Catégorie : Sécurité

Hacking stuff et sécurité

Publié le

Seedfuck : maintenant en Java et en PHP

Il s’est passé beaucoup de choses ce weekend autour de Seedfuck, ce qui n’était qu’un petit proof of concept accessible à quelques nerds est aujourd’hui un petit logiciel utilisable par n’importe qui :

  • En Python (avec une interface web)
  • En Java (avec une interface graphique)
  • En PHP (une nouvelle variante mode web, installable sur n’importe quel hébergement grand public, renommée BTPoison.php car elle est assez différente dans son fonctionnement et moins « trash »)

Deux posts importants :

Retenons trois faits importants :

  • La collecte des preuves par la HADOPI, va couter plus cher que prévu pour une fiabilité plus que douteuse, une position encore confortée par la l’étrange consultation nationale sur le droit à l’oubli numérique qui fait rire jusqu’en Suède ;
  • Seedfuck va subir encore pas mal d’évolutions et il y a un risque de le voir inoculé via des chevaux de Troie sur des machines « zombifiées ».
  • Seedfuck a donc muté de l’état de proof of concept à l’état de menace réelle et sérieuse en 48 heure, preuve de la volonté des internautes de s’opposer à cette mauvaise réponse au faux problème que représente la HADOPI,
Publié le

Seedfuck porté en Python avec un frontend web

AVERTISSEMENT : Polluer les réseaux P2P avec des adresses IP serait passible de poursuites selon l’article 434-23 du Code Pénal (Merci à @manhack et @ericfreyss de nous l’avoir rappelé).

Tout va très vite sur Internet, vraiment très vite, un internaute vient de nous poster un lien sur un portage de Seedfuck, avec une belle interface web. C’est du Web.py, c’est redoutable, et maintenant à la porté de tout le monde, sans nécessiter d’installation… Le source est éditable en ligne et permet maintenant, à n’importe qui de pourrir les trackers d’IP prédéfinies ou pas (moyennant encore quelques petits ajustements).

L’engouement autour de ce petit bout de code me surprend énormément et la réactivité des internautes et leur faculté à prendre les armes pour lutter contre HADOPI me laisse sur le C***

Seedfuck en mode web

Publié le

Torrent Poisoning : le p0c qui vient de tuer HADOPI

Comme prévu, même un peu en avance sur le calendrier, un code de Torrent poisoning est maintenant disponible, l’info vient d’être publiée ici. Répondant au doux nom de seedfuck, il sert à inonder les trackers Torrent de fausses adresses IP, tout comme The Pirate Bay l’avait promis. Le p0c est écrit en C Mono mais ne demande visiblement qu’à être porté.

Pour faire simple, voici comment ça fonctionne : on génère de fausses IP créant de l’activité sur un Hash (identifiant unique d’un fichier) donné, ces fausses ip génère du trafic et des events (donwload complété par exemple ou octets restants à télécharger).

Rappelons que la HADOPI surveillera une liste donnée d’oeuvres par leur Hash, ce qui veut dire que le bruit généré sur ces oeuvres surveillées va créer un sacré bazar.

… pire, un binaire Windows serait même déjà prêt !

On risque donc, aux premiers envois de mails de se payer de bonnes barres de rire, en retrouvant par exemple les IP de la rue de Valois dans les plus gros téléchargeurs.

Le code source est disponible ici.

Publié le

Hackito Ergo Sum 2010

Hackito Ergo Sum 2010 :

http://hackitoergosum.org

Hackito Ergo Sum conference will be held from April 8th to 10th 2010 in Paris, France.
It is part of the series of conference “Hacker Space Fest” taking place since 2008 in France and all over Europe.

HES2010 will focus on hardcore computer security, insecurity, vulnerability analysis, reverse engineering, research and hacking.

INTRO

The goal of this conference is to promote security research, broaden public awareness and create an open forum so that communication between the researcher, the security industry, the experts and the public can happen.

A recent decision of justice in France has convicted a security researcher for disclosing vulnerabilities and exploits. These laws (similar to the one in Germany), descending from USA’s DMCA law, are orienting freedom of research and knowledge into a situation where “illegal knowledge” can happen, restricted to the only ones blessed by governmental silent approval and military. Scientific research and public information cannot be made into another monopoly of state, where “some” can study and publish and “some others” cannot.
Such approach just show how misinformed some politics are and how little understanding they get of the struggle they are acting in.

Not understanding that the best way to improve security is to attack it shows the lack of maturity of some stakeholder by being cut out of independent information sources.
This is where our ethics and responsibility is to say “No, we have a right for free information and true independence in research”, and this responsibility is the one of anybody, not just the responsibility of academically blessed scientists.

This conference will try to take in account all voices in order to reach a balanced position regarding research and security, inviting businesses, governmental actors, researchers, professionals and general public to share concerns, approaches and interests during.
During three days, research conferences, solutions presentations, panels and debates will aim at finding synthetic and balanced solutions to the current situation.

CONTENT

> Research Track:
We are expecting submissions in english or french, english preferred.
The format will be 45 mn presentation + 10mn Q&A.

