Blocage de sites web : mieux vaut prévenir que guérir ?

404Alors qu’en Australie le blocage des sites web semble voué à une mort plus ou moins certaine, nous avons vu que petit à petit, le big brother français et la police de la pensée étaient en train de faire leur nid. Pour ce faire, on piétinera sans vergogne des principes que l’on pensait acquis comme la liberté d’expression ou la proportionnalité de la peine.

La récente condamnation en référé des principaux fournisseurs d’accès à Internet sur action de l’ARJEL, l’autorité de régulation des jeux en ligne, a bien ouvert, comme nous le craignions, la boite de Pandore. Orange, SFR, Bouygues Telecom, Free, Numéricable, Auchan Télécom et Darty devront tout mettre en œuvre pour empêcher les internautes français d’accéder aux sites n’ayant pas obtenu de licence française. S’il vous prenait l’envie de vous mesurer à des étrangers au poker et accroitre vos gains en vous faisant un peu moins ponctionner au passage, il vous faudrait trouver un fournisseur d’accès alternatif qui n’a pas le privilège de faire l’objet de cette ordonnance du tribunal de Grande Instance de Paris.

Pour l’instant, avec l’ARJEL, comme pour ce que l’on attendait avec les sites pédophiles à qui ce traitement était alors exclusivement réservé, on parle bien de blocage de sites. Le blocage de sites, comme stipulé par la décision de justice qui vient de frapper les FAI, doit se faire par « tous les moyens possibles ». Si les fournisseurs d’accès en venaient à appliquer bêtement cette décision, nous assisterions inéluctablement à une surenchère du flicage et à une multiplication des dommages collatéraux induits par les expériences des apprentis sorciers sur des technologies non maîtrisées comme le routage BGP, le Deep Packet Inspection, le blocage DNS… Pour faire une analogie simple, c’est comme si un tribunal avait ordonné aux douaniers français de faire en sorte, par n’importe quels moyens (mazoutage, grenadage, filets dérivants…), que les poissons espagnols ne viennent plus croiser dans les eaux territoriales françaises pour bouffer tout notre plancton d’appellation d’origine contrôlée. En plus d’être inapplicable c’est surtout complètement crétin et on sent bien qu’il y a un danger quelque part, on en a bien un qui finira par bâtir une muraille sous marine et qui réussira à déséquilibrer tout l’écosystème. Et bien je vais vous faire confidence… les internautes, c’est comme les poissons, et Internet c’est bien un écosystème à l’équilibre fragile.

Le vrai danger arrivera quand un technocrate ou un lobbyiste aura l’idée de génie de « prévenir plutôt que de guérir« . En clair, quand il préconisera qu’au lieu de bloquer, on pourrait filtrer. En commençant par habituer les FAI à leur nouvelle casquette de gendarme et en les invitant à la repression, ces derniers auront beau rôle de faire de la prévention, c’est à dire filtrer ou bloquer l’accès à certains sites sans même qu’une plainte ne soit déposée. C’est une dérive logique, une de plus, et si elle n’enchante pas tous les fournisseurs d’accès (on sait que Free est le premier à freiner des deux pieds), d’autres se feront une joie de mettre en place le produits de leurs trouvailles. Les apprentis gendarmes ont donc toutes les cartes en main pour se transformer en garants des bonnes moeurs « par prévention ». Du blocage pur et simple, nous pourrions assister au déploiement de solutions d’analyse statistiques de packets (ou stochastic packet Inspection) dans des points de centralisation (régionaux ?) capable d’altérer l’accès à des sites sur simple suspicion née d’une approche probabiliste d’analyse de données qui transitent sur le réseau d’un opérateur. Un simple mail pourrait alors se perdre ou ne jamais partir s’il vous prenait par exemple l’envie de faire écouter votre serveur smtp sur le port 119. Interdire l’accès à des sites passera forcement par des violations de votre privée, on ne sait pas faire techniquement autrement : analyse de vos communications, filtrage des services … vous êtes maintenant prévenus.

