid dans le dos. J’ai à plusieurs reprises évoqué des modules directement installés sur les DSLAM des opérateurs, à ce moment j’étais à mille lieues de penser que des routeurs d’agrégation de services, placés en coeur de réseau, au plus proche des terminaux ou de bordure, proche des backbones, pourraient avoir assez de puissance de calcul pour faire de la DPI sur un lien terabit. Bon je commence à parler chinois, mais on va continuer un peu en regardant ce qu’il y a sous le capot de ces routeurs de services comme le 7705, capable de gérer des flux IP, mais également GSM, 2G, 3G et LTE. Alcatel devrait même prochainement annoncer le lancement d’une carte d’extension que l’on qualifiera pudiquement de carte « de traitement de paquets programmable » pour le 7705 embarquant un processeur, programmé par une société tierce pour son compte (une première pour l’équipementier réseau). En fait un monstre qui embarquera du FPGA pour offrir une puissance de traitement et surtout d’analyse de paquets colossale. Pour faire simple, le routeur forwarderait les paquets à la carte d’extension en question avant ou après une décision de routage… là on commence à rentrer dans le domaine de la magie noire.

Les communiqués, ou la documentation grand public d’Alcatel ne parlent pas ouvertement de DPI (plutôt de QoS). Dans d’autres documents à destinations de personnes plus avisées, les spécifications de la bête laissent à penser que comme pour d’autres modèles de la marque (comme la famille 7750 qui gère déjà du DPI à raison de  100 Gb/s par puce… et il y a jusqu’4 puces en fonction des configuration sur ces modèles), ces équipements sont tout à fait DPI ready… et sur de gros réseaux. Les cartes d’extension de ce genre de routeur de service, au format MDA (Media-Dependant Adapter) apportent également une intelligence en plus de celle du routeur, elles traitent des protocoles physiques, puis les encapsulent dans du MPLS (MultiProtocol Label Switching) et présentent ainsi le gros avantage d’être déployables au coeur de gros réseaux. Et c’est là que la magie du DPI s’opère techniquement : ce sont les IOM, sur lesquelles on trouve 2 MDA, qui servent à l’intelligence du routeur, elles sont connectées au routing complex et la puce « FP2 » d’Alcatel s’intercale ici, et c’est à ce niveau que la deep packet inspection s’opère.

Voilà je vous ai assez mis l’eau à la bouche, retenez en simplement qu’Alcatel sait faire de la DPI au minimum, à 100 Gb/s sur des configurations très scalables… et ça date de 2008. Si comme moi vous aimez les petits dessins, c’est par ici que ça se passe.

Revenons à des choses un peu plus digestes

Avec de tels équipements, dotés d’aussi puissantes capacités de traitement, on se doute bien que les premiers clients pour ces gros jouets, ce sont les gouvernements. Alcatel a bien envie de pousser quelques uns de ces routeurs de services pour aider le gouvernement ou n’importe quelle  « haute autorité administrative » à vérifier si vous accédez à un contenu LEGAL sur un Net qui n’est pas neutre mais OUVERT… bref, chez Alcatel on est sympas et toujours prêts à rendre service, surtout aux fournisseurs d’accès à qui l’entreprise promet de grosses économies en … filtrant des services ! On peut tourner ça dans tous les sens, on est aux antipodes de la neutralité du Net, on ne fait plus du simple QoS pour réduire la latence sur de la VOIP, mais bien de la surveillance.

Ainsi les 7705 font déjà le bonheur du gouvernement américain… et il est fort probable que certains fournisseurs d’accès en possèdent quelques uns, plus inquiétant, Alcatel en vendrait en ce moment environ 10 000 par trimestre ! Concernant les 7750, on en dénombrait plus de 20 000 en 2009. A ce rythme, vous comprendrez aisément qu’il ne manque vraiment plus grand chose pour mettre le Net sous surveillance.

CensorCheap : le crowdsourcing pour monitorer la censure du Net

censorcheapC’est à Paul Da Silva (qui s’est déjà illustré avec l’extension Firefox IPfuck) que nous devons cette nouvelle extension Firefox destinée à lutter contre la censure du Net : CensorCheap.