For the research track, preference will be given for offensive, innovative and highly technical proposals covering (but not restricted to) the topics below:

Attacking Software
* Vulnerability discovery (and automating it!)
* Non-x86 exploitation
* Fuzzing with SMT and its limits
* New classes of software vulnerabilities and new methods to detect software bugs (source or binary based)
* Reverse Engineering tools and techniques
* Static analysis (source or binary, Lattices to blind analysis, new languages and targets strongly encouraged)
* Unpacking
* Current exploitation on Gnu/Linux WITH GRsecurity / SElinux / OpenWall / SSP and other current protection methods
* Kernel land exploits (new architectures or remote only)
* New advances in Attack frameworks and automation

Attacking Infrastructures
* Exotic Network Attacks
* Telecom (from VoIP to SS7 to GSM & 3G RF hacks)
* Financial and Banking institutions
* SCADA and the industrial world, applied.
* Governmental firewall and their limits (Australia, French’s HADOPI, China, Iran, Danemark, Germany, …)
* Satellites, Military, Intelligence data collection backbones (“I hacked Echelon and I would like to share”)
* Non-IP (SNA, ISO, make us dream…)
* Red-light and other public utilities control networks
* M2M

Attacking Hardware
* Hardware reverse engineering (and exploitation + backdooring)
* Femto-cell hacking (3G, LTE, …)
* Microchip grinding, opening, imaging and reverse engineering
* BIOS and otherwise low-level exploitation vectors
* Real-world SMM usage! We know it’s vulnerable, now let’s do something
* WiFi drivers and System on Chip (SoC) overflow, exploitation and backdooring.
* Gnu Radio hacking applied to new domains
* Toll-booth and fast-lane payment systems

Attacking Crypto
* Practical crypto attacks from the hackers perspective (RCE, bruteforce, …)
* SAT-solver applied to cryptanalysis
* Algorithm strength modeling and evaluation metrics
* Hashing functions pre-image attacks
* Crypto where you wouldn’t think there is

We highly encourage any other presentation topic that we may not even imagine.

Required informations:
* Presenter’s name
* Bio
* Presentation Title
* Description
* Demo?
* Needs: Internet? Others?
* Company (name) or Independent?
* Address
* Phone
* Email

Send your submission to:
 hes2010-cfp __AT__ lists.hackitoergosum.org

> Business & Society Track:
Format:
20 minutes slots to present a tool, an innovative product, a solution (commercial, open source, free); a customer experience or open research domain; a society issue or a subject of public interest.

Demos are mandatory for tool, product or solutions presentations.
Pure-marketing presentation will be moderated (i.e. interrupted).
Follow-up with private group can be arranged for in-depth demo or analysis.

Submission needs to be sent to:
hes2010-cfp __AT__ lists.hackitoergosum.org

> Other interests
If you want to organize a Capture The Flag, Reverse Engineering contest, Lockpicking contest or any other activity during the conference, you are most welcome. Please contact us at: [email protected]

DATES
2010-01-18    Call for Paper
2010-03-01    Submission Deadline
2010-04-08    Start of conference
2010-04-10    End of conference

PROGRAMMING COMMITTEE
The submissions will be reviewed by the following programming committee:
* Sebastien Bourdeauducq (Milkymist, /tmp/lab, BEC)
* Rodrigo Branco “BSDaemon” (Coseinc)
* Jonathan Brossard (P1 Code Security, DNSlab)
* Emmanuel Gadaix (TSTF)
* Laurent Gaffié (Stratsec)
* Thomas Garnier (Microsoft)
* The Grugq (PSP)
* Dhillon Kannabhiran (HITB)
* Kostya Kortchinsky (Immunity)
* Itzik Kotler (Radware)
* Philippe Langlois (P1 Telecom Security, PSP, TSTF, /tmp/lab)
* Moxie Marlinspike (Institute for Disruptive Studies)
* Karsten Nohl (deGate, Reflextor)
* Nicolas Thill (OpenWRT, /tmp/lab)
* Julien Tinnes (Google)
* Nicolas Ruff (EADS, Security Labs)
* Carlos Sarraute (CORE Security Technologies)
* Matthieu Suiche (Sandman, win32dd)
* Fyodor Yarochkin (TSTF, o0o.nu)

FEES
Business-ticket                                                                                            120 EUR
Public entrance                                                                                             80 EUR
Reduction for Students below 26                                                              40 EUR
Reduction for CVE publisher or exploit publisher in 2009/2010    40 EUR

Entrance fees and sponsors fees will be used to fund international speakers travel costs.

VOLUNTEERS
Volunteers who sign up before 2010-03-01 get free access and will need to be present onsite two days before (2010-04-06) if no further arrangement is made with the organization.

SPONSORS
Sponsors are welcome to contact us to receive the Partnership Kit at:
hes2010-orga __AT__ lists.hackitoergosum.org

LOCATION
Paris, France.