En Australie, où je vous disais que le blocage des sites avait toutes les chances d’être définitivement abandonné, nous avons déjà assisté à des débordements : la liste qui ne devait initialement ne comporter que des sites pédophiles avait fuit sur Wikileaks et nous avions eu la surprise d’y retrouver des sites de référencement de liens torrents ou de jeux en ligne…

Enfin, plus proche de nous l’Allemagne a également dit non au filtrage constatant, comme l’Australie, que ce genre de dispositif ne pouvait fonctionner, tout particulièrement dans un pays qui se veut attaché à certaines valeurs démocrates.

Là tout de suite, si je devais monter un tripot en ligne, je le développerai sur la plateforme de blog Haut et Fort, très appréciée des politiques. Je serais curieux de voir si un FAI est capable de nous poser un deny sur *.hautetfort.com et ainsi rendre inaccessibles les blogs de nombreux députés. Le filtrage et le blocage, tant qu’on y a pas gouté, on trouve ça bon… mais dans la pratique ça va donner quoi à votre avis ?

La riposte graduée fait des petits en Nouvelle Zélande… mode hardcore

p2pSelon Torrentfreak, la risposte graduée à la Française serait en train de faire des petits, il faut dire que ça germait depuis un moment là bas. En 2008, le gouvernement néo-zélandais proposait, à l’instalr de la France, une loi pour tenter d’endiguer le partage de fichiers sur Internet. Le dispositif comporte quelques similitudes avec la France, à commencer par son système de riposte graduée qui pourrait conduire les contrevenants à une suspension, allant jusqu’à 6 mois de leur abonnement Internet. La constitution du dossier se faisant entièrement à charge contre l’internaute et sans preuve plus tangiblequ’en France, à savoir une adresse IP, le gouvernement a du modifier son texte afin de respecter un minimum les droits de la défense (je ne saurais pas vous dire si l’ordonnance pénale existe en Nouvelle Zélande mais un système du même type leur pend au nez). Pour contourner le « détail » de la preuve, la France a opté pour le risible et déjà ridiculisé délit de négligence caractérisée

Comment en France, il s’agit d’un modèle « 3 strikes », soit 3 avertissements et on coupe. Les plus fervent fans de la répression, la New Zealand Law Society, ont même avancé l’idée de supprimer définitivement l’accès à Internet. Comme en France, l’Internet suspendu n’aura pas le droit de s’ouvrir un abonnement chez un autre fournisseur d’accès Internet. Mais des voix s’élèvent, s’opposant à la déconnexion, elles souhaitent qu’elle soit retirée du projet de loi, c’est le cas de Jordan Carter, directeur de la InternetNZ Policy, et qui l’a fait savoir à l’assemblée. Jordan Carter insiste sur le fait que la déconnexion est une peine disproportionnée dans une société qui ne sait plus se passer d’Internet, tant dans la vie quotidienne que professionnelle.

Google, également consulté sur la question a pointé du doigt les dommages collatéraux liés à des usurpations d’adresses IP ou aux réseaux wifi publics.

Je serais à la place du gouvernement Néo Zélandais, j’attendrais que les mangeurs de grenouilles mettent en place leurs Hadopi, puis j’observerais les premiers spams partir et la réaction qui va s’en suivre avant de me lancer dans un projet aussi stupide … pas vous ?

Filtrage du Net et FAI à la baguette

Un pas de géant a encore été franchi aujourd’hui, le cap est connu, c’est toujours le même. L’ARJEL ou autorité des jeux en ligne est l’une des Hautes Autorités chéries du législteur, celle ci vise à faire la chasse aux « pirates » (oui il y a une certaines constance là aussi), ou plus exactement aux sites de jeux qui n’ont pas reçu l’agrément… une sorte de lettre de cachet frappée du sceau de la haute autorité qui vous autorise à percevoir dîme en sol numérique françois.