Censorcheap a un fonctionnemment complètement transparent pour l’utilisateur, elle sert à envoyer des données sur un serveur qui dresse un état des lieux de la censure du Net dans le monde. Ainsi si votre fournisseur d’accès bloque par exemple un site de jeux en ligne auquel vous tentiez d’accéder, l’extension communique au serveur ces données qui sont ensuite compilées pour restituer une cartographie de la censure dans le monde.

Concrètement, vous visitez un site et que vous obtenez une erreur 404 ou une erreur de domaine, l’extension demande au serveur de vérifier s’il s’agit d’une erreur « naturelle » ou non. En fonction des réponses reçues et de leur nombre, il devient donc aisé de savoir si un site est bloqué ou uniquement inaccessible temporairement depuis un point du réseau. Vous pourrez librement accéder aux données compilées sur le serveur et ainsi vous rendre compte par vous même des sites censurés en fonction des pays et des fournisseurs d’accès. Des fonctionnalités d’exports en XML et en CSV sont également au programme.

Un moyen original et redoutablement efficace, basé sur une collecte de données transparente en mode crowdsourcing, de savoir qui censure quoi et ainsi d’en savoir plus les intentions des censeurs.

Censorcheap sera prochainement disponible pour d’autres navigateurs que Firefox… stay tuned !

« Qui surveillera les surveillants? » comme s’interroge souvent Jean-Marc Manach sur BugBrother. La réponse offerte par CensorCheap est : « tout le monde ».

Visitez CensorCheap

La pédagogie made in HADOPI

négligence caractériséeLa HADOPI fait de la prévention, sous forme d’un dépliant qu’elle distribue aux péages autoroutierx, profitant des retours de vacances. Par delà le caractère pas franchement légal de l’opération comme le souligne Numerama, c’est surtout le couplet sur la sécurisation de la connexion Internet qui me fait doucement rire. Une vaste blague, avec une véritable intention de désinformer, voilà à quoi se résume le dépliant de la HADOPI.

Pourquoi

La sécurisation de la connexion à internet a pour but d’éviter les utilisations non autorisées d’œuvres protégées par undroit d’auteur. Comme pour son domicile, il est nécessaire de verrouiller les accès à son ordinateur pour éviter lesintrusions extérieures. Les moyens de protection permettentaux internautes d’envisager différemment l’utilisation de leurconnexion internet par leurs proches.

Comment ?
Comment ? Pour sécuriser son accès à Internet, l’abonné peut :

– Protéger son poste grâce à un mot de passe,- Installer des logiciels tels que le contrôle parental,les anti-virus ou les pare-feu,
– Protéger son wifi en utilisant une clé WPA. Ce type de service est proposé par les concepteurs de moyens de sécurisation (fournisseurs d’accès à internet et autres).

Le « Pourquoi » est déjà risible, on a là une splendide définition de la sécurisation d’une connexion par la HADOPI… Oui, sauf que voilà, moi je ne vois rien là dedans qui sécurise, je vois un dispositif de surveillance destiné à vous amputer chirurgicalement d’une parcelle d’Internet, par l’interdiction, la censure et bientôt le filtrage pur et simple du Peer to Peer. Le hic, c’est que quand ça pète, la chirurgie c’est jamais beau à voir. Peu importe, on nous ressert une fois ce discours particulièrement crétin qui consiste à assimiler un dispositif de flicage à de la sécurité. Comprenons nous bien : que vous vous fassiez piquer votre numéro de CB sur un site web que vous pensiez être un site proposant une offre légale, la HADOPI s’en contrefiche, qu’un fournisseur d’accès expose vos données personnelles en tentant de faire son beurre sur la psychose que veut générer HADOPI, la HADOPI s’en bat aussi les steaks… ce qu’elle souhaite c’est uniquement bloquer le partage de fichiers…

Dans le « comment », la HADOPI enfonce le clou en vous envoyant acheter une baguette chez le cordonnier : Ce type de service est proposé par les concepteurs de moyens de sécurisation (fournisseurs d’accès à internet et autres) ». Bravo ! Sauf qu’il semble que la HADOPI a manqué l’épisode du logiciel de controle de téléchargement d’Orange qui prétendait sécuriser votre connexion et qui exposait en fait tous les utilisateurs à un trou béant. En indiquant qu’un fournisseur d’accès est à même de sécuriser votre connexion, votre ordinateur, votre femme…  on ne peut que constater et déplorer le niveau d’e-gnaritude profonde de la HADOPI en matière de sécurisation … du coup, la pédagogie, ça fonctionne beaucoup moins bien.