CONTACT

Publié le

FAIL : Numericable et l’activation de votre routeur

miserycable et la secuCa faisait longtemps que je ne vous avais pas causé de Numericable, normal, j’avais résilié mon abonnement avec pertes et fracas après 4 visites de techniciens plusieurs douzaines d’appels à la Hotline … pour un problème qui affectait tout mon quartier. J’avais avantageusement opté pour une connexion de secours Nerim à la place de Numericable dont le conseiller commercial m’avait entre autres âneries, assuré que je bénéficierai d’une ip fixe (ce qui était un splendide mensonge, Numericable ne proposant pas d’IP fixe, du moins ne le proposait pas à l’époque, mais j’ai eu vent d’une offre pro sur laquelle il faut que je me penche, cependant l’offre « pro », après ce que je viens de voir …). A noter aussi que si vous avez un problème d’ordre technique, les « techniciens » qui vous visitent sont des sous-traitants qui n’ont aucun pouvoir pour remonter des problèmes sérieux (c’est à dire d’autres problèmes qu’une prise à votre domicile qui partirait en sucette ou un splitter fumé). Si vous avez un soucis, sorti de votre appartement,compétents ou pas … il ne peuvent pas faire grand chose et c’est là que les véritables ennuis commencent avec Numericable.
Bref je vous passe les détails sur les compétences du support de Numericable ou de sa pseudo communauté.
Ayant récemment aménagé dans une zone où ma ligne téléphonique est merdique, je me suis résigné à me réabonner chez Numericable. Voici un bref retour :
Commençons par le(s) point(s) positif(s) :
  • le débit est pas dégueux.

Voyons maintenant en quoi Numericable est toujours un FAI fidèle à sa réputation :
  • Niveau matos : Ne vous attendez pas à recevoir un modem routeur de qualité, le Netgear de la photo n’est pas contractuel, vous recevrez donc une belle bouze chinoise, cout de revient entre 7 et 12 euros, tout en plastique, l’antenne wifi est ridicule, non détachable et il n’implémente évidemment pas le N.
  • Le plus scandaleux : wifi activé par défaut en WEP !! Avec le délit de négligence caractérisée d’HADOPI qui pend au nez des abonnés, fournir un matériel qui propose un chiffrement cassable en quelques minutes activé par défaut est inacceptable. Si vous ne comprenez rien au wifi et que vous n’avez pas touché aux réglage de votre routeur, si HADOPI vous coupe votre connexion, un bon conseil, retournez vous contre Numericable, il est évident que cet opérateur fait bien peu de cas de la sécurité de votre connexion et ne vous fournit d’ailleurs même pas d’information claire à ce sujet.
  • Le plus malhonnête : Numericable, comme d’autres FAI, vous propose un « pack sécurité » à 5 euros par mois … autant vous le dire tout de suite, avec le wifi activé par défaut en wep, le pack sécurité à 5 euros par mois qui vous promet la sécurité absolue est une arnaque sans nom : il faudra à un petit malin 3 minutes pour casser la clef wep de votre réseau, et 30 secondes pour récupérer vos passords à coup de DSNIFF ou de Wireshark.
  • Et maintenant le plus risible : dans le fascicule que vous recevez, avec votre modem, on vous dit d’aller activer votre routeur, vu que ma connexion fonctionnait, j’ai de suite compris que celà ne servait à rien, mais j’ai tout de même tenté la procédure, comme ça juste pour rire … et je ne le regrette pas : non seulement ça plante, mais surtout, le serveur étant en mode débug, on une sortie super bavarde.
Bravo les gars !
Publié le

LOPPSI et filtrage du Net : il faut sauver le soldat Freyssinet

Peut-être avez-vous remarqué, quelque part sur le net, genre ici ou  … une certaine polémique opposant Fabrice Epelboin, éditeur de ReadWriteWeb France et Eric Freyssinet. Fabrice Epelboin a récemment publié une étude ahurissante sur le business de la pédo-pornographie. Le document est bien renseigné et s’appuie sur un travail de fonds effectué auprès des services de police en charge de la cybercriminalité dans  plusieurs pays, et entre autres, sur le témoignage d’un directeur technique de réseau pédophile dont la version originale a été publiée sur wikileaks (le document est assez insoutenable tant les positions de ce type sont abjectes).

Rendre à Cesar machin tout ça …

Eric Freyssinet est connu pour être un gendarme émérite, très versé dans les nouvelles technologies et la sécurité informatique, il en a fait au sein de son corps d’armée sa spécialité. En dehors des affinités que je peux avoir avec lui sur certains points concernant le domaine de la sécurité, il ne faut pas perdre de vue qu’il est avant tout un gendarme, avec un devoir de réserve, qui ne lui est pas opposable. Dans cette optique, il convient de dissocier les écrits publics de son blog de ses convictions profondes. Car oui, au risque de passer pour le naïf de service, je suis convaincu, à le lire, qu’il a les fesses entre deux chaises. Je comprends donc plus facilement les positions de monsieur Freyssinet sur le blocage que NKM qui nous explique qu’elle soutient le filtrage parce que ce n’est pas une perquisition… Aussi, je trouve remarquable qu’un gendarme tienne un blog en y autorisant les commentaires, même si certaines réponses sont convenues, on ne lui reprochera pas.

Alors tu bloques ou tu filtres ?

Il y a déjà cette histoire de sur-blocage des sites qu’il ne peut ignorer, il y a ensuite sa parfaite connaissance de la criminalité numérique et des techniques utilisées (comme ces botnets qui arrosent de spam des millions d’adresses email pour générer du trafic sur des sites pédophiles ou des liens cachés dans des vidéos). Notez que je parle bien ici de blocage de ces sites, et non de filtrage … il s’agit bien de deux actions différentes qui emploient des techniques différentes, mais là n’est pas le débat. Même si comme le fait remarquer Benjamin, un blocage sélectif entend qu’un petit lutin attrape le paquet, jette un coup d’oeil dedans et décide ou non d’aller le livrer au prochain routeur … ou pas … et ça, c’est du filtrage. Notons au passage que notre petit lutin jouit d’une commission rogatoire permanente … comme un douanier … trop fort ce lutin.