Comme il est de notoriété publique que tous les pédonazicommunistes jouent au poker sur des serveurs situés sur l’île de Malte (dans la baie juste à côté de celle rapatriée en France par le groupe Bolloré 3 mois avant que la loi sur les jeux en ligne ne passe devant le parlement…), on a décidé d’appliquer au sites de jeux qui mouillent en eaux hostiles au portefeuille des copains, le traitement qu’on avait juré qu’on appliquerait uniquement contre les cellules terroristes d’Al-Qaïda et les frameux pédonazicommunistes… le blocage des sites. Depuis l’ARJEL, les joueurs en ligne pestent, ils ne peuvent se mesurer à des joueurs étrangers, les joueurs sont coupés du monde, ils évoluent dans une sorte de casino online pékinois.

Jouer sur des sites dissidents (ou plutôt des sites qui font de la concurrence trop visible à notre fière et belle industrie du jeux online) fait depuis aujourd’hui, l’objet d’un cadre d’application plus précis, dicté par une décision de justice qui a le mérite d’être claire. La catastrophe tant redoutée est arrivée. On plaque une lame sous la gorge des FAI en leur demandant de filtrer par TOUS les moyens possibles et imaginables. Une astreinte de 10 000 euros par jours pendant un mois sera même appliquée si les fournisseurs d’accès venaient à manquer d’entrain pour engager des frais sans contrepartie, sur décision d’une Haute Autorité, dont le principe est en plus de porter atteinte à l’intégrité et la neutralité d’un réseau de communication vital qu’ils exploitent commercialement et qu’ils construisent. Tout de suite on s’imagine qu’une délicate attention comme celle ci ne va pas passer inaperçue et que quelques lobbyistes de la propriété intellectuelle ne se dérangeront pas pour demander aux FAI le même traitement (à titre gracieux) de 50 000 authentifications quotidiennes sur la base d’adresses ip saisies par les sociétés mandatées par la HADOPI et les ayants droit.

La plainte remonte au mois de juin suite à une saisine en référé, on attendait la décison, elle est donc assez brutale. Un peu comme si on demandait à la police d’arrêter les pickpockets par tous les moyens (y compris de faire feu au milieu d’une foule dans un métro bondé)… et oui la justice sait faire preuve d’une délicatesse extrême, elle nous le prouve ici autorisant implicitement le deep packet inspection et ses techniques dérivées, qui comme on s’en doutait risquent de faire fureur :

  • Soit cette décision ne mesure pas ses conséquences,
  • Soit les conséquences sont très bien connues car voulues depuis longtemps.

Dans les deux cas c’est une mauvaise nouvelle et Jérémie Zimmerman à bien raison de souligner le caractère catastrophique de la situation. Voici en substance ce qui a été énoncé : Les FAI doivent “mettre en oeuvre ou faire mettre en oeuvre, sans délai, toute mesure propre à empêcher l’accès, à partir du territoire français et/ou par leurs abonnés sur ce territoire, au contenu du service de communication en ligne (Stanjames.com)“ et “prendre toutes mesures de nature à permettre l’arrêt de l’accès au service en cause, soit toute mesure de filtrage, pouvant être obtenu (…) par blocage du nom de domaine, de l’adresse IP connue, de l’URL, ou par analyse du contenu des messages, mises en oeuvre alternativement ou éventuellement concomitamment“.

C’est amusant comme tout cela s’emboite bien… comme prévu. Mais ce qui est magnifique ici, c’est que le blocage des sites est arrivé dans notre législation par le jeux en ligne, et qu’on lui donne du premier coup les moyens de muter en ce qu’il y a de pire. La proportionnalité des moyens, on s’en contre fiche, ce qu’on veut c’est bien la peau du Net.

Ça va être long de tenir jusqu’en 2012 !

HADOPI : Toonux est candidat à l’étude des solutions de sécurisation dans un but d’interopérabilité

La consultation sur les solutions de sécurisation d’accès Internet révélée ce matin par Numerama a pour but de fixer une liste de préconisations pour élaborer un dispositif de sécurisation. La part que l’on donne à l’interopérabilité dans ce document est loin d’être satisfaisante, en ce sens, les acteurs du logiciel libre doivent s’en inquiéter et il apparait donc normal que certains puissent être amenés à étudier le fonctionnement de ces solutions afin de pourvoir en proposer sur des systèmes d’exploitation libres.