Et maintenant, le clou du spectacle :

Un labelpour se protéger

Dans un univers technique qui peut paraître complexe, le label « Hadopi moyens de protection » permettra à l’internaute de s’orienter clairement et rapidement. Il aidera l’internaute à choisir un dispositif  fiable de protection de son accès à internet.

La HADOPI nous promet un label  «Hadopi moyens de protection » qui risque encore de nous provoquer chez les spécialistes une certaines hilarité. En attendant, le label HADOPIPROOF est lui déjà 100% opérationnel.

Enfin, je passe sur le couplet « les pauvres créateurs vont tous mourir », en attendant je serais curieux de savoir combien d’emplois ont été détruits par les majors en plus de 10 années de lutte contres des moulins à vent.

Hadopi Dépliant

Carte d’identité numérique : Eugènes sors de ce corps !

identité numériqueDans cette surenchère de délires sécuritaires, une information diffusée hier par Numerama me fait froid dans le dos. Le concept n’est pas récent et Eugène Kaspersky lui même est l’un des fervents défenseurs de l’identification formelle des internautes sur les réseaux. Ce qui me fait froid dans le dos est que ce genre de thèses puissent être reprises par un sénateur, en l’occurrence, Jean-René Lecerf (UMP). A croire que certains parlementaires n’ont RIEN appris de l’histoire et que des débats aussi crétins que le droit à l’oubli leur font oublier un certain devoir de mémoire.

Le sénateur propose « d’équiper les cartes nationales d’identité de puces électroniques sécurisées qui non seulement contiendront des données biométriques numérisées mais pourront également offrir à leurs titulaires de nouveaux services tel que l’authentification à distance et la signature électronique » et bien plus encore : « en outre des données, conservées séparément, lui permettant de s’identifier sur les réseaux de communications électroniques et de mettre en oeuvre sa signature électronique« .

Numerama nous indique le caractère facultatif de la seconde fonctionnalité d’authentification mais il s’agit là d’une boite de Pandore extrêmement dangereuse et très mal maîtrisée : « La carte devient donc un instrument d’authentification lors de démarches administratives ou de transactions commerciales sur internet. La sécurité de ces démarches et transactions s’en trouve améliorée« . Il s’agit là d’une affirmation étayée sur peu de faits et l’histoire nous a toujours démontré le contraire. Ce type de dispositif ne sécurise pas plus, il permet en revanche un contrôle et une surveillance de masse particulièrement inquiétante.

Alcatel Lucent : cet ami qui vous veut du bien

alcatel lucent dpiQuand on parle de DPI (Deep Packet Inspection), il y a quelques acteurs à côté desquels il est impossible de passer. Qosmos, Cisco Systems, et un autre un peu plus de chez nous : Alcatel Lucent. Gtom a posté en commentaire ici un lien vraiment édifiant sur l’une des vidéos de l’ARCEP qui m’était sortie de la tête. On retrouve dans le discours de Gabrielle Gauthey, représentante d’Alcatel Lucent, TOUS les éléments contestables du rapport gouvernemental sur la neutralité. Je vous invite donc à (re)visionner cette vidéo très attentivement.

Au menu dans le discours d’Alcatel et que l’on retrouve de manière abondante dans ce rapport gouvernemental, nous avons en vrac :

  • La notion de gestion de trafic ;
  • La notion de contenus licites ;
  • La remise en cause du haut débit flat rate ;
  • La « DPI tout à fait naturel »  ;
  • La notion d’Internet ouvert ;
  • et en trame de fond, le financement de ces équipements par la hausse des prix.

Tout ceci fait quand même un peu beaucoup pour être considéré comme une simple coincidence, de toute évidence, le lobbying d’Alcatel a porté ses fruits et le rapport gouvernemental reprend au pied de la lettre l’argumentaire d’Alcatel.