Bad santa host

Concentrons nous dans un premier temps sur les diffuseurs de contenus illégaux. Eric Freyssinet fait le choix de présenter le problème sous l’angle des « hébergeur illégaux » pour signifier que le blocage de ces sites n’aura pour effet que de bloquer d’autres sites de vente de médicaments ou autres produits illégaux, c’est bien tenté … mais en pratique l’argument ne tient pas… ce pour une raison toute conne, qu’Eric Freyssinet ne peut ignorer. Quand on balance 10 millions de spams qui pointent sur un seul et même site, il est assez rare que ce site soit hébergé sur un serveur mutualisé qui partagerait la même IP avec d’autres sites qui emploieraient les mêmes méthodes… avec un taux de clic de 1% (hypothèse ultra basse ne reflétant à mon sens pas la réalité), on arrive quand même à la bagatelle de 100 000 visiteurs, sur un site sensé contenir des médias lourds (photos et vidéos) … Et même quand on est un virtuose de Squid ou de Memcached, cela implique qu’on administre son serveur comme un grand, avec un shell et non un Cpanel ou un Plesk.

Qui surveille qui ?

Passons maintenant au coeur du sujet, peut être avez vous noté que je n’ai pas relayé l’idée que le blocage de sites pédo-pornographiques profiterait aux réseaux pédophiles. Non pas que je sois gendarme et que je tombe moi aussi sous le coup d’un devoir de réserve, mais je n’ai simplement pas de visibilité pour l’affirmer. En outre, je connais un peu le fonctionnement de certains réseaux undergrounds et je sais que des techniques utilisées pour la diffusion de contenus pédo-pornographiques le sont également pour des vers et des bombes logiques destinés à mener des attaques ciblées et de grande ampleur, j’ai même eu l’occasion d’en observer un après analyse d’une machine zombifiée qui crachait du .bin en faisant pleurer tous les SMTP de France et de Navarre. Usuellement vous me direz que les supputations ne me gênent pas … et c’est vrai je suppute beaucoup, et en parlant de supputations, je suppute haut et fort que mettre à disposition des outils de blocage, qui entraineront inéluctablement la mise en place de solutions hybrides à coup de DPI donnera des idées au pouvoir en place, avec ou sans Nicolas Sarkozy à sa tête. Et pour le coup, quand Eric Freyssinet fait remarquer à l’un des protagonistes du troll … fil de discussion, qu’il confond le dispositif envisagé par la France au filtrage politique à la Thaïlandaise … je me demande lequel de nous deux est le plus naïf… comme quoi, on est tous plus ou moins des bisounours hémiplégiques.

Faisons un peu de Low Psy (et ouai c’est un terme copyleft que je viens tout juste d’inventer et qui désigne de la psychologie de comptoir) : parlons un peu de l’approche d’Eric Freyssinet sur le travail de Fabrice. On  sent bien qu’il est piqué au vif, et en humain, il réagit, avec toute la mesure liée à sa fonction. C’est normal… même si à mon sens monsieur Freyssinet prend pour lui des reproches qui ne lui sont pas adressés … en clair messieurs, vous êtes tout à fait d’accord, c’est juste que vous ne parlez pas de la même chose. C’est d’autant plus évident que quand Fabrice stigmatise un manque de moyens des services, et que 2500 suppressions de postes de gendarmes sont planifiées dans les mois à venir, il apparait naturel de demander des comptes aux politiques, non aux gendarmes… chose que Fabrice fait parfaitement, jamais je ne l’ai vu ni entendu critiquer négativement le travail de la gendarmerie sur ces questions, bien au contraire. Oui il s’agit bien d’un problème politique clairement identifié et monté sur talonnettes. Aussi bien Fabrice, Jérémie, Jean-Michel, Benjamin, moi ou des milliers d’autres, nous avons un débat militant et nous gardons parfaitement à l’esprit que le pouvoir judiciaire, en France, est dissocié du pouvoir législatif… mais chaque cause à ses conséquences. Ce débat militant n’est que la conséquence de multiples dénis démocratiques sur les questions d’Internet du pouvoir politique en place (vous verriez la tronche d’un américain, d’un allemand ou d’un slovaque quand on lui explique que c’est le ministère de la culture qui a travaillé sur HADOPI et que le secrétariat d’Etat à l’économie Numérique a tout juste le droit de se la fermer docilement …),

Y’a pas que le fric dans la vie … et là, y’a des enfants

Concernant les 3 milliards de chiffre d’affaire supposé de la pédo-pornographie, je ne rentrerai pas dans la querelle des chiffres, l’économie de l’abjecte ne m’intéresse pas plus que ça, sinon ça fait un bail que je serais millionnaire. En revanche, j’ai un dentier complet contre le législateur qui n’est pas fichu d’appliquer des mesures de rétortion ciblées et qui par défaut les applique à l’ensemble de la population … j’appelle ça prendre les gens pour des cons, les dé-responsabiliser et j’affirme que miser sur un dispositif technologique qui bloque du virtuel n’empêchera pas ces drames qui ne se passent pas dans le LCD de madame Michu, mais au sein de la cellule familiale dans la majorité des cas. Evidemment, il est bien moins spectaculaire d’un point de vue populo-electroraliste de mener des actions ciblées, fruit d’un travail judiciaire en amont, que d’employer la méthode DILM (Do It Like Myard), avec des « supers gros ordinateurs … puisque la Chine l’a bien fait ». Quand Eric Besson lance son portail sur l’Identité Nationale et qu’il se retrouve obligé de sous-traiter la modération de la plate-forme à 3 gus dans un garage de Madagascar, allez savoir pourquoi, je me dis que ce gouvernement est capable de faire la même chose avec son nouveau jouet à filtrer ou de penser que ce seront les FAI qui remplaceront les effectifs dont il se sera débarrassé.