Nous vous annonçons donc que Toonux est candidat officiel au reversing de ces dispositifs, particulièrement sur les dispositifs qui tourneront autour des moyens de sécurisation en mobilité.

Wifi ROBIN une nouvelle quiche derrière le crâne d’HADOPI

EDIT : Attention, plusieurs personnes confirment un retour d’expérience négatifs avec ce produit, ne vous ruez donc pas aveuglément dessus.

Alors que la Haute Autorité se dit prête à envoyer les premiers mails d’avertissement, que les premiers relevés d’IP ont été effectués par les sociétés mandatées pour le faire. Après que seedfuck les ai contraint à alourdir encore une procédure que l’on souhaitait automatisée avec le moins de justice et autre lourdeurs… et que de son côté la Mission Riguidel ai été rendue publique malgré le caractère confidentiel que la HADOPI souhaitait lui donner….

Voici WifiRobin, un nouveau petit dispositif composé d’une carte wifi surpuissante (1w, soit 10 fois la puissance autorisée en France) et du nécessaire logiciel pour automatiser des attaques sur le chiffrement WEP qui équipe encore de nombreux réseaux sans fil de particuliers puisque des fournisseurs d’accès livrent encore leur box et autres routeurs avec ce chiffrement activé par défaut. Concrètement, le WifiRobin, ça se passe comme ça :

  • vous l’allumez,
  • vous le posez,
  • vous le laissez travailler,
  • quelques minutes plus tard vous avez un réseau wifi avec sa clef de chiffrement WEP,
  • vous pouvez surfer.

Cette opération qui nécessitait autrefois quelques connaissances, même très rudimentaires, est maintenant à la portée de n’importe qui, il suffit de savoir appuyer sur un bouton et de patienter quelques minutes. En zone d’agglomération, avec une importante densité de réseaux, cette carte qui peut porter jusqu’à 2 kilomètres (plus encore avec une antenne adaptée) devrait faire un carton.

La bête est donnée pour un prix de $155 soit 118 €, frais de port offerts.

Il va falloir ajouter deux ou trois choses dans la liste de préconisations pour sécuriser nos « accès Internet », non ?

Merci@bricamac pour la trouvaille

HADOPI : la labellisation des moyens de sécurisation s’annonce compliquée

Ce n’est pas un scoop, c’est d’ailleurs surement pour ça que la HADOPI s’est résolue à passer outre et à se décider d’envoyer les premiers mails sans qu’un dispositif de sécurisation de l’accès Internet prévu depuis HADOPI 1, ne voit le jour. On savait que la définition de préconisations en vue d’une labellisation des dispositifs de sécurité allait être très complexe à rédiger. Le scoop c’est que Michel Riguidel s’est laissé aller à quelques spécifications fonctionnelles généralistes, publiées ce matin dans Numerama, qui lancent des pistes on ne peut plus larges. Même si on y évoque très brièvement quelques « bonnes mesures » , comme une désinstallation propre et le respect de la vie privée des utilisateurs, on peut s’inquiéter de quelque chose d’assez criant : Ce sont les spécifications d’un mouchard, on ne sécurise pas, on est bien dans le domaine de la surveillance des masses.

On parle par exemple de livrer cette extension sous forme de plugin à d’autres solutions de sécurité (suites antivirales), ou d’envisager un dispositif effectif en mobilité (points d’accès wifi ouverts). On parle aussi et surtout de prémices de filtrage et on se laisse la porte ouverte au blocage de sites par access lists, une mise à jour pourra ainsi vous interdir l’accès a un site de direct download comme Megaupload.

Numerama se déclare prêt à répondre de la publication de ce document qui a fuit, au nom du droit d’information du public, et on ne peut que l’appuyer dans cette démarche.

HADOPI : une consultation publique confidentielle

J’apprenais aujourd’hui sur Numérama que Michel Riguidel, en charge de définir une sorte de cahier des charges d’un dispositif sensé sécuriser nos connexions Internet pour répondre de notre bonne foi devant la Haute Autorité, avait lancé une consultation un peu particulière..