Alcatel Lucent est un équipementier dont le savoir faire et la qualité des produits n’est plus vraiment à prouver, il est l’un des leaders mondiaux sur les équipements xDSL (particulièrement les DSLAM) à destination des fournisseurs d’accès et produit entre autres les Livebox d’Orange. Le savoir faire de l’entreprise s’est donc assez naturellement développé niveau DPI et il offre même depuis 2008 des équipements terrabits proposant du DPI (c’est en gras dans le texte).

Alcatel Lucent porte aussi quelques autres entités, particulièrement une dont je vous avais parlé ici, Kindsight. Il est difficile de ne pas percevoir les liens étroits qui unissent Orange et Alcatel sur la DPI. Il est en revanche plus compliqué de décrypter les stratégies des acteurs de ce nouvel eldorado.

Quand tous les intérêts convergent vers une société de surveillance

Le marché de la surveillance est un business particulièrement juteux (à ce niveau on ne parle pas de sécurité mais bien de surveillance). La France y a développé des compétences qu’elle entend bien imposer un jour ou l’autre quand ce n’est pas déjà fait à des fournisseurs d’accès un peu partout dans le monde. Nul doute que la France entend devenir une vitrine technologique de la DPI pour mieux la vendre ailleurs, sur des marchés bien plus importants. Le Ministère des Finances et de l’Industrie joue donc parfaitement son rôle en appuyant les positions des grands groupes français. C’est affreux à dire mais je ne trouve rien de choquant dans cette démarche. Enfin je n’y trouverais rien de choquant si les intérêts de ces grands groupes n’étaient pas en parfaite contradiction avec l’intérêt commun et le respect des droits de chacun.

Enfin, on pourra également déplorer que les possibilités offertent par un Internet vraiment neutre à l’émergence de nouveaux acteurs et de nouveaux services aient été balayés d’un revers de main par l’approche de Bercy sur la question de la neutralité du Net. Enfin je reste convaincu que les intérêts économiques ne sont pas les seuls à avoir guidé la plume de Bercy dans ce rapport.

Le site du Grand Paris distribue toujours des malwares

Nous en avions discuté ici en pleine polémique sur le site France.fr. Le site du projet du « Grand Paris », un des sujets brûlant des dernières élections régionales a été compromis. Une mauvaise configuration aurait ouvert la porte à un cross site scripting et surement d’autres joyeusetés, résultant à une compromission du site qui n’est aujourd’hui qu’un nid à malware.

J’avais à l’époque prévenu OVH en sa qualité d’hébergeur mais ce dernier, malgrés les plusieurs tentatives de contact (mail/twitter), n’a jamais daigné répondre, il était bien plus bavard sur le topic chaud du moment, France.fr, qu’il s’est proposé d’héberger… surement plus porteur en terme de communication. C’est dans un sens plutôt normal car OVH n’infogère pas ce site, son rôle se limitant à l’hébergement, il n’est donc pas missionné pour réparer les sites du gouvernement.

Quinze jours après, la situation n’a pas changé. Le site du Grand Paris, hébergé en sous domaine de celui du ministère la culture présente toujours les mêmes vulnérabilités et distribue toujours autant de malwares.

Mais s’il n’y avait que ça …

Le ministère de la culture dispose de 2 domaines principaux (culture.fr et culture.gouv.fr).Le domaine culture.fr propose plus d’une centaine de sous domaines. Les solutions techniques déployées sont très hétérogènes et certaines datent de Mathusalem. C’est par exemple le cas du catalogue partagé du réseau documentaire de l’administration centrale. Le Tomcat 4.1.18 est en proie à plusieurs vulnérabilités plus ou moins importantes, exploitables à distance, comme une RequestDispatcher directory traversal vulnerability, des vulnérabilités xss sur les servlets (utilisables pour du vol de session par exemple),  j’en passe et des meilleurs…

Je ne m’attends donc pas spécialement à plus de réponse des services concernés, mais il serait bienvenu de la part du ministère de la culture, qui a porté le délit de négligence caractérisée pendant les débats sur HADOPI, qu’il montre le bon exemple. Rien que pour le domaine *.culture.fr, il y a de quoi présenter une nouvelle vulnérabilité critique par jour pendant 1 an.