  • Je refuse que l’on me prenne pour un con au point de tenter de me faire gober que filtrer Internet va faire diminuer le nombre d’enfants abusés sexuellement dans le monde
  • Je ne comprends pas qu’on investisse dans ce genre de dispositif qui met en péril la démocratie, qui met en péril Internet et dont l’efficacité est si douteuse que l’Allemagne a abandonné un projet identique.

sudo ./usr/bin/laden

Eric Freyssinet comprend parfaitement qu’un citoyen n’aime pas être pris pour un terroriste. En ce qui me concerne, j’ai du sang corse, libyen, tchadien et basque … et en plus je suis un internaute. En toute logique, je suis un terroriste, c’est inscrit dans mon patrimoine génétique autant que sur mon disque dur… oui, ce raisonnement est très bête … et pourtant, il est tenu par les mêmes personnes qui entendent lutter contre la pornographie infantile en filtrant des sites web. Ils pourraient tout aussi bien manger des bananes pour militer contre les tests de rouge à lèvre sur les anus de chimpanzés … l’effet serait exactement le même. Si le filtrage et les écoutes empêchaient les actes de terrorisme, avec Echelon, on aurait pas des barbus qui tentent de faire péter leurs godasses dans des 747.

En conclusion, Monsieur Freyssinet, si vous nous reprochez de stigmatiser un travail parlementaire ni fait ni à faire qui impacte votre profession et donc, notre sécurité, il va falloir nous apporter des arguments sérieux … du genre « oui les machines sont plus efficaces que les gendarmes, et si on leur met des roulettes et un tazer à la place du lecteur DVD elles sont capables de faire le même travail« … sinon c’est que nous sommes tous parfaitement d’accord sur fond et que nous avons encore beaucoup à faire sur la forme. Quoi qu’il en soit, ce flame entre Fabrice et vous n’a pas lieu d’être. Vos désaccords portent, en définitive, sur peu de questions de fond, et les interrogations de Benjamin sont là pour nous rappeler que si elles n’ont pas de réponse, c’est peut-être qu’elles méritent une réflexion plus poussée que la fausse solution du filtrage qui sera l’extension naturelle du blocage.

Souvenez vous du capitaine Guézou et de son expérience des écoutes Elyséennes … demandez vous ce qu’il penserait aujourd’hui de mettre ce genre d’outil entre les mains du pouvoir politique, les dérives sont inéluctables et ce sont ces dérives qui ont mené à son « suicide ».

PS : A tous, merci pour ce thread de commentaires suite aux billet d’Eric Freyssinet et de Fabrice, vos réactions bien que vives et passionnées étaient sur le fonds bien plus intéressantes que les affligeants bons mots de nos députés.

Publié le

LOPPSI : début des débats à l’Assemblée Nationale … et premiers accrocs

hortefeux loppsiCette fois nous y sommes, Brice Hortefeux est en train d’ouvrir le bal en défendant les résultats de sa politique globale de sécurité et les « bons chiffres » qu’il a obtenu relatifs à la baisse de la délinquance. Premier incident, les blogeurs du célèbre site d’information le Post se sont vus refusér l’accès presse. Petite précision, les blogeurs en question sont Tanguy et Benjamin, à l’origine du site nosdeputes.fr, observatoire citoyen de l’activité parlementaire et qui terrorise plus d’un député, plus habitués à une démocratie à huit-clos. Ce petit incident est particulièrement révélateur de la psychose parlementaire autour de l’intérêt suscité par les lois qui touchent au Net depuis HADOPI. Les politiques ont peur d’Internet, comme les hommes ont toujours eu peur de ce qu’ils ne comprennent pas. Il est donc naturel, quelque part, que ces derniers n’aiment pas les blogeurs… attention, ça va finir par devenir réciproque si vous ne faites pas un petit effort mesdames et messieurs les parlementaires.

On passe à l’exposé des dispositions relatives aux NTIC

  • En 2009 plateforme de signalement de contenus illicites de l’Etat a recensé 10 900 signalements de sites a caractère pédo-pornographiques : « des sites gérés par des trafiquants de l’Internet » selon Brice Hortefeux. Le ministre ne s’acquitera que d’un tout petit mot sur le renforcement de la coopération internationale.
  • L’usurpation d’identité
  • L’Etat veut taper au portefeuille des trafiquants
  • Autorité administrative pourra procéder sans délais à la vente des biens des délinquants saisis
  • Logiciels de rapprochement judiciaires « utiliser des moyens techniques existants » pour effectuer des recoupements (et mon cul c’est du poulet ?… il va falloir qu’on m’explique à quoi va bien pouvoir servir Périclès, cet agent sensé aller récupérer des données nominatives sur les réseaux sociaux pour alimenter on ne sait trop quelle base de données)

Brice Hortefeux insiste à plusieurs reprises sur le fait que ces dispositifs ne donneront pas lieu à la création de nouvelles bases de données … allez, chiche ?