L’objectif de cette consultation est de fournir à monsieur Riguidel l’argumentaire nécessaire à l’élaboration d’une liste de préconisations venant définir les mesures de sécurisation de sa connexion Internet, indispensables à prouver votre bonne foi et que vous n’aurez pas « manqué de diligence » dans cette tâche dont un manquement pourrait se traduire par un délit de négligence caractérisée aboutissant à la suspension de votre connexion. Michel Riguidel a donc réalisé un premier Draft de spécifications qu’il faut expressément demander en montrant patte blanche et que l’on daignera vous envoyer si on aime bien votre tête, c’est un peu une consultation à la tête du client en fait…. quand on vous dit que ça commence fort.

C’est encore un concept fort intéressant qui nous est proposé par la HADOPI. Une consultation publique « confidentielle », pour laquelle les consultés doivent s’engager à ne surtout rien dévoiler du contenu. Je trouve ça particulièrement iritant à plusieurs titres :

  • Pourquoi cette consultation est elle aussi confidentielle ?
  • Ne somme nous pas en train de basiquement répéter une erreur ?
  • Les entreprises seront elles aussi concernées ?
  • Quel niveau de sécurité souhaite t-on apporter ?
  • Où sera localisé le dispositif ?
  • Allons nous tolérer que des dispositifs de surveillance soient placés directement sur le réseau des opérateurs ?
  • Allons nous nous contenter d’un antivirus/firewall/ banal ou va t-on nous refaire le coup du logiciel de contrôle de téléchargement ?
  • Le dispositif sera t-il en connexion permanente avec des outils de « monitoring » de la HADOPI ?
  • Quelle sera la part de la prévention qu’on accordera à ces solutions qui si elles s’avère intrusives finiront en banal mouchard ?
  • … le suspens est insoutenable, mais à quoi va donc ressembler notre Hadopipoware officiel ?

Mais juste comme ça au passage, si on commence, avant même que le projet ne soit entamé, à faire le choix de la sécurité par l’obscurantisme, alors autant s’arrêter tout de suite, sous peine d’assister à la mise en place de nouveaux failwares. L’autre erreur est d’entourer de mystère ce qui ne devrait être que des spécifications publiques d’un petit soft rigolo et sans intérêt, si on ne touchait pas à quelque chose d’un peu sensible. La mission de Michel Riguidel est effectivement complexe, car il va avoir le privilège de fournir des spécifications cohérentes pour entretenir la psychose que les ayants droit souhaitent instaurer avec la mise en application du dispositif. Dur pour le chercheur émérite qu’il est de se contenter du strict minimum pour effrayer les masses.

Quoi qu’il en soit, je rejoins parfaitement l’analyse de Guillaume, entourer d’autant de mystère les spécifications d’une solution qu’on sait par avance poudre de Perlin Pinpin est assez ridicule, mais très en phase avec notre exception culturelle.

Hole196 : Une vulnérabilité identifiée dans WPA2

Le WPA2 est le protocole de chiffrement pour communications sans fil considéré jusque là comme le plus robuste. Des chercheurs de AirTight semblent avoir mis en évidence une faiblesse permettant à un utilisateur du réseau de bypasser le chiffrement de la clef privée ansi que l’authentification. Il devient ainsi capable d’intercepter le trafic qui transite sur le réseau et donc d’attaquer les machines qui s’y trouvent. Une présentation de la vulnérabilité et de son exploitation aura lieu au Defcon de Las Vegas à la fin du mois, nous en saurons alors un peu plus sur ce trou affectueusement baptisé Hole196.

En attendant, et à juste titre, Numerama et PCInpact s’interrogent sur notre désormais célèbre délit de négligence caractérisée qui tendrait à vouloir que le commun des mortels sécurise son accès Internet, alors que le gouvernement lui même a bien du mal à sécuriser ses propres sites web et pour reprendre l’ expression consacrée qui me fait bien rire, manque de diligence dans la mise en oeuvre de la résolution de l’incident .