C’est maintenant au tour d’Eric Ciotti, rapporteur du projet de loi de parler, et ça commence très fort

LOPPSI 3 est annoncée par Eric Ciotti !

Une petite référence faite par le rapporteur à ceci … magistrat et avocats dénonçant un projet de loi LIBERTICIDE.

  • Objectif grâce au NTIC le gouvernement vise le taux de résolution des affaires à  50%
  • Glorification de la vidéoprotection, le nouveau nom politiquement correct de la vidéosurveillance ou autrement dit du flicage en HD
  • L’organisation des forces de l’ordre
  • Recours à la visioconférence pour les audiences (vous allez voir que dans LOPPSI 3, pour régler le problème d’engorgement des prisons, le gouvernement misera sur la virtualisation…)
Publié le

Filtrage : ne nous faisons pas plus cons que les e-gnares

net neutrality nowDepuis quelques jours, le filtrage par DPI (Deep Paquet Inspection) est très en vogue dans les blogs de France et de Navarre. Il convient cependant d’en causer avec des pincettes pour plusieurs raisons.

Premier point : on y est pas encore ! Si Nicolas Sarkozy appelle « sans délai » à des expérimentations de filtrage, peut être n’est-ce après tout que pour parfaire sa culture personnelle sur un sujet qu’il maîtrise comme nous le savons tous parfaitement.

Second point : on ne parle pas de filtrer le marc de café, mais des communications électroniques. Contrairement à ce qu’à pu nous raconter le député Myard dans ses errements aux relents totalitaires, il ne suffit pas d’avoir de « très gros ordinateurs ». S’il suffisait d’avoir de très gros ordinateurs … les barbus n’essaieraient pas de faire péter leurs godasses dans les avions.

Troisième point : filtrer, c’est bien mais on filtre quoi ? Là, croyez moi, on va rigoler. J’étais hier à la présentation de Tweest, celle où NKM, pressée par les questions sur lesquelles tout le Net attend des réponses depuis un an, a finalement lâché le morceau. Elle s’est déclarée en faveur du filtrage des sites pédo-pornographiques, et UNIQUEMENT de ces sites, suite dénonciation sur le portail gouvernemental dédié à cet effet … Ce côté « bisounours hémiplégique » qui hémiplégie de l’autre hémisphère que Benjamin Bayart a quelque chose de sympathique, de naif et de touchant. Attention séquence émotion, voici le workflow d’un filtrage pour NKM.

  • Mr Dupont reçoit un email lui indiquant qu’il a gagné 100 millions de dollars à la loterie Microsoft, il n’a jamais joué à ça, d’ailleurs il ne savait pas que Microsoft donnait dans le PMU … mais c’est pas grave … il clique … et là c’est le drame.
  • Il s’empresse d’aller signaler, comme 15 000 personnes l’ont fait cette année, ce site web aux autorités compétentes, via le site web  dédié.
  • Loic Le Meur est alerté, et paff il passe un coup de fil à Google
  • .. clap clap finit les pédo nazis, Mr Dupont est un héro.

… je ne vais pas vous en dire plus pour le moment, mais croyez moi, on va en reparler dans peu de temps …

Écartons nous un instant des considérations techniques et revenons à ce qui est dit, maintenant, par notre président qui appelle au filtrage « sans délai ». Dans ses vœux au ministère de la Culture, après une chouette opération d’enfumage avec sa taxe Google, Nicolas Sarkozy a quand même réussit l’exploit de rentrer en contradiction avec NKM pourtant docile sur la question … Nicolas lui les pédophiles c’est une chose, mais il faut aussi filtrer les sites qui permettent l’échange de fichier … les contenus « pirates »… et là du coup je m’interroge …

  • Qu’est ce qu’un site qui permet l’échange de fichiers ? … réponse conne à la question con … tous.
  • Le workflow reposant sur la dénonciation s’appliquera t-il aussi à ces sites ?
  • Quel est le rôle du juge ? On se fait un p’tit coup d’ordonnance pénales histoire de ne pas laisser moisir le corpus législatif d’HADOPI ?
  • Est ce que les blogs de politiques qui violent la GPL et les Creative Commons en virant la mention du footer des auteurs sur les thèmes graphiques qu’ils utilisent seront eux aussi filtrés sur simple dénonciation ? (croyez moi y’en a un paquet).

… Ben ouai, le « sans délai » c’est bien mais faut pas oublier son neurone en route.

Rappelons nous enfin que ces vociférations du président ne sont pas sans rapport avec la démagogie ambiante qui précède chaque élection, là encore, nous sommes face à un phénomène d’une affligeante banalité… faut bien rentrer dans le lard de quelque chose quand on a rien à dire, et pour ça, les pirates, c’est un bon client … pour les présidentielles, vous allez voir qu’on en reviendra à nos bons vieux hackers chinois, une valeur sûre !

Ensuite … et seulement après s’être posé ces quelques questions, on peut décider (ou pas) de théoriser sur l’application éventuelle d’un filtrage qui portera la griffe de notre exception culturelle : il sera hybride, coûteux et inefficace.

« Dis papa c’est quoi le DPI ? »

– Ça fiston, c’est un truc super cool qui permet à papa de faire la traque aux virus pour protégéer les neuneux qui cliquent partout comme Monsieur Dupont. C’est un bidule uber puissant qui est capable de reconnaitre un choux d’une carotte dans un caddie de supermarché et de ne placer que les carottes dans le panier du lapin.

« Mais comment il fait le lapin s’il a envie de manger un choux ? »

– Ben il ne décide pas, et puis les choux c’est pas bon pour le lapin, ça lui donne des gaz.

« Et s’il veut manger un navet il fait comment ? »

– Là encore il ne décide pas, son docteur, le bienveillant Nicolas décide pour lui et papa applique l’ordonnance du docteur.

« C’est pas super sympa pour le lapin qui aime le chocolat … »

– Mais si c’est super sympa, parce qu’à chaque fois qu’il revient au supermarché, le lapin est maintenant automatiquement guidé au rayon des carottes, on peut lui envoyer des tickets de promotions sur tous les modèles de carottes qu’on a en supermarché, c’est ça le DPI, un outil qui permet de cibler les carottes qui conviendront le mieux au lapin et donc de faire en sorte qu’il passe le moins de temps à chercher dans les rayons du supermarché… c’est pour son bien !

« Et que se passe t-il si le lapin change de magasin ? »

– Ah … ben là le DPI de papa il marche plus, pour que ça marche il faut que le lapin vienne dans le même magasin, avec le même caddie, avec la même voiture, prenne la même route, qu’il aille tout le temps dans le même rayon et paye à la même caisse … sinon ça fout en l’air tous les supers algos de papa …

« Ben c’est nul ton truc si tu peux pas empêcher le lapin de changer de supermarché »

– c’est pour ça que papa a un autre jouet … il s’appelle BGP… avec ça papa il peut empêcher l’accès à tous les autres supermarchés. DPI n’est pas fait pour interdire au lapin d’aller chez les concurrents, par contre avec BGP je peux détruire l’autoroute qui mène à la ville voisine où se trouvent les autres supermarchés.

« Et ça coute cher tes jouets papa ? »

– oui très, et en plus ça marche pas toujours

« Ah bon ? »

– il arrive des fois que le lapin change de voiture, ou pire … qu’il change de route ! … et dans ce cas là, impossible de le reconnaitre, c’est pour ça que le mieux, ça reste quand même de détruire les routes et de faire un dôme au dessus de notre ville pour être sur que notre lapin n’aille pas à la concurrence.

« Mais comment ils font tout ceux qui ne sont pas lapins et qui mangent pas de carottes »

– Là tu fais chier avec tes questions !

Publié le

Google Chinagate : le Net bridé se débride

google chinagateVous n’avez certainement pas pu passer à côté de ce qui agite les relations Googlo chinoises ces deux derniers jours… le ton monte sérieusement. Factuellement, nous avons bien peu d’informations, juste assez pour comprendre la gravité de la situation et la bêtise sans borne de tout filtrage. Replaçons nous dans le contexte. La Chine n’a jamais crié sur tous les toits qu’elle accordait aux internautes la liberté d’expression sur le Net, et encore moins la liberté de s’informer de sources diverses et variées, on ne plaisante pas avec la subversion en Chine.

Fort de la connaissance des attentes de ce client particulier, Google ne pouvait cependant pas délaisser le plus grand marché en volume du monde. Etre présent en Chine était tout ce qu’il y a de plus normal pour le géant américain, quitte à laisser à la frontière ce qu’il défend ailleurs, la Neutralité du Net (vous savez ce truc « fourre tout » aux yeux de Nathalie Kosciusko-Morizet). Du coup, Google, se pliant aux volontés du gouvernement Chinois a filtré, pendant plusieurs années de nombreux sites étrangers ou locaux en rapport de prêt ou de loin avec les droits de l’Homme (ONG, opposants …).

Puis un jour, comme ça, sans raison apparente, le loup montre les crocs. Google dénonce une attaque d’une ampleur impressionnante et surtout, utilisant des techniques très sophistiquées … aussi sophistiquées que celles qu’emploirait un Etat qui pratique la cyber guerre offensive. Des comptes mails d’opposants politiques du gouvernement chinois auraient été la cible de ces attaques. Ce, peu après la condamnation du Dr Liu Xiaobo à 11 ans de prison pour « subversion ».

Y’a comme de l’eau dans le gaz …

Google.cn a décidé en réaction de lever tout filtrage, les internautes chinois, bien que filtrés par le firewall gouvernemental maison (une sorte de filtre parental anti subversion un peu sur le modèle de celui qu’on souhaite nous faire avaler en France), trouvent via Google réponse à leurs questions les plus « subversives ».

En réaction, le gouvernement chinois répond par ce qu’il sait faire le mieux … la censure.

Je sais pas vous mais moi, j’ai comme envie de demander des comptes au député Myard sur le modèle de société numérique qu’il défend.

Alors ça veut dire quoi une attaque « hautement sophistiquée » ?

Loin de moi l’idée de mettre en cause les conclusions de experts en sécurité que Google et les 32 autres sociétés étrangères qui ont été la cible de ces attaques, mais il convient cependant de comprendre de quoi on parle avant de se faire sa propre opinion.