Recherche développeur Drupal pour remplacer André Santini à l’Assemblée Nationale

C’est dans l’air, André Santini, député maire d’Issy-les-Moulineaux, récemment élu président du conseil de surveillance de la Société du Grand Paris (SGP) dans des circonstances contestées, avait annoncé qu’il abandonnerait un de ses mandats. On se souvient que l’année dernière encore, son suppléant et porte parole de l’UMP, Frédéric Lefèbvre, avait fait son entrée dans l’hémicycle par jeux de chaises musicales. André Santini était alors secrétaire d’Etat à la Fonction publique.

Une rumeur assez insistante tendait à souffler qu’André Santini cèderait son siège de député des Haut de Seine à Jean Sarkozy. Patrick Devedjian interrogé par la presse sur l’éventuelle accès de Jean Sarkozy à l’Hémicycle a répondu : « Ce sont des supputations. Je ne peux pas vous répondre ». C’est en fait celui de conseiller régional qu’il abandonne, Jean Sarkozy devra donc attendre les prochaines législatives auxquelles André Santini a annoncé ne pas se représenter pour s’écharper avec Frédéric Lefèbvre. Après la grosse blague de l’EPAD, Jean Sarkozy n’en finit plus d’agiter le 92.

Le « Grand Paris » est un ambitieux projet avec lequel on nous pas mal rabattu les oreilles pendant la campagne des dernières régionales, aujourd’hui, le site mis en place en sous domaine de celui du ministère de la culture (Grand Paris / culture … vous voyez pas le rapport ? On s’en fout c’est pas la première foi que le Ministère de la Culture se voit confier des sujets qu’on ne lui demande pas de maitriser) fait triste mine. Déjà, ça commence par un bel avertissement quand on tente d’y accéder. Le site semble exactement du même acabit que France.Fr (jamais un gouvernement n’aura réussi à plomber l’image de marque de Drupal à ce point).

Le site web du Grand Paris, je ne vais pas perdre de temps à vous faire une nouvelle visite guidée mais en deux trois clics, vous devriez vous faire votre opinion.

Une négligence caractérisée de plus pour le Ministère de la Culture … bon on arrête ? Le gouvernement est-il prêt à reconsidérer son délit de négligence caractérisée ou il faut vraiment qu’on vous démontre qui est le plus négligent :

  • l’internaute qui se fait plomber son ordinateur par un trojan ?
  • ou l’Etat qui investi des millions d’euros dans des sites web qui risquent de finir en ftp de p0rn et warez ?

Tout ça pour vous dire que vu que Jean Sarkozy n’a toujours pas son DEUG de droit, je propose qu’un développeur Drupal (BTS, 3 mois d’expérience appréciés) brigue le poste de député des Hauts de Seine, il sera bien plus utile à la Nation que Jean Sarkozy.

Updated : je ne perdrai pas mon temps à commenter le screenshot suivant mais vous vous doutez de tout le bien que j’en pense… Le site a certainement subit un Cross Site Scripting, la doc de Drupal est pourtant limpide à ce sujet.

Des hacktivistes fakent le site gouvernemental diplomatie.gouv.fr

La blague est probablement d’origine québécoise, mais elle n’est pas vraiment au gout du Quai d’Orsay qui dénonce le faux. Il s’agit d’un typo squatting, un domaine très proche de celui du site officiel (deux caractères en moins), le site Diplomatiegov.fr annonce dans une vidéo que la France va rembourser une dette de 17 milliards de dollars à Haiti. Ça ressemble assez au canulard des Yes Men pendant le sommet de Copenhague.

Clubic met en perspective de ce typo squatting le terme de « Hacking » qui ne correspond à mon sens pas du tout à la réalité. Clubic revient sur l’intrusion qu’a subi le Quai d’Orsay en 2005 en la comparant un peu maladroitement à cette parodie. Ici pas d’intrusion , pas d’atteinte au système de traitement de données informatisées, tout au pire, une contrefaçon avec intention de tromper (et encore même ça c’est discutable vu le charmant filet d’accent présumé québécois de la personne sur la vidéo).

Bref ces deux événements n’ont vraiment rien à voir si ce n’est l’institution visée, le site diplomatiegouv.fr ne s’est pas rendu coupable de négligence caractérisée, il peut donc dormir sur ses deux oreilles, la HADOPI ne le coupera pas.