Depuis fin décembre, une poignée d’importantes vulnérabilités ont été découvertes dans le format PDF de l’éditeur logiciel américain Adobe (qui comte lui aussi parmi les cibles de ces attaques). La vulnérabilité exploitée par les assaillants n’aurait été patchée par Adobe que mardi dernier… mais nous allons revenir là dessus un peu plus loin.

Le format d’Adobe aurait donc été exploité pour inoculer un cheval de Troie, et collecter d’impressionnantes quantités d’information de ces cibles, ce trojan nommé Trojan.Hydraq , stocké sous forme de dll sur les systèmes cibles ouvre un backdoor (une porte dérobée) et collecte tout ce qu’il peut sur la machine infectée. Jusque là rien que de l’hyper classique en somme… Sauf que la cible, à en croire ce qui s’est écrit ici ou là, c’était le code sources d’applications (dont certaines applications web de Google… comme Gmail), révélant ainsi des informations sensibles exploitables par les intrus en vue de récupérer des informations personnelles ciblées, celles de militants en faveurs de la protection des des droits de l’Homme.

Disclose or not disclose ?

Cette petite histoire nous démontre, une fois de plus, que la sécurité par l’obscurantisme et le manque de correctif immédiat à une vulnérabilité peut couter cher, très cher. Aussi je me permet de revenir sur l’interessant, car factuel, billet d’Eric Freyssinet relatif à la décision de la cour de Cassation qui réprime “le fait sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données”. Derrière cette décision, le full disclosure, ou le fait de dévoiler au public les mécanismes et le code en vue de l’exploitation d’une faille de sécurité est dans une certaine mesure directement visé. Tout est dans l’intention pourrait on retenir. Cependant, le responsible disclosure (dévoiler publiquement l’exploit après que la vulnérabilité ai été patchée), ça ne fonctionne pas toujours. Ainsi, il peut se passer plusieurs jours, semaines, mois ou années avant qu’une réponse ne soit apportée. C’est ce laps de temps qu’il convient de réduire un maximum, mais que beaucoup trop d’éditeurs logiciels (propriétaires ou libres), laissent filer… si la faille n’est pas publique, après tout … pourquoi se presser ? Le full disclosure, quoi qu’on en dise a une vertu, il agit comme un véritable coup de pied aux fesses et contraint à la réponse rapide, avant une éventuelle exploitation.

Attention, je ne dis pas que si le zero day exploit qui a été utilisé pour les attaques dont nous parlons ici avait été rendu public, ceci ne serait pas arrivé… Le format PDF suscitte l’attention de beaucoup d’experts en sécurité informatique depuis environ un an. Nombreux sont ceux qui s’accordaient à dire que ceci allait arriver, l’histoire leur a donné raison … faut dire qu’ils avaient de sérieux arguments (null, mais sérieux … humour de geek … désolé)  et les yeux se portaient alors sur JBIG2…. Bravo Cédric, une fois de plus, tu ne t’étais pas planté. Les tâtonnements des uns et des autres ont finalement permis à des personnes pas super bien intentionnées d’aboutir à ce zero day exploit qui aurait été utilisé pour attaquer Google et une trentaines de sociétés poids lourds du Net.

Méditons … que ce serait il passé si ce zero day avait été dévoilé publiquement avant son exploitation ?

Encore une fois, je sais que je radote, mais la sécurité est un process, pas produit, les modèles de réponses que l’on souhaite apporter à ces problématiques, surtout quand elles concernent une vulnérabilité dont on sait que la propagation pourrait être répide et coûteuse doivent être définis par un cadre légal, cependant je m’interroge aujourd’hui sur une mesure d’interdiction… même si les arguments de la cour de Cassassion sont de bon sens.

Publié le

Les sites de sécurité informatique bientôt illégaux en France

Petit effet de bord de rien du tout de la LCEN, selon Numerama, la cour de cassation aurait délibéré sur la publication de failles de sécurité … et figurez vous que ceci est illégal et constitue un délit, quelque soit les intentions de l’auteur de la publication en question ! Cette décision date du 19 octobre dernier et n’a pas échappé à la vigilance de 01Net Pro. Le full disclosure en France est maintenant un délit passible de poursuites au pénal !

Filtrage … censure, ignorance, sécurité par l’obscurantisme … la France va devenir un tiers monde numérique et s’exposer béatement aux risques pourtant évidents que cette décision implique. Attention, la cour de cassation ne fait ici que donner une lecture simple de la LCEN, véritable responsable de ce naufrage. En clair, des sites comme Milw0rm ou SecuObs pourraient devenir illégaux, au titre que ces derniers donnent des informations nécessaires pour comprendre, exploiter et patcher les vulnérabilités des applications. On sent donc naturellement se profiler le filtrage des sites qui proposent des applications de sécurité pourtant indispensables à tout professionnel comme Nmap, Wireshark, Metasploit, Nessus … Si ces sites d’informations venaient à être filtrés, il s’agirait d’une catastrophe qui couterait vite très cher à de nombreuses entreprises qui devraient s’en remettre exclusivement à la bonne volonté des éditeurs logiciels, qui comme Microsoft peuvent mettre 7 ans avant de proposer une correctif ! Une situation surréaliste … merci la LCEN.

Si vous travaillez dans la sécurité informatique, vous risquez d’avoir à faire vos valises dans pas longtemps pour pouvoir continuer à exercer dans la légalité… Le Net français, tu l’aime ou tu te casses !